PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Squid - ACL Problem



freaky|gtnw
17.01.06, 09:33
Hallo,

ich habe eine Problem mit den ACL-Regeln von Squid. Habe jetzt auch schon das Handbuch gewälzt, aber irgendwie komme ich nicht weiter.

Folgende Situation:
-------------------

Ich verbiete mit den ACL's meinen Usern Dateien herunterzuladen mit folgender Regel:



acl group_www_keine_dl_extensions url_regex -i exe$ zip$ rar$

[usw...gekürzt]

Jetzt möchte ich allerdings die Updates vom Virenscanner erlauben, dazu habe ich folgende Regel darunter eingefügt:



acl group_www_keine_dl_virenscanner url_regex -i \(http|ftp\).*symantecliveupdate*\.com$


Der http_access-Teil sieht folgendermaßen aus:


http_access deny userXYZ group_www_keine_dl_extensions
http_access allow userXYZ HTTP http_ports
http_access allow userXYZ CONNECT SSL_ports
http_access allow userXYZ group_www_keine_dl_virenscanner
http_access deny userXYZ all


Ich erhalte leider nach wie vor "Zugriff verweigert" beim Updaten des Virenscanners. (Wenn ich die Dateiendung zip aus der Liste der verbotenen Endungen rausnehme, funktionierts natürlich. Das soll aber weiterhin gesperrt bleiben, nur der Virenscannerupdatedownload soll zugelassen werden.)



1137485829.334 1 1xx.xxx.xxx.xxx TCP_DENIED/403 1596 GET http://liveupdate.symantecliveupdate.com/liveupdate_2.7.39_german_livetri.zip - NONE/- text/html


Kann mir vielleicht irgendjemand damit weiterhelfen?
Danke schonmal!

Gruß,
Marco

drcux
17.01.06, 13:42
http_access allow userXYZ group_www_keine_dl_virenscanner
muß vor dem
http_access deny userXYZ group_www_keine_dl_extensions
stehen, wenn einmal was verboten ist, kann es nicht wieder freigegeben werden, AFAIK

freaky|gtnw
17.01.06, 13:57
Hi !

Danke für deine Antwort.
Hab das gerade mal geändert in:



http_access allow userXYZ group_www_keine_dl_virenscanner
http_access deny userXYZ group_www_keine_dl_extensions
http_access allow userXYZ HTTP http_ports
http_access allow userXYZ CONNECT SSL_ports
http_access deny userXYZ all


Leider funktioniert das auch nicht.
Hat noch jemand irgendeine Idee?

Gruß,
Marco