LINUX.ORG.RU
ФорумAdmin

Не могу запретить пользваться сквидом. http_access deny all не помогает.


0

0

Доброе время суток.

Появилась у меня необзодимость перекрыть ИНЕТ некоторым пользователям.
Написал acl`ы одним разрешил, другим запретил, перезапустил сквид, а доступ остался у всех как и был. Ладно думаю, хорошо, перекрыл всем - тоже самое.
Вот кусок конфига с acl`ами:
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl SSL_ports port 443 563
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT

# TAG: http_access
# Allowing or Denying access based on defined access lists
#
# Access to the HTTP port:
# http_access allow|deny [!]aclname ...
#
# NOTE on default values:
#
# If there are no "access" lines present, the default is to deny
# the request.
#
# If none of the "access" lines cause a match, the default is the
# opposite of the last line in the list. If the last line was
# deny, then the default is allow. Conversely, if the last line
# is allow, the default will be deny. For these reasons, it is a
# good idea to have an "deny all" or "allow all" entry at the end
# of your access lists to avoid potential confusion.
#
#Default:
# http_access deny all
#
#Recommended minimum configuration:
#
# Only allow cachemgr access from localhost
http_access allow manager localhost
http_access deny manager
# Deny requests to unknown ports
http_access deny !Safe_ports
# Deny CONNECT to other than SSL ports
http_access deny CONNECT !SSL_ports
#
# INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS
#
# And finally deny all other access to this proxy
http_access allow localhost
http_access deny all

полностью стандартный кусок. Должен запретить доступ всем ан нет!!!!

Дайте маяк, что за грабли, замахался, не могу найти в чем дело.

Please help!!!

anonymous
Linux кластер
Запустить корпоративный dialup-server

не знаю в чем, у тебя дело если у тебя squid-3, поставь squid-2.5 - stable, но это только предположение. потому как я ставил 3ий смотрел лог как идут запросы от компов из сетки к сквиду и перепровляются родителю, и увидел что как бы запросы, которые переправляются родителю записываются в лог как от локального компа, а не от того кто подключился к моему кешу.

anonymous
()

У меня squid-2.4.STABLE6.
Это уже крайние меры, если никто не поможет или я сам не найду в чем дело, тогда прийдется переустанавливать.
Я в отчаянии прошелся поиском по всем all в squid.conf и поставил, где это возможно, deny.

Кто юзает squid-2.4.STABLE6 и у кого нет проблем с ACL`ами - помогите.

anonymous
()
Ответ на: комментарий от Stanislav_V

Но ведь у сквида есть прекрасные возможности резать банеры, доступ по дня/часам/дням недели, запрет скачки музки/видео, запрет URL`ок (допустим ХХХ).
На уровне iptables могу только полностью перекрыть доступ к 3128.

Плиз помогите.

anonymous
()

Поставь
debug_options ALL,2

И затем смотри в cache_log, там он четко напишет:
запрос ..... ALLOWED, так как он из acl'а такого-то
и делай выводы

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Linux кластер
Admin
Запустить корпоративный dialup-server