 Squid не пускает один из компьютеров в интернет,  andrystepa, 14-Май-12, 10:01 [смотреть все]На шлюзе стоит ОС Russian Fedora REMIX 15.1. Настроен файрволл и прокси Squid. В Squid настроено разделение пользователей по скоростям доступа в инет. Вот часть конфига прокси, отвечающая за контроль доступа и ограничение скорости:
acl manager proto cache_object
acl localhost src 127.0.0.1/32 ::1
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32 ::1
acl QUERY urlpath_regex cgi-bin \? cmd dst dk?st.cmdno_cache deny QUERY
redirect_program /usr/local/rejik3/redirector /usr/local/rejik3/redirector.conf acl localnet src 169.254.0.0/16 # RFC1918 possible internal network
acl TrueIP src "/etc/squid/true_ip"
acl GoodHosts src "/etc/squid/GoodHosts"
acl BadHost src "/etc/squid/BadHost"
acl BanUsers src "/etc/squid/BanUsers" acl SSL_ports port 443
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT http_access allow manager localhost
http_access deny manager # Deny requests to certain unsafe ports
http_access deny !Safe_ports #Internet speed control
delay_pools 2
delay_class 1 1
delay_class 2 1 http_access allow TrueIP
http_access deny BanUsers # Deny CONNECT to other than secure SSL ports
http_access deny CONNECT !SSL_ports delay_access 1 allow GoodHosts
delay_access 1 deny all
delay_access 2 allow BadHost
delay_access 2 deny all #Speed ranges
#No limitations
delay_parameters 1 -1/-1
#Limitation 64Kbit
delay_parameters 2 8000/8000 http_access allow localhost
icp_access allow all # And finally deny all other access to this proxy
http_access deny all
В файле true_ip соответственно указаны все ip адреса компьютеров, которым разрешен доступ в интернет:
169.254.37.252 Fassino D.G.
169.254.37.241 Babinets V.D.
169.254.37.234 Demin A.I.
169.254.37.233 Demin-notebook
169.254.37.230 diskstation
169.254.37.225 asibuh
169.254.37.221 Alexey Filkov
169.254.37.220 videoServer
169.254.37.206 Chuprikov V.S.
169.254.37.201 internet
169.254.37.189 Eltzov Aleksandr
169.254.37.188 Ivanov
169.254.37.187 Filkov-Eltzov
169.254.37.186 Serrato
169.254.37.182 Fomin_mobile
169.254.37.181 Alexandr Iliyn
169.254.37.180 Andrey Fomin
169.254.37.170 Ptitsina M.V.
169.254.37.163 Merkulov Vitaly
#169.254.37.155 Kataev V.I.
169.254.37.142 budulev
169.254.37.171 Titarenko Anton
169.254.37.139 Bondarkov Igor
169.254.37.138 Nenakhov
169.254.37.136 FSC
169.254.37.135 dobrinin
169.254.37.134 Gavrish Svetlana Ivanovna
169.254.37.130 Ablaev M.A.
169.254.37.192 Bezrukov Notebook
169.254.37.126 For_Plis
169.254.37.125 Drozhzhin Danil
169.254.37.124 Podkolzin
169.254.37.123 Solenov Sergey
169.254.37.122 Starshinov Maksim
169.254.37.119 Butkovskaya E.L.
169.254.37.118 Kondrashova R.V.
169.254.37.115 cement1
169.254.37.112 stk
169.254.37.111 Alexeev Aleksey
169.254.37.110 Alexseeva Anna
169.254.37.109 Serato
169.254.37.108 Kuzmenko V.A.
169.254.37.106 Leonidov Aleksey
169.254.37.105 Shashkina Elena
169.254.37.104 Nikitenkova Elena
169.254.37.102 Mologin Dmitry
169.254.37.101 Dankin E.F.
169.254.37.100 ATS
169.254.37.90 eltzov_notebook
169.254.37.89 Bezrukov Sergey
169.254.37.88 Merkulov Vitalyi
169.254.37.85 Kataev Vladimir
169.254.37.70 Maksim Mironov
169.254.37.79 Skud
169.254.37.55 Max
169.254.37.53 Fizmodel
169.254.37.52 Mathmodel1
169.254.37.51 Matmodel2
169.254.37.50 JuliyaPC
169.254.37.49 Olesya Panova
169.254.37.34 Evstafev Alexandr
169.254.37.30 Angola
169.254.37.25 Ethernet Switch
169.254.37.10 AnsaldoWIFI
169.254.37.2 admin_comp
169.254.38.6 Aleksandra Ovcharenko
169.254.38.123 Vasily
169.254.38.5 Andrey frolov
169.254.38.3 Koloskov
169.254.38.100 DiskstationASI
169.254.38.155 Guest1
169.254.38.156 Guest2
169.254.38.157 Guest3
169.254.38.158 Guest4
169.254.38.159 Guest5
169.254.38.160 ImaevaPC
169.254.38.189 ASI_WIFI
169.254.38.200 ASI WiFi Router
169.254.37.205 Maxim Notebook
В файле GoodHosts соответственно все ip адреса компьютеров, которым разрешен доступ в интернет на максимальной скорости:
169.254.37.252 Fassino D.G.
169.254.37.241 Babinets V.D.
169.254.37.234 Demin A.I.
169.254.37.233 Demin-notebook
169.254.37.230 diskstation
169.254.37.225 asibuh
169.254.37.221 Alexey Filkov
169.254.37.220 videoServer
169.254.37.206 Chuprikov V.S.
169.254.37.201 internet
169.254.37.189 Eltzov Aleksandr
169.254.37.188 Ivanov
169.254.37.187 Filkov-Eltzov
169.254.37.186 Serrato
169.254.37.182 Fomin_mobile
169.254.37.181 Alexandr Iliyn
169.254.37.180 Andrey Fomin
169.254.37.170 Ptitsina M.V.
169.254.37.163 Merkulov Vitaly
#169.254.37.155 Kataev V.I.
169.254.37.142 budulev
169.254.37.171 Titarenko Anton
169.254.37.139 Bondarkov Igor
169.254.37.138 Nenakhov
169.254.37.136 FSC
169.254.37.135 dobrinin
169.254.37.134 Gavrish Svetlana Ivanovna
169.254.37.130 Ablaev M.A.
169.254.37.192 Bezrukov Notebook
169.254.37.126 For_Plis
169.254.37.125 Drozhzhin Danil
169.254.37.124 Podkolzin
169.254.37.123 Solenov Sergey
169.254.37.122 Starshinov Maksim
169.254.37.119 Butkovskaya E.L.
169.254.37.118 Kondrashova R.V.
169.254.37.115 cement1
169.254.37.112 stk
169.254.37.111 Alexeev Aleksey
169.254.37.110 Alexseeva Anna
169.254.37.109 Serato
169.254.37.108 Kuzmenko V.A.
169.254.37.106 Leonidov Aleksey
169.254.37.105 Shashkina Elena
169.254.37.104 Nikitenkova Elena
169.254.37.102 Mologin Dmitry
169.254.37.101 Dankin E.F.
169.254.37.100 ATS
169.254.37.90 eltzov_notebook
169.254.37.89 Bezrukov Sergey
169.254.37.88 Merkulov Vitalyi
169.254.37.85 Kataev Vladimir
169.254.37.70 Maksim Mironov
169.254.37.79 Skud
169.254.37.55 Anokin
169.254.37.53 Fizmodel
169.254.37.52 Mathmodel1
169.254.37.51 Matmodel2
169.254.37.50 JuliyaPC
169.254.37.49 Olesya Panova
169.254.37.34 Evstafev Alexandr
169.254.37.30 Angola
169.254.37.25 Ethernet Switch
169.254.37.10 AnsaldoWIFI
169.254.37.2 admin_comp
169.254.38.6 Aleksandra Ovcharenko
169.254.38.123 Vasily
169.254.38.5 Andrey frolov
169.254.38.3 Koloskov
169.254.38.100 DiskstationASI
169.254.38.155 Guest1
169.254.38.156 Guest2
169.254.38.157 Guest3
169.254.38.158 Guest4
169.254.38.159 Guest5
169.254.38.160 ImaevaPC
169.254.38.189 ASI_WIFI
169.254.38.200 ASI WiFi Router
169.254.37.205 Maxim Notebook
В файле BadHost все ip адреса компьютеров, скорость доступа в интернет для которых урезана. Сейчас этот файл пуст.
Ну а, соотвественно, в файле BanUsers указаны ip адреса всех компьютеров, доступ в интернет для которых закрыт. Данный файл сейчас тоже пуст.
2 недели все работало без проблем. Но воп пришел из отпуска пользователь компьютера, ip адрес которого 169.254.37.50. И вдруг выясняется что доступ в инет ему запрещен. Причем запрещен именно Сквидом - судя по содержимому страницы, которую показывает браузер при попытке выхода в инет. Я хоть убейте, не понимаю, что тут не так. ip адрес этого компьютера ни в каких запрещающих списках не фигурирует - только в разрешающих. Так почему же доступ запрещен? Не понимаю!!!
|
- Squid не пускает один из компьютеров в интернет, dima, 12:44 , 14-Май-12 (1) –2
- Squid не пускает один из компьютеров в интернет, andrystepa, 14:31 , 14-Май-12 (2)
>> acl localnet src 169.254.0.0/16 # RFC1918 possible internal network
> поржал Над кем? Над создателями Squid? Эта строчка осталась из дефаултной конфигурации.
- Squid не пускает один из компьютеров в интернет, user314, 16:43 , 14-Май-12 (3)
- Squid не пускает один из компьютеров в интернет, virus, 01:30 , 15-Май-12 (5) –1
- Squid не пускает один из компьютеров в интернет, Andrey Mitrofanov, 09:22 , 15-Май-12 (6)
- Squid не пускает один из компьютеров в интернет, andrystepa, 15:22 , 15-Май-12 (7)
Закомментировал все имена в файле true_ip. Перезапустил Squid - все равно компьютер с адресом 169.254.37.50 не пускает ни в какую.
Изменил конфиг сквида в так:
Вместо
http_access allow TrueIP
http_access deny BanUsersвписал: #http_access allow TrueIP
http_access allow localnet
http_access deny BanUsers Естественно с таким конфигом Squid пускает компьютер с адресом 169.254.37.50 в интернет. А вот с таким конфигом: http_access allow TrueIP
http_access allow localnet
http_access deny BanUsers уже не пускает. То есть дело в файле true_ip. Но никаких запретов я в нем не вижу! И этот самый проблемный адрес вписан в него. В чем дело? Ведь это единственный ip адрес, с которым проблемы! Остальные ходят в инет без проблем! Для интереса я у того самого компьютера изменил ip адрес на 169.254.37.48 и внес этот адрес в файл true_ip, перезапустил Squid - и все в порядке, пускает в интернет!!! Но почему же 50-й адрес не пущает?! Он что, заколдованный?
- Squid не пускает один из компьютеров в интернет, Andrey Mitrofanov, 17:20 , 15-Май-12 (8)
- Squid не пускает один из компьютеров в интернет, andrystepa, 11:45 , 16-Май-12 (10)
>[оверквотинг удален]
>>> http_access deny CONNECT !SSL_ports
>>> http_access allow localhost
>>> http_access deny all
> deny могут дать только:
>>> http_access deny manager
>>> http_access deny !Safe_ports
>>> http_access deny BanUsers
>>> http_access deny CONNECT !SSL_ports
>>> http_access deny all
> Повторяй попытки?... :( Все в общем то оказалось до банального просто. Один товарисчь решил установить обновления на свой личный ноутбук. Чтобы не качать кучу мегабайт дома, принес на работу, дал ему ip 169.254.37.50 и начал качать. Т.к. он подключил ноут до того, как включили компьютер с тем же ip адресом, то когда этот компьютер включили у него был конфликт ip адресов. Но почему же эта самая Windows 7 не завопила, что компьютер с таким адресом уже есть в сети - непонятно. И еще странно на этом компьютере Центр управления сетями и общим доступом утверждал, что доступ в интернет есть!
- Squid не пускает один из компьютеров в интернет, Andrey Mitrofanov, 11:57 , 16-Май-12 (11)
- Squid не пускает один из компьютеров в интернет, andrystepa, 14:57 , 16-Май-12 (12)
>>дал ему ip 169.254.37.50 и начал качать.
>>этот компьютер включили у него был конфликт ip адресов.
>> Но почему же эта самая Windows 7 не завопила,
>> И еще странно на этом компьютере Центр управления сетями и общим
>> доступом утверждал, что доступ в интернет есть!
> Можно только _предположить, что это всё "плоды" использования автоматичских ip в качестве
> статических... Не иначе, об этом все тебя и предупреждали при каждом
> твоём появлении в форуме стакими адресами. _Предположительно, случай "а мы же
> тебе говрили". #:) Адресация тут не при чем. На других компьютерах, если в сети появляется компьютер с тем же адресом, появляется сообщение о дублировании адресов в сети.
- Squid не пускает один из компьютеров в интернет, user314, 10:17 , 16-Май-12 (9) +1
|
Версия для распечатки
