squid и интернет в учебных классах

[Adilur]

задача состоит в следующем:
1) Есть локальная сеть преподавателей (отдельная сетевая карта), настроить интернет через непрозрачный прокси. Решил с помощью  IP Based Restriction, создал acl teachers src ......... - работает.
2)Настроить доступ для всей студенческой сети только к серверу тестирования например test.main.edu и запретить доступ ко всем другим сайтам
3) В случае возникновения необходимости включать интернет в отдельном классе.
Вот тут то у меня и возникает затык.
Конфигурация сети такая:
192.168.0.1 - 0.21 Класс 1
22-37 класс 2
38-46 класс 3
47-55 класс 4
56-67 класс 5

пытался создать acl листы для каждого класса на базе IP Based Restriction
пробовал писать
acl aclname src ip-address/mask ...   # clients IP address [fast]
acl aclname src addr1-addr2/mask ...   # range of addresses [fast]
ругается на маски. по второму варианту не нравится ему что тире стоит. Squid 3-й

[fisher74]

маску для диапазона хоть 32-ую выставляете?

Код: [Выделить]

acl class1 src 192.168.0.1-192.168.0.21/32
acl class2 src 192.168.0.22-192.168.0.37/32
acl class3 src 192.168.0.38-192.168.0.46/32
acl class4 src 192.168.0.47-192.168.0.55/32
acl class5 src 192.168.0.56-192.168.0.67/32Пользователь решил продолжить мысль 15 Июня 2013, 23:09:54:и поправьте в названии темы кальмара

[ArcFi]

Маску /32 вообще указывать не обязатльно.

[fisher74]

Согласен. Но раз уж ТС цитирует man...
Кстати, интересно как будет восприняты параметры с маской отличной от 32. Например, 30.

Код: [Выделить]

acl mynet src 192.168.0.0-192.168.0.8/30Какие адреса будут использоваться?
192.168.0.1-192.168.0.11? Или 192.168.0.1-192.168.0.3 и  192.168.0.8-192.168.0.11?

(Нажмите, чтобы показать/скрыть)

ЗЫ. Вспоминается спор с одним из мегаодминов, выделевший мне пул адресов (на память) 10.15.201.128/27 и никак не мог со мной согласиться, что 10.15.201.128 можно использовать как IP-адрес хоста. Тогда каждый остался при своём мнении, но тем не менее хост с таким адресом живёт и успешно работает уже года 4.

[Adilur]

посмотрю\попробую в понедельник, сейчас доступа к конфигам нет

[AnrDaemon]

Вспоминается спор с одним из мегаодминов, выделевший мне пул адресов (на память) 10.15.201.128/27 и никак не мог со мной согласиться, что 10.15.201.128 можно использовать как IP-адрес хоста. Тогда каждый остался при своём мнении, но тем не менее хост с таким адресом живёт и успешно работает уже года 4.

Можно, но не в этом диапазоне.
Пользователь решил продолжить мысль 16 Июня 2013, 17:43:50:

маску для диапазона хоть 32-ую выставляете?

Код: [Выделить]

acl class1 src 192.168.0.1-192.168.0.21/32
acl class2 src 192.168.0.22-192.168.0.37/32
acl class3 src 192.168.0.38-192.168.0.46/32
acl class4 src 192.168.0.47-192.168.0.55/32
acl class5 src 192.168.0.56-192.168.0.67/32Пользователь решил продолжить мысль 15 Июня 2013, 23:09:54:и поправьте в названии темы кальмара

Не надо смешивать IP range и net address в одном правиле - поведение программы будет непредсказуемым.

[fisher74]

Вы проверяли? В man заглядывали? В сети, кстати, есть примеры именно в таком виде.

[Adilur]

c 32-й маской заработало.

описание диапазонов:

Код: [Выделить]

acl TeachersNet src 192.168.1.0/24 # Teacher network grant acess

#2.206 1-16
acl net_2206  src 192.168.0.1-192.168.0.16/32

#2.207 17-28
acl net_2207  src 192.168.0.17-192.168.0.28/32

#2.209 29-36
acl net_2209  src 192.168.0.29-192.168.0.37/32

#2.210 29-36
acl net_2210  src 192.168.0.38-192.168.0.47/32

#2.222 48-57
acl net_2222  src 192.168.0.38-192.168.0.47/32

доступ из студенческой сети к системе тестирования и одному сайту (по умолчанию)
acl StudentsAllowedSites dstdomain .main.kart math.semestr.ru

доступ к прокси и переключение интернет\тестирование сделал вот так:

#Сеть аудитории 2.206 - Тестирование
http_access allow net_2206 StudentsAllowedSites

#Сеть аудитории 2.206 - Интернет
#http_access allow net_2206

т.е если нужно включить переставляю комментарий из интернета в тестирование.

вопрос:
как правильно это делать?
что будет если оба правила будут работать одновременно?