Не запускается squid

[7Sky]

Пытаюсь настроить прокси-сервер, но столкнулся с проблеммой.
Не пойму что он хочет.  :(
Не запускается squid, пишет:

[root@localhost ~]# service squid start
Starting squid service: 2011/01/18 16:14:32| ACL name 'all' not defined!
FATAL: Bungled squid.conf line 44: http_access deny all
Squid Cache (Version 2.6.STABLE17): Terminated abnormally.
                                                                                 [FAILED]

Содержание файла squid.conf:

Код: [Выделить]

auth_param basic program /usr/lib/squid/ncsa_auth /etc/squid/passwd
auth_param basic realm School proxy server

acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32

acl adm proxy_auth adm
acl user proxy_auth user

acl SSL_ports port 443
acl Safe_ports port 80          # http
acl Safe_ports port 21          # ftp
acl Safe_ports port 443         # https
acl Safe_ports port 70          # gopher
acl Safe_ports port 210         # wais
#acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280         # http-mgmt
acl Safe_ports port 488         # gss-http
acl Safe_ports port 591         # filemaker
acl Safe_ports port 777         # multiling http
acl Safe_ports port 901         # SWAT
acl CONNECT method CONNECT

# Белый список сайтов
acl white url_regex "/etc/squid/white.list"
# Дополнительный белый список для административных компьютеров
acl white_adm url_regex "/etc/squid/white_adm.list"

http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

# Разрешаем пользователям ходить по белому списку
http_access allow user white
# Разрешаем административным компьютерам ходить по белому списку
http_access allow adm white
# Добавляем дополнительный белый список для административных компьютеров
http_access allow adm white_adm

http_access allow localhost
http_access allow localhost
http_access deny all
http_access deny !Safe_ports
http_port 3128
hierarchy_stoplist cgi-bin ?
cache_mem 64 MB
cache_dir ufs /var/cache/squid 1024 32 128
access_log /var/log/squid/access.log
#cache_store_log /var/log/squid/store.log
coredump_dir /var/cache/squid
refresh_pattern ^ftp:           1440    20%     10080
refresh_pattern ^gopher:        1440    0%      1440
refresh_pattern -i (/cgi-bin/|\?) 0     0%      0
refresh_pattern .               0       20%     4320
shutdown_lifetime 3 seconds
visible_hostname school-proxy
error_directory /usr/share/squid/errors/Russian-1251


[ruslandh]

http_access deny all
ACL name 'all' not defined!

Где-то должно быть прописано что такое all, типа
acl all src 0/0

PS Наверное, где-то есть стандартное место для таких определений, но я не углублялся.

[7Sky]

добавил "acl all src 192.168.0.1/192.168.0.224" вроде запустился,
но правильно ли я сделал?

http_access deny all - что вообще это значит и какой диапазон я должен туда был вставить (что он будет делать с этими адресами)?

[ruslandh]

Это значит, что всем, кому вы не разрешили выше, стоит запрет.
Т.е. acl all src 0/0 означает - все, вы-же, определив
acl all src 192.168.0.1/192.168.0.22, сказали, что все - только те, кто в сети 192.168.0.1/192.168.0.2, остальным значит можно.

[bormant]

7Sky, нет, неправильно.

Немного хитрее :)

#       http_access allow|deny [!]aclname ...
#
#       NOTE on default values:
#
#       If there are no "access" lines present, the default is to deny
#       the request.
#
#       If none of the "access" lines cause a match, the default is the
#       opposite of the last line in the list.  If the last line was
#       deny, the default is allow.  Conversely, if the last line
#       is allow, the default will be deny.  For these reasons, it is a
#       good idea to have an "deny all" or "allow all" entry at the end
#       of your access lists to avoid potential confusion.

что на великом и могучем примерно означает:

Если "access" строки отсутствуют, запрос отклоняется.

Если ни одна из "access" строк не совпала, то выполняется действие, противоположное последней строке списка. Если последняя строка "deny" (отклонить), то будет применено действие allow (разрешить). Наоборот, если последняя строка "allow" (разрешить), будет применено действие deny (отклонить). По этим причинам хорошей идеей будет указать "deny all" или "allow all" в конце списка для исключения возможной путаницы.

От себя: all тут именно с целью совпадения любого пакета (acl all src all или acl all src 0.0.0.0/0.0.0.0) и устранения ситуации "Если ни одна из "access" строк не совпала".
А вот в ситуации, когда последнее правило "отклонить", а критерий не покрывает все возможные варианты, получаем то самое "оборотное зелье" -- всем, не упомянутым в списке правил, окажется "можно".

[7Sky]

Благодарю ruslandh и bormant за подробные разъяснения.
Изменил на acl all src 0.0.0.0/0.0.0.0
Буду дальше пытаться настраивать всю эту чудо систему...