OpenForum RSS: Squid не пускает один из компьютеров в интернет https://opennet.ru/openforum/vsluhforumID12/6807.html На шлюзе стоит ОС Russian Fedora REMIX 15.1. Настроен файрволл и прокси Squid. В Squid настроено разделение пользователей по скоростям доступа в инет. Вот часть конфига прокси, отвечающая за контроль доступа и ограничение скорости:<br>[code]<br>acl manager proto cache_object<br>acl localhost src 127.0.0.1/32 ::1<br>acl to_localhost dst 127.0.0.0/8 0.0.0.0/32 ::1<br>acl QUERY urlpath_regex cgi-bin \? cmd dst dk?st.cmd<br><br>no_cache deny QUERY<br>redirect_program /usr/local/rejik3/redirector /usr/local/rejik3/redirector.conf<br><br>acl localnet src 169.254.0.0/16# RFC1918 possible internal network<br>acl TrueIP src "/etc/squid/true_ip"<br>acl GoodHosts src "/etc/squid/GoodHosts"<br>acl BadHost src "/etc/squid/BadHost"<br>acl BanUsers src "/etc/squid/BanUsers"<br><br>acl SSL_ports port 443<br>acl Safe_ports port 80# http<br>acl Safe_ports port 21# ftp<br>acl Safe_ports port 443# https<br>acl Safe_ports port 70# gopher<br>acl Safe_ports port 210# wais<br>acl Safe_ports port 1025-65535# unregistered ports<br>acl Safe_ports port 280# http-mgmt Squid не пускает один из компьютеров в интернет (andrystepa) https://opennet.ru/openforum/vsluhforumID12/6807.html#12 Wed, 16 May 2012 10:57:06 GMT &gt;&gt;дал ему ip 169.254.37.50 и начал качать.<br>&gt;&gt;этот компьютер включили у него был конфликт ip адресов.<br>&gt;&gt; Но почему же эта самая Windows 7 не завопила, <br>&gt;&gt; И еще странно на этом компьютере Центр управления сетями и общим <br>&gt;&gt; доступом утверждал, что доступ в интернет есть!<br>&gt; Можно только _предположить, что это всё "плоды" использования автоматичских ip в качестве <br>&gt; статических... Не иначе, об этом все тебя и предупреждали при каждом <br>&gt; твоём появлении в форуме стакими адресами. _Предположительно, случай "а мы же <br>&gt; тебе говрили". #:) <br><br>Адресация тут не при чем. На других компьютерах, если в сети появляется компьютер с тем же адресом, появляется сообщение о дублировании адресов в сети. <br> Squid не пускает один из компьютеров в интернет (Andrey Mitrofanov) https://opennet.ru/openforum/vsluhforumID12/6807.html#11 Wed, 16 May 2012 07:57:43 GMT &gt;дал ему ip 169.254.37.50 и начал качать.<br>&gt;этот компьютер включили у него был конфликт ip адресов.<br>&gt; Но почему же эта самая Windows 7 не завопила, <br>&gt; И еще странно на этом компьютере Центр управления сетями и общим <br>&gt; доступом утверждал, что доступ в интернет есть!<br><br>Можно только _предположить, что это всё "плоды" использования автоматичских ip в качестве статических... Не иначе, об этом все тебя и предупреждали при каждом твоём появлении в форуме стакими адресами. _Предположительно, случай "а мы же тебе говрили". #:)<br> Squid не пускает один из компьютеров в интернет (andrystepa) https://opennet.ru/openforum/vsluhforumID12/6807.html#10 Wed, 16 May 2012 07:45:44 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt; http_access deny CONNECT !SSL_ports <br>&gt;&gt;&gt; http_access allow localhost <br>&gt;&gt;&gt; http_access deny all <br>&gt; deny могут дать только: <br>&gt;&gt;&gt; http_access deny manager <br>&gt;&gt;&gt; http_access deny !Safe_ports <br>&gt;&gt;&gt; http_access deny BanUsers <br>&gt;&gt;&gt; http_access deny CONNECT !SSL_ports <br>&gt;&gt;&gt; http_access deny all <br>&gt; Повторяй попытки?... :( <br><br>Все в общем то оказалось до банального просто. Один товарисчь решил установить обновления на свой личный ноутбук. Чтобы не качать кучу мегабайт дома, принес на работу, дал ему ip 169.254.37.50 и начал качать. Т.к. он подключил ноут до того, как включили компьютер с тем же ip адресом, то когда этот компьютер включили у него был конфликт ip адресов. Но почему же эта самая Windows 7 не завопила, что компьютер с таким адресом уже есть в сети - непонятно. И еще странно на этом компьютере Центр управления сетями и общим доступом утверждал, что доступ в интернет есть!<br> Squid не пускает один из компьютеров в интернет (user314) https://opennet.ru/openforum/vsluhforumID12/6807.html#9 Wed, 16 May 2012 06:17:03 GMT &gt; Но почему же 50-й адрес не пущает?! <br>&gt; Он что, заколдованный?<br><br>В помощь - http://www.opennet.ru/base/net/squid_inst.txt.html<br> Squid не пускает один из компьютеров в интернет (Andrey Mitrofanov) https://opennet.ru/openforum/vsluhforumID12/6807.html#8 Tue, 15 May 2012 13:20:41 GMT &gt; вписал: <br>&gt; #http_access allow TrueIP <br>&gt; интернет. А вот с таким конфигом: <br>&gt; http_access allow TrueIP <br>&gt; уже не пускает. То есть дело в файле true_ip. Но никаких запретов <br>&gt; я в нем не вижу! И этот самый проблемный адрес вписан <br><br>И более того, это _не _то правило. http_access allow по определению не может DENY давать. Ты представляешь?!<br><br>Т.о. из этих правил --<br>&gt;&gt; с чувством-расстановкой, задаваясь вопросом, который из них дал DENIED.<br>&gt;&gt; http_access allow manager localhost <br>&gt;&gt; http_access deny manager <br>&gt;&gt; http_access deny !Safe_ports <br>&gt;&gt; http_access allow TrueIP <br>&gt;&gt; http_access deny BanUsers <br>&gt;&gt; http_access deny CONNECT !SSL_ports <br>&gt;&gt; http_access allow localhost <br>&gt;&gt; http_access deny all <br><br>deny могут дать только:<br>&gt;&gt; http_access deny manager <br>&gt;&gt; http_access deny !Safe_ports <br>&gt;&gt; http_access deny BanUsers <br>&gt;&gt; http_access deny CONNECT !SSL_ports <br>&gt;&gt; http_access deny all <br><br>Повторяй попытки?... :(<br> Squid не пускает один из компьютеров в интернет (andrystepa) https://opennet.ru/openforum/vsluhforumID12/6807.html#7 Tue, 15 May 2012 11:22:48 GMT Закомментировал все имена в файле true_ip. Перезапустил Squid - все равно компьютер с адресом 169.254.37.50 не пускает ни в какую.<br>Изменил конфиг сквида в так:<br>Вместо<br>http_access allow TrueIP<br>http_access deny BanUsers<br><br>вписал:<br><br>#http_access allow TrueIP<br>http_access allow localnet<br>http_access deny BanUsers<br><br>Естественно с таким конфигом Squid пускает компьютер с адресом 169.254.37.50 в интернет. А вот с таким конфигом:<br><br>http_access allow TrueIP<br>http_access allow localnet<br>http_access deny BanUsers<br><br>уже не пускает. То есть дело в файле true_ip. Но никаких запретов я в нем не вижу! И этот самый проблемный адрес вписан в него. В чем дело? Ведь это единственный ip адрес, с которым проблемы! Остальные ходят в инет без проблем! Для интереса я у того самого компьютера изменил ip адрес на 169.254.37.48 и внес этот адрес в файл true_ip, перезапустил Squid - и все в порядке, пускает в интернет!!! Но почему же 50-й адрес не пущает?! Он что, заколдованный?<br> Squid не пускает один из компьютеров в интернет (Andrey Mitrofanov) https://opennet.ru/openforum/vsluhforumID12/6807.html#6 Tue, 15 May 2012 05:22:05 GMT &gt; На сколько я помню, в Squid запрещение имеет более высокий приоритет.<br><br>Не говорите ерунды, а то кто-нибудь и повестись может.<br><br>В сквиде http_access-ы (и др. *_access-ы, кроме delay_access-ов - там то же,но чуть сложнее) _выполняются сверху вниз и решение пирнимается по _первому сопоставившемуся правилу.<br> Squid не пускает один из компьютеров в интернет (virus) https://opennet.ru/openforum/vsluhforumID12/6807.html#5 Mon, 14 May 2012 21:30:24 GMT На сколько я помню, в Squid запрещение имеет более высокий приоритет.<br>Т.е. тебе надо сначала разрешить потом запретить.<br>Сначала описываешь ACL общий с указанием "имени"<br>потом кому надо разрешаешь.<br>В конце запрещаешь по ACL<br>ниже запрещаешь всем.<br><br>&gt;[оверквотинг удален]<br>&gt; для которых урезана. Сейчас этот файл пуст.<br>&gt; Ну а, соотвественно, в файле BanUsers указаны ip адреса всех компьютеров, доступ <br>&gt; в интернет для которых закрыт. Данный файл сейчас тоже пуст.<br>&gt; 2 недели все работало без проблем. Но воп пришел из отпуска пользователь <br>&gt; компьютера, ip адрес которого 169.254.37.50. И вдруг выясняется что доступ в <br>&gt; инет ему запрещен. Причем запрещен именно Сквидом - судя по содержимому <br>&gt; страницы, которую показывает браузер при попытке выхода в инет. Я хоть <br>&gt; убейте, не понимаю, что тут не так. ip адрес этого компьютера <br>&gt; ни в каких запрещающих списках не фигурирует - только в разрешающих. <br>&gt; Так почему же доступ запрещен? Не понимаю!!!<br><br> Squid не пускает один из компьютеров в интернет (Andrey Mitrofanov) https://opennet.ru/openforum/vsluhforumID12/6807.html#4 Mon, 14 May 2012 14:56:11 GMT &gt;&gt; Так почему же доступ запрещен? Не понимаю!!!<br>&gt; Возможно, это вам поможет.<br>&gt; http://www.opennet.ru/openforum/vsluhforumID12/6229.html <br><br>В общем-то не факт, что сквид не прожуёт такие его двухколоночные файлы. Сам у себя (здесь 2.7.STABLE9, про 3+ -- вообще не) - с удивлением! - обнаружил нечто аналогичное. Правда с debug 9 не проверял, как оно понимается (или не понимается никак, или понимается, но не так) таки самим сквидом, поэтому утверждать ничего не могу. Как и про строки только с "# комментариями" (в смысле не проверял, но почти уверен :), что работает).<br><br>Соотв-но подходов к DENIED может быть несколько<br><br>./ Включить debug, сделать обращение с клиента с результатом DENIED, искать в прорвах нагенерённого лога -- но почемууу. (не забыть выключиь debug - диски не резиновые)<br><br>./ Читать http_access-ы http://www.opennet.ru/openforum/vsluhforumID12/5494.html#3 с чувством-расстановкой, задаваясь вопросом, который из них дал DENIED.<br><br>http_access allow manager localhost<br>http_access deny manager<br>http_