The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка  RSS
"не хочу быть прокси. кто виноват - модем или сквид?"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Настройка Squid и других прокси серверов (Public)
Изначальное сообщение [Проследить за развитием треда]

"не хочу быть прокси. кто виноват - модем или сквид?" 
Сообщение от ыефдлук emailИскать по авторуВ закладки(ok) on 09-Апр-05, 18:13  (MSK)
есть сетка из пяти компов. на одном из них (WXP SP2), стоит squid/2.5.STABLE6-NT
к нему подключен кабельный модем TERAYON TJ715x
я разрешаю доступ только на те диапазоны адресов, которые находятся в файле c:/squid/etc/allow.acl и домены из файла c:/squid/etc/allowd.acl

все казалось бы работает... но!
проблема в том, что меня могут использовать как прокси не только из локалки, но и извне. причем, они получают доступ ко всем адресам. даже к тем, к которым доступ из локалки закрыт.
это криво настроеный сквид или просто модем работает как шлюз "фор эвриван"?

acl allowed_iplist dst "c:/squid/etc/allow.acl"
acl allowed_urls url_regex "c:/squid/etc/allowd.acl"
acl my_network src 192.168.0.0/255.255.255.0

http_access allow my_network allowed_iplist
http_access allow my_network allowed_urls
http_access deny all

  Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

 Оглавление

Индекс форумов | Темы | Пред. тема | След. тема
Сообщения по теме

1. "не хочу быть прокси. кто виноват - модем или сквид?" 
Сообщение от crash Искать по авторуВ закладки(ok) on 10-Апр-05, 09:47  (MSK)
>acl allowed_iplist dst "c:/squid/etc/allow.acl"
>acl allowed_urls url_regex "c:/squid/etc/allowd.acl"
>acl my_network src 192.168.0.0/255.255.255.0
>
>http_access allow my_network allowed_iplist
>http_access allow my_network allowed_urls
>http_access deny all

а что по поводу acl all?

  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "не хочу быть прокси. кто виноват - модем или сквид?" 
Сообщение от ыефдлук emailИскать по авторуВ закладки(??) on 11-Апр-05, 15:22  (MSK)
>а что по поводу acl all?
acl all src 0.0.0.0/0.0.0.0

насколько я могу догадываться, тут и крылась проблема.
надо было ставить dst а не src. типа так:
acl all dst 0.0.0.0/0.0.0.0
осталось только както проверить %)

  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "не хочу быть прокси. кто виноват - модем или сквид?" 
Сообщение от ipmanyak Искать по авторуВ закладки(??) on 12-Апр-05, 06:34  (MSK)
>>а что по поводу acl all?
>acl all src 0.0.0.0/0.0.0.0
>
>насколько я могу догадываться, тут и крылась проблема.
>надо было ставить dst а не src. типа так:
>acl all dst 0.0.0.0/0.0.0.0
>осталось только както проверить %)
нет, запрещать нужно именно
acl all src 0.0.0.0/0.0.0.0
твои аксели
.....
в самом конце :
http_access deny all
покажи все правила в том порядке в каком они у тебя стоят. скорее всего порядок неверный, и с чего ты взял что тебя имеют ? покажи кусок лога сквида, что это именно так.
  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "не хочу быть прокси. кто виноват - модем или сквид?" 
Сообщение от ыефдлук emailИскать по авторуВ закладки(??) on 12-Апр-05, 22:35  (MSK)
>покажи все правила в том порядке в каком они у тебя стоят.
acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY

acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443 563 8443
acl Safe_ports port 80    # http
acl Safe_ports port 21    # ftp
acl Safe_ports port 20    # ftp
acl Safe_ports port 53    # DNS
acl Safe_ports port 5190  # icq
acl Safe_ports port 443 563  # https, snews
acl Safe_ports port 70    # gopher
acl Safe_ports port 210    # wais
acl Safe_ports port 1025-65535  # unregistered ports
acl Safe_ports port 280    # http-mgmt
acl Safe_ports port 488    # gss-http
acl Safe_ports port 591    # filemaker
acl Safe_ports port 777    # multiling http
acl CONNECT method CONNECT

http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

acl all src 0.0.0.0/0.0.0.0
#тут список айпишников. большой. все подсети входящие в зону UA-IX
acl uaix_iplist dst "c:/squid/etc/allow.acl"
#тут несколько сайтов, которые хоть и зарубежные, но типа всем нужны..
#типа гугля и маил.ру
acl allowed_urls url_regex "c:/squid/etc/allowd.acl"
acl my_network src 192.168.0.0/255.255.255.0
acl boss src 192.168.0.3/255.255.255.255

#боссу типа можно везде бродить. думал проблема тут, убирал.. всеравно
http_access allow boss all
http_access allow my_network uaix_iplist
http_access allow my_network allowed_urls

http_access deny all

вот вроде все..
>скорее всего порядок неверный, и с чего ты взял что тебя
>имеют ? покажи кусок лога сквида, что это именно так.

поздно уже. завтра может найду.
прошу друга через аську проверить. он ставит у себя в настройках IE мой айпи как прокси и получает доступ ко всем ресурсам. даже к тем, что не вхдят в UA-IX. Он сам правда туда входит.. может поэтому..
список сетей можно глянуть тут.
http://noc.ix.net.ua/ua-list.txt
http://www.colocall.net/ua/?list

  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

5. "не хочу быть прокси. кто виноват - модем или сквид?" 
Сообщение от ipmanyak Искать по авторуВ закладки(??) on 13-Апр-05, 06:49  (MSK)
http_access allow boss all
^^^^^^^^^^^^^^^^^^^^^^^^^^^
думаю вот тут ошибка, ты разрешил всему инету (all) юзать твой прокси
  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

6. "не хочу быть прокси. кто виноват - модем или сквид?" 
Сообщение от ыефдлук emailИскать по авторуВ закладки(??) on 13-Апр-05, 13:20  (MSK)
я пытался делать как написано тут.
http://squid.h12.ru/FAQ/FAQ-10.html#ss10.16
видимо я чет не доганяю.
а как тогда разрешить боссу юзать весь инет?
  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

7. "не хочу быть прокси. кто виноват - модем или сквид?" 
Сообщение от ipmanyak Искать по авторуВ закладки(??) on 13-Апр-05, 13:55  (MSK)
>я пытался делать как написано тут.
>http://squid.h12.ru/FAQ/FAQ-10.html#ss10.16
>видимо я чет не доганяю.
>а как тогда разрешить боссу юзать весь инет?
http_access allow boss
http_access allow my_network uaix_iplist
http_access allow my_network allowed_urls
http_access deny all

  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

8. "не хочу быть прокси. кто виноват - модем или сквид?" 
Сообщение от ipmanyak Искать по авторуВ закладки(??) on 13-Апр-05, 15:13  (MSK)
чтобы к тебе вообще не тыкались снаружи на сквид скажи ему слушать только на локальном интерфейсе
http_port локальный_ip:3128
  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

9. "не хочу быть прокси. кто виноват - модем или сквид?" 
Сообщение от Adil emailИскать по авторуВ закладки(??) on 13-Апр-05, 16:02  (MSK)
>есть сетка из пяти компов. на одном из них (WXP SP2), стоит
>squid/2.5.STABLE6-NT
>к нему подключен кабельный модем TERAYON TJ715x
>я разрешаю доступ только на те диапазоны адресов, которые находятся в файле
>c:/squid/etc/allow.acl и домены из файла c:/squid/etc/allowd.acl
>
>все казалось бы работает... но!
>проблема в том, что меня могут использовать как прокси не только из
>локалки, но и извне. причем, они получают доступ ко всем адресам.
>даже к тем, к которым доступ из локалки закрыт.
>это криво настроеный сквид или просто модем работает как шлюз "фор эвриван"?
>
>
>acl allowed_iplist dst "c:/squid/etc/allow.acl"
>acl allowed_urls url_regex "c:/squid/etc/allowd.acl"
>acl my_network src 192.168.0.0/255.255.255.0
>
>http_access allow my_network allowed_iplist
>http_access allow my_network allowed_urls
>http_access deny all

tebe prosto nujno strogo prekripit http_port k vnutrenemu interfasu!!!
dopustim u tebya http_port 8080 i ip 192.168.0.1, togda pishi:
http_port 192.168.0.1:8080 i vsem problemam krishka!!!

  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

10. "не хочу быть прокси. кто виноват - модем или сквид?" 
Сообщение от ыефдлук emailИскать по авторуВ закладки(??) on 15-Апр-05, 17:23  (MSK)
>http_port 192.168.0.1:3128
так было, так и есть.
модем внешний, кабельный 2мбпс. на USB висит.

но пускает!
може это быть потому что человек который подключаенся снаружи, входит в allowed_iplist ???
или это модем всех везде пускает?

  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

11. "не хочу быть прокси. кто виноват - модем или сквид?" 
Сообщение от Adil emailИскать по авторуВ закладки(??) on 16-Апр-05, 14:42  (MSK)
>>http_port 192.168.0.1:3128
>так было, так и есть.
>модем внешний, кабельный 2мбпс. на USB висит.
>
>но пускает!
>може это быть потому что человек который подключаенся снаружи, входит в allowed_iplist
>???
>или это модем всех везде пускает?

Posmotri access.log  kto tam podklyu4aetsya i ......

  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх


Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ]
Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру