The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"SQUID не применяет новые IP (acl)"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Настройка Squid и других прокси серверов (ACL, блокировки)
Изначальное сообщение [ Отслеживать ]

"SQUID не применяет новые IP (acl)"  +/
Сообщение от kolinmk email(ok) on 17-Фев-14, 14:42 
Добрый день. Возникла необходимость, добавить новый ip в ацл. Добавил применил, доступ запрещён на все сайты, кроме гугл(хотя должны все сайты работать), если вместо нового прописываю любой ип из старых,вписанных, то начинает работать.

acl DFN10 src "/home/server/acl/10.0"
acl FN103 src "/home/server/acl/103.0"
acl SSL_ports port 443
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT
acl mail port 1080
acl smtp port 465
acl pop3 port 995
acl 25 port 25
acl 110 port 110


http_access deny all
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access deny manager
http_access allow DFN10
http_access allow FN103
http_access allow CONNECT
http_access allow localhost manager
http_access allow localhost
http_access allow pop3
http_access allow mail !mail
http_access allow smtp
http_access allow mail
http_access allow 25
http_access allow 110


cache_mem 2048 MB
cache_dir ufs /usr/local/squid/cache 8192 16 256
maximum_object_size 4096 KB
cache_swap_low 90
cache_swap_high 95
cache_log /usr/local/squid/logs/cache.log


coredump_dir /var/spool/squid3


refresh_pattern -i (/cgi-bin/|\?) 0    0%    0
refresh_pattern (Release|Packages(.gz)*)$      0       20%     2880
refresh_pattern \.bz2$          43200   100%    43200 override-lastmod override-expire ignore-reload ignore-no-cache
refresh_pattern \.exe$          43200   100%    43200 override-lastmod override-expire ignore-reload ignore-no-cache
refresh_pattern \.gif$          43200   100%    43200 override-lastmod override-expire ignore-reload ignore-no-cache
refresh_pattern \.gz$           43200   100%    43200 override-lastmod override-expire ignore-reload ignore-no-cache
refresh_pattern \.ico$          43200   100%    43200 override-lastmod override-expire ignore-reload ignore-no-cache
refresh_pattern \.jpg$          43200   100%    43200 override-lastmod override-expire ignore-reload ignore-no-cache
refresh_pattern \.mid$          43200   100%    43200 override-lastmod override-expire ignore-reload ignore-no-cache
refresh_pattern \.mp3$          43200   100%    43200 override-lastmod override-expire ignore-reload ignore-no-cache
refresh_pattern \.pdf$          43200   100%    43200 override-lastmod override-expire ignore-reload ignore-no-cache
refresh_pattern \.swf$          43200   100%    43200 override-lastmod override-expire ignore-reload ignore-no-cache
refresh_pattern \.tar$          43200   100%    43200 override-lastmod override-expire ignore-reload ignore-no-cache
refresh_pattern \.tgz$          43200   100%    43200 override-lastmod override-expire ignore-reload ignore-no-cache
refresh_pattern \.zip$          43200   100%    43200 override-lastmod override-expire ignore-reload ignore-no-cache
#кэш рекламы
refresh_pattern http://ad\.       &n... 100%    43200 override-lastmod override-expire ignore-reload ignore-no-cache
refresh_pattern http://ads\.       &... 43200   100%    43200 override-lastmod override-expire ignore-reload ignore-no-cache
refresh_pattern http://adv\.       &... 43200   100%    43200 override-lastmod override-expire ignore-reload ignore-no-cache
refresh_pattern http://click\.       ... 43200   100%    43200 override-lastmod override-expire ignore-reload ignore-no-cache
refresh_pattern http://count\.       ... 43200   100%    43200 override-lastmod override-expire ignore-reload ignore-no-cache
refresh_pattern http://counter\.      &nb... 43200   100%    43200 override-lastmod override-expire ignore-reload ignore-no-cache
refresh_pattern http://engine\.      &nbs... 100%    43200 override-lastmod override-expire ignore-reload ignore-no-cache
refresh_pattern http://img\.readme\.ru    &nbs... 43200   100%    43200 override-lastmod override-expire ignore-reload ignore-no-cache
refresh_pattern http://userpic\.livejournal\.com   43200   100%    43200 override-lastmod override-expire ignore-reload ignore-no-cache
refresh_pattern \.ru/bf-analyze                    43200   100%    43200 override-lastmod override-expire ignore-reload ignore-no-cache
refresh_pattern \.ru/bf-si                         43200   100%    43200 override-lastmod override-expire ignore-reload ignore-no-cache
refresh_pattern /advs/                             43200   100%    43200 override-lastmod override-expire ignore-reload ignore-no-cache
refresh_pattern /banners/                          43200   100%    43200 override-lastmod override-expire ignore-reload ignore-no-cache
refresh_pattern /cgi-bin/iframe/                   43200   100%    43200 override-lastmod override-expire ignore-reload ignore-no-cache
refresh_pattern ^ftp:         &n... 1440    20%     10080
refresh_pattern ^gopher:        1440    0%      1440
refresh_pattern .               0       80%     14400

# cache_effective_user proxy
cache_effective_user server


delay_pools 1
deny_info /home/server/acl/ERR_ACCESS_DENIED.html DFN10
delay_class 1 1
delay_parameters 1 80000/80000
delay_access 1 allow DFN10
delay_access 1 allow FN103
access_log /home/server/acl/acceslog

ipcache_size 1024
ipcache_low 90
ipcache_high 95
fqdncache_size 1024
client_db off
cache_effective_group server


вот так выглядит файл ацл:
192.168.10.11/32
192.168.10.14/32
192.168.10.15/32
192.168.10.16/32
192.168.10.17/32
192.168.10.19/32
192.168.10.23/32
192.168.10.26/32
192.168.10.3/32
192.168.10.32/32
192.168.10.33/32
192.168.10.34/32
192.168.10.4/32
192.168.10.44/32
192.168.10.5/32
192.168.10.6/32
#эти два новых никак не хотят.
192.168.10.7/32
192.168.10.9/32


Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "SQUID не применяет новые IP (acl)"  +/
Сообщение от Andrey Mitrofanov on 17-Фев-14, 15:19 
> http_access allow smtp
> http_access allow mail
> http_access allow 25
> http_access allow 110

ПОскольку я не понимаю, чего ты делаешь, переходим к плану Бэ: попробуй сам понять, чего ты делаешь?

https://www.opennet.ru/openforum/vsluhforumID12/5363.html#1

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "SQUID не применяет новые IP (acl)"  +/
Сообщение от kolinmk email(ok) on 17-Фев-14, 15:26 
>> http_access allow smtp
>> http_access allow mail
>> http_access allow 25
>> http_access allow 110
> ПОскольку я не понимаю, чего ты делаешь, переходим к плану Бэ: попробуй
> сам понять, чего ты делаешь?
> https://www.opennet.ru/openforum/vsluhforumID12/5363.html#1

Это понятно, я сначала не знал что сквид не работает с почтой, а это были попытки чтото сделать с почтовыми портами. Ну я так понимаю дело-то не в них?

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "SQUID не применяет новые IP (acl)"  +/
Сообщение от Andrey Mitrofanov on 17-Фев-14, 15:30 
>> ПОскольку я не понимаю, чего ты делаешь, переходим к плану Бэ: попробуй
>> сам понять, чего ты делаешь?
> так понимаю дело-то не в них?

Да. Теперь вижу: первый deny all должен вообще никого никуда не пкскать.
Откуда у тя "только гугль" я, конечно могу по-предполагать, но смысл?

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "SQUID не применяет новые IP (acl)"  +/
Сообщение от kolinmk email(ok) on 17-Фев-14, 15:36 
>>> ПОскольку я не понимаю, чего ты делаешь, переходим к плану Бэ: попробуй
>>> сам понять, чего ты делаешь?
>> так понимаю дело-то не в них?
> Да. Теперь вижу: первый deny all должен вообще никого никуда не пкскать.
> Откуда у тя "только гугль" я, конечно могу по-предполагать, но смысл?

Нет, я наверно объяснил не очень.
-Есть acl DFN10 src "/home/server/acl/10.0" (с мною забитыми IP устройств). Все они работают через прокси хорошо.
-Сегодня я добавил еще 2 адреса в этот ацл, но они у меня не приминяются.
-С этих новых адресов браузер заходит только на google.ru (хотя должен ходить по всем адресам.) На остальных сайтах, майл.ру, яндекс.ру.... ивсе остальные пишет доступ запрещен.

deny all - ставил в конец уже, не помогает


сейчас вот так:
http_access allow DFN10
http_access allow FN103
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access deny manager
# And finally deny all other access to this proxy
http_access allow CONNECT
http_access allow localhost manager
http_access allow localhost
http_access deny all

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "SQUID не применяет новые IP (acl)"  +/
Сообщение от kolinmk email(ok) on 18-Фев-14, 09:02 
если уже добавленный ранее ip прописываю на новом устройстве, то все работает.

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "SQUID не применяет новые IP (acl)"  +/
Сообщение от kolinmk email(ok) on 19-Фев-14, 16:33 
С новых IP заходит на сайты с HTTPS(443)
1392812867.443    108 192.168.10.12 TCP_MISS/200 3088 CONNECT id.google.ru:443 - HIER_DIRECT/178.45.253.29 -
На остальные глухо
1392812748.871      0 192.168.10.12 TCP_DENIED/403 3018 GET http://informers.rambler.ru/news/? - HIER_NONE/- text/html
1392812748.872      0 192.168.10.12 TCP_DENIED/403 3018 GET http://informers.rambler.ru/mail/? - HIER_NONE/- text/html
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "SQUID не применяет новые IP (acl)"  +/
Сообщение от Anonymous1 on 17-Мрт-14, 21:31 
>[оверквотинг удален]
> 192.168.10.32/32
> 192.168.10.33/32
> 192.168.10.34/32
> 192.168.10.4/32
> 192.168.10.44/32
> 192.168.10.5/32
> 192.168.10.6/32
> #эти два новых никак не хотят.
> 192.168.10.7/32
> 192.168.10.9/32

Точно ли именно и только squid ведает доступом?
Нет ли набора правил, например, iptables, разрешающего доступ со старых адресов напрямую (мимо прокси)?

iptables -nL | grep 192.168.10.5
iptables -nL | grep 192.168.10.7
что дают?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2022 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру