открытые порты в сквиде..

Проблемы установки, настройки и работы Правильной Операционной Системы

Модератор: terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Аватара пользователя
f0s
ст. лейтенант
Сообщения: 1082
Зарегистрирован: 2007-03-13 18:43:31
Откуда: Санкт-Петербург
Контактная информация:

открытые порты в сквиде..

Непрочитанное сообщение f0s » 2008-01-22 10:49:50

есть открытые порты в сквиде:

Код: Выделить всё

acl SSL_ports port 443
acl Safe_ports port 80          # http
acl Safe_ports port 21          # ftp
acl Safe_ports port 443         # https
acl Safe_ports port 22          # ssh
acl Safe_ports port 5190        # icq
acl Safe_ports port 24554       # fido
acl CONNECT method CONNECT


я всегда думал, что такой конфиг, означает, что при проходе трафика через сквид, будут доступны только перечилсенные порты.. однако сегодня был поражен.. я смог зайти браузером по ссылке: http://195.234.108.253:10101/update.gif , то есть на порт 10101.. почему собсно?
named, named, what is my TTL value?..

[FidoNet 2:550/2 && 2:5030/4441]

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2460 рублей (8 CPU, 8Gb RAM, 2x500Gb HDD, RAID 3ware 9750):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35090
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: открытые порты в сквиде..

Непрочитанное сообщение Alex Keda » 2008-01-22 10:51:04

а где-то аллов алл висит.
извини, телепатов нет - а конфиг ты не огласил.
Убей их всех! Бог потом рассортирует...

Аватара пользователя
f0s
ст. лейтенант
Сообщения: 1082
Зарегистрирован: 2007-03-13 18:43:31
Откуда: Санкт-Петербург
Контактная информация:

Re: открытые порты в сквиде..

Непрочитанное сообщение f0s » 2008-01-22 11:29:07

угумс. с этим разобрался, спасибо. Но вот давно интересовал такой вопрос:

есть acl DomainUsers, это все авторизованные в домене пользователи. У меня стоит acl что пускать в инет только тех, кто имеет адрес our_network и те, кто принадлежит DomainUsers. Но вот в домене (который на самбе3.0.25, все хранится в лдап), есть группы, две из который msk и spb. Мне нужно, чтобы те, кто входил в группу msk, не смог лазить в инете. Соответсвенно конфиг ниже, как можно увидеть там стоит

Код: Выделить всё

http_access     deny    msk
однако тестим. Берем юзера:


Код: Выделить всё

[f0s@router] /usr/local/etc/squid/> id f0s
uid=1001(f0s) gid=0(wheel) groups=0(wheel), 17905(it), 61659(msk)

как видим, он состоит в группе msk. Заъодим бразуером в инет - вуаля.. все равно пускает.

Если поставить строчку

Код: Выделить всё

http_access     deny    msk
после:

Код: Выделить всё

http_access     allow   DomainUsers our_network
то под юзером f0s начинает вылезать окошко, типа "авторизуйтесь"! Не понимаю, почему просто не срабатывает это:

Код: Выделить всё

deny_info       ERR_ACCESS_DENIED       all
а то, ввожу в этом окне вручную свое имя и пароль для f0s, и опять это окошко с авторизацией появялется.. и так до посинения :) пока не введешь чужой логин, кто не входит в группу msk

Код: Выделить всё

[f0s@router] /usr/local/etc/squid/> cat squid.conf
http_port 8787
icp_port 0
hierarchy_stoplist cgi-bin ?
acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY
acl apache rep_header Server ^Apache
broken_vary_encoding allow apache
cache_mem 256 MB
maximum_object_size 16184 KB
maximum_object_size_in_memory 1024 KB
cache_dir ufs /usr/local/squid/cache 15000 64 512
access_log /var/log/squid/access.log squid
cache_log /var/log/squid/cache.log
cache_store_log none
pid_filename /var/log/squid/squid.pid
debug_options ALL,1
ftp_user abuse@artpaint.spb.ru
hosts_file /etc/hosts
auth_param ntlm program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 30
auth_param ntlm keep_alive on
auth_param basic program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-basic
auth_param basic children 3
auth_param basic realm router.artpaint
auth_param basic credentialsttl 2 hour
auth_param basic casesensitive off
refresh_pattern ^ftp:           1440    20%     10080
refresh_pattern ^gopher:        1440    0%      1440
refresh_pattern .               0       20%     4320
redirect_program /usr/local/rejik/redirector
redirect_children 15
external_acl_type nt_group %LOGIN /usr/local/libexec/squid/wbinfo_group.pl
acl     all             src             0.0.0.0/0.0.0.0
acl     localhost       src             127.0.0.0/8
acl     sqstat          src             192.168.10.8
acl     our_network     src             192.168.10.0/24
acl     manager         proto           cache_object
acl     admins          external nt_group admins
acl     spb             external nt_group spb
acl     msk             external nt_group msk
acl     DomainUsers     proxy_auth      REQUIRED

acl SSL_ports port 443

acl Safe_ports port 80          # http
acl Safe_ports port 21          # ftp
acl Safe_ports port 443         # https
acl Safe_ports port 22          # ssh
acl Safe_ports port 5190        # icq
acl Safe_ports port 9091        # nod32-временно
acl Safe_ports port 24554       # fido

acl CONNECT method CONNECT

http_access     allow   manager         sqstat
http_access     deny    manager
http_access     deny    !Safe_ports
http_access     deny    CONNECT !SSL_ports

http_access     deny    msk

http_access     allow   DomainUsers our_network
http_access     deny    DomainUsers
deny_info       ERR_ACCESS_DENIED       all
http_access     deny    all

http_reply_access allow all
tcp_outgoing_address 192.168.10.7
cache_mgr admin@artpaint
cache_effective_user squid
cache_effective_group squid

icap_enable off
icap_preview_enable off
icap_send_client_ip off
error_directory /usr/local/etc/squid/errors/Russian-1251
delay_pools 2
delay_class 1 1 # admin
delay_class 2 2 # all
delay_access 1 allow admins
delay_access 1 deny all
delay_access 2 allow our_network
delay_access 2 deny all
delay_parameters 1 16000/32000
delay_parameters 2 80000/80000 9000/16000
coredump_dir /usr/local/squid/cache
named, named, what is my TTL value?..

[FidoNet 2:550/2 && 2:5030/4441]