Страница 1 из 1
squid блокировка некоторых ip
Добавлено: 2010-05-21 14:20:22
RAGNAR
задачка. хотел запретить пользоваться 2 ip адресам проксей, всеровно сквид их пропускает конфиг ниже
подскажите что нетак.
Код: Выделить всё
acl netuser src 192.168.1.0/255.255.255.0
acl user1 src 192.168.1.10/255.255.255.255
acl user2 src 192.168.1.11/255.255.255.255
acl all src 0.0.0.0/0.0.0.0
http_access deny user1
http_access deny user2
http_access allow netuser
http_access deny all
Re: squid блокировка некоторых ip
Добавлено: 2010-05-21 14:50:16
terminus
сквид случайно не ругается, что диапазон netuser перекрывает user1 user2?
Re: squid блокировка некоторых ip
Добавлено: 2010-05-21 19:49:54
RAGNAR
cach.log
Код: Выделить всё
Squid Cache (Version 3.0.STABLE21): Terminated abnormally.
CPU Usage: 0.306 seconds = 0.209 user + 0.097 sys
Maximum Resident Size: 12940 KB
Page faults with physical i/o: 0
2010/05/21 15:05:22| Starting Squid Cache version 3.0.STABLE21 for i386-portbld-freebsd7.2...
2010/05/21 15:05:22| Process ID 1920
2010/05/21 15:05:22| With 20095 file descriptors available
2010/05/21 15:05:22| DNS Socket created at 0.0.0.0, port 52984, FD 7
2010/05/21 15:05:22| Adding nameserver 127.0.0.1 from /etc/resolv.conf
2010/05/21 15:05:22| Adding nameserver 84.42.0.14 from /etc/resolv.conf
2010/05/21 15:05:22| Adding nameserver 84.42.0.2 from /etc/resolv.conf
2010/05/21 15:05:22| helperOpenServers: Starting 5/5 'redirector' processes
2010/05/21 15:05:23| Unlinkd pipe opened on FD 17
2010/05/21 15:05:23| Local cache digest enabled; rebuild/rewrite every 3600/3600 sec
2010/05/21 15:05:23| Swap maxSize 2048000 + 153600 KB, estimated 169353 objects
2010/05/21 15:05:23| Target number of buckets: 8467
2010/05/21 15:05:23| Using 16384 Store buckets
2010/05/21 15:05:23| Max Mem size: 153600 KB
2010/05/21 15:05:23| Max Swap size: 2048000 KB
2010/05/21 15:05:23| Version 1 of swap file with LFS support detected...
2010/05/21 15:05:23| Rebuilding storage in /usr/local/squid/cache (DIRTY)
2010/05/21 15:05:23| Using Least Load store dir selection
2010/05/21 15:05:23| Set Current Directory to /usr/local/squid/cache
2010/05/21 15:05:23| Loaded Icons.
2010/05/21 15:05:23| commBind: Cannot bind socket FD 19 to 127.0.0.1:3128: (48) Address already in use
FATAL: Cannot open HTTP Port
Squid Cache (Version 3.0.STABLE21): Terminated abnormally.
CPU Usage: 0.308 seconds = 0.193 user + 0.115 sys
Maximum Resident Size: 12940 KB
Page faults with physical i/o: 0
access.log 10 и 11 и 15 все через прокси идут( 15 я не запрещал )
Код: Выделить всё
1274458325.579 240 192.168.1.15 TCP_MISS/200 737 GET http://counter.yadro.ru/hit? - DIRECT/88.212.196.101 image/gif
1274458326.222 998 192.168.1.15 TCP_MISS/200 3661 GET http://googleads.g.doubleclick.net/pagead/ads? - DIRECT/74.125.87.155 text/html
1274458340.706 111 192.168.1.11 TCP_MISS/200 596 GET http://bar-navig.yandex.ru/u? - DIRECT/213.180.204.175 text/xml
1274458352.630 112 192.168.1.11 TCP_MISS/200 574 GET http://bar-navig.yandex.ru/u? - DIRECT/77.88.21.75 text/xml
1274458440.386 92 192.168.1.10 TCP_MISS/200 529 GET http://patch.l2.ru/l2/live//updater.cinn - DIRECT/109.105.130.66 application/octet-stream
1274458440.413 114 192.168.1.10 TCP_MISS/200 3405 GET http://launcher.l2.ru/mailru/ - DIRECT/109.105.130.89 text/html
1274458440.575 49 192.168.1.10 TCP_MISS/200 570 GET http://patch.l2.ru/l2/live//launcher.cinn.zinn - DIRECT/109.105.130.66 application/octet-stream
1274458440.903 17 192.168.1.10 TCP_IMS_HIT/304 259 GET http://launcher.l2.ru/images/mailru_logo_v3.png - NONE/- image/png
1274458441.027 2 192.168.1.10 TCP_IMS_HIT/304 261 GET http://launcher.l2.ru/images/back4.jpg - NONE/- image/jpeg
1274458441.053 5 192.168.1.10 TCP_IMS_HIT/304 266 GET http://launcher.l2.ru/images/png.htc - NONE/- text/x-component
1274458441.087 146 192.168.1.10 TCP_MISS/304 252 GET http://launcher.l2.ru/images/4game_logo.png? - DIRECT/109.105.130.89 -
Re: squid блокировка некоторых ip
Добавлено: 2010-05-21 19:50:45
RAGNAR
возможно тут применить какую тебуть таблицу? каму можно а каму нет?
Re: squid блокировка некоторых ip
Добавлено: 2010-05-21 22:43:23
_Попов
Я бы хотя бы так сделал:
Код: Выделить всё
acl p21 port 21
acl p80 port 80
acl p443 port 443
acl NOTvalidIP src 192.168.1.10 192.168.1.11
http_access deny NOTvalidIP
http_access allow p21
http_access allow p80
http_access allow p443
http_access deny all
Список нежелательных ип можно вынести в файлик.
примерчик из фака
будет пропускать если, начни с того, что поставь стабильную версию
3.1
Re: squid блокировка некоторых ip
Добавлено: 2010-05-21 23:29:33
rnd
а "firewall" какой-нить стоит, может проще им
Re: squid блокировка некоторых ip
Добавлено: 2010-05-22 15:24:37
RAGNAR
ipfw есть трансляцию делаю ipnat. прокси прозрачный
обновил прокси до 3.1.3
вот что конкретно у меня в конфиге прокси это все acl и http_access
Код: Выделить всё
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443 563
acl Safe_ports port 80
acl CONNECT method CONNECT
http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
acl our_networks src 192.168.1.0/24 # первая подсеть
acl our_net2 src 192.168.2.0/24 # вторая подсеть
acl noipnet src 192.168.1.10 # этого закрываю, всеровно все работает
http_access deny noipnet
http_access allow our_networks
http_access allow our_net2
http_access allow localhost
http_access deny all
http_reply_access allow all
icp_access allow all
cache_effective_user squid
Re: squid блокировка некоторых ip
Добавлено: 2010-05-22 15:59:48
_Менделеев
...прокси прозрачный
судя по конфигу, есть предположение, что проксю твоё не в прозрачном режиме работаитЬ
1) подробнее:
http_port
2) ...и проверить зворачивается ли на 127 трафик....
Re: squid блокировка некоторых ip
Добавлено: 2010-05-22 20:04:25
RAGNAR
все заворачиваеться , правила в ipnat редиректят, это видно ниже.
ipnat -l
Код: Выделить всё
RDR 127.0.0.1 3128 <- -> 88.198.29.125 80 [192.168.1.30 2363]
RDR 127.0.0.1 3128 <- -> 88.198.29.125 80 [192.168.1.30 2360]
MAP 192.168.1.19 50158 <- -> 84.42.28.194 5822 [109.105.134.179 17453]
MAP 192.168.1.19 50157 <- -> 84.42.28.194 5821 [109.105.134.179 7777]
RDR 127.0.0.1 3128 <- -> 209.85.129.138 80 [192.168.1.19 50147]
RDR 127.0.0.1 3128 <- -> 109.105.130.91 80 [192.168.1.19 50146]
RDR 127.0.0.1 3128 <- -> 109.105.130.89 80 [192.168.1.19 50145]
squid.conf
Re: squid блокировка некоторых ip
Добавлено: 2010-05-22 21:17:43
_FreeBSD
intercept вроде щас вместо transparent
Re: squid блокировка некоторых ip
Добавлено: 2010-05-22 21:33:05
RAGNAR
интересное заявление. щас глянул в документацию по 3.1.3 а там и нет нечего по transparent.
попробую intercept. посмотрим что получиться. может кто сталкивался с этим, подскажите.
Re: squid блокировка некоторых ip
Добавлено: 2010-05-22 21:36:02
_FreeBSD
в качестве проверки блокировки Squid'ом
1) сделай сквид непрозрачным
2) настрой клинета, которого ты хочишь блочить на проксю
в итоге у тебя он должен заблочиться
если не заблочитца, то надо думать (хотя че думать - он должен болочица), а после уже гребаный транспарент делать, когда все будет работать
Re: squid блокировка некоторых ip
Добавлено: 2010-05-22 21:45:05
RAGNAR
что я разници не заметил, все тоже самое после замены
Re: squid блокировка некоторых ip
Добавлено: 2010-05-22 22:03:13
RAGNAR
проблемно эксперемент проводить. народ сожрет
такое ощущение что проблемка в acl и http_access в их порядке
Re: squid блокировка некоторых ip
Добавлено: 2010-05-22 22:14:01
_9 мая
конечно конфиг у тебя выглядит безобразно, acl бы все наверх потом уже бы акцесы
я сначала думал http_access deny !Safe_ports выпускает всех, но эксперимент показал что нет
щас думаю, что на проксю ничего не попадает...
Re: squid блокировка некоторых ip
Добавлено: 2010-05-22 23:55:16
RAGNAR
вобщем проблема решилась, дело было в том что нужно было понять acl вверх access вниз.
вот полный конфиг , поправте если есть какие небудь неточности.
Код: Выделить всё
http_port 127.0.0.1:3128 intercept
hierarchy_stoplist cgi-bin ?
acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY
cache_mem 150 MB
maximum_object_size 512 KB
maximum_object_size_in_memory 500 KB
cache_swap_high 95
cache_swap_low 90
ipcache_size 1024
ipcache_high 95
ipcache_low 90
forwarded_for off
memory_pools off
cache_dir ufs /usr/local/squid/cache 2000 8 256
cache_access_log /var/log/squid/access.log
cache_log /var/log/squid/cache.log
cache_store_log /var/log/squid/store.log
logfile_rotate 5
half_closed_clients on
cache_mgr sysctl@mail.ru
visible_hostname SunOS
tcp_outgoing_address 84.42.xxx.xxx
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern . 0 20% 10080
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443 563
acl Safe_ports port 80
acl CONNECT method CONNECT
acl our_networks src 192.168.1.0/24
acl our_net2 src 172.16.16.0/24
acl noipnet src 192.168.1.40
http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access deny noipnet
http_access allow our_networks
http_access allow our_net2
http_access allow localhost
http_access deny all
http_reply_access allow all
icp_access allow all
cache_effective_user squid
coredump_dir /usr/local/squid/cache
pid_filename /usr/local/squid/logs/squid.pid
вот тут как раз видно что 192.168.1.40 доступ закрыт и это видно в браузере. прокся сообщает клиенту о запрещенном доступе.
Код: Выделить всё
1274557675.525 2 192.168.1.40 TCP_DENIED/403 4728 GET http://op.yandex.ru/data/mail.xml? - NONE/- text/html
1274557680.657 2 192.168.1.40 TCP_DENIED/403 4746 GET http://op.yandex.ru/data/hockey2010.xml? - NONE/- text/html
1274557699.456 4 192.168.1.40 TCP_DENIED/403 6323 POST http://wg195.odnoklassniki.ru/push? - NONE/- text/html
1274557724.793 90 192.168.1.15 TCP_MISS/500 634 GET http://bar.blogs.yandex.net/getbloglinks? - DIRECT/77.88.21.97 text/html
1274557726.832 100 192.168.1.15 TCP_MISS/403 2888 GET http://nova.rambler.ru/proxy_weather? - DIRECT/81.19.70.11 text/html
1274557726.939 98 192.168.1.15 TCP_MISS/200 336 GET http://get.assist.rambler.ru/stat/hit.gif? - DIRECT/81.19.66.236 image/gif
Всем огромная блогадарность за помощь.
Re: squid блокировка некоторых ip
Добавлено: 2010-05-23 0:16:25
Гость
1. не понятно это зачем и правильно ли работает оно?:
Код: Выделить всё
hierarchy_stoplist cgi-bin ?
acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY
. это че?:
Код: Выделить всё
http_access allow manager localhost
http_access deny manager
. рекомендую класть на родной ротатор так:
- rotate_newsyslog.png (11.44 КБ) 7141 просмотр
4. если клиенты попадают под тех, которым ты можешь сказать "идите на..й", то порежь рекламку хотябы
так
5. сколько клиентов будет пользовать проксю? просто заинтересовал размер кеша в 2 гига
И самое главное, не понятно зачем нужено переопределение стандартных настроек... че рИально типо лучше будетЬ?
Re: squid блокировка некоторых ip
Добавлено: 2010-05-23 11:50:08
RAGNAR
на счет 2 гигов, незнаю. так на всякий случай. юзеров примерно 15. Гость: твое мнение какие параметры кэша должны быть.
TAG: hierarchy_stoplist
Этот тэг задает список слов, которые при нахождении их(этих слов) в URL,
сообщают Squid то, что объект расположенный по этому URL надо брать
напрямую, а не из кэша. squid он не будет кешировать динамически
генерируемые страницы (поисковые сервера, некоторые другие серверы и чаты.
используются для того, чтобы некоторые объекты никогда не кэшировались,
например, файлы из каталога cgi-bin. Эта функция нужна для безопасности.
примерно аналогично предыдущему случаю, но касательно кэша... то есть
если каким-либо данные странички попали в кэш (ну например работал сквид
без предыдущей строчки некоторое время), то они немедленно удаляются из кеша.
для чего сам незнаю, попробую выкинуть. посмотрим.
Код: Выделить всё
http_access allow manager localhost
http_access deny manager
Re: squid блокировка некоторых ip
Добавлено: 2010-05-23 12:10:51
_FreeBSD
по кешу просто так спросил, вдруг ты шаристый тип, мож че рассказал бы интересного.
хрен с ним с hierarchy_stoplist, там вроде все понятно
вопрос в этом:
Код: Выделить всё
acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY
1. щас нету no_cache, на смену пришло просто
cache
2. для acl'a
urlpath_regex надо указать шаблон регулярного выражения для пути в URL, исключая протокол и имя хоста. Ты уверен что "cgi-bin \?" правильный шаблон? Покажи реальный пример линка, который ты предполагаешь некешировать.
Re: squid блокировка некоторых ip
Добавлено: 2010-05-23 12:41:13
RAGNAR
реального нет. так стоит до кучи. это от старой версии конфиг. поставил 3.1.3 и сижу рихтую. тут все немного по новому. зачем меняли, непойму.
Re: squid блокировка некоторых ip
Добавлено: 2010-05-23 12:43:16
RAGNAR
при старте ругани не видно. походу совместимо.
хотя на счет масок ругался и делал предположения что я от него хочу.
Re: squid блокировка некоторых ip
Добавлено: 2010-05-23 12:50:36
RAGNAR
может подскажешь. ssl непашет. перенапровлление сделал. а у клиента говарит такая строница не найдена. если напремую то все конектиться
Код: Выделить всё
Вы попытались получить доступ к адресу https://cabinet.stv.su/, который сейчас недоступен. Убедитесь, что веб-адрес (URL) введен правильно, и попытайтесь перезагрузить страницу.
Безопасное подключение: критическая ошибка (40)
https://cabinet.stv.su/
Ошибка подключения к серверу. Возможно, методы шифрования, поддерживаемые сервером, не включены в настройках безопасности.
конфиг я привел к нормальному виду сто касаеться ssl
Код: Выделить всё
acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443 563
acl Safe_ports port 80
acl safe_ports port 443
acl CONNECT method CONNECT
acl our_networks src 192.168.1.0/24
acl our_net2 src 172.16.16.0/24
acl noipnet src 192.168.1.10
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
ipnat -l
Код: Выделить всё
List of active MAP/Redirect filters:
rdr fxp0 0.0.0.0/0 port 80 -> 127.0.0.1 port 3128 tcp
rdr rl0 0.0.0.0/0 port 80 -> 127.0.0.1 port 3128 tcp
rdr fxp0 0.0.0.0/0 port 443 -> 127.0.0.1 port 3128 tcp
squid -v
Код: Выделить всё
Squid Cache: Version 3.1.3
configure options: '--with-default-user=squid' '--bindir=/usr/local/sbin' '--sbindir=/usr/local/sbin' '--datadir=/usr/local/etc/squid' '--libexecdir=/usr/local/libexec/squid' '--localstatedir=/var/squid' '--sysconfdir=/usr/local/etc/squid' '--with-logdir=/var/log/squid' '--with-pidfile=/var/run/squid/squid.pid' '--enable-removal-policies=lru heap' '--disable-linux-netfilter' '--disable-linux-tproxy' '--disable-epoll' '--disable-translation' '--enable-auth=basic digest negotiate ntlm' '--enable-basic-auth-helpers=DB NCSA PAM MSNT SMB squid_radius_auth YP' '--enable-digest-auth-helpers=password' '--enable-external-acl-helpers=ip_user session unix_group wbinfo_group' '--enable-ntlm-auth-helpers=smb_lm' '--enable-negotiate-auth-helpers=squid_kerb_auth' '--enable-storeio=ufs diskd aufs' '--enable-disk-io=AIO Blocking DiskDaemon DiskThreads'
'--enable-ssl'
'--with-openssl=/usr' '--enable-forw-via-db' '--enable-cache-digests' '--enable-wccpv2' '--disable-http-violations' '--enable-ipfw-transparent' '--enable-icap-client' '--enable-kqueue' '--prefix=/usr/local' '--mandir=/usr/local/man' '--infodir=/usr/local/info/' '--build=i386-portbld-freebsd7.2' 'build_alias=i386-portbld-freebsd7.2' 'CC=cc' 'CFLAGS=-O2 -fno-strict-aliasing -pipe -I/usr/include' 'LDFLAGS= -rpath=/usr/lib:/usr/local/lib -L/usr/lib' 'CPPFLAGS=' 'CXX=c++' 'CXXFLAGS=-O2 -fno-strict-aliasing -pipe -I/usr/include' --with-squid=/usr/ports/www/squid31/work/squid-3.1.3 --enable-ltdl-convenience
Re: squid блокировка некоторых ip
Добавлено: 2010-05-23 13:04:59
_Попов
Минусы прозрачного проксирования:
1.
нельзя завернуть HTTPS
2. не будет работать аутентификация
Re: squid блокировка некоторых ip
Добавлено: 2010-05-23 16:23:54
RAGNAR
аутонтификация мне не нужна в моих задачах. а о ssl вопрос снят.