по какому принципе сквид читает конфиг?

Проблемы установки, настройки и работы Правильной Операционной Системы

Модератор: terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Аватара пользователя
f0s
ст. лейтенант
Сообщения: 1082
Зарегистрирован: 2007-03-13 18:43:31
Откуда: Санкт-Петербург
Контактная информация:

по какому принципе сквид читает конфиг?

Непрочитанное сообщение f0s » 2007-12-13 17:16:16

не понятно немного.. совсем апутался.. вот есть у меня конструкция типа:

Код: Выделить всё


acl     all             src             0.0.0.0/0.0.0.0
acl     localhost       src             127.0.0.0/8
acl     sqstat          src             192.168.10.8
acl     our_network     src             192.168.10.0/24
acl     manager         proto           cache_object
acl     DomainUsers     proxy_auth      REQUIRED

http_access     allow   our_network
http_access     deny    all
http_access     allow   DomainUsers
http_access     deny    !Safe_ports
http_access     deny    CONNECT !SSL_ports
deny_info       ERR_ACCESS_DENIED       all
http_access     deny    all
вот. этим конфигом я хотел сделать следующее:
допускать к использованию сквида только сеть 192.168.10.0/24 (http_access allow our_network), если идет обращение из другой сети - тут же блочить (http_access deny all), и далее если все ок, то есть запрос из сетки 192.168.10.0/24, тогда отправлять всех на авторизацию (http_access allow DomainUsers)

и что меня поразило, все работает... то естьстранно, что встретив строку http_access allow our_network, он потом не перешел на http_access deny all и все не заблочил нафиг, не дойдя до авторизации..

два вопроса:
1) как же он конфиг тогда смотрит?
2) как мне разрешить доступ для доменной (домен под samba3 pdc ldap) группы spb и только. чтобы остальные не могли входить?


саму группу задаю так:

Код: Выделить всё

acl     spb             external nt_group spb
а куда мне теперь ее впихнуть? ибо если сделать так:

Код: Выделить всё

http_access     allow   our_network
http_access     deny    all
http_access     allow   DomainUsers
http_access     deny    !Safe_ports
http_access     deny    CONNECT !SSL_ports
http_access     allow   spb
deny_info       ERR_ACCESS_DENIED       all
http_access     deny    all
то все равно пускает даже тех, кто не в spb группе
named, named, what is my TTL value?..

[FidoNet 2:550/2 && 2:5030/4441]

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
Dron
ст. сержант
Сообщения: 373
Зарегистрирован: 2007-08-15 13:36:28
Откуда: Днепропетровск
Контактная информация:

Re: по какому принципе сквид читает конфиг?

Непрочитанное сообщение Dron » 2007-12-13 19:06:07

Код: Выделить всё

acl  spb  external nt_group  spb
http_access allow spb
http_access deny all
Если первая строчка у тебя верна, то будет жить ;)
Та Да...

Аватара пользователя
f0s
ст. лейтенант
Сообщения: 1082
Зарегистрирован: 2007-03-13 18:43:31
Откуда: Санкт-Петербург
Контактная информация:

Re: по какому принципе сквид читает конфиг?

Непрочитанное сообщение f0s » 2007-12-14 17:47:59

в этом случе мы выкидываем авторизацию... то есть те, кто не из spb просто идут лесом :)

нужно же, чтобы сначала проверял:

1) запрос к прокси идет из our_network (192.168.10.0/24), если нет - досвиданияхве
2) авторизовывать юзера или предлагать авотризацию, если доменная не сработала (acl DomainUsers proxy_auth REQUIRED)
3) после этого смотреть: если в группе spb - то работаем, если нет - досвиданияхве
named, named, what is my TTL value?..

[FidoNet 2:550/2 && 2:5030/4441]

fr33man
сержант
Сообщения: 218
Зарегистрирован: 2006-09-04 17:41:27
Откуда: Москва
Контактная информация:

Re: по какому принципе сквид читает конфиг?

Непрочитанное сообщение fr33man » 2007-12-14 19:29:23

Код: Выделить всё

http_access     allow   our_network spb
http_access     deny    all
WBR Озеров Василий aka fr33man

Аватара пользователя
f0s
ст. лейтенант
Сообщения: 1082
Зарегистрирован: 2007-03-13 18:43:31
Откуда: Санкт-Петербург
Контактная информация:

Re: по какому принципе сквид читает конфиг?

Непрочитанное сообщение f0s » 2007-12-14 20:10:07

fr33man писал(а):

Код: Выделить всё

http_access     allow   our_network spb
http_access     deny    all
в этом случае, авторизация не спрашивается. куда при этом поместить правило:

Код: Выделить всё

acl     DomainUsers     proxy_auth      REQUIRED
http_access     allow   DomainUsers
?
named, named, what is my TTL value?..

[FidoNet 2:550/2 && 2:5030/4441]

Аватара пользователя
-cat-
сержант
Сообщения: 202
Зарегистрирован: 2007-07-31 0:05:56
Контактная информация:

Re: по какому принципе сквид читает конфиг?

Непрочитанное сообщение -cat- » 2007-12-14 22:30:08

Все просто, если условия в одной строке - логическое "и", в разных - "или"
f0s писал(а):http_access allow our_network spb
http_access deny all
Исходя из этого вторая cтрока не нужна, достаточно завершающей "deny"

fr33man
сержант
Сообщения: 218
Зарегистрирован: 2006-09-04 17:41:27
Откуда: Москва
Контактная информация:

Re: по какому принципе сквид читает конфиг?

Непрочитанное сообщение fr33man » 2007-12-15 9:04:56

Сори, забыл про аутентификацию...

Код: Выделить всё

http_access allow our_network spb DomainUsers
http_access deny  all
WBR Озеров Василий aka fr33man