View previous topic :: View next topic |
Author |
Message |
Gitler n00b

Joined: 15 Jun 2004 Posts: 31 Location: Kazan
|
Posted: Fri Mar 07, 2008 7:34 am Post subject: squid acl |
|
|
не мога нормально настроить разделенный доступ в squid.conf имею
список компьютеров которым все разрешено
acl specsPC src 192.168.10.93/32
список заблокированных сайтов
acl BanSites url_regex "/etc/squid/bansites.deny"
группы для delay pools
acl our_selected1 src 192.168.10.224/32
acl our_selected2 src 192.168.10.20/32
acl our_selected3 src 192.168.10.52/32
еще группы для acl
acl our_net1 src 192.168.10.0/24
acl our_net2 src 192.168.13.0/24
http_access allow specsPC
http_access allow specsPC BanSites
http_access deny BanSites
http_access allow our_net1
http_access allow our_net2
но почемуто для specsPC когда ходиш на заблокированные сайты пишет connection rejected
а для остальных access denied
нужно чтобы specsPC имели доступ везде и работали везде
в чем моя ошибка ? |
|
Back to top |
|
 |
zvn Tux's lil' helper

Joined: 13 Jul 2007 Posts: 77
|
Posted: Fri Mar 07, 2008 10:14 am Post subject: |
|
|
всё же просто.
если для хоста разрешающее правило последовательно найдено, дальше проверка не делается
запрещающее правило действует раньше всех разрешающих
http_access allow specPS BanSites - т.е. на этом остановимся для src=specPS, если читаем с BanSites и конец проверок, для остальных src идем дальше
http_access deny BanSites - запретим в случае остальных src, пытающихся читать с BanSites, для url кроме BanSites идём дальше
http_access allow specPS - если src=specPS и читаем кроме BanSites, то конец проверок, для остальных src идём дальше
http_access allow our_net1 - разрешим остальным src
http_access allow our_net2
опробовано на аналогии: с localhost ходит на gentoo.org и sf.net, с 172.16.108.0/24 - не ходит на gentoo.org, но ходит на sf.net
acl all src 0.0.0.0/0.0.0.0
acl lh src 127.0.0.1
acl vmnet1 src 172.16.108.0/255.255.255.0
acl gentoo url_regex gentoo
http_access allow lh gentoo
http_access deny gentoo
http_access allow lh
http_access allow vmnet1
http_access deny all |
|
Back to top |
|
 |
Gitler n00b

Joined: 15 Jun 2004 Posts: 31 Location: Kazan
|
Posted: Sat Mar 08, 2008 12:09 pm Post subject: |
|
|
но почемуто для specsPC когда ходиш на заблокированные сайты пишет connection rejected
а для остальных access denied
хотя в access.log пишет типа соединяеться если specPC или denied если другие
не могу данной проблемы понять |
|
Back to top |
|
 |
|