Форум русскоязычного сообщества Ubuntu


Хотите сделать посильный вклад в развитие Ubuntu и русскоязычного сообщества?
Помогите нам с документацией!

Автор Тема: В squid работают только встроенные acl  (Прочитано 2323 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн Xbl4

  • Автор темы
  • Новичок
  • *
  • Сообщений: 4
    • Просмотр профиля
Простите недостойного нуба только начал изучение линуха. Проблема в следующем поставил ubuntu server + squid3 + dansguardian всё работает, сайты блокируются. Появилась задача ограничения скорости по ip, но squid полностью забивает на мои acl работают только встроенне (all, lockalhost). Что я делаю не так?
Конфиг:
http_port 127.0.0.1:3128

acl school src 192.168.0.0/24
acl boss src 192.168.0.152/32

acl SSL_ports port 443

acl Safe_ports port 80
acl Safe_ports port 21
acl Safe_ports port 443
acl Safe_ports port 70
acl Safe_ports port 210
acl Safe_ports port 1025-65535
acl Safe_ports port 280
acl Safe_ports port 488
acl Safe_ports port 591
acl Safe_ports port 777

acl CONNECT method CONNECT

http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost manager
http_access deny manager
http_access allow boss
http_access allow school
http_access allow localhost
http_access deny all

cache_mem 1024 MB
maximum_object_size_in_memory 512 KB

cache_dir ufs /var/spool/squid3 2048 16 256

access_log /var/log/squid3/access.log squid
logfile_rotate 31

cache_peer 127.0.0.1 parent 8080 0 no-query no-digest no-netdb-exchange default
cache_peer_access 127.0.0.1 allow all
acl Scan_HTTP proto HTTP
never_direct allow Scan_HTTP

delay_pools 1
delay_class 1 1
delay_access 1 allow boss
delay_access 1 deny all
delay_parameters 1 10000/10000

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13756
    • Просмотр профиля
Re: В squid работают только встроенные acl
« Ответ #1 : 25 Ноября 2015, 09:40:46 »
а рестарт или реконфигуре делали?

Оффлайн Xbl4

  • Автор темы
  • Новичок
  • *
  • Сообщений: 4
    • Просмотр профиля
Re: В squid работают только встроенные acl
« Ответ #2 : 26 Ноября 2015, 05:20:58 »
После каждого изменения в конфиге перезапускал сквида через service да и сервер перезагружал 100500 раз. Смущает то, что acl school и boss можно закоментировать и это не повлияет на работу никак. delay_pools начинают работать если написать delay_access 1 allow all, да и http_access тоже пофигу на мои acl (разрешай или запрещай чего хочеш, не работает). Перестаёт давать доступ всем если закоментировать http_access localhost ну это я думаю естественно. :'(

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13756
    • Просмотр профиля
Re: В squid работают только встроенные acl
« Ответ #3 : 26 Ноября 2015, 10:29:04 »
в логах при старте кальмара нет никаких артефактов? При поппытке доступа из группы acl?
Проверьте, тот ли конфиг используется?
ps aux | grep squid

Оффлайн Xbl4

  • Автор темы
  • Новичок
  • *
  • Сообщений: 4
    • Просмотр профиля
Re: В squid работают только встроенные acl
« Ответ #4 : 26 Ноября 2015, 11:01:58 »
Вот.
root@HolmSchoolServer:/etc/squid3# ps aux | grep squid
proxy     1816  0.0  0.9  45136 19076 ?        Ss   20:13   0:01 /usr/sbin/squi                      3 -N -YC -f /etc/squid3/squid.conf
root      1838  0.0  0.0   4684  1944 pts/1    S+   21:59   0:00 grep --color=au                     to squid
Извиняюсь но я не понял про логи... смотреть access.log ? И что есть артефакты?
« Последнее редактирование: 26 Ноября 2015, 11:12:42 от Xbl4 »

Оффлайн Xbl4

  • Автор темы
  • Новичок
  • *
  • Сообщений: 4
    • Просмотр профиля
Re: В squid работают только встроенные acl
« Ответ #5 : 30 Ноября 2015, 06:57:43 »
Вот содержимое cache.log при старте сквида с подключенным клиентом из acl boss с http_access deny boss. Ни каких проблем с доступом к интернету на клиенте при этом нет, ну кроме того что режется dansguardian+clamAV+Havp.....  :o

2015/11/30 17:09:23| storeDirWriteCleanLogs: Starting...
2015/11/30 17:09:23|   Finished.  Wrote 1219 entries.
2015/11/30 17:09:23|   Took 0.00 seconds (968998.41 entries/sec).
CPU Usage: 0.888 seconds = 0.508 user + 0.380 sys
Maximum Resident Size: 84208 KB
Page faults with physical i/o: 0
Memory usage for squid via mallinfo():
        total space in arena:    6488 KB
        Ordinary blocks:         6326 KB    194 blks
        Small blocks:               0 KB      1 blks
        Holding blocks:         27420 KB      8 blks
        Free Small blocks:          0 KB
        Free Ordinary blocks:     161 KB
        Total in use:           33746 KB 520%
        Total free:               161 KB 2%
2015/11/30 17:09:23| Logfile: closing log stdio:/var/log/squid3/access.log
2015/11/30 17:09:23| Open FD UNSTARTED     5 DNS Socket IPv6
2015/11/30 17:09:23| Open FD READ/WRITE    6 DNS Socket IPv4
2015/11/30 17:09:23| Open FD READ/WRITE   10 Reading next request
2015/11/30 17:09:23| Open FD READ/WRITE   12 http://su.ff.avast.com/R/A24KIDU5YzlmOTNjNzljMTQ0OWM4OGM4YzI3Yz
2015/11/30 17:09:23| Squid Cache (Version 3.3.8): Exiting normally.
2015/11/30 17:10:17| Starting Squid Cache version 3.3.8 for i686-pc-linux-gnu...
2015/11/30 17:10:17| Process ID 1102
2015/11/30 17:10:17| Process Roles: master worker
2015/11/30 17:10:17| With 65536 file descriptors available
2015/11/30 17:10:17| Initializing IP Cache...
2015/11/30 17:10:17| DNS Socket created at [::], FD 5
2015/11/30 17:10:17| DNS Socket created at 0.0.0.0, FD 6
2015/11/30 17:10:17| Adding nameserver 127.0.0.1 from /etc/resolv.conf
2015/11/30 17:10:17| Logfile: opening log /var/log/squid3/access.log
2015/11/30 17:10:17| WARNING: log parameters now start with a module name. Use 'stdio:/var/log/squid3/access.log'
2015/11/30 17:10:18| Unlinkd pipe opened on FD 11
2015/11/30 17:10:18| Local cache digest enabled; rebuild/rewrite every 3600/3600 sec
2015/11/30 17:10:18| Store logging disabled
2015/11/30 17:10:18| Swap maxSize 2097152 + 1048576 KB, estimated 241979 objects
2015/11/30 17:10:18| Target number of buckets: 12098
2015/11/30 17:10:18| Using 16384 Store buckets
2015/11/30 17:10:18| Max Mem  size: 1048576 KB
2015/11/30 17:10:18| Max Swap size: 2097152 KB
2015/11/30 17:10:18| Rebuilding storage in /var/spool/squid3 (clean log)
2015/11/30 17:10:18| Using Least Load store dir selection
2015/11/30 17:10:18| Current Directory is /
2015/11/30 17:10:18| Loaded Icons.
2015/11/30 17:10:18| HTCP Disabled.
2015/11/30 17:10:18| commBind: Cannot bind socket FD 15 to [::1]: (99) Cannot assign requested address
2015/11/30 17:10:18| commBind: Cannot bind socket FD 16 to [::1]: (99) Cannot assign requested address
2015/11/30 17:10:18| ERROR: Failed to create helper child read FD: UDP[::1]
2015/11/30 17:10:18| Configuring Parent 127.0.0.1/8080/0
2015/11/30 17:10:18| Squid plugin modules loaded: 0
2015/11/30 17:10:18| Adaptation support is off.
2015/11/30 17:10:18| Accepting HTTP Socket connections at local=127.0.0.1:3128 remote=[::] FD 14 flags=9
2015/11/30 17:10:18| Done reading /var/spool/squid3 swaplog (1219 entries)
2015/11/30 17:10:18| Finished rebuilding storage from disk.
2015/11/30 17:10:18|      1219 Entries scanned
2015/11/30 17:10:18|         0 Invalid entries.
2015/11/30 17:10:18|         0 With invalid flags.
2015/11/30 17:10:18|      1219 Objects loaded.
2015/11/30 17:10:18|         0 Objects expired.
2015/11/30 17:10:18|         0 Objects cancelled.
2015/11/30 17:10:18|         0 Duplicate URLs purged.
2015/11/30 17:10:18|         0 Swapfile clashes avoided.
2015/11/30 17:10:18|   Took 0.56 seconds (2185.30 objects/sec).
2015/11/30 17:10:18|   Completed Validation Procedure
2015/11/30 17:10:18|   Validated 1219 Entries
2015/11/30 17:10:18|   store_swap_size = 39252.00 KB
2015/11/30 17:10:19| storeLateRelease: released 0 objects


Пожалуйста ткните носом куда рыть а то уже фантазия закончилась...... :'(

Пользователь решил продолжить мысль [time]30 Ноябрь 2015, 08:05:11[/time]:
Вот access.log если нужно....
1448878293.193  18573 127.0.0.1 TCP_MISS/200 1502 GET http://su.ff.avast.com/R/A24KIDU5YzlmOTNjNzljMTQ0OWM4OGM4YzI3YzQ0MTBmNDc2EgQBKREVGHgiAf4qBwgEEKe38DoyCggEEKe38DoYgAo4uZGQU$
1448878413.232 120006 127.0.0.1 TCP_MISS_ABORTED/000 0 GET http://su.ff.avast.com/R/A24KIDU5YzlmOTNjNzljMTQ0OWM4OGM4YzI3YzQ0MTBmNDc2EgQBKREVGHgiAf4qBwgEEOm48DoyCggEEOm48DoYgAo4$
1448878504.743   1351 127.0.0.1 TCP_MISS/200 1242 GET http://su.ff.avast.com/R/A24KIDU5YzlmOTNjNzljMTQ0OWM4OGM4YzI3YzQ0MTBmNDc2EgQBKREVGHgiAf4qBwgEEOm48DoyCggEEOm48DoYgAo4uZGQU$
1448878624.872 120095 127.0.0.1 TCP_MISS_ABORTED/000 0 GET http://su.ff.avast.com/R/A24KIDU5YzlmOTNjNzljMTQ0OWM4OGM4YzI3YzQ0MTBmNDc2EgQBKREVGHgiAf4qBwgEELK68DoyCggEELK68DoYgAo4$
1448878624.902    269 127.0.0.1 TCP_MISS/304 354 GET http://crl.microsoft.com/pki/crl/products/microsoftrootcert.crl - FIRSTUP_PARENT/127.0.0.1 application/pkix-crl
1448878625.168    232 127.0.0.1 TCP_MISS/304 353 GET http://crl.microsoft.com/pki/crl/products/CodeSignPCA2.crl - FIRSTUP_PARENT/127.0.0.1 application/pkix-crl
1448878625.419    215 127.0.0.1 TCP_MISS/304 353 GET http://crl.microsoft.com/pki/crl/products/WinPCA.crl - FIRSTUP_PARENT/127.0.0.1 application/pkix-crl
1448878729.454   1510 127.0.0.1 TCP_MISS/200 522 GET http://su.ff.avast.com/R/A24KIDU5YzlmOTNjNzljMTQ0OWM4OGM4YzI3YzQ0MTBmNDc2EgQBKREVGHgiAf4qBwgEELK68DoyCggEELK68DoYgAo4uZGQUE$
1448878849.544 120057 127.0.0.1 TCP_MISS_ABORTED/000 0 GET http://su.ff.avast.com/R/A24KIDU5YzlmOTNjNzljMTQ0OWM4OGM4YzI3YzQ0MTBmNDc2EgQBKREVGHgiAf4qBwgEEPa78DoyCggEEPa78DoYgAo4$
1448879031.790   1087 127.0.0.1 TCP_MISS/200 538 GET http://su.ff.avast.com/R/A24KIDU5YzlmOTNjNzljMTQ0OWM4OGM4YzI3YzQ0MTBmNDc2EgQBKREVGHgiAf4qBwgEEPa78DoyCggEEPa78DoYgAo4uZGQUE$
1448879151.902 120080 127.0.0.1 TCP_MISS_ABORTED/000 0 GET http://su.ff.avast.com/R/A24KIDU5YzlmOTNjNzljMTQ0OWM4OGM4YzI3YzQ0MTBmNDc2EgQBKREVGHgiAf4qBwgEELS98DoyCggEELS98DoYgAo4$
1448879347.082   1139 127.0.0.1 TCP_MISS/200 1254 GET http://su.ff.avast.com/R/A24KIDU5YzlmOTNjNzljMTQ0OWM4OGM4YzI3YzQ0MTBmNDc2EgQBKREVGHgiAf4qBwgEELS98DoyCggEELS98DoYgAo4uZGQU$
1448879467.172 120055 127.0.0.1 TCP_MISS_ABORTED/000 0 GET http://su.ff.avast.com/R/A24KIDU5YzlmOTNjNzljMTQ0OWM4OGM4YzI3YzQ0MTBmNDc2EgQBKREVGHgiAf4qBwgEEOC_8DoyCggEEOC_8DoYgAo4$
1448879619.053   1856 127.0.0.1 TCP_MISS/200 526 GET http://su.ff.avast.com/R/A24KIDU5YzlmOTNjNzljMTQ0OWM4OGM4YzI3YzQ0MTBmNDc2EgQBKREVGHgiAf4qBwgEEOC_8DoyCggEEOC_8DoYgAo4uZGQUE$
1448879739.147 120066 127.0.0.1 TCP_MISS_ABORTED/000 0 GET http://su.ff.avast.com/R/A24KIDU5YzlmOTNjNzljMTQ0OWM4OGM4YzI3YzQ0MTBmNDc2EgQBKREVGHgiAf4qBwgEEInD8DoyCggEEInD8DoYgAo4$
1448879918.748   1572 127.0.0.1 TCP_MISS/200 1037 GET http://su.ff.avast.com/R/A24KIDU5YzlmOTNjNzljMTQ0OWM4OGM4YzI3YzQ0MTBmNDc2EgQBKREVGHgiAf4qBwgEEInD8DoyCggEEInD8DoYgAo4uZGQU$
1448880038.872 120036 127.0.0.1 TCP_MISS_ABORTED/000 0 GET http://su.ff.avast.com/R/A24KIDU5YzlmOTNjNzljMTQ0OWM4OGM4YzI3YzQ0MTBmNDc2EgQBKREVGHgiAf4qBwgEEM7E8DoyCggEEM7E8DoYgAo4$
1448880297.007 120095 127.0.0.1 TCP_MISS_ABORTED/000 0 GET http://su.ff.avast.com/R/A24KIDU5YzlmOTNjNzljMTQ0OWM4OGM4YzI3YzQ0MTBmNDc2EgQBKREVGHgiAf4qBwgEEM7E8DoyCggEEM7E8DoYgAo4$
1448880427.904     86 127.0.0.1 TCP_REFRESH_MODIFIED/200 1160 GET http://pki.google.com/GIAG2.crl - FIRSTUP_PARENT/127.0.0.1 application/pkix-crl
1448880543.161 120062 127.0.0.1 TCP_MISS_ABORTED/000 0 GET http://su.ff.avast.com/R/A24KIDU5YzlmOTNjNzljMTQ0OWM4OGM4YzI3YzQ0MTBmNDc2EgQBKREVGHgiAf4qBwgEEM7E8DoyCggEEM7E8DoYgAo4$
1448880668.913    744 127.0.0.1 TCP_MISS/200 1535 GET http://su.ff.avast.com/R/A24KIDU5YzlmOTNjNzljMTQ0OWM4OGM4YzI3YzQ0MTBmNDc2EgQBKREVGHgiAf4qBwgEEM7E8DoyCggEEM7E8DoYgAo4uZGQU$
1448880789.044 120102 127.0.0.1 TCP_MISS_ABORTED/000 0 GET http://su.ff.avast.com/R/A24KIDU5YzlmOTNjNzljMTQ0OWM4OGM4YzI3YzQ0MTBmNDc2EgQBKREVGHgiAf4qBwgEELXK8DoyCggEELXK8DoYgAo4$
1448880971.838    726 127.0.0.1 TCP_MISS/200 544 GET http://su.ff.avast.com/R/A24KIDU5YzlmOTNjNzljMTQ0OWM4OGM4YzI3YzQ0MTBmNDc2EgQBKREVGHgiAf4qBwgEELXK8DoyCggEELXK8DoYgAo4uZGQUE$
1448880972.159    293 127.0.0.1 TCP_MISS/200 1230 GET http://su.ff.avast.com/R/A24KIDU5YzlmOTNjNzljMTQ0OWM4OGM4YzI3YzQ0MTBmNDc2EgQBKREVGHgiAf4qBwgEEPrL8DoyCggEEPrL8DoYgAo4uZGQU$
1448881092.291 120101 127.0.0.1 TCP_MISS_ABORTED/000 0 GET http://su.ff.avast.com/R/A24KIDU5YzlmOTNjNzljMTQ0OWM4OGM4YzI3YzQ0MTBmNDc2EgQBKREVGHgiAf4qBwgEEMPN8DoyCggEEMPN8DoYgAo4$
1448881226.843   1482 127.0.0.1 TCP_MISS/200 511 GET http://su.ff.avast.com/R/A24KIDU5YzlmOTNjNzljMTQ0OWM4OGM4YzI3YzQ0MTBmNDc2EgQBKREVGHgiAf4qBwgEEMPN8DoyCggEEMPN8DoYgAo4uZGQUE$
1448881346.932 120056 127.0.0.1 TCP_MISS_ABORTED/000 0 GET http://su.ff.avast.com/R/A24KIDU5YzlmOTNjNzljMTQ0OWM4OGM4YzI3YzQ0MTBmNDc2EgQBKREVGHgiAf4qBwgEEKLP8DoyCggEEKLP8DoYgAo4$
1448881360.219    491 127.0.0.1 TCP_MISS/200 289 POST http://ai.ff.avast.com/F/AP9Zyfk8ecFEnIjIwnxEEPR2 - FIRSTUP_PARENT/127.0.0.1 application/octet-stream


Пользователь решил продолжить мысль 01 Декабря 2015, 06:11:43:
Спасибо всем кто поучаствовал в моём горе ;).
Разобрался.... Всё дело в DG он не передаёт кальмару заголовки с ip.
Помогает включение функции follow_x_forwarded_for в squid'е.
Тема закрыта :coolsmiley:
« Последнее редактирование: 01 Декабря 2015, 06:11:43 от Xbl4 »

 

Страница сгенерирована за 0.031 секунд. Запросов: 25.