| Предыдущая тема :: Следующая тема |
| Автор |
Сообщение |
TechNoir
Зарегистрирован: 22.08.2003
Сообщения: 1632
Откуда: Moscou
|
 Добавлено: Вт Янв 13 2004 10:37 Заголовок сообщения: Про SQUID! |
 |
|
Если в начале правил стоит http_access allow all, то это означает что разрешен доступ абсолютно всем клиентам по всем портам на все IP.
Или, доступ на конкретные порты нужно указать ручками?
Или, доступ на конкретные IP нужно указать ручками?
Путь проверки такой: Прежде чем отправить пакет прокси-сервер пройдясь один раз по всем правилам проверяет адрес исходящий, затем начинает заново проходить правила, проверяя адрес назначения, затем заново проходит по правилам, проверяя доступ по конкретным портам.
Мне так кажется.
Какова на самом деле технология прохода по правилам?
_________________
Vive la Russie! |
|
| Вернуться к началу |
|
 |
test13
Зарегистрирован: 09.01.2004
Сообщения: 43
|
|
| Вернуться к началу |
|
|
Dmitry.Karpov
Зарегистрирован: 30.11.2003
Сообщения: 415
Откуда: Moscow
|
| Добавлено: Вт Янв 13 2004 14:38 Заголовок сообщения: Re: Про SQUID! |
|
|
Набор правил просматривается один раз на каждый запрос (а не пакет). В каждом правиле проверяется то, что в нём написано - порт, IP-номер или что там будет. Первоее же правило, которому удовлетворяет запрос, срабатывает - выполняется написанное в нём действие (allow или deny) и просмотр списка правил прекращается.
Поэтому если есть некое правило с иключениями типа "запретить доступ к порнухе всем, кроме начальника", то сначала пишут исключение "allow порнуха начальник", а потом основное правило "deny порнуха" (хотя в данном случае можно короче: "deny порнуха !начальник").
Нормальный список правил таков:
стандартные правила, встроенные в Squid;
собственные правила;
"deny all".
В собственных правилах в простейших случаях чаще всего разрешается доступ по IP-номерам своих машин.
Подробности: http://prof.pi2.ru/techsupp/fbsdinst/squid.htm
_________________
Благословен Бог, сотворивший меня сисадмином!
Последний раз редактировалось: Dmitry.Karpov (Ср Янв 14 2004 16:41), всего редактировалось 1 раз |
|
| Вернуться к началу |
|
|
test13
Зарегистрирован: 09.01.2004
Сообщения: 43
|
| Добавлено: Вт Янв 13 2004 14:40 Заголовок сообщения: Re: Про SQUID! |
|
|
| Dmitry.Karpov писал(а): | | В собственных правилах в простейших случаях чаще всего разрешается доступ по IP-номерам своих машин. |
Если можно конфиг на test13@fartran.ru отправь. |
|
| Вернуться к началу |
|
|
TechNoir
Зарегистрирован: 22.08.2003
Сообщения: 1632
Откуда: Moscou
|
| Добавлено: Вт Янв 13 2004 18:24 Заголовок сообщения: |
|
|
Делаю так:
Создаю отдельные acl-ы.
Отдельные для портов и отдельные для src.
Потом комбинирую вот так:
http_access allow aclname_src aclname_port.
Все так делают ? 
_________________
Vive la Russie! |
|
| Вернуться к началу |
|
|
Dmitry.Karpov
Зарегистрирован: 30.11.2003
Сообщения: 415
Откуда: Moscow
|
| Добавлено: Вт Янв 13 2004 20:10 Заголовок сообщения: |
|
|
Не могу понять, как удалить это сообщение.
Последний раз редактировалось: Dmitry.Karpov (Ср Янв 14 2004 16:45), всего редактировалось 1 раз |
|
| Вернуться к началу |
|
|
TechNoir
Зарегистрирован: 22.08.2003
Сообщения: 1632
Откуда: Moscou
|
| Добавлено: Ср Янв 14 2004 16:04 Заголовок сообщения: |
|
|
Спасибо большое!
Рубится очень много.
Однако...
Появляются новые сайты.
Придется смотреть за обновлениями?
Да ?
Панацеи не существует?
_________________
Vive la Russie! |
|
| Вернуться к началу |
|
|
Dmitry.Karpov
Зарегистрирован: 30.11.2003
Сообщения: 415
Откуда: Moscow
|
| Добавлено: Ср Янв 14 2004 16:47 Заголовок сообщения: |
|
|
Хочу обратить внимание на pornoregex - оно тоже неплохо работает. А вообще-то, конечно, приходится отслеживать...
_________________
Благословен Бог, сотворивший меня сисадмином! |
|
| Вернуться к началу |
|
|
TechNoir
Зарегистрирован: 22.08.2003
Сообщения: 1632
Откуда: Moscou
|
| Добавлено: Пн Янв 19 2004 18:58 Заголовок сообщения: |
|
|
Не могу понять почему так происходит:
Запрещена скачка файлов с расширением avi.
Делается это SQUID'ом вот так:
acl multimedia urlpath_regex -i \.avi$
http_access deny client multimedia
http_access allow client
Например знаю точно ссылку http://tralala/lalala.avi
Набираю ее в браузере. Выдается сообщение > Мол доступ запрещен.
Тут же в браузере в веденной строке меняю расширение avi на любое другое и фильм становится возможным скачать. Скачается он естественно с заданным мною расширением. Затем я его переименую и буду юзать. НО ПОЧЕМУ ЭТО ВОЗМОЖНО?Почему запрос принимается? Ведь такого файла с таким расширением не существует?
_________________
Vive la Russie! |
|
| Вернуться к началу |
|
|
Dmitry.Karpov
Зарегистрирован: 30.11.2003
Сообщения: 415
Откуда: Moscow
|
| Добавлено: Пн Янв 19 2004 20:31 Заголовок сообщения: |
|
|
Возможно, тот сервер настроен на такую обработку запросов к несуществующим файлам - ищет наиболее подходящий и выдаёт его. А что за сервер-то? И действует ли то же самое на др.серверах?
_________________
Благословен Бог, сотворивший меня сисадмином! |
|
| Вернуться к началу |
|
|
L.I.S.
Зарегистрирован: 09.11.2002
Сообщения: 167
Откуда: none
|
| Добавлено: Вт Янв 20 2004 23:10 Заголовок сообщения: |
|
|
| Поскольку тема "Про SQUID" вот такой вопросик. Использую его дома, когда лазию в Инете. Цель - кэширование. Но вот вопрос: как узнать кэширует ли это Мозилла или Сквид? |
|
| Вернуться к началу |
|
|
Dmitry.Karpov
Зарегистрирован: 30.11.2003
Сообщения: 415
Откуда: Moscow
|
| Добавлено: Ср Янв 21 2004 00:05 Заголовок сообщения: |
|
|
Думаю, что кэшируют оба. Проверь содержимое кэша - можнно ручками (по датам файлов), можно утилитами управления Squid'ом и запросами "about:..." в Мозиллу.
_________________
Благословен Бог, сотворивший меня сисадмином! |
|
| Вернуться к началу |
|
|
TechNoir
Зарегистрирован: 22.08.2003
Сообщения: 1632
Откуда: Moscou
|
| Добавлено: Вс Мар 14 2004 19:58 Заголовок сообщения: |
|
|
Я спрашивал тут как-то, а теперь ответ найти не могу
Спрошу еще раз:
Есть у Сквида лог файл access.log, так вот не могу там найти время каждого запроса. Подкажете?
_________________
Vive la Russie! |
|
| Вернуться к началу |
|
|
Dmitry.Karpov
Зарегистрирован: 30.11.2003
Сообщения: 415
Откуда: Moscow
|
| Добавлено: Вт Мар 16 2004 00:55 Заголовок сообщения: |
|
|
| TechNoir писал(а): | | Есть у Сквида лог файл access.log, так вот не могу там найти время каждого запроса. |
Оно там то ли в секундах, то ли в долях секунды от начала эпохи (кажется, эпоха началась в 1978 году). А 'man squid' не помогает?
_________________
Благословен Бог, сотворивший меня сисадмином! |
|
| Вернуться к началу |
|
|
crash
Зарегистрирован: 02.11.2001
Сообщения: 1836
Откуда: Бердск
|
| Добавлено: Вт Мар 16 2004 06:12 Заголовок сообщения: |
|
|
[quote="Dmitry.Karpov"] | TechNoir писал(а): | | (кажется, эпоха началась в 1978 году). |
эпоха началась 1 января 1970 года))) (за месяц не уверен, а вот год точно 1970.) |
|
| Вернуться к началу |
|
|
Alexey_LH
Зарегистрирован: 24.03.2004
Сообщения: 2
|
| Добавлено: Ср Мар 24 2004 10:31 Заголовок сообщения: |
|
|
| TechNoir писал(а): | Я спрашивал тут как-то, а теперь ответ найти не могу
Спрошу еще раз:
Есть у Сквида лог файл access.log, так вот не могу там найти время каждого запроса. Подкажете? |
Используй sarg |
|
| Вернуться к началу |
|
|
and3008
Зарегистрирован: 12.10.2001
Сообщения: 14893
Откуда: Н.Новгород
|
| Добавлено: Ср Мар 24 2004 13:56 Заголовок сообщения: |
|
|
Не надо путать кислое с пресным.
Нужнов человеческое время в access.log -пожалуйста.
Файл squid.conf
Параметр emulate_httpd_log установить в on
sarg - это анализатор логов squid-а. Неплохой, кстати, анализатор.
Только вот для больших кэш-серверов абсолютно не годится. |
|
| Вернуться к началу |
|
|
gooamoko
Зарегистрирован: 26.12.2003
Сообщения: 98
|
| Добавлено: Пн Мар 29 2004 06:58 Заголовок сообщения: |
|
|
Время в файле указано числом секунд от 1 января 1970 года. Чтобы не путаться, предлагаю скачать с одного из сайтов FAQ по сквид. Я себе качнул, теперь многое по файлам прояснилось.
_________________
Что один сделал, другой завсегда сломать сможет |
|
| Вернуться к началу |
|
|
TechNoir
Зарегистрирован: 22.08.2003
Сообщения: 1632
Откуда: Moscou
|
| Добавлено: Чт Янв 13 2005 21:08 Заголовок сообщения: |
|
|
| and3008 писал(а): | Нужнов человеческое время в access.log -пожалуйста.
Файл squid.conf
Параметр emulate_httpd_log установить в on
|
Жаль что в накопившемся до этого лог-файле всеравно остается все как было 
_________________
Vive la Russie! |
|
| Вернуться к началу |
|
|
and3008
Зарегистрирован: 12.10.2001
Сообщения: 14893
Откуда: Н.Новгород
|
| Добавлено: Чт Янв 13 2005 22:58 Заголовок сообщения: |
|
|
А через перлятный скрипт слабо пропустить?
Дело-то плевое.
Считать строку.
Взять первые N-байт, преобразовать в Дату.
Записать в новый файл. |
|
| Вернуться к началу |
|
|
TechNoir
Зарегистрирован: 22.08.2003
Сообщения: 1632
Откуда: Moscou
|
| Добавлено: Чт Янв 13 2005 23:43 Заголовок сообщения: |
|
|
Думаешь получится?
_________________
Vive la Russie! |
|
| Вернуться к началу |
|
|
and3008
Зарегистрирован: 12.10.2001
Сообщения: 14893
Откуда: Н.Новгород
|
| Добавлено: Пт Янв 14 2005 03:08 Заголовок сообщения: |
|
|
Думаю, что если взяться, то можно сделать.
А можно и забить на это дело. Через 4 недели все равно само затрется (значение по умолчанию). |
|
| Вернуться к началу |
|
|
|
FAQ 
Поиск 
Пользователи 
Группы
Регистрация
Профиль 
Войти и проверить личные сообщения 
Вход 
