The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы
правила/FAQ
поиск
регистрация
вход
слежка
RSS



Версия для распечатки Пред. тема | След. тема
Новые ответы [ Отслеживать ]
squid принимает ip адрес компьютера за подсеть, !*! andrystepa, 17-Апр-12, 09:42  [смотреть все]
На шлюзе стоит Russian Fedora REMIX 15.1. Доступ в инет идет через прозрачный прокси Squid. Для предотвращения несанкционированного доступа в инет я сделал список всех ip адресов компьютеров локальной сети, обозвал его true_ip и вписал в конфиг Squid следующее правило:
<code>
acl TrueIP src "/etc/squid/true_ip"
http_access deny !TrueIP
</code>
Все вроде бы работает, только вот когда проверяешь статус squid, выскакивают странные предупреждения:
<code>
[root@localhost shorewall]# /etc/init.d/squid status
.......
2012/04/16 17:31:17| WARNING: (B) '169.254.37.192' is a subnetwork of (A) '169.254.37.192'
2012/04/16 17:31:17| WARNING: because of this '169.254.37.192' is ignored to keep splay tree searching predictable
2012/04/16 17:31:17| WARNING: You should probably remove '169.254.37.192' from the ACL named 'TrueIP'
2012/04/16 17:31:17| WARNING: (B) '169.254.37.192' is a subnetwork of (A) '169.254.37.192'
2012/04/16 17:31:17| WARNING: because of this '169.254.37.192' is ignored to keep splay tree searching predictable
2012/04/16 17:31:17| WARNING: You should probably remove '169.254.37.192' from the ACL named 'TrueIP'
2012/04/16 17:31:17| WARNING: (B) '169.254.37.205' is a subnetwork of (A) '169.254.37.205'
2012/04/16 17:31:17| WARNING: because of this '169.254.37.205' is ignored to keep splay tree searching predictable
2012/04/16 17:31:17| WARNING: You should probably remove '169.254.37.205' from the ACL named 'TrueIP'
</code>
Я не очень понимаю, с какого перепоя Squid считает ip адрес компьютера подсетью? Кто знает, помогите пожалуйста разобраться!
Ответить | Сообщить модератору
  • squid принимает ip адрес компьютера за подсеть, !*! КуКу, 10:09 , 17-Апр-12 (1) +1
    • squid принимает ip адрес компьютера за подсеть, !*! andrystepa, 10:29 , 17-Апр-12 (2)
      > Хм, а не раскроете секрет, зачем Вы используете 169.254.37.0 подсеть?
      > з.ы. http://ru.wikipedia.org/wiki/Link-local_address
      > 3-й абзац

      Эта адресация была установлена одним из предыдущих сисадминов. Когда я пришел в компанию она уже была. Менять вручную ip адреса на 54 компьютерах как-то не хотелось. Поэтому оставил как было. За последние 3 года проблем с данной подсетью не испытывал. Да и описание в wikipedia не дает ответ на мой вопрос. Ведь Squid не ругается на все 62 ip адреса - только на 2 из них.

      Ответить | Сообщить модератору
      • squid принимает ip адрес компьютера за подсеть, !*! reader, 11:01 , 17-Апр-12 (3)
      • squid принимает ip адрес компьютера за подсеть, !*! КуКу, 11:02 , 17-Апр-12 (4) +1
        • squid принимает ip адрес компьютера за подсеть, !*! andrystepa, 11:40 , 17-Апр-12 (5)
          > Адресацию все равно советовал бы поменять.
          > ответ нашел здесь
          > http://www.squid-cache.org/mail-archive/squid-users/200111/0...

          Я так понимаю, что это из-за того, что у меня есть 2 списка доступа:
          <code>
          acl localnet src 169.254.0.0/16
          acl TrueIP src "/etc/squid/true_ip"
          </code>
          Т.к. в файле true_ip указаны адреса из той же подсети, что и в списке доступа localnet, то из-за этого squid и пишет предупреждения. Можно, конечно, убрать второй список, а в первом вместо подсети указать файл true_ip, но правильно ли будет так делать?

          Ответить | Сообщить модератору
          • squid принимает ip адрес компьютера за подсеть, !*! КуКу, 11:53 , 17-Апр-12 (6) +1
            • squid принимает ip адрес компьютера за подсеть, !*! andrystepa, 12:22 , 17-Апр-12 (7)
              >> acl localnet src 169.254.0.0/16
              >> acl TrueIP src "/etc/squid/true_ip"
              > на счет адресации я все равно настаиваю.
              > конечно же хорошо что Вы поняли в чем ошибка, но незная как
              > у Вас раздаются  плюшки(allow,deny), приходится использовать метод "пальцем в небо".
              > Если мне память не изменяет, то еще и играет роль порядок АЦЛ-ов.
              > У меня телепатия развита слабо, так что покажите все ацлы

              Вот все мои ацлы:
              <code>
              acl localhost src 127.0.0.1/32 ::1
              acl to_localhost dst 127.0.0.0/8 0.0.0.0/32 ::1
              acl QUERY urlpath_regex cgi-bin \? cmd dst dk?st.cmd
              acl localnet src 169.254.0.0/16># RFC1918 possible internal network
              acl TrueIP src "/etc/squid/true_ip"
              acl BanUsers src "/etc/squid/BanUsers"

              acl SSL_ports port 443
              acl Safe_ports port 80<><------># http
              acl Safe_ports port 21<><------># ftp
              acl Safe_ports port 443><------># https
              acl Safe_ports port 70<><------># gopher
              acl Safe_ports port 210><------># wais
              acl Safe_ports port 1025-65535<># unregistered ports
              acl Safe_ports port 280><------># http-mgmt
              acl Safe_ports port 488><------># gss-http
              acl Safe_ports port 591><------># filemaker
              acl Safe_ports port 777><------># multiling http
              acl CONNECT method CONNECT
              http_access allow manager localhost
              http_access deny manager
              http_access deny !Safe_ports
              http_access deny !TrueIP
              http_access deny BanUsers
              http_access deny CONNECT !SSL_ports
              http_access allow localnet
              http_access allow localhost
              icp_access allow all
              http_access deny all
              </code>

              Ответить | Сообщить модератору
  • squid принимает ip адрес компьютера за подсеть, !*! Andrey Mitrofanov, 14:14 , 17-Апр-12 (12)
    • squid принимает ip адрес компьютера за подсеть, !*! andrystepa, 15:05 , 17-Апр-12 (13)
      >> 2012/04/16 17:31:17| WARNING: You should probably remove '169.254.37.192' from the
      >> ACL named 'TrueIP'
      >> 2012/04/16 17:31:17| WARNING: You should probably remove '169.254.37.205' from the
      >> ACL named 'TrueIP'
      >> Я не очень понимаю, с какого перепоя Squid считает ip адрес компьютера
      >> подсетью?
      > Его английская есть не очень хороша. Её есть мала-мала сказать проблема тама.
      >> Кто знает, помогите пожалуйста разобраться!
      > Видимо, эти два ip-шника __повторяются__ в файле --
      > ##>acl TrueIP src "/etc/squid/true_ip"

      Вот тут Вы абсолютно правы! Спасибо большое, файл довольно большой - вроде все ip по порядку идут, однако когда появлялись новые компьютеры - просто добавлял новый ip в конец списка. Так и получилось что пара ip адресов продублировалась. Спасибо еще раз.

      Ответить | Сообщить модератору

Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру