https://opennet.me/openforum/vsluhforumID12/6796.html На шлюзе стоит Russian Fedora REMIX 15.1. Доступ в инет идет через прозрачный прокси Squid. Для предотвращения несанкционированного доступа в инет я сделал список всех ip адресов компьютеров локальной сети, обозвал его true_ip и вписал в конфиг Squid следующее правило:<br>&lt;code&gt;<br>acl TrueIP src "/etc/squid/true_ip"<br>http_access deny !TrueIP<br>&lt;/code&gt;<br>Все вроде бы работает, только вот когда проверяешь статус squid, выскакивают странные предупреждения:<br>&lt;code&gt;<br>[root@localhost shorewall]# /etc/init.d/squid status<br>.......<br>2012/04/16 17:31:17&#124; WARNING: (B) '169.254.37.192' is a subnetwork of (A) '169.254.37.192'<br>2012/04/16 17:31:17&#124; WARNING: because of this '169.254.37.192' is ignored to keep splay tree searching predictable<br>2012/04/16 17:31:17&#124; WARNING: You should probably remove '169.254.37.192' from the ACL named 'TrueIP'<br>2012/04/16 17:31:17&#124; WARNING: (B) '169.254.37.192' is a subnetwork of (A) '169.254.37.192'<br>2012/04/16 17:31:17&#124; WARNING: because of this '169.254.37.192' is ignor https://opennet.me/openforum/vsluhforumID12/6796.html#13 Tue, 17 Apr 2012 11:05:04 GMT &gt;&gt; 2012/04/16 17:31:17&#124; WARNING: You should probably remove '169.254.37.192' from the <br>&gt;&gt; ACL named 'TrueIP' <br>&gt;&gt; 2012/04/16 17:31:17&#124; WARNING: You should probably remove '169.254.37.205' from the <br>&gt;&gt; ACL named 'TrueIP' <br>&gt;&gt; Я не очень понимаю, с какого перепоя Squid считает ip адрес компьютера <br>&gt;&gt; подсетью?<br>&gt; Его английская есть не очень хороша. Её есть мала-мала сказать проблема тама. <br>&gt;&gt; Кто знает, помогите пожалуйста разобраться!<br>&gt; Видимо, эти два ip-шника __повторяются__ в файле -- <br>&gt; ##&gt;acl TrueIP src "/etc/squid/true_ip" <br><br>Вот тут Вы абсолютно правы! Спасибо большое, файл довольно большой - вроде все ip по порядку идут, однако когда появлялись новые компьютеры - просто добавлял новый ip в конец списка. Так и получилось что пара ip адресов продублировалась. Спасибо еще раз.<br> https://opennet.me/openforum/vsluhforumID12/6796.html#12 Tue, 17 Apr 2012 10:14:13 GMT &gt; 2012/04/16 17:31:17&#124; WARNING: You should probably remove '169.254.37.192' from the <br>&gt; ACL named 'TrueIP' <br>&gt; 2012/04/16 17:31:17&#124; WARNING: You should probably remove '169.254.37.205' from the <br>&gt; ACL named 'TrueIP' <br>&gt; Я не очень понимаю, с какого перепоя Squid считает ip адрес компьютера <br>&gt; подсетью?<br><br>Его английская есть не очень хороша. Её есть мала-мала сказать проблема тама.<br><br>&gt; Кто знает, помогите пожалуйста разобраться!<br><br>Видимо, эти два ip-шника __повторяются__ в файле --<br><br>##&gt;acl TrueIP src "/etc/squid/true_ip" <br> https://opennet.me/openforum/vsluhforumID12/6796.html#11 Tue, 17 Apr 2012 09:36:18 GMT &gt;[оверквотинг удален]<br>&gt; #http_access deny !TrueIP <br>&gt; http_access allow TrueIP <br>&gt; http_access deny BanUsers <br>&gt; http_access deny CONNECT !SSL_ports <br>&gt; #http_access allow localnet <br>&gt; http_access allow localhost <br>&gt; icp_access allow all <br>&gt; http_access deny all <br>&gt; в этой части конфига я бы сделал такие изменения(строчки с # или <br>&gt; закоментировать, или вообще удлить) <br><br>Других acl у меня в конфиге нет. Только те, что привел. Добавил в конфиг строку<br> http_access allow TrueIP <br>Закомментировал указанные строки, перезапустил Squid - после команды squid status точно такие же предупреждения. Даже когда я закомментировал строку:<br>acl localhost src 169.254.0.0/16<br>и перезапустил Squid эти предупреждения не исчезли. <br> https://opennet.me/openforum/vsluhforumID12/6796.html#10 Tue, 17 Apr 2012 09:21:59 GMT &gt;[оверквотинг удален]<br>&gt; #http_access deny !TrueIP <br>&gt; http_access allow TrueIP <br>&gt; http_access deny BanUsers <br>&gt; http_access deny CONNECT !SSL_ports <br>&gt; #http_access allow localnet <br>&gt; http_access allow localhost <br>&gt; icp_access allow all <br>&gt; http_access deny all <br>&gt; в этой части конфига я бы сделал такие изменения(строчки с # или <br>&gt; закоментировать, или вообще удлить) <br><br>тогда кого внесут в BanUsers , разницы не почувствуют в этой части<br> https://opennet.me/openforum/vsluhforumID12/6796.html#9 Tue, 17 Apr 2012 09:04:34 GMT ну по тому что я вижу это либо не полный список ACL, либо Вам нужно почистить мусор в конфиге.<br><br>Теперь по делу. Для Вашей задачи можно попробывать сделать чтото вроде этого:<br><br>http_access allow manager localhost<br>http_access deny manager<br>http_access deny !Safe_ports<br>#http_access deny !TrueIP<br>http_access allow TrueIP<br>http_access deny BanUsers<br>http_access deny CONNECT !SSL_ports<br>#http_access allow localnet<br>http_access allow localhost<br>icp_access allow all<br>http_access deny all<br><br>в этой части конфига я бы сделал такие изменения(строчки с # или закоментировать, или вообще удлить)<br> https://opennet.me/openforum/vsluhforumID12/6796.html#8 Tue, 17 Apr 2012 08:54:56 GMT http_access allow manager localhost<br>http_access deny manager<br>http_access deny !Safe_ports<br>http_access deny BanUsers<br>http_access deny CONNECT !SSL_ports<br>http_access allow TrueIP<br>http_access allow localhost<br>icp_access allow all<br>http_access deny all<br><br><br>acl localnet удалить если больше ни где не используется<br> https://opennet.me/openforum/vsluhforumID12/6796.html#7 Tue, 17 Apr 2012 08:22:00 GMT &gt;&gt; acl localnet src 169.254.0.0/16 <br>&gt;&gt; acl TrueIP src "/etc/squid/true_ip" <br>&gt; на счет адресации я все равно настаиваю.<br>&gt; конечно же хорошо что Вы поняли в чем ошибка, но незная как <br>&gt; у Вас раздаются плюшки(allow,deny), приходится использовать метод "пальцем в небо". <br>&gt; Если мне память не изменяет, то еще и играет роль порядок АЦЛ-ов. <br>&gt; У меня телепатия развита слабо, так что покажите все ацлы <br><br>Вот все мои ацлы:<br>&lt;code&gt;<br>acl localhost src 127.0.0.1/32 ::1<br>acl to_localhost dst 127.0.0.0/8 0.0.0.0/32 ::1<br>acl QUERY urlpath_regex cgi-bin \? cmd dst dk?st.cmd<br>acl localnet src 169.254.0.0/16&gt;# RFC1918 possible internal network<br>acl TrueIP src "/etc/squid/true_ip"<br>acl BanUsers src "/etc/squid/BanUsers"<br><br>acl SSL_ports port 443<br>acl Safe_ports port 80&lt;&gt;&lt;------&gt;# http<br>acl Safe_ports port 21&lt;&gt;&lt;------&gt;# ftp<br>acl Safe_ports port 443&gt;&lt;------&gt;# https<br>acl Safe_ports port 70&lt;&gt;&lt;------&gt;# gopher<br>acl Safe_ports port 210&gt;&lt;------&gt;# wais<br>acl Safe_ports port 1025-65535&lt;&gt;# unregistered ports<br>acl Safe_ports port 28 https://opennet.me/openforum/vsluhforumID12/6796.html#6 Tue, 17 Apr 2012 07:53:15 GMT &gt; acl localnet src 169.254.0.0/16 <br>&gt; acl TrueIP src "/etc/squid/true_ip" <br><br>на счет адресации я все равно настаиваю.<br><br>конечно же хорошо что Вы поняли в чем ошибка, но незная как у Вас раздаются плюшки(allow,deny), приходится использовать метод "пальцем в небо".<br>Если мне память не изменяет, то еще и играет роль порядок АЦЛ-ов.<br>У меня телепатия развита слабо, так что покажите все ацлы<br> https://opennet.me/openforum/vsluhforumID12/6796.html#5 Tue, 17 Apr 2012 07:40:39 GMT &gt; Адресацию все равно советовал бы поменять.<br>&gt; ответ нашел здесь <br>&gt; http://www.squid-cache.org/mail-archive/squid-users/200111/0735.html <br><br>Я так понимаю, что это из-за того, что у меня есть 2 списка доступа:<br>&lt;code&gt;<br>acl localnet src 169.254.0.0/16<br>acl TrueIP src "/etc/squid/true_ip"<br>&lt;/code&gt;<br>Т.к. в файле true_ip указаны адреса из той же подсети, что и в списке доступа localnet, то из-за этого squid и пишет предупреждения. Можно, конечно, убрать второй список, а в первом вместо подсети указать файл true_ip, но правильно ли будет так делать? <br>