Этот сайт лучше всего просматривать в современном браузере с включённым JavaScript.

прилепить dns к AD группе средствами squid3

gek

Добрый день! Настроил proxy по мануалу (спасибо за него большое) с несколько более простой иерархией групп пользователей: первая группа FullAccess вторая группа StandartAccess. Задумка тоже простая - пользователей из группы StandartAccess выпускать в интернет через какой-нибудь скайднс, а пользователей FullAccess через 8.8.8.8 Соответственно своему плоскому уму я придумал такое плоское решение - прописать в squid.conf dns_nameservers x.x.x.x 8.8.8.8, и с помощью acl ограничить доступ к 8.8.8.8 группе StandartAccess и к x.x.x.x группе FullAccess.

acl auth proxy_auth REQUIRED

acl FullAccess external memberof ".../conf_param_groups_full.txt"

acl StandartAccess external memberof ".../conf_param_groups_std.txt"

acl skydns dst x.x.x.x

http_access allow StandartAccess auth localnet

http_access deny skydns

http_access allow FullAccess auth localnet

Ну логика простая - разрешить StandartAccess все адреса, запретить адрес x.x.x.x, разрешить FullAccess все остальные адреса.

Не работает. Потому что squid не обрабатывает UDP/TCP 53 ? Потому что squid вообще DNS через себя никак не пропускает? Почему?

Алексей Максимов

Не совсем Вас понял. Наверно имеется в виду, что у Вас 2 Интернет-провайдера и нужно разные категории пользователей отправлять на разные интерфейсы (у каждого провайдера свой выделенный интерфейс) ?

gek

2 интернет провайдера имеется, Вы правы, но второй выступает в качестве failover. Также имеется проплаченный sk*dns (фильтрация интернет-контента), и необходимость пускать vip пользователей в обход его, а простых пользователей через него. Таким образом, простые пользователи должны резолвить dns-имена через один dns-server с фильтрацией, а "vip" пользователи - через другой, без фильтрации.

Так вот, приведенный мной выше набор acl и http_access работает, но не так как я хотел. Адрес x.x.x.x блокируется, если обращаться к нему из браузера, но dns-запросы он резолвит всеравно. Как вот ограничить доступ к x.x.x.x только для определенной AD группы? Либо принудительно назначить DNS 8.8.8.8 для AD группы?

Алексей Максимов

Ага, теперь понятно. Как вариант можно предложить организовать на прокси-сервере 2 отдельных экземпляра Squid, каждый из которых будет использовать свой squid.conf (напр. squid1.conf и squid2.conf). Настройки двух конфигурационных файлов не должны пересекаться, то есть у каждого экземпляра Squid будет свой pid-файл и отдельный порт TCP-прослушивателя. Конфигурационный файл для обычных пользователей (к которым должна применяться фильтрация) будет содержать директиву dns_nameservers = <IP SkyDNS>, а конфигурационный файл для VIP-пользователей будет содержать директиву dns_nameservers = 8.8.8.8

gek

Спасибо за Ваш ответ. Я думал о двух серверах, правда мне показалось что этот вариант нельзя назвать гибким, здесь две головы врядли будут лучше одной :) Разве что попытаться настроить каким-то образом иерархию между ними, чтобы определенные запросы перенаправлялись на дочерний squid, но это требует много времени я полагаю. Скажите пожалуйста, а как у Вас осуществляется контентная фильтрация? Только лишь черные и белые списки самого squid? Будет ли например, dansguardian работать поверх kerberos/ntlm аутентификации?

Алексей Максимов

Я имел ввиду не разные прокси серверы Squid в отношениях дочерний-родительский, а раздельные процессы Squid на одном прокси-сервере. Фильтрация у нас только явно запрещённых ресурсов (например по письмам Роскомнадзора), остальное на совести пользователей, за которой пристально наблюдает служба безопасности :). Да и к тому же надеяться на какие-то автоматизированные системы категоризации и фильтрации сайтов в эпоху, когда эти самые сайты плодятся и размножаются слишком интенсивно - дело сомнительное. По поводу dansguardian ничего сказать не могу, не юзал.