squid и 2 шлюза: acl не пашут

Проблемы установки, настройки и работы Правильной Операционной Системы

Модератор: terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
votuanr
ефрейтор
Сообщения: 60
Зарегистрирован: 2006-10-31 14:15:36

squid и 2 шлюза: acl не пашут

Непрочитанное сообщение votuanr » 2007-04-11 16:36:06

шлюз в 3мя интерфейсами: (dc0) (rl0) - разные провайдеры с инетом, (xl0) локалка.

поумолчанию default gw - dc0
в сквиде настроены простейшие правила:

cat /usr/local/etc/squid/deny_all.conf кусок squid.conf

Код: Выделить всё

acl denied_sites1  dstdomain "/usr/local/etc/squid/deny_all.conf"
acl lexa src 192.168.111.25
http_access deny denied_sites1 lexa
http_access allow all

все хорошо, все работает, о чем и написано в логе

Код: Выделить всё

root@gw# tail -f log/cache.log |grep ya.ru
2007/04/11 17:06:50| aclMatchDomainList: checking 'ya.ru'
2007/04/11 17:06:50| aclMatchDomainList: 'ya.ru' found
2007/04/11 17:06:50| The request GET http://ya.ru/ is DENIED, because it matched 'lexa'
2007/04/11 17:06:50| The reply for GET http://ya.ru/ is ALLOWED, because it matched 'lexa'
но стоит изменить маршрутизацию,

Код: Выделить всё

root@gw# route add -host ya.ru 190.90.151.21
add host ya.ru: gateway 190.90.151.21
root@gw# route add -host ya.ru 190.90.151.21
add host ya.ru: gateway 190.90.151.21
обновить сквид (на всякий случай)
/usr/local/etc/rc.conf/squid.sh reload

то log/cache.log остается чистым... в него не пишется ничего поповоду доступа к домену ya.ru

и что самое важное! перестают работать всякие acl. Почему и как сделать так чтобы работало?




Код: Выделить всё

root@gw# uname -v
FreeBSD 6.2-RELEASE-p3 #0: Tue Apr 10 14:38:53 MSD 2007 

Код: Выделить всё

root@gw# squid -v
Squid Cache: Version 2.6.STABLE9
configure options: '--bindir=/usr/local/sbin' '--sbindir=/usr/local/sbin' '--datadir=/usr/local/etc/squid' '--libexecdir=/usr/local/libexec/squid' '--localstatedir=/usr/local/squid' '--sysconfdir=/usr/local/etc/squid' '--enable-removal-policies=lru heap' '--disable-linux-netfilter' '--disable-linux-tproxy' '--disable-epoll' '--enable-auth=basic ntlm digest' '--enable-basic-auth-helpers=NCSA PAM MSNT SMB YP' '--enable-digest-auth-helpers=password' '--enable-external-acl-helpers=ip_user session unix_group wbinfo_group' '--enable-ntlm-auth-helpers=SMB' '--enable-storeio=ufs diskd null' '--enable-delay-pools' '--disable-carp' '--enable-pf-transparent' '--enable-ipf-transparent' '--enable-kqueue' '--enable-err-languages=Azerbaijani Bulgarian Catalan Czech Danish Dutch  English Estonian Finnish French German Greek Hebrew  Hungarian Italian Japanese Korean Lithuanian  Polish Portuguese Romanian Russian-1251 Russian-koi8-r  Serbian Simplify_Chinese Slovak Spanish Swedish  Traditional_Chinese Turkish' '--enable-default-err-language=English' '--prefix=/usr/local' 'i386-portbld-freebsd6.0' 'LDFLAGS=' 'CFLAGS=-O2 -fno-strict-aliasing -pipe ' 'CPPFLAGS=' 'host_alias=i386-portbld-freebsd6.0' 'build_alias=i386-portbld-freebsd6.0' 'target_alias=i386-portbld-freebsd6.0' 'CC=cc'

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
dikens3
подполковник
Сообщения: 4856
Зарегистрирован: 2006-09-06 16:24:08
Откуда: Нижний Новгород
Контактная информация:

Непрочитанное сообщение dikens3 » 2007-04-11 16:44:14

Squid прозрачный?
Лучше установить FreeBSD, чем потратить 30 лет на Linux'ы и выяснить какой из них хуже.

votuanr
ефрейтор
Сообщения: 60
Зарегистрирован: 2006-10-31 14:15:36

Непрочитанное сообщение votuanr » 2007-04-11 16:59:18

ааааааааааааааааааа!!!
день убил!!! целый рабочий день!!!!


вот ответ

ipfw show |grep 3128

Код: Выделить всё

02200  980740  139383609 fwd 192.168.111.150,3128 tcp from 192.168.111.0/24 to any dst-port 80 via dc0

вот я .... лох...