关于squid需要注意的一些问题及不足

zbyue

这里面就是一些IP地址和MAC地址哟！

一行一条就可以了吗！

normal_ip:
172.16.16.1
172.16.16.2

normal_mac:
00:00:00:00:00:00
00:00:00:00:00:00

就这样罗！

关于在Iptables 中要加入nat控制语句吗？这个简单的很，网上到处有，我根据我们公司不同的情况面改变了一下了而已！

实现原理你就要看squid的了：
1、限制部分域名和IP不可以被浏览。
2、限制一些扩展名的文件被下载。
3、限制在MAC列表中没有的IP。
4、限制在IP列表中没有MAC地址。
5、打开并允许用户论证，而且受到MAC地址列的约束上网！
这就样了！

zbyue

acl mmxfile urlpath_regex -i \.mp3$ \.avi$ \.eml$ \.rm$
acl denyip dstdomain .tencent.com .tencent.com.cn
acl allowed_ip src "/etc/squid/normal_ip"
acl allowed_mac arp "/etc/squid/normal_mac"
http_access deny denyip
http_access deny mmxfile
http_access deny !allowed_mac
http_access deny !allowed_ip
http_access allow auth_user allowed_mac

platinum

请教zbyue
你前面的配置里面有这样的，后面这个却没有了，我有些诧异

1. 
   
2. http_access deny denyip
   
3. http_access deny mmxfile
   
4. http_access deny !allowed_mac
   
5. http_access deny !allowed_ip
   
6. http_access allow auth_user allowed_mac
   
7. http_access allow all
   

复制代码

为什么前面deny以后又allow，最后又allow all呢？

zbyue

http_access deny !allowed_mac
http_access deny !allowed_ip
http_access allow auth_user allowed_mac

在allowed_mac列表中有很多MAC 地址，http_access deny !allowed_mac 是指凡是在allowed_mac列表中不存在的全部禁。


在allowed_IP列表中有很多IP 地址，http_access deny !allowed_IP 是指凡是在allowed_ip列表中不存在的全部禁。

http_access allow allowed_mac 是指允许存在allowed_mac中的mac地址通过，关于http_access allow all的意思是除了
上面的deny 和 allow的外全部可以通过（具体我也不知道，但是这样用没错！）。

DreamJiang

上樓的朋友，你的“透明代理”具體體現在哪裡？這是“透明代理”嗎？請指教！

zbyue

这是透明代理，透明代理体现在IPtables nat上面，然后将数据80port ->; squid 3128 port上。

DreamJiang

我原來利用"iptables+squid"做過“透明代理”，能夠正常訪問internet,但是在這種情況下無法實現用戶認證（注：在“非透明代理”中是可以實現用戶認證的）。所以，我只是想請問你的squid.conf中哪條語句能實現透明代理的用戶認證？是http_access allow auth_user allowed_mac 嗎？如果將你的語句改寫成如下的樣子，請問還能實現用戶認證嗎（針對“透明代理”）？

http_access allow auth_user
http_access deny denyip
http_access deny mmxfile
http_access deny !allowed_mac
http_access deny !allowed_ip
http_access allow all

據squid中的FAQ中介紹好象在透明代理中是實現不了用戶認證功能的。

zbyue

写道:

>;zbyue，您好！
>;
>;        现在我的情况是这样：
>;
>;我用squid做代理，现在代理已经成功，但是限制上网方面还有些不明白，望指点一下：
>;一、公司分为192.168.0.1/192.168.1.1/192.168.2.1三个网段，其中要求，192.168.0.1这个网段一定能够上固定的网址:http://www.163.com，就比如上这一个?..胛矢萌绾巫隽耍?/a>;
>;二、如果用MAC来控制上网的方法可否一并告之？
>;三、acl allowedmac arp "/etc/squid/maclist.txt"这种方法可以将mac做在一个文件中，那各位可以帮我想想办法也把上面这些要求做在一个文件中吗？谢谢。
>;       麻烦您了，谢谢。
>;　　　　　　　　致
>;礼！
>;                                
>;
关于第一个问题是很容易实现的，你先装www.163.com放入一个文件中，然后
acl denyip dstdomain "//file.txt"
http_access deny !denyip
就可以实现，但是如果你只允许一些IP访问的话也应该是没有问题的，但放这些东西是要有顺序的，不能没有顺序，就象用户
认证一样有的人做不出来有的人做的出来，就是一个放http_access的顺序的问题，明白吗？但关于这个问题也可以用iptables
来控制也是很好的方法哟！
关于第二个问题，我在贴子上已经搞的很清楚的了。

关于第三个问题是可以的，我在回答第一个问题时已经解答了你！

--
美好的祝愿......

FAQ说做不到，实际上在2.5以后的版本就已经可以了，但http_access语句放的时候顺序是最重要的。

platinum

原帖由 "zbyue"]FAQ说做不到，实际上在2.5以后的版本就已经可以了，但http_access语句放的时候顺序是最重要的。[/quote 发表：

我用的是squid-2.5.9，自行编译安装
在不用透明代理的时候，在IE里面指定代理地址，可以出现认证框
如果用iptables直接指向3128，浏览时会直接出现一个squid的错误页面
[quote]
ERROR
The requested URL could not be retrieved

--------------------------------------------------------------------------------

While trying to retrieve the URL: http://www.163.com/

The following error was encountered:

Access Denied.
Access control configuration prevents your request from being allowed at this time. Please contact your service provider if you feel this is incorrect.

Your cache administrator is webmaster.



--------------------------------------------------------------------------------

Generated Wed, 27 Apr 2005 23:45:08 GMT by PT-Proxy (squid/2.5.STABLE9)

我又重新分析了你的规则

1. 
   
2. http_access deny denyip
   
3. http_access deny mmxfile
   
4. http_access deny !allowed_mac
   
5. http_access deny !allowed_ip
   
6. http_access allow auth_user allowed_mac
   
7. http_access allow all
   

复制代码

你如果删掉最后一个allow all，是不是透明代理就无效了？
你现在的状态是不是虽然能够透明代理，但是不能出现认证框，或者认证不能通过？
你试试去掉allow all是什么情况？

platinum

对了zbyue，你说实现了透明方式的认证，麻烦你把IP和端口告诉我，我在我的网关上DNAT过去，把TCP/80转到你的squid上

如果我访问网页，出现了密码提示框，且可以进行认证，那么就证明没问题了

说实话，我对你现在说的这个还持有怀疑态度，我想亲眼看一下什么样子

PS: 我上面那个你试一下，我认为最后一句allow all存在逻辑漏洞