Squid time acl

Web, mail, IRC, IM, hálózatok

Sziasztok!

Az időszak szerinti hozzáférés szabályzás nem megy.
http://www.linuxhomenetworking.com/wiki/index.php/Quick_HOWTO_:_Ch32_:_…

Ez alapján próbáltam, de eredmény nélkül.
De máshol is kerestem "élő" példákban.

Kérdés milyen sorrend legyen
(jól gondolom hogy, amit egyszer megtiltunk, azt már
nem lehet engedélyezni?) Bár így se jártam sikerrel. :)

acl localnet src
acl ido time ido_tart
acl gep src localneről_ipcím
http_acces deny gep ido
http_access allow localnet

Így nem megy, pontosabban a tiltas nem megy. :)

Van valakinek egy bevált receptje?

Köszi a segítséget!

  • 2146 megtekintés

( sany | 2009. 08. 17., h – 16:31 )

ez egy szerkesztett téma, ezért van az up. :)

( muszi v | 2009. 08. 17., h – 17:15 )

Munkaidoben csak az engedelyezett oldalakat lehet nezni, munkaidon kivul barmit: 

acl munkaido time MTWH 07:30-16:40
acl munkaido time F 07:30-14:10

acl engedelyezett_oldalak dstdomain domain1.hu example.com

http_access allow munkaido engedelyezett_oldalak
http_access allow !munkaido all

(fejbol irtam, de sok helyen hasznalom, szoval akar jo is lehet :-)

( sany | 2009. 09. 30., sze – 21:02 )

Hali, újabb problémába botlottam.

Az időszakos korlátozás műxik. Köszi a segítséget.

Viszont kellene a tiltott(tanulási) időben néhány cím elérhetőségét
biztosítani, más címeket nem!

Amit próbáltam: /etc/squid/ -ban egy fájlt lértehozni ebben a kérdéses címek aztán ezt engedélyezni, de az idő korlát érvényesül.

Pedig sorrendben előre vettem az új szabályt.

Tud valaki segíteni?

Köszi, de így sem nem megy
Úgy (is) prógbáltam és az idő access után is, de nem engedi.
Csak ha kikapcsolom az idő korlátozást.
De akkor meg mindent át enged.

Elvileg ha sorban értékeli ki a szabályokat( a doksija szerint), akkor az idő korlát után az engedélyezett oldalakat át kellene engednie.

Javaslom, hogy a http_access sorokat és a mindenképpen elérhető címeket megadó ACL-t másold ide. Mennie kellene a hnsz2002 által írtak szerint (allow az idő szerinti tiltás előtt).

És az sem biztos, hogy ezzel van a baj. Ugyanis ha végül muszi javaslatát fogadtad meg (allow all a végén), és azt írod, hogy ha az idő szerinti tiltást kiveszed, akkor átengedi, utalhat arra is, hogy nem megfelelő az URL-eket, domaineket tartalmazó file tartalma (nem felel meg az ACL típusának), így a végső allow all szabályra illeszkedik minden.

Tehát ismét: néhány konkrétumot légy szíves adni.

Ez van benne.

acl gep1 src 192.168.x.x

# korlatlanul elerheto
acl tanul url_regex -i "/etc/squid/tanul"

# ido szabalyzas
acl szunet time F S A 00:00-05:59
acl lehet time M T W H 06:00-13:59
acl szunet time M T W H 14:00-19:59
acl lehet time M T W H 20:00-21:59
acl szunet time M T W H 22:00-23:59
acl lehet time F S A 06:00-23:59

### gep1 csak megadott idoben netezik!
http_access deny gep1 szunet
http_access allow gep1 lehet

# tanuláshoz szükséges oldalakat elérheti.
http_access allow gep1 tanul

/etc/squid/tanul
Ebben a fájlban soronként az erérhető domainek(oldalak)
Van abszolút tiltó lista is, az műxik ugyan így.

És miképpen érne a feldolgozás az allow gep1 tanul sorig? Így sehogy. Már előtte eldöntöd: vagy engeded vagy tiltod. Először kellene engedélyezni a tanul ACL-t, aztán tiltani a szunet alapján.

Hétfő: 


mehet:       ,06-14,     ,20-22,
szunet: 00-06,     ,14-20,     ,22-24

Például így jobb lenne:


# tanuláshoz szükséges oldalakat elérheti.
http_access allow gep1 tanul

### gep1 csak megadott idoben netezik!
http_access deny  gep1 szunet
http_access allow gep1

Az utolsó sor helyett természetesen jó az allow all is.

Hát nem tudom mit csinálsz, én most megnéztem, nekem működik...

acl our_networks src 192.168.33.0/24
acl vpn_networks src 10.8.0.0/24

acl idoteszt time F 21:00-21:13
acl idoteszt2 dstdomain hup.hu

http_access allow idoteszt2
http_access deny idoteszt

http_access allow our_networks
http_access allow vpn_networks
http_access allow localhost

--
Discover It - Have a lot of fun!

( sany | 2009. 10. 02., p – 22:30 )

Asszem leesett.
Megcserélem a deny/allow sorokat,
Majd jelentkezem. :)

( sany | 2009. 10. 02., p – 22:54 )

Köszi a segítséget!(szem felnyitást)

Így múködik.

http_access allow gep1 tanul
http_access allow gep1 lehet
http_access deny gep1 szunet