| Предыдущая тема :: Следующая тема |
| Автор |
Сообщение |
ag_1974
Зарегистрирован: 24.06.2002
Сообщения: 76
Откуда: Екатеринбург
|
 Добавлено: Ср Авг 14 2002 07:20 Заголовок сообщения: Как запретить доступ к сайту через браузер по ip |
 |
|
| Выход в инет организован через squid под debian, но все мои запреты на всякие нехорошие сайты пользователи обходят через ввод в браузер ip адреса. Как в squid'е запретить использовать ip??? |
|
| Вернуться к началу |
|
 |
and3008
Зарегистрирован: 12.10.2001
Сообщения: 14893
Откуда: Н.Новгород
|
| Добавлено: Ср Авг 14 2002 07:50 Заголовок сообщения: Re: Как запретить доступ к сайту через браузер по ip |
|
|
Ты из лучше не squid-ом режь, а ipchains-ом или iptables
Кстати, а какое ACL-правило ты применяешь? |
|
| Вернуться к началу |
|
|
ag_1974
Зарегистрирован: 24.06.2002
Сообщения: 76
Откуда: Екатеринбург
|
| Добавлено: Ср Авг 14 2002 08:00 Заголовок сообщения: Re: Как запретить доступ к сайту через браузер по ip |
|
|
Я прошу меня простить за безграмотность, но я не знаю, что такое ACL-правило, а файл masq у меня выглядит так:
#!/bin/sh
echo "Setup masquerade..."
echo "1" > /proc/sys/net/ipv4/ip_forward
ipchains -F forward
ipchains -F input
ipchains -F output
ipchains -A forward -j DENY -s 172.16.1.0/24 -d ! 0.0.0.0/0 -i eth0
ipchains -A forward -j MASQ -s 192.168.1.2/255.255.255.255 -d ! 172.16.1.0/24 -i eth0
ipchains -A forward -j MASQ -s 192.168.1.8/255.255.255.255 -d ! 172.16.1.0/24 -i eth0
#b2 - buhgalteria, Lena
ipchains -A forward -j MASQ -s 172.16.1.63/255.255.255.255 -d ! 172.16.1.0/24 -i eth0
#b3 - buhgalteria, Oksana
ipchains -A forward -j MASQ -s 172.16.1.62/255.255.255.255 -d ! 172.16.1.0/24 -i eth0
#ex
ipchains -A input -s ! 172.16.1.0/24 -j ACCEPT
ipchains -A output -s ! 172.16.1.0/24 -j ACCEPT
#experiment
ipchains -A output -d 192.168.1.8 -j ACCEPT
ipchains -A output -p tcp -s ! localhost ! 23 -d 192.168.1.2 -j ACCEPT
ipchains -A output -d 172.16.1.22 -j ACCEPT
ipchains -A output -d 172.16.1.66 -j ACCEPT
ipchains -A output -d 172.16.1.64 -j ACCEPT
ipchains -A forward -j MASQ -s 172.16.1.156/255.255.255.255 -d ! 172.16.1.0/24 -i eth0
ipchains -A output -d 172.16.1.63 -j ACCEPT
ipchains -A output -d 172.16.1.62 -j ACCEPT
ipchains -A output -d 172.16.1.94 -j ACCEPT
ipchains -A output -d 172.16.1.151 -j ACCEPT
ipchains -A output -d 172.16.1.204 -j ACCEPT
ipchains -A output -d 172.16.1.254 -j ACCEPT
ipchains -A output -d 172.16.1.12 -j ACCEPT
ipchains -A output -d 172.16.1.57 -j ACCEPT
ipchains -A output -d 172.16.1.1 -j ACCEPT
ipchains -A output -d 172.16.1.10 -j ACCEPT
ipchains -A output -d 172.16.1.196 -j ACCEPT
ipchains -A output -d 172.16.1.199 -j ACCEPT
ipchains -A output -d 172.16.1.25 -j ACCEPT
ipchains -A output -d 172.16.1.197 -j ACCEPT
ipchains -A output -d 172.16.1.11 -j ACCEPT
ipchains -A output -d 172.16.1.170 -j ACCEPT
ipchains -A output -d 172.16.1.24 -j ACCEPT
ipchains -A output -d 172.16.1.142 -j ACCEPT
ipchains -A output -d 172.16.1.26 -j ACCEPT
ipchains -A output -d 172.16.1.182 -j ACCEPT
ipchains -A output -d 172.16.1.188 -j ACCEPT
ipchains -A output -d 172.16.1.150 -j ACCEPT
ipchains -A output -d 172.16.1.21 -j ACCEPT |
|
| Вернуться к началу |
|
|
DmitriyS
Зарегистрирован: 19.06.2002
Сообщения: 381
Откуда: Е-бург
|
| Добавлено: Ср Авг 14 2002 09:23 Заголовок сообщения: Re: Как запретить доступ к сайту через браузер по ip |
|
|
Добавь правила перед ACCEPT'ами
типа ipchains -A output -s xxx.xxx.xxx.xxx -j DENY
где ххх.ххх.ххх.ххх - плохой сайт ... |
|
| Вернуться к началу |
|
|
Dmitry.Karpov http://www.
Гость
|
| Добавлено: Ср Авг 14 2002 10:50 Заголовок сообщения: Есть два пути |
|
|
1) Преобразовывать IP-адрес в доменное имя через ReverceDNS. Почитай комметарии в squid.conf, там довольно подробно разжевано.
2) Запретить обращения ко всем сайтам, где в поле "имя хоста" (это то, что идет после протокола, имени юзера и пароля, перед портом и путем к файлу) нет букв, а есть только цифры и точки. |
|
| Вернуться к началу |
|
|
ag_1974
Зарегистрирован: 24.06.2002
Сообщения: 76
Откуда: Екатеринбург
|
| Добавлено: Ср Авг 14 2002 10:59 Заголовок сообщения: Re: Как запретить доступ к сайту через браузер по ip |
|
|
Я наверное не правильно изложил суть вопроса.
Мне надо что в браузере нельзя было набрать
xxx.xxx.xxx.xxx, где х - это цифра, а если х - буква, то можно. |
|
| Вернуться к началу |
|
|
ag_1974
Зарегистрирован: 24.06.2002
Сообщения: 76
Откуда: Екатеринбург
|
| Добавлено: Ср Авг 14 2002 11:03 Заголовок сообщения: Re: Есть два пути |
|
|
| Dmitry, подскажите пожалуйста как мне сделать(где почитать про это) запрет , используя 2 вариант. |
|
| Вернуться к началу |
|
|
and3008
Зарегистрирован: 12.10.2001
Сообщения: 14893
Откуда: Н.Новгород
|
| Добавлено: Ср Авг 14 2002 15:36 Заголовок сообщения: Мдя... (+) |
|
|
Сперва запрещаем маскарадинг, а потом разрешаем для некоторых. И работает?
По моему не должно работать в принципе!
А чё,
acl bad_site dst bas.site.to
http_access deny bas_site
и не работает как надо?
НЕ ВЕРЮ! |
|
| Вернуться к началу |
|
|
Dmitry.Karpov http://www.
Гость
|
| Добавлено: Ср Авг 14 2002 17:25 Заголовок сообщения: У меня на сайте почитай |
|
|
Кое-что по настройкам Squid есть у меня на сайте http://www.pi2.ru/prof/. Надеюсь, регулярные выражения писАть умеешь? Шаблон для IP-номера строится так:
[0-9] - цифра
[0-9]+ - одна или более цифр
[0-9]+\. - одна или более цифр с точкой
[0-9]+\.[0-9]+\.[0-9]+\.[0-9]+ - IP-номер (можно и короче - с повторителями). То, что этот шаблон накрывает несуществующие IP-номера типа 638.344.4556.299 - неважно.
Только учти, что к шаблону IP-номера нужна обвязка, а то если IP-номер окажется в пути к файлу или в аргументах CGI-скрипта, то это не причина запрещать... |
|
| Вернуться к началу |
|
|
ag_1974
Зарегистрирован: 24.06.2002
Сообщения: 76
Откуда: Екатеринбург
|
| Добавлено: Чт Авг 15 2002 11:10 Заголовок сообщения: Всем большое спасибо |
|
|
| Всем большое спасибо |
|
| Вернуться к началу |
|
|
|
FAQ 
Поиск 
Пользователи 
Группы
Регистрация
Профиль 
Войти и проверить личные сообщения 
Вход 
