URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID12
Нить номер: 6638
[ Назад ]

Исходное сообщение
"проблемы с acl"

Отправлено minimax_07 , 27-Апр-11 21:11 
Сквид успешно стартовал, но возникла проблема с доступом в нет через прокси. Схема такая: на машине, где установлен сквид 2 сетевухи - одна внешняя, пусть 10.0.195.250, ддугой интерфейс внутренний - 192.168.0.1, которая подключена в коммутатор вместе с пользователем (192.168.0.1).Маршрутизация поднята.В настройках браузера указываю прокси в ручную - 192.168.0.1:3128.В качестве списков доступа указан файл users.txt, права на чтение которого имеет squid. В нем просто перечислены разрешенный адреса (192.168.0.2/32). Но при попытке с рабочей станции пользователя подключиться к интернету в браузере появляется сообщение Во время доставки URL: http://www.yandex.ru/

Произошла следующая ошибка:

    Доступ запрещен.

    Настройка контроля доступа не даёт возможности выполнить Ваш запрос в настоящее время. Пожалуйста, свяжитесь с Вашим поставщиком услуг Интернет, если Вы считаете это неправильным.


Generated Wed, 27 Apr 2011 19:36:24 GMT by minimax07.mail.ru (squid/2.6.STABLE16+ICAP) .

Пробовал оставлять только внешний интерфейс с соответствующей заменой адресов, подключив все 3 шланга (пользователь, интернет, прокси) через один коммутатор, убирал вообще все списки - не помогает, результат тот же самый. Подскажите, пожалуйста, где я накосячил на этот раз.

Ну и соответственно в конфиге сквида прописано
acl users src "/usr/local/etc/squid/users.txt"
http_access allow users
http_access deny all


вот кофиг
squid.conf

http_port 3128
cache_mem 64 MB
error_directory /usr/local/etc/squid/errors/Russian-koi8-r
dns_nameservers 212.44.130.6
cache_dir ufs /usr/local/squid/cache 5000 16 256
cache_access_log /usr/local/squid/logs/access.log
cache_log /usr/local/squid/logs/cache.log
cache_store_log /usr/local/squid/logs/store.log
pid_filename /usr/local/squid/logs/squid.pid
acl user src "/usr/local/etc/squid/users.txt"
http_access allow users
http_access deny all
http_access allow manager localhost
forwarded_for on
client_db on
log_fqdn on
cache_effective_user squid
cache_effective_group squid
ftp_user 790@kaskad.ru

Спасибо.


Содержание

Сообщения в этом обсуждении
"проблемы с acl"
Отправлено reader , 28-Апр-11 10:26 
>[оверквотинг удален]
> http_access allow users
> http_access deny all
> http_access allow manager localhost
> forwarded_for on
> client_db on
> log_fqdn on
> cache_effective_user squid
> cache_effective_group squid
> ftp_user 790@kaskad.ru
> Спасибо.

нужно смотреть cache.log, попробуйте вместо файла указать ip адрес и проверьте


"проблемы с acl"
Отправлено minimax_07 , 28-Апр-11 13:36 

> нужно смотреть cache.log, попробуйте вместо файла указать ip адрес и проверьте

пробовал прописать для 1 ip
acl http_u src 192.168.0.2
http_access allow http_u
http_access deny all

не помогает

разрешал всем http_access allow all - тоже самое

а логе кеша вообще за последний час записи не появлялись


"проблемы с acl"
Отправлено reader , 28-Апр-11 13:52 
>> нужно смотреть cache.log, попробуйте вместо файла указать ip адрес и проверьте
> пробовал прописать для 1 ip
> acl http_u src 192.168.0.2
> http_access allow http_u
> http_access deny all
> не помогает
> разрешал всем http_access allow all - тоже самое
> а логе кеша вообще за последний час записи не появлялись

зато при старте туда много пишется.
что в access.log по поводу 192.168.0.2



"проблемы с acl"
Отправлено minimax_07 , 28-Апр-11 14:29 
> зато при старте туда много пишется.
> что в access.log по поводу 192.168.0.2

2011/04/28 17:02:37| Starting Squid Cache version 2.6.STABLE16+ICAP for i386-portbld-freebsd7.0...
2011/04/28 17:02:37| Process ID 851
2011/04/28 17:02:37| With 3392 file descriptors available
2011/04/28 17:02:37| Using kqueue for the IO loop
2011/04/28 17:02:37| helperOpenServers: Starting 5 'dnsserver' processes
2011/04/28 17:02:38| User-Agent logging is disabled.
2011/04/28 17:02:38| Referer logging is disabled.
2011/04/28 17:02:38| Unlinkd pipe opened on FD 15
2011/04/28 17:02:38| Swap maxSize 5120000 KB, estimated 393846 objects
2011/04/28 17:02:38| Target number of buckets: 19692
2011/04/28 17:02:38| Using 32768 Store buckets
2011/04/28 17:02:38| Max Mem  size: 131072 KB
2011/04/28 17:02:38| Max Swap size: 5120000 KB
2011/04/28 17:02:38| Local cache digest enabled; rebuild/rewrite every 3600/3600 sec
2011/04/28 17:02:38| Rebuilding storage in /usr/local/squid/cache (DIRTY)
2011/04/28 17:02:38| Using Least Load store dir selection
2011/04/28 17:02:38| Set Current Directory to /usr/local/squid/cache
2011/04/28 17:02:38| Loaded Icons.
2011/04/28 17:02:38| Accepting proxy HTTP connections at 0.0.0.0, port 3128, FD 17.
2011/04/28 17:02:38| Accepting proxy HTTP connections at 192.168.0.1, port 3128, FD 18.
2011/04/28 17:02:38| Accepting ICP messages at 0.0.0.0, port 3130, FD 19.
2011/04/28 17:02:38| Accepting HTCP messages on port 4827, FD 20.
2011/04/28 17:02:38| Accepting SNMP messages on port 3401, FD 21.
2011/04/28 17:02:38| WCCP Disabled.
2011/04/28 17:02:38| Pinger socket opened on FD 23
2011/04/28 17:02:38| Ready to serve requests.
2011/04/28 17:02:38| Done reading /usr/local/squid/cache swaplog (0 entries)
2011/04/28 17:02:38| Finished rebuilding storage from disk.
2011/04/28 17:02:38|         0 Entries scanned
2011/04/28 17:02:38|         0 Invalid entries.
2011/04/28 17:02:38|         0 With invalid flags.
2011/04/28 17:02:38|         0 Objects loaded.
2011/04/28 17:02:38|         0 Objects expired.
2011/04/28 17:02:38|         0 Objects cancelled.
2011/04/28 17:02:38|         0 Duplicate URLs purged.
2011/04/28 17:02:38|         0 Swapfile clashes avoided.
2011/04/28 17:02:38|   Took 0.9 seconds (   0.0 objects/sec).
2011/04/28 17:02:38| Beginning Validation Procedure
2011/04/28 17:02:38|   Completed Validation Procedure
2011/04/28 17:02:38|   Validated 0 Entries
2011/04/28 17:02:38|   store_swap_size = 0k
2011/04/28 17:02:39| storeLateRelease: released 0 objects


"проблемы с acl"
Отправлено reader , 28-Апр-11 15:06 
>[оверквотинг удален]
> 2011/04/28 17:02:38|         0 Duplicate
> URLs purged.
> 2011/04/28 17:02:38|         0 Swapfile
> clashes avoided.
> 2011/04/28 17:02:38|   Took 0.9 seconds (   0.0 objects/sec).
> 2011/04/28 17:02:38| Beginning Validation Procedure
> 2011/04/28 17:02:38|   Completed Validation Procedure
> 2011/04/28 17:02:38|   Validated 0 Entries
> 2011/04/28 17:02:38|   store_swap_size = 0k
> 2011/04/28 17:02:39| storeLateRelease: released 0 objects

хорошо, а access.log


"проблемы с acl"
Отправлено minimax_07 , 28-Апр-11 15:33 
> хорошо, а access.log

1304013662.392      5 192.168.0.2 TCP_DENIED/403 1454 GET http://fxfeeds.mozilla.com/ru/firefox/headlines.xml - NONE/- text/html
1304013662.392      5 192.168.0.2 TCP_DENIED/403 1454 GET http://fxfeeds.mozilla.com/ru/firefox/headlines.xml - NONE/- text/html
1304013924.852      1 192.168.0.2 TCP_DENIED/403 1394 GET http://www.yandex.ru/ - NONE/- text/html
1304013924.852      1 192.168.0.2 TCP_DENIED/403 1394 GET http://www.yandex.ru/ - NONE/- text/html
1304013925.064     22 192.168.0.2 TCP_DENIED/403 1394 GET http://www.yandex.ru/ - NONE/- text/html
1304013925.064     22 192.168.0.2 TCP_DENIED/403 1394 GET http://www.yandex.ru/ - NONE/- text/html
1304013925.208      1 192.168.0.2 TCP_DENIED/403 1394 GET http://www.yandex.ru/ - NONE/- text/html
1304013925.208      1 192.168.0.2 TCP_DENIED/403 1394 GET http://www.yandex.ru/ - NONE/- text/html
1304013925.389      0 192.168.0.2 TCP_DENIED/403 1394 GET http://www.yandex.ru/ - NONE/- text/html
1304013925.389      0 192.168.0.2 TCP_DENIED/403 1394 GET http://www.yandex.ru/ - NONE/- text/html
1304013925.580      2 192.168.0.2 TCP_DENIED/403 1394 GET http://www.yandex.ru/ - NONE/- text/html
1304013925.580      2 192.168.0.2 TCP_DENIED/403 1394 GET http://www.yandex.ru/ - NONE/- text/html
1304013925.743      2 192.168.0.2 TCP_DENIED/403 1394 GET http://www.yandex.ru/ - NONE/- text/html
1304013925.743      2 192.168.0.2 TCP_DENIED/403 1394 GET http://www.yandex.ru/ - NONE/- text/html
1304013925.925      3 192.168.0.2 TCP_DENIED/403 1394 GET http://www.yandex.ru/ - NONE/- text/html
1304013925.925      3 192.168.0.2 TCP_DENIED/403 1394 GET http://www.yandex.ru/ - NONE/- text/html
1304013926.192      0 192.168.0.2 TCP_DENIED/403 1394 GET http://www.yandex.ru/ - NONE/- text/html
1304013926.192      0 192.168.0.2 TCP_DENIED/403 1394 GET http://www.yandex.ru/ - NONE/- text/html
1304013926.413     27 192.168.0.2 TCP_DENIED/403 1394 GET http://www.yandex.ru/ - NONE/- text/html
1304013926.413     27 192.168.0.2 TCP_DENIED/403 1394 GET http://www.yandex.ru/ - NONE/- text/html
1304013929.113      0 192.168.0.2 TCP_DENIED/403 1394 GET http://www.yandex.ru/ - NONE/- text/html
1304013929.113      0 192.168.0.2 TCP_DENIED/403 1394 GET http://www.yandex.ru/ - NONE/- text/html
1304013929.420      3 192.168.0.2 TCP_DENIED/403 1394 GET http://www.yandex.ru/ - NONE/- text/html
1304013929.420      3 192.168.0.2 TCP_DENIED/403 1394 GET http://www.yandex.ru/ - NONE/- text/html
1304013929.543      0 192.168.0.2 TCP_DENIED/403 1394 GET http://www.yandex.ru/ - NONE/- text/html
1304013929.543      0 192.168.0.2 TCP_DENIED/403 1394 GET http://www.yandex.ru/ - NONE/- text/html
1304013929.799      1 192.168.0.2 TCP_DENIED/403 1394 GET http://www.yandex.ru/ - NONE/- text/html
1304013929.799      1 192.168.0.2 TCP_DENIED/403 1394 GET http://www.yandex.ru/ - NONE/- text/html
1304013930.097     64 192.168.0.2 TCP_DENIED/403 1394 GET http://www.yandex.ru/ - NONE/- text/html
1304013930.097     64 192.168.0.2 TCP_DENIED/403 1394 GET http://www.yandex.ru/ - NONE/- text/html
1304013930.239      0 192.168.0.2 TCP_DENIED/403 1394 GET http://www.yandex.ru/ - NONE/- text/html
1304013930.239      0 192.168.0.2 TCP_DENIED/403 1394 GET http://www.yandex.ru/ - NONE/- text/html
1304013930.678      0 192.168.0.2 TCP_DENIED/403 1394 GET http://www.yandex.ru/ - NONE/- text/html
1304013930.678      0 192.168.0.2 TCP_DENIED/403 1394 GET http://www.yandex.ru/ - NONE/- text/html
1304013930.933     33 192.168.0.2 TCP_DENIED/403 1394 GET http://www.yandex.ru/ - NONE/- text/html
1304013930.933     33 192.168.0.2 TCP_DENIED/403 1394 GET http://www.yandex.ru/ - NONE/- text/html
1304013931.110      0 192.168.0.2 TCP_DENIED/403 1394 GET http://www.yandex.ru/ - NONE/- text/html
1304013931.110      0 192.168.0.2 TCP_DENIED/403 1394 GET http://www.yandex.ru/ - NONE/- text/html
1304013931.342      0 192.168.0.2 TCP_DENIED/403 1394 GET http://www.yandex.ru/ - NONE/- text/html
1304013931.342      0 192.168.0.2 TCP_DENIED/403 1394 GET http://www.yandex.ru/ - NONE/- text/html
1304013931.628     12 192.168.0.2 TCP_DENIED/403 1394 GET http://www.yandex.ru/ - NONE/- text/html
1304013931.628     12 192.168.0.2 TCP_DENIED/403 1394 GET http://www.yandex.ru/ - NONE/- text/html
1304013931.831      4 192.168.0.2 TCP_DENIED/403 1394 GET http://www.yandex.ru/ - NONE/- text/html
1304013931.831      4 192.168.0.2 TCP_DENIED/403 1394 GET http://www.yandex.ru/ - NONE/- text/html
1304013931.967      1 192.168.0.2 TCP_DENIED/403 1394 GET http://www.yandex.ru/ - NONE/- text/html
1304013931.967      1 192.168.0.2 TCP_DENIED/403 1394 GET http://www.yandex.ru/ - NONE/- text/html
1304013937.250      3 192.168.0.2 TCP_DENIED/403 1394 GET http://www.yandex.ru/ - NONE/- text/html
1304013937.250      3 192.168.0.2 TCP_DENIED/403 1394 GET http://www.yandex.ru/ - NONE/- text/html
1304013937.500     77 192.168.0.2 TCP_DENIED/403 1394 GET http://www.yandex.ru/ - NONE/- text/html
1304013937.500     77 192.168.0.2 TCP_DENIED/403 1394 GET http://www.yandex.ru/ - NONE/- text/html
1304013937.815      2 192.168.0.2 TCP_DENIED/403 1394 GET http://www.yandex.ru/ - NONE/- text/html
1304013937.815      2 192.168.0.2 TCP_DENIED/403 1394 GET http://www.yandex.ru/ - NONE/- text/html
1304013938.091     29 192.168.0.2 TCP_DENIED/403 1394 GET http://www.yandex.ru/ - NONE/- text/html
1304013938.091     29 192.168.0.2 TCP_DENIED/403 1394 GET http://www.yandex.ru/ - NONE/- text/html
1304013938.504      3 192.168.0.2 TCP_DENIED/403 1394 GET http://www.yandex.ru/ - NONE/- text/html
1304013938.504      3 192.168.0.2 TCP_DENIED/403 1394 GET http://www.yandex.ru/ - NONE/- text/html
1304013938.744     69 192.168.0.2 TCP_DENIED/403 1394 GET http://www.yandex.ru/ - NONE/- text/html
1304013938.744     69 192.168.0.2 TCP_DENIED/403 1394 GET http://www.yandex.ru/ - NONE/- text/html
1304013938.934     30 192.168.0.2 TCP_DENIED/403 1394 GET http://www.yandex.ru/ - NONE/- text/html
1304013938.934     30 192.168.0.2 TCP_DENIED/403 1394 GET http://www.yandex.ru/ - NONE/- text/html
1304013939.146      5 192.168.0.2 TCP_DENIED/403 1394 GET http://www.yandex.ru/ - NONE/- text/html
1304013939.146      5 192.168.0.2 TCP_DENIED/403 1394 GET http://www.yandex.ru/ - NONE/- text/html
1304013939.333      0 192.168.0.2 TCP_DENIED/403 1394 GET http://www.yandex.ru/ - NONE/- text/html
1304013939.333      0 192.168.0.2 TCP_DENIED/403 1394 GET http://www.yandex.ru/ - NONE/- text/html
1304013939.540      0 192.168.0.2 TCP_DENIED/403 1394 GET http://www.yandex.ru/ - NONE/- text/html
1304013939.540      0 192.168.0.2 TCP_DENIED/403 1394 GET http://www.yandex.ru/ - NONE/- text/html
1304013939.770      8 192.168.0.2 TCP_DENIED/403 1394 GET http://www.yandex.ru/ - NONE/- text/html
1304013939.770      8 192.168.0.2 TCP_DENIED/403 1394 GET http://www.yandex.ru/ - NONE/- text/html
1304013939.979     28 192.168.0.2 TCP_DENIED/403 1394 GET http://www.yandex.ru/ - NONE/- text/html
1304013939.979     28 192.168.0.2 TCP_DENIED/403 1394 GET http://www.yandex.ru/ - NONE/- text/html
1304013946.134      0 192.168.0.2 TCP_DENIED/403 1394 GET http://www.yandex.ru/ - NONE/- text/html
1304013946.134      0 192.168.0.2 TCP_DENIED/403 1394 GET http://www.yandex.ru/ - NONE/- text/html
1304013946.409     74 192.168.0.2 TCP_DENIED/403 1394 GET http://www.yandex.ru/ - NONE/- text/html
1304013946.409     74 192.168.0.2 TCP_DENIED/403 1394 GET http://www.yandex.ru/ - NONE/- text/html
1304013946.891      0 192.168.0.2 TCP_DENIED/403 1394 GET http://www.yandex.ru/ - NONE/- text/html
1304013946.891      0 192.168.0.2 TCP_DENIED/403 1394 GET http://www.yandex.ru/ - NONE/- text/html
1304013947.179     98 192.168.0.2 TCP_DENIED/403 1394 GET http://www.yandex.ru/ - NONE/- text/html
1304013947.179     98 192.168.0.2 TCP_DENIED/403 1394 GET http://www.yandex.ru/ - NONE/- text/html
1304013947.376     36 192.168.0.2 TCP_DENIED/403 1394 GET http://www.yandex.ru/ - NONE/- text/html
1304013947.376     36 192.168.0.2 TCP_DENIED/403 1394 GET http://www.yandex.ru/ - NONE/- text/html
1304013947.627      0 192.168.0.2 TCP_DENIED/403 1394 GET http://www.yandex.ru/ - NONE/- text/html
1304013947.627      0 192.168.0.2 TCP_DENIED/403 1394 GET http://www.yandex.ru/ - NONE/- text/html
1304013947.835      0 192.168.0.2 TCP_DENIED/403 1394 GET http://www.yandex.ru/ - NONE/- text/html
1304013947.835      0 192.168.0.2 TCP_DENIED/403 1394 GET http://www.yandex.ru/ - NONE/- text/html
1304013948.012      0 192.168.0.2 TCP_DENIED/403 1394 GET http://www.yandex.ru/ - NONE/- text/html
1304013948.012      0 192.168.0.2 TCP_DENIED/403 1394 GET http://www.yandex.ru/ - NONE/- text/html
1304013972.528      3 192.168.0.2 TCP_DENIED/403 1394 GET http://www.yandex.ru/ - NONE/- text/html
1304013972.528      3 192.168.0.2 TCP_DENIED/403 1394 GET http://www.yandex.ru/ - NONE/- text/html
1304013972.681      0 192.168.0.2 TCP_DENIED/403 1394 GET http://www.yandex.ru/ - NONE/- text/html
1304013972.681      0 192.168.0.2 TCP_DENIED/403 1394 GET http://www.yandex.ru/ - NONE/- text/html
1304013972.871      0 192.168.0.2 TCP_DENIED/403 1394 GET http://www.yandex.ru/ - NONE/- text/html
1304013972.871      0 192.168.0.2 TCP_DENIED/403 1394 GET http://www.yandex.ru/ - NONE/- text/html
1304013973.053     13 192.168.0.2 TCP_DENIED/403 1394 GET http://www.yandex.ru/ - NONE/- text/html
1304013973.053     13 192.168.0.2 TCP_DENIED/403 1394 GET http://www.yandex.ru/ - NONE/- text/html
1304013973.210     10 192.168.0.2 TCP_DENIED/403 1394 GET http://www.yandex.ru/ - NONE/- text/html
1304013973.210     10 192.168.0.2 TCP_DENIED/403 1394 GET http://www.yandex.ru/ - NONE/- text/html
1304013973.344      0 192.168.0.2 TCP_DENIED/403 1394 GET http://www.yandex.ru/ - NONE/- text/html
1304013973.344      0 192.168.0.2 TCP_DENIED/403 1394 GET http://www.yandex.ru/ - NONE/- text/html
1304013973.556      6 192.168.0.2 TCP_DENIED/403 1394 GET http://www.yandex.ru/ - NONE/- text/html
1304013973.556      6 192.168.0.2 TCP_DENIED/403 1394 GET http://www.yandex.ru/ - NONE/- text/html
1304013973.704      0 192.168.0.2 TCP_DENIED/403 1394 GET http://www.yandex.ru/ - NONE/- text/html
1304013973.704      0 192.168.0.2 TCP_DENIED/403 1394 GET http://www.yandex.ru/ - NONE/- text/html
1304013973.903      0 192.168.0.2 TCP_DENIED/403 1394 GET http://www.yandex.ru/ - NONE/- text/html
1304013973.903      0 192.168.0.2 TCP_DENIED/403 1394 GET http://www.yandex.ru/ - NONE/- text/html
1304013974.159      2 192.168.0.2 TCP_DENIED/403 1394 GET http://www.yandex.ru/ - NONE/- text/html
1304013974.159      2 192.168.0.2 TCP_DENIED/403 1394 GET http://www.yandex.ru/ - NONE/- text/html
1304013974.407     14 192.168.0.2 TCP_DENIED/403 1394 GET http://www.yandex.ru/ - NONE/- text/html
1304013974.407     14 192.168.0.2 TCP_DENIED/403 1394 GET http://www.yandex.ru/ - NONE/- text/html
1304013974.561      2 192.168.0.2 TCP_DENIED/403 1394 GET http://www.yandex.ru/ - NONE/- text/html
1304013974.561      2 192.168.0.2 TCP_DENIED/403 1394 GET http://www.yandex.ru/ - NONE/- text/html
1304013974.934      0 192.168.0.2 TCP_DENIED/403 1394 GET http://www.yandex.ru/ - NONE/- text/html
1304013974.934      0 192.168.0.2 TCP_DENIED/403 1394 GET http://www.yandex.ru/ - NONE/- text/html
1304013975.197      2 192.168.0.2 TCP_DENIED/403 1394 GET http://www.yandex.ru/ - NONE/- text/html
1304013975.197      2 192.168.0.2 TCP_DENIED/403 1394 GET http://www.yandex.ru/ - NONE/- text/html
1304013975.429      2 192.168.0.2 TCP_DENIED/403 1394 GET http://www.yandex.ru/ - NONE/- text/html
1304013975.429      2 192.168.0.2 TCP_DENIED/403 1394 GET http://www.yandex.ru/ - NONE/- text/html
1304013975.663     10 192.168.0.2 TCP_DENIED/403 1394 GET http://www.yandex.ru/ - NONE/- text/html
1304013975.663     10 192.168.0.2 TCP_DENIED/403 1394 GET http://www.yandex.ru/ - NONE/- text/html
1304013976.000      2 192.168.0.2 TCP_DENIED/403 1394 GET http://www.yandex.ru/ - NONE/- text/html
1304013976.000      2 192.168.0.2 TCP_DENIED/403 1394 GET http://www.yandex.ru/ - NONE/- text/html
1304013976.219      2 192.168.0.2 TCP_DENIED/403 1394 GET http://www.yandex.ru/ - NONE/- text/html
1304013976.219      2 192.168.0.2 TCP_DENIED/403 1394 GET http://www.yandex.ru/ - NONE/- text/html
1304013976.384     15 192.168.0.2 TCP_DENIED/403 1394 GET http://www.yandex.ru/ - NONE/- text/html
1304013976.384     15 192.168.0.2 TCP_DENIED/403 1394 GET http://www.yandex.ru/ - NONE/- text/html


"проблемы с acl"
Отправлено reader , 28-Апр-11 16:07 
>> хорошо, а access.log
> 1304013662.392      5 192.168.0.2 TCP_DENIED/403 1454 GET http://fxfeeds.mozilla.com/ru/firefox/headlines.xml

с машины со squid на какой нибудь сайт , с не прописанным прокси, получается зайти?


"проблемы с acl"
Отправлено minimax_07 , 28-Апр-11 16:55 
>>> хорошо, а access.log
>> 1304013662.392      5 192.168.0.2 TCP_DENIED/403 1454 GET http://fxfeeds.mozilla.com/ru/firefox/headlines.xml
> с машины со squid на какой нибудь сайт , с не прописанным
> прокси, получается зайти?

нет? не получается
на машине: ip 192.168.0.1
           dgw 192.168.0.2
           dns 212.44.130.6
           proxy: 192.168.0.1:3128

на free: xl0 ip 192.168.0.1
         fxp0 ip 10.0.190.250
         dgw  ip 10.0.190.1  


"проблемы с acl"
Отправлено minimax_07 , 28-Апр-11 17:34 
Виноват, с машины со скуид не пробовал, у меня и браузер не  установлен никакой. Заодно не подскажете не прибегая к помощи KDE как это сделать  (какой браузер лучше - у меня фря 7.0)
Ну да, таким образом я делаю первые шаги во фре, простите чайника великодушно...

"проблемы с acl"
Отправлено minimax_07 , 28-Апр-11 17:57 
Ну я попробовал GET www.ya.ru - код страницы грузится

"проблемы с acl"
Отправлено reader , 28-Апр-11 20:42 
> Виноват, с машины со скуид не пробовал, у меня и браузер не
>  установлен никакой. Заодно не подскажете не прибегая к помощи KDE
> как это сделать  (какой браузер лучше - у меня фря
> 7.0)
> Ну да, таким образом я делаю первые шаги во фре, простите чайника
> великодушно...

да любой текстовый, но это уже не важно, если GET www.ya.ru отработал.

"на машине: ip 192.168.0.1" - это опечатка?

пока мыслей почему так получается нет, осталось увидеть весь конфиг в том виде как он прописан, только без закоментированных строк, потому что я так понимаю вы его не весь показали, белые адреса и пароли прячте.

если и в нем не будет понятно почему, тогда действительно придется менять уровень логирования на более подробный.


"проблемы с acl"
Отправлено minimax_07 , 29-Апр-11 10:11 

> "на машине: ip 192.168.0.1" - это опечатка?
> пока мыслей почему так получается нет, осталось увидеть весь конфиг в том
> виде как он прописан, только без закоментированных строк, потому что я
> так понимаю вы его не весь показали, белые адреса и пароли
> прячте.
> если и в нем не будет понятно почему, тогда действительно придется менять
> уровень логирования на более подробный.

да, опечатка конечно. адрес хоста 1, а шлюза 2. Да нет, я пока тестирую, так что играюсь только с 2-мя адресами.


"проблемы с acl"
Отправлено minimax_07 , 29-Апр-11 10:45 
>> "на машине: ip 192.168.0.1" - это опечатка?
>> пока мыслей почему так получается нет, осталось увидеть весь конфиг в том
>> виде как он прописан, только без закоментированных строк, потому что я
>> так понимаю вы его не весь показали, белые адреса и пароли
>> прячте.
>> если и в нем не будет понятно почему, тогда действительно придется менять
>> уровень логирования на более подробный.
> да, опечатка конечно. адрес хоста 2, а шлюза и прокси 1. Да нет, я
> пока тестирую, так что играюсь только с 2-мя адресами.

"проблемы с acl"
Отправлено reader , 29-Апр-11 11:04 
>> "на машине: ip 192.168.0.1" - это опечатка?
>> пока мыслей почему так получается нет, осталось увидеть весь конфиг в том
>> виде как он прописан, только без закоментированных строк, потому что я
>> так понимаю вы его не весь показали, белые адреса и пароли
>> прячте.
>> если и в нем не будет понятно почему, тогда действительно придется менять
>> уровень логирования на более подробный.
> да, опечатка конечно. адрес хоста 1, а шлюза 2. Да нет, я
> пока тестирую, так что играюсь только с 2-мя адресами.

ну на нет, смотрите последовательность правил


"проблемы с acl"
Отправлено Andrey Mitrofanov , 28-Апр-11 18:12 
>> 2011/04/28 17:02:39| storeLateRelease: released 0 objects
> хорошо, а access.log

  Не,
debug_options ALL,9
  же :) или
по научному = http://squid.opennet.ru/FAQ/my/FAQrus-10.html#acl-debug


"проблемы с acl"
Отправлено reader , 28-Апр-11 20:28 
>>> 2011/04/28 17:02:39| storeLateRelease: released 0 objects
>> хорошо, а access.log
>   Не,
> debug_options ALL,9
>   же :) или
> по научному = http://squid.opennet.ru/FAQ/my/FAQrus-10.html#acl-debug

:) , хотите потом весь вывод здесь увидеть? :)


"проблемы с acl"
Отправлено minimax_07 , 29-Апр-11 13:28 
> :) , хотите потом весь вывод здесь увидеть? :)

Да вы прямо Нострадамус ))))
Пробовал сам разобраться - не вышло...
Поэтому выкладывая конфиг и кусок лога кэша, который пишет дебагер при попытке загрузить, например, гугл. Давайте вместе анализить
конфиг:

http_port 192.168.0.1:3128
cache_mem 128 MB
error_directory /usr/local/etc/squid/errors/Russian-koi8-r
dns_nameservers 212.44.130.6
cache_dir ufs /usr/local/squid/cache 5000 16 256
cache_access_log /usr/local/squid/logs/access.log
cache_log /usr/local/squid/logs/cache.log
cache_store_log /usr/local/squid/logs/store.log
pid_filename /usr/local/squid/logs/squid.pid
quick_abort_pct 60
negative_ttl 1 minutes
positive_dns_ttl 6 hours
negative_dns_ttl 5 minutes
half_closed_clients on
acl AL dst 192.168.0.2/255.255.255.255
http_access allow AL
http_access deny all
forwarded_for on
client_db on
log_fqdn on
cache_effective_user squid
cache_effective_group squid
ftp_user 790@kaskad.ru
debug_options AL,1 33,2 28,9

лог:
2011/04/29 14:54:55| The request GET http://google.ru/ is DENIED, because it matched 'all'
2011/04/29 14:54:55| The reply for GET http://google.ru/ is ALLOWED, because it matched 'all'
2011/04/29 14:54:55| aclCheckFast: list: 0x285058f0
2011/04/29 14:54:55| aclMatchAclList: checking all
2011/04/29 14:54:55| aclMatchAcl: checking 'acl all src 0.0.0.0/0.0.0.0'
2011/04/29 14:54:55| aclMatchIp: '192.168.0.2' found
2011/04/29 14:54:55| aclMatchAclList: returning 1
2011/04/29 14:54:56| aclCheck: checking 'http_access allow manager localhost'
2011/04/29 14:54:56| aclMatchAclList: checking manager
2011/04/29 14:54:56| aclMatchAcl: checking 'acl manager proto cache_object'
2011/04/29 14:54:56| aclMatchAclList: no match, returning 0
2011/04/29 14:54:56| aclCheck: checking 'http_access deny manager'
2011/04/29 14:54:56| aclMatchAclList: checking manager
2011/04/29 14:54:56| aclMatchAcl: checking 'acl manager proto cache_object'
2011/04/29 14:54:56| aclMatchAclList: no match, returning 0
2011/04/29 14:54:56| aclCheck: checking 'http_access deny !Safe_ports'
2011/04/29 14:54:56| aclMatchAclList: checking !Safe_ports
2011/04/29 14:54:56| aclMatchAcl: checking 'acl Safe_ports port 80        # http'
2011/04/29 14:54:56| aclMatchAclList: no match, returning 0
2011/04/29 14:54:56| aclCheck: checking 'http_access deny CONNECT !SSL_ports'
2011/04/29 14:54:56| aclMatchAclList: checking CONNECT
2011/04/29 14:54:56| aclMatchAcl: checking 'acl CONNECT method CONNECT'
2011/04/29 14:54:56| aclMatchAclList: no match, returning 0
2011/04/29 14:54:56| aclCheck: checking 'http_access deny all'
2011/04/29 14:54:56| aclMatchAclList: checking all
2011/04/29 14:54:56| aclMatchAcl: checking 'acl all src 0.0.0.0/0.0.0.0'
2011/04/29 14:54:56| aclMatchIp: '192.168.0.2' found
2011/04/29 14:54:56| aclMatchAclList: returning 1
2011/04/29 14:54:56| aclCheck: match found, returning 0
2011/04/29 14:54:56| aclCheckCallback: answer=0
2011/04/29 14:54:56| The request GET http://google.ru/ is DENIED, because it matched 'all'
2011/04/29 14:54:56| The reply for GET http://google.ru/ is ALLOWED, because it matched 'all'
2011/04/29 15:22:44| aclCheckFast: list: 0x285058f0
2011/04/29 15:22:44| aclMatchAclList: checking all
2011/04/29 15:22:44| aclMatchAcl: checking 'acl all src 0.0.0.0/0.0.0.0'
2011/04/29 15:22:44| aclMatchIp: '192.168.0.2' found
2011/04/29 15:22:44| aclMatchAclList: returning 1
2011/04/29 15:22:44| aclCheck: checking 'http_access allow manager localhost'
2011/04/29 15:22:44| aclMatchAclList: checking manager
2011/04/29 15:22:44| aclMatchAcl: checking 'acl manager proto cache_object'
2011/04/29 15:22:44| aclMatchAclList: no match, returning 0
2011/04/29 15:22:44| aclCheck: checking 'http_access deny manager'
2011/04/29 15:22:44| aclMatchAclList: checking manager
2011/04/29 15:22:44| aclMatchAcl: checking 'acl manager proto cache_object'
2011/04/29 15:22:44| aclMatchAclList: no match, returning 0
2011/04/29 15:22:44| aclCheck: checking 'http_access deny !Safe_ports'
2011/04/29 15:22:44| aclMatchAclList: checking !Safe_ports
2011/04/29 15:22:44| aclMatchAcl: checking 'acl Safe_ports port 80        # http'
2011/04/29 15:22:44| aclMatchAclList: no match, returning 0
2011/04/29 15:22:44| aclCheck: checking 'http_access deny CONNECT !SSL_ports'
2011/04/29 15:22:44| aclMatchAclList: checking CONNECT
2011/04/29 15:22:44| aclMatchAcl: checking 'acl CONNECT method CONNECT'
2011/04/29 15:22:44| aclMatchAclList: no match, returning 0
2011/04/29 15:22:44| aclCheck: checking 'http_access deny all'
2011/04/29 15:22:44| aclMatchAclList: checking all
2011/04/29 15:22:44| aclMatchAcl: checking 'acl all src 0.0.0.0/0.0.0.0'
2011/04/29 15:22:44| aclMatchIp: '192.168.0.2' found
2011/04/29 15:22:44| aclMatchAclList: returning 1
2011/04/29 15:22:44| aclCheck: match found, returning 0
2011/04/29 15:22:44| aclCheckCallback: answer=0



"проблемы с acl"
Отправлено Andrey Mitrofanov , 29-Апр-11 13:44 
>> :) , хотите потом весь вывод здесь увидеть? :)

Накликал... :{

> Да вы прямо Нострадамус ))))

А я бабушка Ванга. :/

> acl AL dst 192.168.0.2/255.255.255.255

(!)
acl AL src 192.168.0.2/255.255.255.255

> http_access allow AL
> http_access deny all

.
> лог:
> 2011/04/29 14:54:55| The request GET http://google.ru/ is DENIED, because it matched
> 'all'
> 2011/04/29 14:54:55| The reply for GET http://google.ru/ is ALLOWED, because it matched
> 'all'

1
> 2011/04/29 14:54:56| aclCheck: checking 'http_access allow manager localhost'
> 2011/04/29 14:54:56| aclCheck: checking 'http_access deny manager'
> 2011/04/29 14:54:56| aclCheck: checking 'http_access deny !Safe_ports'
> 2011/04/29 14:54:56| aclCheck: checking 'http_access deny CONNECT !SSL_ports'
> 2011/04/29 14:54:56| aclCheck: checking 'http_access deny all'

Вижу! ВИИИИЖУУУУ!!!! Что этот лог не от этого _конфига_.

...Вижу беды немалы-ы-ы-е, позолоти ручку, яхонтовый~~~


"проблемы с acl"
Отправлено minimax_07 , 29-Апр-11 13:54 
да, насчет dst фигня вышла, спасибо, что указали - моя опечатка
конфиг реально мой
что, все так плохо у меня?


"проблемы с acl"
Отправлено Andrey Mitrofanov , 29-Апр-11 14:02 
>> acl AL dst 192.168.0.2/255.255.255.255

>> http_access allow AL
>> http_access deny all


Для тех, кто в танке: выше может быть и "реально" твой конфиг, да только твой сквид обзавёлся ещё и "своим":

>> 2011/04/29 14:54:56| aclCheck: checking 'http_access allow manager localhost'
>> 2011/04/29 14:54:56| aclCheck: checking 'http_access deny manager'
>> 2011/04/29 14:54:56| aclCheck: checking 'http_access deny !Safe_ports'
>> 2011/04/29 14:54:56| aclCheck: checking 'http_access deny CONNECT !SSL_ports'
>> 2011/04/29 14:54:56| aclCheck: checking 'http_access deny all'

  Директив -
http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

  в "твоём" конфиге _не_наблюдаю_, а это
http_access deny all
  совпадение чисто случайно.

> Вижу! ВИИИИЖУУУУ!!!! Что этот лог не от этого _конфига_.

Поделись с нами, что делать-то будешь?? Мы в изнеможении же.


"проблемы с acl"
Отправлено minimax_07 , 29-Апр-11 14:32 
>[оверквотинг удален]
>   Директив -
> http_access allow manager localhost
> http_access deny manager
> http_access deny !Safe_ports
> http_access deny CONNECT !SSL_ports

>   в "твоём" конфиге _не_наблюдаю_, а это
> http_access deny all
>   совпадение чисто случайно.
>> Вижу! ВИИИИЖУУУУ!!!! Что этот лог не от этого _конфига_.
> Поделись с нами, что делать-то будешь?? Мы в изнеможении же.

Сам знаю знаю что нет, а откуда они берутся непонятно
задача в общем примитивная - пустить внутреннюю сеть 192.168.0.0/255.255.255.0 через прокси с возможностью кэширования днс запросов, с дальнейшим ограничением прав доступа и скорости пользователей. Пример конфига брал в выложенных в сети и теперь разбираюсь.  


"проблемы с acl"
Отправлено minimax_07 , 29-Апр-11 14:39 
Извиняюсь за могое-ство - в конфиге были раскомментированы некоторые строки с примером...



"проблемы с acl"
Отправлено reader , 29-Апр-11 14:49 
> Извиняюсь за могое-ство - в конфиге были раскомментированы некоторые строки с примером...

вспоминайте как запускаете squid, если через стартовый скрипт то смотрите rc.conf и сам скрипт, на предмет какой конфиг используется, а потом быстро-быстро, не куда не сворачивая, тащите его сюда.


"давайте-давайте"
Отправлено Andrey Mitrofanov , 29-Апр-11 14:07 
>> :) , хотите потом весь вывод здесь увидеть? :)
> Да вы прямо Нострадамус ))))
> Пробовал сам разобраться - не вышло...
>Давайте вместе анализить конфиг:
> http_port 192.168.0.1:3128

[...]
> debug_options AL,1 33,2 28,9

То есть ты уверен, что, то, что показал--^^^, это _весь_ конфиг?

Ну, хотя бы, что _других_ http_access _выше_ в нём нет??


"давайте-давайте"
Отправлено minimax_07 , 29-Апр-11 15:02 
Все работает! Спасибо всем, кто терпел мое лоховство! А дело оказалось в том, что кроме моих строк были раскомментированы строки списка контроля доступа.Все ненужное убрал и инет есть ))))

"давайте-давайте"
Отправлено minimax_07 , 29-Апр-11 15:04 
> Ну, хотя бы, что _других_ http_access _выше_ в нём нет??

Были, но я об этом не знал...


"проблемы с acl"
Отправлено Andrey Mitrofanov , 29-Апр-11 16:15 
> Сквид успешно стартовал, но возникла проблема с доступом
> Generated Wed, 27 Apr 2011 19:36:24 GMT
> подключив все 3 шланга
> все списки - не помогает, результат тот же самый. Подскажите, пожалуйста,
> где я накосячил на этот раз.

Я понимаю, что уже всё заработало. Но вот мне просто(*) интересно

- сколько времени прошло с того благословенного момента, когда ты решил, что "да! уже пора!" и пошел качать эту самую FreeBSD до момента написания в форум (строка "Generated" выше)?
- по какой методике FreeBSD ставил? По Федорчуку или по Колесниченко?
- откуда узнал о FreeBSD? что заставило качать и ставить? Как это, которое заставило, помогло в решении "проблемы acl"?

Не, ну правда, всего 26 сообщений, не останавливаемся!

(*) Просто, да. И тема всё ещё на 5-ом месте в Популярных, надо пааааднимать~~


"проблемы с acl"
Отправлено minimax_07 , 30-Апр-11 15:08 
>> Сквид успешно стартовал, но возникла проблема с доступом
>> Generated Wed, 27 Apr 2011 19:36:24 GMT
>> подключив все 3 шланга
>> все списки - не помогает, результат тот же самый. Подскажите, пожалуйста,
>> где я накосячил на этот раз.
> Я понимаю, что уже всё заработало. Но вот мне просто(*) интересно
> - сколько времени прошло с того благословенного момента, когда ты решил, что
> "да! уже пора!" и пошел качать эту самую FreeBSD до момента
> написания в форум (строка "Generated" выше)?

времени не мого, я больше книгу лопатил, автора е помню,америкаей, вроде солидный человек, тут появилась реальная задача - организация прокси сервера
> - по какой методике FreeBSD ставил? По Федорчуку или по Колесниченко?
> - откуда узнал о FreeBSD? что заставило качать и ставить? Как это,
> которое заставило, помогло в решении "проблемы acl"?

коллеги подсказали,что очень интересный конструктор с огромными возможностями и малыми ресурсами. А я просто глаза разул и пролистал конфиг.
> Не, ну правда, всего 26 сообщений, не останавливаемся!

я понимаю забавно на чайника глядеть, сам иногда на обезьян со стороны смотрю... Но я думаю все будет нормуль
> (*) Просто, да. И тема всё ещё на 5-ом месте в Популярных,
> надо пааааднимать~~

ну не стоит переживать, я, думаю, еще не одну тему открою. МЫ ИХ ПОДНИМЕМ, будьте а связи, друзья )))))



"проблемы с acl"
Отправлено minimax_07 , 30-Апр-11 19:51 

> времени не мого, я больше книгу лопатил, Майкла Лукаса "FreeBSD.Подробное руководство,
> , тут появилась реальная задача - организация прокси сервера
>> - по какой методике FreeBSD ставил? По Федорчуку или по Колесниченко? Спасибо за инфу, киги их тоже скачал, почитаю обязательно