В правилах блокирования указаны разные секции, среди них есть
<IP> и <ICQ>
В секции правилах блокирования ICQ указаны сервисы из листа DBL, тут проблем нет, но если в секции <IP> не указан пользователь, который добавлен в исключения ICQ, то его не пускает, срабатывает правило запрета доступа по IP, хотя он в исключениях по ICQ
<IP>
ban_dir /var/log/squid/banlists/ip
allow_ip 192.168.1.2
url http://127.0.0.1/ban/ip.html
<ICQ>
ban_dir /var/log/squid/banlists/icq
allow_ip 192.168.1.2
allow_ip 192.168.1.4
allow_ip 192.168.1.10
url http://127.0.0.1/ban/icq.php
В этом случае по ICQ соединится только пользователь с адреса 192.168.1.2, а 192.168.1.4 и 192.168.1.10 нет.
В правилах IP
# cat /var/log/squid/banlists/ip/pcre
(^|\:\/\/)\d+\.\d+\.\d+\.\d+
В качестве клиента используется QIP ( http://qip.ru )
Есть решение такой проблемы? Не хочется открывать доступ в секции
IP всем, кто пользуется ICQ.
Спасибо.
PS. Прочитал на форуме, о подобной ситуации, где был совет добавить
(^|\:\/\/)205\.188\.\d+\.\d+
(^|\:\/\/)64\.12\.\d+\.\d+
(^|\:\/\/)64\.236\.\d+\.\d+
в список по allow_url, но тогда доступ по аське будет глобальным (раз секция действует глобально на конфиг), а мне не хотелось бы давать всем доступ по ICQ. Можно ли как-то решить это?
Если я добавлю глобально, но не укажу пользователя в секции <ICQ>, то он всё-равно сможет соединиться, если просто введёт IP-адрес сервера авторизации "аськи". Как же быть?
Блокирование ICQ
А почему так происходит?
В настройках клиента для подключения к серверу ICQ
указан не IP-адрес, а login.icq.com
Я просто не хотел указывать в исключениях эти IP-адреса глобально,
тогда каждый станет ломиться в "аську" в ущерб работе
Может как-то порядок просмотра правил запрета сделать в будущем релизе? Или ещё что-то.. Нуждаюсь в совете.
В настройках клиента для подключения к серверу ICQ
указан не IP-адрес, а login.icq.com
Я просто не хотел указывать в исключениях эти IP-адреса глобально,
тогда каждый станет ломиться в "аську" в ущерб работе
Может как-то порядок просмотра правил запрета сделать в будущем релизе? Или ещё что-то.. Нуждаюсь в совете.
Посмотрите логи сквида, как аська работает, что не прописывай, все равно по ip идет.
В будущем релизе будет, только когда будет тот релиз...
Я предлагаю не указать исключения глобально, а поправить pcre правило (^|\:\/\/)\d+\.\d+\.\d+\.\d+ так, что бы оно не действовало на подсетки аськи. это возможно, почитайте документацию по pcre правилам. Но надо разобраться как написать, с чем помочь сейчас не смогу, времени нет...
В будущем релизе будет, только когда будет тот релиз...
Я предлагаю не указать исключения глобально, а поправить pcre правило (^|\:\/\/)\d+\.\d+\.\d+\.\d+ так, что бы оно не действовало на подсетки аськи. это возможно, почитайте документацию по pcre правилам. Но надо разобраться как написать, с чем помочь сейчас не смогу, времени нет...