LINUX.ORG.RU
ФорумAdmin

Squid tcp_outgoing_address блокируются локальные адреса

 


0

1

Привет, Проблема состоит в том, что когда я указываю выход группы пользователей через определенный ip, они не могут зайти на ресурсы в сети, только если их не указывать в списке исключений браузера, но исключения работают не очень корректно. Подскажите в чем проблема, когда не использую tcp_outgoing_address, все нормально.

auth_param negotiate program /usr/lib64/squid/negotiate_kerberos_auth -s HTTP/squid.domain.local@DOMAIN.LOCAL auth_param negotiate children 20 startup=0 idle=1 auth_param negotiate keep_alive off

external_acl_type users ttl=300 negative_ttl=60 %LOGIN /usr/lib64/squid/ext_kerberos_ldap_group_acl -g squid_users@DOMAIN.LOCAL external_acl_type vpn ttl=300 negative_ttl=60 %LOGIN /usr/lib64/squid/ext_kerberos_ldap_group_acl -g squid_vpn@DOMAIN.LOCAL external_acl_type vip ttl=300 negative_ttl=60 %LOGIN /usr/lib64/squid/ext_kerberos_ldap_group_acl -g squid_vip@DOMAIN.LOCAL

acl localnet src 10.10.10.0/24 acl localnet src 10.10.30.0/24 acl localnet src 172.16.0.0/29 acl localnet src 192.168.0.0/21

acl auth proxy_auth REQUIRED

acl users_acl external users acl vpn_acl external vpn acl vip_acl external vip

acl SSL_ports port 443 acl Safe_ports port 80 # http acl Safe_ports port 21 # ftp acl Safe_ports port 443 # https acl Safe_ports port 70 # gopher acl Safe_ports port 210 # wais acl Safe_ports port 1025-65535 # unregistered ports acl Safe_ports port 280 # http-mgmt acl Safe_ports port 488 # gss-http acl Safe_ports port 591 # filemaker acl Safe_ports port 777 # multiling http acl CONNECT method CONNECT

acl BLOCKED url_regex -i «/etc/squid/black_list» # Black list

tcp_outgoing_address 172.16.0.2 vpn_acl tcp_outgoing_address 172.16.0.3

http_access deny !Safe_ports http_access deny CONNECT !SSL_ports http_access allow localhost manager http_access deny manager

http_access allow vip_acl http_access deny BLOCKED http_access allow users_acl http_access allow vpn_acl

http_access allow auth http_access allow localhost http_access deny all

http_port 3128

cache_dir ufs /var/spool/squid 2048 16 256 coredump_dir /var/spool/squid

refresh_pattern ^ftp: 1440 20% 10080 refresh_pattern ^gopher: 1440 0% 1440 refresh_pattern -i (/cgi-bin/|?) 0 0% 0 refresh_pattern . 0 20% 4320

Проблема в том, что в tcp_outgoing_address можно использовать только fast acl.

Это исключает возможность использования acl типа dst (это резолвинг, который slow acl) в котором можно было бы указать список своих локальных сетей.

Так что, если можешь описать свои локальны домены через dstdom/dstdom_regex (это fast acl), то сможешь решить проблему с tcp_outgoing_address.

vel ★★★★★ ()
Для того чтобы оставить комментарий войдите или зарегистрируйтесь.