Обсуждение настройки и работы сервисов, резервирования, сетевых настроек и вопросов безопасности ОС.
Модераторы: SLEDopit , Модераторы разделов
enalesck
Сообщения: 428
Сообщение enalesck 17.09.2012 22:19
Настраиваю фильтрацию сайтов через Squid и DansGuardian. Если порт 3128 будет открытым то пользователи смогут обойти блокировку.
Пробовал заблокировать как
сдесь , но не помогло:
ufw default DENY
ufw ALLOW 8080
ufw enable
ufw DENY 3128
/etc/squid3/squid.conf:
Код: Выделить всё
http_port 3128
icp_port 0
cache_mem 100 MB
maximum_object_size 8192 KB
minimum_object_size 4 KB
cache_dir ufs /tmp/squid3-cache 5120 16 256
cache_swap_high 98
cache_swap_low 90
access_log /var/log/squid3/access.log
cache_log /dev/null
cache_store_log /dev/null
emulate_httpd_log off
logfile_rotate 12
error_directory /usr/share/squid3/errors/Russian-1251
positive_dns_ttl 5 hours
negative_dns_ttl 10 minutes
auth_param basic program /usr/lib/squid3/ncsa_auth /etc/squid3/users
auth_param basic children 15
authenticate_ttl 10 hour
auth_param basic realm Web-proxy
acl god proxy_auth src "/etc/squid3/god"
acl users proxy_auth REQUIRED
acl speed url_regex "/etc/squid3/speed-url"
acl all-ports port 80 443
acl connect method CONNECT
acl bad proxy_auth src "/etc/squid3/speed-url"
delay_pools 2
delay_class 1 2
delay_access 1 deny god
delay_access 1 allow speed
delay_parameters 1 1000/1000 1000/1000
delay_class 2 2
delay_access 2 allow users
delay_access 2 deny all
delay_parameters 2 -1/-1 -1/-1
http_access allow users all-ports
http_access allow god all-ports
http_access deny all
Ленивая Бестолочь
Бывший модератор
Сообщения: 2760ОС: Debian; gentoo
Сообщение Ленивая Бестолочь 18.09.2012 02:35
enalesck писал(а): ↑ 17.09.2012 22:19
Если порт 3128 будет открытым то пользователи смогут обойти блокировку.
ээм. я извиняюсь, или я плохо понял, или вы как-то не до конца сформулировали.
в чём именно проблема - кто, как и куда сможет подключиться?
Солнце садилось в море, а люди с неоконченным высшим образованием выбегали оттуда, думая, что море закипит.
pelmen
Сообщения: 1268ОС: debian
Сообщение pelmen 18.09.2012 11:01
По-моему тут всё понятно:
человек хочет заблокировать сайты, используя блокировки в прокси сервере. Дополнительно он хочет заблокировать доступ к прокси серверу, чтобы уж наверняка
Если серьезно: кажется, что ТС немного не разбирается в теме
enalesck
Сообщения: 428
Сообщение enalesck 18.09.2012 13:25
DansGuardian подключается к порту Squid 3128 а клиенты должны подключатся только к порту DansGuardian 8080. Если клиент подключится напрямую к 3128 то обойдет блокировку. Возможно ли запретить подключаться людям и интернета к 3128 если Squid и DansGuardian работают на одном компьютере ?
Bizdelnick
Модератор
Сообщения: 21459Статус: nulla salus belloОС: Debian GNU/Linux
Сообщение Bizdelnick 18.09.2012 14:29
Пишите правильно:
в консоли вк у́пе (с чем-либо) в о бщемоо бще в течение (часа) о кню ансо у молчанию приемле мом ао ватьф ик
pelmen
Сообщения: 1268ОС: debian
Сообщение pelmen 18.09.2012 14:45
Либо файерволом закрыть внешние соединения на 3128 (но это уже запасной вариант, предыдущий если сработает, то он конечно лучше)
enalesck
Сообщения: 428
Сообщение enalesck 18.09.2012 15:57
Bizdelnick писал(а): ↑ 18.09.2012 14:29
Логично попробовать
Получилось, спасибо.
