TheBarmaley
Platinum Member | Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
zbugz
бугога 2 раза.. спасибо, над приведённым конфигом поржал от души.. ;)
поскоку это, сударь, даже не конфиг.. это просто ужосс и пезнец какой-то..
и на вопрос
Цитата:так и хочется сказать - RTFM вни-ма-тель-но.. :))
короче - не выполняется главное правило - конфиг читается до первого (!) подходящего условия..
отсюда и все косяки и абсолютно бесконтрольный доступ..
в смысле - в твоём конфиге НЕТ условий, ограичивающих доступ ни к одному из видов прокси и портмапам..
ошибок синтаксиса нет (почти :), но логика обработки запросов ни разу не соответствует твоим хотелкам..
а именно:
1. хттп-прокси запускается ДО указания всех аллоу/дени -> доступ с любого адреса и любым юзером..
2. команды flush СБРАСЫВАЮТ ВСЕ заданные перед ними условия -> доступ с любого адреса и любым юзером..
это относится ко ВСЕМ заданным после флашей портмапам и проксям, потому как вся авторизация у тебя отключена..
в смысле - у тебя везде после сброса стоит "auth none", шо как бэ намекает.. ;))
3. вот эта "конструкция":
Цитата: flush
deny * * * * * * *
..........
allow * * 192.168.1.38 * * * *
allow * * 192.168.1.40 * * * * |
ваще не работает, потому как:
а) команда deny, стоящая в начале, шлёт лесом ВСЕ аллоу, идущие после неё..
б) сама по себе "конструкция" НЕ относится НИ к одной из проксей/портмапов - ПЕРЕД ними стоит сброс всех ACL (flush)..
т.е. в твоём случае это просто лишний "мусор" в конфиге, не более того..
4. эта шняга
Цитата: auth iponly
maxconn 100000 |
также не работает, т.к. НЕ привязана ни к чему..
ну и.. максконн, ваще-то, по определению НЕ может быть "сто тыщ" - макс. число портов НЕ может быть более 64К.. )))
и на практике более 10-50К ставить смысла нету..
5. лимиты задаются ДО запуска любого из проксей.. и у тебя, в частности, они НЕ работают на указанных юзеров..
к тому же указание сокса/хттпс в "безлимитке" тоже как бэ намекает.. ;)
6. а вот тут "чиста канкретна ашыпка" синтаксиса (или логики?):
Цитата: allow * * 192.168.1.38 * * * *
allow * * 192.168.1.40 * * * * |
т.е. ип-адрес стоит на месте удалённого хоста, а не клиента прокси.. звёздочка, в смысле, лишняя.. после аллоу..
хотя если у тебя на хостах 40 и 38 стоят веб или иные серверы, тады.. но, как мне думается, нету там ничо.. ))
ну да хрен с ним, эти команды у тебя всё-рно не используются и никому не мешают - см. п.1-3 выше.. :)
7. никуя не ясно, зачем задавать портмапы на конкретные (???) почтовые сервисы..
если далее ты даёшь почтовый доступ на ЛЮБОЙ почтовик (pop3p/smtpp)..
зы
шо касаемо риторического вопроса
Цитата:| Кто нибудь проверял вообще это ? |
скажу так - думаю, да, проверяли.. и, наверное, не раз.. ичсх - оно, таки, замечательно работает.. ))
но, ты не поверишь, только при правильном конфиге, ессно.. ;)
ну да ладна.. на первый раз хватит.. иди, вопчем, читай мануалы и правь свой "ужосс".. :)
без обид.. |
