Проблемка со squid

Аватар пользователя vic

есть что-то вроде
...........
acl whitelist url_regex "/etc/squid/squidblock/whitelist.acl"
http_access allow whitelist users
..........
http_access deny all

где whitelist список ключевых слов которые содержаться в адресах сайтов, разрешенных для юзеров.
но проблема в том, что можно качать файлы и заходить на странички не из этого списка следующим образом
_http://site.com/
_http://site.com/file.zip?test=whitelist_keyword
где whitelist_keyword ключевое слово, а site.com естественно не находится в whitelist.acl

как это побороть???

:-? :-? :-?

Аватар пользователя sergeil

Re: проблемка со squid

Цитата:
vic пишет:
есть что-то вроде
...........
acl whitelist url_regex "/etc/squid/squidblock/whitelist.acl"
http_access allow whitelist users
..........
http_access deny all

где whitelist список ключевых слов которые содержаться в адресах сайтов, разрешенных для юзеров.
но проблема в том, что можно качать файлы и заходить на странички не из этого списка следующим образом
_http://site.com/
_http://site.com/file.zip?test=whitelist_keyword
где whitelist_keyword ключевое слово, а site.com естественно не находится в whitelist.acl

как это побороть???

:-? :-? :-?

IMHO, это злостный обход защиты... При персональной авторизации login/password и хорошей системе статистики (например SARG), такой умник может быть изловлен и строго наказан (лишение интернет, денежно, прочее ...). То есть, такие действия следует рассматривать как неавторизованный доступ...

Аватар пользователя vic

Re: проблемка со squid

Цитата:
злостный обход защиты...

Катается от смеха :good: что сказать. где тонко, там и рвётся.
да, но вот как в корне пресечь такую возможность? и притом лишать сотрудников инета нельзя, они через него работают... :mda:
хорошо что они еще до этого не додумались, но не надеяться же лишь на это...
люди, подкиньте какую-нить идею начинающему! Улыбка

Аватар пользователя sergeil

Re: проблемка со squid

Цитата:
vic пишет:

Цитата:
злостный обход защиты...

Катается от смеха :good: что сказать. где тонко, там и рвётся.
да, но вот как в корне пресечь такую возможность? и притом лишать сотрудников инета нельзя, они через него работают... :mda:
хорошо что они еще до этого не додумались, но не надеяться же лишь на это...
люди, подкиньте какую-нить идею начинающему! Улыбка

Сотрудников, которые работают, трогать не нужно... Как правило, они не лезут куда не просят... А тех, кто лезет, нужно наказывать... Притом, строго...

Давай рассмотрим другую ситуацию... Ты заметил, что какой-то умник из твоей LAN пытается ломать пароль на твоем серваке... Ты будешь умощнять защиту или оторешь красавцу ... ноги?

По поводу squid (быстрое решение). Считаешь весь неавторизованно полученный траффик, преоставляешь начальнику логи и сумму убытков. Я думаю, что после этого парень:
1. Платит за трафик...
2. Остается без премии...
3. Получает прочие взыскания...

Пользователи должны знать, что журналы ведутся и что весь потребленный траффик можно точно распределить. И что журналы хранятся достаточно долго, что-бы злоупотребление было выявлено и наказано...

Аватар пользователя vic

Re: проблемка со squid

и на том спасибо. *пойду отрывать ноги* Катается от смеха

Аватар пользователя woodoo

Re: проблемка со squid

Цитата:
vic пишет:
и на том спасибо. *пойду отрывать ноги* Катается от смеха

Как прописаны сайты? Пример. )

Аватар пользователя vic

Re: проблемка со squid

типа так
^.*asplinux.*$

но работает и просто как
asplinux

Аватар пользователя sergeil

Re: проблемка со squid

Цитата:
vic пишет:
типа так
^.*asplinux.*$

но работает и просто как
asplinux

А если так:
https://asplinux.net

или еще строже?
https://asplinux.net/forum

То есть, загнать в конкретное поддерево конкретного сайта и пусть там сидит...

Аватар пользователя woodoo

Re: проблемка со squid

Цитата:
А если так:
https://asplinux.net

-1 Катается от смеха

Аватар пользователя sergeil

Re: проблемка со squid

Цитата:
woodoo пишет:

Цитата:
А если так:
https://asplinux.net

-1 Катается от смеха

Предложите лучше... или чем так плохо?

Аватар пользователя woodoo

Re: проблемка со squid

Цитата:
sergeil пишет:

Цитата:
А если так:
https://asplinux.net

-1 Катается от смеха

Предложите лучше... или чем так плохо?

Мои извинения. "По инерции" спутал с... deny-листом. :mda:
Главное - идея!
;-)

Аватар пользователя woodoo

Re: проблемка со squid

Об идеях, ага.
1. Например, создать deny-лист с большим приоритетом (более ранним включением), нежели allow-лист.
2. Второй вопрос - почему у меня это не срабатывает. Хожу через прозрачный прокс. Связано с ресольвингом через прокс?

Аватар пользователя vic

Re: проблемка со squid

всё оказалось очень просто
пишем так
^https://asplinux.net
и все идут курить... Катается от смеха
вобщем всем спасибо :thanks:
тему можно считать закрытой

Аватар пользователя sergeil

Re: проблемка со squid

Цитата:
vic пишет:
^https://asplinux.net
и все идут курить... Катается от смеха
вобщем всем спасибо

И Вам спасибо... Польезная, должен заметить, информация... Я тоже попользуюсь...
Катается от смеха

RSS-материал