نمایش نتایج: از شماره 1 تا 2 , از مجموع 2

موضوع: آموزش اسکویید قدم به قدم قسمت چهارم :انواع access-list

  1. December 8th, 2012, 19:04 #1
    hadi-110
    hadi-110 آنلاین نیست.
    کاربر اخراج شده
    تاریخ عضویت
    Oct 2011
    نوشته ها
    136
    تشکر تشکر کرده 
    121
    تشکر تشکر شده 
    491
    تشکر شده در
    370 پست

    پیش فرض آموزش اسکویید قدم به قدم قسمت چهارم :انواع access-list

    Regular Expression match of requested domain

    برای ***** کردن url هایی که نمی خواهیم حاوی یک یا چند کلمه باشن:
    کد PHP:
    acl badUrl url_regex -i nami.
    i- برای اینه که چون پیش فرض case sensitive هست با این پارامتر insensitive میشه

    acl badUrl url_regex -i \.avi
    این هم که مشخصه

    میشه جفتشون رو یکجا نوشت:
    acl badUrl url_regex -i nami.\*\.avi

    که در آخر با این دستور ***** میشن:
    http_access deny badUrl

    acl filterlist url_regex -i /etc/squid/blacklist

    داخل این فایل می تونید url های مورد نظر رو بزارید


    MIME type

    *****ینگ میتونه بر اساس mime type باشه

    کد PHP:
    acl mp3 reg_mime_type "audio/mp3"

    Current time/date


    میشه acl رو بر اساس زمان نوشت:
    کد PHP:
    acl name time [day-list] [start_hour:minute-end_hour:minute

    S – Sunday, M – Monday,T – Tuesday, W – Wednesday, H – Thursday
    F – Friday, A – Saturday

    مثلا :
    acl saate-edari time ASMTW 8:00-16:00
    http_access allow saate-edari



    Destination port


    پورتهای مقصد که کاربران اجازه دسترسی دارند
    acl Safe_ports port 80 21 443 563 70 210 1025-65535
    و بقیه بلاک میشن با دستور زیر :

    http_access deny !Safe_ports

    ****نکته: علامت ! یعنی به جز (کل دستور یعنی همه بسته بجز safe ports


    Method


    متد get برای دانلود
    متد post برای آپلود
    متد connect برای ssl

    مثال :
    acl connect_method method CONNECT
    acl SSL_PORTS port 443 563
    http_access deny connect_method !SSL_PORTS

    یعنی به کانکشن های غیر ssl اجازه دسترسی نمیده

    Browser type

    میشه acl رو بر اساس browser کاربر ها نوشت که مثلا با firefox بشه با ie نشه

    acl aclname browser MOZILLA

    ***** خدایی تا کجا هارو فکر کردن ***********



    Username


    ident_lookup on
    acl friends omid mohsen reza morteza
    http_access allow friends
    http_access deny all

    میتونید اسمهای مورد نظر رو بدید که از روی دستگاه مقصد auth میشن

    ***** زیاد در مورد نحوه احراز هویت این مورد اطلاعی ندارم


    Autonomous System (AS) Number



    Squid is often used by large ISPs. These ISPs want all of their customers to have access to their caches without having incredibly long manually-maintained ACL lists (don't forget that such long lists of IPs generally increase the CPU usage of Squid too). Large ISP's all have AS (Autonomous System) numbers which are used by other Internet routers which run the BGP (Border Gateway Protocol) routing protocol.
    The whois server whois.ra.net keeps a (supposedly authoritive) list of all the IP ranges that are in each AS. Squid can query this server and get a list of all IP addresses that the ISP controls, reducing the number of rules required. The data returned is also stored in a radix tree, for more cpu-friendly retrieval.
    Sometimes the whois server is updated only sporadically. This could lead to problems with new networks being denied access incorrectly. It's probably best to automate the process of adding new IP ranges to the whois server if you are going to use this function.
    If your region has some sort of local whois server that handles queries in the same way, you can use the as_whois_server Squid config file option to query a different server.
    **** اینم برای isp دار ها خوشون ترجمه کنن زیاده



    Username and Password

    روشهای مختلفی برای ***** کردن یوزرها هست مثلا smb-خواندن از روی فایل و ....
    من خودم از ntlm استفاده کردم برای خوندن یوزرهای AD



    Using the NCSA authentication module

    اینم روش جالبیه برای خوندن یوزر و پسوردها از روی یک فایل:
    داخل squid.conf اضافه میکنیم:
    authenticate_program /usr/local/squid/bin/ncsa_auth /usr/local/squid/etc/passwd

    فایل passwd رو در مسیر بالا میسازیم و با فرمت زیر یوزر اضافه میکنیم:

    nami:lKdpxbNzhlo.w


    Using the RADIUS authentication module


    acl external_traffic *****_auth REQUIRED
    http_access allow external_traffic
    auth_param basic program /usr/local/squid/libexec/squid_radius_auth -f /usr/local/squid/etc/squid_radius_auth.conf
    auth_param basic children 5
    auth_param basic realm This is the realm
    auth_param basic credentialsttl 45 minutes


    acl بازهم هست ولی کمتر مورد استفاده قرار میگیره و موردی هست

    **** مثالهایی هم که نوشتم فقط نمونه خیلی کوچکی از نحوه syntax نوشتن اونهاست و میشه هزاران جور دیگه تغییر داد یا ترکیب کرد و اینجا فقط به سر فصل اشاره شد.




    refresh pattern ها

    مشخص میکنند که چه چیزهایی باید کش بشن و تا چه مدت و اینکار رو با خوندن هدری که در html قرار داده میشه میغهمه ولی خیلی سایتها از tag default استفاده میکنن و زیاد توی سرعت باز شدن اینگونه سایتها تاثیری حاصل نمیشه

    نمونه های زیادی از refresh pattern توی اینترنت هست و با یاد***ی روش میشه دستی هم نوشت:

    کد PHP:
    refresh_pattern [-i] regex min percent max [options]
    refresh_pattern -i \.gif$ 1440 20% 10080

    نمونه:

    کد PHP:
    refresh_pattern ^ftp: 1440 20% 10080
    refresh_pattern ^gopher: 1440 0% 1440
    refresh_pattern -i .(gif|png|jpg|jpeg|ico)$ 10080 90% 43200 override-expire ignore-no-cache ignore-no-store ignore-private
    refresh_pattern -i .(iso|avi|wav|mp3|mp4|mpeg|swf|flv|x-flv)$ 43200 90% 432000 override-expire ignore-no-cache ignore-no-store ignore-private
    refresh_pattern -i .(deb|rpm|exe|zip|tar|tgz|ram|rar|bin|ppt|doc|tif f)$ 10080 90% 43200 override-expire ignore-no-cache ignore-no-store ignore-private
    refresh_pattern -i .index.(html|htm)$ 0 40% 10080
    refresh_pattern -i .(html|htm|css|js)$ 1440 40% 40320
    refresh_pattern . 0 40% 40320
    ********مهم

    داینامیک content ها رو کش نمیکنه مثلا عکسهای کوچک کد امنیتی:

    کد PHP:
    refresh_pattern (/cgi-bin/|?) 0 0% 0
    پایان
    اگه مفید بود دکمه تشکر رو بفشارید
    ویرایش توسط hadi-110 : December 8th, 2012 در ساعت 19:53
    پاسخ با نقل قول پاسخ با نقل قول

  2. تعداد تشکر ها ازhadi-110 به دلیل پست مفید

    merci, VpsParse
  3. December 8th, 2012 19:04 # ADS




     
  4. December 10th, 2012, 08:07 #2
    hadi-110
    hadi-110 آنلاین نیست.
    کاربر اخراج شده
    تاریخ عضویت
    Oct 2011
    نوشته ها
    136
    تشکر تشکر کرده 
    121
    تشکر تشکر شده 
    491
    تشکر شده در
    370 پست

    پیش فرض پاسخ : آموزش اسکویید قدم به قدم قسمت چهارم :انواع access-list

    نقل قول نوشته اصلی توسط VpsParse نمایش پست ها
    مرسی. استفاده بردم
    بهتر نبود بجای نوشتن این جمله دکمه تشکر رامیفشردید؟
    پاسخ با نقل قول پاسخ با نقل قول

  5. تعداد تشکر ها ازhadi-110 به دلیل پست مفید

    merci, VpsParse
« موضوع قبلی | موضوع بعدی »

اطلاعات موضوع

کاربرانی که در حال مشاهده این موضوع هستند

در حال حاضر 1 کاربر در حال مشاهده این موضوع است. (0 کاربران و 1 مهمان ها)

موضوعات مشابه

  1. نگاهی به ACL(Access Control List) سیسکو
    توسط Sohan Roh در انجمن سیسکو Cisco
    پاسخ ها: 0
    آخرين نوشته: June 5th, 2013, 13:22
  2. آموزش اسکویید قدم به قدم
    توسط ourweb در انجمن سایر لینوکس ها
    پاسخ ها: 9
    آخرين نوشته: February 13th, 2013, 14:37
  3. آموزش اسکویید قدم به قدم قسمت اول
    توسط hadi-110 در انجمن مباحث و منابع آموزشی
    پاسخ ها: 4
    آخرين نوشته: February 11th, 2013, 09:37
  4. آموزش Cisco Access List
    توسط ourweb در انجمن سیسکو Cisco
    پاسخ ها: 1
    آخرين نوشته: December 1st, 2012, 23:14
  5. آموزش Cisco Access List
    توسط rsjpay در انجمن سیسکو Cisco
    پاسخ ها: 0
    آخرين نوشته: October 25th, 2011, 17:35

مجوز های ارسال و ویرایش

  • شما نمیتوانید موضوع جدیدی ارسال کنید
  • شما امکان ارسال پاسخ را ندارید
  • شما نمیتوانید فایل پیوست کنید.
  • شما نمیتوانید پست های خود را ویرایش کنید
  •  

مشاهده قوانین انجمن