Вопрос по allow_urls

[LiSS]

Добрый день!
У меня сейчас стоит rejik версия 3.2.8
Выяснилось что если allow_urls стоит и глобально и в секциях, то правило не работает. Если же только глобально - все нормально, если есть allow_urls в секции (глобально нет) тоже работает.
Может в новой версии есть изменения?
И еще заметил что файл кеша allow_urls создает в директории соответствующей первой секции. Вот например кусок моего конфига:

error_log /var/log/squid/redirector.err
change_log /var/log/squid/redirector.log
make-cache /etc/squid/rejik3/make-cache
allow_urls /etc/squid/rejik3/banlists/allow_urls

allow_ip f:/etc/squid/rejik3/access/boss.ip
allow_id f:/etc/squid/rejik3/access/boss.logins

<BANNER>
ban_dir /etc/squid/rejik3/banlists/banners
#url http://127.0.0.1/ban/1x1.gif
url http://192.168.64.1/ban/1x1.gif
allow_ip f:/etc/squid/rejik3/access/banners.users
#log off

<PORNO>
ban_dir /etc/squid/rejik3/banlists/porno
#url http://127.0.0.1/ban/porno.html
url http://192.168.64.1/ban/ERR_PORNO.html
allow_ip f:/etc/squid/rejik3/access/porno.ip
allow_id f:/etc/squid/rejik3/access/porno.login
.
.
.
.
и соответственно allow_urls.cache создается в директории /etc/squid/rejik3/banlists/banners
Так и должно быть?
Надеюсь я понятно объяснил суть вопроса

[Slava]

allow_urls - только глобальная опция, по секциям не работает.
Где бы Вы её не вписали, все равно будет работать глобально.
Её кэш создается в папке первой секции.

[LiSS]

Спасибо! Понятно.
Тогда пожелание - сделать allow_urls в секциях (это вроде в планах было) тогда кэш логично располагать рядом с файлом. Или игнорировать секционные allow_urls (или выдавать предупреждения)
И еще пожелание - вывести расположение lock.file в Makefile чтобы можно было поместить в другое место по желанию.
Или пожелания разместить в объявления?

[Slava]

Делать в секциях в планах нет и не будет, так как я считаю это идеологически неправильным.
Игнорировать секционные allow_urls - можно сделать.

Не совсем понимаю, зачем менять расположение lock.file?

[LiSS]

Ну, просто мне кажется lock файл лучше поместить куда-нибудь в \var\run больше по идеологическим соображениям.
А игнорировать секционные allow_urls желательно сделать потому что явно это нигде не задокументировано, и я заметил,что она не работает, пока пользователи не позвонили.
Я rejik использую также для ограничения траффика, но некоторые ресурсы должны быть доступны и после превышения лимита.

[maksnl]

Не уверен что я правильно понял Вас но все таки может лучше использовать секционную опцию reverse для разрешения только отдельных url отдельным пользователям?

[LiSS]

Я сейчас так и делаю. Но сначала я добавил allow_urls в секцию, потом еще глобально и выяснилось что так не работает. Поэтому желательно сделать игнорирование секционных allow_urls.
И еще одно пожелание.
У меня часть пользователей ходят в интернет по логину, часть по ip-адресу, поэтому пришлось сделать две секции:
<LIMIT_ID>
ban_dir /etc/squid/rejik3/banlists/limit
url http://192.168.64.1/ban/ERR_LIMIT_2.html
allow_id f:/etc/squid/rejik3/access/limit.logins
work_id f:/etc/sarg/limit.logins
#work_ip f:/etc/sarg/limit.ip
reverse

<LIMIT_IP>
ban_dir /etc/squid/rejik3/banlists/limit
url http://192.168.64.1/ban/ERR_LIMIT_2.html
allow_ip f:/etc/squid/rejik3/access/limit.ip
#work_id f:/etc/sarg/limit.logins
work_ip f:/etc/sarg/limit.ip
reverse

можно сделать чтобы work_id и work_ip можно было использовать вместе?

[Slava]

можно сделать чтобы work_id и work_ip можно было использовать вместе?

Их можно использовать вместе, но не в случае с reverse, логика работы другая.

[LiSS]

Ясно. Спасибо.

[Slava]

Ну, просто мне кажется lock файл лучше поместить куда-нибудь в \var\run больше по идеологическим соображениям.

Тут есть подводный камень - ограничение пользователя сквида, причем на разных системах по разному и в разные папки.
По этому, я решил писать лок в папку, куда режику точно разрешена запись, в папку секции.

А игнорировать секционные allow_urls желательно сделать потому что явно это нигде не задокументировано, и я заметил,что она не работает, пока пользователи не позвонили.

Попробуйте http://rejik.ru/download/redirector-3.2.11.tgz

[LiSS]

Спасибо за ответ. Сейчас пока со временем туго, но в течение месяца постараюсь попробовать.
Да! еще забыл - rejik не может записать лог файлы больше 2 гб, в принципе это не напрягает, но может тоже поправить?

[Slava]

Режик пользуется стандартными функциями печати в файл, по крайней мере у себя я проблему повторить не смог:
ls -lah redirector.log
-rw-r--r-- 1 squid squid 3,4G Окт 4 10:32 redirector.log

Возможно дело в ограничении файловой системе на Вашем сервере или сильно устаревшие стандартные библиотеки?

попробуйте вручную создать файл, появятся ли ошибки?:
dd if=/dev/zero of=test.file bs=1G count=3

Спасибо за ответ. Сейчас пока со временем туго, но в течение месяца постараюсь попробовать.
Да! еще забыл - rejik не может записать лог файлы больше 2 гб, в принципе это не напрягает, но может тоже поправить?

[LiSS]

файл создался без ошибок, размер 3 Гб. Ладно, попробую отключить ротацию посмотрю что получится.

[Slava]

Есть ещё один критерий - чем больше режик пишет в лог, тем медленнее он работает, так ка дисковые операции сравнительно затратны.
Есть смысл отключить логирование таких секций, как банеры.
Сработок там много, в лог соответственно, тоже пишется много, а информация об этих сработках обычно оказывается ненужной.