файл resolv.conf

# Generated by resolvconf
# Do not edit manually, use
# /etc/net/ifaces/<interface>/resolv.conf instead.
search school
nameserver 127.0.0.1
nameserver 192.168.114.2 

Все незакомментированные строки в squid.conf по порядку их следования:

acl all src 0.0.0.0/0.0.0.0 
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 5222-5223    # Jabber
acl Safe_ports port 901    # SWAT
acl SSL_ports port 443    # HTTPS (C)
acl Safe_ports port 21    # FTP
acl Safe_ports port 210    # WAIS
acl Safe_ports port 488    # GSS-HTTP
acl SSL_ports port 873    # RSYNC (C)
acl Safe_ports port 443    # HTTPS
acl Safe_ports port 280    # HTTP-MGMT
acl Safe_ports port 631    # CUPS
acl Safe_ports port 777    # Multilingual HTTP
acl SSL_ports port 563    # SNEWS (C)
acl Safe_ports port 1025-65535   # Other ports
acl SSL_ports port 8080    # Alterator
acl Safe_ports port 80    # HTTP
acl Safe_ports port 563    # SNEWS
acl Safe_ports port 873    # RSYNC
acl Safe_ports port 70    # GOPHER
acl Safe_ports port 591    # Filemaker 

http_access allow manager localhost
http_access deny manager 
http_access deny !Safe_ports 
acl CONNECT method CONNECT
http_access deny CONNECT !SSL_ports 

acl our_networks src 127.0.0.0/8    # LOCALHOST
acl our_networks src 192.168.0.0/24    #  
http_access deny !our_networks 
http_access allow all 
http_access deny all 

http_port 3129 

cache_peer 192.168.114.2 parent 3128 0 

hierarchy_stoplist cgi-bin ? 

cache_dir ufs /var/spool/squid 2048 16 256 

maximum_object_size 65536 KB 

access_log /var/log/squid/access.log squid

cache_log /var/log/squid/cache.log 

cache_store_log /var/log/squid/store.log 

debug_options ALL,1 

acl QUERY urlpath_regex cgi-bin \?
cache deny QUERY 

refresh_pattern ^ftp:		1440	20%	10080
refresh_pattern ^gopher:	1440	0%	1440
refresh_pattern .		0	20%	4320
 
acl apache rep_header Server ^Apache
broken_vary_encoding allow apache 

coredump_dir /var/spool/squid 

acl all src 0.0.0.0/0.0.0.0
never_direct allow all 

 

Неужели всё так безнадёжно, что никто не может помочь?

В приведенном squid.conf нет "черных списков". Поэтому повторю

> Я не имею представления как и чем Вы блокируете доступ к сайтам из черного списка. В самом простом случае используется соответствующий acl и http_access.

 Выглядеть это может примерно так:

acl blacklist url_regex "/etc/squid/blacklist"

http_access deny our_networks blacklist

>В приведенном squid.conf нет "черных списков"

Как один из способов не совсем правильной блокировки, прослеживается в iptables (социальная сеть и почта mail.ru). Полагаю, все это из-за совместной настройки сервера в альтераторе и вручную. Нужно выбрать что-то одно, лучше ручная настройка конфигов. А в squid для блокировки есть замечательная штука - редиректор.

Блокировку я настраивал только через альтератор, вручную ничего не добавлял.

> Как один из способов не совсем правильной блокировки, прослеживается в iptables

Как это исправить?

> Выглядеть это может примерно так:

> acl blacklist url_regex "/etc/squid/blacklist"

> http_access deny our_networks blacklist

В каком месте squid.conf я должен это добавить? В файле blacklist можно указывать сайты по url? А используя регулярные выражения?

> А в squid для блокировки есть замечательная штука - редиректор.

Какой способ лучше: предложенный Viktorом или редиректор? И как задействовать этот самый редиректор?

>Какой способ лучше: предложенный Viktorом или редиректор? И как задействовать этот самый редиректор?

Применение того, или иного способа фильтрации зависит от объема знаний, поскольку я не профессионал, то пошла по более легкому пути. Можно посмотреть здесь http://www.spohelp.ru/forums/17-gotovye-resheni.... Только перенаправление на search.isensor.ru сейчас не работает, можно применить любую систему каталожного поиска, например, http://school.edu.ru. А в iptables обычно манипулируют портами и протоколами, согласно выбранной политики безопасности, а ваш конфиг, настроенный через альтератор, выглядит просто ужасно. Я раньше пробовала пользоваться альтератором, с подобным результатом, потом перешла только на ручную правку конфигов. 

Спасибо за ссылку. Я тоже далеко не профессионал.

> а ваш конфиг, настроенный через альтератор, выглядит просто ужасно

Подскажите, пожалуйста, как же его исправить вручную?

И почему не работает ping? Тоже из-за настройки iptables?

Для создания таблиц фильтрации я пользовалась примером сценария из http://www.opennet.ru/docs/RUS/iptables/. Создала на сервере скрипт, применительно к конфигурации нашей сети и выбранной политики безопасности, запустила его. Созданные правила подгрузились. Чтобы их сохранить, необходимо выполнить /sbin/iptables-save > /etc/sysconfig/iptables. В результате получается вот такой конфиг.

# Generated by iptables-save
*nat
:PREROUTING ACCEPT [13440:1076722]
:POSTROUTING ACCEPT [149:8821]
:OUTPUT ACCEPT [13511:710308]
-A POSTROUTING -o внешний интерфейс вашего сервера -j SNAT --to-source внешний адрес вашего сервера
COMMIT
# Completed
# Generated by iptables-save
*mangle
:PREROUTING ACCEPT [927523:621782031]
:INPUT ACCEPT [927485:621780055]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [1011170:689386714]
:POSTROUTING ACCEPT [1011168:689383978]
COMMIT
# Completed
# Generated by iptables-save
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]
:bad_tcp_packets - [0:0]
:icmp_packets - [0:0]
:tcp_packets - [0:0]
:udp_packets - [0:0]
-A INPUT -p tcp -j bad_tcp_packets
-A INPUT -s 192.168.0.0/255.255.255.0 -i внутренний интерфейс вашего сервера -j ACCEPT
-A INPUT -s 127.0.0.1 -i lo -j ACCEPT
-A INPUT -s внутренний адрес вашего сервера -i lo -j ACCEPT
-A INPUT -s внешний адрес вашего сервера -i lo -j ACCEPT
-A INPUT -d внешний адрес вашего сервера -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i внешний интерфейс вашего сервера -p udp -j udp_packets
-A INPUT -i внешний интерфейс вашего сервера -p icmp -j icmp_packets
-A INPUT -d 224.0.0.0/255.0.0.0 -i внешний интерфейс вашего сервера -j DROP
-A INPUT -m limit --limit 3/min --limit-burst 3 -j LOG --log-prefix "IPT INPUT packet died: " --log-level 7
-A FORWARD -p tcp -j bad_tcp_packets
-A FORWARD -i внутренний интерфейс вашего сервера -j ACCEPT
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -m limit --limit 3/min --limit-burst 3 -j LOG --log-prefix "IPT FORWARD packet died: " --log-level 7
-A OUTPUT -p tcp -j bad_tcp_packets
-A OUTPUT -s 127.0.0.1 -j ACCEPT
-A OUTPUT -s внутренний адрес вашего сервера -j ACCEPT
-A OUTPUT -s внешний адрес вашего сервера -j ACCEPT
-A OUTPUT -m limit --limit 3/min --limit-burst 3 -j LOG --log-prefix "IPT OUTPUT packet died: " --log-level 7
-A bad_tcp_packets -p tcp -m tcp --tcp-flags SYN,ACK SYN,ACK -m state --state NEW -j REJECT --reject-with tcp-reset
-A bad_tcp_packets -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j LOG --log-prefix "New not syn:"
-A bad_tcp_packets -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j DROP
-A icmp_packets -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A icmp_packets -p icmp -m icmp --icmp-type 11 -j ACCEPT
-A udp_packets -d широковещательный адрес вашей внешней сети -i внешний интерфейс вашего сервера -p udp -m udp --dport 135:139 -j DROP
-A udp_packets -d 255.255.255.255 -i внешний интерфейс вашего сервера -p udp -m udp --dport 67:68 -j DROP
COMMIT
# Completed

А на команду ping ya.ru сервер отвечает, что ему не знаком этот host, попробуйте пропинговать по ip-адресу.

> Какой способ лучше: предложенный Viktorом или редиректор?

"Редиректор" можно научить пытаться фильтровать контент по признаку наличия стоп-слов. С великим и могучим неоходимо учитывать кодировки. Спектр использования регулярок как правило шире.

> А на команду ping ya.ru сервер отвечает, что ему не знаком этот host, попробуйте пропинговать по ip-адресу.

Нет. PING ya.ru (213.180.204.3)

Надо пробовать с остановленным iptables. Вполне возможно, что провайдер блокирует icmp.

PS учитель информатики, начните решать проблемы постепенно. И посмотрите в Готовых решениях.

>Спектр использования регулярок как правило шире.

В редиректоре возможно создание файла pcre в любом разделе и более тонкая настройка фильтрации с помощью регулярных выражений и стоп-слов.

Немного изучив руководство по iptables (http://www.opennet.ru/docs/RUS/iptables/) и поковырявшись в файлах настройки iptables на моем сервере, пришёл к выводу, что блокирование не работает из-за того, что выход в Интернет у меня идёт через прокси-сервер провайдера. В правилах блокировки указаны IP-адреса (source и destination) нежелательных сайтов. А в моем случае IP-адрес source и IP-адрес destination всегда один и тот же - это IP-адрес прокси-сервера провайдера. Возможно, я и ошибаюсь. Но как это проверить не знаю.

Пробовал пинговать по IP-адресу при включенном iptables и при выключенном, результат один и тот же - пинг не проходит. Это значит что провайдер блокирует icmp? Может ли это влиять ещё на что-то?

Пробовал способ предложенный Viktorом:

>  Выглядеть это может примерно так:

> acl blacklist url_regex "/etc/squid/blacklist"

> http_access deny our_networks blacklist

Сначала отключил чёрный список хостов в alteratorе. Затем создал файл /etc/squid/blacklist. В него для примера записал адрес mail.ru. Затем добавил в squid.conf указанные Viktorом строки. Добавил их перед строками

acl all src 0.0.0.0/0.0.0.0

never_direct allow all

Однако ничего не получилось - сайт не блокируется. Что я делаю не так?

Но после

http_access deny !our_networks
http_access allow all?

Да, после.

Надо до. А то получается, что Вы всем все уже разрешили. Потом запрещать уже бесполезно. Здесь http://www.spohelp.ru/forums/17-gotovye-resheni... посмотрите 3) SQUID