Добрый день. Возникла необходимость, добавить новый ip в ацл. Добавил применил, доступ запрещён на все сайты, кроме гугл(хотя должны все сайты работать), если вместо нового прописываю любой ип из старых,вписанных, то начинает работать.acl DFN10 src "/home/server/acl/10.0"
acl FN103 src "/home/server/acl/103.0"
acl SSL_ports port 443
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT
acl mail port 1080
acl smtp port 465
acl pop3 port 995
acl 25 port 25
acl 110 port 110
http_access deny all
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access deny manager
http_access allow DFN10
http_access allow FN103
http_access allow CONNECT
http_access allow localhost manager
http_access allow localhost
http_access allow pop3
http_access allow mail !mail
http_access allow smtp
http_access allow mail
http_access allow 25
http_access allow 110
cache_mem 2048 MB
cache_dir ufs /usr/local/squid/cache 8192 16 256
maximum_object_size 4096 KB
cache_swap_low 90
cache_swap_high 95
cache_log /usr/local/squid/logs/cache.log
coredump_dir /var/spool/squid3
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern (Release|Packages(.gz)*)$ 0 20% 2880
refresh_pattern \.bz2$ 43200 100% 43200 override-lastmod override-expire ignore-reload ignore-no-cache
refresh_pattern \.exe$ 43200 100% 43200 override-lastmod override-expire ignore-reload ignore-no-cache
refresh_pattern \.gif$ 43200 100% 43200 override-lastmod override-expire ignore-reload ignore-no-cache
refresh_pattern \.gz$ 43200 100% 43200 override-lastmod override-expire ignore-reload ignore-no-cache
refresh_pattern \.ico$ 43200 100% 43200 override-lastmod override-expire ignore-reload ignore-no-cache
refresh_pattern \.jpg$ 43200 100% 43200 override-lastmod override-expire ignore-reload ignore-no-cache
refresh_pattern \.mid$ 43200 100% 43200 override-lastmod override-expire ignore-reload ignore-no-cache
refresh_pattern \.mp3$ 43200 100% 43200 override-lastmod override-expire ignore-reload ignore-no-cache
refresh_pattern \.pdf$ 43200 100% 43200 override-lastmod override-expire ignore-reload ignore-no-cache
refresh_pattern \.swf$ 43200 100% 43200 override-lastmod override-expire ignore-reload ignore-no-cache
refresh_pattern \.tar$ 43200 100% 43200 override-lastmod override-expire ignore-reload ignore-no-cache
refresh_pattern \.tgz$ 43200 100% 43200 override-lastmod override-expire ignore-reload ignore-no-cache
refresh_pattern \.zip$ 43200 100% 43200 override-lastmod override-expire ignore-reload ignore-no-cache
#кэш рекламы
refresh_pattern http://ad\. &n... 100% 43200 override-lastmod override-expire ignore-reload ignore-no-cache
refresh_pattern http://ads\. &... 43200 100% 43200 override-lastmod override-expire ignore-reload ignore-no-cache
refresh_pattern http://adv\. &... 43200 100% 43200 override-lastmod override-expire ignore-reload ignore-no-cache
refresh_pattern http://click\.  ... 43200 100% 43200 override-lastmod override-expire ignore-reload ignore-no-cache
refresh_pattern http://count\.  ... 43200 100% 43200 override-lastmod override-expire ignore-reload ignore-no-cache
refresh_pattern http://counter\. &nb... 43200 100% 43200 override-lastmod override-expire ignore-reload ignore-no-cache
refresh_pattern http://engine\. &nbs... 100% 43200 override-lastmod override-expire ignore-reload ignore-no-cache
refresh_pattern http://img\.readme\.ru &nbs... 43200 100% 43200 override-lastmod override-expire ignore-reload ignore-no-cache
refresh_pattern http://userpic\.livejournal\.com 43200 100% 43200 override-lastmod override-expire ignore-reload ignore-no-cache
refresh_pattern \.ru/bf-analyze 43200 100% 43200 override-lastmod override-expire ignore-reload ignore-no-cache
refresh_pattern \.ru/bf-si 43200 100% 43200 override-lastmod override-expire ignore-reload ignore-no-cache
refresh_pattern /advs/ 43200 100% 43200 override-lastmod override-expire ignore-reload ignore-no-cache
refresh_pattern /banners/ 43200 100% 43200 override-lastmod override-expire ignore-reload ignore-no-cache
refresh_pattern /cgi-bin/iframe/ 43200 100% 43200 override-lastmod override-expire ignore-reload ignore-no-cache
refresh_pattern ^ftp: &n... 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern . 0 80% 14400# cache_effective_user proxy
cache_effective_user server
delay_pools 1
deny_info /home/server/acl/ERR_ACCESS_DENIED.html DFN10
delay_class 1 1
delay_parameters 1 80000/80000
delay_access 1 allow DFN10
delay_access 1 allow FN103
access_log /home/server/acl/acceslogipcache_size 1024
ipcache_low 90
ipcache_high 95
fqdncache_size 1024
client_db off
cache_effective_group server
вот так выглядит файл ацл:
192.168.10.11/32
192.168.10.14/32
192.168.10.15/32
192.168.10.16/32
192.168.10.17/32
192.168.10.19/32
192.168.10.23/32
192.168.10.26/32
192.168.10.3/32
192.168.10.32/32
192.168.10.33/32
192.168.10.34/32
192.168.10.4/32
192.168.10.44/32
192.168.10.5/32
192.168.10.6/32
#эти два новых никак не хотят.
192.168.10.7/32
192.168.10.9/32
> http_access allow smtp
> http_access allow mail
> http_access allow 25
> http_access allow 110ПОскольку я не понимаю, чего ты делаешь, переходим к плану Бэ: попробуй сам понять, чего ты делаешь?
>> http_access allow smtp
>> http_access allow mail
>> http_access allow 25
>> http_access allow 110
> ПОскольку я не понимаю, чего ты делаешь, переходим к плану Бэ: попробуй
> сам понять, чего ты делаешь?
> http://www.opennet.me/openforum/vsluhforumID12/5363.html#1Это понятно, я сначала не знал что сквид не работает с почтой, а это были попытки чтото сделать с почтовыми портами. Ну я так понимаю дело-то не в них?
>> ПОскольку я не понимаю, чего ты делаешь, переходим к плану Бэ: попробуй
>> сам понять, чего ты делаешь?
> так понимаю дело-то не в них?Да. Теперь вижу: первый deny all должен вообще никого никуда не пкскать.
Откуда у тя "только гугль" я, конечно могу по-предполагать, но смысл?
>>> ПОскольку я не понимаю, чего ты делаешь, переходим к плану Бэ: попробуй
>>> сам понять, чего ты делаешь?
>> так понимаю дело-то не в них?
> Да. Теперь вижу: первый deny all должен вообще никого никуда не пкскать.
> Откуда у тя "только гугль" я, конечно могу по-предполагать, но смысл?Нет, я наверно объяснил не очень.
-Есть acl DFN10 src "/home/server/acl/10.0" (с мною забитыми IP устройств). Все они работают через прокси хорошо.
-Сегодня я добавил еще 2 адреса в этот ацл, но они у меня не приминяются.
-С этих новых адресов браузер заходит только на google.ru (хотя должен ходить по всем адресам.) На остальных сайтах, майл.ру, яндекс.ру.... ивсе остальные пишет доступ запрещен.deny all - ставил в конец уже, не помогает
сейчас вот так:
http_access allow DFN10
http_access allow FN103
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access deny manager
# And finally deny all other access to this proxy
http_access allow CONNECT
http_access allow localhost manager
http_access allow localhost
http_access deny all
если уже добавленный ранее ip прописываю на новом устройстве, то все работает.
С новых IP заходит на сайты с HTTPS(443)
1392812867.443 108 192.168.10.12 TCP_MISS/200 3088 CONNECT id.google.ru:443 - HIER_DIRECT/178.45.253.29 -
На остальные глухо
1392812748.871 0 192.168.10.12 TCP_DENIED/403 3018 GET http://informers.rambler.ru/news/? - HIER_NONE/- text/html
1392812748.872 0 192.168.10.12 TCP_DENIED/403 3018 GET http://informers.rambler.ru/mail/? - HIER_NONE/- text/html
>[оверквотинг удален]
> 192.168.10.32/32
> 192.168.10.33/32
> 192.168.10.34/32
> 192.168.10.4/32
> 192.168.10.44/32
> 192.168.10.5/32
> 192.168.10.6/32
> #эти два новых никак не хотят.
> 192.168.10.7/32
> 192.168.10.9/32Точно ли именно и только squid ведает доступом?
Нет ли набора правил, например, iptables, разрешающего доступ со старых адресов напрямую (мимо прокси)?iptables -nL | grep 192.168.10.5
iptables -nL | grep 192.168.10.7
что дают?