Squid и правила файервола



  • Добрый день.

    Установлено pfsense2.1+squid3(не прозрачный, порт 3128)+squidguard3.
    Для того, чтобы пользователи ходили через прокси, создано правило:

    источник - любой, порт - любой –------ назначение - LanNet, порт - любой.

    Я так понял, что данное правило выпускает пользователей в инет по порту 3128
    Проверяю работу icq, подключение не проходит.
    Так понимаю,  что все остальные сервисы(icq, pop, smtp и прочие протоколы) необходимо пустить через NAT.
    Создаю след. правило в закладке LAN:

    источник - LanNet, порт - любой –------ назначение - любое, порт - 5190

    Подключение проходит. Корректно ли данное правило?

    И второй вопрос по squidguard.
    В groups acl создаю две группы - admins и users, в поле client указываю ip адреса, кто к какой группе относится, в target rules указываю категории на блокировку.
    Все работает все прекрасно, но встала необходимость блокировать скачку и просмотр медиаконтента.
    В Target categories, создаю два правила:

    blockmusic, рег. выражения - (..(aac|aiff|aob|asf|aud|bin|bwg|cdr|flac|iff|m3u|m3u8|m4a|m4p|m4r|mod|mp3|mpa|msv|mts|nkc|ogg|ps|wav|wm|wma))
    blockvideo, рег. выражения  - (.
    .(3g2|3gp|3gp2|3gpp|3gpp2|asf|avi|bin|dat|f4v|flv|gtp|m4v|mod|mov|mp4|mpeg|mpg|mts|rm|spl|srt|swf|vob|wm|wmv))

    Группе admins указываю в target rules, блокировать blockvideo и еще несколько категорий.
    Группе users указываю в target rules, блокировать blockvideo, blockmusic и еще несколько категорий.
    Все сохраняю, применяю.
    И вот для группы админов не блокируется просмотр видео(проверял на youtube)
    Где может быть ошибка или что не настроил?



  • Для того, чтобы пользователи ходили через прокси, создано правило:
    источник - любой, порт - любой –------ назначение - LanNet, порт - любой.

    Не нужно ничего создавать, для прокси всё уже сделано разработчиками.

    Я так понял, что данное правило выпускает пользователей в инет по порту 3128
    Проверяю работу icq, подключение не проходит.
    Так понимаю,  что все остальные сервисы(icq, pop, smtp и прочие протоколы) необходимо пустить через NAT.
    Создаю след. правило в закладке LAN:

    источник - LanNet, порт - любой –------ назначение - любое, порт - 5190

    В принципе да, но squid можно настроить и на использование SOCKS для других протоколов (если есть смысл)
    Для ICQ есть свой прокси-пакет IMSpector

    Группе admins указываю в target rules, блокировать blockvideo и еще несколько категорий.
    Группе users указываю в target rules, блокировать blockvideo, blockmusic и еще несколько категорий.
    Все сохраняю, применяю.
    И вот для группы админов не блокируется просмотр видео(проверял на youtube)
    Где может быть ошибка или что не настроил?

    Ютуб - это потоковое видео, никак не файл (по его расширению). Нужно блокировать URL Ютуба или его часть, отвечающую за передачу контента.



  • Установил IMspector, icq тоже заработал.
    Но все таки, можно ли обойтись таким правилом без IMspector? и правильное ли оно с точки зрения корректности?
    источник - LanNet, порт - любой –------ назначение - любое, порт - 5190

    На основе этого правила, сделал правила для pop(110) и smtp(25), почта тоже стала приниматься и отсылаться, до этого происходила блокировка.

    Ютуб - это потоковое видео, никак не файл (по его расширению)

    Когда проигрываю какой либо ролик, даже не обязательно на ютубе, в логах squidguard вижу что идёт обращение к файлу с расширением swf, avi и прочее, что связано с видео.
    Все таки, как заставить работать рег. выражения?



  • @aka_daemon:

    Установил IMspector, icq тоже заработал.
    Но все таки, можно ли обойтись таким правилом без IMspector? и правильное ли оно с точки зрения корректности?
    источник - LanNet, порт - любой –------ назначение - любое, порт - 5190

    На основе этого правила, сделал правила для pop(110) и smtp(25), почта тоже стала приниматься и отсылаться, до этого происходила блокировка.

    Ютуб - это потоковое видео, никак не файл (по его расширению)

    Когда проигрываю какой либо ролик, даже не обязательно на ютубе, в логах squidguard вижу что идёт обращение к файлу с расширением swf, avi и прочее, что связано с видео.
    Все таки, как заставить работать рег. выражения?

    1. Да, конечно можно. Просто речь была о прокси, можно и без.
    2. SWF это флеш как таковой вообще. Для Ютуба тогда лучше блокировать его вместе с частью URL. Посмотрите регулярные выражения здесь http://iskatel.hut4.ru/index.php/ru/pfsense/85-stati/packages/pfsense-packages-squidguard.
    Вот кусок пути + расширение
    (download|downloads|file|files|image|picture|flash).*.(exe|dll|wav|gif|zip|tar)