форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Настройка Squid и других прокси серверов (ACL, блокировки)
Изначальное сообщение		[ Отслеживать ]

"squid принимает ip адрес компьютера за подсеть"	+/–
Сообщение от andrystepa (ok) on 17-Апр-12, 09:42
На шлюзе стоит Russian Fedora REMIX 15.1. Доступ в инет идет через прозрачный прокси Squid. Для предотвращения несанкционированного доступа в инет я сделал список всех ip адресов компьютеров локальной сети, обозвал его true_ip и вписал в конфиг Squid следующее правило: <code> acl TrueIP src "/etc/squid/true_ip" http_access deny !TrueIP </code> Все вроде бы работает, только вот когда проверяешь статус squid, выскакивают странные предупреждения: <code> [root@localhost shorewall]# /etc/init.d/squid status ....... 2012/04/16 17:31:17| WARNING: (B) '169.254.37.192' is a subnetwork of (A) '169.254.37.192' 2012/04/16 17:31:17| WARNING: because of this '169.254.37.192' is ignored to keep splay tree searching predictable 2012/04/16 17:31:17| WARNING: You should probably remove '169.254.37.192' from the ACL named 'TrueIP' 2012/04/16 17:31:17| WARNING: (B) '169.254.37.192' is a subnetwork of (A) '169.254.37.192' 2012/04/16 17:31:17| WARNING: because of this '169.254.37.192' is ignored to keep splay tree searching predictable 2012/04/16 17:31:17| WARNING: You should probably remove '169.254.37.192' from the ACL named 'TrueIP' 2012/04/16 17:31:17| WARNING: (B) '169.254.37.205' is a subnetwork of (A) '169.254.37.205' 2012/04/16 17:31:17| WARNING: because of this '169.254.37.205' is ignored to keep splay tree searching predictable 2012/04/16 17:31:17| WARNING: You should probably remove '169.254.37.205' from the ACL named 'TrueIP' </code> Я не очень понимаю, с какого перепоя Squid считает ip адрес компьютера подсетью? Кто знает, помогите пожалуйста разобраться!
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "squid принимает ip адрес компьютера за подсеть"	+1 +/–
Сообщение от КуКу (ok) on 17-Апр-12, 10:09
Хм, а не раскроете секрет, зачем Вы используете 169.254.37.0 подсеть? з.ы. http://ru.wikipedia.org/wiki/Link-local_address 3-й абзац
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	2. "squid принимает ip адрес компьютера за подсеть"	+/–
	Сообщение от andrystepa (ok) on 17-Апр-12, 10:29
	> Хм, а не раскроете секрет, зачем Вы используете 169.254.37.0 подсеть? > з.ы. http://ru.wikipedia.org/wiki/Link-local_address > 3-й абзац Эта адресация была установлена одним из предыдущих сисадминов. Когда я пришел в компанию она уже была. Менять вручную ip адреса на 54 компьютерах как-то не хотелось. Поэтому оставил как было. За последние 3 года проблем с данной подсетью не испытывал. Да и описание в wikipedia не дает ответ на мой вопрос. Ведь Squid не ругается на все 62 ip адреса - только на 2 из них.
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	3. "squid принимает ip адрес компьютера за подсеть"	+/–
	Сообщение от reader (ok) on 17-Апр-12, 11:01
	> Да и описание в wikipedia > не дает ответ на мой вопрос. Ведь Squid не ругается на > все 62 ip адреса - только на 2 из них. зато должно было натолкнуть на мысль, что граблей с 169.254.0.0/16 можно наловить еще много, но если вы предпочитаете судить только по своим 3 годам, то удачи
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	4. "squid принимает ip адрес компьютера за подсеть"	+1 +/–
	Сообщение от КуКу (ok) on 17-Апр-12, 11:02
	Адресацию все равно советовал бы поменять. ДХЦП-сервер поднять это нетак уж и много времени ответ нашел здесь http://www.squid-cache.org/mail-archive/squid-users/200111/0...
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	5. "squid принимает ip адрес компьютера за подсеть"	+/–
	Сообщение от andrystepa (ok) on 17-Апр-12, 11:40
	> Адресацию все равно советовал бы поменять. > ответ нашел здесь > http://www.squid-cache.org/mail-archive/squid-users/200111/0... Я так понимаю, что это из-за того, что у меня есть 2 списка доступа: <code> acl localnet src 169.254.0.0/16 acl TrueIP src "/etc/squid/true_ip" </code> Т.к. в файле true_ip указаны адреса из той же подсети, что и в списке доступа localnet, то из-за этого squid и пишет предупреждения. Можно, конечно, убрать второй список, а в первом вместо подсети указать файл true_ip, но правильно ли будет так делать?
	Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

	6. "squid принимает ip адрес компьютера за подсеть"	+1 +/–
	Сообщение от КуКу (ok) on 17-Апр-12, 11:53
	> acl localnet src 169.254.0.0/16 > acl TrueIP src "/etc/squid/true_ip" на счет адресации я все равно настаиваю. конечно же хорошо что Вы поняли в чем ошибка, но незная как у Вас раздаются  плюшки(allow,deny), приходится использовать метод "пальцем в небо". Если мне память не изменяет, то еще и играет роль порядок АЦЛ-ов. У меня телепатия развита слабо, так что покажите все ацлы
	Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

	7. "squid принимает ip адрес компьютера за подсеть"	+/–
	Сообщение от andrystepa (ok) on 17-Апр-12, 12:22
	>> acl localnet src 169.254.0.0/16 >> acl TrueIP src "/etc/squid/true_ip" > на счет адресации я все равно настаиваю. > конечно же хорошо что Вы поняли в чем ошибка, но незная как > у Вас раздаются  плюшки(allow,deny), приходится использовать метод "пальцем в небо". > Если мне память не изменяет, то еще и играет роль порядок АЦЛ-ов. > У меня телепатия развита слабо, так что покажите все ацлы Вот все мои ацлы: <code> acl localhost src 127.0.0.1/32 ::1 acl to_localhost dst 127.0.0.0/8 0.0.0.0/32 ::1 acl QUERY urlpath_regex cgi-bin \? cmd dst dk?st.cmd acl localnet src 169.254.0.0/16># RFC1918 possible internal network acl TrueIP src "/etc/squid/true_ip" acl BanUsers src "/etc/squid/BanUsers" acl SSL_ports port 443 acl Safe_ports port 80<><------># http acl Safe_ports port 21<><------># ftp acl Safe_ports port 443><------># https acl Safe_ports port 70<><------># gopher acl Safe_ports port 210><------># wais acl Safe_ports port 1025-65535<># unregistered ports acl Safe_ports port 280><------># http-mgmt acl Safe_ports port 488><------># gss-http acl Safe_ports port 591><------># filemaker acl Safe_ports port 777><------># multiling http acl CONNECT method CONNECT http_access allow manager localhost http_access deny manager http_access deny !Safe_ports http_access deny !TrueIP http_access deny BanUsers http_access deny CONNECT !SSL_ports http_access allow localnet http_access allow localhost icp_access allow all http_access deny all </code>
	Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

	8. "squid принимает ip адрес компьютера за подсеть"	+1 +/–
	Сообщение от reader (ok) on 17-Апр-12, 12:54
	http_access allow manager localhost http_access deny manager http_access deny !Safe_ports http_access deny BanUsers http_access deny CONNECT !SSL_ports http_access allow TrueIP http_access allow localhost icp_access allow all http_access deny all acl localnet удалить если больше ни где не используется
	Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

	9. "squid принимает ip адрес компьютера за подсеть"	+/–
	Сообщение от КуКу (ok) on 17-Апр-12, 13:04
	ну по тому что я вижу это либо не полный список ACL, либо Вам нужно почистить мусор в конфиге. Теперь по делу. Для Вашей задачи можно попробывать сделать чтото вроде этого: http_access allow manager localhost http_access deny manager http_access deny !Safe_ports #http_access deny !TrueIP http_access allow TrueIP http_access deny BanUsers http_access deny CONNECT !SSL_ports #http_access allow localnet http_access allow localhost icp_access allow all http_access deny all в этой части конфига я бы сделал такие изменения(строчки с # или закоментировать, или вообще удлить)
	Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

	10. "squid принимает ip адрес компьютера за подсеть"	+/–
	Сообщение от reader (ok) on 17-Апр-12, 13:21
	>[оверквотинг удален] > #http_access deny !TrueIP > http_access allow TrueIP > http_access deny BanUsers > http_access deny CONNECT !SSL_ports > #http_access allow localnet > http_access allow localhost > icp_access allow all > http_access deny all > в этой части конфига я бы сделал такие изменения(строчки с # или > закоментировать, или вообще удлить) тогда кого внесут в BanUsers , разницы не почувствуют в этой части
	Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

	11. "squid принимает ip адрес компьютера за подсеть"	+/–
	Сообщение от andrystepa (ok) on 17-Апр-12, 13:36
	>[оверквотинг удален] > #http_access deny !TrueIP > http_access allow TrueIP > http_access deny BanUsers > http_access deny CONNECT !SSL_ports > #http_access allow localnet > http_access allow localhost > icp_access allow all > http_access deny all > в этой части конфига я бы сделал такие изменения(строчки с # или > закоментировать, или вообще удлить) Других acl у меня в конфиге нет. Только те, что привел. Добавил в конфиг строку http_access allow TrueIP Закомментировал указанные строки, перезапустил Squid - после команды squid status точно такие же предупреждения. Даже когда я закомментировал строку: acl localhost src 169.254.0.0/16 и перезапустил Squid эти предупреждения не исчезли.
	Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

12. "squid принимает ip адрес компьютера за подсеть"	+/–
Сообщение от Andrey Mitrofanov on 17-Апр-12, 14:14
> 2012/04/16 17:31:17| WARNING: You should probably remove '169.254.37.192' from the > ACL named 'TrueIP' > 2012/04/16 17:31:17| WARNING: You should probably remove '169.254.37.205' from the > ACL named 'TrueIP' > Я не очень понимаю, с какого перепоя Squid считает ip адрес компьютера > подсетью? Его английская есть не очень хороша. Её есть мала-мала сказать проблема тама. > Кто знает, помогите пожалуйста разобраться! Видимо, эти два ip-шника __повторяются__ в файле -- ##>acl TrueIP src "/etc/squid/true_ip"
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	13. "squid принимает ip адрес компьютера за подсеть"	+/–
	Сообщение от andrystepa (ok) on 17-Апр-12, 15:05
	>> 2012/04/16 17:31:17| WARNING: You should probably remove '169.254.37.192' from the >> ACL named 'TrueIP' >> 2012/04/16 17:31:17| WARNING: You should probably remove '169.254.37.205' from the >> ACL named 'TrueIP' >> Я не очень понимаю, с какого перепоя Squid считает ip адрес компьютера >> подсетью? > Его английская есть не очень хороша. Её есть мала-мала сказать проблема тама. >> Кто знает, помогите пожалуйста разобраться! > Видимо, эти два ip-шника __повторяются__ в файле -- > ##>acl TrueIP src "/etc/squid/true_ip" Вот тут Вы абсолютно правы! Спасибо большое, файл довольно большой - вроде все ip по порядку идут, однако когда появлялись новые компьютеры - просто добавлял новый ip в конец списка. Так и получилось что пара ip адресов продублировалась. Спасибо еще раз.
	Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема