Дальше идут скучные технические подробности

В общем, в новых Виндах, и в семёрке и в 2008 что то накручено с NTLM. В Vista может быть тоже, но я пока не проверял. Решается следующим образом:

На виндовой машине лезем в реестр, Ищем там HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa, создаём там новый параметр под названием LmCompatibilityLevel типа DWORD и присваиваем ему значение “1″. После чего перегружаемся.

Более подробно про значения этого параметра, отвечающего за тип NTLM авторизации можно почитать в статье на Технете Microsoft.

Идём в файл конфигурации /etc/squid.conf и ищем там тэг error_directory

По умолчанию он закомментирован и имеет значение “/usr/share/squid/errors/English” именно это значение и используется. Но нам то нужен другой язык. Идём обратно в командную строку

$ ls /usr/share/squid/errors

Список появился? Нужный язык есть? Прописываем его в error_directory и получаем например

error_directory /usr/share/squid/errors/Russian-1251

После чего командуем сквиду прочитать конфиг по новой

$ sudo /etc/init.d/squid reload

Всё. Теперь наш Squid ругается на русском языке в виндовой кодировке. Если вместо -1251 написать -koi8-r, то кодировка будет самая что ни наесть правильная :)

Способ первый, простой.

Есть URL и к нему надо блокировать доступ.

Заводим acl для этого URL

acl badurl dst www.site.foo

и прописываем для него правило

http_access badurl deny

при попытке обратиться к этому URL пользователь получит сообщение, что доступа туда нет.

Способ второй, простой, но модифицированный.

Неожиданно выясняеться, что сайт откликается не только на www.чего-то-там, но и на кучу дополнительный имён 3-го уровня, например те же одноклассники.ru доступны по именам wg##.odnoklassniki.ru и их тоже не грех бы заблокировать. Создаём модифицированный acl

acl badurl url_regex ^http://.*\.odnoklassniki\.ru

то есть применяем регулярное выражение, под которое попадают все URL заканчивающиеся на odnoklassniki.ru

Способ третий, многоURLный

Для каждого URL, к которому надо блокировать доступ можно создать отдельное правило. Но когда их станет много, то можно их переписать в отдельный файл и отдавать их в squid списком.

acl badurl dst “/etc/squid/badurls”

в файле переписываем све URL, к которым мы блокируем доступ.

vi /etc/squid/badurls

www.odnoklassniri.ru
www.porno.com
www.vkontakte.ru

EOF

точно так же для ргулярных выражений

acl badurl url_regex “/etc/squid/badurls”

vi /etc/squid/badurls

^http://.*\.odnoklassniri\.ru
porno
^http://.*\vkontakte\.ru

EOF

Способ четвёртый, самый весёлый

Не прописываем ни каких acl, а ставим программу редиректа, то есть перенаправления с одного URL на другой. Тут можно использовать squidguard или squid_redirect, прицепить к ним готовые банлисты и какое то время радоваться жизни.

Для чего это надо? Рано или поздно начинаешь понимать, что отдавать на растерзание пользователям весь канал в интернет становится нецелесообразным. Кроме просмотра разных сайтов и скачивания всякой гадости хотелось бы оставить часть канала для чего то более полезного. Для этого в squid есть пулы задержки.

Работают они очень просто – если пользователь попадает в один из пулов задержки, то для него скорость скачивания контента ограничивается в соотвествиии с настройками пула.

Вот что пишут знающие люди в squid howto на NC LUG

#Ограничение трафика
delay_pools 3 #Выделяем 3 пула задержки

delay_class 1 2 #Пул класса 2
delay_class 2 3 #Пул класса 3
delay_class 3 2 #Пул класса 2

Классы пулов задержки:
Класс 1 – одна часть пула на всех из этого класса
Класс 2 – одна общая часть пула и 255 отдельных для каждого хоста из C-сетки
Класс 3 – 255 частей для каждой сетки (класс B) и отдельная для каждого хоста

Формат строки параметрой пула:
delay_parameters [номер пула] [all_downl/all_size] [net_downl/net_size] [one_downl/one_size]
all – на всех
net – на подсеть
one – на отдельный адрес
downl – скорость заполнения части (байт/сек)
size – объем части пула (байт)

Для пула класса 1 используется только all
Для пула класса 2 используется all и net
Для пула класса 3 используется all, net и one

delay_access 1 allow server #Разрешаем серверу ходить через 1-й пул
delay_access 1 deny all #Остальным запрещаем
delay_parameters 1 -1/-1 -1/-1 #Параметры 1-го пула – без ограничений

delay_access 2 allow zal #Разрешаем комп. классу ходить через 2-й пул
delay_access 2 deny all #Остальным запрещаем
delay_parameters 2 8000/8000 8000/8000 4000/4000 #Параметры 2-го пула: канал на все и сеть – 8 кбсек(64 кбитсек) и на каждую машину не более 4 кбсек

delay_access 2 allow bibl #Разрешаем библиотеке ходить через 3-й пул
delay_access 3 deny all #Остальным запрещаем
delay_parameters 3 6000/6000 -1/-1 #Параметры 3-го пула: канал на все – 6 кбсек(56 кбитсек), а как они его поделят – не наши проблемы ;)

Примерно то же самое написано в комментариях к тэгам в squid.conf и в 19-м разделе FAQ по squid в /usr/share/doc/squid. Но там на английском языке.

Пара слов вот об этом: size – объем части пула (байт).

Если я правильно понял, то этот параметр указывает на то, с какого объёма скачанного файла включать ограничения по скорости. Для чего это надо. При обычном сёрфе по сети пользователь качает странички и небольшие картинки, а особо наглые просматривают картинки в высоких разрешениях, ролики с видеохостингов и качают музыку или киношки. Оно надо? Нет. Пулы срабатывают на вот таких наглецов. не надо грузить сеть паразитным трафиком.

И ещё, для delay_access надо прописать ACL со списками кого куда кидаем

Типа,

acl all src 10.1.0.0/16
acl bibl src “/etc/squid/bibl”

ну и так далее…

примерно так.

Маленький рассказ о том как не пустить на одноклассников. То есть заблокировать туда доступ. Строго говоря, речь пойдёт не о том как заблокировать, а о том, что блокировать. Если вы администрируете какой либо сервер коллективного доступа в интернет, то как блокировать знаете и без меня. Тем более, что одним сквидом список прокси серверов не ограничивается, а как блокировать в карио, вингейте или ISA, или как его сейчас зовут, меня лучше не спрашивать – я с ними ни разу не работал.

Поехали. В силу сложившихся обстоятельств я использую Squid. А доступ ограничиваю через самописную программу редиректа (о ней я расскажу как ни будь позже). Дело в том, что в списке ресурсов нежелательных для посещения из корпоративной сети числится более двух милионов записей и рулить ими через ACL несколько неудобно. По этому всё это счастье загнано в MySQL базу. Туда же складываются логи для последующего анализа.

Итак, мы, в соответствии с требованиями начальства, торжественно запретили доступ к доменам .*\.odnoklassniki\.ru и .*\.odnokalsniki\.ru, как выяснилось, что кто то из пользователей сидит на этих одноклассниках на глазах у изумлённой администрации. И попадает туда нажав 4 – 5 кнопок…

Есть такой гейт, пускающий на одноклассников и на вконтакте. зовут его xy4.ru. Блокируем!

Опять сидят. Оказывается есть куча зеркал. Вот список выявленных на текущий момент доменов:

vip-cl.ru
odlist.ru
news-p.ru
sr-line.ru
pr-serv.ru
l-corp.ru
newsarc.ru
sendom.ru
u-trand.ru
export-i.ru
dhlstart.ru
cl-open.ru
rbsim.ru

Особо шустрых пользователей предупреждаю сразу: толку от того, что в запйдёте на какой либо из этих сайтов ни какой. Для доступа нужен ещё путь по самому сайту. А что вам надо сделать, чтоб его узнать я ещё подумаю. Для блокировки же доступа хватит и этого.

Список обновляемый и бкдет выложен отдельной статьёй, а в записях я буду делать пометки, что он опять обновился.

И ещё одно. Но оно относится ко всему6 что надо блокировать – открытые прокси и анонимайзеры. Список можно взять на сайте squidguard, а как прикрутить к своему фильтру, я думаю самим виднее. Я парсил текстовые файлы и закидывал в SQL базу.

case “$1″ in
start)
log_daemon_msg “Starting the Winbind daemon” “winbind”
mkdir -p /var/run/samba/winbindd_privileged || return 1
chgrp proxy /var/run/samba/winbindd_privileged/ || return 1

суть такая:

1) настраиваем пулы задержки в сквиде на полный канал, 1/2 канала … 1/16 или даже 1/32 канала.
2) для каждого пула создаём группу
3) всех пользователей закидываем в группу с полной скоростью
4) создаём список неприкасаемых типа начальства и тех, кому действительно надо.
5) собираем статистику работы в сети и определяем ежедневного чемпиона по закачкам
6) чемпион переносится в группу с зарезанным в двое каналом
7) если чемпион оказался в группе с самым узким каналом – это повод задуматься о создании ещё одного пула
8) начиная с п.5 повторяем ежедневно. можно при помощи скриптов.