squid принимает ip адрес компьютера за подсеть, andrystepa, 17-Апр-12, 09:42 [смотреть все]На шлюзе стоит Russian Fedora REMIX 15.1. Доступ в инет идет через прозрачный прокси Squid. Для предотвращения несанкционированного доступа в инет я сделал список всех ip адресов компьютеров локальной сети, обозвал его true_ip и вписал в конфиг Squid следующее правило: <code> acl TrueIP src "/etc/squid/true_ip" http_access deny !TrueIP </code> Все вроде бы работает, только вот когда проверяешь статус squid, выскакивают странные предупреждения: <code> [root@localhost shorewall]# /etc/init.d/squid status ....... 2012/04/16 17:31:17| WARNING: (B) '169.254.37.192' is a subnetwork of (A) '169.254.37.192' 2012/04/16 17:31:17| WARNING: because of this '169.254.37.192' is ignored to keep splay tree searching predictable 2012/04/16 17:31:17| WARNING: You should probably remove '169.254.37.192' from the ACL named 'TrueIP' 2012/04/16 17:31:17| WARNING: (B) '169.254.37.192' is a subnetwork of (A) '169.254.37.192' 2012/04/16 17:31:17| WARNING: because of this '169.254.37.192' is ignored to keep splay tree searching predictable 2012/04/16 17:31:17| WARNING: You should probably remove '169.254.37.192' from the ACL named 'TrueIP' 2012/04/16 17:31:17| WARNING: (B) '169.254.37.205' is a subnetwork of (A) '169.254.37.205' 2012/04/16 17:31:17| WARNING: because of this '169.254.37.205' is ignored to keep splay tree searching predictable 2012/04/16 17:31:17| WARNING: You should probably remove '169.254.37.205' from the ACL named 'TrueIP' </code> Я не очень понимаю, с какого перепоя Squid считает ip адрес компьютера подсетью? Кто знает, помогите пожалуйста разобраться!
|
- squid принимает ip адрес компьютера за подсеть, КуКу, 10:09 , 17-Апр-12 (1) +1
- squid принимает ip адрес компьютера за подсеть, andrystepa, 10:29 , 17-Апр-12 (2)
> Хм, а не раскроете секрет, зачем Вы используете 169.254.37.0 подсеть? > з.ы. http://ru.wikipedia.org/wiki/Link-local_address > 3-й абзац Эта адресация была установлена одним из предыдущих сисадминов. Когда я пришел в компанию она уже была. Менять вручную ip адреса на 54 компьютерах как-то не хотелось. Поэтому оставил как было. За последние 3 года проблем с данной подсетью не испытывал. Да и описание в wikipedia не дает ответ на мой вопрос. Ведь Squid не ругается на все 62 ip адреса - только на 2 из них.
- squid принимает ip адрес компьютера за подсеть, reader, 11:01 , 17-Апр-12 (3)
- squid принимает ip адрес компьютера за подсеть, КуКу, 11:02 , 17-Апр-12 (4) +1
- squid принимает ip адрес компьютера за подсеть, andrystepa, 11:40 , 17-Апр-12 (5)
> Адресацию все равно советовал бы поменять. > ответ нашел здесь > http://www.squid-cache.org/mail-archive/squid-users/200111/0... Я так понимаю, что это из-за того, что у меня есть 2 списка доступа: <code> acl localnet src 169.254.0.0/16 acl TrueIP src "/etc/squid/true_ip" </code> Т.к. в файле true_ip указаны адреса из той же подсети, что и в списке доступа localnet, то из-за этого squid и пишет предупреждения. Можно, конечно, убрать второй список, а в первом вместо подсети указать файл true_ip, но правильно ли будет так делать?
- squid принимает ip адрес компьютера за подсеть, КуКу, 11:53 , 17-Апр-12 (6) +1
- squid принимает ip адрес компьютера за подсеть, andrystepa, 12:22 , 17-Апр-12 (7)
>> acl localnet src 169.254.0.0/16 >> acl TrueIP src "/etc/squid/true_ip" > на счет адресации я все равно настаиваю. > конечно же хорошо что Вы поняли в чем ошибка, но незная как > у Вас раздаются плюшки(allow,deny), приходится использовать метод "пальцем в небо". > Если мне память не изменяет, то еще и играет роль порядок АЦЛ-ов. > У меня телепатия развита слабо, так что покажите все ацлы Вот все мои ацлы: <code> acl localhost src 127.0.0.1/32 ::1 acl to_localhost dst 127.0.0.0/8 0.0.0.0/32 ::1 acl QUERY urlpath_regex cgi-bin \? cmd dst dk?st.cmd acl localnet src 169.254.0.0/16># RFC1918 possible internal network acl TrueIP src "/etc/squid/true_ip" acl BanUsers src "/etc/squid/BanUsers" acl SSL_ports port 443 acl Safe_ports port 80<><------># http acl Safe_ports port 21<><------># ftp acl Safe_ports port 443><------># https acl Safe_ports port 70<><------># gopher acl Safe_ports port 210><------># wais acl Safe_ports port 1025-65535<># unregistered ports acl Safe_ports port 280><------># http-mgmt acl Safe_ports port 488><------># gss-http acl Safe_ports port 591><------># filemaker acl Safe_ports port 777><------># multiling http acl CONNECT method CONNECT http_access allow manager localhost http_access deny manager http_access deny !Safe_ports http_access deny !TrueIP http_access deny BanUsers http_access deny CONNECT !SSL_ports http_access allow localnet http_access allow localhost icp_access allow all http_access deny all </code>
- squid принимает ip адрес компьютера за подсеть, reader, 12:54 , 17-Апр-12 (8) +1
- squid принимает ip адрес компьютера за подсеть, КуКу, 13:04 , 17-Апр-12 (9)
- squid принимает ip адрес компьютера за подсеть, reader, 13:21 , 17-Апр-12 (10)
- squid принимает ip адрес компьютера за подсеть, andrystepa, 13:36 , 17-Апр-12 (11)
>[оверквотинг удален] > #http_access deny !TrueIP > http_access allow TrueIP > http_access deny BanUsers > http_access deny CONNECT !SSL_ports > #http_access allow localnet > http_access allow localhost > icp_access allow all > http_access deny all > в этой части конфига я бы сделал такие изменения(строчки с # или > закоментировать, или вообще удлить) Других acl у меня в конфиге нет. Только те, что привел. Добавил в конфиг строку http_access allow TrueIP Закомментировал указанные строки, перезапустил Squid - после команды squid status точно такие же предупреждения. Даже когда я закомментировал строку: acl localhost src 169.254.0.0/16 и перезапустил Squid эти предупреждения не исчезли.
- squid принимает ip адрес компьютера за подсеть, Andrey Mitrofanov, 14:14 , 17-Апр-12 (12)
- squid принимает ip адрес компьютера за подсеть, andrystepa, 15:05 , 17-Апр-12 (13)
>> 2012/04/16 17:31:17| WARNING: You should probably remove '169.254.37.192' from the >> ACL named 'TrueIP' >> 2012/04/16 17:31:17| WARNING: You should probably remove '169.254.37.205' from the >> ACL named 'TrueIP' >> Я не очень понимаю, с какого перепоя Squid считает ip адрес компьютера >> подсетью? > Его английская есть не очень хороша. Её есть мала-мала сказать проблема тама. >> Кто знает, помогите пожалуйста разобраться! > Видимо, эти два ip-шника __повторяются__ в файле -- > ##>acl TrueIP src "/etc/squid/true_ip" Вот тут Вы абсолютно правы! Спасибо большое, файл довольно большой - вроде все ip по порядку идут, однако когда появлялись новые компьютеры - просто добавлял новый ip в конец списка. Так и получилось что пара ip адресов продублировалась. Спасибо еще раз.
|