URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID12
Нить номер: 1674
[ Назад ]

Исходное сообщение
"ACL непойму следующее"
Отправлено smail , 18-Дек-03 00:36

Мужики подскажите немогу понять, в squid.conf есть описание ACL и там есть примеры с правилами, некоторые я понял а вот эти понять не могу (что они дают)
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.0
acl to_localhost dst 127.0.0.0/8
http_access allow manager localhost
http_access deny manager
При этом я читал другие доки по squid и там тоже были примеры с manager.
Вопрос:
1)Что это за manager и зачем он нужен
2)Почему manager localhost разрешон доступ а просто manager доступ закрыт
3) Нужны ли эти правила с manager, localhost и безопасны ли они?
4) Если я сделаю только два ACL
acl all src 0.0.0.0/0.0.0.0
acl net 172.16.1.0/24
http_access allow net
http_access deny all
То не повлияет ли это на работу сквида, а точнее на безопасность, производительность, скорость, безошибоную работу?

Содержание

ACL непойму следующее,Michael, 09:09 , 18-Дек-03

Сообщения в этом обсуждении

"ACL непойму следующее"
Отправлено Michael , 18-Дек-03 09:09

>Мужики подскажите немогу понять, в squid.conf есть описание ACL и там есть
>примеры с правилами, некоторые я понял а вот эти понять не
>могу (что они дают)
>
>acl manager proto cache_object
>acl localhost src 127.0.0.1/255.255.255.0
>acl to_localhost dst 127.0.0.0/8
>
>http_access allow manager localhost
>http_access deny manager
>
>При этом я читал другие доки по squid и там тоже были
>примеры с manager.
>
>Вопрос:
>1)Что это за manager и зачем он нужен
речь идет о cachemgr.cgi, через которую можно смотреть многие текущие параметры сквида. некоторые из них весьма полезные для контроля и отладки настроек.
>2)Почему manager localhost разрешон доступ а просто manager доступ закрыт
чтобы по умолчанию можно было присоединиться к сквиду только с этой же машины. и, одновременно, чтобы никто другой не смог этого.
>3) Нужны ли эти правила с manager, localhost и безопасны ли они?
парвила по умолчанию позволяют подключиться к твоему сквиду только той cachemgr.cgi, которая запущена на твоей-же машине.
но к самой cgi-шке могут полчить доступ все, кому разрешен доступ твоим http-сервером. а к нему могут получить доступ, в свою очередь, те, кому это разрешено настройками http-сервера и правилами файервола.
>4) Если я сделаю только два ACL
>
>acl all src 0.0.0.0/0.0.0.0
>acl net 172.16.1.0/24
>
>http_access allow net
>http_access deny all
>
>То не повлияет ли это на работу сквида, а точнее на безопасность,
>производительность, скорость, безошибоную работу?
не повлияет. в самых примитивных случаях данных acl вполне достаточно.
хотя для пользователей будет полная вседозволенность по хождению в интернет...