Squid Tcp_Deny/403

[m-a-m]

Witam

 

Generalnie konfig działa bez zarzutu ale chciałem dać dostęp poszczególnym podsieciom tylko do określonych stron więc zastosowałem "!" i wtedy zaczęły się problemy

Problem pojawia się gdy w konfigu zmienie dostęp do www z:

http_access deny ban_wuz

na

http_access deny !ban_wuz

Wtedy w logach pojawia się to:

 

192.168.1.101 TCP_DENIED 1423576677.152 1/403 5231 GET http://kropka.onet.pl/_s/kropka/1? - NONE / - text / html

1423576677.181 192.168.1.101 TCP_MISS 147/200 50769 GET http://www.onet.pl/ - DIRECT / 213,180,141,140 text / html
192.168.1.101 TCP_DENIED 1423576677.191 1/403 4398 GET http://www.google-analytics.com/__utm.gif? - NONE / - text / html
1423576677.203 0 192.168.1.101 TCP_DENIED / 403 authorisation.grupaonet.pl:443 CONNECT 3609 - NONE / - text / html
192.168.1.101 TCP_DENIED 1423576677.211 1/403 4738 GET http://kropka.onet.pl/_s/kropka/1? - NONE / - text / html
1423576677.253 91 192.168.1.101 TCP_MISS / 200 61793 GET http://www.onet.pl/ - DIRECT / 213,180,141,140 text / html

 

 

Strony dozwolone pojawiają się ale są popsute. Wyglądają jakby nie ładowały się skrytpy css, js, flash. Widoczny jest sam tekst.

# cat /etc/squid/ban/ban_wuz.txt
http://www.google.pl
http://www.onet.pl
.wp.pl

Przeczytałem  z setkę różnych postów na forum ale nie znalazłem rozwiązania. Może ktoś z was miał z tym do czynienia i poradził sobie.

 

Poniżej zamieszczam mój konfig.

visible_hostname test

acl manager proto cache_object
acl localhost src 127.0.0.1/32 ::1
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32 ::1
acl ban_wuz dstdomain "/etc/squid/ban/ban_wuz.txt"

acl wuz src 192.168.1.0/24

acl SSL_ports port 443
acl Safe_ports port 80 # http
acl Safe_ports port 443 # https

acl CONNECT method CONNECT

http_access allow manager localhost
http_access deny manager

http_access deny !Safe_ports
http_access deny ban_wuz

http_access deny CONNECT !SSL_ports
http_access allow localhost
http_access allow wuz

http_access deny all

http_port 8080
hierarchy_stoplist cgi-bin ?

cache_dir ufs /var/spool/squid 1024 16 256
cache_mem 32 MB
cache_log /var/log/squid/cache.log
cache_swap_low 90
cache_swap_high 95
maximum_object_size 65536 KB
maximum_object_size_in_memory 20 KB

coredump_dir /var/spool/squid

refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern . 0 20% 4320
refresh_pattern -i \.(gif|jpeg|png|html|bmp) 43200 90% 43200

Dodam że bardzo zależy mi na rozwiązaniu tego problemu. Za wszelkie uwagi dziękuje z góry.

 

Pozdrawiam

m-a-m

 

[@sunrise]

Wtedy w logach pojawia się to:

 

192.168.1.101 TCP_DENIED 1423576677.152 1/403 5231 GET http://kropka.onet.pl/_s/kropka/1? - NONE / - text / html

1423576677.181 192.168.1.101 TCP_MISS 147/200 50769 GET http://www.onet.pl/ - DIRECT / 213,180,141,140 text / html

192.168.1.101 TCP_DENIED 1423576677.191 1/403 4398 GET http://www.google-analytics.com/__utm.gif? - NONE / - text / html

1423576677.203 0 192.168.1.101 TCP_DENIED / 403 authorisation.grupaonet.pl:443 CONNECT 3609 - NONE / - text / html

192.168.1.101 TCP_DENIED 1423576677.211 1/403 4738 GET http://kropka.onet.pl/_s/kropka/1? - NONE / - text / html

1423576677.253 91 192.168.1.101 TCP_MISS / 200 61793 GET http://www.onet.pl/ - DIRECT / 213,180,141,140 text / html

 

 

Strony dozwolone pojawiają się ale są popsute. Wyglądają jakby nie ładowały się skrytpy css, js, flash. Widoczny jest sam tekst.

# cat /etc/squid/ban/ban_wuz.txt
http://www.google.pl
http://www.onet.pl
.wp.pl

 

kropka.onet.pl to nie to samo www.onet.pl

[m-a-m]

kropka.onet.pl to nie to samo www.onet.pl

 

Racja. Pozmieniałem na same "kropki" ale efekt jest ten sam. Masz jakieś inne pomysły ? Dlaczego wstawienie "!" generuje takie błędy ? Przecież bez ! normalnie wszystko działa. ! "odwraca" jedynie działanie squida (w moim przypadku) z niedozwolonych na dozwolone. Gdzie szukać przyczny ?

 

ps. dzięki za odpowiedź

 

Pozdrawiam

m-a-m

[m-a-m]

Racja. Pozmieniałem na same "kropki" ale efekt jest ten sam. Masz jakieś inne pomysły ? Dlaczego wstawienie "!" generuje takie błędy ? Przecież bez ! normalnie wszystko działa. ! "odwraca" jedynie działanie squida (w moim przypadku) z niedozwolonych na dozwolone. Gdzie szukać przyczny ?

 

ps. dzięki za odpowiedź

 

Pozdrawiam

m-a-m

drobna aktualizacja...

 

Co ciekawe taka konfiguracja nie działa:

...
acl ban_wuz dstdomain "/etc/squid/ban/ban_wuz.txt"
acl wuz src 192.168.1.0/24
http_access deny !ban_wuz
http_access allow wuz
http_access deny all

# cat /etc/squid/ban/ban_wuz.txt
.google.pl
.onet.pl
.wp.pl

ale ta działa bez problemu:

...
acl ban_wuz dstdomain .google.pl .wp.pl .onet.pl
acl wuz src 192.168.1.0/24
http_access deny !ban_wuz
http_access allow wuz
http_access deny all

Czyli co? Problem z ładowaniem z pliku zewnętrznego ? Składnia? Może mi to ktoś wytłumaczyć ? Nic nie rozumiem...

 

Pozdrawiam

m-a-m

[@sunrise]

Racja. Pozmieniałem na same "kropki" ale efekt jest ten sam. Masz jakieś inne pomysły ? Dlaczego wstawienie "!" generuje takie błędy ? Przecież bez ! normalnie wszystko działa. ! "odwraca" jedynie działanie squida (w moim przypadku) z niedozwolonych na dozwolone. Gdzie szukać przyczny ?

 

Generalnie to w logach, może nie odpowiednie prawa dostępu, właściciel pliku /etc/squid/ban/ban_wuz.txt lub selinux.