forum.lissyara.su

Добавлено: **2007-12-13 17:16:16**

не понятно немного.. совсем апутался.. вот есть у меня конструкция типа:


acl     all             src             0.0.0.0/0.0.0.0
acl     localhost       src             127.0.0.0/8
acl     sqstat          src             192.168.10.8
acl     our_network     src             192.168.10.0/24
acl     manager         proto           cache_object
acl     DomainUsers     proxy_auth      REQUIRED

http_access     allow   our_network
http_access     deny    all
http_access     allow   DomainUsers
http_access     deny    !Safe_ports
http_access     deny    CONNECT !SSL_ports
deny_info       ERR_ACCESS_DENIED       all
http_access     deny    all

вот. этим конфигом я хотел сделать следующее:
допускать к использованию сквида только сеть 192.168.10.0/24 (http_access allow our_network), если идет обращение из другой сети - тут же блочить (http_access deny all), и далее если все ок, то есть запрос из сетки 192.168.10.0/24, тогда отправлять всех на авторизацию (http_access allow DomainUsers)

и что меня поразило, все работает... то естьстранно, что встретив строку http_access allow our_network, он потом не перешел на http_access deny all и все не заблочил нафиг, не дойдя до авторизации..

два вопроса:
1) как же он конфиг тогда смотрит?
2) как мне разрешить доступ для доменной (домен под samba3 pdc ldap) группы spb и только. чтобы остальные не могли входить?

саму группу задаю так:

Код: Выделить всё

acl     spb             external nt_group spb

а куда мне теперь ее впихнуть? ибо если сделать так:

Код: Выделить всё

http_access     allow   our_network
http_access     deny    all
http_access     allow   DomainUsers
http_access     deny    !Safe_ports
http_access     deny    CONNECT !SSL_ports
http_access     allow   spb
deny_info       ERR_ACCESS_DENIED       all
http_access     deny    all

то все равно пускает даже тех, кто не в spb группе

Добавлено: **2007-12-13 19:06:07**

Код: Выделить всё

acl  spb  external nt_group  spb
http_access allow spb
http_access deny all

Если первая строчка у тебя верна, то будет жить

Добавлено: **2007-12-14 17:47:59**

в этом случе мы выкидываем авторизацию... то есть те, кто не из spb просто идут лесом

нужно же, чтобы сначала проверял:

1) запрос к прокси идет из our_network (192.168.10.0/24), если нет - досвиданияхве
2) авторизовывать юзера или предлагать авотризацию, если доменная не сработала (acl DomainUsers proxy_auth REQUIRED)
3) после этого смотреть: если в группе spb - то работаем, если нет - досвиданияхве

Добавлено: **2007-12-14 19:29:23**

Код: Выделить всё

http_access     allow   our_network spb
http_access     deny    all

Добавлено: **2007-12-14 20:10:07**

fr33man писал(а):
Код: Выделить всё
http_access     allow   our_network spb
http_access     deny    all

в этом случае, авторизация не спрашивается. куда при этом поместить правило:

Код: Выделить всё

acl     DomainUsers     proxy_auth      REQUIRED
http_access     allow   DomainUsers

?

Добавлено: **2007-12-14 22:30:08**

Все просто, если условия в одной строке - логическое "и", в разных - "или"

f0s писал(а):http_access allow our_network spb
http_access deny all

Исходя из этого вторая cтрока не нужна, достаточно завершающей "deny"

Добавлено: **2007-12-15 9:04:56**

Сори, забыл про аутентификацию...

Код: Выделить всё

http_access allow our_network spb DomainUsers
http_access deny  all

forum.lissyara.su

по какому принципе сквид читает конфиг?

по какому принципе сквид читает конфиг?

Re: по какому принципе сквид читает конфиг?

Re: по какому принципе сквид читает конфиг?

Re: по какому принципе сквид читает конфиг?

Re: по какому принципе сквид читает конфиг?

Re: по какому принципе сквид читает конфиг?

Re: по какому принципе сквид читает конфиг?