[mdk-re] [JT] squid

[mdk-re] [JT] squid

[Gosha]

Hi All!

В настройках %subj прописано:
.......
# ACL
acl all src 0.0.0.0/0.0.0.0
acl all_private src 192.168.1.0/255.255.255.0
acl all_nonprivate src (адрес.моей.неприватной.сети)/255.255.255.248
.......
http_access allow all_private
http_access allow all_nonprivate

Не могу получить доступа с любой машины из приватной
и неприватной сетей. Получаю ошибку "Доступ запрещен".
Если же сделать (или добавить к предыдущему):

http_access allow all

то доступ есть. Что я неправильно делаю?

-- 
Best regards!
Igor Solovyov
Zlatoust, Russia

Re: [mdk-re] [JT] squid

[Gosha]

On Sat, 24 Nov 2001 23:11:59 +0500
Gosha <gosha@sendmail.ru> wrote:

> .......
> # ACL
> acl all src 0.0.0.0/0.0.0.0
> acl all_private src 192.168.1.0/255.255.255.0
> acl all_nonprivate src (адрес.моей.неприватной.сети)/255.255.255.248
> .......
> http_access allow all_private
> http_access allow all_nonprivate
> 
> Не могу получить доступа с любой машины из приватной
> и неприватной сетей. Получаю ошибку "Доступ запрещен".
> Если же сделать (или добавить к предыдущему):
> 
> http_access allow all
> 
> то доступ есть. Что я неправильно делаю?

Уточню. Оказалось, что если прописать не сети, а конкретные
машины, то доступ с этих машин есть. Т.е., например:

acl host1 src 192.168.1.1/255.255.255.255
http_access allow host1

дает доступ с машины host1. А как же быть с сетями?
Что ж мне все машины всех сетей прописывать придется?

-- 
Best regards!
Igor Solovyov
Zlatoust, Russia

Re: [mdk-re] [JT] squid

[Michael Shigorin]

On Sun, Nov 25, 2001 at 12:51:11AM +0500, Gosha wrote:
> дает доступ с машины host1. А как же быть с сетями?
> Что ж мне все машины всех сетей прописывать придется?
Часом не order allow<-,->deny? 

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ http://visa.chem.univ.kiev.ua/~mike/

Re: [mdk-re] [JT] squid

[Gosha]

On Sun, 25 Nov 2001 13:22:22 +0200
Michael Shigorin <mike@lic145.kiev.ua> wrote:

> On Sun, Nov 25, 2001 at 12:51:11AM +0500, Gosha wrote:
> > дает доступ с машины host1. А как же быть с сетями?
> > Что ж мне все машины всех сетей прописывать придется?
>
> Часом не order allow<-,->deny? 

А что это? Где прописывается? 
В squid.conf я ничего подобного не нашел. :-(

-- 
Best regards!
Igor Solovyov
Zlatoust, Russia

Re[2]: [mdk-re] [JT] squid

[Russu V.F.]

Hello mandrake-russian-admin,

Monday, November 26, 2001, 12:44:24 PM, you wrote:

>> > дает доступ с машины host1. А как же быть с сетями?
>> > Что ж мне все машины всех сетей прописывать придется?
>>
>> Часом не order allow<-,->deny? 

> А что это? Где прописывается? 
> В squid.conf я ничего подобного не нашел. :-(

 это он говорил тебе о порядке следования правил, как я понял ;-)

-- 
 ОП ТюменьЭнергоСпецРемонт
 Системный администратор
 Руссу В.Ф.                  e-mail: ruwa@psrp.te.ru
                             phone: (3462)76-40-56

Re: Re[2]: [mdk-re] [JT] squid

[Gosha]

On Mon, 26 Nov 2001 12:57:21 +0500
"Russu V.F." <ruwa@psrp.te.ru> wrote:

> Hello mandrake-russian-admin,
> 
> Monday, November 26, 2001, 12:44:24 PM, you wrote:
> 
> >> > дает доступ с машины host1. А как же быть с сетями?
> >> > Что ж мне все машины всех сетей прописывать придется?
> >>
> >> Часом не order allow<-,->deny? 
> 
> > А что это? Где прописывается? 
> > В squid.conf я ничего подобного не нашел. :-(
> 
>  это он говорил тебе о порядке следования правил, как я понял ;-)

Понятно. Но дело в том, что у меня кроме allow никаких deny нет.
В общем я так и не пойму, что делать? Пускаются только конкретные
хосты, а сети - ни в какую!

В процессе борьбы, возник и еще вопрос. У меня два канала в и-нет,
доступ к обоим идет по одному физическому интерфейсу, т.е. имеется
например eth1 с и-нетовым адресом и eth1:1 с другим и-нетовым адресом.
Физически это все подключено ко втрому маршрутизатору, который уже
имеет два разных интерфеса к двум провайдерам.
Маршрутизация настроена так, что бы одни адреса имели доступ к одному
каналу, а другие ко второму. Как сделать так, чтобы и те и другие работали
бы как и прежде, но через прокси? Squid слушает на обоих адресах
(eth1 и eth1:1), но с него все уходит в один канал.
Как его заставить работать на два канала?

-- 
Best regards!
Igor Solovyov
Zlatoust, Russia

Re: [mdk-re] [JT] squid

[Michael Shigorin]

On Mon, Nov 26, 2001 at 08:07:42PM +0500, Gosha wrote:
> >  это он говорил тебе о порядке следования правил, как я понял ;-)
> Понятно. Но дело в том, что у меня кроме allow никаких deny нет.
> В общем я так и не пойму, что делать? Пускаются только конкретные
> хосты, а сети - ни в какую!
Я уже не помню, но, может, все же есть policy? AFAIR в squid.conf
было сказано про default deny или что-то на эту тему.

Просто с апачем когда-то перестреливался на эту тему, а squid уже
быстро настроил. Да и дело под утро было Ж)

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ http://visa.chem.univ.kiev.ua/~mike/

Re: [mdk-re] [JT] squid

[Gosha]

On Mon, 26 Nov 2001 18:01:44 +0200
Michael Shigorin <mike@lic145.kiev.ua> wrote:

> On Mon, Nov 26, 2001 at 08:07:42PM +0500, Gosha wrote:
> > >  это он говорил тебе о порядке следования правил, как я понял ;-)
> > Понятно. Но дело в том, что у меня кроме allow никаких deny нет.
> > В общем я так и не пойму, что делать? Пускаются только конкретные
> > хосты, а сети - ни в какую!
> Я уже не помню, но, может, все же есть policy? AFAIR в squid.conf
> было сказано про default deny или что-то на эту тему.
> 
> Просто с апачем когда-то перестреливался на эту тему, а squid уже
> быстро настроил. Да и дело под утро было Ж)

Спасибо всем откликнувшимся. Проблема решена. Сам виноват оказался,
невнимательно адреса сетей прописал. Клинануло слегка. :-(((
Посыпаю голову пеплом!

-- 
Best regards!
Igor Solovyov
Zlatoust, Russia

[mdk-re] Re[3]: [JT] squid

[Vyt]

On Mon, 26 Nov 2001 20:07:42 +0500
Gosha <gosha@sendmail.ru> wrote:

<skipped>

> Понятно. Но дело в том, что у меня кроме allow никаких deny нет.
> В общем я так и не пойму, что делать? Пускаются только конкретные
> хосты, а сети - ни в какую!

Стер уже Ваш пример :(
Попробуйте писать 
acl mynet src 192.168.0.0/24

> В процессе борьбы, возник и еще вопрос. У меня два канала в и-нет,
> доступ к обоим идет по одному физическому интерфейсу, т.е. имеется
> например eth1 с и-нетовым адресом и eth1:1 с другим и-нетовым адресом.
> Физически это все подключено ко втрому маршрутизатору, который уже
> имеет два разных интерфеса к двум провайдерам.
> Маршрутизация настроена так, что бы одни адреса имели доступ к одному
> каналу, а другие ко второму. Как сделать так, чтобы и те и другие работали
> бы как и прежде, но через прокси? Squid слушает на обоих адресах
> (eth1 и eth1:1), но с него все уходит в один канал.
> Как его заставить работать на два канала?

Где-то я читал про такую задачу. А если поднять 2 squid'а?

<skipped>

-- 
Regards, Vyt
mailto:  vyt@vzljot.ru
JID:     vyt@vzljot.ru

Re: [mdk-re] Re[3]: [JT] squid

[SilverFox]

Здравствуйте Vyt

On Tue, 27 Nov 2001 10:42:55 +0300
Vyt <vyt@vzljot.ru> wrote:


> > (eth1 и eth1:1), но с него все уходит в один канал.
> > Как его заставить работать на два канала?
> 
> Где-то я читал про такую задачу. А если поднять 2 squid'а?
> 
> <skipped>

IMHO, тут с маской в таблице роутинга поработать и разделить все
IP на 2 половины. Но это не оптимально, поскольку не учитывает
загрузки канала ... А может скриптик ? который бы анализировал
звгрузку каналов по крону и прописывал бы в роут дефолтную
строчку на менее загруженый канал - это в порядке штурма
безмозгового... Для анализа  можно snmp использовать, или лог
mrtg , если настроен уже, да и его настроить пять минут для
анализа трафика.. 

-- Желаю успехов в Ваших праведных трудах
Лисютин Анатолий Петрович (Silver Fox)
mailto:SilverFox@rgantd.ru    ICQ:6647501
РГАНТД - Российский государственный архив научно-технической
документации
http://rgantd.ru   http://rusarchives.ru/federal/rgantd

Re: [mdk-re] Re[3]: [JT] squid

[Gosha]

On Tue, 27 Nov 2001 14:05:32 +0300
SilverFox <SilverFox@localhost.osd.rgantd.ru> wrote:

> > > (eth1 и eth1:1), но с него все уходит в один канал.
> > > Как его заставить работать на два канала?
> > 
> > Где-то я читал про такую задачу. А если поднять 2 squid'а?
> > 
> > <skipped>
> 
> IMHO, тут с маской в таблице роутинга поработать и разделить все
> IP на 2 половины. Но это не оптимально, поскольку не учитывает
> загрузки канала ... А может скриптик ? который бы анализировал
> звгрузку каналов по крону и прописывал бы в роут дефолтную
> строчку на менее загруженый канал - это в порядке штурма
> безмозгового... Для анализа  можно snmp использовать, или лог
> mrtg , если настроен уже, да и его настроить пять минут для
> анализа трафика.. 

У меня все и так разделено. Правда не по принципу загрузки каналов,
а по стоимости трафика. :-))) Т.е. одни машины ходят через относительно
недорогой, но 115200 всего, а другие - через дорогой, но 2 мбита.
Но сквиду эта таблица по-боку! Он упорно свои исходящие пакеты
шлет с одного адреса, хотя сам слушает на двух адресах.
Видимо без запуска двух его экземпляров не обойтись. :-(((

-- 
Best regards!
Igor Solovyov
Zlatoust, Russia

Re: [mdk-re] Re[3]: [JT] squid

[Gosha]

On Tue, 27 Nov 2001 10:42:55 +0300
Vyt <vyt@vzljot.ru> wrote:

> On Mon, 26 Nov 2001 20:07:42 +0500
> Gosha <gosha@sendmail.ru> wrote:
> 
> <skipped>
> 
> > Понятно. Но дело в том, что у меня кроме allow никаких deny нет.
> > В общем я так и не пойму, что делать? Пускаются только конкретные
> > хосты, а сети - ни в какую!
> 
> Стер уже Ваш пример :(
> Попробуйте писать 
> acl mynet src 192.168.0.0/24

Правда тут по смыслу должно быть /16. :-)))
Но дело не в этом. В общем проблема рассосалась следующим
образом. Я утречком похмелился слегка. Не сильно. Грам 250,
не больше. Голова просветлела и сразу же обнаружил ошибку.
Оказалось в номере сети была ошибка! А я тут жуть давай
нагонять! В общем прошу у всех прощения! В другой раз
под этим делом сквиды не буду настраивать. 
Старею уже, наверное. :-(

> > В процессе борьбы, возник и еще вопрос. У меня два канала в и-нет,
> > доступ к обоим идет по одному физическому интерфейсу, т.е. имеется
> > например eth1 с и-нетовым адресом и eth1:1 с другим и-нетовым адресом.
> > Физически это все подключено ко втрому маршрутизатору, который уже
> > имеет два разных интерфеса к двум провайдерам.
> > Маршрутизация настроена так, что бы одни адреса имели доступ к одному
> > каналу, а другие ко второму. Как сделать так, чтобы и те и другие работали
> > бы как и прежде, но через прокси? Squid слушает на обоих адресах
> > (eth1 и eth1:1), но с него все уходит в один канал.
> > Как его заставить работать на два канала?
> 
> Где-то я читал про такую задачу. А если поднять 2 squid'а?

У меня не пройдет этот номер. Машинка-то всего с 16 метрами. :-)
Я тут раньше спрашивал совета по этому поводу, вроде бы сошлись
к тому, что сквид на 16 метрах жить вполне может. В чем я сейчас
сам и убедился. Работает, памяти хватает и загрузка процессора
небольшая! Все-таки Линукс - это классная вещь!!!!!

-- 
Best regards!
Igor Solovyov
Zlatoust, Russia

Re: [mdk-re] Re[3]: [JT] squid

[SilverFox]

On Tue, 27 Nov 2001 21:52:36 +0500
Gosha <gosha@sendmail.ru> wrote:


> > Где-то я читал про такую задачу. А если поднять 2 squid'а?
> 
> У меня не пройдет этот номер. Машинка-то всего с 16 метрами.
:-)
> Я тут раньше спрашивал совета по этому поводу, вроде бы сошлись
> к тому, что сквид на 16 метрах жить вполне может. В чем я
сейчас
> сам и убедился. Работает, памяти хватает и загрузка процессора
> небольшая! Все-таки Линукс - это классная вещь!!!!!

Полностью подпишусь. Написал скриптик сегодня, зарядил и жмет он
у меня все *.wav файлы с компактов фонда хранения в mp3 для
пользовательский фонда, и только диски менять просит, на  двух
компах по 2 ЦДрома на каждом. Минимум внимания к себе требует.
Линукс - это классная вещь!!!! ;)   


-- Желаю  успехов !
Анатолий Лисютин AKA Silver Fox ICQ:6647501
mailto:SilverFox@rgantd.ru        
mailto:SilverFox@optics.npi.msu.su 
РГАНТД Российский государственный архив научно-технической
документации
http://rgantd.ru 	http://rusarchives.ru/federal/rgantd

Re[2]: [mdk-re] [JT] squid

[Russu V.F.]

Hello mandrake-russian-admin,

Sunday, November 25, 2001, 12:51:11 AM, you wrote:

> On Sat, 24 Nov 2001 23:11:59 +0500
> Gosha <gosha@sendmail.ru> wrote:

>> .......
>> # ACL
>> acl all src 0.0.0.0/0.0.0.0
>> acl all_private src 192.168.1.0/255.255.255.0
>> acl all_nonprivate src (адрес.моей.неприватной.сети)/255.255.255.248
>> .......
>> http_access allow all_private
>> http_access allow all_nonprivate
>> 
>> Не могу получить доступа с любой машины из приватной
>> и неприватной сетей. Получаю ошибку "Доступ запрещен".
>> Если же сделать (или добавить к предыдущему):
>> 
>> http_access allow all
>> 
>> то доступ есть. Что я неправильно делаю?

> Уточню. Оказалось, что если прописать не сети, а конкретные
> машины, то доступ с этих машин есть. Т.е., например:

> acl host1 src 192.168.1.1/255.255.255.255
> http_access allow host1

> дает доступ с машины host1. А как же быть с сетями?
> Что ж мне все машины всех сетей прописывать придется?


        порядок правил соблюден ???
у меня работает по сетям все.... вот мой пример

acl all src 0.0.0.0/0.0.0.0
acl PSRP src 192.168.20.0/24
[ ешо куча правил, типа рубить chat и все такое ]
http_access deny all !PSRP

squid 2.4.STABLE1-2.asp

поставь в конфиге
debug_options ALL,2
и смотри в cache.log как у тебя правила обрабатываются, какое
срабатывает !

-- 
 ОП ТюменьЭнергоСпецРемонт
 Системный администратор
 Руссу В.Ф.                  e-mail: ruwa@psrp.te.ru
                             phone: (3462)76-40-56

Re: Re[2]: [mdk-re] [JT] squid

[Gosha]

On Mon, 26 Nov 2001 10:09:17 +0500
"Russu V.F." <ruwa@psrp.te.ru> wrote:

> >> .......
> >> # ACL
> >> acl all src 0.0.0.0/0.0.0.0
> >> acl all_private src 192.168.1.0/255.255.255.0
> >> acl all_nonprivate src (адрес.моей.неприватной.сети)/255.255.255.248
> >> .......
> >> http_access allow all_private
> >> http_access allow all_nonprivate
> 
> > Уточню. Оказалось, что если прописать не сети, а конкретные
> > машины, то доступ с этих машин есть. Т.е., например:
> 
> > acl host1 src 192.168.1.1/255.255.255.255
> > http_access allow host1
> 
> > дает доступ с машины host1. А как же быть с сетями?
> > Что ж мне все машины всех сетей прописывать придется?
> 
>         порядок правил соблюден ???

вот ровно как выше написано, так все и есть.

> у меня работает по сетям все.... вот мой пример
> 
> acl all src 0.0.0.0/0.0.0.0
> acl PSRP src 192.168.20.0/24
> [ ешо куча правил, типа рубить chat и все такое ]
> http_access deny all !PSRP

А у меня не желает так работать. Прям чудеса какие-то!
 
> поставь в конфиге
> debug_options ALL,2
> и смотри в cache.log как у тебя правила обрабатываются, какое
> срабатывает !

Спасибо. Попробую разобраться. 


-- 
Best regards!
Igor Solovyov
Zlatoust, Russia