Tema: Re: web adminų galvos skausmai
Autorius: Nerijus Kislauskas
Data: 2012-03-26 10:53:07
On 03/23/2012 08:50 PM, Laimis wrote:
> Iš tikrųjų yra taip:

Dėkui už išsamų paaiškinimą. Kadangi saitų pas mus yra 800+, norisi kuo
mažiau custom'izacijų. Vyliausi, kad gal šitai bus galima išspręsti
paprastesnėmis priemonėmis, nei kišimasis į PHP kodą. Pasirodo nelabai. :(

Išbandžiau ir kitą (ne tokį gražų) būdą:

iptables:
iptables -t nat -A OUTPUT -p tcp --dport www -m owner --gid-owner users
-j REDIRECT --to-ports 3128

/etc/squid3/squid.conf:
http_port 3128 intercept
....
acl joomla dstdomain .joomla.org .joomlacode.org
acl google www.google.com
....
http_access allow localhost joomla
http_access allow localhost google
....
http_access deny all

Privalumai:
Filtracija pagal domenus (adresai gali vaikščioti po pasaulį)
Lengvas konfiginimas, jokio kodinimo
Realizuoji schemą "draudžiama kas nėra leidžiama"
Draudimų/leidimų loginimo galimybė.

Trūkumai:
HTTPS atveju reikia papildomos customizacijos squide (kertasi licenzijos
debian'e, todėl https palaikymas nėra implementuotas).
Neveikia ant IPv6 (nėra -t nat teiblo).
Neaišku, kaip veiktų kiti (ne http/https/ftp) protokolai.

IPv6 problemą galima bus ateityje išspręsti su TPROXY. Tam reikia TPROXY
palaikymo iptables, kernelyje ir squid'e. Debian stable dar iki to
nepriaugo. Teks palaukti metelius, kitus.
--
Pagarbiai,