Squid и правила файервола
-
Добрый день.
Установлено pfsense2.1+squid3(не прозрачный, порт 3128)+squidguard3.
Для того, чтобы пользователи ходили через прокси, создано правило:источник - любой, порт - любой –------ назначение - LanNet, порт - любой.
Я так понял, что данное правило выпускает пользователей в инет по порту 3128
Проверяю работу icq, подключение не проходит.
Так понимаю, что все остальные сервисы(icq, pop, smtp и прочие протоколы) необходимо пустить через NAT.
Создаю след. правило в закладке LAN:источник - LanNet, порт - любой –------ назначение - любое, порт - 5190
Подключение проходит. Корректно ли данное правило?
И второй вопрос по squidguard.
В groups acl создаю две группы - admins и users, в поле client указываю ip адреса, кто к какой группе относится, в target rules указываю категории на блокировку.
Все работает все прекрасно, но встала необходимость блокировать скачку и просмотр медиаконтента.
В Target categories, создаю два правила:blockmusic, рег. выражения - (..(aac|aiff|aob|asf|aud|bin|bwg|cdr|flac|iff|m3u|m3u8|m4a|m4p|m4r|mod|mp3|mpa|msv|mts|nkc|ogg|ps|wav|wm|wma))
blockvideo, рег. выражения - (..(3g2|3gp|3gp2|3gpp|3gpp2|asf|avi|bin|dat|f4v|flv|gtp|m4v|mod|mov|mp4|mpeg|mpg|mts|rm|spl|srt|swf|vob|wm|wmv))Группе admins указываю в target rules, блокировать blockvideo и еще несколько категорий.
Группе users указываю в target rules, блокировать blockvideo, blockmusic и еще несколько категорий.
Все сохраняю, применяю.
И вот для группы админов не блокируется просмотр видео(проверял на youtube)
Где может быть ошибка или что не настроил? -
Для того, чтобы пользователи ходили через прокси, создано правило:
источник - любой, порт - любой –------ назначение - LanNet, порт - любой.Не нужно ничего создавать, для прокси всё уже сделано разработчиками.
Я так понял, что данное правило выпускает пользователей в инет по порту 3128
Проверяю работу icq, подключение не проходит.
Так понимаю, что все остальные сервисы(icq, pop, smtp и прочие протоколы) необходимо пустить через NAT.
Создаю след. правило в закладке LAN:источник - LanNet, порт - любой –------ назначение - любое, порт - 5190
В принципе да, но squid можно настроить и на использование SOCKS для других протоколов (если есть смысл)
Для ICQ есть свой прокси-пакет IMSpectorГруппе admins указываю в target rules, блокировать blockvideo и еще несколько категорий.
Группе users указываю в target rules, блокировать blockvideo, blockmusic и еще несколько категорий.
Все сохраняю, применяю.
И вот для группы админов не блокируется просмотр видео(проверял на youtube)
Где может быть ошибка или что не настроил?Ютуб - это потоковое видео, никак не файл (по его расширению). Нужно блокировать URL Ютуба или его часть, отвечающую за передачу контента.
-
Установил IMspector, icq тоже заработал.
Но все таки, можно ли обойтись таким правилом без IMspector? и правильное ли оно с точки зрения корректности?
источник - LanNet, порт - любой –------ назначение - любое, порт - 5190На основе этого правила, сделал правила для pop(110) и smtp(25), почта тоже стала приниматься и отсылаться, до этого происходила блокировка.
Ютуб - это потоковое видео, никак не файл (по его расширению)
Когда проигрываю какой либо ролик, даже не обязательно на ютубе, в логах squidguard вижу что идёт обращение к файлу с расширением swf, avi и прочее, что связано с видео.
Все таки, как заставить работать рег. выражения? -
Установил IMspector, icq тоже заработал.
Но все таки, можно ли обойтись таким правилом без IMspector? и правильное ли оно с точки зрения корректности?
источник - LanNet, порт - любой –------ назначение - любое, порт - 5190На основе этого правила, сделал правила для pop(110) и smtp(25), почта тоже стала приниматься и отсылаться, до этого происходила блокировка.
Ютуб - это потоковое видео, никак не файл (по его расширению)
Когда проигрываю какой либо ролик, даже не обязательно на ютубе, в логах squidguard вижу что идёт обращение к файлу с расширением swf, avi и прочее, что связано с видео.
Все таки, как заставить работать рег. выражения?1. Да, конечно можно. Просто речь была о прокси, можно и без.
2. SWF это флеш как таковой вообще. Для Ютуба тогда лучше блокировать его вместе с частью URL. Посмотрите регулярные выражения здесь http://iskatel.hut4.ru/index.php/ru/pfsense/85-stati/packages/pfsense-packages-squidguard.
Вот кусок пути + расширение
(download|downloads|file|files|image|picture|flash).*.(exe|dll|wav|gif|zip|tar)