Этот сайт лучше всего просматривать в современном браузере с включённым JavaScript.

Группа restricted

rick

Здравствуйте!Интересует один вопрос:

Есть пользователи которые сидят в группе Restricted.И в принципе им ничего не нужно из интернета. Только радио послушать. Сайт на радио добавил в доверенные. Сайт открывается, все нормально. Но радио не проигрывается....Я так понимаю что из-за того, что интернет для этой группы закрыт. Подскажите есть ли какое-либо решение? Или проще добавить user-ов в группу standard и резать скорость delay pool-ами?

Алексей Максимов

"Сайт на радио добавил в доверенные" - то есть?

rick

Добавил в conf_param_sites_allowed и в "priority"

Не подскажите?

Алексей Максимов

1. Покажите каким именно образом вы добавили сайт в файлы. Возможно там просто ошибка какая-то

2. Нужно смотреть лог access.log в тот момент когда пользователь пытается безуспешно получить доступ к ресурсу. Вполне возможно что в разрешённые сайты добавлен один сайт, а контент на нём ведёт на другой сайт.

rick

Спасибо за ответы!

Пользователь находится в группе US-Internet-Restricted

Сайт добавлен следующим образом: sudo nano conf_param_sites_priority.txt

# Learning sites

.radio.i.ua

.myradio.ua

.zaycev.fm

При попытке открыть любой из этих сайтов

sudo tail -f /var/log/squid3/access.log

Пользователь с ip адресом 192.168.0.25 в access.log не записывается.

Алексей Максимов

Записей в access.log нет потому, что пользователь не прошёл аутентификацию. А открываются указанные сайты без аутентификации именно потому, что он включены в conf_param_sites_priority.txt.

Вообще то, что вы затолкали сайты и в conf_param_sites_priority.txt и в conf_param_sites_allowed.txt говорит о том, что вы и не пытаетесь понять то, что было написано в статье, а действуете методом "тыка". Хотя в статье я довольно подробно объяснил зачем нужны оба эти файла.

rick

Я извиняюсь за невнимательность. Эти сайты добавил в "conf_param_sites_allowed.txt" В priority их не было. Объясните пожалуйста или ткните. Почему "юзеры" не прошли аутентификацию именно из этой группы?Хотя на них запреты работают, все правила выполняются. Они могут смотреть сайты которые находятся в allowed ? Что не так?Пардон за неопытные вопросы и заранее спс за ответы.

Алексей Максимов

Попробуйте строку:

http_access allow allowedsites localnet

заменить на такую:

http_access allow allowedsites auth localnet

Может быть после этого в access.log появится активность таких пользователей.

rick

К сожалению нет, их не видно в access.log, хотя на них все правила применяются.Пользователи из этой группы не могут ходить в интернет, но могут открыть сайты из категории "allowed".

Алексей Максимов

Их не может быть невидно в access.log. Сейчас специально проверил на своих проксях данный сценарий. В логе видно куда пользователь проходит, а куда нет (TCP_DENIED/403).

rick

Подскажите пожалуйста, каким образом можно проверить работу группы restricted. Логов в access.log нет по этим пользователям. Что можно сделать?Может хелпером как-то проверить?Не понимаю как проверить...

Алексей Максимов

Не уверен что конфигурация squid точно соответствует той, что описана здесь

...


1.http_access allow prioritysites localnet
2.http_access deny !auth
...
3.http_access allow allowedsites auth localnet
4.http_access deny RestrictedAccess all

...

Объясняю правила, но только те, которые относятся к вашей ситуации и в том порядке, в каком они идут в конфиге друг за другом и обрабатываются squid:

1. Разрешить доступ для ВСЕХ (из сегмента localnet) БЕЗ АВТОРИЗАЦИИ к сайтам, которые описаны в ACL prioritysites (файл /etc/squid3/conf_param_sites_priority.txt)

2. Запретить доступ ко всем сайтам ВСЕМ клиентам кроме тех, кто прошёл авторизацию. На этом этапе отметаются все клиенты не умеющие или не желающие проходить авторизацию на прокси.

3. Разрешить доступ для ВСЕХ (из сегмента localnet) С АВТОРИЗАЦИЕЙ к сайтам, которые описаны в ACL allowedsites (файл /etc/squid3/conf_param_sites_allowed.txt)

4. Запретить доступ ко всем сайтам пользователям из группы доступа, которая описана в ACL RestrictedAccess (/etc/squid3/conf_param_groups_restricted.txt)

Порядок правил играет ключевое значение.

Правила применяются к каждому запросу клиента по порядку с верху в низ.

Если запрос попал под какое-то правило в цепочке обработки правил, то последующие правила игнорируются.

Поймёте логику, решите все свои проблемы.

rick

У меня они идут в следующей последовательности:

И так же как в этой статье.

не совсем понятна вот эта строка http_access deny BlockedAccess all. Вы её не описали, а в статье она есть.



#
# Deny requests to certain unsafe ports
http_access deny !Safe_ports

# Deny CONNECT to other than secure SSL ports
http_access deny CONNECT !SSL_ports

# Аllow cachemgr access from localhost and localnet
http_access allow localhost manager
http_access allow localnet manager
http_access deny manager

# Allow direct access to Windows Update
http_access allow GlobalWUSites LocalWUServers

# Allow unrestricted access to prioritysites
http_access allow prioritysites localnet


# Enforce authentication, order of rules is important for authorization levels
http_access deny !auth

# Prevent access to basic auth prompt for BlockedAccess users
http_access deny BlockedAccess all
http_access allow allowedsites auth localnet
http_access deny RestrictedAccess all
http_access allow AnonymousAccess auth localnet
http_access allow FullAccess auth localnet
http_access deny blockedsites
http_access allow StandardAccess auth localnet

# And finally deny all other access to this proxy
http_access deny all

Алексей Максимов

Про BlockedAccess я уже писал в комментариях к статье, на которую вам же приведена ссылка.

rick

Извиняюсь за невнимательность, они у меня просто сохранены в Evernote в упрощенном виде и там комментарий нет. Сейчас почитаю.

Группа Restricted не отрабатывает, бьюсь уже с ней долго..Спасибо за ответ!