Squid - ich will nur eine IP erlauben

[anselmoso]

Moin zusammen,

ich möchte auf meinem VServer (Debian 3.1, aktuelle Updates installiert) einen Squid aufsetzen, der nur eine einzige IP "allowed". Ich bin also her gegangen und hab folgendes gemacht:

- cd /etc/squid
- mv squid.conf squid.conf.orig
- vim squid.conf

In dieser neuen squid.conf steht nur(!) das hier:

acl all src 0.0.0.0/0.0.0.0
acl mypc src xxx.x.x.x
http_access allow mypc
http_access deny all



Leider funkt das aber nicht. Wenn ich dann nämlich den Proxy in meinem Webbrowser einrichte und eine Webseite aufrufen will, kommt die Meldung:

Access Denied.

Access control configuration prevents your request from being allowed at this time. Please contact your service provider if you feel this is incorrect.

Generated Fri, 22 Feb 2008 07:39:01 GMT by <myserver> (squid/2.5.STABLE9)

Das lustige ist: Selbst wenn ich "http_access allow all" eintrage, kommt diese Meldung. Der Squid lässt also aus irgendeinem Grund niemand auf ihn drauf....


Könnt ihr mir weiterhelfen?

[zyrusthc]

Hast Du squid auch restartet ?

Greeez Oli

[anselmoso]

Natürlich....
Nach jeder Änderung n Restart.

[zerix]

Hallo,

also ich hab schon ewig nichts mehr mit squid gemacht, deshalb bin ich mir nicht so ganz sicher, aber kann es nicht daran liegen, dass die Zeilen vielleicht in der falschen Reihenfolge stehen?

Code:

http_access allow mypc
http_access deny all

Versuch es doch mal so

Code:

http_access deny all
http_access allow mypc

MFG

zEriX

[anselmoso]

Bringt leider auch keine Änderung. Und auch wenn ich "allow all" schreibe nicht...

[bla!zilla]

Poste mal bitte den kompletten ACL Teil deiner squid.conf.

[anselmoso]

Das hier ist meine komplette Squid.Conf:

acl all src 0.0.0.0/0.0.0.0
acl mypc src xxx.x.x.x
http_access allow mypc
http_access deny all

Die Original-Squid.conf habe ich nach "squid.conf.orig" umbenannt.


Wenn ich die squid.conf so ändere:

acl all src 0.0.0.0/0.0.0.0
http_access allow all

Dann gehts.


Wenn ich sie so ändere:

[quote]

acl all src 0.0.0.0/0.0.0.0
acl mypc src xxx.x.x.x
http_access allow mypc

Dann funktionierts nicht. Ich gehe also davon aus, dass es an der Schreibweise meiner IP liegt. Meine IP hat genau die Form wie mit den x-Buchstaben geschrieben, also 3 Stellen, dann 1, dann 1 und wieder 1 Stelle.

[bla!zilla]

?!

Dann kopiere die Originaldatei wieder zurück und passe diese an.

[anselmoso]

Das hab ich zuvor gemacht, aber hat genau so wenig funktioniert. Ich denke wie gesagt, dass es an der Schreibweise meiner IP liegt.

Die Form xxx.x.x.x/23 funktioniert leider auch nicht, ebenso wenig xxx.x.x.x/255.255.255.0

[bla!zilla]

/32 entspreicht der Netzmaske 255.255.255.255. Versuch es mal damit. Ansonsten dreh das Logging vom Squid mal hoch und guck welche ACLs greifen und welche nicht. Ich denke es liegt an der Reihenfolge.

[anselmoso]

Also ich hab inzwischen folgendes gemacht:

- in der squid.conf die Einstellung "debug_options ALL" hinzugefügt
- Squid neu gestartet und einige Seiten aufzurufen versucht
- sämtliche squid-logs unter /var/log/squid durchsucht und auch /var/log/messages, /var/log/syslog

----> Ergebnis: Keine nennenswerten Einträge, nur "Squid fährt hoch", "Squid fährt runter" und "TCP_DENIED" Einträge von den Seiten, die ich aufrufen wollte.


Dann habe ich squid noch extra im Debug Modus gestartet mit "/usr/sbin/squid -NCd1" - aber auch das bringt keine nennenswerten Log-Einträge auf der Konsole oder in den obigen Log-Files...


Mein Rechner, mit dem ich auf den Squid(-Server) zugreife, hat übrigens die Netzmaske 255.255.255.0.

[bla!zilla]

Das ist egal, welche Netzmaske der hat.

Code:

debug_options ALL,1 33,2

in die squid.conf eintragen und dann in der cache.log nachgucken.

[anselmoso]

ok, da steht jetzt:

The request CONNECT <webseitenadresse> is DENIED, because it matched 'workpc'

Und aktuell steht in meiner squid.conf:

acl all src 0.0.0.0/0.0.0.0
acl workpc src xxx.x.x.x
http_access allow workpc

debug_options ALL, 1 33,2

Also er lehnt meine Zugriffe ab, weil der Zugriff von dem PC kommt, den ich erlaube...?

[bla!zilla]

Bitte mal die ACL so aufsstellen:

Code:

acl all src 0.0.0.0/0.0.0.0
acl workpc src xxx.x.x.x/32
http_access allow workpc
http_access deny all

debug_options ALL, 1 33,2

[anselmoso]

Jo, hab ich jetzt gemacht. Ergebnis:

The request GET http://www.heise.de/ is DENIED, because it matched 'all'

Blöd is nur, dass Squid nicht detailliert ausgibt, welche IP denn nun genau zugreift.