Расширенная конфигурация squidGuard

Перевод с англ., источник: http://www.squidguard.org/Doc/extended.html

Имеются несколько дополнительных параметров, чтобы сконфигурировать squidGuard в соответствии с вашими нуждами.

• Запрещение IP-адресов
  

Чтобы быть уверенным, что пользователи не могут обойти URL-фильтр простым использованием IP-адресов вместо полных определенных доменных имен (FQDN), вы можете добавить параметр !in_addr следующим образом в ваш acl:

acl {
default {
pass !in-addr all
redirect http://localhost/block.html
}
}

• Блокирование на основе времени
  

Имеется два пути определить дату и время, когда разрешается и запрещается доступ к веб-сайтам. Директива weekly используется для переопределения времени доступа, например разрешение веб-доступа и блокирование веб-сайтов после работы.
Используя директиву date, вы можете определить специальные дни, по которым может быть предоставлен доступ. Могу использоваться шаблоны имен.

time afterwork {
weekly * 17:00-24:00 # After work
weekly fridays 16:00-17:00 # On friday we close earlier
date *.01.01 # New Year's Day
date *.12.24 12:00-24:00 # Christmas Eve
date 2006.04.14-2006.04.17 # Easter 2006
date 2006.05.01 # Maifeiertag
}

Чтобы применить определенное время, вы можете использовать классификаторы within и outside соответственно. Теперь ваш acl выглядит так:

acl {
all within afterwork {
pass all
}
else {
pass !adv !porn !warez all
}
default {
pass none
redirect http://localhost/block.html
}
}

Это означает, что для каждого свободный доступ у веб-сайтам возможен в течение времени, определенного в afterwork. После этого времени пользователи не могут иметь доступ, что бы ни было определено в adv, porn и warez.

• Правила, основанные на исходных IP-адресах
  

Если вам необходимы политики для предоставления одним пользователям доступа к большему количеству веб-сайтов, чем другим, у вас есть разные варианты осуществления этой политики. Первый способ - определить списки acl с исходными IP-адресами. Это может работать, только если группы пользователей разделены по IP-адресам внутри вашей сети.
Предподожим, что это случай, когда вы можете сейчас определить исходный диапазон IP-адресов в вашем файле squidGuard.conf следующим образом:

src admins {
ip 192.168.2.0-192.168.2.255
ip 172.16.12.0/255.255.255.0
ip 10.5.3.1/28
}

Вы можете указать IP-адреса прямо также, как определение IP-диапазонов с использованием нотации "from-to", определяя маску подсети или используя аббревиатуру префикса маски подсети.
Примечание: Если у вас еесть несколько определений сетей для пользовательских групп, вы можете размесить эту информация в отдельном файле и просто прописать в вашем файле squidGuard.conf о расположении файла. В этом случае вы пишете в вашем squidGuard.conf:

src admins {
iplist adminlist
}

squidGuard посмотрит файл с именем adminlist, расположенный в любом месте, которое вы указали директивой dbhome. Альтернативно, вы можете определить абсолютный путь с вашим именем файла. Сам файл содержит информацию в следующем стиле:

192.168.2.0-192.168.2.255
172.16.12.0/255.255.255.0
10.5.3.1/28

• Журналирование событий блокирования доступа
  

Может представлять интерес, кто попытался получить доступ к блокированным сайтам. Чтобы проследить это, вы можете добавить директиву log в ваши определения src и dest в вашем файле squidGuard.conf. Если задано только имя файла, файл ищется в каталоге, определенном директивой logdir.

dest porn {
domainlist porn/domains
urllist porn/urls
log pornaccesses
}