Продолжаем мучать BM 3.9 ...

[Кирилл Яновский]

Разобравшись с 2-мя пунктами из 3 (http://novell.org.ru/forum/viewtopic.php?t=10240), все-таки не могу найти, как же отлаживать правила?
Ситуация следующая:
Надо дать некоторым юзерам возможность качать файлы, но только НЕ с файлообменников (rapida, deposit, letitbit и пр.) Сделано так -
1. правило, разрешающее качать mp3, exe, avi и пр...
2. правило, запрещающее вышеперечисленные сайты, вот так:
http://*depositfiles*/*
http://*rapidshare*/*
ну и т.д....
Проверил тестовым юзером - все нормально, при заходе на эти сайты получает 403.
Тут на днях логи глянул - мама дорогая, народ тянет гигами с файлообменников фильмы у меня безлимитка, но все равно, позор ) Могу, конечно, пойти ножками и настучать нарушителям админ-методами, но.. неспортивно как-то Причем, как всегда - "раньше все работало"... и "сломалось" именно после переезда на новый сервер и установку ВМ39 (правила в дереве оставались старые).
Раньше в таких случаях очень выручал просморт логов из самого NWADMIN-а, с указанием правил, которые сработали на запрет или разрешение... а сейчас, в IManager-е... не знаю, где искать.

[Dimerson]

*://*rapidshare*/* ?

опять же если у вас common logs можно прямо URL поглядеть что там и как.

У меня для анализа логов в BM37-39 прикручен юниксячий LIGHTSQUID btw.... правда тяму подработать его под mod_perl нк фатат.

там я смотрю какие "BIG FILES" тянул сей юзер

[Кирилл Яновский]

*://*rapidshare*/* ?

Так раньше и делал... но теперь, если рулим из IManagera (а не из него уже и не рулиться ), так писать не дает, только http:// спереди требует....

опять же если у вас common logs можно прямо URL поглядеть что там и как.

У меня для анализа логов в BM37-39 прикручен юниксячий LIGHTSQUID btw.... правда тяму подработать его под mod_perl нк фатат.

там я смотрю какие "BIG FILES" тянул сей юзер

Ну я же писал еще в прошлой теме - меня интересует в логах не кто куда ходил, это я вижу.. а какое правило (номер правило, которое разрешило или запретило) отработало. Раньше это было в самом NWADMINе, теперь - нету...

[Dimerson]

На предмет не дает из иманагера .... если там есть возможность сохранить настройки в XML то сохраняем правим заливаем взад (такой хинт).

Не будет больше индексед логов (через старый CSAUDIT).
И nwadmin тоже фсе.

[Мещеряков Андрей]

А если не секрет, через какие принципалы давались правила? Обычно у меня:
Разрешающие даются группам через контейнер
Запрещающие даются тем же группам, но через сервер.
Все работало. Может проблема в том, что имении файлообменника соответствует целый кластер адресов? Такая проблема была с "контактом" Пока не забанил все адреса, в которые он ресолвится, студенты ходили с гадкими улыбочками

[Dimerson]

у 3.7 весь резолвинг в pxyhosts ... если клстер он тот что первый хапнул и юзает имхо - 39 в этом плане не смотрел.

Иногда напрягает - windowsupdate в моменты массовых апдейтов на другие IP начинает резолвится а там старый ... по старинке .
прибить stopbrd, del pxyhosts, унлоад все что мешает unload netdb, лоад netdb, все что мешает,startbrd и все пучком.

а если идти http://ip-address и там нет виртуал серверов то как тогда быть ?

[Кирилл Яновский]

А если не секрет, через какие принципалы давались правила?

Я раньше держал все правила в свойствах сервера. Потом, по рекомендациям отсюда, перенес их в свойства OU. Правда, когда боролся с переездом на 3.9 (ссылка выше) - перенес их назад в сервер.
Правил у меня аж 13... надо бы, конечно, оптимизировать. Но у меня тут свои заморочки. Вот примерно основное:
Есть группы - СтудДоступ, ПреподДоступ, ДоунЛоад, ФуллДоступ, ОдноклассникиДА, ОдноклассникиНЕТ, ICQ, NoRapida (имена групп изменены )
Правила такие:
1. Всем закрыто все.
2. Определенным группам (СтудДоступ, ПреподДоступ, ....) открыто все УРЛ-ы
3. запрет СтудДоступ - список сайтов запрещенных
4. запрет ПреподДоступ - список сайтов запрещенных
5. разрешение на закачку файлов - группе ДоунЛоад
6. разрешение группе ICQ
7. разрешение всего (порты) группе ФуллДоступ
8. Запрет группе - ОдноклассникиНЕТ (соцсети)
9. Разрешение группе ОдноклассникиДА (соцсети)
Такой вот каламбурчик потому, что есть люди, которым можно все (т.е. ФулДоступ) но, кроме одноклассников, а есть люди из ПреподДоступ, но одноклассники в нерабочее время можно
10. Заперт группе NoRapida - всевозможных файлообменников..
Ну и еще неск. мелких правил, уже жля конкретных людей или урлов...

Обычно у меня:
Разрешающие даются группам через контейнер
Запрещающие даются тем же группам, но через сервер.

А зачем так разносить то? Не логичнее все правила в одном месте держать?

Все работало. Может проблема в том, что имении файлообменника соответствует целый кластер адресов? Такая проблема была с "контактом" Пока не забанил все адреса, в которые он ресолвится, студенты ходили с гадкими улыбочками

О! актуально... но разве проверка в правиле не по маске имени урла идет? какая разница, какой там айпишник выдаст ДНС ?

И еще вопросик к знатокам
Как в ИМанаджере перенести правила из свойств сервера в свойства ОУ, не могу найти...

[Мещеряков Андрей]

Просто приоритет правила данного серверу выше приоритета для контейнера Может быть это и не есть оптимально, но отлаживалось на ранних релизах 3.5 где были проблемы с фильтрацией контента вообще.. А дальше - система просто поддерживалась Так же и вопрос о бане кластера по имени урла - кроме разработчиков, вам наверное никто не обяснит, почему такое не получается

[Кирилл Яновский]

Ну так все-таки, кто знает,
Как в ИМанаджере переносить правила из свойств сервера в свойства ОУ, ну и вообще, в другой контекст, не могу найти...
В НВАдмине - легко, через буфер обмена.. а тут..... все перерыл, нету...

[Dimerson]

Экспорт-импорт через XML ?

[Кирилл Яновский]

Экспорт-импорт через XML ?

Не знаю, может я совсем слепой, не вижу я в ХМЛ-файле, где там контекст указыываеться, где правила храняться меняеться...
Сделайте кто-нибудь экспорт и гляньте у себя, он там вообще есть?

[Dimerson]

Сделайте для интереса одну и ту же ACL на уровне сервера и на сам OU.

Сравните.

Имхо тут текстовый редактор и заливка назад.

[Кирилл Яновский]

Сделайте для интереса одну и ту же ACL на уровне сервера и на сам OU.

Сравните.

Имхо тут текстовый редактор и заливка назад.

Ну я так понял, тут только ручками заново правила вбивать (в другой контекст), ибо как их переносить или копировать, так и не понял.

А вот на счет импорта-экспорта тоже затык, сам экспорт - замечательно, кнопочка "бэкап" внизу и выводит файл setup.xml. А вот как назад "всосатЬ", не получаеться. Единственное место, где предлагаеться "restore configuration" - это страница выбора сервера BM. Выбираю тот же файл, получаю ошибку - "Please enter a valid object full name before submitting the request"... какой ему фулнайм то нужен? файл с полный путем указываю...

З.Ы. вчера опять прибил правило, создал заново, потасовал юзеров по группам, бесполезно.. опять несколько человек с файлообменников замечательно тянут.

Да, и еще.. кто-то как-то бореться с анонимными прокси типа - http://www.proxylord.com/ у меня особо одаренные повадились через них ходить, куда не положено.. и в логах ничего запрещенного не отображаетсья, есстественно.. Ну закрою я этот, но их же много?

[Dimerson]

докладная начальству

[Кирилл Яновский]

докладная начальству

Ну это понятно, вопрос был скорее риторический

А про импорт-экспорт, не подскажите? Где его делать то, этот импорт ?