Автор Тема: Блокирование браузеров Squid-ом.. (Прочитано 3609 раз)

Ivan_Viktorovich · « : 07.11.2010 23:05:58 »

Собственно задача следующая: заблокировать на клиентах интернет так чтобы зайти в и-нет можно было только через Mozilla. По умолчанию в Альт Юниоре есть еще 2 браузера - Chrome, и Epiphany вот и требуется чтобы сквид не пускал их в и нет.....

По итогам раскопок в сети сделал вывод что следующий код блокирует доступ в сеть с самой мозилы а остальные браузеры работают.

Код: [Выделить]

acl autbrow browser Mozilla
http_access deny autbrow

Заранее спасибо за советы.. :)

bormant · « **Ответ #1 :** 07.11.2010 23:58:25 »

! - операция отрицания, используйте её для инвертирования условия. Либо используйте приведённое условие для разрешения доступа, а все варианты, не получившие разрешения, отсекайте завкршающим правилом deny.

asket · « **Ответ #2 :** 08.11.2010 00:01:16 »

В общем-то есть параметр acl req_header , он описывет User-Agent браузера.
Подробнее здесь:

Цитировать

# acl aclname browser [-i] regexp ...
#
# Проверяет заголовок User-Agent (смотри также req_header)
#
.
.
.
acl aclname req_header header-name [-i] any\.regex\.here
#
# Регулярное выражение проверяющее заголовки запросов. Например, может
# использоватся для блокирования доступа некоторых браузеров.

Ivan_Viktorovich · « **Ответ #3 :** 08.11.2010 10:50:07 »

спасибо, попробую..

еще один вопрос:
сквид работает в режиме "обычный" со способом аутентификации: Kerberos+PAM
как добится того чтобы сквид не давал доступа в сеть ненастроенным на использование прокси браузерам?

Ivan_Viktorovich · « **Ответ #4 :** 10.11.2010 15:29:20 »

попробовал ! результат оззадчил

Код: [Выделить]

acl autbrow browser Mozilla
http_access deny !autbrow

работаеьт только для виндовых машин в сети..

кто скажет какие заголовоки User-Agent для Chrome и Epiphany?

Цитировать

еще один вопрос:
сквид работает в режиме "обычный" со способом аутентификации: Kerberos+PAM
как добится того чтобы сквид не давал доступа в сеть ненастроенным на использование прокси браузерам?

yaleks · « **Ответ #5 :** 10.11.2010 15:38:26 »

Цитата: Ivan_Viktorovich от 10.11.2010 15:29:20

кто скажет какие заголовоки User-Agent для Chrome

например

Код: [Выделить]

Mozilla/5.0 (X11; U; Linux x86_64; en-US) AppleWebKit/534.10 (KHTML, like Gecko) Chrome/8.0.552.23 Safari/534.10

Ivan_Viktorovich · « **Ответ #6 :** 10.11.2010 18:12:16 »

Цитировать

Mozilla/5.0 (X11; U; Linux x86_64; en-US) AppleWebKit/534.10 (KHTML, like Gecko) Chrome/8.0.552.23 Safari/534.10

хорошо а что из этого в конфиг сквида писать?

Ivan_Viktorovich · « **Ответ #7 :** 11.11.2010 13:09:16 »

так после курения гугла первый вопрос решился :из 3ех живущих на клиенте браузеров доступ в инет получает только один - Mozilla остальные ( Chrome, и Epiphany) намертво заблокированы.

после такого кода

Код: [Выделить]

acl br browser Chrome Epiphany
http_access deny br

второй вопрос не решился

Sergey-12 · « **Ответ #8 :** 11.11.2010 14:24:10 »

Цитата: Ivan_Viktorovich от 08.11.2010 10:50:07

еще один вопрос:
сквид работает в режиме "обычный" со способом аутентификации: Kerberos+PAM
как добится того чтобы сквид не давал доступа в сеть ненастроенным на использование прокси браузерам?

Не совсем понятен вопрос. Если в настройках браузера, в разделе прокси, указан адрес прокси сервера и порт, то браузер будет ходить в интернет, а если нет, то нет. Правда, если в мозиле стоит галка "использовать истемные настройки прокси", то браузер будет брать настройки прокси из системы и все равно будет ходить. :)

Ivan_Viktorovich · « **Ответ #9 :** 11.11.2010 15:10:46 »

В веб морде сервера я сказал что сквид работает в обычном режиме с ранее сказанной аутентификацией
но если браузер на клиенте никак не настраивать на прокси то его все равно пускают в инет. а если в настройках браузера прописать ручакми прокси то он исправно просил логин и пароль для начала работы
ученики смышленые и могут просто скинуть настройки прокси и получить безконтрольный доступ в инет, вот я и хочу это пресечь :)

yaleks · « **Ответ #10 :** 11.11.2010 15:23:23 »

Цитата: Ivan_Viktorovich от 11.11.2010 15:10:46

ученики смышленые и могут просто скинуть настройки прокси и получить безконтрольный доступ в инет, вот я и хочу это пресечь :)

не надежнее ли сконфигурировать 2-ой сетевой интерфейс, чтобы точно мимо не проскочили?

Ivan_Viktorovich · « **Ответ #11 :** 11.11.2010 15:57:17 »

несовсем вас понял.... можно поподробнее?

yaleks · « **Ответ #12 :** 11.11.2010 16:01:27 »

Цитата: Ivan_Viktorovich от 11.11.2010 15:57:17

несовсем вас понял.... можно поподробнее?

чтобы любой трафик проходил через машину со Squid.

Ivan_Viktorovich · « **Ответ #13 :** 11.11.2010 16:13:10 »

ну оно так и происходит,
разве нет?

или настроенные на проски браузеры идут через прокси? а ненастроенные идут в обход сквида?
(на сервере как и положено 2 сетевухи, стоит альт сервер , с его сквидом)

yaleks · « **Ответ #14 :** 11.11.2010 16:50:08 »

Цитата: Ivan_Viktorovich от 11.11.2010 16:13:10

ну оно так и происходит,
разве нет?

или настроенные на проски браузеры идут через прокси? а ненастроенные идут в обход сквида?
(на сервере как и положено 2 сетевухи, стоит альт сервер , с его сквидом)

тогда заблокировать forward на 80 и 443 порты (iptables firewall). Зачем блокировать браузеры?

Форум сообщества
Альт Линукс