squid, dns и нетрадиционной ориентации apple

1

1

Доброго времени суток.

Пытался разобраться почему squid одни и те же запросы к

feedback.sandbox.push.apple.com
gateway.sandbox.push.apple.com

, с одного и того же хоста, абсолютно идентичные в tcpdump'е то разрешает, то блокирует, несмотря на то что в конфиге они разрешены.

Оказывается, что apple в очередной раз решили показать ~~свою женственность~~насколько они think different

И с разных своих DNS серверов выдают разные адреса на запросы вышеприведённых доменных имён. Не dns round robin, а именно разные ответы.

На один запрос gateway.sandbox.push.apple.com -

17.149.34.65
17.149.34.66

, на следующий запрос gateway.sandbox.push.apple.com-

17.172.233.65
17.172.233.66

И не я один это заметил - http://stackoverflow.com/questions/10688852/ip-address-ranges-for-apns-servers

А сквид, судя по

debug_options ALL,9

, при создании аклов преобразует имена в ip. И окончательно сверяет именно ip.

Вопрос: что с этими @#$%^&*()и из apple делать? Открывать доступ на всю 17.0.0.0/8?

UP. Причиной того, что сквид проверял ip, а не доменное имя, была ошибка в конфиге: dst вместо правильного dstdomain

Ссылка

←	Атомарный апгрейд и удаление rpm пакетов

авторизация на сайтах через проски сервер.

→

Какие аклы то? Какой-то бред про преобразование при запуске.

У меня все закрыто по dstdomain - он берет имя домена напрямую из HTTP запроса и блокирует, если совпадает со списком из акла. ДНС ему в данном случае вообще до барабана, ему IP не нужен тут.

Ну или url_regex попробовать можно.

blind_oracle ★★★★★
(08.04.13 23:40:54 MSK)
Последнее исправление: blind_oracle 08.04.13 23:41:17 MSK (всего исправлений: 1)

Ты по dstdomain ACL делаешь? Если да, то странно - у меня подобного поведения не наблюдается...

Pinkbyte ★★★★★
(08.04.13 23:41:37 MSK)

Ссылка

Ответ на: комментарий от blind_oracle 08.04.13 23:40:54 MSK

опередил

Pinkbyte ★★★★★
(08.04.13 23:41:51 MSK)

Ссылка

Ответ на: комментарий от blind_oracle 08.04.13 23:40:54 MSK

Какие аклы то? Какой-то бред про преобразование при запуске.

acl push_svc_apple_gw dst gateway.sandbox.push.apple.com
acl push_svc_apple_fb dst feedback.sandbox.push.apple.com

дебаг лог:

2013/04/08 22:09:22.327| aclParseAclLine: Creating ACL 'push_svc_apple_gw'
2013/04/08 22:09:22.327| ACL::Prototype::Factory: cloning an object for type 'dst'
2013/04/08 22:09:22.327| aclIpParseIpData: gateway.sandbox.push.apple.com
2013/04/08 22:09:22.327| aclIpParseIpData: Lookup Host/IP gateway.sandbox.push.apple.com
2013/04/08 22:09:22.395| aclIpParseIpData: Located host/IP: '17.172.233.66'
2013/04/08 22:09:22.395| gateway.sandbox.push.apple.com --> 17.172.233.66
2013/04/08 22:09:22.395| aclIpParseIpData: Duplicate host/IP: '17.172.233.66' dropped.
2013/04/08 22:09:22.395| aclIpParseIpData: Duplicate host/IP: '17.172.233.66' dropped.
2013/04/08 22:09:22.395| aclIpParseIpData: Located host/IP: '17.172.233.65'
2013/04/08 22:09:22.395| gateway.sandbox.push.apple.com --> 17.172.233.65
2013/04/08 22:09:22.396| aclIpParseIpData: Duplicate host/IP: '17.172.233.65' dropped.
2013/04/08 22:09:22.396| aclIpParseIpData: Duplicate host/IP: '17.172.233.65' dropped.
2013/04/08 22:09:22.396| aclIpAddrNetworkCompare: compare: 17.172.233.66/[ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff] (17.172.233.66)  vs 17.172.233.65-[::]/[ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff]
2013/04/08 22:09:22.396| aclIpAddrNetworkCompare: compare: 17.172.233.65/[ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff] (17.172.233.65)  vs 17.172.233.66-[::]/[ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff]
2013/04/08 22:09:22.396| Processing: 'acl push_svc_apple_fb dst feedback.sandbox.push.apple.com'
2013/04/08 22:09:22.396| ACL::Prototype::Registered: invoked for type dst
2013/04/08 22:09:22.396| ACL::Prototype::Registered:    yes
2013/04/08 22:09:22.396| ACL::FindByName 'push_svc_apple_fb'
2013/04/08 22:09:22.396| ACL::FindByName found no match