http_access deny manager      

http_access deny !Safe_ports  

http_access allow users

http_access deny !Safe_ports  

http_access deny CONNECT !SSL_ports  

http_access deny all

# Адрес пользователя, которого будут уведомлять о переполнении кеша   

cache_mgr root@test.ru

# Пользователь, от имени которого будет работать Squid

cache_effective_user nobody

# Группа, от имени которой будет работать Squid

cache_effective_group nogroup

# Включать ли IP-адрес клиента в заголовок http-запроса

forwarded_for on

# Разрешаем управлять кешем с помощью cachemgr.cgi. В качестве пароля будем использовать слово «passwd»

cachemgr_passwd passwd all

# Включаем сбор статистики по каждому клиенту

client_db on

Обращаю ваше внимание на строку acl users src «/usr/local/squid/etc/users.txt». Она означает, что список пользователей, которым разрешен доступ к squid, находится в файле /usr/local/squid/etc/users.txt. Файл списка имеет следующий формат:

#Петрова Наталья (Снабжение)

192.168.10.91/32

#Иванов Владимир (Доставка)

192.168.10.92/32   

#Сергеев Игорь (Плановый отдел)

192.168.10.93/255.255.255.255

#Кривоухина Ирина    (Лаборатория)

192.168.10.94/255.255.255.255

#Синицына Светлана (секретарь генерального директора)

192.168.10.95/255.255.255.255

Реально в списке содержатся не имена пользователей, а IP-адреса их машин. Как вы смогли убедиться, все устроено достаточно просто. Решено работать с отдельным файлом, содержащим список пользователей, чтобы не перегружать главный конфигурационный файл.

Users.txt должен иметь те же права доступа, что и squid.conf, для того чтобы squid мог читать его содержимое.

# chown nobody:nogroup /usr/local/squid/etc/users.txt

Возможен и другой вариант управления доступом к web. При этом доступ во внешнюю сеть средствами squid не ограничивается. Разграничением доступа в этом случае будет заниматься SquidGuard. Для тех пользователей, чей адрес не внесен в файл /usr/local/squidGuard/squidGuard.conf, производится перенаправление на страницу запрещения. Соответственно, эти пользователи никогда Интернета не увидят. Чтобы добиться такого эффекта, нужно удалить из squid.conf строки:

acl users src "/usr/local/squid/etc/users.txt"

http_access allow users

http_access deny all

И добавить в squid.conf вместо них строку:

http_access allow all

Мне больше нравится второй вариант разграничения доступа. Если использовать традиционную схему разграничения прав, то проверка прав доступа происходит дважды. Сначала внутри Squid, а затем в SquidGuard. Мне кажется, что управлять доступом в одной точке гораздо удобнее. Но это опять же дело вкуса.

Настало время создать директорию, в которой у нас будет храниться кеш squid.