Re: [squid-users] Configuration question: network unreachable

From: Ricardo Ryoiti S. Junior <[email protected]>
Date: Sun, 6 Apr 2003 14:21:38 -0300 (BRT)

        Ola,

On Sun, 6 Apr 2003, Aline da Rocha Gesualdi wrote:

> I've intalled Squid version 2.4 stable6 in redhat 7.3 using a linux RPM
> package. Inside squid.conf I uncommented/added these lines:

        Isso nao eh uma boa ideia. Use a versao 2.4.7 ou 2.5.2, pois a que
voce esta usando tem uma vulnerabilidade que pode comprometer a seguranca
do seu servidor.

> http_port 3128
> cache_mem 8 MB
> cache_dir ufs /var/spool/squid 100 16 256

        Tem certeza que vai usar apenas 100mb de cache? Bom, nesse caso,
voce nao precisa de 16 niveis de diretorios de primeiro nivel. Mude o
numero de 16 para 4 ou 5 no maximo.

> client_netmask 255.255.255.0
> acl allowed_hosts src 192.168.0.111/255.255.255.0
> http_access allow all
>
> When I start squid with squid -z command or simple squid command I receive
> the following warning message:
>
> 2003/04/06 13:19:24| aclParseIpData: WARNING: Netmask masks away part of
> the specified IP in '192.168.0.111/255.255.255.0'
>
> The 192.168.0.111 in a winXp client and it does not have access to
> external network, just the internal one. Every time I
> ping 200.160.225.164 (www.squid-cache.org) I receive the following
> message:
>
> Destination host unreachable
>
> Can anyone help me to make 192.168.0.111 "see" external networks?

        Bem, vamos por etapas:

        1) squid -z soh deve ser rodado uma vez para criar a hierarquia de
diretorios do cache, quando for roda-lo efetivamente, nao use a opcao -z.
        2) Voce nao definiu a acl all e nem definiu acesso para a acl
allowed_hosts. Assim nao funciona mesmo. A mensagem que ele deu indica que
ele vai ignorar o "111" do IP que voce passou, pois a mascara soh define
como "importante" os tres primeiros octetos do IP.
        3) Com o squid voce nunca vai conseguir pingar uma maquina para
fora. Squid eh proxy, nao nat. Para que voce consiga acessar a internet
livremetne de uma maquina dentro da rede e com IP invalido, voce precisa
configurar NAT. O squid nao vai te ajudar em nada. Ele serve apenas para
possibilitar o acesso http/ftp utilizando cache e listas de controle de
acesso.
        4) Se quiser que o cliente acesse a WEB, use o seguinte:

acl all src 0/0
acl clientes 192.168.0.0/24 (se quiser que apenas uma maquina acesse, use
192.168.1.111/32)
http_access allow clientes
http_access deny all

        Voce nao precisa da diretiva client_netmask.

        Boa sorte,

        Ricardo.
Received on Sun Apr 06 2003 - 11:22:04 MDT

This archive was generated by hypermail pre-2.1.9 : Tue Dec 09 2003 - 17:14:42 MST