URL: https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID12
Нить номер: 6901
[ Назад ]

Исходное сообщение
"Настраиваю http_access в Squid NT 2.7"

Отправлено Medvedi , 12-Ноя-12 15:31 
Здравствуйте, всем доброго дня!
Настраиваю Squid NT 2.7 (OS Windows XP SP3)
Если одной группе ACL необходимо открыть доступ на несколько сайтов с доменным именем и с IP именем пример http://82.138.8.115 то если первым в http_access стоит запрет на доменные имена а потом на IP имена то доступ в первым осуществляется мгновенно а ко вторым (то есть IP) очень медленно по 3-5 минут. Если поменять местами http_access правила то уже IP-адреса открываются быстро а с доменными именами 3-5 минут.
Ниже привожу пример куска правил
acl sitesGOOD dstdomain "c:\sitesGOOD.txt"
acl ipGOOD dst "c:\ipGOOD.txt"
http_access allow Obuch sitesGOOD
http_access allow Obuch ipGOOD
http_access deny all
Если кто сталкивался огромная просьба помогите

Содержание

Сообщения в этом обсуждении
"Настраиваю http_access в Squid NT 2.7"
Отправлено Andrey Mitrofanov , 12-Ноя-12 16:25 
> http_access стоит запрет на доменные имена а потом на IP имена
> то доступ в первым осуществляется мгновенно а ко вторым (то есть
> IP) очень медленно по 3-5 минут. Если поменять местами http_access правила
> то уже IP-адреса открываются быстро а с доменными именами 3-5 минут.
> acl sitesGOOD dstdomain "c:\sitesGOOD.txt"
> acl ipGOOD dst "c:\ipGOOD.txt"
> http_access allow Obuch sitesGOOD
> http_access allow Obuch ipGOOD
> http_access deny all
> Если кто сталкивался огромная просьба помогите

Переписать с dstdomain на обычный человечий url_regex?

Не, ну, DNS настроить, конечно же, -- не путь джедая.

#         # Destination server from URL [fast]
#         # regex matching server [fast]

Если приглядеться к следующим за строчкам:

#         # For dstdomain and dstdom_regex a reverse lookup is tried if a IP
#         # based URL is used and no match is found. The name "none" is used
#         # if the reverse lookup fails.

, то слегка проглядывает "не такой уж и FAST!" в случае "IP based URL"...

Чисто мои досужие предположения.


"Настраиваю http_access в Squid NT 2.7"
Отправлено Medvedi , 12-Ноя-12 16:54 

>[оверквотинг удален]
> Если приглядеться к следующим за строчкам:
> #         # For dstdomain
> and dstdom_regex a reverse lookup is tried if a IP
> #         # based URL
> is used and no match is found. The name "none" is
> used
> #         # if the
> reverse lookup fails.
> , то слегка проглядывает "не такой уж и FAST!" в случае "IP
> based URL"...

Настроить DNS не могу так как мой SQUID является дочерним и в соответствии с жесткими рамками рекомендаций все DNS должны быть отключены на интерфейсах.
Зачем использовать url_regex? Мне необходимо одной группе предоставить доступ не на весь инет с некими ограничениями, а всего на пару сайтов с доменными именами и с именами в виде IP  (пример приводил выше).
Может я не совсем точно объяснил проблему.
Если первым в списке ограничение стоить на сайты с доменными именами (пример https://www.opennet.ru параметр в моём конфиге "sitesGOOD"), а вторым в списке на сайты с IP-адресами (то есть у них нет доменного имени и необходимость в поднятии DNS нет)то пользователь при обращении к сайтам с доменными именами которые разрешены заходит мгновенно, а на сайты с IP очень медленно 3-5 минут. Если же правила доступа поменять местами то пользователь мгновенно заходит на разрешенные сайты с IP адресами но очень долго на сайты с доменными.


"Настраиваю http_access в Squid NT 2.7"
Отправлено Andrey Mitrofanov , 12-Ноя-12 17:15 
> Настроить DNS не могу так как мой SQUID является

http://lmgtfy.com/?q=squid+with+no+dns


"Настраиваю http_access в Squid NT 2.7"
Отправлено Medvedi , 12-Ноя-12 17:44 
>> Настроить DNS не могу так как мой SQUID является
> http://lmgtfy.com/?q=squid+with+no+dns

Он как раз у меня и запускается с параметром  -D.
Если поставить одно ограничение на сайты с IP адресами
acl ipGOOD dst "c:\ipGOOD.txt"
http_access allow Obuch ipGOOD
http_access deny all
То у пользователя на разрешенные сайты c IP-адресами переход происходит мгновенно (для примера http://82.138.8.115:3128/edu)
Если поставить одно ограничение на сайты с dnsdomain адресами
acl sitesGOOD dstdomain "c:\sitesGOOD.txt"
http_access allow Obuch sitesGOOD
http_access deny all
То у пользователя на разрешенные сайты c dnsdomain адресами переход происходит тоже мгновенно
НО ЕСЛИ ИСПОЛЬЗОВАТЬ НА ОДНУ ГРУППУ ДВА ОГРАНИЧЕНИЯ ОДНОВРЕМЕННО...
acl sitesGOOD dstdomain "c:\sitesGOOD.txt"
acl ipGOOD dst "c:\ipGOOD.txt"
http_access allow Obuch sitesGOOD
http_access allow Obuch ipGOOD
http_access deny all
То в зависимости от того какое ограничение стоит первым, на такой тип адресов и происходит быстрый переход, а на другой медленно (в примере выше переход на разрешенные сайты c dnsdomain адресами происходит быстро)
Не в резольве адресов дело, ведь если правила поменять местами то доступ на сайты с IP-адресами происходит мгновенно...
ФУУУУ.... надеюсь теперь понятен вопрос


"Настраиваю http_access в Squid NT 2.7"
Отправлено alexpaknix , 12-Ноя-12 19:48 
Может ли это быть связано с нехваткой ОЗУ? Или неправильной оптимизацией ресурсов?

"Настраиваю http_access в Squid NT 2.7"
Отправлено Medvedi , 12-Ноя-12 22:44 
> Может ли это быть связано с нехваткой ОЗУ? Или неправильной оптимизацией ресурсов?

Проблема точно не в этом.
Проблема в том, как правильно настроить два списка ограничения на одну группу.
Один список с разрешенными доменными именами сайтов (dstdomain)
Второй с перечнем разрешённых ip-адресов (dst)
ПРИМЕР
Группе "Obuch" разрешён доступ только на сайты http://www.yandex.ru и http://www.google.com, а также разрешён доступ доступ на http://10.200.11.150 и http://82.138.8.115:3128/edu.
Как правильно записать данное ограничение?

Моё решение представлено выше.
В текстовом документе sitesGOOD.txt сайты с доменными именами, а в документе ipGOOD.txt сайты с IP-адресами.
Но в данном случае сталкиваюсь с проблемой описной выше.


"Настраиваю http_access в Squid NT 2.7"
Отправлено Medvedi , 13-Ноя-12 21:49 
УРА!!!!
Проблема решена через использование dstdom_regex.
Теперь правила отрабатывают мгновенно.
Жаль что сама причина торможений при использования моего варианта правил не выявлена.
Большое спасибо пользователю Andrey Mitrofanov за мысль использования регулярных выражений, конечно не dstdom_regex ) но всё же.


"Настраиваю http_access в Squid NT 2.7"
Отправлено Andrey Mitrofanov , 14-Ноя-12 09:52 
> УРА!!!!
> Проблема решена через использование dstdom_regex.
> Теперь правила отрабатывают мгновенно.
> Жаль что сама причина торможений при использования моего варианта правил не выявлена.
> Большое спасибо пользователю Andrey Mitrofanov

На здоровье.

> за мысль использования регулярных выражений, конечно не dstdom_regex ) но всё же.

"a reverse lookup is tried if" же.

Ненастроенный DNS и попытки софта "вдругх" чего-то при этом резолвить через него по-прежнему остаются хитом #1 в этом форуме.

...почётный номер 2 -- проблемы с MTU и друзьями!
+++третье место жюри отдаёт традиционной проблеме "перезагрузил и всё заработало".
---И поощрительный приз - быстро растущему вопросу "я пробовал ФСЁО! ничего не получилось. подскажите, в чём проблема??"