anyone

Die Leidensgeschichte ist natürlich noch nicht zu Ende ;-)

Hat jemand eine Ahnung, warum squid die ACLs einfach nicht ernst nimmt?

Folgendes Problem:

Ich möchte nur bestimmten Clients zugriff auf bestimmte Seiten gewähren. Jedoch gilt momentan die Seitenbeschränkung nicht nur für den angegebenen PC, auch alle anderen PCs des gleichen IP Segments können die Seite anzeigen... Hier die squid.conf:

#SQUID PORTEINSTELLUNGEN

http_port 8080

icp_port 0.

cache_peer x.x.x.x parent xxxx 7 no-query proxy-only

# CACHE OPTIONEN

hierarchy_stoplist cgi-bin ?

acl QUERY urlpath_regex cgi-bin \?

no_cache deny QUERY

cache_mem 8 MB

cache_swap_low 90

cache_swap_high 95

cache_dir ufs /var/cache/squid 256 32 320

cache_mgr root

cache_store_log none

cache_effective_user squid

cache_effective_group nogroup

#BEI FEHLERMELDUNGEN ANZEIGEN:

visible_hostname BLA

#LOGFILES IM WEBLOG FORMAT

emulate_httpd_log on

#DEFINITION DER ACCESS CONTROL LISTS

acl ALL src 0/0

acl NUMMER_EINS src x.x.x.x/26

acl NUMMER_ZWEI src x.x.x.x/24

acl GMX dstdomain .gmx.de

acl GOOGLE dstdomain .google.de

#DEFINITION VON ALLOW / DENY

http_access allow NUMMER_EINS GMX

http_access allow NUMMER_ZWEI GOOGLE

http_access deny ALL

icp_access deny ALL

never_direct allow ALL

Hat jemand eine Ahnung, woran das liegen kann?

[nachtrag]

Beim Starten des squid gibt es Warnungen:

Netmask masks away part of the specified IP in x.x.x.x/24

Aber er arbeitet dann ohne weitere Probleme.

Vorweg: Die Netzwerkeinstellungen der IP/SN sind für das Netz korrekt...

Habe bei den Linuxforen die Antwort gefunden:

http://www.linuxforen.de/forums/showthread.php?t=50921&highlight=cache_peer

Falls jemand einmal das Selbe Problem hat...

Allow-miss ist nach der Doku für squid nur bei siblings anwendbar, habe es aber trotzdem einmal probiert ;-).

Hat aber leider auch nicht funktioniert...

Auf die log-Files des kaskadierten Proxies habe ich leider keinen Zugriff. Ist irgendwie echt blöd die ganze Sache ;-)

Ich persönlich denke ja, daß die URLs zu lang sind, denn wenn er bei Hotmail.com auch schlapp macht, ist das doch ein Hinweis darauf oder? Bei Anmeldungen in Formularen werden die Daten ja auch per URL übergeben, soll heißen, gibt es eine Option, die URL Länge zu erweitern bzw. bestimmte Zeichen zuzulassen? Die max. Länge ist wohl im Normalfall auf 4 KB beschränkt, das sollte doch reichen, nicht wahr?

Was sagt Ihr?

Habe ich schon probiert, derzeitiger Stand ist eine minimierte Fassung der squid.conf:

http_port 8080

icp_port 0

cache_peer x.x.x.x parent xxxx 0 default no-query proxy-only

cache_mem 8 MB

cache_dir ufs /var/cache/squid 256 32 320

cache_mgr root

cache_store_log none

emulate_httpd_log on

acl QUERY urlpath_regex cgi-bin \?

no_cache deny QUERY

acl all src 0.0.0.0/0.0.0.0

acl xxx src x.x.x.x/x.x.x.x

acl all_ports port 1-65535

acl CONNECT method CONNECT

http_access allow xxx

http_access allow all_ports

http_access allow CONNECT

http_access deny all

Leider keine Änderung, zwischenzeitlich hatte ich auch schon die acl QUERY herausgenommen...Nichts!

Häng doch erst einmal ein IDE CD-Rom an den Rechner, boote damit und versuche die Module für die SCSI Geräte dann von der CD zu laden. Unter Umständen kannst Du doch auch die komplette Installation von IDE durchführen, es danach abmachen bzw. vorher die benötigten Module laden...

[nachtrag]

Ansonsten bliebe noch die Möglichkeit per Netzwerk zu installieren, aber da bräuchtest Du auch eine Boot Disk. Wie man die erzeugt kannst Du auf diversen Distributionsseiten nachlesen -> vorausgesetzt irgendwo läuft schon ein solches System auf Dir zugänglichen Rechnern...

Hier die squid.conf:

http_port 8080

icp_port 0

cache_peer x.x.x.x parent xxxx 7 no-query proxy-only

acl QUERY urlpath_regex cgi-bin \?

no_cache deny QUERY

hierarchy_stoplist cgi-bin ?

cache_mem 16 MB

cache_dir ufs /var/cache/squid 256 32 320

cache_mgr root

cache_store_log none

ipcache_size 2000

emulate_httpd_log on

acl manager proto cache_object

acl localhost src 127.0.0.1/255.255.255.255

acl all src 0.0.0.0/0.0.0.0

acl xxx src x.x.x.x/x.x.x.x

http_access allow manager localhost

http_access deny manager

http_access allow xxx

http_access deny all

acl CONNECT method CONNECT

Habe es hinbekommen, in den cache_peer Einstellungen mußte für icp Port "7" eingetragen werden und "no-query", da der Proxy keine icp Antworten gibt. Deshalb kam es zum Timeout...

ABER, das nächste Problem ließ nicht lange auf sich warten ;-)

Webseiten werden nun Problemlos angezeigt, versuche ich mich aber z.B. bei Hotmail oder so anzumelden und schicke meine Benutzerdaten ab, kommt es zum selben Timeout. Fehlermeldung ist TCP_MISS:FIRST_UP_PARENT

Hat jemand eine Ahnung...?

Auf dem squid Server findet schon keine Namensauflösung statt, er ist über das LAN ans Internet angeschlossen (oder sollte es zumindest sein). "Am LAN Ende" steht der Webproxy, der alle Anfragen weiterleitet. Problem ist, daß dieser in einem anderen Netz ist, so daß als Standard Gateway ein Router eigetragen ist. Somit ist es nicht möglich, per default Gateway den Proxy einzutragen. Per cache_peer funktioniert es auch nicht, dort habe ich den Proxy eingetragen, dessen IP durch die /etc/hosts Aufgelöst wird (kann ihn auch pingen, aber das nützt nur nichts ;-) )...

Habe übrigens vorher schon das Board durchsucht und gegoogel.de/linuxt und nicht gefunden, wegen der Meldung am Anfang und etwaiger Meldungen in der Zukunft...

Hallo zusammen.

Hat jemand von euch eine Ahnung, wie man für squid eine Angabe für einen weiteren Proxyserver (nicht squid) machen kann?

Soll heißen zwischen anfragenden Client und dem Proxy, der ins WWW geht, soll squid zwischengeschalten werden, um betsimmten usern den Zugang vorher zu verwehren. Funktioniert auch alles ganz gut, leider bekomme ich keine Verbindung hin. Grundsätzlich klappt die Namensauflösung schon nicht, kann beispielsweise keinen DNS Server anpingen... Wie kann ich also (entweder direkt per squid.conf oder wie auch immer, hauptsache webproxy) eine standard-route angeben...?

Jungs, ich danke Euch. Es funktioniert!!!

Hallo zusammen,

bin nicht unbedingt der Programmierkünstler, versuche aber für ein Formular mittels javascript Bedingungen zu definieren, soll heißen die Eingabe in ein HTML Formular wird beim Senden (onSubmit="return chkFormular()") überprüft. Die alerts erscheinen auch, jedoch übergibt er danach nicht die Werte per PHP post an die Datenbank, sondern macht gar nichts... Wenn die if-Anweisungen nicht verschachtelt sind, sprich ich nur eine Bedingung wähle, klappt es. Habe also mit Sicherheit irgend einen Fehler in der Anweisung.

Sinn der Anweisung ist es, bei Formulareintrag "foo_bar" zu überprüfen, ob andere Felder (beispielsweise telefonnummern) eingetragen sind.

Kann mir jemand helfen...?

Hier der Quelltext:

if(document.Formular.gespraechsausgang.value == "foo_bar") {

if(document.Formular.telefonnummer_1_vorwahl.value == "") {

alert("Als Gespraechsausgang wurde foo_bar gewaehlt. \n Bitte die Vorwahl fuer die 1.Telefonnummer eingeben!");

document.Formular.telefonnummer_1_vorwahl.focus();

return false;

}

if(document.Formular.telefonnummer_1.value == "") {

alert("Als Gespraechsausgang wurde foo_bar gewaehlt. \n Bitte die 1.Telefonnummer eingeben!");

document.Formular.telefonnummer_1.focus();

return false;

}

return false;

}

Bei XP gibt es die Möglichkeit per Rechtsklick auf die entsprechende LAN-Verbindung in der Netzwerkumgebung den Kontextmenüpunkt "Verbindung reparieren" (oder so ähnlich) zu wählen.

Hatte damit bei solchen Problemen wie Du sie beschrieben hast Erfolg...

Schau mal unter http://www.blackbox-networkservices.de

Bestell den Katalog oder ruf an, die haben da echt eine ganze Menge...

Ansonsten mußt Du einen Transceiver (Medienkonverter) zwischenschalten.

@ dgr243

DANKE!!!

Genau das war es, was ich nicht mitbekommen habe!

Er vernüpft also die eigene SN mit der Destination IP. Man, Du hast mir das Wochenende gerettet...

@all

Dank Euch für die Hinweise!!!

Ich habe noch ein wenig herumgesucht, die Berechnung findet scheinbar tatsächlich beim Host statt. Da aber in einem TCP/IP-Header nur jeweils 32 Bit für Sender und Empfängeradresse frei sind, kann bei einer direkten Übertragung die SN nicht mit übertragen werden... Und nu ;-) ?

@hades

Das heißt die Pakete, die (evaluiert durch die UND-Verknüpfung) ins gleiche SN gehen, kommen gar nicht am Router an? Wo wird diese Berechnung dann vorgenommen, vom sendenen Rechner selbst? Das wäre für mich ein halber geistiger Durchbruch ;-), denn bei Allem was ich bisher zu dem Thema gefunden habe war die Rede von der Berechnung "im" Router... Grundsätzlich kennt der Sender doch gar nicht das SN des Empfängers oder?

Ja, dank Dir für die Antwort.

Habe das auch irgendwo herausbekommen, grundsätzlich ist mir die Geschichte jetzt klar, was mir noch schleierhaft ist: Wenn sowieso interne Routingtabellen geführt werden an denen sich problemlos nachvollziehen läßt wohin geroutet werden muß, warum findet noch eine UND-Überprüfung statt? Ich vermute, daß Datenpakete des gleichen SN direkt über das selbe Interface geleitet werden, über das sie herein kamen und alle anderen Pakete über das entsprechend andere geleitet werden, zum nächsten Hop oder zur Endstation... Wird schneller sein, als die Tabellen zu durchsuchen.

Grundsätzlich hast Du Recht, ich habe hier aber eine Aufgabe, die irgendwie eine andere Lösung fordert:

Der Router erhält einen Datenrahmen (Frame) mit der IP-Adresse: 208.16.8.163.

- Wie ermittelt der Router hieraus die Netzwerkadresse des Subnetzes, in dem sich der Empfänger befindet?

Anhand dieser Aufgabe gehe ich davon aus, daß es eine andere Möglichkeit geben muß, das SN aus der IP zu ermitteln. Bei normalen DSL Routern beispielsweise (gut, die haben meist einen Switch implementiert) muß ich die Bereiche ja auch nicht eintragen, das passiert automatisch...

Hallo zusammen,

ich stehe vor einer kniffligen Frage und habe mir bei der Suche im Web bisher die Finger umsonst wund getippt. Und zwar geht es um Folgendes:

Wenn ein Router ein IP Class-C Paket erhält, welches aus einer durch Subnetze getrennten Umgebung kommt, wie kann er herausfinden wie viele Subnetze existieren? Grundsätzlich wird er dazu die Host ID des IP Pakets verwenden, doch wie viele Bits zieht er zu Rate? Nimmt er die ersten beiden kann höchstens ein in vier SN geteiltes Netz herauskommen - SN = 255.255.255.192, es können jedoch auch mehr bzw. weniger Subnetze existieren oder eine IP entweder in ein zweigeteiltes Netz gehören, aber auch in ein in 30 SN geteiltes.

Beispiel:

IP Adresse lautet: DEZ: 192.168.1.2 = BIN: bla.bla.bla.00000010

Mögliche Subnetze:

keins (IP: 192.168.1.1-255)

2 (192.168.1.1-127 und 192.168.1.129-255)

4 ( 192.168.1.1-63 und 192.168.1.65-127 und 192.168.1.129-191 und 192.168.1.193-255)

etc..............

In jedem dieser Fälle könnte die genannte IP Adresse 192.168.1.2 in einem der SN liegen, aber wie ermittelt der Router hieraus die Netzwerkadresse des Subnetzes, in dem sich der Empfänger befindet?