О великие гуру, будте нисходительны к простым изерам, помогите :)
Есть Linux Debian 3.1 на машине с 2 сетевыми (одна в inet другая в local).
Поднят Squid и настроены IPTABLES.
Squid настроен в режиме прозрачного прокси, форватинг включен и т.д.(делал по статье на сайте)
Также настроен стандартный метот футофикации пользователей, завекдены пользователи и добавлены правила.
на клиетских машинах вбит GW и DNS роутера.
Проблема такая
При обрашении к прокси как обычно(в IE забиты настройки прокси) - все зашибись, спрашивается пароль и все дальше работает.
Но, при обрашении без данных настроек, squid выкидывает "доступ запрешен" не спрашивая не имени пользователя ни пароль. При этом обрашение на WEB сайт внутри сети захожу а на все остальные "Доступ запрешен"
Заметил особенность, если пишу acl acces all в squid пускает на сайты. понятно что дело в настройках авторизации но в каких не вьеду. Обьясните кто может.
настройки Squid
acl all src 0.0.0.0/0.0.0.0
acl network src 192.168.0.1-192.168.0.254/24
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443 563 # https, snews
acl SSL_ports port 873 # rsync
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 631 # cups
acl Safe_ports port 873 # rsync
acl Safe_ports port 901 # SWAT
acl purge method PURGE
acl CONNECT method CONNECT
acl Users_web proxy_auth imotkov eisaev dafanasiev vkunshin icq avasilev nanohin aorlov emishev dfedorov
acl Admin_web proxy_auth roman
acl icq_users proxy_auth icq
acl icq_ports myport 443
acl Bad_files url_regex -i .mp .avi .exe
acl Bad_sites url_regex -i sex teen porno
настройка IPTables
# Generated by iptables-save v1.2.11 on Wed Apr 5 16:35:14 2006
*filter
:FORWARD ACCEPT [0:0]
:INPUT DROP [0:0]
:OUTPUT ACCEPT [0:0]
# Accept traffic from internal interfaces
-A INPUT ! -i eth1 -j ACCEPT
# Accept traffic with the ACK flag set
-A INPUT -p tcp -m tcp --tcp-flags ACK ACK -j ACCEPT
# Allow incoming data that is part of a connection we established
-A INPUT -m state --state ESTABLISHED -j ACCEPT
# Allow data that is related to existing connections
-A INPUT -m state --state RELATED -j ACCEPT
# Accept responses to DNS queries
-A INPUT -p udp -m udp --dport 1024:65535 --sport 53 -j ACCEPT
# Accept responses to our pings
-A INPUT -p icmp -m icmp --icmp-type echo-reply -j ACCEPT
# Accept notifications of unreachable hosts
-A INPUT -p icmp -m icmp --icmp-type destination-unreachable -j ACCEPT
# Accept notifications to reduce sending speed
-A INPUT -p icmp -m icmp --icmp-type source-quench -j ACCEPT
# Accept notifications of lost packets
-A INPUT -p icmp -m icmp --icmp-type time-exceeded -j ACCEPT
# Accept notifications of protocol problems
-A INPUT -p icmp -m icmp --icmp-type parameter-problem -j ACCEPT
-A INPUT -p tcp -m tcp --dport 5190 -j ACCEPT
COMMIT
# Completed on Wed Apr 5 16:35:14 2006
# Generated by iptables-save v1.2.11 on Wed Apr 5 16:35:14 2006
*mangle
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
COMMIT
# Completed on Wed Apr 5 16:35:14 2006
# Generated by iptables-save v1.2.11 on Wed Apr 5 16:35:14 2006
*nat
:OUTPUT ACCEPT [0:0]
:PREROUTING ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
-A PREROUTING -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
COMMIT
# Completed on Wed Apr 5 16:35:14 2006