URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 25486
[ Назад ]

Исходное сообщение
"Я неверю что виноват сквид, наверное у меня мало опыта!!!!"

Отправлено Vok , 24-Янв-03 11:55 
Доброе время суток.

Появилась у меня необзодимость перекрыть ИНЕТ некоторым пользователям.
Написал acl`ы одним разрешил, другим запретил, перезапустил сквид, а доступ остался у всех как и был. Ладно думаю, хорошо, перекрыл всем - тоже самое.
Вот кусок конфига с acl`ами:
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl SSL_ports port 443 563
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT

# TAG: http_access
# Allowing or Denying access based on defined access lists
#
# Access to the HTTP port:
# http_access allow|deny [!]aclname ...
#
# NOTE on default values:
#
# If there are no "access" lines present, the default is to deny
# the request.
#
# If none of the "access" lines cause a match, the default is the
# opposite of the last line in the list. If the last line was
# deny, then the default is allow. Conversely, if the last line
# is allow, the default will be deny. For these reasons, it is a
# good idea to have an "deny all" or "allow all" entry at the end
# of your access lists to avoid potential confusion.
#
#Default:
# http_access deny all
#
#Recommended minimum configuration:
#
# Only allow cachemgr access from localhost
http_access allow manager localhost
http_access deny manager
# Deny requests to unknown ports
http_access deny !Safe_ports
# Deny CONNECT to other than SSL ports
http_access deny CONNECT !SSL_ports
#
# INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS
#
# And finally deny all other access to this proxy
http_access allow localhost
http_access deny all

полностью стандартный кусок. Должен запретить доступ всем ан нет!!!!
Я в отчаянии прошелся поиском по всем all в squid.conf и поставил, где это возможно, deny.

Мог бы фаерволом перкрыть доступ к 3128, но ведь у сквида есть прекрасные возможности резать банеры, доступ по дня/часам/дням недели, запрет скачки музки/видео, запрет URL`ок (допустим ХХХ).

Дайте маяк, что за грабли, замахался, не могу найти в чем дело.

Please help!!!


Содержание

Сообщения в этом обсуждении
"RE: Я неверю что виноват сквид, наверное у меня мало опыта!!!!"
Отправлено Vok , 24-Янв-03 11:58 
Дополнительная информация: squid-2.4.STABLE6.

Пробовал искать ответ на форуме, были советы менять местами acl`ы с allow/deny, что-то не помогло.


"RE: Я неверю что виноват сквид, наверное у меня мало опыта!!..."
Отправлено shaman , 24-Янв-03 12:03 
>Дополнительная информация: squid-2.4.STABLE6.
>
>Пробовал искать ответ на форуме, были советы менять местами acl`ы с allow/deny,
>что-то не помогло.
Поставь squuidGuard - и инет ограничишь и заодно запретишь всякий отстой типа порнухи, mp3, рекламы и т.д.


"RE: Я неверю что виноват сквид, наверное у меня мало опыта!!..."
Отправлено Vok , 24-Янв-03 12:25 
>>Дополнительная информация: squid-2.4.STABLE6.
>>
>>Пробовал искать ответ на форуме, были советы менять местами acl`ы с allow/deny,
>>что-то не помогло.
>Поставь squuidGuard - и инет ограничишь и заодно запретишь всякий отстой типа
>порнухи, mp3, рекламы и т.д.

А что это распространенная болезнь squid-2.4.STABLE6, и лечится только через squuidGuard?
Может еще какие советы...?
Кусок squid.conf с acl`ами нормальный или всетаки что-то не так?


"RE: Я неверю что виноват сквид, наверное у меня мало опыта!!..."
Отправлено shaman , 24-Янв-03 12:32 
>>>Дополнительная информация: squid-2.4.STABLE6.
>>>
>>>Пробовал искать ответ на форуме, были советы менять местами acl`ы с allow/deny,
>>>что-то не помогло.
>>Поставь squuidGuard - и инет ограничишь и заодно запретишь всякий отстой типа
>>порнухи, mp3, рекламы и т.д.
>
>А что это распространенная болезнь squid-2.4.STABLE6, и лечится только через squuidGuard?
>Может еще какие советы...?
>Кусок squid.conf с acl`ами нормальный или всетаки что-то не так?
Я не знаю, почему твой кусок не работает. Просто фильтровать через squidGuard быстрее и удобнее.


"RE: Я неверю что виноват сквид, наверное у меня мало опыта!!..."
Отправлено Vok , 24-Янв-03 12:42 
>>>>Дополнительная информация: squid-2.4.STABLE6.
>>>>
>>>>Пробовал искать ответ на форуме, были советы менять местами acl`ы с allow/deny,
>>>>что-то не помогло.
>>>Поставь squuidGuard - и инет ограничишь и заодно запретишь всякий отстой типа
>>>порнухи, mp3, рекламы и т.д.
>>
>>А что это распространенная болезнь squid-2.4.STABLE6, и лечится только через squuidGuard?
>>Может еще какие советы...?
>>Кусок squid.conf с acl`ами нормальный или всетаки что-то не так?
>Я не знаю, почему твой кусок не работает. Просто фильтровать через squidGuard
>быстрее и удобнее.

Дааааааааа, печально.
НАРОД!!! ну может еще какие идеи есть?


"RE: Я неверю что виноват сквид, наверное у меня мало опыта!!..."
Отправлено zakat , 24-Янв-03 12:43 
>>>>Дополнительная информация: squid-2.4.STABLE6.
>>>>
>>>>Пробовал искать ответ на форуме, были советы менять местами acl`ы с allow/deny,
>>>>что-то не помогло.
>>>Поставь squuidGuard - и инет ограничишь и заодно запретишь всякий отстой типа
>>>порнухи, mp3, рекламы и т.д.
>>
>>А что это распространенная болезнь squid-2.4.STABLE6, и лечится только через squuidGuard?
>>Может еще какие советы...?
>>Кусок squid.conf с acl`ами нормальный или всетаки что-то не так?
>Я не знаю, почему твой кусок не работает. Просто фильтровать через squidGuard
>быстрее и удобнее.
Далеко не всегда! Есть вещи которые удобнее делать через squid!!!
Хотя я ярый поклонник squidGuard!!!
Да и вопрос то, был по SQUID-у.



"RE: Я неверю что виноват сквид, наверное у меня мало опыта!!..."
Отправлено statz , 24-Янв-03 12:40 
>>>Дополнительная информация: squid-2.4.STABLE6.
>>>
>>>Пробовал искать ответ на форуме, были советы менять местами acl`ы с allow/deny,
>>>что-то не помогло.
>>Поставь squuidGuard - и инет ограничишь и заодно запретишь всякий отстой типа
>>порнухи, mp3, рекламы и т.д.
>
>А что это распространенная болезнь squid-2.4.STABLE6, и лечится только через squuidGuard?
>Может еще какие советы...?
>Кусок squid.conf с acl`ами нормальный или всетаки что-то не так?

е если сделать acl для своей подсетки и запретить?
в STABLE3 такой проблемы нет
может пропатчить надо


"RE: Я неверю что виноват сквид, наверное у меня мало опыта!!!!"
Отправлено zakat , 24-Янв-03 12:39 

>Please help!!!
Проверь cache.log на наличие ошибок.
При некоторых ошибках Squid пускает ВСЕХ!!!
Пара первых строк, закроет всех!!! Но первых!!!

acl all src 0.0.0.0/0.0.0.0
http_access deny all


А если пустить нужно некоторых то:

acl all src 0.0.0.0/0.0.0.0
acl office src 192.168.0.1-192.168.0.20
http_access allow office
http_access deny all


"RE: Я неверю что виноват сквид, наверное у меня мало опыта!!..."
Отправлено Vok , 24-Янв-03 12:46 
>
>>Please help!!!
>Проверь cache.log на наличие ошибок.
>При некоторых ошибках Squid пускает ВСЕХ!!!
>Пара первых строк, закроет всех!!! Но первых!!!
>
>acl all src 0.0.0.0/0.0.0.0
>http_access deny all
>
>
>А если пустить нужно некоторых то:
>
>acl all src 0.0.0.0/0.0.0.0
>acl office src 192.168.0.1-192.168.0.20
>http_access allow office
>http_access deny all

вот cache.log
2003/01/24 08:48:28| Starting Squid Cache version 2.4.STABLE6 for i386-redhat-linux-gnu...
2003/01/24 08:48:28| Process ID 1035
2003/01/24 08:48:28| With 1024 file descriptors available
2003/01/24 08:48:28| DNS Socket created on FD 4
2003/01/24 08:48:28| Adding nameserver xxx.xx.xx.x from /etc/resolv.conf
2003/01/24 10:33:11| Starting Squid Cache version 2.4.STABLE6 for i386-redhat-linux-gnu...
2003/01/24 10:33:11| Process ID 2841
2003/01/24 10:33:11| With 1024 file descriptors available
2003/01/24 10:33:11| DNS Socket created on FD 4
2003/01/24 10:33:11| Adding nameserver xxx.xx.xx.x from /etc/resolv.conf


"RE: Я неверю что виноват сквид, наверное у меня мало опыта!!..."
Отправлено zakat , 24-Янв-03 13:16 
>вот cache.log
>2003/01/24 08:48:28| Starting Squid Cache version 2.4.STABLE6 for i386-redhat-linux-gnu...
>2003/01/24 08:48:28| Process ID 1035
>2003/01/24 08:48:28| With 1024 file descriptors available
>2003/01/24 08:48:28| DNS Socket created on FD 4
>2003/01/24 08:48:28| Adding nameserver xxx.xx.xx.x from /etc/resolv.conf
>2003/01/24 10:33:11| Starting Squid Cache version 2.4.STABLE6 for i386-redhat-linux-gnu...
>2003/01/24 10:33:11| Process ID 2841
>2003/01/24 10:33:11| With 1024 file descriptors available
>2003/01/24 10:33:11| DNS Socket created on FD 4
>2003/01/24 10:33:11| Adding nameserver xxx.xx.xx.x from /etc/resolv.conf

Ошобок не видно! НО!!!
Нет сообщений о готовности.
Вот мой:
2003/01/24 12:11:21| Restarting Squid Cache (version 2.5.STABLE1)...
2003/01/24 12:11:21| FD 492 Closing HTTP connection
2003/01/24 12:11:21| FD 496 Closing ICP connection
2003/01/24 12:11:21| FD 506 Closing SNMP socket
2003/01/24 12:11:21| Cache dir '/squid_cache' size remains unchanged at 3532800 KB
2003/01/24 12:11:21| DNS Socket created at 0.0.0.0, port 3766, FD 492
2003/01/24 12:11:21| Adding nameserver 127.0.0.1 from /etc/resolv.conf
2003/01/24 12:11:21| helperOpenServers: Starting 2 'squidGuard' processes
2003/01/24 12:11:21| helperOpenServers: Starting 1 'auth' processes
2003/01/24 12:11:21| Accepting HTTP connections at 0.0.0.0, port 3128, FD 493.
2003/01/24 12:11:21| Accepting ICP messages at 0.0.0.0, port 3130, FD 506.
2003/01/24 12:11:21| Accepting SNMP messages on port 3401, FD 509.
2003/01/24 12:11:21| WCCP Disabled.
2003/01/24 12:11:21| Loaded Icons.
2003/01/24 12:11:21| Ready to serve requests.


"RE: Я неверю что виноват сквид, наверное у меня мало опыта!!..."
Отправлено Vok , 24-Янв-03 12:53 
>Пара первых строк, закроет всех!!! Но первых!!!
>
>acl all src 0.0.0.0/0.0.0.0
>http_access deny all

оставил только эти две строки - пускает всех.


"RE: Я неверю что виноват сквид, наверное у меня мало опыта!!..."
Отправлено zakat , 24-Янв-03 13:22 
>>Пара первых строк, закроет всех!!! Но первых!!!
>>
>>acl all src 0.0.0.0/0.0.0.0
>>http_access deny all
>
>оставил только эти две строки - пускает всех.

Надеюсь squid запущен с тем файлом который ты правишь.
А перезапустить squid после правки???
Других причин не вижу. А нет есть еще одна!!! А у пользователей настроено ходить через squid, или может напрямую ломятся!!!


"RE: Я неверю что виноват сквид, наверное у меня мало опыта!!..."
Отправлено zakat , 24-Янв-03 14:43 
Ну как?
Почему такая тишина?
Работает или нет?


"RE: Я неверю что виноват сквид, наверное у меня мало опыта!!..."
Отправлено Vok , 24-Янв-03 15:29 
>Ну как?
>Почему такая тишина?
>Работает или нет?

Переписал полностью конфиг и заработало. (поэтому так долго молчал)
Так и не знаю в чем причина была.


"RE: Я неверю что виноват сквид, наверное у меня мало опыта!!..."
Отправлено Den , 24-Янв-03 15:33 
>>Ну как?
>>Почему такая тишина?
>>Работает или нет?
>
>Переписал полностью конфиг и заработало. (поэтому так долго молчал)
>Так и не знаю в чем причина была.

рекомендую ознакомиться с утилитой diff.
запускаешь ее к примеру так:
# diff -u config.default config | less
и сразу видишь чего ты там наковырял...


"RE: Я неверю что виноват сквид, наверное у меня мало опыта!!..."
Отправлено Vok , 24-Янв-03 15:42 
>>>Ну как?
>>>Почему такая тишина?
>>>Работает или нет?
>>
>>Переписал полностью конфиг и заработало. (поэтому так долго молчал)
>>Так и не знаю в чем причина была.
>
>рекомендую ознакомиться с утилитой diff.
>запускаешь ее к примеру так:
># diff -u config.default config | less
>и сразу видишь чего ты там наковырял...


утилита действительно классная, но первоначальный конфиг был с комментариями (стандартный), а когда переписывал я их убрал + убрал некоторые строки значения которых по умолчанию меня устраивают.
Так что разница получилась бы потрясающая, долго бы искал причину.