论坛徽章:: 0

电梯直达

1楼 [收藏(0)] [报告]

发表于 2010-02-09 11:42 |只看该作者 |倒序浏览

本帖最后由 ruying 于 2010-02-09 11:44 编辑

如题，查看squid权威指南，发现有写着“当ACL元素有多个值时，任何单个值能导致匹配。当squid找到第一个值匹配时就停止搜索”。
然后我看一个高手写的规则，有这么一部分，我不太确定是他写错了，还是这个配置另有深意

acl SSL_ports port 443
acl Safe_ports port 80 8080
acl CONNECT method CONNECT
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

复制代码

如果先http_access deny !Safe_ports，我的理解是拒绝所有非80和8080端口的请求，那下文再设置拒绝非443、563端口的CONNECT请求岂不是已经无用了？
我对ACL的理解是：如果已定义，则根据定义allow或者deny，如果未定义，则尝试匹配下一条规则，不知道我的理解是不是对的

新年新气象，祝各位朋友虎年虎虎生威

ACL, squdi, ACL, squdi

文库|博客

dong_kof

白手起家

论坛徽章:: 0

2楼 [报告]

发表于 2010-02-11 08:19 |只看该作者

我也同意你的观点
80和8080之外的所有端口已经都被deny了
所以下一条deny我觉得没有意义

上面这段配置里应该把443加到Safe_port里
你可以看下squid.conf默认配置

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

ruying

丰衣足食

论坛徽章:: 0

3楼 [报告]

发表于 2010-03-09 11:32 |只看该作者

该问题已经在该页面得到解决：
squid的配置确实是从上往下匹配的但是http_access控制的是get这个method，而后面那个http_accee deny CONNECT是用来控制CONNECT的方式的
应该说这两个配置是不冲突的
详情可见下页面的三楼回复
http://bbs.linuxtone.org/thread-5095-1-1.html