Кусок из сквидового конфига: # в этой части определяю имена элементов acl acl localhost src 127.0.0.1/255.255.255.255 acl localnet src 192.168.1.0/255.255.255.0 acl all src 0.0.0.0/0.0.0.0 acl SSL_ports port 443 563 acl Safe_ports port 80 8080 acl CONNECT method CONNECT
# в этой части, соответственно, разрешаю/запрещаю доступ http_access deny CONNECT http_access deny CONNECT SSL_ports http_access deny CONNECT Safe_ports http_access allow localhost http_access allow localnet http_access deny all Если я прав, то при парсинге происходит следуюющее: если разрешено - доступ предоставляется, дальшейний поиск по списку прекращается, тоже самое, если запрещено, доступ запрещается, поиск по списку прекращается. Вопрос: почему доступ с данными настройками разрешён всё-равно (по крайней мере web), за одним исключением - доступ к защищённым страницам. Как эти настройки понимаю я: 1. http_access deny CONNECT - невозможность подключения к любым серверам 2. http_access deny CONNECT SSL_ports - запретить подкючение к 443 и 563 портам (собственно это излишне, так как есть правило 1) 3. http_access deny CONNECT Safe_ports - запретить подключение к портам 80 и 8080 (это правиль так же избыточно) 4. http_access allow localhost - разрешить подключение локальной машине 5. http_access allow localnet - разрешить подключение сети 192.168.1.0/24 6. http_access deny all - запретить подключение всем Поправьте, где не прав. Squid собирал последний 2.6stable16 со следующими опциями: --prefix=/usr/ --sysconfdir=/etc/squid --localstatedir=/var/log/squid --datadir=/usr/share/squid --mandir=/usr/man --enable-default-err-language=Russian-1251 --enable-err-languages=Russian-1251 --enable-storeio="aufs,diskd,null,ufs,coss" --enable-truncate --enable-icmp --enable-htcp --enable-ssl --enable-delay-pools --enable-kill-parent-hack --enable-arp-acl --enable-linux-netfilter --enable-removal-policies="lru,heap" --enable-auth="basic,ntlm,digest,negotiate" --enable-basic-auth-helpers="getpwnam,LDAP,NCSA,PAM,SMB,SASL,DB,MSNT,multi-domain-NTLM,POP3,SASL,YP" --enable-ntlm-auth-helpers="fakeauth,no_check,SMB" --enable-digest-auth-helpers="eDirectory,ldap,password" --enable-external-acl-helpers="ldap_group,unix_group,wbinfo_group,session,ip_user" --with-large-files --disable-ident-lookups Спасибо.
