• Willkommen im Linux Club - dem deutschsprachigen Supportforum für GNU/Linux. Registriere dich kostenlos, um alle Inhalte zu sehen und Fragen zu stellen.

[gelöst] squid newbie benötigt hilfe ;-)

dmsman

Newbie
Hallo zusammen,

ich bin ein Einsteiger in Sachen Squid-Proxy-Adminstration etc und jetzt hab ich folgende Frage. Ich hab in meinem Lan vor Langem einen Linuxrechner mit einem Squidproxy hochgezogen Squid /2.4 Stable 7 und möchte den jetzt noch genauer einstellen.

bisher dürfen alle Clients in meinem Lan fast uneingeschränkt aufs Internet zu greifen. Jetzt möchte ich ihn so konfigurieren dass die Adminclients in meinem Lan alles dürfen und die anderen Clients durch eine "blacklist" eingeschränkt sind. Jetzt hängen aber bei mir die Adminclients im selben Netz wie die "Normclients"...
wie kann ich dies durch ACL's defnieren?
Auszüge meiner bisherigen squid.conf

acl norm_hosts src xxx.x.x.0/255.255.255.0
acl SSL_ports 443 563
acl Safe_ports port 80
etc......
#Pornoseiten filtern
acl notporn_dst dstdomain "/etc/squid/acl_files/domains.allow"
acl notporn url_regex "/etc/squid/acl_files/domains.exclude"
acl porno srcdomain "/etc/squid/acl_files/domains.deny"

#own rules
http_access deny porno

http_access allow localhost
http_access allow norm_hosts

#for all others
http_access deny all

wie kann ich jetzt speziell für bestimmte IP-Adressen (Adminclients) uneingeschränkten Zugriff definieren und für die anderen soll die domain.deny greifen?
danke für eure Unterstützung
Gruß
dmsman
 
OP
D

dmsman

Newbie
Hallo oc2pus,
ich danke dir für den Link doch ganz hat er mir auch nicht geholfen...
ich poste jetzt mal wie ich es mir dachte das es funktioniert!

acl normhosts src "/etc/squid/normhosts.txt"
acl adminhosts src "/etc/squid/normhosts.txt"

acl porn "/etc/squid/acl_files/blacklist/porn/domains.deny"
.....warez /warez/domains.deny
etc
acl adminurls "/etc/squid/acl_files/domains.allow"

http_access deny porn
http_access deny warez
http_access allow localhost
http_access allow adminurls #wie geb ich hier an nur für die adminhosts??

http_access deny all
...
wie geb ich oben an dass die adminhosts auf die adminurls zugreifen dürfen und nur die adminhosts?
 

Mister Magu

Newbie
Hallo,

das dürfte normal kein Problem darstellen.


ganz einfach nur die Clients die zugriff haben sollen sukzessive eintragen und gut, ist jedenfalls die einfachste Lösung!!

acl our_networks src 192.168.1.1/24
acl our_networks src 192.168.1.2/24
acl our_networks src 192.168.1.n/24

diese Zeilen einfach bis zum Clienten n weiterführen!
Das ZECHEN n bloß nicht verwenden, n steht in der Mathematik für Variable also 1-n in Ihrem Fall!

danach auch bloß nicht vergessen die Zeilen direkt darunter auch auf allow zu setzen.

http_access allow our_networks
http_access allow localhost


Also, viel glück

MM
 

guzmamb6

Member
Hallo, hier mein erster Beitrag:
Ich habe mal deinen Code genommen und angepasst:
Du must dir die Filterung wie ein Netz vorstellen, sobald eine Regel passt wird diese angewendet und die Filterrung wird beendet:
Von oben "fällt" die Anforderung "Host X will Seite Y haben" rein.
------------
Code:
# Hier die IPs normalen Hosts
acl norm_hosts src xxx.x.x.0/255.255.255.0
# Anschließend die IPs Adminhosts
acl admin_hosts src xxx.xxx.xxx.0/255.255.255.0
# etc......

#Verbotende/Erlaubte Seiten definieren
acl notporn_dst dstdomain "/etc/squid/acl_files/domains.allow"
acl notporn url_regex "/etc/squid/acl_files/domains.exclude"
acl porno srcdomain "/etc/squid/acl_files/domains.deny"

#Hier die Filterregeln:
#Adminhosts dürfen zugreifen
http_access allow admin_hosts
#Normale Hosts werden folgendermassen eingeschränkt
http_access deny porno
http_access deny <weitere verbotene Seiten>
# etc
# Erlaubte Seiten:
http_access allow http_access allow norm_hosts
#Der Rest ist verboten
http_access deny all
#etc
----------------------
Ich kann noch viiiieeeel mehr schreiben (ich bin Hauptverantwortlicher für Squid und SqsuidGuard in einer Einrichtung mit vielen Kunden) ich will aber nicht weiter verwirren.
D.h. Fragen kann ich sicherlich ausreichend beantworten. :wink:

Michael
 
Oben