Portál AbcLinuxu, 29. července 2025 00:46


Dotaz: squid acl poradi prikazu

15.5.2010 17:08 sranda_zitra
squid acl poradi prikazu
Přečteno: 302×
Odpovědět | Admin
Dobry den,

Hraju si s access listama ve squidu. Nejde mi na rozum jedna vec. A sice: pokud jsem spravne prelouskal komentare ve squid.conf, tak squid projede ACL zaznamy a az najde prvni pasujici, pouzije pravidlo - aplikuje ho a dal nepokracuje. Co ale chapat pod pojmem "pasujici pravidlo"? Cilovy port? Cilova IP? Zdrojova IP? ...co vsechno se musi shodovat? priklad(kus konfiguraku): 

#Recommended minimum configuration:
#
# Only allow cachemgr access from localhost
http_access allow manager localhost
http_access deny manager
# Only allow purge requests from localhost
http_access allow purge localhost
http_access deny purge
# Deny requests to unknown ports
http_access deny !Safe_ports
# Deny CONNECT to other than SSL ports
http_access deny CONNECT !SSL_ports

#...komentare

http_access deny badsites
http_access allow localnet
http_access allow localhost
v badsites je jak jiste tusite nekolik URL ktere chci zakazat. Clovek z localnetu chce pristoupit na jednu z techto badsites. Pokud jsou pravidla usporadana jak je uvedeno vyse, je pokus o komunikaci neuspesny. Pokud to pozmenim na: 
http_access allow localnet
http_access allow localhost
http_access deny badsites
Tak uz to projde. Tusim, ze to najde shodu(shodu ve zdrojove IP) v pravidle localnet a dal to nejde. Tim padem komunikace projde. Na druhou stranu kdyz je badsites na prvnim miste z tech tri, tak to neprojde (ackoliv uz to naslo shodu v Safe_ports). Rad bych se zeptal jestli se jedna o chybu ci vlastnost. Predem diky..

Řešení dotazu:

Nástroje: Začni sledovat (0) ?Zašle upozornění na váš email při vložení nového komentáře.

Odpovědi

15.5.2010 17:22 Filip Jirsák | skóre: 68 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: squid acl poradi prikazu
Odpovědět | | Sbalit | Link | Blokovat | Admin
Vyhodnocuje se vždy jen to, co je u daného pravidla nastaveno. Tzn. pokud je tam nastavena jen cílová adresa, porovnává se jen ta – pokud se shoduje, pravidlo se uplatní a vyhodnocení skončí, pokud se neshoduje, pokračuje se dalším pravidlem. Pokud se neuplatní žádné pravidlo, platí opak toho (access/deny), co bylo v posledním pravidle.

Pravidlo http_access deny !Safe_ports je s vykřičníkem, který znamená negaci – tj. pokud cílový port nepatří do skupiny povolených portů, komunikace se zakáže, jinak se pokračuje dalším pravidlem.
15.5.2010 17:53 sranda_zitra
Rozbalit Rozbalit vše Re: squid acl poradi prikazu
Diky za reakci. Takze pokud chapu spravne, tak nejlepsi postup je nekam na zacatek seznamu prikazu napsat 
http_access deny acl1,acl2,acl3,...,aclX
a pokud se cast paketu bude shodovat s nejakym ACL tak bude zahozen.

No a http_access deny all na konci jisti celkovy vysledek rozhodnuti o osudu daneho paketu.

Preji pekny den
15.5.2010 18:02 Filip Jirsák | skóre: 68 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: squid acl poradi prikazu
Takhle to nepůjde, musíte uvést každé pravidlo na nový řádek. Pokud je víc pravidel na jendom řádku, musí být splněna všechna současně (je mezi nimi logické AND).

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.