Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 1 subscriber
  • Views 1023 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

"Allowed networks" only dummy entries ?

Andi
I can't control network access to http proxy. Should work with
the "Allowed networks", but these entries don't have any influence 
neither in version 5 nor in version 6.  
There isn't any entry or change in squid.conf or squid.conf-default.

In version 3 and/or 4 I think it work. In any case I used them it before 
started with Astaro. 

Same behaviour with Log level "full" instead of "standard". No change
in squid.conf or squid.conf-default. I changed cache_log myself in 
config-files to /var/log/cache.log, restarted (to be sure) with "/var/mdw/scripts/squid start"  with the result that squid doesn't open cache.log to write some debugging entries concerning access control.

Andreas


This thread was automatically locked due to age.
  • 0
    Do you have any packfilter rules allowing ports 1:65535 through?

    If so, change it to the tcp_udp_all and that will force http proxy use. Depending on your HTTP proxy configuration, you might need to add filters for https and ftp/control.

    Ian M
  • 0 in reply to RFCat_vk_01
    That's a misunderstanding. No subnet can browse without going
    through the proxy. What I want to do is to block subnets with the
    "Allowed Networks". That means, that I only mention there my subnets,
    which are allowed and the others n_o_t.

    Example:
    Allowed Networks :  subnet_A
                               subnet_B

    Webadmin should now translate these entries to squid.conf in
    the following way:
    --------------------------------------
    acl subnet_A src 172.35.0.0/16
    acl subnet_B src 172.36.0.0/16

    http_access allow subnet_A subnet_B
    --------------------------------------

    And the other not mentioned subnets must be blocked 
    (explicit or implicit http_access deny all after the last http_access
     line in squid.conf depending on the squid version) !!
    But the middleware does nothing ... no change in squid.conf.
    And that's not the way "allowed networks" should work.

    I don't know whether that behaviour was a consequence
    of exporting and importing of the whole configuration several times
    between several astaro versions ????

    Andreas
  • 0 in reply to RFCat_vk_01
    That's a misunderstanding. No subnet can browse without going
    through the proxy. What I want to do is to implicitly block subnets with the
    "Allowed Networks". That means, that I only mention there my subnets,
    which are allowed and the others n_o_t.

    Example:
    Allowed Networks :  subnet_A
                               subnet_B

    Webadmin should now translate these entries to squid.conf in
    the following way:
    --------------------------------------
    acl subnet_A src 172.35.0.0/16
    acl subnet_B src 172.36.0.0/16

    http_access allow subnet_A subnet_B
    --------------------------------------

    And the other not mentioned subnets must be blocked 
    (explicit or implicit http_access deny all after the last http_access
     line in squid.conf depending on the squid version) !!
    But the middleware does nothing ... no change in squid.conf.
    And that's not the way "allowed networks" should work.

    I don't know whether that behaviour was a consequence
    of exporting and importing of the whole configuration several times
    between several astaro versions ????

    Andreas
  • 0 in reply to Andi
    I just tried blocking a PC with the http allowed access list and after being removed from the list the PC could no longer access www, but on being put back worked fine.

    I only have one network, but do have a number of PC/linux workstations that are controlled by inclusion in the allowed list.

    Ian M
  • 0 in reply to RFCat_vk_01
    Thanks for your reply. 

    Could you please have a look in your squid.conf
    in /var/storage/chroot-squid/etc to see whether you
    have these correspondent lines :

    acl subnet_A src 172.35.0.0/16
    acl subnet_B src 172.36.0.0/16
    acl host_A src 172.37.1.100/32
    http_access allow subnet_A subnet_B host_A

    I don't have these lines, WebAdmin, doesn't make these
    entries, it doesn't do anything, when I enter an "Allowed Network",
    so I put it in there on my own (also in squid.conf-default) to test it
    and now it works for me. But when Astaro makes an update of the
    http-proxy with changes the configuration (squid.conf-default)
    I will loose theese changes.

    Andreas