W artykule <i5ssnh$7uf$1@news.onet.pl>, Przemys³aw Adam ¦miejek napisa³(a):
>> Z ISA nigdy nie korzysta³em, ale nie chce mi siê wierzyæ, ¿e nie ma tak
>> podstawowej funkcjonalno¶ci.
>> To ju¿ g³upi squid potrafi wycinaæ ruch po IP/maskach, portach, domenach
>> (w dowolnej postaci), po numerach AS, protoko³ach, pe³nych adresach URL,
>> nag³ówkach HTTP, typach mime i 15 innych rzeczach.
>> Chyba muszê w koñcu ISA zainstalowaæ i sprawdziæ co to potrafi.
>
> Blokowanie po nazwach niby jest, ale ja niestety za g³upi jestem na to,
> ¿eby to odpaliæ w wersji bez Firewall Client. A znów FC to do¶æ ¶rednio
> mi dzia³a na koñcówkach (sam siê wy³±cza) no i takie to do¶æ ma³o
> sensowne, bo wystarczy go wy³±czyæ i filtrowanie przestaje dzia³aæ.
Na squidzie ja to robiê tak:
1. przez dhcp przypisujê komputerom wyj¶cie tylko przez proxy.
2. redundantnie na proxy.pac/wpad.dat/wpad.da równie¿ robiê przekierowanie
na proxy (drobna uwaga - w zale¿no¶ci od przegl±darki i jej wersji,
poszukuj± one jednego z tych 3 plików - zawarto¶æ tych plików powinna
byæ identyczna i nie sugeruj siê rozszerzeniem "da" lub "dat").
3. poniewa¿ u mnie klienci loguj± siê do domeny, dlatego w skrypcie
logowania wymuszam wyj¶cie przez proxy dla znanych mi przegl±darek
(IE, FF, ... - przez rejestr lub modyfikacjê plików tekstowych).
4. klienci ¿eby dzia³aæ musz± mieæ wpisane w przegl±darce proxy (o ile
pkt 1, 2 i 3 nie zrobi± tego automatycznie). Ewentualnie mo¿na jeszcze
przekierowaæ ca³y ruch wychodz±cy przez port 80, na proxy (ja tego
nie robiê)
5. wyj¶cie inne ni¿ przez port 8080 i IP proxy, jest zablokowane
(ma to tak± zaletê, ¿e cfaniak nie wpisze sobie IP:port jakiego¶ obcego
proxy).
Przydatne linki:
http://wiki.squid-cache.org/Technology/WPAD
http://en.wikipedia.org/wiki/Proxy_auto-config
> Mówisz, ¿eby co¶ w stylu transparent proxy zrobiæ? Kurcze nigdy w ¿yciu
> takich rzeczy nie dotyka³em.
Ja tego nie opar³em o transparent proxy, ale mo¿na (patrz pkt.4).
> I bêdzie siê da³o na zasadzie ³atwej obs³ugi wybór blokad robiæ?
Dla mnie jest to ³atwe. Je¶li nigdy nie mia³e¶ kontaktu ze squidem,
to mo¿esz mieæ pocz±tkowo trochê problemów z odpowiednim skonfigurowaniem
ACLek oraz praw dostêpu/blokad.
U mnie jest ta lista bardzo rozbudowana (niektóre strony maj± bezpo¶rednie
wyj¶cie, inne s± dostêpne tylko w okre¶lonych godzinach, czê¶æ jest
zablokowana dla konkretnych grup osób, czê¶æ typów plików jest blokowana
dla okre¶lonych grup, a dla niektórych IP mam wymuszon± autoryzacjê).
Nie wiem jak± funkcjê spe³nia teraz u Ciebie ISA.
Zak³adaj±c, ¿e potrzebujesz blokowaæ tylko facebooka, to konfiguracja
ACL/http_access to:
acl banned_dom dstdomain "C:/squid/etc/rules/banned_domains"
acl inet src 10.0.0.0/8 #ca³a podsieæ
acl inet_kierownik src 10.0.2.0/24 #pula adresów osób uprzywilejowanych
acl inet_goscie src 10.0.8.0/24 #pula adresów IP go¶ci
Kolejno¶æ wpisów "acl" nie ma znaczenia.
i przed linijk± z "http_access allow localnet" dopisujesz regu³y pozwoleñ
i blokad (wa¿na jest kolejno¶æ!) dla wszystkich osób w sieci (bez
wyj±tków):
http_access deny banned_dom
# lub je¶li np: kierownicy maj± mieæ dostêp do stron, to dopisujesz:
http_access deny banned_dom !inet_kierownik
# co oznacza tyle, ze zabron dostepu do wszystkich adresow URL z banned_dom
# z wyjatkiem osob, ktore naleza do grupy inet_kierownik
# lub je¶li chcesz blokowaæ tylko dla go¶ci, to wpisujesz:
http_access deny banned_dom inet_goscie
# co oznacza, ¿e zabroñ dostêpu do banned_dom dla osób z grupy inet_goscie
#a wszystkie inne ¿±dania dostêpu do stron, s± dozwolone:
http_access allow inet
Przy czym zawarto¶æ pliku banned_domains, mo¿e mieæ tak± postaæ (ka¿da
domena w osobnym wierszu):
facebook.com
.facebook.com
unblockf.com
.unblockf.com
facebook.pl nie dopisujê, bo on i tak przekierowuje na facebook.com.
unblockf.com to strona, której moi kochani u¿ytkownicy dopatrzyli siê
chc±c obej¶æ zabezpieczenia ;)
Je¶li chcesz rozszerzyæ listê, np: dodaæ nasz± klasê, to do tego samego
pliku dopisujesz kolejne domeny, np:
nasza-klasa.pl
.nasza-klasa.pl
nk.pl
.nk.pl
.s-nk.pl
PS: po wiêcej szczegó³ów odsy³a³bym do FAQ:
http://wiki.squid-cache.org/SquidFaq
a w szczególno¶ci do:
http://wiki.squid-cache.org/SquidFaq/SquidAcl
http://www.eu.squid-cache.org/Doc/config/acl
http://www.squid-cache.org/Doc/config/http_access
I ostatnie s³owo - ja Ciebie nie namawiam na przej¶cie na squida.
Je¶li kto¶ znajdzie skuteczny sposób na ISA i FC, to super. Je¶li nie
i masz trochê czasu na naukê, to potraktuj to jako nowe do¶wiadczenie.
Jacek
Received on Sat Sep 4 12:00:04 2010
To archiwum zosta³o wygenerowane przez hypermail 2.1.8 : Sat 04 Sep 2010 - 12:42:00 MET DST