@ArseniyBuh
эникей в госконторе

Как правильно настроить белые и черные списки, чтобы они пускали на разрешенные и блокировали запрещенные сайты?

Доброго времени суток. Задача стоит в следующем: заставить корректно работать белые и черные списки в squid. Я перепробовал уже все методы, чтобы заставить их корректно работать.Итог один: в какой бы последовательности я не выставлял правила http_access сайты из черного списка никогда не блокируются. А группа с ограниченным доступом в интернет всегда остается группой с полным доступом, так как белый список тоже не отрабатвается корректно.
Соответственно, FullInternet - группа AD с полным доступом, а LimitedInternet - группа с ограниченным доступом.
Способ аутентификации и авторизации - kerberos. Да, далее в конфиге будет видно, что я вписывал сайты из белого листа просто в сам конфигурационный файл сквида, поэтому строчка с файлом whitelist закомментирована. И это тоже не помогло. Прилагаю актуальный конфиг:

auth_param negotiate program /usr/local/libexec/squid/negotiate_kerberos_auth -s HTTP/testproxy.fkp47.local@FKP47.LOCAL
auth_param negotiate children 50 startup=10 idle=5
auth_param negotiate keep_alive on
acl localnet src 10.47.0.0/24
 #▒~@аз▒~@е▒~Hенн▒~Kе по▒~@▒~B▒~K, ме▒~Bод▒~K и обла▒~A▒~Bи подкл▒~N▒~Gени▒~O
#acl SSL_ports port 443
#acl Safe_ports port 80
#acl Safe_ports port 443
#acl Safe_ports port 1025-65535
#http_access deny !Safe_ports
#acl CONNECT method CONNECT
#http_access deny CONNECT !SSL_ports
#http_access allow localhost manager
#http_access deny manager
#http_access allow localhost
#http_access deny to_localhost
external_acl_type FullInet ttl=3600 negative_ttl=3600 children-max=50 children-startup=10 children-idle=5 grace=15 %LOGIN /usr/local/libexec/squid/ext_kerberos_ldap_group_acl -g FullInternet
external_acl_type LimInet ttl=3600 negative_ttl=3600 children-max=50 children-startup=10 children-idle=5 grace=15 %LOGIN /usr/local/libexec/squid/ext_kerberos_ldap_group_acl -g LimitedInternet
#acl whitelist dstdomain  "/usr/local/etc/squid/whitelist.txt"
acl blacklist dstdomain   "/usr/local/etc/squid/blacklist.txt"
acl SiteAllow dstdomain .yandex.ru .mail.ru
acl my_full external FullInet
acl my_lim external  LimInet
http_access deny my_lim SiteAllow
http_access allow my_full
http_access deny blacklist
  • Вопрос задан
  • 81 просмотр
Пригласить эксперта
Ответы на вопрос 1
CityCat4
@CityCat4
Если я чешу в затылке - не беда!
Где-то в районе прошлой осени в "Системном администраторе" была статья на тему настроек squid и доступа по группам
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы