LINUX.ORG.RU

SQUID не могу запретить.


0

0

Раньше все работало, перешел на squid 3 к тому хожу через parent proxy. Админ сети раздает адрес прокси через dhcp. В итоге стал замечать что клиенты не объявленные в acl могут обращатся к кешу. Вот примерный конфиг:

http_port 172.24.119.223:8080
acl access_users src "/etc/squid/access_users"
http_access allow access_users
acl ban src "/usr/etc/ban/bans.txt"
http_access deny ban
acl mp3 urlpath_regex -i \.mp3$ \.avi$ \.ogg$ \.wmv$ \.wma$ \.mpeg$ \.wav$ \.3gp$ \.mp4$ \.flv$ \.m2v$ \.vob$ \.divx$ \.torrent$
acl manager proto cache_object
http_access allow manager all
http_access deny manager all
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 3306
acl SSL_ports port 443
acl Safe_ports port 80          # http
acl Safe_ports port 21          # ftp
acl Safe_ports port 443         # https
acl Safe_ports port 70          # gopher
acl Safe_ports port 210         # wais
acl Safe_ports port 1025-65535  # unregistered ports
acl Safe_ports port 280         # http-mgmt
acl Safe_ports port 488         # gss-http
acl Safe_ports port 591         # filemaker
acl Safe_ports port 777         # multiling http
acl Safe_ports port 3306        #MySQL connect
acl CONNECT method CONNECT
acl SitesRegexSex url_regex -i "/etc/squid/porn.txt"
http_access deny all SitesRegexSex
http_access deny all mp3
http_access allow !Safe_ports
http_access deny !Safe_ports
http_access allow !SSL_ports
http_access deny CONNECT !SSL_ports
icp_access deny all
cache_peer 172.31.119.134 parent 8080 3306 no-query default
never_direct allow access_users
never_direct deny all
http_access deny access_users
http_access deny all
Вообщем как мне запретить доступ пользователей к proxy всем не прописанным в /etc/squid/access_users. Не могу найти где я накосячил.

★★★★★

лог пишет:

1264751642.811 5121 172.24.118.154 TCP_MISS/302 677 GET http://go.microsoft.com/fwlink/? - DEFAULT_PARENT/172.31.119.134 text/html
1264751656.405 4551 172.24.118.154 TCP_MISS/302 642 GET http://www.google.com/ - DEFAULT_PARENT/172.31.119.134 text/html
1264751668.081 2276 172.24.118.154 TCP_MISS/302 642 GET http://www.google.com/ - DEFAULT_PARENT/172.31.119.134 text/html
1264751675.964 7218 172.24.118.154 TCP_MISS/200 5999 GET http://www.google.ru/ - DEFAULT_PARENT/172.31.119.134 text/html
1264751679.489 2281 172.24.118.154 TCP_MISS/204 437 GET http://www.google.ru/csi? - DEFAULT_PARENT/172.31.119.134 text/html
1264751679.490 2517 172.24.118.154 TCP_MISS/000 0 GET http://clients1.google.ru/generate_204 - DEFAULT_PARENT/172.31.119.134 -
1264751688.531 4846 172.24.118.154 TCP_MISS/200 711 GET http://clients1.google.ru/complete/search? - DEFAULT_PARENT/172.31.119.134 text/javascript
1264751688.531 4681 172.24.118.154 TCP_MISS/000 0 GET http://clients1.google.ru/complete/search? - DEFAULT_PARENT/172.31.119.134 -
1264751688.531 4534 172.24.118.154 TCP_MISS/000 0 GET http://clients1.google.ru/complete/search? - DEFAULT_PARENT/172.31.119.134 -
1264751688.938 4784 172.24.118.154 TCP_MISS/200 711 GET http://clients1.google.ru/complete/search? - DEFAULT_PARENT/172.31.119.134 text/javascript
1264751690.690 2154 172.24.118.154 TCP_MISS/200 718 GET http://clients1.google.ru/complete/search? - DEFAULT_PARENT/172.31.119.134 text/javascript
1264751690.691 2155 172.24.118.154 TCP_MISS/000 0 GET http://clients1.google.ru/complete/search? - DEFAULT_PARENT/172.31.119.134 -
1264751690.691 2155 172.24.118.154 TCP_MISS/000 0 GET http://clients1.google.ru/complete/search? - DEFAULT_PARENT/172.31.119.134 -
1264751690.691 1751 172.24.118.154 TCP_MISS/000 0 GET http://clients1.google.ru/complete/search? - DEFAULT_PARENT/172.31.119.134 -
1264751692.815 2120 172.24.118.154 TCP_MISS/200 748 GET http://clients1.google.ru/complete/search? - DEFAULT_PARENT/172.31.119.134 text/javascript
1264751700.878 3958 172.24.118.154 TCP_MISS/200 10759 GET http://www.google.ru/search? - DEFAULT_PARENT/172.31.119.134 text/html
1264751703.632 4385 172.24.118.154 TCP_MISS/200 1865 GET http://www.google.ru/images? - DEFAULT_PARENT/172.31.119.134 image/jpeg
1264751703.634 4381 172.24.118.154 TCP_MISS/200 3610 GET http://www.google.ru/images? - DEFAULT_PARENT/172.31.119.134 image/jpeg
1264751703.639 4389 172.24.118.154 TCP_MISS/200 2537 GET http://www.google.ru/images? - DEFAULT_PARENT/172.31.119.134 image/jpeg
1264751705.582 4597 172.24.118.154 TCP_MISS/200 2041 GET http://www.google.ru/images? - DEFAULT_PARENT/172.31.119.134 image/jpeg
1264751705.584 1905 172.24.118.154 TCP_MISS/000 0 GET http://www.google.ru/images? - DEFAULT_PARENT/172.31.119.134 -
1264751705.584 1904 172.24.118.154 TCP_MISS/000 0 GET http://www.google.ru/images? - DEFAULT_PARENT/172.31.119.134 -
1264751705.584 1904 172.24.118.154 TCP_MISS/000 0 GET http://clients1.google.ru/generate_204 - DEFAULT_PARENT/172.31.119.134
Этого ip 172.24.118.154 нету в ACL

splinter ★★★★★
() автор топика
Ответ на: комментарий от splinter
http_access allow !Safe_ports 
# Пропустить всех, кто идет не на Safe_ports
http_access allow !SSL_ports 
# Пропустить всех, кто идет не на SSL_ports

Имхо, они не нужны. Выкинь нафиг.

nnz ★★★★
()
Ответ на: комментарий от nnz

блин, как это я так! :-( Спасибо огромное!

splinter ★★★★★
() автор топика
Ответ на: комментарий от splinter

Поднял правило выше заработало.

splinter ★★★★★
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.