форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Архивированная нить - только для чтения!  Пред. тема | След. тема
Форумы Настройка Squid и других прокси серверов (Public)
Изначальное сообщение		[Проследить за развитием треда]

"Сквид запускается, но ничего не запрещает"
Сообщение от Lamex (ok) on 21-Июл-04, 16:18  (MSK)
Помогите, плз. Поставлена задача ограничить вход пользователей паролем. Недавно нашёл Squid-2.5, настроил как написано, запустил. Он работает, но ничего никому не запрещает. Говорят, что при запуске он должен писать что-то о запущеных дочерних процессах. Не пишет. В cache.log есть строка "accepting HTTP connections at 0.0.0.0, port 3128 ..." хотя в squid.conf до всех ограничений поставил Http_access deny all. В чём может быть причина?
	Рекомендовать в FAQ | Cообщить модератору | Наверх

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "Сквид запускается, но ничего не запрещает"
Сообщение от VVP (??) on 22-Июл-04, 04:04  (MSK)
так ты к нему коннектишься и он тебе всё разрешает качать?
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	4. "Сквид запускается, но ничего не запрещает"
	Сообщение от Lamex (??) on 22-Июл-04, 08:36  (MSK)
	>так ты к нему коннектишься и он тебе всё разрешает качать? Да. Ну то есть качать я не пробовал, но странички открывает....
		Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "Сквид запускается, но ничего не запрещает"
Сообщение от EvgAnis on 22-Июл-04, 06:57  (MSK)
>Помогите, плз. Поставлена задача ограничить вход пользователей паролем. Недавно нашёл Squid-2.5, настроил >как написано, запустил. Он работает, но ничего никому не запрещает. Говорят, >что при запуске он должен писать что-то о запущеных дочерних процессах. >Не пишет. В cache.log есть строка "accepting HTTP connections at 0.0.0.0, >port 3128 ..." хотя в squid.conf до всех ограничений поставил Http_access >deny all. В чём может быть причина? Это надо ставить после всех ограничений, т.е. Deny all Allow all - значит всем все можно
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	3. "Сквид запускается, но ничего не запрещает"
	Сообщение от Lamex (??) on 22-Июл-04, 08:34  (MSK)
	>Это надо ставить после всех ограничений, т.е. > >Deny all >Allow all > >- значит всем все можно На сколько помню после прочтения инструкций - сквид находит первое правило, удовлетворяющее запросу о коннекте и успокаивается. Поэтому в конце и ставят deny all, а до этого условия. Я не так всё понимаю?
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	5. "Сквид запускается, но ничего не запрещает"
	Сообщение от EvgAnis on 22-Июл-04, 08:50  (MSK)
	> >>Это надо ставить после всех ограничений, т.е. >> >>Deny all >>Allow all >> >>- значит всем все можно > >На сколько помню после прочтения инструкций - сквид находит первое правило, удовлетворяющее >запросу о коннекте и успокаивается. Поэтому в конце и ставят deny >all, а до этого условия. Я не так всё понимаю? Правильно, слушай, ну честно говоря такой проблемы не встречал тогда
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	6. "Сквид запускается, но ничего не запрещает"
	Сообщение от Lamex (??) on 22-Июл-04, 09:20  (MSK)
	>Правильно, слушай, ну честно говоря такой проблемы не встречал тогда ... А сквид должен при запуске что-то писать об этих самых дочерних процессах? Мне б хоть понять что неправильно! Может надо что-то в самом линухе донастроить.... ipchains например... эх... Говорили мне, учи матчасть :)
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	7. "Сквид запускается, но ничего не запрещает"
	Сообщение от EvgAnis on 22-Июл-04, 10:00  (MSK)
	>>Правильно, слушай, ну честно говоря такой проблемы не встречал тогда > >... А сквид должен при запуске что-то писать об этих самых дочерних >процессах? Мне б хоть понять что неправильно! Может надо что-то в >самом линухе донастроить.... ipchains например... эх... Говорили мне, учи матчасть :) > По порядку: 1. Если ты вообще в интернет броузером лезешь, то iptables не запрещает этого (так и должнобыть) 2. Проверяем настройки в броузере, чтобы там прокся указана была, иначе может беспрепятственно через gateway проходить 3. В настройках сквида: ставим конфиг по умолчанию, настраиваем правила, visible_hostname указываем и можем запучкать squid -D в принципе все попробуй сделать так: acl networks src 192.168.0.0/255.255.0.0 http_access allow networks http_access deny all после этого пускать только будет из указанной подсети посмотри в /var/log/squid/access.log чтобы он именно через сквид объекты получал все, проверяй, и пиши результат
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	8. "Сквид запускается, но ничего не запрещает"
	Сообщение от Lamex (??) on 22-Июл-04, 10:50  (MSK)
	>По порядку: >1. Если ты вообще в интернет броузером лезешь, то iptables не запрещает >этого (так и должнобыть) >2. Проверяем настройки в броузере, чтобы там прокся указана была, иначе может >беспрепятственно через gateway проходить >3. В настройках сквида: ставим конфиг по умолчанию, настраиваем правила, visible_hostname указываем >и можем запучкать >squid -D >в принципе все >попробуй сделать так: > >acl networks src 192.168.0.0/255.255.0.0 >http_access allow networks >http_access deny all > >после этого пускать только будет из указанной подсети > >посмотри в /var/log/squid/access.log чтобы он именно через сквид объекты получал > >все, проверяй, и пиши результат БОЛЬШОЕ спасибо!!! Я наконец-то получил надпись Access Denied (Squid-2.5...) Она меня безмерно порадовала, но фишка была не в том. Мне как раз нужно чтоб при ЛЮБЫХ настройках клиентской машины он проходил через сквид. Юзера, они ж таки ... на них нельзя положится - чё-нить изменят и будут безпрепядственно входить в казёный интернет :) Нельзя ли что-нить настроить так, чтоб им жизнь раем не казалась?
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	9. "Сквид запускается, но ничего не запрещает"
	Сообщение от EvgAnis on 22-Июл-04, 10:58  (MSK)
	>>По порядку: >>1. Если ты вообще в интернет броузером лезешь, то iptables не запрещает >>этого (так и должнобыть) >>2. Проверяем настройки в броузере, чтобы там прокся указана была, иначе может >>беспрепятственно через gateway проходить >>3. В настройках сквида: ставим конфиг по умолчанию, настраиваем правила, visible_hostname указываем >>и можем запучкать >>squid -D >>в принципе все >>попробуй сделать так: >> >>acl networks src 192.168.0.0/255.255.0.0 >>http_access allow networks >>http_access deny all >> >>после этого пускать только будет из указанной подсети >> >>посмотри в /var/log/squid/access.log чтобы он именно через сквид объекты получал >> >>все, проверяй, и пиши результат > >БОЛЬШОЕ спасибо!!! Я наконец-то получил надпись Access Denied (Squid-2.5...) Она меня безмерно >порадовала, но фишка была не в том. Мне как раз нужно >чтоб при ЛЮБЫХ настройках клиентской машины он проходил через сквид. Юзера, >они ж таки ... на них нельзя положится - чё-нить изменят >и будут безпрепядственно входить в казёный интернет :) Нельзя ли что-нить >настроить так, чтоб им жизнь раем не казалась? Все очень просто `iptables -A INPUT -s $IP -m mac --mac-source $MAC -p TCP --dport 3128 -j ACCEPT`; получишь на уровне iptables контроль по IP+MAC В принципе юзеры обычно не настолько способные люди чтоб MAC менять можешь еще и привязать MAC  к IP, но это от юзверей зависит
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	10. "Сквид запускается, но ничего не запрещает"
	Сообщение от Lamex (??) on 22-Июл-04, 11:10  (MSK)
	>Все очень просто > >`iptables -A INPUT -s $IP -m mac --mac-source $MAC -p TCP --dport >3128 -j ACCEPT`; > >получишь на уровне iptables контроль по IP+MAC >В принципе юзеры обычно не настолько способные люди чтоб MAC менять > >можешь еще и привязать MAC  к IP, но это от юзверей >зависит Хм... Я не очень в этом силён (надеюсь что пока), но как я понимаю iptables это типа файервол. А у меня ipchains и на Iptables грит Command not found. Как бы с ipchains такое сделать? Есть там REDIRECT, но он только для прозрачных прокси, а прозрачные прокси со Squid не поддерживают аутентфикацию по имени:паролю... Где меня кидают?
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	11. "Сквид запускается, но ничего не запрещает"
	Сообщение от EvgAnis on 22-Июл-04, 11:14  (MSK)
	>>Все очень просто >> >>`iptables -A INPUT -s $IP -m mac --mac-source $MAC -p TCP --dport >>3128 -j ACCEPT`; >> >>получишь на уровне iptables контроль по IP+MAC >>В принципе юзеры обычно не настолько способные люди чтоб MAC менять >> >>можешь еще и привязать MAC  к IP, но это от юзверей >>зависит > > >Хм... Я не очень в этом силён (надеюсь что пока), но как >я понимаю iptables это типа файервол. А у меня ipchains и >на Iptables грит Command not found. Как бы с ipchains такое >сделать? Есть там REDIRECT, но он только для прозрачных прокси, а >прозрачные прокси со Squid не поддерживают аутентфикацию по имени:паролю... Где меня >кидают? Там все примерно также man ipchains Дык если у тя аутентификация, нафига вообще было с этим заморачиваться?
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	12. "Сквид запускается, но ничего не запрещает"
	Сообщение от Lamex (??) on 22-Июл-04, 11:19  (MSK)
	>Дык если у тя аутентификация, нафига вообще было с этим заморачиваться? Последний вопрос я не очень понял... Мне надо шоб юзера со своих машин входили со своими паролями независимо от настроек на этих машинах...
		Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.