Здравствуйте, всем доброго дня!
Настраиваю Squid NT 2.7 (OS Windows XP SP3)
Если одной группе ACL необходимо открыть доступ на несколько сайтов с доменным именем и с IP именем пример http://82.138.8.115 то если первым в http_access стоит запрет на доменные имена а потом на IP имена то доступ в первым осуществляется мгновенно а ко вторым (то есть IP) очень медленно по 3-5 минут. Если поменять местами http_access правила то уже IP-адреса открываются быстро а с доменными именами 3-5 минут.
Ниже привожу пример куска правил
acl sitesGOOD dstdomain "c:\sitesGOOD.txt"
acl ipGOOD dst "c:\ipGOOD.txt"
http_access allow Obuch sitesGOOD
http_access allow Obuch ipGOOD
http_access deny all
Если кто сталкивался огромная просьба помогите
> http_access стоит запрет на доменные имена а потом на IP имена
> то доступ в первым осуществляется мгновенно а ко вторым (то есть
> IP) очень медленно по 3-5 минут. Если поменять местами http_access правила
> то уже IP-адреса открываются быстро а с доменными именами 3-5 минут.
> acl sitesGOOD dstdomain "c:\sitesGOOD.txt"
> acl ipGOOD dst "c:\ipGOOD.txt"
> http_access allow Obuch sitesGOOD
> http_access allow Obuch ipGOOD
> http_access deny all
> Если кто сталкивался огромная просьба помогитеПереписать с dstdomain на обычный человечий url_regex?
Не, ну, DNS настроить, конечно же, -- не путь джедая.
# # Destination server from URL [fast]
# # regex matching server [fast]Если приглядеться к следующим за строчкам:
# # For dstdomain and dstdom_regex a reverse lookup is tried if a IP
# # based URL is used and no match is found. The name "none" is used
# # if the reverse lookup fails., то слегка проглядывает "не такой уж и FAST!" в случае "IP based URL"...
Чисто мои досужие предположения.
>[оверквотинг удален]
> Если приглядеться к следующим за строчкам:
> # # For dstdomain
> and dstdom_regex a reverse lookup is tried if a IP
> # # based URL
> is used and no match is found. The name "none" is
> used
> # # if the
> reverse lookup fails.
> , то слегка проглядывает "не такой уж и FAST!" в случае "IP
> based URL"...Настроить DNS не могу так как мой SQUID является дочерним и в соответствии с жесткими рамками рекомендаций все DNS должны быть отключены на интерфейсах.
Зачем использовать url_regex? Мне необходимо одной группе предоставить доступ не на весь инет с некими ограничениями, а всего на пару сайтов с доменными именами и с именами в виде IP (пример приводил выше).
Может я не совсем точно объяснил проблему.
Если первым в списке ограничение стоить на сайты с доменными именами (пример https://www.opennet.ru параметр в моём конфиге "sitesGOOD"), а вторым в списке на сайты с IP-адресами (то есть у них нет доменного имени и необходимость в поднятии DNS нет)то пользователь при обращении к сайтам с доменными именами которые разрешены заходит мгновенно, а на сайты с IP очень медленно 3-5 минут. Если же правила доступа поменять местами то пользователь мгновенно заходит на разрешенные сайты с IP адресами но очень долго на сайты с доменными.
> Настроить DNS не могу так как мой SQUID является
>> Настроить DNS не могу так как мой SQUID является
> http://lmgtfy.com/?q=squid+with+no+dnsОн как раз у меня и запускается с параметром -D.
Если поставить одно ограничение на сайты с IP адресами
acl ipGOOD dst "c:\ipGOOD.txt"
http_access allow Obuch ipGOOD
http_access deny all
То у пользователя на разрешенные сайты c IP-адресами переход происходит мгновенно (для примера http://82.138.8.115:3128/edu)
Если поставить одно ограничение на сайты с dnsdomain адресами
acl sitesGOOD dstdomain "c:\sitesGOOD.txt"
http_access allow Obuch sitesGOOD
http_access deny all
То у пользователя на разрешенные сайты c dnsdomain адресами переход происходит тоже мгновенно
НО ЕСЛИ ИСПОЛЬЗОВАТЬ НА ОДНУ ГРУППУ ДВА ОГРАНИЧЕНИЯ ОДНОВРЕМЕННО...
acl sitesGOOD dstdomain "c:\sitesGOOD.txt"
acl ipGOOD dst "c:\ipGOOD.txt"
http_access allow Obuch sitesGOOD
http_access allow Obuch ipGOOD
http_access deny all
То в зависимости от того какое ограничение стоит первым, на такой тип адресов и происходит быстрый переход, а на другой медленно (в примере выше переход на разрешенные сайты c dnsdomain адресами происходит быстро)
Не в резольве адресов дело, ведь если правила поменять местами то доступ на сайты с IP-адресами происходит мгновенно...
ФУУУУ.... надеюсь теперь понятен вопрос
Может ли это быть связано с нехваткой ОЗУ? Или неправильной оптимизацией ресурсов?
> Может ли это быть связано с нехваткой ОЗУ? Или неправильной оптимизацией ресурсов?Проблема точно не в этом.
Проблема в том, как правильно настроить два списка ограничения на одну группу.
Один список с разрешенными доменными именами сайтов (dstdomain)
Второй с перечнем разрешённых ip-адресов (dst)
ПРИМЕР
Группе "Obuch" разрешён доступ только на сайты http://www.yandex.ru и http://www.google.com, а также разрешён доступ доступ на http://10.200.11.150 и http://82.138.8.115:3128/edu.
Как правильно записать данное ограничение?Моё решение представлено выше.
В текстовом документе sitesGOOD.txt сайты с доменными именами, а в документе ipGOOD.txt сайты с IP-адресами.
Но в данном случае сталкиваюсь с проблемой описной выше.
УРА!!!!
Проблема решена через использование dstdom_regex.
Теперь правила отрабатывают мгновенно.
Жаль что сама причина торможений при использования моего варианта правил не выявлена.
Большое спасибо пользователю Andrey Mitrofanov за мысль использования регулярных выражений, конечно не dstdom_regex ) но всё же.
> УРА!!!!
> Проблема решена через использование dstdom_regex.
> Теперь правила отрабатывают мгновенно.
> Жаль что сама причина торможений при использования моего варианта правил не выявлена.
> Большое спасибо пользователю Andrey MitrofanovНа здоровье.
> за мысль использования регулярных выражений, конечно не dstdom_regex ) но всё же.
"a reverse lookup is tried if" же.
Ненастроенный DNS и попытки софта "вдругх" чего-то при этом резолвить через него по-прежнему остаются хитом #1 в этом форуме.
...почётный номер 2 -- проблемы с MTU и друзьями!
+++третье место жюри отдаёт традиционной проблеме "перезагрузил и всё заработало".
---И поощрительный приз - быстро растущему вопросу "я пробовал ФСЁО! ничего не получилось. подскажите, в чём проблема??"