squid的相关设定

jbin82

acl advance src 192.168.50.9 192.168.50.10
acl normal src 192.168.50.2-192.168.50.8
acl all src 0.0.0.0/0.0.0.0
acl download urlpath_regex -i \.exe$ \.avi$ \.jpg$ \.mp3$ \.rm$ \.zip$
acl worktime time MTWHF 9:00-:23：30
http_access allow advance
http_access deny normal download
http_access allow normal worktime
http_access deny all

现在我的192.168.50.0/24整个网段都能ping通外网，我想问一下在squid里能不能控制好icmp协议？比如上面的例子，让不能上网的用户就不能ping通外网，192.168.50.2---192.168.50.8的用户在工作时间外也不能ping通外网，请问各位应如何控制为妥？

晨想

iptables 的事情。

jbin82

谢谢楼主的提醒！怪不得找半天找不到相关的内容，请问在iptables应怎样设定？

晨想

那请你读读相关的资料。。。比如精华帖。

springwind426

iptable中如果需要设置时间，你必须使用time扩展。

思路：（具体设置你看看相关文档）
1、squid只作为透明代理（即从浏览器中设置该代理机器作为代理服务器将无效）
2、squid中不对IP和时间进行限制
3、在系统中用iptables来限制客户机器的访问。
iptables -t nat -A PREROUTING -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -t nat -A PREROUTING -p tcp --dport 80 -m time  ... -j REDIRECT --to-port 3128
iptables -t nat -A PREROUTING -m time ... -j ACCEPT
iptables -t nat -A PREROUTING -j DROP

在nat表的PREROUTING链中设置的原因是因为需要重新定向以满足透明代理。