Доступ к сайту на полной скорости, Squid
Tigroed 8 апреля, 2009 - 12:32
Собсна, вопрос:
стоит Squid, настроены пулы, народом я давно проклят :)
но есть отдельные сайты, доступ к которым нужно предоставить на полной скорости.
любому клиенту моего sqiud-а.
Как??
»
- Для комментирования войдите или зарегистрируйтесь
.
Наверное, посредством
acl'ов... :):wq
--
Live free or die
логично :) ещё будут мысли?
логично :)
ещё будут мысли?
This dole crowner gallows me
Можно конечно сесть, подумать
Можно конечно сесть, подумать и придумать велосипед, но зачем?
Решения лучше, проще и надежнее не найти.
да я не спорю, пример
да я не спорю, пример приведите плизъ :)
вообще в башку ничего путного не идёт
This dole crowner gallows me
.
А ты приведи использованные
acl'ы, и там уже подскажем что нужно сделать, чтобы открыть избранные направления.:wq
--
Live free or die
блин, ну какой смысл всё сюда
блин, ну какой смысл всё сюда писать?
я так понимаю, что нужно сделать типа acl Max_Speed dstdomain .com
, добавить один пул и сделать этот акл первым пулом с соотв. описанием класса и параметров?
This dole crowner gallows me
Всё --- избыточно, но как-то
Всё --- избыточно, но как-то описать структуру таки следовало бы.
ЗЫ: Зачем спрашивал, если сам знаешь ответ? :)
:wq
--
Live free or die
блин, ну прям поболтать уже
блин, ну прям поболтать уже нельзя :)
сидишь тут целыми днями в кабинете один...
лан, попробую. пасиб :)
This dole crowner gallows me
Дык я ж без претензий :)
Ибо сам такой: временами на второстепенных задачи напрягать мозг лень, а как включишь --- так и решение находится ;)
:wq
--
Live free or die
ну прям поболтать уже нельзя
xmpp:gentoo@conference.gentoo.ru
У меня реально подобная
У меня реально подобная проблема и мне не ради олбщения, помогите:
Есть несколько АЦЛей - банлистов. 2 из них - списки с сайтами, 1 - список рег. выражений. LAN - это наша сеть за натом.
первое и единственное правило:
http access allow LAN !banlist1 !banlist2 !banlist3
http access deny all
Таким образом режется все гумно во всем интернете, и по словам sex, adult и т.д. тоже.
Но есть сайты типа e1.ru которые нам нужны без всяких обрезалок. сделал так:
acl whitelist dstdomain e1.ru --- в разделе обьявления aclей
потом
http access allow LAN whitelist
http access allow LAN !banlist1 !banlist2 !banlist3
http access deny all
И не канает! Все равно все режется на этом сайте. Как сделать то, уже измучался весь. Вот как еще делал:
http access allow LAN whitelist
http access deny LAN banlist1 banlist2 banlist3
http access deny all
и так...
http access allow LAN whitelist !banlist1 !banlist2 !banlist3
http access deny all
и еще как то...
то что в 1вой строчке типа должно быть приоритетней - не канает почему то... пошел маны читать, но если кто помнит - подскажите.
.
И порнослоников режешь? :)))
Ты символ подчёркивания в директиве http_access не потерял?
Разве?
Насколько я помню руководство сквида, порядок пох.
ACL'ы в строке с
http_accessсвязываются логическим "И".Сами строки
http_access--- логическим "ИЛИ".С учётом сего сокровенного знания перечитываем твою конструкцию, и что видим?
Правильно, видим, что обращение к whitelisted-домену попадает под оба правила. С учётом последовательности и реалий логических операций в расход идёт по второму (туда ему и дорога).
Модифицировав второе правило к виду:
http access allow LAN !banlist1 !banlist2 !banlist3 !whitelistedты должен получить желаемый результат.Где-то так :)
:wq
--
Live free or die
1) Ну и что это такое?
1) Ну и что это такое? забанили раз, забанили двас, и забанили белый_лист. Может белый_лист без "!" надо писать все таки?
2) Порядок важен. Если я напишу в начале deny, а потом allow, то естесвенно сработает deny. Когда то настраивал несколько acl там точно все сети были подчинены порядку.
3) писал по памяти а не копипастил со шлюза, так что не надо искать ошибки в синтаксисе, я описал структуру, банлисты у меня тоже по другому названы ;)
4) Хоть я и дома, но многие еще работают, через часик-другой полезу на шлюз, а затем с виндового компа в офисе проверю как что работает, так что пишите варианты ваши. Сам пошел гуглить...
Все сделал. Надо для
Все сделал. Надо для whitelist было задать метод url_regex тогда канает на весь сайт...
Я же говоорю, что не надобыло прогуливать лекции...
В переводе сие гласит:
Забанили по первому набору правил, забанили по второму набору правил, и запретили применять данное правило к белому списку.
Acl'ы разные бывают...
Принцип обработки acl'ов squid'а я описал. Да ты и сам, если бы приложил чуток бОльше внимания понял бы, что смысла в запрещающем правиле при наличии ниже разрешающего --- не то, чтобы много (за деталями надо изти на физический уровень, мне туда лень).
:wq
--
Live free or die
acl whitelist url_regex
acl whitelist url_regex "/etc/squid/whitelist"
http_access allow LAN whitelist !media
http_access deny LAN blacklist ad social_networks reklama bigban media
Пока так. Щас попробую в одну строку засунуть...
... прошло 2 минуты:
http_access deny LAN !whitelist blacklist ad social_networks reklama bigban media
вот так точно не канает
Мой сегодняшний вывод - в одну строку это не засунуть. Хотя может я и не прав. Да и в 2 строки более читаемо. Сюда разрешили, туда запретили...
а генту так и не скомпилилась по emerge -e world... lmsensors не нашел конфиги ядра, и я действмтельно стирал сорс код ядра, вот я обломался то... то из-за elinks (просто тупо compilation error), то из за lm_sensors, то из-за замаскированной sakurы... компилим снова...
.
Кто бы сомневался.
Я кому говорил про логику обработки acl'ов в разрешающих правилах?..
:wq
--
Live free or die
Да наверное самому себе
Да наверное самому себе напоминал, я потому что и так это понимаю. И ответа ты мне нормального не дал. Гонор один. или Гемор...
В итоге на работе седня элиту в отдельную группу засунул, и с порядком acl разобрался.
.
Чего только люди не делают, чтобы оправдать себя (хотя бы в своих глазах)...
Наиболее отчётливо это "понимание" видно по полноте представляемых секций разрешающих правил.
:wq
--
Live free or die