Доброго времени суток.
Такой вопрос: видел конфиги режика с резкой по ip, логинам локальных учеток, а можно ли резать по доменным группам? Использую прозрачную авторизацию пользователей AD с squid_kerb_auth и external acl squid_ldap_group, если кто-то делал - буду благодарен за пример конфига сквид+режик.
negotiate kerb_auth + rejik
Re: negotiate kerb_auth + rejik
Как выглядит информация о таком пользователе в логе сквида?
Там достаточно информации, что бы принять решение, блокировать или нет?
Там достаточно информации, что бы принять решение, блокировать или нет?
Re: negotiate kerb_auth + rejik
1365993483.283 72 10.0.2.232 TCP_MISS/200 1978 CONNECT www.google.ru:443 squidx@MFK-22.LOCAL DIRECT/188.43.64.249
вот например кусок из access.log, информации достаточно (будет работать если создать файл и записать туда пользователей в виде "squidx@MFK-22.LOCAL" и указывать его в качестве allow_id? кстати хотел спросить есть ли противоположное к allow_id, ведь бан-листы нужно запрещать а не разрешать), но есть желание делать по группам а не по учеткам, хотя режиком резать планирую небольшое количество избранных кто будет ходить везде кроме черных листов, подавляющее большинство будет ходить только в белые листы, так что в качестве исключения можно и по учеткам сделать. Например есть external acl :
acl internet_allow external ldap_verify inet_allow
которому хочу разрешить все кроме бан листов порно и банеров (например), далее в сквиде разрешаем http:
http_access allow internet_allow
а после этого в режике режем бан листы порно и банеры, так вот как будет выглядеть конфиг режика при "path_to_porn-list", "path_to_banner-list" и списке пользователей, входящих в эту группу которых мы вручную внесли в файл "path_to_user_file"?
P.S. если знаете как резать режиком по группам - очень интересно.
вот например кусок из access.log, информации достаточно (будет работать если создать файл и записать туда пользователей в виде "squidx@MFK-22.LOCAL" и указывать его в качестве allow_id? кстати хотел спросить есть ли противоположное к allow_id, ведь бан-листы нужно запрещать а не разрешать), но есть желание делать по группам а не по учеткам, хотя режиком резать планирую небольшое количество избранных кто будет ходить везде кроме черных листов, подавляющее большинство будет ходить только в белые листы, так что в качестве исключения можно и по учеткам сделать. Например есть external acl :
acl internet_allow external ldap_verify inet_allow
которому хочу разрешить все кроме бан листов порно и банеров (например), далее в сквиде разрешаем http:
http_access allow internet_allow
а после этого в режике режем бан листы порно и банеры, так вот как будет выглядеть конфиг режика при "path_to_porn-list", "path_to_banner-list" и списке пользователей, входящих в эту группу которых мы вручную внесли в файл "path_to_user_file"?
P.S. если знаете как резать режиком по группам - очень интересно.
Re: negotiate kerb_auth + rejik
да, но с небольшой оговоркой, сквид может отдавать режику не совсем такую запись. более вероятно squidx%40MFK-22.LOCALnokogerra писал(а):будет работать если создать файл и записать туда пользователей в виде "squidx@MFK-22.LOCAL" и указывать его в качестве allow_id?
Узнать точно можно, подключив logger(смотрите в Download) вместо редиректора.
work_idnokogerra писал(а): кстати хотел спросить есть ли противоположное к allow_id, ведь бан-листы нужно запрещать а не разрешать),
Что бы заблокировать порно и баннеры подойдет дефолтный конфиг.nokogerra писал(а): но есть желание делать по группам а не по учеткам, хотя режиком резать планирую небольшое количество избранных кто будет ходить везде кроме черных листов, подавляющее большинство будет ходить только в белые листы, так что в качестве исключения можно и по учеткам сделать. Например есть external acl :
acl internet_allow external ldap_verify inet_allow
которому хочу разрешить все кроме бан листов порно и банеров (например), далее в сквиде разрешаем http:
http_access allow internet_allow
а после этого в режике режем бан листы порно и банеры, так вот как будет выглядеть конфиг режика при "path_to_porn-list", "path_to_banner-list" и списке пользователей, входящих в эту группу которых мы вручную внесли в файл "path_to_user_file"?
P.S. если знаете как резать режиком по группам - очень интересно.
Что бы не пускать в интернет смотрите пример в FAQ "Как разрешить Васе ходить только на mail.ru", вместо mail.ru будет внутренний сайт со страницей "инет не положен".
Re: negotiate kerb_auth + rejik
хм, если по дефолту закроет все указаные бан_диры - ок (чтобы разрешить Васе ходить только в белый лист - имхо проще сквидом решить, тем более что по группам фильтрация работает, думаю и буду делать так, а режиком отрезать черные листы всем, добавляя редких избранных типо директора, которым просто не откажешь, таких действительно можно и по ip добавть и по логину - их единицы), только другая проблема возникла, с режиком к конфиге сквида (redirect_program /usr/local/rejik3/redirector /usr/local/rejik3/redirector.conf) сквид не стартует (извините за стену текста, не обнаружил тега для скрытия текста, hide, more, spoiler - не работают).
update: не работало из-за указания хеда <AUDIO-VIDEO>, запустилось когда закоментил этот хед, но режик почему-то не отрезал порно, ни при указании в бин_дир каталога с листами, ни самого листа. И еще тогда вопрос: работают только заголовки, которые есть в дефолтном конфиге (например <PORNO>)?
вот режик конф:
вот разрешения на каталог lists и файлы внутри него:
вот разрешения на логи, но они все равно пустые:
update: не работало из-за указания хеда <AUDIO-VIDEO>, запустилось когда закоментил этот хед, но режик почему-то не отрезал порно, ни при указании в бин_дир каталога с листами, ни самого листа. И еще тогда вопрос: работают только заголовки, которые есть в дефолтном конфиге (например <PORNO>)?
вот режик конф:
Код: Выделить всё
error_log /var/log/squid3/redirector.err
change_log /var/log/squid3/redirector.log
make-cache /usr/local/rejik3/make-cache
#allow_urls /usr/local/rejik3/banlists/allow_urls
#<BANNER>
#ban_dir /usr/local/rejik3/banlists/banners
#url http://127.0.0.1/ban/1x1.gif
#log off
<PORNO>
ban_dir /usr/local/rejik3/lists/porno
url http://127.0.0.1/porno.html
#<MP3>
#ban_dir /usr/local/rejik3/banlists/mp3
#url http://127.0.0.1/ban/mp3.html
#<AUDIO-VIDEO>
#ban_dir /usr/local/rejik3/lists/audio-video.urls
#url http://127.0.0.1/porno.html
#<JS>
#ban_dir /usr/local/rejik3/banlists/js
#url http://127.0.0.1/ban/js.js
#log off
Код: Выделить всё
root@SquidErgo:/usr/src/rejik/www# ls -l /usr/local/rejik3/lists/porno
итого 7520
-rw-r--r-- 1 proxy proxy 25 Апр 16 09:42 porno.pcre
-rw-r--r-- 1 proxy proxy 7680638 Апр 16 09:42 porno.urls
root@SquidErgo:/usr/src/rejik/www# ls -l /usr/local/rejik3/lists
итого 12144
drwxr-xr-x 2 proxy proxy 4096 Апр 16 09:43 audio-video
-rw-r--r-- 1 proxy proxy 572 Мар 19 14:27 audio-video.pcre
-rw-r--r-- 1 proxy proxy 80767 Мар 19 14:27 audio-video.urls
-rw-r--r-- 1 proxy proxy 69970 Мар 19 14:27 avto-moto.urls
-rw-r--r-- 1 proxy proxy 2464 Мар 19 14:27 banner.pcre
-rw-r--r-- 1 proxy proxy 190103 Мар 19 14:27 banner.urls
-rw-r--r-- 1 proxy proxy 365801 Мар 19 14:27 chats.urls
-rw-r--r-- 1 proxy proxy 120069 Мар 19 14:27 dating.urls
-rw-r--r-- 1 proxy proxy 15974 Мар 19 14:27 extremism_rf.urls
-rw-r--r-- 1 proxy proxy 84 Мар 19 14:27 icq.pcre
-rw-r--r-- 1 proxy proxy 2091 Мар 19 14:27 icq.urls
-rw-r--r-- 1 proxy proxy 38913 Мар 19 14:27 jobsearch.urls
-rw-r--r-- 1 proxy proxy 76187 Мар 19 14:27 online-games.urls
-rw-r--r-- 1 proxy proxy 2007768 Мар 19 14:27 phishing.urls
-rw-r--r-- 1 proxy proxy 67717 Мар 19 14:27 photogallery.urls
drwxr-xr-x 2 proxy proxy 4096 Апр 16 09:42 porno
-rw-r--r-- 1 proxy proxy 25 Мар 19 14:27 porno.pcre
-rw-r--r-- 1 proxy proxy 7680638 Апр 15 15:17 porno.urls
-rw-r--r-- 1 proxy proxy 3997 Мар 19 14:27 socnet.urls
-rw-r--r-- 1 proxy proxy 465119 Мар 19 14:27 spyware.urls
-rw-r--r-- 1 proxy proxy 23871 Мар 19 14:27 torrents.urls
-rw-r--r-- 1 proxy proxy 29 Мар 19 14:27 virus-detect.pcre
-rw-r--r-- 1 proxy proxy 73936 Мар 19 14:27 virus-detect.urls
-rw-r--r-- 1 proxy proxy 53703 Мар 19 14:27 warez.urls
-rw-r--r-- 1 proxy proxy 66160 Мар 19 14:27 web-mail.urls
-rw-r--r-- 1 proxy proxy 895771 Мар 19 14:27 web-proxy.urls
Код: Выделить всё
root@SquidErgo:/usr/src/rejik/www# ls -l /var/log/squid3/
итого 700
-rw-r----- 1 proxy proxy 5784 Апр 16 09:02 access.log
-rw-r----- 1 proxy proxy 551440 Апр 16 06:21 access.log.1
-rw-r----- 1 proxy proxy 20 Апр 14 06:25 access.log.2.gz
-rw-r----- 1 proxy proxy 89258 Апр 16 09:15 cache.log
-rw-r----- 1 proxy proxy 47029 Апр 15 15:17 cache.log.1
-rw-r----- 1 proxy proxy 236 Апр 14 06:25 cache.log.2.gz
-rw-r--r-- 1 proxy proxy 0 Апр 16 09:09 redirector.err
-rw-r--r-- 1 proxy proxy 0 Апр 15 14:04 redirector.log
Re: negotiate kerb_auth + rejik
В конфиге должны указываться директории.
В директории должны быть файлы "urls" и/или "pcre" (посмотрите как в banlists-2.x.x.tgz из Download).
В дополнение попробуйте http://rejik.ru/index_ru_3_0.html пункт 14.
В директории должны быть файлы "urls" и/или "pcre" (посмотрите как в banlists-2.x.x.tgz из Download).
В дополнение попробуйте http://rejik.ru/index_ru_3_0.html пункт 14.
Re: negotiate kerb_auth + rejik
/usr/local/rejik3/lists/porno/porno.urls
в каталоге porno лежит porno.urls, в конфиге уазан именно каталог (в этом же каталоге лежит еще porno.pcre, правда не знаю зачем
).
по поводу запустить check-redirector:
root@SquidErgo:/usr/src/rejik/www# /usr/local/rejik3/tools/check-redirector
/usr/local/rejik3/redirector: error while loading shared libraries: libpcre.so.1: cannot open shared object file: No such file or directory
ставил pcre как здесь написано http://rx-support.net/index.php/article/pcre, видимо что-то не так сделал? p.s. я нуб.
в каталоге porno лежит porno.urls, в конфиге уазан именно каталог (в этом же каталоге лежит еще porno.pcre, правда не знаю зачем
).по поводу запустить check-redirector:
root@SquidErgo:/usr/src/rejik/www# /usr/local/rejik3/tools/check-redirector
/usr/local/rejik3/redirector: error while loading shared libraries: libpcre.so.1: cannot open shared object file: No such file or directory
Код: Выделить всё
root@SquidErgo:/usr/src/rejik/www# ls -l /usr/lib/ | grep "libpcre"
lrwxrwxrwx 1 root root 22 Мар 28 13:18 libpcreposix.so.3 -> libpcreposix.so.3.12.1
-rw-r--r-- 1 root root 5816 Авг 6 2010 libpcreposix.so.3.12.1
Последний раз редактировалось nokogerra Вт апр 16, 2013 7:57, всего редактировалось 1 раз.
Re: negotiate kerb_auth + rejik
а должны лежать urls и pcre.nokogerra писал(а):/usr/local/rejik3/lists/porno/porno.urls
в каталоге porno лежит porno.urls, в конфиге уазан именно каталог (в этом же каталоге лежит еще porno.pcre, правда не знаю зачем
переименуйте файлы или создайте симлинки.
Re: negotiate kerb_auth + rejik
root@SquidErgo:/usr/src/rejik/www# ls -l /usr/local/rejik3/lists/porno
итого 7520
-rw-r--r-- 1 proxy proxy 25 Апр 16 09:42 pcre
-rw-r--r-- 1 proxy proxy 7680638 Апр 16 09:42 urls
root@SquidErgo:/usr/src/rejik/www#
файлы переименованы, но не понял симлинки с указанием на что и вообще зачем?
итого 7520
-rw-r--r-- 1 proxy proxy 25 Апр 16 09:42 pcre
-rw-r--r-- 1 proxy proxy 7680638 Апр 16 09:42 urls
root@SquidErgo:/usr/src/rejik/www#
файлы переименованы, но не понял симлинки с указанием на что и вообще зачем?
Re: negotiate kerb_auth + rejik
Режик ожидает файлы urls и/или pcre.
У Вас файлы были под другими именами.
Решение: нжно либо переименовать файлы в ожидаемые имена или создать симлинки, типа pcre -> porno.pcre
У Вас файлы были под другими именами.
Решение: нжно либо переименовать файлы в ожидаемые имена или создать симлинки, типа pcre -> porno.pcre
Re: negotiate kerb_auth + rejik
Ну так я же переименовал, но эффекта не возымело. Парой постов выше линканул греп c /usr/lib/ и там что-то немного libpcre, так должно быть, может из-за этого не работать?
Re: negotiate kerb_auth + rejik
nokogerra писал(а):/usr/local/rejik3/lists/porno/porno.urls
по поводу запустить check-redirector:
root@SquidErgo:/usr/src/rejik/www# /usr/local/rejik3/tools/check-redirector
/usr/local/rejik3/redirector: error while loading shared libraries: libpcre.so.1: cannot open shared object file: No such file or directory
ставил pcre как здесь написано http://rx-support.net/index.php/article/pcre, видимо что-то не так сделал? p.s. я нуб.Код: Выделить всё
root@SquidErgo:/usr/src/rejik/www# ls -l /usr/lib/ | grep "libpcre" lrwxrwxrwx 1 root root 22 Мар 28 13:18 libpcreposix.so.3 -> libpcreposix.so.3.12.1 -rw-r--r-- 1 root root 5816 Авг 6 2010 libpcreposix.so.3.12.1
Re: negotiate kerb_auth + rejik
Да, проблема с поиском библиотеки pcre.
Вы режик сами компилили или бинарники где-то скачали?
Вы режик сами компилили или бинарники где-то скачали?
Re: negotiate kerb_auth + rejik
вгет с вашего сайта, разархивировал и make && make install.
Может попробовать переставить pcre? там вроде куча либов должна быть а не 1. Если попробовать переставить - по какому лучше гайду, видимо тот что я указал не комильфо.
Может попробовать переставить pcre? там вроде куча либов должна быть а не 1. Если попробовать переставить - по какому лучше гайду, видимо тот что я указал не комильфо.