forum.lissyara.su

Пока противник рисует карты наступления, мы меняем ландшафты, причём вручную
https://forum.lissyara.su/

squid 2.7 acl

https://forum.lissyara.su/viewtopic.php?f=8&t=20211

Страница 1 из 1

squid 2.7 acl

Добавлено: 2009-09-02 12:10:33
doker
есть асл вида

Код: Выделить всё

acl magent src 94.100.0.0/16

#начало секции http_access :

http_reply_access       deny    audio_t !safe_list_user
http_reply_access       deny    video_t !safe_list_user
#http_reply_access       deny    stop_files !safe_list_user

##########magent
http_access deny CONNECT magent
в логах вижу

Код: Выделить всё

1251874512.009      0 10.0.22.22 TCP_DENIED/407 1701 CONNECT 94.100.178.25:2042 - NONE/- text/html
1251874512.013      0 10.0.22.22 TCP_DENIED/407 1698 CONNECT 94.100.178.25:443 - NONE/- text/html
1251874512.016      0 10.0.22.22 TCP_DENIED/407 1695 CONNECT 94.100.178.25:80 - NONE/- text/html
1251874512.019      0 10.0.22.22 TCP_DENIED/407 1701 CONNECT 94.100.178.25:5190 - NONE/- text/html
1251874512.021      0 10.0.22.22 TCP_DENIED/407 1701 CONNECT 94.100.178.25:1863 - NONE/- text/html
1251874512.025      0 10.0.22.22 TCP_DENIED/407 1695 CONNECT 94.100.178.25:25 - NONE/- text/html
1251874512.029      0 10.0.22.22 TCP_DENIED/407 1698 CONNECT 94.100.178.25:110 - NONE/- text/html

а в тоже время 
1251874975.427    164 10.0.11.26 TCP_MISS/200 57 CONNECT 94.100.178.28:443 mazzy DIRECT/94.100.178.28 -
1251874975.899    157 10.0.11.26 TCP_MISS/200 375 CONNECT 94.100.189.59:443 mazzy DIRECT/94.100.189.59 -
1251874976.134    160 10.0.11.26 TCP_MISS/200 262 CONNECT 94.100.179.158:443 mazzy DIRECT/94.100.179.158 -
1251874976.171    155 10.0.11.26 TCP_MISS/200 372 CONNECT 94.100.182.73:443 mazzy DIRECT/94.100.182.73 -
1251874976.385    161 10.0.11.26 TCP_MISS/200 1938 CONNECT 94.100.189.32:443 mazzy DIRECT/94.100.189.32 -
1251874977.447   1268 10.0.11.26 TCP_MISS/200 13625 CONNECT 94.100.182.73:443 mazzy DIRECT/94.100.182.73 -
тоесть можно предположить что неавторизованных рубит а авторизованных пускает, непонятно почему, ведь запрещающий асл стоит раньше чем тот каторый разрешает (разрешает самс)
вопрос в том, как лучше построить запрет , чтобы он запрещал для пользователей в ACL-localnet доступ к acl-CONNECT для хостов в ACL-magent?

Re: squid 2.7 acl

Добавлено: 2009-09-02 13:20:35
snorlov
Обратите внимание, пускает по 443 порту(SSL), я думаю вы привели не все правила....

Re: squid 2.7 acl

Добавлено: 2009-09-02 13:35:59
doker
но в тоже время неавторизированных непускает по томуже порту !!
я привел все правила от начала до интересующего
Часовой пояс: UTC+03:00
Страница 1 из 1
Powered by phpBB® Forum Software © phpBB Limited
https://www.phpbb.com/