[bystander]

2Ak74

Да не нужно им закрывать DNS-запросы, пойми ты наконец. Хрен с ними, пусть резолвят. Главное, чтобы коннекции наружу у них не удавались. Иначе следующий этап твоих вопросов будет - "а они теперь напрямую по IP-адресам ходить начали"

Говорят тебе - конфиг squid'а покажи. Ну, забей то, что конфиденциально, буквами какими там...

[Ak74]

 Мой squid.conf. Squid v. 2.3

http_port 10.0.0.1:3128
http_port xxxx.xxxxxxxx.net.ua:3128

acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY

maximum_object_size 256 KB

ipcache_size 1024
ipcache_low  90
ipcache_high 95

fqdncache_size 1024

cache_dir ufs /var/cache2 512 64 256
cache_access_log /var/log/squid/access.log
cache_log /var/log/squid/cache.log
cache_store_log none
emulate_httpd_log on
mime_table /etc/squid/mime.conf

log_mime_hdrs off
pid_filename /var/run/squid.pid
debug_options ALL,1
log_fqdn off
ftp_user Squid@motor.melitopol.net
cache_dns_program /usr/lib/squid/dnsserver

dns_children 5
pinger_program /usr/lib/squid/pinger

refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern . 0 20% 4320

quick_abort_min 16 KB
quick_abort_max 16 KB
quick_abort_pct 95

negative_ttl 5 minutes
positive_dns_ttl 6 hours
negative_dns_ttl 5 minutes


connect_timeout 120 seconds
dead_peer_timeout 18000 seconds
peer_connect_timeout 3000 seconds
siteselect_timeout 4 seconds
read_timeout 15 minutes
request_timeout 30 seconds

client_lifetime 1 day
half_closed_clients on
pconn_timeout 120 seconds
ident_timeout 10 seconds
shutdown_lifetime 30 seconds

acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl SSL_ports port 443 563
acl Safe_ports port 80 21 443 563 70 210 1025-65535
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT
acl FTPs proto FTP
acl PAGES urlpath_regex \.exe$ \.zip$ \.tar$ \.rar$ \.tgz$ \.mp3$ \.arj$
acl Mynet src "/etc/squid/ip-memz"

acl Sqadmin src xxxxx.xxxxxxxxx.net
acl myPeer src xxxxxx.xxxxxxxxx.net
acl MyServers dstdomain xxxxx.xxxxxxxx.net.ua

http_access allow manager localhost
http_access allow manager Sqadmin
http_access allow Mynet

http_access deny manager all
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

http_access deny all
icp_access allow all
miss_access allow all

acl ident_aware_hosts src 10.0.0.0/255.255.255.224
ident_lookup_access allow ident_aware_hosts
ident_lookup_access deny all

cache_mgr webmaster

cache_effective_user squid
cache_effective_group squid

visible_hostname xxxxx.xxxxxxxx.net.ua
httpd_accel_with_proxy off

append_domain .xxxx.xxxxxxxx.net.ua
log_icp_queries off
cachemgr_passwd FG8tf all
store_avg_object_size 13 KB
store_objects_per_bucket 50
client_db off
query_icmp off

never_direct allow Mynet
strip_query_terms on
coredump_dir /var/log/squid/

always_direct allow all

[Guest 80 247 100]

эээээ.... вот это я не понял.... %о)))

Цитата:

never_direct allow Mynet

это используется если у вас имеется каскад прокси серверов, друг за другом.... причем несколько не так. Например, чтобы вызвать использование прокси-сервера для всех запросов, кроме тех, что, например, находятся в вашем местном домене, и для них определить использование чего-нибудь другого...

Цитата:

always_direct allow all

здесь вы определили запросы, которые должны ВСЕГДА быть отправлены непосредственно to origin servers?? %о)))

Добавлено:

вообщем дело может быть и в этом...

[bystander]

Ну, даже не знаю... Засада какая-то. На первый взгляд, конфиг нормальный - за исключением выше обруганых never_direct и always_direct, которые просто ни к селу, ни к городу. Имхо тут что-то еще. В store.log что на тех запросах, которые не должны пройти? Точно нормальные (2xx-3xx) коды? Просто у меня такое впечатление, что на самом деле NAT в сетке работает. Они убеждаются, что их squid не пускает (откуда и записи в логах), отключают его и прут напрямую, без squid'а.
Вот такая гипотеза.

[Ak74]

Открылась интересная деталь:
только клиенты WinXP с прописанным DNS провайдера могут ходить в интернет, когда им этот выход не разрешен. Более младшие версии Windows в таком случае (с такими же настройками как и в WiтXP) выхода в интернет не получают (проверил на двух разных Win200 WS)!!!

Закоментировал
never_direct allow Mynet
always_direct allow all  и перезапустил сквид - ничего не изменилось.

[mar]

если сеть внутренняя, шлюз с двумя карточками, внутренние адреса вроде 192.168.x.x то почему, как указывалось выше не поднять iptables (ipchains) и не перенапрвлять все запросы на 80 порт через Ваш прокси (3128), все запросы к DNS - к Вашему днс и т.д.
И запустить скрипт по крон, который при  превышения лимита  подымает дополнительные правила - все эти машины вместо 80 порта идут на Ваш какой-то там, на котором видят страничку, что их время истекло (+  дополнительные правила пишутся в дополнительный файл, который читается в случае перезагрузки машины). Ну и скрипт с амнистией с начала месяца

[Ak74]

Возможно, я задаю глупую вопросы, администрированием Linux я начал недавно, еще не все понимаю. Прошу помощи знатоков.

Переустановил я squid. Ушли непонятные комбинации доступа в интернет. Теперь - если на на любом ПК прописать DNS провайдера ( и иногда, шлюз - адрес Linux), то получаем доступ в интернет при запрете в squid (при первой попытке доступа в его логе появляются записи с кодом 403). Означает ли это, что у меня работает NAT?, если да, то как узнать работает ли NAT?

[Professor]

Узнать, работает ли nat легко

cat /proc/sys/net/ip_v4/ip_forward

[Ak74]

Professor
cat /proc/sys/net/ip_v4/ip_forward  вернул   1. А что это значит? Если NAT включен, то как его отключить?

[Guest]

Ak74

Цитата:

cat /proc/sys/net/ip_v4/ip_forward

показывает что у вас просто включен форвардинг пакетов на машине... так что это не совсем то что нужно как показал ув. Professor.
Посмотрите cat /proc/modules на присутствие там строк типа:
iptable_nat
ipt_MASQUERADE
и аналогичных... Примичание для iptables... для ipchains к сожалению не подскажу...
______________________________
by sergleo