The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Squid не пускает один из компьютеров в интернет"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Настройка Squid и других прокси серверов (ACL, блокировки)
Изначальное сообщение [ Отслеживать ]

"Squid не пускает один из компьютеров в интернет"  +/
Сообщение от andrystepa (ok) on 14-Май-12, 10:01 
На шлюзе стоит ОС Russian Fedora REMIX 15.1. Настроен файрволл и прокси Squid. В Squid настроено разделение пользователей по скоростям доступа в инет. Вот часть конфига прокси, отвечающая за контроль доступа и ограничение скорости:

acl manager proto cache_object
acl localhost src 127.0.0.1/32 ::1
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32 ::1
acl QUERY urlpath_regex cgi-bin \? cmd dst dk?st.cmd

no_cache deny QUERY
redirect_program /usr/local/rejik3/redirector /usr/local/rejik3/redirector.conf

acl localnet src 169.254.0.0/16    # RFC1918 possible internal network
acl TrueIP src "/etc/squid/true_ip"
acl GoodHosts src "/etc/squid/GoodHosts"
acl BadHost src "/etc/squid/BadHost"
acl BanUsers src "/etc/squid/BanUsers"

acl SSL_ports port 443
acl Safe_ports port 80        # http
acl Safe_ports port 21        # ftp
acl Safe_ports port 443        # https
acl Safe_ports port 70        # gopher
acl Safe_ports port 210        # wais
acl Safe_ports port 1025-65535    # unregistered ports
acl Safe_ports port 280        # http-mgmt
acl Safe_ports port 488        # gss-http
acl Safe_ports port 591        # filemaker
acl Safe_ports port 777        # multiling http
acl CONNECT method CONNECT

http_access allow manager localhost
http_access deny manager

# Deny requests to certain unsafe ports
http_access deny !Safe_ports

#Internet speed control
delay_pools 2
delay_class 1 1
delay_class 2 1

http_access allow TrueIP
http_access deny BanUsers

# Deny CONNECT to other than secure SSL ports
http_access deny CONNECT !SSL_ports

delay_access 1 allow GoodHosts
delay_access 1 deny all
delay_access 2 allow BadHost
delay_access 2 deny all

#Speed ranges
#No limitations
delay_parameters 1 -1/-1
#Limitation 64Kbit
delay_parameters 2 8000/8000

http_access allow localhost
icp_access allow all

# And finally deny all other access to this proxy
http_access deny all


В файле true_ip соответственно указаны все ip адреса компьютеров, которым разрешен доступ в интернет:

169.254.37.252 Fassino D.G.
169.254.37.241 Babinets V.D.
169.254.37.234 Demin A.I.
169.254.37.233 Demin-notebook
169.254.37.230 diskstation
169.254.37.225 asibuh
169.254.37.221 Alexey Filkov
169.254.37.220 videoServer
169.254.37.206 Chuprikov V.S.
169.254.37.201 internet
169.254.37.189 Eltzov Aleksandr
169.254.37.188 Ivanov
169.254.37.187 Filkov-Eltzov        
169.254.37.186 Serrato
169.254.37.182 Fomin_mobile    
169.254.37.181 Alexandr Iliyn
169.254.37.180 Andrey Fomin
169.254.37.170 Ptitsina M.V.
169.254.37.163 Merkulov Vitaly
#169.254.37.155 Kataev V.I.
169.254.37.142 budulev
169.254.37.171 Titarenko Anton
169.254.37.139 Bondarkov Igor
169.254.37.138 Nenakhov
169.254.37.136 FSC
169.254.37.135 dobrinin
169.254.37.134 Gavrish Svetlana Ivanovna
169.254.37.130 Ablaev M.A.
169.254.37.192 Bezrukov Notebook
169.254.37.126 For_Plis
169.254.37.125 Drozhzhin Danil
169.254.37.124 Podkolzin
169.254.37.123 Solenov Sergey
169.254.37.122 Starshinov Maksim
169.254.37.119 Butkovskaya E.L.
169.254.37.118 Kondrashova R.V.
169.254.37.115 cement1
169.254.37.112 stk
169.254.37.111 Alexeev Aleksey
169.254.37.110 Alexseeva Anna
169.254.37.109 Serato
169.254.37.108 Kuzmenko V.A.
169.254.37.106 Leonidov Aleksey
169.254.37.105 Shashkina Elena
169.254.37.104    Nikitenkova Elena
169.254.37.102 Mologin Dmitry
169.254.37.101 Dankin E.F.
169.254.37.100 ATS
169.254.37.90 eltzov_notebook
169.254.37.89 Bezrukov Sergey
169.254.37.88 Merkulov Vitalyi
169.254.37.85 Kataev Vladimir
169.254.37.70 Maksim Mironov
169.254.37.79 Skud
169.254.37.55 Max
169.254.37.53 Fizmodel
169.254.37.52 Mathmodel1
169.254.37.51 Matmodel2
169.254.37.50 JuliyaPC
169.254.37.49 Olesya Panova
169.254.37.34 Evstafev Alexandr
169.254.37.30 Angola
169.254.37.25 Ethernet Switch
169.254.37.10 AnsaldoWIFI
169.254.37.2 admin_comp
169.254.38.6 Aleksandra Ovcharenko
169.254.38.123 Vasily
169.254.38.5 Andrey frolov
169.254.38.3 Koloskov
169.254.38.100 DiskstationASI
169.254.38.155 Guest1
169.254.38.156 Guest2
169.254.38.157 Guest3
169.254.38.158 Guest4
169.254.38.159 Guest5
169.254.38.160 ImaevaPC
169.254.38.189 ASI_WIFI
169.254.38.200 ASI WiFi Router
169.254.37.205 Maxim Notebook

В файле GoodHosts соответственно все ip адреса компьютеров, которым разрешен доступ в интернет на максимальной скорости:


169.254.37.252 Fassino D.G.
169.254.37.241 Babinets V.D.
169.254.37.234 Demin A.I.
169.254.37.233 Demin-notebook
169.254.37.230 diskstation
169.254.37.225 asibuh
169.254.37.221 Alexey Filkov
169.254.37.220 videoServer
169.254.37.206 Chuprikov V.S.
169.254.37.201 internet
169.254.37.189 Eltzov Aleksandr
169.254.37.188 Ivanov
169.254.37.187 Filkov-Eltzov        
169.254.37.186 Serrato
169.254.37.182 Fomin_mobile    
169.254.37.181 Alexandr Iliyn
169.254.37.180 Andrey Fomin
169.254.37.170 Ptitsina M.V.
169.254.37.163 Merkulov Vitaly
#169.254.37.155 Kataev V.I.
169.254.37.142 budulev
169.254.37.171 Titarenko Anton
169.254.37.139 Bondarkov Igor
169.254.37.138 Nenakhov
169.254.37.136 FSC
169.254.37.135 dobrinin
169.254.37.134 Gavrish Svetlana Ivanovna
169.254.37.130 Ablaev M.A.
169.254.37.192 Bezrukov Notebook
169.254.37.126 For_Plis
169.254.37.125 Drozhzhin Danil
169.254.37.124 Podkolzin
169.254.37.123 Solenov Sergey
169.254.37.122 Starshinov Maksim
169.254.37.119 Butkovskaya E.L.
169.254.37.118 Kondrashova R.V.
169.254.37.115 cement1
169.254.37.112 stk
169.254.37.111 Alexeev Aleksey
169.254.37.110 Alexseeva Anna
169.254.37.109 Serato
169.254.37.108 Kuzmenko V.A.
169.254.37.106 Leonidov Aleksey
169.254.37.105 Shashkina Elena
169.254.37.104    Nikitenkova Elena
169.254.37.102 Mologin Dmitry
169.254.37.101 Dankin E.F.
169.254.37.100 ATS
169.254.37.90 eltzov_notebook
169.254.37.89 Bezrukov Sergey
169.254.37.88 Merkulov Vitalyi
169.254.37.85 Kataev Vladimir
169.254.37.70 Maksim Mironov
169.254.37.79 Skud
169.254.37.55 Anokin
169.254.37.53 Fizmodel
169.254.37.52 Mathmodel1
169.254.37.51 Matmodel2
169.254.37.50 JuliyaPC
169.254.37.49 Olesya Panova
169.254.37.34 Evstafev Alexandr
169.254.37.30 Angola
169.254.37.25 Ethernet Switch
169.254.37.10 AnsaldoWIFI
169.254.37.2 admin_comp
169.254.38.6 Aleksandra Ovcharenko
169.254.38.123 Vasily
169.254.38.5 Andrey frolov
169.254.38.3 Koloskov
169.254.38.100 DiskstationASI
169.254.38.155 Guest1
169.254.38.156 Guest2
169.254.38.157 Guest3
169.254.38.158 Guest4
169.254.38.159 Guest5
169.254.38.160 ImaevaPC
169.254.38.189 ASI_WIFI
169.254.38.200 ASI WiFi Router
169.254.37.205 Maxim Notebook

В файле BadHost все ip адреса компьютеров, скорость доступа в интернет для которых урезана. Сейчас этот файл пуст.
Ну а, соотвественно, в файле BanUsers указаны ip адреса всех компьютеров, доступ в интернет для которых закрыт. Данный файл сейчас тоже пуст.
2 недели все работало без проблем. Но воп пришел из отпуска пользователь компьютера, ip адрес которого 169.254.37.50. И вдруг выясняется что доступ в инет ему запрещен. Причем запрещен именно Сквидом - судя по содержимому страницы, которую показывает браузер при попытке выхода в инет. Я хоть убейте, не понимаю, что тут не так. ip адрес этого компьютера ни в каких запрещающих списках не фигурирует - только в разрешающих. Так почему же доступ запрещен? Не понимаю!!!
Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Squid не пускает один из компьютеров в интернет"  –2 +/
Сообщение от dima (??) on 14-Май-12, 12:44 

> acl localnet src 169.254.0.0/16 # RFC1918 possible internal network

поржал

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Squid не пускает один из компьютеров в интернет"  +/
Сообщение от andrystepa (ok) on 14-Май-12, 14:31 

>> acl localnet src 169.254.0.0/16 # RFC1918 possible internal network
> поржал

Над кем? Над создателями Squid? Эта строчка осталась из дефаултной конфигурации.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Squid не пускает один из компьютеров в интернет"  +/
Сообщение от user314 on 14-Май-12, 16:43 
> Так почему же доступ запрещен? Не понимаю!!!

Возможно, это вам поможет.
http://www.opennet.dev/openforum/vsluhforumID12/6229.html

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "Squid не пускает один из компьютеров в интернет"  +/
Сообщение от Andrey Mitrofanov on 14-Май-12, 18:56 
>> Так почему же доступ запрещен? Не понимаю!!!
> Возможно, это вам поможет.
> http://www.opennet.dev/openforum/vsluhforumID12/6229.html

В общем-то не факт, что сквид не прожуёт такие его двухколоночные файлы. Сам у себя (здесь 2.7.STABLE9, про 3+ -- вообще не) - с удивлением! - обнаружил нечто аналогичное. Правда с debug 9 не проверял, как оно понимается (или не понимается никак, или понимается, но не так) таки самим сквидом, поэтому утверждать ничего не могу. Как и про строки только с "# комментариями" (в смысле не проверял, но почти уверен :), что работает).

Соотв-но подходов к DENIED может быть несколько

./ Включить debug, сделать обращение с клиента с результатом DENIED, искать в прорвах нагенерённого лога -- но почемууу. (не забыть выключиь debug - диски не резиновые)

./ Читать http_access-ы http://www.opennet.dev/openforum/vsluhforumID12/5494.html#3 с чувством-расстановкой, задаваясь вопросом, который из них дал DENIED.

http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access allow TrueIP
http_access deny BanUsers
http_access deny CONNECT !SSL_ports
http_access allow localhost
http_access deny all

./ С меньшим чувством -- то же, что выше, но методом тыка. Отключать-включать правила поочерёдно, втыкать тупо перед каждым по порядку allow all, пытаясь получить Скрытое Знание ....

./ И классическое: "о, ничего не нашёл, пока не $ОПИСАНИЕ_УДАЧНОГО_СТЕЧЕНИЯ, поменял $ЧЕГО-ТО_ТАМ_В_НОСУ, и за-ра-бо-та-ло. УРА!!!"

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "Squid не пускает один из компьютеров в интернет"  –1 +/
Сообщение от virus (??) on 15-Май-12, 01:30 
На сколько я помню, в Squid запрещение имеет более высокий приоритет.
Т.е. тебе надо сначала разрешить потом запретить.
Сначала описываешь ACL общий с указанием "имени"
потом кому надо разрешаешь.
В конце запрещаешь по ACL
ниже запрещаешь всем.

>[оверквотинг удален]
> для которых урезана. Сейчас этот файл пуст.
> Ну а, соотвественно, в файле BanUsers указаны ip адреса всех компьютеров, доступ
> в интернет для которых закрыт. Данный файл сейчас тоже пуст.
> 2 недели все работало без проблем. Но воп пришел из отпуска пользователь
> компьютера, ip адрес которого 169.254.37.50. И вдруг выясняется что доступ в
> инет ему запрещен. Причем запрещен именно Сквидом - судя по содержимому
> страницы, которую показывает браузер при попытке выхода в инет. Я хоть
> убейте, не понимаю, что тут не так. ip адрес этого компьютера
> ни в каких запрещающих списках не фигурирует - только в разрешающих.
> Так почему же доступ запрещен? Не понимаю!!!

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

6. "Squid не пускает один из компьютеров в интернет"  +/
Сообщение от Andrey Mitrofanov on 15-Май-12, 09:22 
> На сколько я помню, в Squid запрещение имеет более высокий приоритет.

Не говорите ерунды, а то кто-нибудь и повестись может.

В сквиде http_access-ы (и др. *_access-ы, кроме delay_access-ов - там то же,но чуть сложнее) _выполняются сверху вниз и решение пирнимается по _первому сопоставившемуся правилу.

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "Squid не пускает один из компьютеров в интернет"  +/
Сообщение от andrystepa (ok) on 15-Май-12, 15:22 
Закомментировал все имена в файле true_ip. Перезапустил Squid - все равно компьютер с адресом 169.254.37.50 не пускает ни в какую.
Изменил конфиг сквида в так:
Вместо
http_access allow TrueIP
http_access deny BanUsers

вписал:

#http_access allow TrueIP
http_access allow localnet
http_access deny BanUsers

Естественно с таким конфигом Squid пускает компьютер с адресом 169.254.37.50  в интернет. А вот с таким конфигом:

http_access allow TrueIP
http_access allow localnet
http_access deny BanUsers

уже не пускает. То есть дело в файле true_ip. Но никаких запретов я в нем не вижу! И этот самый проблемный адрес вписан в него. В чем дело? Ведь это единственный ip адрес, с которым проблемы! Остальные ходят в инет без проблем! Для интереса я у того самого компьютера изменил ip адрес на 169.254.37.48 и внес этот адрес в файл true_ip, перезапустил Squid - и все в порядке, пускает в интернет!!! Но почему же 50-й адрес не пущает?! Он что, заколдованный?

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

8. "Squid не пускает один из компьютеров в интернет"  +/
Сообщение от Andrey Mitrofanov on 15-Май-12, 17:20 
> вписал:
> #http_access allow TrueIP
> интернет. А вот с таким конфигом:
> http_access allow TrueIP
> уже не пускает. То есть дело в файле true_ip. Но никаких запретов
> я в нем не вижу! И этот самый проблемный адрес вписан

И более того, это _не _то правило. http_access allow по определению не может DENY давать. Ты представляешь?!

Т.о. из этих правил --
>> с чувством-расстановкой, задаваясь вопросом, который из них дал DENIED.
>> http_access allow manager localhost
>> http_access deny manager
>> http_access deny !Safe_ports
>> http_access allow TrueIP
>> http_access deny BanUsers
>> http_access deny CONNECT !SSL_ports
>> http_access allow localhost
>> http_access deny all

deny могут дать только:
>> http_access deny manager
>> http_access deny !Safe_ports
>> http_access deny BanUsers
>> http_access deny CONNECT !SSL_ports
>> http_access deny all

Повторяй попытки?... :(

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

10. "Squid не пускает один из компьютеров в интернет"  +/
Сообщение от andrystepa (ok) on 16-Май-12, 11:45 
>[оверквотинг удален]
>>> http_access deny CONNECT !SSL_ports
>>> http_access allow localhost
>>> http_access deny all
> deny могут дать только:
>>> http_access deny manager
>>> http_access deny !Safe_ports
>>> http_access deny BanUsers
>>> http_access deny CONNECT !SSL_ports
>>> http_access deny all
> Повторяй попытки?... :(

Все в общем то оказалось до банального просто. Один товарисчь решил установить обновления на свой личный ноутбук. Чтобы не качать кучу мегабайт дома, принес на работу, дал ему ip 169.254.37.50 и начал качать. Т.к. он подключил ноут до того, как включили компьютер с тем же ip адресом, то когда этот компьютер включили у него был конфликт ip адресов. Но почему же эта самая Windows 7 не завопила, что компьютер с таким адресом уже есть в сети - непонятно. И еще странно на этом компьютере Центр управления сетями и общим доступом утверждал, что доступ в интернет есть!

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

11. "Squid не пускает один из компьютеров в интернет"  +/
Сообщение от Andrey Mitrofanov on 16-Май-12, 11:57 
>дал ему ip 169.254.37.50 и начал качать.
>этот компьютер включили у него был конфликт ip адресов.
> Но почему же эта самая Windows 7 не завопила,
> И еще странно на этом компьютере Центр управления сетями и общим
> доступом утверждал, что доступ в интернет есть!

Можно только _предположить, что это всё "плоды" использования автоматичских ip в качестве статических... Не иначе, об этом все тебя и предупреждали при каждом твоём появлении в форуме стакими адресами. _Предположительно, случай "а мы же тебе говрили". #:)

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

12. "Squid не пускает один из компьютеров в интернет"  +/
Сообщение от andrystepa (ok) on 16-Май-12, 14:57 
>>дал ему ip 169.254.37.50 и начал качать.
>>этот компьютер включили у него был конфликт ip адресов.
>> Но почему же эта самая Windows 7 не завопила,
>> И еще странно на этом компьютере Центр управления сетями и общим
>> доступом утверждал, что доступ в интернет есть!
> Можно только _предположить, что это всё "плоды" использования автоматичских ip в качестве
> статических... Не иначе, об этом все тебя и предупреждали при каждом
> твоём появлении в форуме стакими адресами. _Предположительно, случай "а мы же
> тебе говрили". #:)

Адресация тут не при чем. На других компьютерах, если в сети появляется компьютер с тем же адресом, появляется сообщение о дублировании адресов в сети.

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

9. "Squid не пускает один из компьютеров в интернет"  +1 +/
Сообщение от user314 on 16-Май-12, 10:17 
> Но почему же 50-й адрес не пущает?!
> Он что, заколдованный?

В помощь - http://www.opennet.dev/base/net/squid_inst.txt.html

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру