Новые ответы

SQUID не применяет новые IP (acl),

kolinmk, 17-Фев-14, 14:42 [смотреть все]

Добрый день. Возникла необходимость, добавить новый ip в ацл. Добавил применил, доступ запрещён на все сайты, кроме гугл(хотя должны все сайты работать), если вместо нового прописываю любой ип из старых,вписанных, то начинает работать.
acl DFN10 src "/home/server/acl/10.0"
acl FN103 src "/home/server/acl/103.0"
acl SSL_ports port 443
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT
acl mail port 1080
acl smtp port 465
acl pop3 port 995
acl 25 port 25
acl 110 port 110

http_access deny all
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access deny manager
http_access allow DFN10
http_access allow FN103
http_access allow CONNECT
http_access allow localhost manager
http_access allow localhost
http_access allow pop3
http_access allow mail !mail
http_access allow smtp
http_access allow mail
http_access allow 25
http_access allow 110

cache_mem 2048 MB
cache_dir ufs /usr/local/squid/cache 8192 16 256
maximum_object_size 4096 KB
cache_swap_low 90
cache_swap_high 95
cache_log /usr/local/squid/logs/cache.log

coredump_dir /var/spool/squid3

refresh_pattern -i (/cgi-bin/|\?) 0    0%    0
refresh_pattern (Release|Packages(.gz)*)$      0       20%     2880
refresh_pattern \.bz2$          43200   100%    43200 override-lastmod override-expire ignore-reload ignore-no-cache
refresh_pattern \.exe$          43200   100%    43200 override-lastmod override-expire ignore-reload ignore-no-cache
refresh_pattern \.gif$          43200   100%    43200 override-lastmod override-expire ignore-reload ignore-no-cache
refresh_pattern \.gz$           43200   100%    43200 override-lastmod override-expire ignore-reload ignore-no-cache
refresh_pattern \.ico$          43200   100%    43200 override-lastmod override-expire ignore-reload ignore-no-cache
refresh_pattern \.jpg$          43200   100%    43200 override-lastmod override-expire ignore-reload ignore-no-cache
refresh_pattern \.mid$          43200   100%    43200 override-lastmod override-expire ignore-reload ignore-no-cache
refresh_pattern \.mp3$          43200   100%    43200 override-lastmod override-expire ignore-reload ignore-no-cache
refresh_pattern \.pdf$          43200   100%    43200 override-lastmod override-expire ignore-reload ignore-no-cache
refresh_pattern \.swf$          43200   100%    43200 override-lastmod override-expire ignore-reload ignore-no-cache
refresh_pattern \.tar$          43200   100%    43200 override-lastmod override-expire ignore-reload ignore-no-cache
refresh_pattern \.tgz$          43200   100%    43200 override-lastmod override-expire ignore-reload ignore-no-cache
refresh_pattern \.zip$          43200   100%    43200 override-lastmod override-expire ignore-reload ignore-no-cache
#кэш рекламы
refresh_pattern http://ad\.       &n... 100%    43200 override-lastmod override-expire ignore-reload ignore-no-cache
refresh_pattern http://ads\.       &... 43200   100%    43200 override-lastmod override-expire ignore-reload ignore-no-cache
refresh_pattern http://adv\.       &... 43200   100%    43200 override-lastmod override-expire ignore-reload ignore-no-cache
refresh_pattern http://click\.       ... 43200   100%    43200 override-lastmod override-expire ignore-reload ignore-no-cache
refresh_pattern http://count\.       ... 43200   100%    43200 override-lastmod override-expire ignore-reload ignore-no-cache
refresh_pattern http://counter\.      &nb... 43200   100%    43200 override-lastmod override-expire ignore-reload ignore-no-cache
refresh_pattern http://engine\.      &nbs... 100%    43200 override-lastmod override-expire ignore-reload ignore-no-cache
refresh_pattern http://img\.readme\.ru    &nbs... 43200   100%    43200 override-lastmod override-expire ignore-reload ignore-no-cache
refresh_pattern http://userpic\.livejournal\.com   43200   100%    43200 override-lastmod override-expire ignore-reload ignore-no-cache
refresh_pattern \.ru/bf-analyze                    43200   100%    43200 override-lastmod override-expire ignore-reload ignore-no-cache
refresh_pattern \.ru/bf-si                         43200   100%    43200 override-lastmod override-expire ignore-reload ignore-no-cache
refresh_pattern /advs/                             43200   100%    43200 override-lastmod override-expire ignore-reload ignore-no-cache
refresh_pattern /banners/                          43200   100%    43200 override-lastmod override-expire ignore-reload ignore-no-cache
refresh_pattern /cgi-bin/iframe/                   43200   100%    43200 override-lastmod override-expire ignore-reload ignore-no-cache
refresh_pattern ^ftp:         &n... 1440    20%     10080
refresh_pattern ^gopher:        1440    0%      1440
refresh_pattern .               0       80%     14400
# cache_effective_user proxy
cache_effective_user server

delay_pools 1
deny_info /home/server/acl/ERR_ACCESS_DENIED.html DFN10
delay_class 1 1
delay_parameters 1 80000/80000
delay_access 1 allow DFN10
delay_access 1 allow FN103
access_log /home/server/acl/acceslog
ipcache_size 1024
ipcache_low 90
ipcache_high 95
fqdncache_size 1024
client_db off
cache_effective_group server

вот так выглядит файл ацл:
192.168.10.11/32
192.168.10.14/32
192.168.10.15/32
192.168.10.16/32
192.168.10.17/32
192.168.10.19/32
192.168.10.23/32
192.168.10.26/32
192.168.10.3/32
192.168.10.32/32
192.168.10.33/32
192.168.10.34/32
192.168.10.4/32
192.168.10.44/32
192.168.10.5/32
192.168.10.6/32
#эти два новых никак не хотят.
192.168.10.7/32
192.168.10.9/32

Ответить | Сообщить модератору

SQUID не применяет новые IP (acl), Andrey Mitrofanov, 15:19 , 17-Фев-14 (1)
> http_access allow smtp
> http_access allow mail
> http_access allow 25
> http_access allow 110
ПОскольку я не понимаю, чего ты делаешь, переходим к плану Бэ: попробуй сам понять, чего ты делаешь?
http://www.opennet.me/openforum/vsluhforumID12/5363.html#1
Ответить | Сообщить модератору

SQUID не применяет новые IP (acl), kolinmk, 15:26 , 17-Фев-14 (2)
>> http_access allow smtp
>> http_access allow mail
>> http_access allow 25
>> http_access allow 110
> ПОскольку я не понимаю, чего ты делаешь, переходим к плану Бэ: попробуй
> сам понять, чего ты делаешь?
> http://www.opennet.me/openforum/vsluhforumID12/5363.html#1
Это понятно, я сначала не знал что сквид не работает с почтой, а это были попытки чтото сделать с почтовыми портами. Ну я так понимаю дело-то не в них?
Ответить | Сообщить модератору

SQUID не применяет новые IP (acl), Andrey Mitrofanov, 15:30 , 17-Фев-14 (3)
>> ПОскольку я не понимаю, чего ты делаешь, переходим к плану Бэ: попробуй
>> сам понять, чего ты делаешь?
> так понимаю дело-то не в них?
Да. Теперь вижу: первый deny all должен вообще никого никуда не пкскать.
Откуда у тя "только гугль" я, конечно могу по-предполагать, но смысл?
Ответить | Сообщить модератору

SQUID не применяет новые IP (acl), kolinmk, 15:36 , 17-Фев-14 (4)
>>> ПОскольку я не понимаю, чего ты делаешь, переходим к плану Бэ: попробуй
>>> сам понять, чего ты делаешь?
>> так понимаю дело-то не в них?
> Да. Теперь вижу: первый deny all должен вообще никого никуда не пкскать.
> Откуда у тя "только гугль" я, конечно могу по-предполагать, но смысл?
Нет, я наверно объяснил не очень.
-Есть acl DFN10 src "/home/server/acl/10.0" (с мною забитыми IP устройств). Все они работают через прокси хорошо.
-Сегодня я добавил еще 2 адреса в этот ацл, но они у меня не приминяются.
-С этих новых адресов браузер заходит только на google.ru (хотя должен ходить по всем адресам.) На остальных сайтах, майл.ру, яндекс.ру.... ивсе остальные пишет доступ запрещен.
deny all - ставил в конец уже, не помогает

сейчас вот так:
http_access allow DFN10
http_access allow FN103
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access deny manager
# And finally deny all other access to this proxy
http_access allow CONNECT
http_access allow localhost manager
http_access allow localhost
http_access deny all
Ответить | Сообщить модератору

SQUID не применяет новые IP (acl), kolinmk, 09:02 , 18-Фев-14 (5)
если уже добавленный ранее ip прописываю на новом устройстве, то все работает.
Ответить | Сообщить модератору

SQUID не применяет новые IP (acl), kolinmk, 16:33 , 19-Фев-14 (6)
С новых IP заходит на сайты с HTTPS(443)
1392812867.443    108 192.168.10.12 TCP_MISS/200 3088 CONNECT id.google.ru:443 - HIER_DIRECT/178.45.253.29 -
На остальные глухо
1392812748.871      0 192.168.10.12 TCP_DENIED/403 3018 GET http://informers.rambler.ru/news/? - HIER_NONE/- text/html
1392812748.872      0 192.168.10.12 TCP_DENIED/403 3018 GET http://informers.rambler.ru/mail/? - HIER_NONE/- text/html
Ответить | Сообщить модератору

SQUID не применяет новые IP (acl), Anonymous1, 21:31 , 17-Мрт-14 (7)
>[оверквотинг удален]
> 192.168.10.32/32
> 192.168.10.33/32
> 192.168.10.34/32
> 192.168.10.4/32
> 192.168.10.44/32
> 192.168.10.5/32
> 192.168.10.6/32
> #эти два новых никак не хотят.
> 192.168.10.7/32
> 192.168.10.9/32
Точно ли именно и только squid ведает доступом?
Нет ли набора правил, например, iptables, разрешающего доступ со старых адресов напрямую (мимо прокси)?
iptables -nL | grep 192.168.10.5
iptables -nL | grep 192.168.10.7
что дают?
Ответить | Сообщить модератору