The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка  RSS
"Ограничения не работают !!!!"
Вариант для распечатки Архивированная нить - только для чтения! 
Пред. тема | След. тема 
Форумы Настройка Squid и других прокси серверов (Public)
Изначальное сообщение [Проследить за развитием треда]

"Ограничения не работают !!!!"
Сообщение от Floy emailИскать по авторуВ закладки on 22-Июн-03, 16:06  (MSK)
У меня Version 2.4.STABLE7.
Дал запрет deny all  а все равно вся сеть не объявленная в ACL лезет в инет причем без ограничения скорости ...

Вот conf:
#Recommended minimum configuration:
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl allowed_hosts src 192.168.1.0/255.255.255.0
acl SSL_ports port 443 563 3313
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT
http_access allow localhost
http_access allow allowed_hosts
http_access deny CONNECT !SSL_ports
http_access deny !Safe_ports
http_access deny all


http_access deny all
acl noba url_regex '/etc/squid/noba'
acl ba   url_regex '/etc/squid/ba'
acl por  url_regex '/etc/squid/por'
http_access deny ba
http_access deny por
http_access allow noba
#
acl class1 src 192.168.1.2-192.168.1.19/255.255.255.255
acl class2 src 192.168.1.21-192.168.1.40/255.255.255.255
acl artur src 192.168.1.1/255.255.255.255
acl abrek src 192.168.1.20/255.255.255.255
acl ekonom src 192.168.1.50/255.255.255.255

http_access allow class1
http_access allow class2
http_access allow artur
http_access deny all
#_____________________________________DELAY________________________
delay_pools 1
delay_class 1 1
delay_access 1 allow abrek
delay_access 1 allow ekonom
delay_access 1 allow class1
delay_access 1 allow class2
delay_parameters 1 1000/1000
delay_access 1 deny all
#___________________________________REDIRECT_________________

redirect_program /etc/squid/redirector.pl


##########################
http_access deny all
##########################

  Рекомендовать в FAQ | Cообщить модератору | Наверх

 Оглавление

Индекс форумов | Темы | Пред. тема | След. тема
Сообщения по теме

1. "Ограничения не работают !!!!"
Сообщение от Михаил emailИскать по авторуВ закладки on 22-Июн-03, 17:04  (MSK)
>Дал запрет deny all  а все равно вся сеть не объявленная
>в ACL лезет в инет причем без ограничения скорости ...

>acl allowed_hosts src 192.168.1.0/255.255.255.0
>http_access allow allowed_hosts
вот поэтому и лезет!
внимательнее с порядком указания акселей!
сквид берет подходящий.

я бы написал так:
http_access deny CONNECT !SSL_ports
http_access deny !Safe_ports
http_access allow allowed_hosts
http_access deny all

>acl noba url_regex '/etc/squid/noba'
>acl ba   url_regex '/etc/squid/ba'
>acl por  url_regex '/etc/squid/por'
>http_access deny ba
>http_access deny por
>http_access allow noba
а смысл сего?

>#
>acl class1 src 192.168.1.2-192.168.1.19/255.255.255.255
>acl class2 src 192.168.1.21-192.168.1.40/255.255.255.255
>acl artur src 192.168.1.1/255.255.255.255
>acl abrek src 192.168.1.20/255.255.255.255
>acl ekonom src 192.168.1.50/255.255.255.255
>
>http_access allow class1
>http_access allow class2
>http_access allow artur
>http_access deny all
это тем более бессмысленно, т.к. полностью перекрывается вышележащими http_access-ами, а именно строчкой http_access allow allowed_hosts.

>delay_pools 1
>delay_class 1 1
>delay_access 1 allow abrek
>delay_access 1 allow ekonom
>delay_access 1 allow class1
>delay_access 1 allow class2
>delay_parameters 1 1000/1000
>delay_access 1 deny all
1 Кбайт/с на всех??? жадина! :)

  Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "Ограничения не работают !!!!"
Сообщение от Floy emailИскать по авторуВ закладки on 23-Июн-03, 14:12  (MSK)
>>Дал запрет deny all  а все равно вся сеть не объявленная
>>в ACL лезет в инет причем без ограничения скорости ...
>
>>acl allowed_hosts src 192.168.1.0/255.255.255.0
>>http_access allow allowed_hosts
>вот поэтому и лезет!
>внимательнее с порядком указания акселей!
>сквид берет подходящий.
>
>я бы написал так:
>http_access deny CONNECT !SSL_ports
>http_access deny !Safe_ports
>http_access allow allowed_hosts
>http_access deny all
и все равно толку нет, лезут все и не через delay ... ;-( а по полной программе ...
Пробовал не только такую логику расстановки ACL и все равно не хочет закрываться ... обидно, может что-нить я еще неправильно сделал ?
Вообще мой пров сделал замечание что мой Squid работает как анонимный прокси-сервер ... Отчего вдруг ... Sarg никого кроме моих IP внутренней сети нет, ну и еще попытки приконектится к 25 порту прокси ... наверно не только у меня такая проблема существует ... И выкачивают не более 1 кило ... Так в чем проблемка ?
Могу дать полный конфиг. PLEASE HELP !!!!
>
>>acl noba url_regex '/etc/squid/noba'
>>acl ba   url_regex '/etc/squid/ba'
>>acl por  url_regex '/etc/squid/por'
>>http_access deny ba
>>http_access deny por
>>http_access allow noba
>а смысл сего?
Запрет банеров и порно
Неправильно ?
>
>>#
>>acl class1 src 192.168.1.2-192.168.1.19/255.255.255.255
>>acl class2 src 192.168.1.21-192.168.1.40/255.255.255.255
>>acl artur src 192.168.1.1/255.255.255.255
>>acl abrek src 192.168.1.20/255.255.255.255
>>acl ekonom src 192.168.1.50/255.255.255.255
>>
>>http_access allow class1
>>http_access allow class2
>>http_access allow artur
>>http_access deny all
>это тем более бессмысленно, т.к. полностью перекрывается вышележащими http_access-ами, а именно строчкой
>http_access allow allowed_hosts.
>
>>delay_pools 1
>>delay_class 1 1
>>delay_access 1 allow abrek
>>delay_access 1 allow ekonom
>>delay_access 1 allow class1
>>delay_access 1 allow class2
>>delay_parameters 1 1000/1000
>>delay_access 1 deny all
>1 Кбайт/с на всех??? жадина! :)
Помогите пожалуйста, безобразие даунлоадеров прилично надоели ...
  Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "Ограничения не работают !!!!"
Сообщение от Михаил emailИскать по авторуВ закладки on 23-Июн-03, 16:08  (MSK)
>Пробовал не только такую логику расстановки ACL и все равно не хочет
>закрываться ... обидно, может что-нить я еще неправильно сделал ?

давай сюда весь конфиг полностью, только без комментариев.

>Вообще мой пров сделал замечание что мой Squid работает как анонимный прокси-сервер
это просто исправить - http_port поставь как надо

>... Отчего вдруг ... Sarg никого кроме моих IP внутренней сети
>нет, ну и еще попытки приконектится к 25 порту прокси ...
это уже что-то странное... 25 это почтовый...

>наверно не только у меня такая проблема существует ... И выкачивают
>не более 1 кило ...
наверное, это странички с надписью acess denied

>>>acl noba url_regex '/etc/squid/noba'
>>>acl ba   url_regex '/etc/squid/ba'
>>>acl por  url_regex '/etc/squid/por'
>>>http_access deny ba
>>>http_access deny por
>>>http_access allow noba
>>а смысл сего?
>Запрет банеров и порно
>Неправильно ?
я спрашивал именно про последнюю строчку http_access allow noba
а насчет правильности можно судить только в комплексе с остальными акселями и http_access-ами

>>>delay_pools 1
>>>delay_class 1 1
>>>delay_access 1 allow abrek
>>>delay_access 1 allow ekonom
>>>delay_access 1 allow class1
>>>delay_access 1 allow class2
>>>delay_parameters 1 1000/1000
>>>delay_access 1 deny all
>>1 Кбайт/с на всех??? жадина! :)
>Помогите пожалуйста, безобразие даунлоадеров прилично надоели ...
вероятно, тебе нужен пул класса 2
общая полоса канала какая?


  Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "Ограничения не работают !!!!"
Сообщение от Floy emailИскать по авторуВ закладки on 23-Июн-03, 16:31  (MSK)

http_port 3128
icp_port 3130
htcp_port 4827

tcp_outgoing_address 255.255.255.255
udp_incoming_address 0.0.0.0
udp_outgoing_address 255.255.255.255

        
maximum_icp_query_timeout 2000


mcast_icp_query_timeout 2000
hierarchy_stoplist cgi-bin ? chat
acl QUERY urlpath_regex cgi-bin \? chat
no_cache deny QUERY

cache_mem 50 MB
cache_swap_low 90
cache_swap_high 95
maximum_object_size 10000 KB
minimum_object_size 0 KB
maximum_object_size_in_memory 8000 KB
ipcache_size 1024
ipcache_low 90
ipcache_high 95
fqdncache_size 1024
cache_dir ufs /var/spool/squid 100 16 256
cache_access_log /var/log/squid/access.log
cache_log /var/log/squid/cache.log
cache_store_log /var/log/squid/store.log
mime_table /etc/squid/mime.conf
client_netmask 255.255.255.255
ftp_user Squid@
ftp_list_width 32
ftp_passive on
ftp_sanitycheck on

refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern . 0 20% 4320

#Recommended minimum configuration:
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl allowed_hosts src 192.168.1.0/255.255.255.0
acl SSL_ports port 443 563 3313
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT
http_access deny CONNECT !SSL_ports
http_access deny !Safe_ports
http_access allow allowed_hosts
http_access deny all
ident_lookup_access allow all
cache_mgr floy2000@mail.ru
httpd_accel_uses_host_header off
memory_pools on
forwarded_for on
ie_refresh off
http_access deny all
acl noba url_regex '/etc/squid/noba'
acl ba   url_regex '/etc/squid/ba'
acl por  url_regex '/etc/squid/por'
http_access deny ba
http_access deny por
http_access allow noba

acl class1 src 192.168.1.2-192.168.1.19/255.255.255.255
acl class2 src 192.168.1.21-192.168.1.40/255.255.255.255
acl artur src 192.168.1.1/255.255.255.255
acl abrek src 192.168.1.20/255.255.255.255
acl ekonom src 192.168.1.50/255.255.255.255
acl zapret src 192.168.1.41-192.168.1.50/255.255.255.255
acl zapret2 src 192.168.1.51-192.168.1.255/255.255.255.255

http_access allow class1
http_access allow class2
http_access allow artur
http_access deny zapret
http_access deny zapret2
http_access deny all

delay_pools 1
delay_class 1 1
delay_access 1 allow abrek
delay_access 1 allow ekonom
delay_access 1 allow class1
delay_access 1 allow class2
delay_parameters 1 1000/1000
delay_access 1 deny all

redirect_program /etc/squid/redirector.pl


##########################
http_access deny all
##########################
Вот вроде все написал, может чего лишнего резанул ... Ширина канала
1 Mbit/s  
Много непонятных функций в Squid и хелпы не все описывают. Вообще работа Squid как кэширующего прокси не заметна, может в конфиге что-то неверно
Спасибо.


  Рекомендовать в FAQ | Cообщить модератору | Наверх

5. "Ограничения не работают !!!!"
Сообщение от Floy emailИскать по авторуВ закладки on 23-Июн-03, 16:31  (MSK)
http_port 3128
icp_port 3130
htcp_port 4827

tcp_outgoing_address 255.255.255.255
udp_incoming_address 0.0.0.0
udp_outgoing_address 255.255.255.255

        
maximum_icp_query_timeout 2000


mcast_icp_query_timeout 2000
hierarchy_stoplist cgi-bin ? chat
acl QUERY urlpath_regex cgi-bin \? chat
no_cache deny QUERY

cache_mem 50 MB
cache_swap_low 90
cache_swap_high 95
maximum_object_size 10000 KB
minimum_object_size 0 KB
maximum_object_size_in_memory 8000 KB
ipcache_size 1024
ipcache_low 90
ipcache_high 95
fqdncache_size 1024
cache_dir ufs /var/spool/squid 100 16 256
cache_access_log /var/log/squid/access.log
cache_log /var/log/squid/cache.log
cache_store_log /var/log/squid/store.log
mime_table /etc/squid/mime.conf
client_netmask 255.255.255.255
ftp_user Squid@
ftp_list_width 32
ftp_passive on
ftp_sanitycheck on

refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern . 0 20% 4320

#Recommended minimum configuration:
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl allowed_hosts src 192.168.1.0/255.255.255.0
acl SSL_ports port 443 563 3313
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT
http_access deny CONNECT !SSL_ports
http_access deny !Safe_ports
http_access allow allowed_hosts
http_access deny all
ident_lookup_access allow all
cache_mgr floy2000@mail.ru
httpd_accel_uses_host_header off
memory_pools on
forwarded_for on
ie_refresh off
http_access deny all
acl noba url_regex '/etc/squid/noba'
acl ba   url_regex '/etc/squid/ba'
acl por  url_regex '/etc/squid/por'
http_access deny ba
http_access deny por
http_access allow noba

acl class1 src 192.168.1.2-192.168.1.19/255.255.255.255
acl class2 src 192.168.1.21-192.168.1.40/255.255.255.255
acl artur src 192.168.1.1/255.255.255.255
acl abrek src 192.168.1.20/255.255.255.255
acl ekonom src 192.168.1.50/255.255.255.255
acl zapret src 192.168.1.41-192.168.1.50/255.255.255.255
acl zapret2 src 192.168.1.51-192.168.1.255/255.255.255.255

http_access allow class1
http_access allow class2
http_access allow artur
http_access deny zapret
http_access deny zapret2
http_access deny all

delay_pools 1
delay_class 1 1
delay_access 1 allow abrek
delay_access 1 allow ekonom
delay_access 1 allow class1
delay_access 1 allow class2
delay_parameters 1 1000/1000
delay_access 1 deny all

redirect_program /etc/squid/redirector.pl


##########################
http_access deny all
##########################
Вот вроде все написал, может чего лишнего резанул ... Ширина канала
1 Mbit/s  
Много непонятных функций в Squid и хелпы не все описывают. Вообще работа Squid как кэширующего прокси не заметна, может в конфиге что-то неверно
Спасибо.


  Рекомендовать в FAQ | Cообщить модератору | Наверх

6. "Ограничения не работают !!!!"
Сообщение от Михаил emailИскать по авторуВ закладки on 23-Июн-03, 17:28  (MSK)
во избежание нападок, сразу говорю, что все, что я пишу - есть имхо и не более!

> http_port 3128
именно поэтому сквид и открыт у тебя всем ветрам...
напиши примерно так:
http_port 192.168.1.ххх:3128
http_port 127.0.0.1:3128

> icp_port 3130
> htcp_port 4827
это тебе надо?
лучше повыключай... помнится, 0 надо поставить...

> tcp_outgoing_address 255.255.255.255
> udp_incoming_address 0.0.0.0
> udp_outgoing_address 255.255.255.255
хм, не помню таких параметров, завтра в своем конфиге посмотрю...

> cache_mem 50 MB
а сколько физической памяти? нельзя ли побольше сделать?

> maximum_object_size 10000 KB
не маловато?
впрочем сильно завышать есть смысл только при большом кэше на диске...

> cache_dir ufs /var/spool/squid 100 16 256
а он у тебя маленький!
хотя бы 1000 сделай...
а если машина позволяет то 2000-10000

> cache_store_log /var/log/squid/store.log
оно тебе надо?
лучше выключи...

>#Recommended minimum configuration:
>acl all src 0.0.0.0/0.0.0.0
>acl manager proto cache_object
>acl localhost src 127.0.0.1/255.255.255.255
>acl allowed_hosts src 192.168.1.0/255.255.255.0
>acl SSL_ports port 443 563 3313
>acl Safe_ports port 80  # http
>acl Safe_ports port 21  # ftp
>acl Safe_ports port 443 563 # https, snews
>acl Safe_ports port 70  # gopher
>acl Safe_ports port 210  # wais
>acl Safe_ports port 1025-65535 # unregistered ports
>acl Safe_ports port 280  # http-mgmt
>acl Safe_ports port 488  # gss-http
>acl Safe_ports port 591  # filemaker
>acl Safe_ports port 777  # multiling http
>acl CONNECT method CONNECT
>http_access deny CONNECT !SSL_ports
>http_access deny !Safe_ports

>http_access allow allowed_hosts
вот этой строчкой ты разрешаешь ходить через сквид всей своей подсетке и остальные разрешения/запрещения даже не проверяются...
>http_access deny all
после этой строчки писать остальные http_access бессмысленно, до их проверки дело никогда не дойдет...

>forwarded_for on
>ie_refresh off
эти две опции спорные, но "на скорость не влияют"

>http_access deny all
это строчка уже была...

>acl noba url_regex '/etc/squid/noba'
>acl ba   url_regex '/etc/squid/ba'
>acl por  url_regex '/etc/squid/por'
>http_access deny ba
>http_access deny por
>http_access allow noba
см. выше насчет http_access deny all

>acl class1 src 192.168.1.2-192.168.1.19/255.255.255.255
>acl class2 src 192.168.1.21-192.168.1.40/255.255.255.255
>acl artur src 192.168.1.1/255.255.255.255
>acl abrek src 192.168.1.20/255.255.255.255
>acl ekonom src 192.168.1.50/255.255.255.255
>acl zapret src 192.168.1.41-192.168.1.50/255.255.255.255
>acl zapret2 src 192.168.1.51-192.168.1.255/255.255.255.255
>
>http_access allow class1
>http_access allow class2
>http_access allow artur
>http_access deny zapret
>http_access deny zapret2
>http_access deny all
см. выше насчет http_access deny all

>delay_pools 1
>delay_class 1 1
>delay_access 1 allow abrek
>delay_access 1 allow ekonom
>delay_access 1 allow class1
>delay_access 1 allow class2
>delay_parameters 1 1000/1000
>delay_access 1 deny all
ораничение в 1 Кбайт/с на всех???

>Ширина канала 1 Mbit/s
тогда чего так жадничаешь? :)

>Много непонятных функций в Squid и хелпы не все описывают. Вообще работа
>Squid как кэширующего прокси не заметна, может в конфиге что-то неверно
1) у тебя кэш просто очень маленький, надо на порядок больше.
2) кэшированием редко получишь больше 20% экономии.

остальное, видимо завтра напишу, сейчас под рукой своего конфига нет...

  Рекомендовать в FAQ | Cообщить модератору | Наверх


Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру