Внешние good /bad листы SQUID

Я искреннее считаю SQUID неадекватным решением, но если уж применяете, то используйте возможности списков.

Следуя этой нехитрой методе я вполне успешно «резал» ненужный трафик несколько лет назад.

Итак, добавим параметры в конфигурацию:

nano /usr/local/etc/squid/squid.conf:
acl good_url    url_regex     «/usr/local/etc/squid/acl/good_url»
acl bad_urlpath urlpath_regex «/usr/local/etc/squid/acl/bad_urlpath»
acl bad_url     url_regex     «/usr/local/etc/squid/acl/bad_url»

http_access deny bad_urlpath !good_url
http_access deny bad_url     !good_url

Предварительно создаем: good_url, bad_url_path и bad_url.

В bad_url помещаем «плохие» URL, например:
^http://.doubleclick
^http://.
-ad.flycast.com/server/img/
^http://1000.stars.ru/cgi-bin/1000.cgi
^http://1000.stars.ru/cgi-bin/1000.cgi
^http://12.16.1.10/~web_ani/

В bad_url_path — «плохой» путь
88×31.gif
88×31.
GIF
100×80.gif
100×80.
GIF
100×100.gif
100×100.
GIF
120×60.gif
120×60.
GIF
179×69.gif
193×72.
gif
468×60.*gif

Обычно такие имена имеют банеры.

 

Полезные ссылки по теме и неочень:

https://wiki.linux.by/index.php/Debian_Firewall

http://bozza.ru/art-66.html

http://www.unixdoc.ru/index.php?mode=2&podmode=1&arcicle_id=91

http://www.hilik.org.ua/transparent-%D0%BF%D1%80%D0%BE%D0%B7%D1%80%D0%B0%D1%87%D0%BD%D1%8B%D0%B9-%D0%BF%D1%80%D0%BE%D0%BA%D1%81%D0%B8-%D1%81%D0%B5%D1%80%D0%B2%D0%B5%D1%80-squid/

http://bukashk0zzz.org.ua/nix/dhcp-server-prozrachnyij-proksy-na-squid

Еще раз хочу акцентировать на том что если Вы хотите нормальный шлюз, то НЕ используйте iptables и squid.

Pin It

6 thoughts on “Внешние good /bad листы SQUID

    • Как и большинство open source решений, плохи они тем что официально ни кем не поддерживаются (вы же не станете покупать RHEL ради iptables и squid).
      Соответственно никто не несет ответственности за адекватное функционирование.
      Дальше: высокая стоимость владения и высокий уровень зависимости от того, кто решение внедрил.
      Кроме того, функционал минимальный, мониторинг неудобный, интеграция с другими системам никакая.

      Из плюсов только отсутствие лицензирования и студента который умеет читать Гугл можно подрядить за три копейки.
      Тем не менее, для многих преимущества компенсируют недостатки.
      Таков уровень ИТ в наших реалиях, уровень ИТ «специалистов», трехкопеечных интеграторов и полунищих заказчиков.

      • Спасибо большое за ответ. Но с высоты своей колокольни «специалиста» и «трехкопеечного интегратора» (мне не обидно), с вашего позволения, спрошу: а разве к прим. Microsoft несет ответственность к прим. за то, что вас взломали через Microsoft’овскую же уязвимость TCP/IP?
        Я не спорю, что «мониторинг неудобный, интеграция с другими системам никакая», но, на мой взгляд, это не нужно мелким и средним компаниям. Задача начальства запретить показ Однокласников, а не иметь график использования Интернет в режиме online. Я скажу даже больше, если на фирме стоит squid и iptables с ClamAV это уже гораздо лучше, чем роутер D-Link за 500 р.
        Как я понял вы советуете Cerio Center для серьезных задач (да/нет)?
        Еще раз спасибо за ответ. Читаю блог с удовольствием.

  1. Дело в том, что винда одна, а никсы у всех разные. Соответственно МС инфу об уязвимостях собирает, и исправляет их достаточно оперативно. В никсах косяки могут существовать годами, в этом разница в ответственности.

    С одной стороны требования у SMB могут показаться скромными, но запрещают Одноклассников в SMB по факту чаще чем в LB и VLB.
    Но обойти запрет на squid очень просто, соответственно защита весьма сомнительная по факту.

    Рейтинг ClamAV думаю сами знаете 🙂

    С другой стороны, пожалуй соглашусь что такое решение может быть лучше, чем D-Link за три копейки.

    Kerio Control неплохое решение для SMB, цена радует. Из минусов отсутствие кластеризации.

    • «Дело в том, что винда одна, а никсы у всех разные. Соответственно МС инфу об уязвимостях собирает, и исправляет их достаточно оперативно. В никсах косяки могут существовать годами, в этом разница в ответственности.»
      Хм… А разве большинство веб-серверов в интернете не работают на Apache и NGIX, с виртуализацией KVM? Или они все на 1 дистрибутиве работают? Сомневаюсь. А какже VoIP-телефония с Asterisk’ом и т.п. детищами GPL? MySQL? Там тоже можно говорить о защите! Но люди выбирают GPL. Если половина планеты выбирает GPL, то не думаю, что они дураки.

      «С одной стороны требования у SMB могут показаться скромными, но запрещают Одноклассников в SMB по факту чаще чем в LB и VLB.
      Но обойти запрет на squid очень просто, соответственно защита весьма сомнительная по факту.»
      О какой сомнительности может идти речь, если пользователи принтер по умолчанию не могут изменить??? Если кнопку от вкладки отличить не могут…

      Соглашусь с тем, что мало уделяю внимания безопасности.
      З.Ы, Последний комментарий, а то уже диспут получается какой-то. Продуктивный, но ИМХО тут ему не место.

      • Давайте не путать шлюз и хостинг, это разные вещи все-таки, так можно приехать к тому что iOS/Android популярнее Windows Phone 🙂

        Работают они или на фрях, или на RedHat (CentOS), в отличии от мелких серверов которые работают под чем попало (например ubuntu).

        Asterisk практически коммерческий продукт, а GPL это просто «соглашение», к тому же на всю голову, если изучать его.
        Уверяю, что OpenSource продукты использует далеко не половина планеты, а если мы говорим о сетях то практически никто, ведь есть Cisco, Huawei, ZTE, Juniper..

        Говорить о пользователях сложно всегда — пользователь он молодеет, а значит задать в гугле «админ забанил вконтактик, как обойти??!!111» может.
        С другой стороны, как показывает практика, в приличных конторах не банят, может мониторят выборочно, а вот как раз это на OpenSouce хромает на обе ноги (я имею ввиду sarg, lightsquid и т.п.)

        То, что на безопасность жлобят денег, не вина и не проблема админа 😉

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Этот сайт использует Akismet для борьбы со спамом. Узнайте как обрабатываются ваши данные комментариев.