Работает сквид, люди ходят из всей сетки, необходимо запретить работу
с определенных адресов в сети. Делаю так:....
acl mynet src 192.168.3.0/255.255.255.0
acl bux1 src 192.168.3.1/255.255.255.0
acl bux2 src 192.168.3.2/255.255.255.0....
http_access allow mynet
http_access deny bux1
http_access deny bux2....
Все равно продолжает пускать всех, даже bux1 и bux2.
В чем ошибка?
>Работает сквид, люди ходят из всей сетки, необходимо запретить работу
>с определенных адресов в сети. Делаю так:
>
>....
>
>acl mynet src 192.168.3.0/255.255.255.0
>acl bux1 src 192.168.3.1/255.255.255.0
>acl bux2 src 192.168.3.2/255.255.255.0
>Неправильно маски заданы
acl mynet src 192.168.3.0/255.255.255.0
acl bux1 src 192.168.3.1/255.255.255.255
acl bux2 src 192.168.3.2/255.255.255.255
acl all src 0.0.0.0/0.0.0.0
Не так
>http_access allow mynet
>http_access deny bux1
>http_access deny bux2А так
http_access deny bux1
http_access deny bux2
http_access allow mynet
http_access deny all>
>Все равно продолжает пускать всех, даже bux1 и bux2.
>В чем ошибка?
В отсутствии читаемой документации. Сначала читаем, потом думаем, потом делаем.
Но никак не наоборот.Удачного дня.
>>Работает сквид, люди ходят из всей сетки, необходимо запретить работу
>>с определенных адресов в сети. Делаю так:
>>
>>....
>>
>>acl mynet src 192.168.3.0/255.255.255.0
>>acl bux1 src 192.168.3.1/255.255.255.0
>>acl bux2 src 192.168.3.2/255.255.255.0
>>
>
>Неправильно маски заданы
>acl mynet src 192.168.3.0/255.255.255.0
>acl bux1 src 192.168.3.1/255.255.255.255
>acl bux2 src 192.168.3.2/255.255.255.255
>acl all src 0.0.0.0/0.0.0.0
>
>Не так
>>http_access allow mynet
>>http_access deny bux1
>>http_access deny bux2
>
>А так
>http_access deny bux1
>http_access deny bux2
>http_access allow mynet
>http_access deny all
>
>>
>>Все равно продолжает пускать всех, даже bux1 и bux2.
>>В чем ошибка?
>В отсутствии читаемой документации. Сначала читаем, потом думаем, потом делаем.
>Но никак не наоборот.
>
>Удачного дня.Спасибо.
Кстати, действительно, пришлось сначала делать потом думать потом читать маны =))))))))
Вот что значит спешка =)))
>>>Работает сквид, люди ходят из всей сетки, необходимо запретить работу
>>>с определенных адресов в сети. Делаю так:
>>>
>>>....
>>>
>>>acl mynet src 192.168.3.0/255.255.255.0
>>>acl bux1 src 192.168.3.1/255.255.255.0
>>>acl bux2 src 192.168.3.2/255.255.255.0
>>>
>>
>>Неправильно маски заданы
>>acl mynet src 192.168.3.0/255.255.255.0
>>acl bux1 src 192.168.3.1/255.255.255.255
>>acl bux2 src 192.168.3.2/255.255.255.255
>>acl all src 0.0.0.0/0.0.0.0
>>
>>Не так
>>>http_access allow mynet
>>>http_access deny bux1
>>>http_access deny bux2
>>
>>А так
>>http_access deny bux1
>>http_access deny bux2
>>http_access allow mynet
>>http_access deny all
>>
>>>
>>>Все равно продолжает пускать всех, даже bux1 и bux2.
>>>В чем ошибка?
>>В отсутствии читаемой документации. Сначала читаем, потом думаем, потом делаем.
>>Но никак не наоборот.
>>
>>Удачного дня.
>
>Спасибо.
>
>Кстати, действительно, пришлось сначала делать потом думать потом читать маны =))))))))
>Вот что значит спешка =)))Не ну это какое-то издевательство =)
Ведь все правильно прописано, почему не работает?
При таком раскладе вообще никого не пускает =((((acl my_net src 192.168.1.0/255.255.255.0
acl sosedi_net src 192.168.2.0/255.255.255.0acl bux1 src 192.168.1.10/255.255.255.255
acl bux2 src 192.168.1.11/255.255.255.255
acl bux3 src 192.168.1.12/255.255.255.255
acl bux4 src 192.168.1.13/255.255.255.255
acl bux5 src 192.168.1.14/255.255.255.255http_access deny bux1
http_access deny bux2
http_access deny bux3
http_access deny bux4
http_access deny bux5http_access allow my_net
http_access allow sosedi_nethttp_access deny all
Не работает...
И еще нужно bux1 пускать по паролю.
Для етого нужна как я понял внешняя программа авторизации (NCSA ???).
Где взять эту весчь?
>Не работает...
Конкретнее.
Роутинг прописан?
Что пишет в логах
"Пойди туда, не зная куда" :)
Фильтр пакетов настроен?>И еще нужно bux1 пускать по паролю.
>Для етого нужна как я понял внешняя программа авторизации (NCSA ???).
>Где взять эту весчь?В исходниках SQUID, да ещё и скомпилировать с поддержкой авторизации.
>Конкретнее.
>Роутинг прописан?
>Что пишет в логах
>"Пойди туда, не зная куда" :)
>Фильтр пакетов настроен?гы...не первый день замужем =)
спасибо, это все настроено =)>>И еще нужно bux1 пускать по паролю.
>>Для етого нужна как я понял внешняя программа авторизации (NCSA ???).
>>Где взять эту весчь?
>
>В исходниках SQUID, да ещё и скомпилировать с поддержкой авторизации.а вот поддержку авторизации я изначально похоже не включил.
сейчас перекомпилю...да, кстати, как выглядит прооцесс авторизации юзера?
типа, запускаешь броузер, а он требует логин/пасс?
>гы...не первый день замужем =)
>спасибо, это все настроено =)
А что в логах прокси?>>>И еще нужно bux1 пускать по паролю.
>>>Для етого нужна как я понял внешняя программа авторизации (NCSA ???).
>>>Где взять эту весчь?
>>
>>В исходниках SQUID, да ещё и скомпилировать с поддержкой авторизации.
>
>а вот поддержку авторизации я изначально похоже не включил.
>сейчас перекомпилю...
>
>да, кстати, как выглядит прооцесс авторизации юзера?
>типа, запускаешь броузер, а он требует логин/пасс?Совершенно верно:)
Ну а без него никуда не пустит, если не разрешить особо:)Удачного дня.
>>гы...не первый день замужем =)
>>спасибо, это все настроено =)
>А что в логах прокси?
>
>>>>И еще нужно bux1 пускать по паролю.
>>>>Для етого нужна как я понял внешняя программа авторизации (NCSA ???).
>>>>Где взять эту весчь?
>>>
>>>В исходниках SQUID, да ещё и скомпилировать с поддержкой авторизации.
>>
>>а вот поддержку авторизации я изначально похоже не включил.
>>сейчас перекомпилю...
>>
>>да, кстати, как выглядит прооцесс авторизации юзера?
>>типа, запускаешь броузер, а он требует логин/пасс?
>
>Совершенно верно:)
>Ну а без него никуда не пустит, если не разрешить особо:)
>
>Удачного дня.мда...
значит так.
вопрос похоже в том, какую авторизацтю использовать: basic(включена по дефолту) или ntlm???пробовал обе - на первую в логах ниче нет, не ругается, но и авторизация не работает. на вторую - куча ошибок в логе, ругаецца на контроллер домена
Сеть у меня использует PDC, но он на Win2k и к инету не имеет никакого отношения.
>мда...
>значит так.
>вопрос похоже в том, какую авторизацтю использовать: basic(включена по дефолту) или ntlm???
Значит использовать basic. В чём проблема?>пробовал обе - на первую в логах ниче нет, не ругается, но
>и авторизация не работает. на вторую - куча ошибок в логе,
>ругаецца на контроллер доменаСоздай файл паролей при помощи htpasswd и укажи SQUID-у путь к программе аутентификации и файлу паролей. Никаких проблем. Ну и создать acl на авторизацию не забыть и поставить их в правила обработки.
http://squid.opennet.ru
>>мда...
>>значит так.
>>вопрос похоже в том, какую авторизацтю использовать: basic(включена по дефолту) или ntlm???
>Значит использовать basic. В чём проблема?
>
>>пробовал обе - на первую в логах ниче нет, не ругается, но
>>и авторизация не работает. на вторую - куча ошибок в логе,
>>ругаецца на контроллер домена
>
>Создай файл паролей при помощи htpasswd и укажи SQUID-у путь к программе
>аутентификации и файлу паролей. Никаких проблем. Ну и создать acl на
>авторизацию не забыть и поставить их в правила обработки.
>http://squid.opennet.ruсайтик хороший...жаль что я раньше его не знал...
вообщем, смотри что получилось:
auth_param basic program /usr/squid/libexec/ncsa_auth usr/squid/etc/passf
#passf - файл, созданный при помощи htpasswd
auth_param basic children 5
auth_param basic realm Squid proxy-caching web server
auth_param basic credentailsttl 2 hoursacl user1 src 192.168.1.10/255.255.255.255
acl users proxy_auth user1
acl my_net src 192.168.1.0/255.255.255.0
acl sosedi_net src 192.168.2.0/255.255.255.0http_access allow my_net
http_access allow sosedi_netкороче вот так...
при таком раскладе user1 все равно выходит в инет без проблем (без авторизации)
>auth_param basic program /usr/squid/libexec/ncsa_auth usr/squid/etc/passf
Тут опечатка? Или как? usr/squid/etc/passf или /usr/squid/etc/passf>#passf - файл, созданный при помощи htpasswd
>auth_param basic children 5
>auth_param basic realm Squid proxy-caching web server
>auth_param basic credentailsttl 2 hours
>
>acl user1 src 192.168.1.10/255.255.255.255
>
>acl users proxy_auth user1
>
>acl my_net src 192.168.1.0/255.255.255.0
>acl sosedi_net src 192.168.2.0/255.255.255.0
>
>http_access allow my_net
>http_access allow sosedi_net
>
>короче вот так...
>при таком раскладе user1 все равно выходит в инет без проблем (без
>авторизации)И не будет.
Где же правила авторизации? Для кого они?
acl user1 src 192.168.1.10/255.255.255.255
acl users proxy_auth user1http_access allow user1 users
http_access allow my_net
http_access allow sosedi_net
>http_access allow my_net
>http_access deny allУдачного дня.
>
>>auth_param basic program /usr/squid/libexec/ncsa_auth usr/squid/etc/passf
>Тут опечатка? Или как? usr/squid/etc/passf или /usr/squid/etc/passf
>
>>#passf - файл, созданный при помощи htpasswd
>>auth_param basic children 5
>>auth_param basic realm Squid proxy-caching web server
>>auth_param basic credentailsttl 2 hours
>>
>>acl user1 src 192.168.1.10/255.255.255.255
>>
>>acl users proxy_auth user1
>>
>>acl my_net src 192.168.1.0/255.255.255.0
>>acl sosedi_net src 192.168.2.0/255.255.255.0
>>
>>http_access allow my_net
>>http_access allow sosedi_net
>>
>>короче вот так...
>>при таком раскладе user1 все равно выходит в инет без проблем (без
>>авторизации)
>
>И не будет.
>Где же правила авторизации? Для кого они?
>acl user1 src 192.168.1.10/255.255.255.255
>acl users proxy_auth user1
>
>http_access allow user1 users
>
>http_access allow my_net
>http_access allow sosedi_net
>>http_access allow my_net
>>http_access deny all
>
>Удачного дня.
acl ONLY src *.*.*.* proxy_auth user1
acl my_net src 192.168.1.0/255.255.255.0
acl sosedi_net src 192.168.2.0/255.255.255.0http_access deny all
http_access allow ONLY
http_access allow my_net
http_access allow sosedi_netвроде так должно работать. к сожалению сейчас не могу проверить.
>acl ONLY src *.*.*.* proxy_auth user1
>acl my_net src 192.168.1.0/255.255.255.0
>acl sosedi_net src 192.168.2.0/255.255.255.0
>
>http_access deny all
>
>http_access allow ONLY
>http_access allow my_net
>http_access allow sosedi_net
>
>вроде так должно работать. к сожалению сейчас не могу проверить.Неправильно.
Давай так - для начала читаешь документацию по ссылке, чт дал. А потом -
в общий форум с уточнениями.
Иногда просто складывается впечатление, что люди не хотят читать доки, а хотят, чтобы кто-то за них сделал готовое решение.
А как оно будет работать - фик его знает :) И будет ли вообще?:)
Возможно это и не к тебе упрёк, но за последнее время слишком много появилось постов с таким подходом к проблемам.
Докуметации - МОРЕ(!!!) в инете и в самом дистрибутиве.Удачного дня.
>>acl ONLY src *.*.*.* proxy_auth user1
>>acl my_net src 192.168.1.0/255.255.255.0
>>acl sosedi_net src 192.168.2.0/255.255.255.0
>>
>>http_access deny all
>>
>>http_access allow ONLY
>>http_access allow my_net
>>http_access allow sosedi_net
>>
>>вроде так должно работать. к сожалению сейчас не могу проверить.
>
>Неправильно.
>Давай так - для начала читаешь документацию по ссылке, чт дал. А
>потом -
>в общий форум с уточнениями.
>Иногда просто складывается впечатление, что люди не хотят читать доки, а хотят,
>чтобы кто-то за них сделал готовое решение.
>А как оно будет работать - фик его знает :) И будет
>ли вообще?:)
>Возможно это и не к тебе упрёк, но за последнее время слишком
>много появилось постов с таким подходом к проблемам.
>Докуметации - МОРЕ(!!!) в инете и в самом дистрибутиве.
>
>Удачного дня.Да читал я доки. Много читал, разных. Могуу туеву хучу линков выложить.
И делаю я не от балды, а реально, пробую. Блин уже весь squid.conf изучил :-((( Если делать по докам, то не прокатывает.
Не могу указать этот конкретный айпи, с которого нужна авторизация.
>>>acl ONLY src *.*.*.* proxy_auth user1
>>>acl my_net src 192.168.1.0/255.255.255.0
>>>acl sosedi_net src 192.168.2.0/255.255.255.0
>>>
>>>http_access deny all
>>>
>>>http_access allow ONLY
>>>http_access allow my_net
>>>http_access allow sosedi_net>Да читал я доки. Много читал, разных. Могуу туеву хучу линков выложить.
>
>И делаю я не от балды, а реально, пробую. Блин уже весь
>squid.conf изучил :-((( Если делать по докам, то не прокатывает.
>Не могу указать этот конкретный айпи, с которого нужна авторизация.
Прошу тогда дать мне ссылку на официальный документ, где рекомендуется сначала запретить всем инет, а потом разрешать по очереди!>>>acl ONLY src *.*.*.* proxy_auth user1
>>>acl my_net src 192.168.1.0/255.255.255.0
>>>acl sosedi_net src 192.168.2.0/255.255.255.0
>>>
>>>http_access deny all
>>>
>>>http_access allow ONLY
>>>http_access allow my_net
>>>http_access allow sosedi_netКак же все ходить в инет будут???
И где в доке указан такой способ создания acl для авторизации????
>>>acl ONLY src *.*.*.* proxy_auth user1Что же получается тогда?
acl ONLY proxy_auth user1
acl user1 src 192.168.1.10/255.255.255.255acl my_net src 192.168.1.0/255.255.255.0
acl sosedi_net src 192.168.2.0/255.255.255.0http_access allow user1 ONLY
http_access allow my_net
http_access allow sosedi_nethttp_access deny all
Что тут может быть непонятного и такого озадачивающего?
Ведь такие примеры описаны во всех доках, например http://squid.opennet.ruУдачного дня.
>>>>acl ONLY src *.*.*.* proxy_auth user1
>>>>acl my_net src 192.168.1.0/255.255.255.0
>>>>acl sosedi_net src 192.168.2.0/255.255.255.0
>>>>
>>>>http_access deny all
>>>>
>>>>http_access allow ONLY
>>>>http_access allow my_net
>>>>http_access allow sosedi_net
>
>>Да читал я доки. Много читал, разных. Могуу туеву хучу линков выложить.
>>
>>И делаю я не от балды, а реально, пробую. Блин уже весь
>>squid.conf изучил :-((( Если делать по докам, то не прокатывает.
>>Не могу указать этот конкретный айпи, с которого нужна авторизация.
>
>
>Прошу тогда дать мне ссылку на официальный документ, где рекомендуется сначала запретить
>всем инет, а потом разрешать по очереди!
>
>>>>acl ONLY src *.*.*.* proxy_auth user1
>>>>acl my_net src 192.168.1.0/255.255.255.0
>>>>acl sosedi_net src 192.168.2.0/255.255.255.0
>>>>
>>>>http_access deny all
>>>>
>>>>http_access allow ONLY
>>>>http_access allow my_net
>>>>http_access allow sosedi_net
>
>Как же все ходить в инет будут???
>И где в доке указан такой способ создания acl для авторизации????
>>>>acl ONLY src *.*.*.* proxy_auth user1
>
>Что же получается тогда?
>acl ONLY proxy_auth user1
>acl user1 src 192.168.1.10/255.255.255.255
>
>acl my_net src 192.168.1.0/255.255.255.0
>acl sosedi_net src 192.168.2.0/255.255.255.0
>
>http_access allow user1 ONLY
>http_access allow my_net
>http_access allow sosedi_net
>
>http_access deny all
>
>Что тут может быть непонятного и такого озадачивающего?
>Ведь такие примеры описаны во всех доках, например http://squid.opennet.ru
>
>Удачного дня.блин, меня сё время сбивал с толку порядок правил, сейчас точно знаю, что сначала нада разрешить потом запретить а не наоборот...
спачибо, с проблемой разобрался...
Еще такой вопрос, который следует из всего ввыше перечисленного.
С блокированных IP невозможно обновить например Dr.Web (он использует настройки броузера) - ну это понятно, не пускают правила ACL =)
А обновлять время от времени надо...
Может кто сталкивался с этим. Вообще, есть ли какой-нибудь выход в данной ситуяции? Или приходится чем-то одним жертвовать?
>Еще такой вопрос, который следует из всего ввыше перечисленного.
>С блокированных IP невозможно обновить например Dr.Web (он использует настройки броузера) -
>ну это понятно, не пускают правила ACL =)
>А обновлять время от времени надо...
>Может кто сталкивался с этим. Вообще, есть ли какой-нибудь выход в данной
>ситуяции? Или приходится чем-то одним жертвовать?Очень просто.
Создаётся acl с указанием удалённого адреса updates.drweb.ru и к нему (только к нему) разрешается соединение "запрещённых" пользователей.
Вот и вся схема. Не забыть открыть доступ на фильтре пакетов.
У меня так пол-сетки обновляется.Удачного дня.
>>Еще такой вопрос, который следует из всего ввыше перечисленного.
>>С блокированных IP невозможно обновить например Dr.Web (он использует настройки броузера) -
>>ну это понятно, не пускают правила ACL =)
>>А обновлять время от времени надо...
>>Может кто сталкивался с этим. Вообще, есть ли какой-нибудь выход в данной
>>ситуяции? Или приходится чем-то одним жертвовать?
>
>Очень просто.
>Создаётся acl с указанием удалённого адреса updates.drweb.ru и к нему (только к
>нему) разрешается соединение "запрещённых" пользователей.
>Вот и вся схема. Не забыть открыть доступ на фильтре пакетов.
>У меня так пол-сетки обновляется.
>
>Удачного дня.Спасибо. Разобрался.
>У меня так пол-сетки обновляется.
оно, конечно, хорошо, но не лучше ли с локального файлового сервака обновлять?
у меня KAV именно так обновляется.
а умножать его трафик на несколько десятков что-то не хочется...
>>У меня так пол-сетки обновляется.
>оно, конечно, хорошо, но не лучше ли с локального файлового сервака обновлять?
>
>у меня KAV именно так обновляется.
>а умножать его трафик на несколько десятков что-то не хочется...файловый сервер у меня под win2k, у DrWeb нету серверной части под эту ось. С другой стороны, я ставил DrWeb на фрюху, прикручивал его к Postfix, на первый взгляд все было шоколадно, но как выяснилось, не отправлялась почта. После того как снес его почта стала уходить нормально. Может ли это быть из-за триальной версии? Может кто прикручивал вэба к почтовому серваку, что посоветует?
>файловый сервер у меня под win2k, у DrWeb нету серверной части под
>эту ось.
у KAV тоже нету серверной части, он просто берет свои файлы обновления с сетевого диска и совершенно неважно, на чем сделан файловый сервер.
>>>У меня так пол-сетки обновляется.
>>оно, конечно, хорошо, но не лучше ли с локального файлового сервака обновлять?
>>
>>у меня KAV именно так обновляется.
>>а умножать его трафик на несколько десятков что-то не хочется...
Никто и не настаивает. Каждый сам себе думает как хочет. Да хоть лично на дискетках разноси по компам.>файловый сервер у меня под win2k, у DrWeb нету серверной части под
>эту ось. С другой стороны, я ставил DrWeb на фрюху, прикручивал
>его к Postfix, на первый взгляд все было шоколадно, но как
>выяснилось, не отправлялась почта. После того как снес его почта стала
>уходить нормально. Может ли это быть из-за триальной версии? Может кто
>прикручивал вэба к почтовому серваку, что посоветует?Всё работает. У меня стоит на Postfix именно Drweb самый последний. Всё работает. Правда он с ограничивающим ключом, пока.. Но обещали прикупить лицензию. А так ВСЁ работает. Если вдруг какие вопросы по демону - можешь написать, а то и так уже за рамки темы топика вышли :)
Но однозначно - связка ОТЛИЧНО работает и не жужжит :)Удачного дня.
>>У меня так пол-сетки обновляется.
>оно, конечно, хорошо, но не лучше ли с локального файлового сервака обновлять?
>
>у меня KAV именно так обновляется.
>а умножать его трафик на несколько десятков что-то не хочется...Я сделал так, другой по-своему.
Но в моём случае каждый сам сможет в ЛЮБОЕ время загрузить горячее дополнение, а не ждать, пока это сделаю я или написанный скрипт.