Re: [squid-br] SquidGuard não entende rede 10.0.0.0/8

Fri, 19 May 2006 10:15:13 -0700

Fazendo mais alguns teste aqui, percebi uma coisa que não está documentado (pelo menos não achei). A ordem dos "src" importa no casamento das regras.
Ex.:
src administrador {
  ip 10.20.168.56
}
src minharede {
  ip 10.0.0.0/8
}

Se tiver uma acl para tratar cada caso desse e houver uma requisição de 10.20.168.56 a ACL para "administrador" será acionada na boa. Mas se a ordem dos "src" acima for invertida assim.
Ex.:
src minharede {
  ip 10.0.0.0/8
}
src administrador {
  ip 10.20.168.56
}

A ACL para "minharede" SEMPRE será acionada e nunca chegará a ACL para adminsitrador. Independente da ordem das ACLs ao que parece o importante é a ordem dos SRC.

Alguém pode confirmar isso ?






2006/5/19, Welington R. Braga <[EMAIL PROTECTED]>:
Henrique,

Obrigado pela atenção mas parece que vc não conseguiu entender a minha estrutura. Vou tentar explicar melhor:

A minha rede é 10.0.0.0/8 sendo que ela está segmentada em vários trechos exintindo faixas que estou usando e outras não. No exemplo que eu dei dois segmentos seriam: 10.20.168.0/24 e 10.20.169.0/24

Se eu crio uma entrada com cada uma dessas subredes individualmente:
src rede1 {
e

src rede2 {
Eu consigo configurar as ACLs e elas funcionam corretamente (o que se era de esperar). Mas existem algumas regras que eu quero aplicar a ambas as subredes e por isso precisava especificar algo como está abaixo. Pela documentação eu simplesmente faria assim:

src todarede {
Só que ao fazer isso o SquidGuard não dá erro, mas também não casa a ACL e acaba caindo na ACL "Default". Eu já tentei varias outras maneiras para indicar ambas as faixas de IP mas o resultado é o mesmo. Será que vou ter que criar uma lista com todos os meus ips? Algo assim:

src todarede {
  iplist "minhasmaquinas.txt"
}

E no arquivos "minhasmaquinas.txt" incluir todas as minhas estações !?

Acho que agora ficou mais claro.


Em 19/05/06, Henrique <[EMAIL PROTECTED]> escreveu:
Olá, Welington! Realmente,  o squidguard aparenta não aceitar duas entradas
src com o mesmo nome. Experimentei aqui o que vc sugeriu e abortou o squid na
hora.

Mas é impressão minha ou vc está redundando todos os seus endereços ?

Já tentou fazer assim ? :


src geral {
ip 10.20.168.0/24
ip 10.20.169.0/24
ip 10.0.0.0/8
}

Alias,por falar em redundância, 10.0.0.0/8 casa automaticamente 10.20.168.0/24
veja:

expediente-02:~$ ipcalc 10.0.0.0/8
Address:   10.0.0.0             00001010. 00000000.00000000.00000000
Netmask:   255.0.0.0 = 8        11111111. 00000000.00000000.00000000
Wildcard:  0.255.255.255        00000000. 11111111.11111111.11111111
=>
Network:   10.0.0.0/8           00001010. 00000000.00000000.00000000
HostMin:   10.0.0.1             00001010. 00000000.00000000.00000001
HostMax:   10.255.255.254       00001010. 11111111.11111111.11111110
Broadcast: 10.255.255.255       00001010. 11111111.11111111.11111111
Hosts/Net: 16777214              Class A, Private Internet

Se você tem 8 subredes debaixo de 10.20.x.x, e tem as mesmas regras para todas
elas, poderia especificar uma unica  subnet 10.20.0.0/16 apenas que
funcionaria para o que vc quer. Agora, se existem regras diferenciadas para
alguma delas, você precisará criar uma src para a regra diferenciada de
qualquer maneira.

qqr coisa, mail-nos!

[ ]s, Henry

Em Sex 19 Mai 2006 11:33, Welington R. Braga escreveu:

>  Estou preparando o squidGuard pra coloca-lo em funcionamento em minha
>  rede sendo que ela é uma rede com IPs na faixa 10.0.0.0/8 (classe A)
>  segmentada em pedaços assim:
>
>  src adm {
>     ip 10.20.168.0/24
>  }
>  src pesquisa {
>     ip 10.20.169.0/24
>  }
>  src geral {
>     ip 10.20.168.0/24 10.20.169.0/24
>  }
>  src geral {
>     ip 10.20.168.0 - 10.20.169.255
>  }
>  src geral {
>    ip 10.0.0.0/8
>  }
>  src geral {
>     ip 10.20.168.0/24
>     ip 10.20.169.0/24
>  }
>
>


Enviar mensagem: [email protected]
Assinar:  [EMAIL PROTECTED]
Cancelar assinatura:  [EMAIL PROTECTED]
Proprietário da lista:  [EMAIL PROTECTED]


Yahoo! Grupos, um serviço oferecido por:
PUBLICIDADE

Links do Yahoo! Grupos



--
Welington Rodrigues Braga
Instalar o Windows é humano, insistir em usar é burrice



--
Welington Rodrigues Braga
Instalar o Windows é humano, insistir em usar é burrice

Enviar mensagem: [email protected]
Assinar:  [EMAIL PROTECTED]
Cancelar assinatura:  [EMAIL PROTECTED]
Proprietário da lista:  [EMAIL PROTECTED]


Yahoo! Grupos, um serviço oferecido por:
PUBLICIDADE

Links do Yahoo! Grupos

Responder a