« Squidでフッターを削除したい | Main | Trac/チケットのプロパティ制御の重複対応 »

2010.02.21

SquidでWhitelist方式のアクセス制御を行う

Blacklist方式のアクセス制御と同じような感じで、denyallowを変更することでWhitelist方式のアクセス制御も簡単に行うことができます。

ただ、単純にallowにしただけだと、予期せぬ接続元からのアクセスも許可してしまう可能性があるので、別の条件をANDで制御する必要はあるかと思いますが。

ちなみに、URLのリストをsquid.confに大量に直接記述するのもあれなので、URLリストを別ファイルで記述することにしてみました。

squid.confはこんな感じで定義。

acl lan src 192.168.99.0/24
acl acceptdomain dstdom_regex "/etc/squid/whitelist.dat"
http_access allow acceptdomain lan

※http_accessの最後の部分で、それまでの条件を満たさなかった場合は全て拒否するように定義

whitelist.datは

example.*
sample.*

のような感じで定義(正規表現で定義するかどうかは、個々に検討が必要ですが)。

注意しなければ行けないのは、外部ファイルには「項目のみ」しか記述できないことでしょうか。最初、条件(dstdom_regex)なども外部ファイルに定義してしまっていて、見事にエラーになりました(^^;

ちなみに、外部ファイルの修正を行った場合も、

/etc/init.d/squid reload

で設定ファイルの再読込を行わなければ反映されませんので注意が必要です。

ところで、接続を許可していないところにアクセスしようとした場合、http接続の場合はSquidのエラーページが表示されるのに、https接続の場合は「プロキシサーバへの接続を拒否されました」(Firefox 3.6)というメッセージが表示されるんでしょうね?? Squidのログには、http/httpsいずれの場合も403を戻しているのですが・・・(まぁ、アクセス拒否できているので、実害はないような気もしますが)。

|

« Squidでフッターを削除したい | Main | Trac/チケットのプロパティ制御の重複対応 »

Linux」カテゴリの記事

Comments

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



TrackBack

TrackBack URL for this entry:
http://app.cocolog-nifty.com/t/trackback/3959/47613615

Listed below are links to weblogs that reference SquidでWhitelist方式のアクセス制御を行う:

« Squidでフッターを削除したい | Main | Trac/チケットのプロパティ制御の重複対応 »