squid 2.7 acl

Проблемы установки, настройки и работы Правильной Операционной Системы

Модератор: terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
doker
сержант
Сообщения: 207
Зарегистрирован: 2008-11-18 16:20:26

squid 2.7 acl

Непрочитанное сообщение doker » 2009-09-02 12:10:33

есть асл вида

Код: Выделить всё

acl magent src 94.100.0.0/16

#начало секции http_access :

http_reply_access       deny    audio_t !safe_list_user
http_reply_access       deny    video_t !safe_list_user
#http_reply_access       deny    stop_files !safe_list_user

##########magent
http_access deny CONNECT magent
в логах вижу

Код: Выделить всё

1251874512.009      0 10.0.22.22 TCP_DENIED/407 1701 CONNECT 94.100.178.25:2042 - NONE/- text/html
1251874512.013      0 10.0.22.22 TCP_DENIED/407 1698 CONNECT 94.100.178.25:443 - NONE/- text/html
1251874512.016      0 10.0.22.22 TCP_DENIED/407 1695 CONNECT 94.100.178.25:80 - NONE/- text/html
1251874512.019      0 10.0.22.22 TCP_DENIED/407 1701 CONNECT 94.100.178.25:5190 - NONE/- text/html
1251874512.021      0 10.0.22.22 TCP_DENIED/407 1701 CONNECT 94.100.178.25:1863 - NONE/- text/html
1251874512.025      0 10.0.22.22 TCP_DENIED/407 1695 CONNECT 94.100.178.25:25 - NONE/- text/html
1251874512.029      0 10.0.22.22 TCP_DENIED/407 1698 CONNECT 94.100.178.25:110 - NONE/- text/html

а в тоже время 
1251874975.427    164 10.0.11.26 TCP_MISS/200 57 CONNECT 94.100.178.28:443 mazzy DIRECT/94.100.178.28 -
1251874975.899    157 10.0.11.26 TCP_MISS/200 375 CONNECT 94.100.189.59:443 mazzy DIRECT/94.100.189.59 -
1251874976.134    160 10.0.11.26 TCP_MISS/200 262 CONNECT 94.100.179.158:443 mazzy DIRECT/94.100.179.158 -
1251874976.171    155 10.0.11.26 TCP_MISS/200 372 CONNECT 94.100.182.73:443 mazzy DIRECT/94.100.182.73 -
1251874976.385    161 10.0.11.26 TCP_MISS/200 1938 CONNECT 94.100.189.32:443 mazzy DIRECT/94.100.189.32 -
1251874977.447   1268 10.0.11.26 TCP_MISS/200 13625 CONNECT 94.100.182.73:443 mazzy DIRECT/94.100.182.73 -
тоесть можно предположить что неавторизованных рубит а авторизованных пускает, непонятно почему, ведь запрещающий асл стоит раньше чем тот каторый разрешает (разрешает самс)
вопрос в том, как лучше построить запрет , чтобы он запрещал для пользователей в ACL-localnet доступ к acl-CONNECT для хостов в ACL-magent?

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

snorlov
подполковник
Сообщения: 3829
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

Re: squid 2.7 acl

Непрочитанное сообщение snorlov » 2009-09-02 13:20:35

Обратите внимание, пускает по 443 порту(SSL), я думаю вы привели не все правила....

doker
сержант
Сообщения: 207
Зарегистрирован: 2008-11-18 16:20:26

Re: squid 2.7 acl

Непрочитанное сообщение doker » 2009-09-02 13:35:59

но в тоже время неавторизированных непускает по томуже порту !!
я привел все правила от начала до интересующего