Здравствуйте.

Суть проблемы: в конфигах squid прописал запрет на порнографию и банеры:
acl banner url_regex "\etc\urls\banner"
acl porno url_regex "\etc\urls\porno"
...
http_access deny banner
http_access deny porno

В настройках IE стоит "Автоматическое определение настроек" и сайты в таком случае могут просматриваться. Если же указать "Использовать прокси-сервер" порно-сайты не доступны (Access Denied).

В чем проблема? Почему squid пропускает запросы в первом случае и запрещает во втором?

а проход через сквид обязателен, или пользователи могут им и не пользоваться? (то есть заворачиваются ли HTTP- запросы на порт сквида?) Я это к тому, что, может быть в Вашем случае не   squid пропускает запросы , а они просто идут мимо?

Я так думал, но куда они тогда идут? И как в таком случае сделать, чобы все проходило через squid?

Я так думал, но куда они тогда идут
а как у Вас устроена сеть?

На сервере (FreeBSD 4.x) крутится squid, вроде бы когда-то были ipfw и natd, но  в процессах их сейчас нет (более толково и грамотно описать не могу: не хватает опыта и знаний). Как понимаю надо добавить правило в firewall, чтобы все запросы на порт squida отправлялись?

А пользователи сидят в локальной сети со внутренними адресами? (вроде 192.168.1.100) ? это важно (!) то есть - ходят ли они наружу именно через сервер на Free, или сами по себе?
вроде бы когда-то были ipfw и natd, но *в процессах их сейчас нет
проверка - поднят ли nat: ps -ax |grep natполучаем что-то вроде: 106 *?? *Ss * * 0:04,11 /sbin/natd -s -n rl0
проверка правил ipfw: ipfw show получаем кучу правил
Как понимаю надо добавить правило в firewall, чтобы все запросы на порт squida отправлялись
Да, только сначала надо разобраться с тем, что у Вас там делается.

1.
Guest
набери ipfw list (ipfw show тоже подойдет, но list удобнее).

Если на твоем WEBСервере поднят нат, то соответственно в ipfw должны быть правила примерно с таким содержанием:

00100 divert natd ip from 192.168.1.2 to any out via rl0

Соответственно если на клиентской машине в сетевых настройках шлюзом указан твой сервер, и в правилах файера разрешено машине с таким ip ходить в нет через нат, то пинг с этой машины будет уходить за пределы твоей локалки.


2. Сквид у тебя с авторизацией или без?

Сам не пробовал, но если поднят nat, надо добавить правило, которое запустит заворот всех запросов из внутренней сети на любой внешний 80-й порт на прокси.

Исправлено: gf100, 11:16 20-07-2004

Вот статья Настройка FireWall (ipfw) в FreeBSD (freebsd ipfw firewall) (http://www.opennet.ru/base/net/ipfw_guide.txt.html), включающая подробное описание настройки прозрачного прокси-сервера.
НО: еще раз напоминаю: все это работает, если Ваша сеть сугубо внутренняя (с адресами типа 192.168.х.х), идущая наружу через сервер-роутер с поднятым на нем Firewall-ом.



Исправлено: mar, 2:07 21-07-2004

Некоторое время отсутствовал и не мог ответить/прочитать.

Да, сеть внутренняя, реальный ip-адрес один.

Ни nat, ни ipfw не работают. Natа нет вообще, а ipfw show/ipfw list говорит
ipfw: getsockopt(IP_FW_GET): Protocol not available.

Статью прочитал, но выводов не сделал.

Ни nat, ни ipfw не работают. Natа нет вообще, а ipfw show/ipfw list говорит
ipfw: getsockopt(IP_FW_GET): Protocol not available.
значит статью читать рано :biglaugh:
сначала надо все это установить. Для этого нужно перекомпилировать ядро с соответствующими настройками и внести изменения в конфигурационные файлы. Многократно обсуждалось (http://forum.oszone.net/search.php?search=ipfw%2Bnat&where=messages&forums=31&message_size=250&only_once=on&sort_by_date=on& submit=%C8%F1%EA%E0%F2%FC). Вот тут (http://forum.oszone.net/topic.cgi?forum=31&topic=2740&start=0#18) выкладывался рабочий пример такой начальной установки (все разрешено).
После того, как все заработает, читайте статьи по заворачиванию на сквид. :)


Исправлено: mar, 11:26 22-07-2004