Доброе время суток.Появилась у меня необзодимость перекрыть ИНЕТ некоторым пользователям.
Написал acl`ы одним разрешил, другим запретил, перезапустил сквид, а доступ остался у всех как и был. Ладно думаю, хорошо, перекрыл всем - тоже самое.
Вот кусок конфига с acl`ами:
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl SSL_ports port 443 563
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT# TAG: http_access
# Allowing or Denying access based on defined access lists
#
# Access to the HTTP port:
# http_access allow|deny [!]aclname ...
#
# NOTE on default values:
#
# If there are no "access" lines present, the default is to deny
# the request.
#
# If none of the "access" lines cause a match, the default is the
# opposite of the last line in the list. If the last line was
# deny, then the default is allow. Conversely, if the last line
# is allow, the default will be deny. For these reasons, it is a
# good idea to have an "deny all" or "allow all" entry at the end
# of your access lists to avoid potential confusion.
#
#Default:
# http_access deny all
#
#Recommended minimum configuration:
#
# Only allow cachemgr access from localhost
http_access allow manager localhost
http_access deny manager
# Deny requests to unknown ports
http_access deny !Safe_ports
# Deny CONNECT to other than SSL ports
http_access deny CONNECT !SSL_ports
#
# INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS
#
# And finally deny all other access to this proxy
http_access allow localhost
http_access deny allполностью стандартный кусок. Должен запретить доступ всем ан нет!!!!
Я в отчаянии прошелся поиском по всем all в squid.conf и поставил, где это возможно, deny.Мог бы фаерволом перкрыть доступ к 3128, но ведь у сквида есть прекрасные возможности резать банеры, доступ по дня/часам/дням недели, запрет скачки музки/видео, запрет URL`ок (допустим ХХХ).
Дайте маяк, что за грабли, замахался, не могу найти в чем дело.Please help!!!
Дополнительная информация: squid-2.4.STABLE6.Пробовал искать ответ на форуме, были советы менять местами acl`ы с allow/deny, что-то не помогло.
>Дополнительная информация: squid-2.4.STABLE6.
>
>Пробовал искать ответ на форуме, были советы менять местами acl`ы с allow/deny,
>что-то не помогло.
Поставь squuidGuard - и инет ограничишь и заодно запретишь всякий отстой типа порнухи, mp3, рекламы и т.д.
>>Дополнительная информация: squid-2.4.STABLE6.
>>
>>Пробовал искать ответ на форуме, были советы менять местами acl`ы с allow/deny,
>>что-то не помогло.
>Поставь squuidGuard - и инет ограничишь и заодно запретишь всякий отстой типа
>порнухи, mp3, рекламы и т.д.А что это распространенная болезнь squid-2.4.STABLE6, и лечится только через squuidGuard?
Может еще какие советы...?
Кусок squid.conf с acl`ами нормальный или всетаки что-то не так?
>>>Дополнительная информация: squid-2.4.STABLE6.
>>>
>>>Пробовал искать ответ на форуме, были советы менять местами acl`ы с allow/deny,
>>>что-то не помогло.
>>Поставь squuidGuard - и инет ограничишь и заодно запретишь всякий отстой типа
>>порнухи, mp3, рекламы и т.д.
>
>А что это распространенная болезнь squid-2.4.STABLE6, и лечится только через squuidGuard?
>Может еще какие советы...?
>Кусок squid.conf с acl`ами нормальный или всетаки что-то не так?
Я не знаю, почему твой кусок не работает. Просто фильтровать через squidGuard быстрее и удобнее.
>>>>Дополнительная информация: squid-2.4.STABLE6.
>>>>
>>>>Пробовал искать ответ на форуме, были советы менять местами acl`ы с allow/deny,
>>>>что-то не помогло.
>>>Поставь squuidGuard - и инет ограничишь и заодно запретишь всякий отстой типа
>>>порнухи, mp3, рекламы и т.д.
>>
>>А что это распространенная болезнь squid-2.4.STABLE6, и лечится только через squuidGuard?
>>Может еще какие советы...?
>>Кусок squid.conf с acl`ами нормальный или всетаки что-то не так?
>Я не знаю, почему твой кусок не работает. Просто фильтровать через squidGuard
>быстрее и удобнее.Дааааааааа, печально.
НАРОД!!! ну может еще какие идеи есть?
>>>>Дополнительная информация: squid-2.4.STABLE6.
>>>>
>>>>Пробовал искать ответ на форуме, были советы менять местами acl`ы с allow/deny,
>>>>что-то не помогло.
>>>Поставь squuidGuard - и инет ограничишь и заодно запретишь всякий отстой типа
>>>порнухи, mp3, рекламы и т.д.
>>
>>А что это распространенная болезнь squid-2.4.STABLE6, и лечится только через squuidGuard?
>>Может еще какие советы...?
>>Кусок squid.conf с acl`ами нормальный или всетаки что-то не так?
>Я не знаю, почему твой кусок не работает. Просто фильтровать через squidGuard
>быстрее и удобнее.
Далеко не всегда! Есть вещи которые удобнее делать через squid!!!
Хотя я ярый поклонник squidGuard!!!
Да и вопрос то, был по SQUID-у.
>>>Дополнительная информация: squid-2.4.STABLE6.
>>>
>>>Пробовал искать ответ на форуме, были советы менять местами acl`ы с allow/deny,
>>>что-то не помогло.
>>Поставь squuidGuard - и инет ограничишь и заодно запретишь всякий отстой типа
>>порнухи, mp3, рекламы и т.д.
>
>А что это распространенная болезнь squid-2.4.STABLE6, и лечится только через squuidGuard?
>Может еще какие советы...?
>Кусок squid.conf с acl`ами нормальный или всетаки что-то не так?е если сделать acl для своей подсетки и запретить?
в STABLE3 такой проблемы нет
может пропатчить надо
>Please help!!!
Проверь cache.log на наличие ошибок.
При некоторых ошибках Squid пускает ВСЕХ!!!
Пара первых строк, закроет всех!!! Но первых!!!acl all src 0.0.0.0/0.0.0.0
http_access deny all
А если пустить нужно некоторых то:acl all src 0.0.0.0/0.0.0.0
acl office src 192.168.0.1-192.168.0.20
http_access allow office
http_access deny all
>
>>Please help!!!
>Проверь cache.log на наличие ошибок.
>При некоторых ошибках Squid пускает ВСЕХ!!!
>Пара первых строк, закроет всех!!! Но первых!!!
>
>acl all src 0.0.0.0/0.0.0.0
>http_access deny all
>
>
>А если пустить нужно некоторых то:
>
>acl all src 0.0.0.0/0.0.0.0
>acl office src 192.168.0.1-192.168.0.20
>http_access allow office
>http_access deny allвот cache.log
2003/01/24 08:48:28| Starting Squid Cache version 2.4.STABLE6 for i386-redhat-linux-gnu...
2003/01/24 08:48:28| Process ID 1035
2003/01/24 08:48:28| With 1024 file descriptors available
2003/01/24 08:48:28| DNS Socket created on FD 4
2003/01/24 08:48:28| Adding nameserver xxx.xx.xx.x from /etc/resolv.conf
2003/01/24 10:33:11| Starting Squid Cache version 2.4.STABLE6 for i386-redhat-linux-gnu...
2003/01/24 10:33:11| Process ID 2841
2003/01/24 10:33:11| With 1024 file descriptors available
2003/01/24 10:33:11| DNS Socket created on FD 4
2003/01/24 10:33:11| Adding nameserver xxx.xx.xx.x from /etc/resolv.conf
>вот cache.log
>2003/01/24 08:48:28| Starting Squid Cache version 2.4.STABLE6 for i386-redhat-linux-gnu...
>2003/01/24 08:48:28| Process ID 1035
>2003/01/24 08:48:28| With 1024 file descriptors available
>2003/01/24 08:48:28| DNS Socket created on FD 4
>2003/01/24 08:48:28| Adding nameserver xxx.xx.xx.x from /etc/resolv.conf
>2003/01/24 10:33:11| Starting Squid Cache version 2.4.STABLE6 for i386-redhat-linux-gnu...
>2003/01/24 10:33:11| Process ID 2841
>2003/01/24 10:33:11| With 1024 file descriptors available
>2003/01/24 10:33:11| DNS Socket created on FD 4
>2003/01/24 10:33:11| Adding nameserver xxx.xx.xx.x from /etc/resolv.confОшобок не видно! НО!!!
Нет сообщений о готовности.
Вот мой:
2003/01/24 12:11:21| Restarting Squid Cache (version 2.5.STABLE1)...
2003/01/24 12:11:21| FD 492 Closing HTTP connection
2003/01/24 12:11:21| FD 496 Closing ICP connection
2003/01/24 12:11:21| FD 506 Closing SNMP socket
2003/01/24 12:11:21| Cache dir '/squid_cache' size remains unchanged at 3532800 KB
2003/01/24 12:11:21| DNS Socket created at 0.0.0.0, port 3766, FD 492
2003/01/24 12:11:21| Adding nameserver 127.0.0.1 from /etc/resolv.conf
2003/01/24 12:11:21| helperOpenServers: Starting 2 'squidGuard' processes
2003/01/24 12:11:21| helperOpenServers: Starting 1 'auth' processes
2003/01/24 12:11:21| Accepting HTTP connections at 0.0.0.0, port 3128, FD 493.
2003/01/24 12:11:21| Accepting ICP messages at 0.0.0.0, port 3130, FD 506.
2003/01/24 12:11:21| Accepting SNMP messages on port 3401, FD 509.
2003/01/24 12:11:21| WCCP Disabled.
2003/01/24 12:11:21| Loaded Icons.
2003/01/24 12:11:21| Ready to serve requests.
>Пара первых строк, закроет всех!!! Но первых!!!
>
>acl all src 0.0.0.0/0.0.0.0
>http_access deny allоставил только эти две строки - пускает всех.
>>Пара первых строк, закроет всех!!! Но первых!!!
>>
>>acl all src 0.0.0.0/0.0.0.0
>>http_access deny all
>
>оставил только эти две строки - пускает всех.
Надеюсь squid запущен с тем файлом который ты правишь.
А перезапустить squid после правки???
Других причин не вижу. А нет есть еще одна!!! А у пользователей настроено ходить через squid, или может напрямую ломятся!!!
Ну как?
Почему такая тишина?
Работает или нет?
>Ну как?
>Почему такая тишина?
>Работает или нет?Переписал полностью конфиг и заработало. (поэтому так долго молчал)
Так и не знаю в чем причина была.
>>Ну как?
>>Почему такая тишина?
>>Работает или нет?
>
>Переписал полностью конфиг и заработало. (поэтому так долго молчал)
>Так и не знаю в чем причина была.рекомендую ознакомиться с утилитой diff.
запускаешь ее к примеру так:
# diff -u config.default config | less
и сразу видишь чего ты там наковырял...
>>>Ну как?
>>>Почему такая тишина?
>>>Работает или нет?
>>
>>Переписал полностью конфиг и заработало. (поэтому так долго молчал)
>>Так и не знаю в чем причина была.
>
>рекомендую ознакомиться с утилитой diff.
>запускаешь ее к примеру так:
># diff -u config.default config | less
>и сразу видишь чего ты там наковырял...
утилита действительно классная, но первоначальный конфиг был с комментариями (стандартный), а когда переписывал я их убрал + убрал некоторые строки значения которых по умолчанию меня устраивают.
Так что разница получилась бы потрясающая, долго бы искал причину.