Расширенная фильтрация веб-прокси
Основным механизмом фильтрации веб-прокси является использование плагина os-proxy-useracl, который предлагает расширенный функционал по фильтрации с использованием:
различных списков доступа (пользователи, группы, домены источника/назначения и др.)
выборочной фильтрации контента с использованием протокола ICAP
распределения запросов по исходящим каналам
Установка плагина os-proxy-useracl
Для работы с пользовательскими и групповыми списками нужно установить плагин os-proxy-useracl.
Пройдите в раздел . На вкладке нажмите на кнопку + напротив плагина os-proxy-useracl для его установки.
После установки плагина, в разделе появится подраздел .
Создание списков фильтрации
Предварительно необходимо создать списки, которые будут в дальнейшем использоваться для создания правил фильтрации.
Поддерживается следующие типы списков:
Пользователи и группы - здесь можно составить списки пользователей и групп как локальных (прописанных на устройстве TING), так и пользователей и групп с настроенным методом аутентификации LDAP или Kerberos (в домене Active Directory). [1]
Для создания данного списка необходимо ввести описательное имя для этого списка, имя, как оно прописано в локальной базе или базе LDAP/Active Directory, указать тип данного списка Пользователь или Группа и выбрать метод аутентификации - Local Database (локальная база) либо другая, созданная ранее.
Примечание
Применительно к функционалу доменных списков, LDAP используется для проверки существования пользователя или группы в момент создания списка доступа, и для установления принадлежности пользователя к доменной группе в процессе работы списка доступа.
Предупреждение
При работе с Microsoft AD существует проблема поиска пользователя в первичной группе (как правило, это группа Users либо Пользователи домена). Это приводит к тому, что правило, созданное для этой группы не работает.
MAC-адреса - список доступа, основанный на физическом адресе сетевого адаптера подключаемого устройства.
Для создания данного списка необходимо ввести описательное имя для этого списка и mac-адрес в формате
XX:XX:XX:XX:XX:XX[2]
Сети источника - список доступа, основанный на IP адресе сетевого адаптера подключаемого (подключаемых) устройств.
Для создания данного списка необходимо ввести описательное имя для этого списка и IP адрес источника (допускается указание одиночных IP-адресов и IP-сетей):
192.168.1.77 192.168.1.0/24
Сети назначения - список доступа, основанный на IP адресе ресурса, к которому необходимо управлять доступом.
Для создания данного списка необходимо ввести описательное имя для этого списка и IP адрес ресурса (допускается указание одиночных IP-адресов и IP-сетей):
192.168.1.77 192.168.1.0/24
Домены - список доменов ресурсов, к которым необходимо управлять доступом.
Для создания данного списка необходимо ввести описательное имя для этого списка, а также указать домен (домены).
При установке флажка Регулярное выражение информацию необходимо вводить в формате регулярных выражений.
Browser/user-agents
Для создания данного списка необходимо ввести описательное имя для этого списка, а также указать user-agent используемого браузера, доступ с которого необходимо регулировать в формате регулярных выражений.
MIME типы - список MIME типов контента доступ к которому необходимо регулировать. Плагин имеет уже предварительно сконфигурированный список, который вы можете дополнить своими записями.
Расписания - список расписаний, с помощью которых можно будет настроить/ограничить доступ к ресурсам в течение указанного промежутка времени и по дням недели.
Удалённые списки контроля доступа - подключаемые удалённые списки, которые формируются вами либо третьей стороной на отдельном ресурсе и могут быть использованы в правилах блокировки и разрешения доступа.
В настройках присутствуют три преустановленных списка доступа:
Блокировка рекламы от https://pgl.yoyo.org/adservers
Список IP Роскомнадзора
Список URL Роскомнадзора
Вы можете добавить свой список, нажав кнопку +
Имя файла
Имя файла (как файл будет называться в устройстве TING)
URL
URL адрес загрузки списка доступа
имя пользователя
Необязательное поле в случае использования парольного подключения.
пароль
Необязательное поле в случае использования парольного подключения.
Игнорировать сертификаты SSL
Игнорировать проверку SSL-сертификата для самоподписанных сертификатов.
Тип чёрного списка
Поддерживается три формата списков: Домены, URL-адреса, IP адреса [3]
Описание
Описание списка
После добавления записи с удаленным списком, его необходимимо скачать, нажав кнопку Скачать списки контроля доступа либо Скачать списки контроля доступа и применить.
Примечание
Также можно создать задачу в планировщике заданий для периодического обновления (скачивания) удаленных списков, нажав соответствующую кнопку Запланировано с помощью планировщика задач Cron .
Создание правил фильтрации
Правила фильтрации используют списки, созданные на этапе proxy-useracl_useracl
Примечание
Правила обрабатываются по порядку. Обработка правил прекращается при первом совпадении.
Для создания правил перейдите в меню .
Поддерживаются правила следующих видов:
HTTP access - правила предоставления/ограничения доступа.
SSL Bump - правила исключений для операций SSL Bump.
ICAP - правила управления обработкой ICAP.
TCP Outgoing Address - правила маршрутизации исходящих запросов средствами прокси-сервера.
Для создания правила предоставления/ограничения доступа необходимо создать правило фильтрации и заполнить необходимые атрибуты :
Для создания правила исключения операций SSL Bump, необходимо создать правило исключения и заполнить необходимые атрибуты :
Для создания правила исключения обработки ICAP (чаще всего антивирус), необходимо создать правило и заполнить необходимые атрибуты :
Для создания правила, согласно которому прокси-сервер будет осуществлять те либо иные исходящие запросы с использованием указанного IP адреса, необходимо создать правило исключения и заполнить необходимые атрибуты :
Внимание
Используемый IP адрес должен быть настроен в системе.
Черный/Белый |
Запрещающее (Чёрный) или разрешающее (Белый) правило. |
Класс |
|
Приоритет |
Порядок обработки. По умолчанию, вновь созданному правилу присваивается приоритет 0 (наивысший) - оно обрабатывается первым и располагается в начале списка. В дальнейшем, вы можете двигать правила вверх/вниз, тем самым меняя порядок обработки правил. Также вы можете менять приоритет в самом правиле [4]. |
Пользователь/Группа |
Выберите список пользователей/групп, которые будут обрабатываться в данном правиле. |
Домены |
Выберите список доменов, которые будут обрабатываться в данном правиле. |
Netpolice |
Выберите списки Netpolice [5], которые будут обрабатываться в данном правиле. |
IP-адреса источника |
Выберите список адресов сетей источника, которые будут обрабатываться в данном правиле. |
IP-адреса назначения |
Выберите список адресов сетей назначения, которые будут обрабатываться в данном правиле. |
Браузер/user-agents |
Выберите список юзер-агентов браузеров, которые будут обрабатываться в данном правиле. |
Расписания |
Выберите список расписаний, которые будут обрабатываться в данном правиле. |
MIME типы |
Выберите список MIME ресурсов, которые будут обрабатываться в данном правиле. |
MAC-адреса |
Выберите список MAC адресов, которые будут обрабатываться в данном правиле. |
Удаленные списки контроля доступа |
Выберите удаленный список, который будет обрабатываться в данном правиле. |
Примечание
Не обязательно задавать все поля: правило «срабатывает» только в том случае, когда все критерии, заданные в нем, совпадают.