Конфиг SQUID для корпоративной сети

Блог им. akkerman
Как это часто бывает в крупных организациях, у нас тоже зарплату получают странные люди, которые следят за тем, кто на какие сайты ходитЬ. Конкретно в нашей организации обойти этих людей довольно просто, используя pptp-туннель. Но туннель, как водится, хилый и безжизненный, а корпоративная сетка… в общем тоже хилая в расчёте на одного сотрудника, но всё же пожирнее. И выход валидный из неё — только через прокси, считающий и протоколирующий все ваши заходы во вконтакт к Дурову в гости.
Как-то сама собой приходит в голову задача: настроить SQUID так, чтобы все сайты, кроме потенциально «подозрительных» с точки зрения наших безопасников проксировались выше на корпоративную «считалку», а все сайты, которые не хотелось бы светить в чужой статистике — роутились напрямую через PPTP-туннель.
Собственно, here is my config. Это явно не плод мощного умственного труда и в общем хотелось бы в нём видеть некие фичи наподобие переключения режимов «туннель доступен/туннель упал», но в общем это уже первая итерация, от которой можно отталкиваться в процессе эволюции:

http_access allow all
http_port 3128

coredump_dir /var/spool/squid3
refresh_pattern ^ftp:       1440    20% 10080
refresh_pattern ^gopher:    1440    0%  1440
refresh_pattern -i (/cgi-bin/|\?) 0 0%  0
refresh_pattern (Release|Packages(.gz)*)$      0       20%     2880
refresh_pattern .       0   20% 4320

cache_peer proxy.corp.ru parent 8080 0 no-query default login=MY_CORP_LOGIN:MY_CORP_PASS
acl lan_dest dst 127.0.0.0/8 172.0.0.0/8 10.0.0.0/8 192.168.0.0/16
acl corp_doms dstdom_regex ^(.+\.)?corp.ru$ ^(.+\.)?my.local.dom$
acl my_sites dstdomain "/etc/squid3/my_sites.acl"

never_direct deny lan_dest
never_direct deny corp_doms
never_direct deny my_sites

never_direct allow all


Соответственно, в /etc/squid3/my_sites.acl что-то вроде:

.velomania.ru
.kino35mm.ru
.hh.ru

0 комментариев

Только зарегистрированные и авторизованные пользователи могут оставлять комментарии.