Як заблокувати соціальні мережі

Конфігураційний файл squid.conf Новомосковскется зверху вниз, отже політики дозволяють доступ повинні стояти вище, ніж політики забороняють доступ. Так наприклад, в попередній статті, дозволу для бухгалтерів і комерційного відділу ми вставили вище, ніж повна заборона.

http_access allow buh
http_access allow komotdel
http_access deny all

nano -w /etc/squid3/squid.conf

# Social Networks
acl vk dstdomain .vk.com
acl fb dstdomain .facebook.com
acl ok dstdomain .odnoklassniki.ru
acl yt dstdom_regex -i youtube

Далі заборонимо доступ до соц. мереж. Для цього додаємо перед вирішальними правилами для користувачів, які забороняють правила для соціалок.

http_access deny vk
http_access deny fb
http_access deny ok
http_access deny yt
http_access allow komotdel
http_access allow buh

Виникає розумне питання: а як зробити, щоб для комерційного відділу youtube і вконтакте все-таки працював?
Відповідаю: розташувати правила заборони, згідно із заданими умовами:

1. Для початку заборонимо всі ресурси, до яких ніхто не повинен мати доступу - це фейсбук і однокласники.

http_access deny fb
http_access deny ok

2. Тепер відкриємо доступ комерційного відділу

http_access allow komotdel

http_access deny vk
http_access deny yt

4. І тільки потім, відкриваємо доступ бухгалтерам.

http_access allow buh

В самому кінці має стояти правило повної заборони.

http_access deny all

Разом, отримуємо наступний шматок конфіга

# NET ACLs
acl buh src 192.168.10.64/26
acl komotdel src 192.168.10.128/26

# Social Networks
acl vk dstdomain .vk.com
acl fb dstdomain .facebook.com
acl ok dstdomain .odnoklassniki.ru
acl yt dstdom_regex -i youtube

# ACCESS
http_access deny fb
http_access deny ok
http_access allow komotdel
http_access deny vk
http_access deny yt
http_access allow buh
http_access deny all

Після внесення змін до конфігураційний файл, незабутній переконфигурировать наш проксі сервер.

У наступній статті ми поговоримо про автономних мережах і тонких політиків доступу для протоколу HTTPS.