Проблемы со Squid

To: debian-russian@lists.debian.org
Subject: Проблемы со Squid
From: "Murat D. Kadirov" <banderols@gmail.com>
Date: Fri, 2 Nov 2007 19:48:41 +0500
Message-id: <[🔎] 4a816e450711020748q33525cf0nd96eca6f84a919c7@mail.gmail.com>

Кусок из сквидового конфига:

# в этой части определяю имена элементов acl
acl localhost src 127.0.0.1/255.255.255.255
acl localnet src 192.168.1.0/255.255.255.0
acl all src 0.0.0.0/0.0.0.0
acl SSL_ports port 443 563
acl Safe_ports port 80 8080
acl CONNECT method CONNECT

# в этой части, соответственно, разрешаю/запрещаю доступ
http_access deny CONNECT
http_access deny CONNECT SSL_ports
http_access deny CONNECT Safe_ports
http_access allow localhost
http_access allow localnet
http_access deny all

Если я прав, то при парсинге происходит следуюющее: если разрешено -
доступ предоставляется, дальшейний поиск по списку прекращается, тоже
самое, если запрещено, доступ запрещается, поиск по списку
прекращается. Вопрос: почему доступ с данными настройками разрешён
всё-равно (по крайней мере web), за одним исключением - доступ к
защищённым страницам. Как эти настройки понимаю я:
1. http_access deny CONNECT - невозможность подключения к любым серверам
2. http_access deny CONNECT SSL_ports - запретить подкючение к 443 и
563 портам (собственно это излишне, так как есть правило 1)
3. http_access deny CONNECT Safe_ports - запретить подключение к
портам 80 и 8080 (это правиль так же избыточно)
4. http_access allow localhost - разрешить подключение локальной машине
5. http_access allow localnet - разрешить подключение сети 192.168.1.0/24
6. http_access deny all - запретить подключение всем

Поправьте, где не прав.
Squid собирал последний 2.6stable16 со следующими опциями:
--prefix=/usr/ --sysconfdir=/etc/squid --localstatedir=/var/log/squid
--datadir=/usr/share/squid --mandir=/usr/man
--enable-default-err-language=Russian-1251
--enable-err-languages=Russian-1251
--enable-storeio="aufs,diskd,null,ufs,coss" --enable-truncate
--enable-icmp --enable-htcp --enable-ssl --enable-delay-pools
--enable-kill-parent-hack --enable-arp-acl --enable-linux-netfilter
--enable-removal-policies="lru,heap"
--enable-auth="basic,ntlm,digest,negotiate"
--enable-basic-auth-helpers="getpwnam,LDAP,NCSA,PAM,SMB,SASL,DB,MSNT,multi-domain-NTLM,POP3,SASL,YP"
--enable-ntlm-auth-helpers="fakeauth,no_check,SMB"
--enable-digest-auth-helpers="eDirectory,ldap,password"
--enable-external-acl-helpers="ldap_group,unix_group,wbinfo_group,session,ip_user"
--with-large-files --disable-ident-lookups

Спасибо.

Reply to:

Follow-Ups:
- Re: Проблемы со Squid
  - From: Alexey Boyko <alexey@boyko.km.ua>
- Re: Проблемы со Squid
  - From: "Stanislav G. Prihodko (vodomer)" <veter@vodomer-devel.org.ua>

Prev by Date: Re: openntpd timeout без сети
Next by Date: Re: Проблемы со Squid
Previous by thread: Re: openntpd timeout без сети
Next by thread: Re: Проблемы со Squid
Index(es):
- Date
- Thread