есть сетка из пяти компов. на одном из них (WXP SP2), стоит squid/2.5.STABLE6-NT
к нему подключен кабельный модем TERAYON TJ715x
я разрешаю доступ только на те диапазоны адресов, которые находятся в файле c:/squid/etc/allow.acl и домены из файла c:/squid/etc/allowd.aclвсе казалось бы работает... но!
проблема в том, что меня могут использовать как прокси не только из локалки, но и извне. причем, они получают доступ ко всем адресам. даже к тем, к которым доступ из локалки закрыт.
это криво настроеный сквид или просто модем работает как шлюз "фор эвриван"?acl allowed_iplist dst "c:/squid/etc/allow.acl"
acl allowed_urls url_regex "c:/squid/etc/allowd.acl"
acl my_network src 192.168.0.0/255.255.255.0http_access allow my_network allowed_iplist
http_access allow my_network allowed_urls
http_access deny all
>acl allowed_iplist dst "c:/squid/etc/allow.acl"
>acl allowed_urls url_regex "c:/squid/etc/allowd.acl"
>acl my_network src 192.168.0.0/255.255.255.0
>
>http_access allow my_network allowed_iplist
>http_access allow my_network allowed_urls
>http_access deny allа что по поводу acl all?
>а что по поводу acl all?
acl all src 0.0.0.0/0.0.0.0насколько я могу догадываться, тут и крылась проблема.
надо было ставить dst а не src. типа так:
acl all dst 0.0.0.0/0.0.0.0
осталось только както проверить %)
>>а что по поводу acl all?
>acl all src 0.0.0.0/0.0.0.0
>
>насколько я могу догадываться, тут и крылась проблема.
>надо было ставить dst а не src. типа так:
>acl all dst 0.0.0.0/0.0.0.0
>осталось только както проверить %)
нет, запрещать нужно именно
acl all src 0.0.0.0/0.0.0.0
твои аксели
.....
в самом конце :
http_access deny all
покажи все правила в том порядке в каком они у тебя стоят. скорее всего порядок неверный, и с чего ты взял что тебя имеют ? покажи кусок лога сквида, что это именно так.
>покажи все правила в том порядке в каком они у тебя стоят.
acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERYacl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443 563 8443
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 20 # ftp
acl Safe_ports port 53 # DNS
acl Safe_ports port 5190 # icq
acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECThttp_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_portsacl all src 0.0.0.0/0.0.0.0
#тут список айпишников. большой. все подсети входящие в зону UA-IX
acl uaix_iplist dst "c:/squid/etc/allow.acl"
#тут несколько сайтов, которые хоть и зарубежные, но типа всем нужны..
#типа гугля и маил.ру
acl allowed_urls url_regex "c:/squid/etc/allowd.acl"
acl my_network src 192.168.0.0/255.255.255.0
acl boss src 192.168.0.3/255.255.255.255#боссу типа можно везде бродить. думал проблема тут, убирал.. всеравно
http_access allow boss all
http_access allow my_network uaix_iplist
http_access allow my_network allowed_urlshttp_access deny all
вот вроде все..
>скорее всего порядок неверный, и с чего ты взял что тебя
>имеют ? покажи кусок лога сквида, что это именно так.поздно уже. завтра может найду.
прошу друга через аську проверить. он ставит у себя в настройках IE мой айпи как прокси и получает доступ ко всем ресурсам. даже к тем, что не вхдят в UA-IX. Он сам правда туда входит.. может поэтому..
список сетей можно глянуть тут.
http://noc.ix.net.ua/ua-list.txt
http://www.colocall.net/ua/?list
http_access allow boss all
^^^^^^^^^^^^^^^^^^^^^^^^^^^
думаю вот тут ошибка, ты разрешил всему инету (all) юзать твой прокси
я пытался делать как написано тут.
http://squid.h12.ru/FAQ/FAQ-10.html#ss10.16
видимо я чет не доганяю.
а как тогда разрешить боссу юзать весь инет?
>я пытался делать как написано тут.
>http://squid.h12.ru/FAQ/FAQ-10.html#ss10.16
>видимо я чет не доганяю.
>а как тогда разрешить боссу юзать весь инет?
http_access allow boss
http_access allow my_network uaix_iplist
http_access allow my_network allowed_urls
http_access deny all
чтобы к тебе вообще не тыкались снаружи на сквид скажи ему слушать только на локальном интерфейсе
http_port локальный_ip:3128
>есть сетка из пяти компов. на одном из них (WXP SP2), стоит
>squid/2.5.STABLE6-NT
>к нему подключен кабельный модем TERAYON TJ715x
>я разрешаю доступ только на те диапазоны адресов, которые находятся в файле
>c:/squid/etc/allow.acl и домены из файла c:/squid/etc/allowd.acl
>
>все казалось бы работает... но!
>проблема в том, что меня могут использовать как прокси не только из
>локалки, но и извне. причем, они получают доступ ко всем адресам.
>даже к тем, к которым доступ из локалки закрыт.
>это криво настроеный сквид или просто модем работает как шлюз "фор эвриван"?
>
>
>acl allowed_iplist dst "c:/squid/etc/allow.acl"
>acl allowed_urls url_regex "c:/squid/etc/allowd.acl"
>acl my_network src 192.168.0.0/255.255.255.0
>
>http_access allow my_network allowed_iplist
>http_access allow my_network allowed_urls
>http_access deny alltebe prosto nujno strogo prekripit http_port k vnutrenemu interfasu!!!
dopustim u tebya http_port 8080 i ip 192.168.0.1, togda pishi:
http_port 192.168.0.1:8080 i vsem problemam krishka!!!
>http_port 192.168.0.1:3128
так было, так и есть.
модем внешний, кабельный 2мбпс. на USB висит.но пускает!
може это быть потому что человек который подключаенся снаружи, входит в allowed_iplist ???
или это модем всех везде пускает?
>>http_port 192.168.0.1:3128
>так было, так и есть.
>модем внешний, кабельный 2мбпс. на USB висит.
>
>но пускает!
>може это быть потому что человек который подключаенся снаружи, входит в allowed_iplist
>???
>или это модем всех везде пускает?Posmotri access.log kto tam podklyu4aetsya i ......