Unterabschnitte


7.6 Weitere praktische Beispiele

Es folgen nun einige weitere Beispiele aus der Praxis, die zum einen die Regelbearbeitung verdeutlichen, zum anderen als praktische Vorlagen für eigene Regelwerke dienen können.

7.6.1 Verhinderung des Cache von bestimmten Servern

Sie haben eigene Server mit vielen Daten im lokalen Netz mit schneller Anbindung. U.U. hat es keinen Sinn die Daten dieses Servers zusätzlich im Proxy zu speichern.

acl no_cache_servers dstdomain .mein-netz.de 
no_cache deny no_cache_servers
Damit wird verhindert, dass Objekte von Servern aus der Domain mein-netz.de in den Cache aufgenommen werden.

7.6.2 Access-Liste für Internetzugang auf IP-Adressen

Sie wollen bestimmten Clients auf IP-Basis den Zugang ins Internet erlauben, alle anderen sollen nur in das lokale Intranet (hier 192.168.10.0/255.255.255.0) zugreifen.

acl all src 0/0 
acl local dst 192.168.10.0/24 
acl internet src "/usr/local/squid/etc/internet.src" 
http_access allow local 
http_access allow internet 
http_access deny all
Zeile 2 definiert Ihr lokales Netz als Zieladresse (dst) .

In Zeile 3 wird eine Datei bestimmt, in der die Client-Adressen (src), die Zugriff auf das Internet erhalten sollen, enthalten sind.

Zeile 4 erlaubt grundsätzlich den Zugriff auf alle lokalen Zieladressen.

Zeile 5 erlaubt allen Clients, die in der angegebenen Datei aufgeführt sind, den generellen Zugriff (überallhin).

Zeile 6 verbietet allen anderen den Zugriff.

Die Datei /usr/local/squid/etc/internet.src muss manuell angelegt werden und enthält die für das Internet zugelassenen IP-Adressen. Beispiel:

192.168.10.21/255.255.255.255 
192.168.10.34/255.255.255.255 
192.168.10.35/255.255.255.255
Diese Datei muss für den Squid-Prozess (cache_effektive_user) lesbar sein.

7.6.3 Zugang nur zu bestimmten Zeiten

Aus bestimmten Gründen (z.B. Kostenreduzierung) soll der Internetzugang nur zu bestimmten Zeiten zur Verfügung stehen. In der Hauptzeit (Montag bis Freitag 8:00 Uhr bis 18:00 Uhr) soll kein Internetzugang möglich sein.

acl all src 0/0 
acl local dst 192.168.10.0/24 
acl zeit time 8:00-18:00 
http_access allow local 
http_access allow !zeit 
http_access deny all

Zeile 2 definiert wieder das lokale Netz als Ziel.

Zeile 3 definiert einen Zeitraum, hier von 8-18 Uhr.

In Zeile 4 werden alle Zugriffe in das lokale Netz erlaubt.

In Zeile 5 werden alle Zugriffe erlaubt, die nicht in der definierten Zeit liegen.

Sie haben einen Server, auf den zu bestimmten Zeiten nur von einem ausgewählten Client zugegriffen werden darf (Wartungszeiten). Außerhalb dieser Wartungszeiten darf jeder zugreifen. Die Wartungszeiten sind freitags 13:00 Uhr bis 15:00 Uhr.

acl all src 0/0 
acl admin src 192.168.10.1/32 
acl wartung time F 13:00-15:00 
http_access allow admin 
http_access allow !wartung 
http_access deny all

Zeile 2 definiert den Client, der Administrationsrechte haben soll.

Zeile 3 definiert das Wartungsfenster (freitags 13-15 Uhr).

In Zeile 4 wird dem Admin-PC uneingeschränkter Zugriff gewährt.

Zeile 5 gewährt allen anderen Zugriff, sofern sie nicht innerhalb der Wartungszeiten liegen.

7.6.4 Einschränkung der Internetnutzung

Sie wollen den Zugang zu bestimmten Seiten grundsätzlich sperren. Eine entsprechende Bannliste von zu sperrenden Domains liegt in einer externen Datei (/etc/banlist.txt) vor.

acl all src 0/0 
acl ban dstdomain "/etc/banlist.txt" 
http_access deny ban 
http_access allow all

Zeile 2 definiert eine Datei, die Domains enthält, die gesperrt werden sollen.

Zeile 3 verbietet den Zugriff auf die in dieser Datei enthaltenen Domains.

In Zeile 4 wird allen anderen der Zugriff erlaubt.

Sie wollen, dass der Internetzugang nur für bestimmte Aufgaben genutzt wird. D.h. es darf nur auf vorher freigegebene Server zugegriffen werden. Die Liste der erlaubten Server liegt in einer externen Datei (/usr/local/etc/free.txt) vor. Lokale Server sollen jedoch immer erreichbar sein.

acl all src 0/0 
acl local dst 192.168.10.0/24 
acl freelist dst "/usr/local/etc/free.txt" 
http_access allow local 
http_access allow freelist 
http_access deny all

Zeile 2 definiert das lokale Netz als Ziel.

Zeile 3 definiert eine Liste von Ziel-IP-Adressen in einer externen Datei.

In Zeile 4 wird der Zugriff auf das lokale Netz pauschal erlaubt.

In Zeile 5 wird für die in Zeile 3 definierten Zieladressen der Zugriff erlaubt.

Zeile 6 verbietet wieder alles andere.


(c)2003 dpunkt.Verlag - mail(a)squid-handbuch.de