PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Squid - Regel - brauche hilfe



Moesli
24.05.05, 09:06
ich hab auf meinen Proxy den Download von div. files verboten.
Jetzt möchte ich für gewisse URL´s den Download für alle Datei-Typen erlauben,.. hmm vorschläge ?

auszug aus meiner conf:

acl Dateien urlpath_regex -i \.mpeg \.zip \.rar \.tar \.ace \.iso \.exe
acl Addys srcdomain "/etc/squid/domains.erlaub"


http_access allow Addys
http_access deny Dateien !Addys



in Domains.erlaub hab ich die Urls eingetragen,.. http://www.xxxxx.com/ :confused:

Moesli
25.05.05, 08:19
^^^schieb niemand eine Ahnung ?

Columbo0815
25.05.05, 08:33
^^^schieb niemand eine Ahnung ?
Immer mit der Ruhe ;)

Bei deiner squid.conf würde ich "Zustände bekommen".. Addys :ugly: sowas tut doch im Auge weh. ;)

Wieso gehst du das Problem nicht andersrum an. IMHO ist das anders auch sinnvoller:



acl dateien urlpath_regex -i \.mpeg \.zip \.rar \.tar \.ace \.iso \.exe
acl erlaubt dstdomain xxxxx.com yyyyyyy.com zzz.org

http_access deny dateien
http_access allow erlaubt dateien


Somit ist der Datei-Download für die angegebenen Endungen grundsätzlich verboten. Er ist nur erlaubt, wenn die dstdomain der entspricht, die du freigegeben hast.

Warum machst du die freigegebenen Adressen über eine ausgelagerte Datei "domains.erlaub"? Der Übersicht wegen? Wenn es nicht allzuviele Adressen sind, finde ich die (hoffentlich funktionierende) Lösung nicht schlecht.

Moesli
25.05.05, 09:12
es soll sich ja nicht jeder in meiner conf wie "zuhause" fühlen :D

ich hab jetzt deine Methode ausprobiert, funzt nicht irgend, eine Ahnung wo der bug begraben sein könnte ?

der uebersicht halber verweise ich auf ein file,..

~Gh05t~
25.05.05, 10:07
soweit ich weis müssen zuerst die allows, dann die denys kommen, denn squid arbeitet die ACL von oben nach unten ab. Wenn da steht "deny dateien", dann ist feierabend und es geht nix mehr. Tausch ma die Zeilen, erst die allows, dann die denys.

Blade
25.05.05, 20:08
Erforderliche DENY-Einträge in der /etc/squid.conf:

1. Variante:
acl noway dstdomain .erotik.com .erotik.de windowsupdate.microsoft.com

2. Variante:
acl badURL url_regex -i sex porno hardcore erotik erotic fick **** bestell

Und nun noch
http_access deny noway

Oder
http_access deny noway
http_access deny badUrl

Die http_access deny … - Befehle müssen vor allen weiteren http_access allow … - Befehlen stehen, da sie in der Reihenfolge von oben nach unten abgearbeitet werden. Wenn ein ACL die Eigenschaft „Allow all“ besitzt, kann kein Deny mehr hinzugefügt werden.

Nächste Variante:
Dazu muss eine Datei erstellt werden:
touch /etc/squid/domains.deny
in dieser Datei werden die Zeichenfolgen eingegeben die verboten werden sollen

#rasi 08/2001
gay
microsoft
farmsex

Alle Seiten welche diese Wörter in der Adresszeile enthalten werden geblockt!!!

(mehr dazu in squid.conf selbst)
In der squid.conf müssen nun folgende Einträge eingefügt werden:

acl domains.deny urlpath_regex –i “/etc/squid/domains.deny“
acl domains dstdom_regex -i "/etc/squid/domains.deny"
http_access deny domains.deny
http_access deny domains

Zuletzt ... squid neu starten ... :p

Moesli
27.05.05, 08:20
thx soo lott !!! die Reihenfolge war schuld,..

Wow echte Squid 0wner unter euch :eek: