Как правильно настроить белые и черные списки, чтобы они пускали на разрешенные и блокировали запрещенные сайты?

Question

[Арсений Бухарский]

Доброго времени суток. Задача стоит в следующем: заставить корректно работать белые и черные списки в squid. Я перепробовал уже все методы, чтобы заставить их корректно работать.Итог один: в какой бы последовательности я не выставлял правила http_access сайты из черного списка никогда не блокируются. А группа с ограниченным доступом в интернет всегда остается группой с полным доступом, так как белый список тоже не отрабатвается корректно.
Соответственно, FullInternet - группа AD с полным доступом, а LimitedInternet - группа с ограниченным доступом.
Способ аутентификации и авторизации - kerberos. Да, далее в конфиге будет видно, что я вписывал сайты из белого листа просто в сам конфигурационный файл сквида, поэтому строчка с файлом whitelist закомментирована. И это тоже не помогло. Прилагаю актуальный конфиг:

auth_param negotiate program /usr/local/libexec/squid/negotiate_kerberos_auth -s HTTP/testproxy.fkp47.local@FKP47.LOCAL
auth_param negotiate children 50 startup=10 idle=5
auth_param negotiate keep_alive on
acl localnet src 10.47.0.0/24
 #▒~@аз▒~@е▒~Hенн▒~Kе по▒~@▒~B▒~K, ме▒~Bод▒~K и обла▒~A▒~Bи подкл▒~N▒~Gени▒~O
#acl SSL_ports port 443
#acl Safe_ports port 80
#acl Safe_ports port 443
#acl Safe_ports port 1025-65535
#http_access deny !Safe_ports
#acl CONNECT method CONNECT
#http_access deny CONNECT !SSL_ports
#http_access allow localhost manager
#http_access deny manager
#http_access allow localhost
#http_access deny to_localhost
external_acl_type FullInet ttl=3600 negative_ttl=3600 children-max=50 children-startup=10 children-idle=5 grace=15 %LOGIN /usr/local/libexec/squid/ext_kerberos_ldap_group_acl -g FullInternet
external_acl_type LimInet ttl=3600 negative_ttl=3600 children-max=50 children-startup=10 children-idle=5 grace=15 %LOGIN /usr/local/libexec/squid/ext_kerberos_ldap_group_acl -g LimitedInternet
#acl whitelist dstdomain  "/usr/local/etc/squid/whitelist.txt"
acl blacklist dstdomain   "/usr/local/etc/squid/blacklist.txt"
acl SiteAllow dstdomain .yandex.ru .mail.ru
acl my_full external FullInet
acl my_lim external  LimInet
http_access deny my_lim SiteAllow
http_access allow my_full
http_access deny blacklist

Answer 1

[CityCat4]

Где-то в районе прошлой осени в "Системном администраторе" была статья на тему настроек squid и доступа по группам

Comments

[Дмитрий]

Самое прикольное что следующая проблема будет "опа почти весь трафик идет по SSL что с этим делать? "

[CityCat4]

Дмитрий, Ну да, разумеется :) Не, можно CONNECT перехватывать :) Но там есть возможности маскироваться под безобидные новостные порталы, так что конечно же без бампинга никак...

[Дмитрий]

да, я честно говоря нахлебался с бампингом так, что вспоминать не хочется.
сквид в прозрачном режиме, требование заказчика, на компьютеры клиентов сертификаты поставить нельзя. Крутись как хочешь )

[CityCat4]

Дмитрий,

на компьютеры клиентов сертификаты поставить нельзя.

Это ключевое условие, без него сразу можно сказать, что работать не будет. Сертификат, который в сквиде для бампинга должен быть доверенным для клиента - иначе бампинга не получается :)

[Арсений Бухарский]

CityCat4 хотелось бы конкретный номер журнала

[CityCat4]

Арсений Бухарский, Конкретый не помню, июлеавгуст-октябрь (у них летний номер - сдвоенный)

[Арсений Бухарский]

CityCat4, случаем не эта статья ОСОБЕННОСТИ КОРПОРАТИВНОГОПРИМЕНЕНИЯ SQUID: ГРУППЫ ДОСТУПА И УПРАВЛЕНИЕ ИМИ в 9 номере за 2019? Я надеюсь для squid 4.11 будет актуально.
Эх, 100 рублей стоит. Не получилось на халяву. Ну, да ладно, на том спасибо. Будем посмотреть.

[CityCat4]

Арсений Бухарский, Случайно эта. Я 3.5 использую, мне подошло :) На 4.х надо смотреть отличие в директивах, впрочем в конфиге сквида всегда преогромнейшая простыня с изменениями есть.