URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID12
Нить номер: 2329
[ Назад ]

Исходное сообщение
"Сквид запускается, но ничего не запрещает"

Отправлено Lamex , 21-Июл-04 16:18 
Помогите, плз. Поставлена задача ограничить вход пользователей паролем. Недавно нашёл Squid-2.5, настроил как написано, запустил. Он работает, но ничего никому не запрещает. Говорят, что при запуске он должен писать что-то о запущеных дочерних процессах. Не пишет. В cache.log есть строка "accepting HTTP connections at 0.0.0.0, port 3128 ..." хотя в squid.conf до всех ограничений поставил Http_access deny all. В чём может быть причина?

Содержание

Сообщения в этом обсуждении
"Сквид запускается, но ничего не запрещает"
Отправлено VVP , 22-Июл-04 04:04 
так ты к нему коннектишься и он тебе всё разрешает качать?

"Сквид запускается, но ничего не запрещает"
Отправлено Lamex , 22-Июл-04 08:36 
>так ты к нему коннектишься и он тебе всё разрешает качать?

Да. Ну то есть качать я не пробовал, но странички открывает....



"Сквид запускается, но ничего не запрещает"
Отправлено EvgAnis , 22-Июл-04 06:57 
>Помогите, плз. Поставлена задача ограничить вход пользователей паролем. Недавно нашёл Squid-2.5, настроил
>как написано, запустил. Он работает, но ничего никому не запрещает. Говорят,
>что при запуске он должен писать что-то о запущеных дочерних процессах.
>Не пишет. В cache.log есть строка "accepting HTTP connections at 0.0.0.0,
>port 3128 ..." хотя в squid.conf до всех ограничений поставил Http_access
>deny all. В чём может быть причина?


Это надо ставить после всех ограничений, т.е.

Deny all
Allow all

- значит всем все можно


"Сквид запускается, но ничего не запрещает"
Отправлено Lamex , 22-Июл-04 08:34 

>Это надо ставить после всех ограничений, т.е.
>
>Deny all
>Allow all
>
>- значит всем все можно

На сколько помню после прочтения инструкций - сквид находит первое правило, удовлетворяющее запросу о коннекте и успокаивается. Поэтому в конце и ставят deny all, а до этого условия. Я не так всё понимаю?



"Сквид запускается, но ничего не запрещает"
Отправлено EvgAnis , 22-Июл-04 08:50 
>
>>Это надо ставить после всех ограничений, т.е.
>>
>>Deny all
>>Allow all
>>
>>- значит всем все можно
>
>На сколько помню после прочтения инструкций - сквид находит первое правило, удовлетворяющее
>запросу о коннекте и успокаивается. Поэтому в конце и ставят deny
>all, а до этого условия. Я не так всё понимаю?

Правильно, слушай, ну честно говоря такой проблемы не встречал тогда


"Сквид запускается, но ничего не запрещает"
Отправлено Lamex , 22-Июл-04 09:20 
>Правильно, слушай, ну честно говоря такой проблемы не встречал тогда

... А сквид должен при запуске что-то писать об этих самых дочерних процессах? Мне б хоть понять что неправильно! Может надо что-то в самом линухе донастроить.... ipchains например... эх... Говорили мне, учи матчасть :)


"Сквид запускается, но ничего не запрещает"
Отправлено EvgAnis , 22-Июл-04 10:00 
>>Правильно, слушай, ну честно говоря такой проблемы не встречал тогда
>
>... А сквид должен при запуске что-то писать об этих самых дочерних
>процессах? Мне б хоть понять что неправильно! Может надо что-то в
>самом линухе донастроить.... ipchains например... эх... Говорили мне, учи матчасть :)
>

По порядку:
1. Если ты вообще в интернет броузером лезешь, то iptables не запрещает этого (так и должнобыть)
2. Проверяем настройки в броузере, чтобы там прокся указана была, иначе может беспрепятственно через gateway проходить
3. В настройках сквида: ставим конфиг по умолчанию, настраиваем правила, visible_hostname указываем и можем запучкать
squid -D
в принципе все
попробуй сделать так:

acl networks src 192.168.0.0/255.255.0.0
http_access allow networks
http_access deny all

после этого пускать только будет из указанной подсети

посмотри в /var/log/squid/access.log чтобы он именно через сквид объекты получал

все, проверяй, и пиши результат


"Сквид запускается, но ничего не запрещает"
Отправлено Lamex , 22-Июл-04 10:50 
>По порядку:
>1. Если ты вообще в интернет броузером лезешь, то iptables не запрещает
>этого (так и должнобыть)
>2. Проверяем настройки в броузере, чтобы там прокся указана была, иначе может
>беспрепятственно через gateway проходить
>3. В настройках сквида: ставим конфиг по умолчанию, настраиваем правила, visible_hostname указываем
>и можем запучкать
>squid -D
>в принципе все
>попробуй сделать так:
>
>acl networks src 192.168.0.0/255.255.0.0
>http_access allow networks
>http_access deny all
>
>после этого пускать только будет из указанной подсети
>
>посмотри в /var/log/squid/access.log чтобы он именно через сквид объекты получал
>
>все, проверяй, и пиши результат

БОЛЬШОЕ спасибо!!! Я наконец-то получил надпись Access Denied (Squid-2.5...) Она меня безмерно порадовала, но фишка была не в том. Мне как раз нужно чтоб при ЛЮБЫХ настройках клиентской машины он проходил через сквид. Юзера, они ж таки ... на них нельзя положится - чё-нить изменят и будут безпрепядственно входить в казёный интернет :) Нельзя ли что-нить настроить так, чтоб им жизнь раем не казалась?


"Сквид запускается, но ничего не запрещает"
Отправлено EvgAnis , 22-Июл-04 10:58 
>>По порядку:
>>1. Если ты вообще в интернет броузером лезешь, то iptables не запрещает
>>этого (так и должнобыть)
>>2. Проверяем настройки в броузере, чтобы там прокся указана была, иначе может
>>беспрепятственно через gateway проходить
>>3. В настройках сквида: ставим конфиг по умолчанию, настраиваем правила, visible_hostname указываем
>>и можем запучкать
>>squid -D
>>в принципе все
>>попробуй сделать так:
>>
>>acl networks src 192.168.0.0/255.255.0.0
>>http_access allow networks
>>http_access deny all
>>
>>после этого пускать только будет из указанной подсети
>>
>>посмотри в /var/log/squid/access.log чтобы он именно через сквид объекты получал
>>
>>все, проверяй, и пиши результат
>
>БОЛЬШОЕ спасибо!!! Я наконец-то получил надпись Access Denied (Squid-2.5...) Она меня безмерно
>порадовала, но фишка была не в том. Мне как раз нужно
>чтоб при ЛЮБЫХ настройках клиентской машины он проходил через сквид. Юзера,
>они ж таки ... на них нельзя положится - чё-нить изменят
>и будут безпрепядственно входить в казёный интернет :) Нельзя ли что-нить
>настроить так, чтоб им жизнь раем не казалась?


Все очень просто

`iptables -A INPUT -s $IP -m mac --mac-source $MAC -p TCP --dport 3128 -j ACCEPT`;

получишь на уровне iptables контроль по IP+MAC
В принципе юзеры обычно не настолько способные люди чтоб MAC менять

можешь еще и привязать MAC  к IP, но это от юзверей зависит


"Сквид запускается, но ничего не запрещает"
Отправлено Lamex , 22-Июл-04 11:10 
>Все очень просто
>
>`iptables -A INPUT -s $IP -m mac --mac-source $MAC -p TCP --dport
>3128 -j ACCEPT`;
>
>получишь на уровне iptables контроль по IP+MAC
>В принципе юзеры обычно не настолько способные люди чтоб MAC менять
>
>можешь еще и привязать MAC  к IP, но это от юзверей
>зависит


Хм... Я не очень в этом силён (надеюсь что пока), но как я понимаю iptables это типа файервол. А у меня ipchains и на Iptables грит Command not found. Как бы с ipchains такое сделать? Есть там REDIRECT, но он только для прозрачных прокси, а прозрачные прокси со Squid не поддерживают аутентфикацию по имени:паролю... Где меня кидают?


"Сквид запускается, но ничего не запрещает"
Отправлено EvgAnis , 22-Июл-04 11:14 
>>Все очень просто
>>
>>`iptables -A INPUT -s $IP -m mac --mac-source $MAC -p TCP --dport
>>3128 -j ACCEPT`;
>>
>>получишь на уровне iptables контроль по IP+MAC
>>В принципе юзеры обычно не настолько способные люди чтоб MAC менять
>>
>>можешь еще и привязать MAC  к IP, но это от юзверей
>>зависит
>
>
>Хм... Я не очень в этом силён (надеюсь что пока), но как
>я понимаю iptables это типа файервол. А у меня ipchains и
>на Iptables грит Command not found. Как бы с ipchains такое
>сделать? Есть там REDIRECT, но он только для прозрачных прокси, а
>прозрачные прокси со Squid не поддерживают аутентфикацию по имени:паролю... Где меня
>кидают?


Там все примерно также
man ipchains

Дык если у тя аутентификация, нафига вообще было с этим заморачиваться?


"Сквид запускается, но ничего не запрещает"
Отправлено Lamex , 22-Июл-04 11:19 
>Дык если у тя аутентификация, нафига вообще было с этим заморачиваться?

Последний вопрос я не очень понял... Мне надо шоб юзера со своих машин входили со своими паролями независимо от настроек на этих машинах...