Freesco, NND, CDN, EOS

http://www.freesco.pl
Dzisiaj jest czwartek, 28 marca 2024, 22:53

Strefa czasowa UTC+2godz.




Nowy temat Odpowiedz w temacie  [ Posty: 33 ]  Przejdź na stronę Poprzednia  1, 2
Autor Wiadomość
 Tytuł:
Post: środa, 17 marca 2010, 01:54 
Offline
Użytkownik

Rejestracja: niedziela, 23 września 2007, 14:35
Posty: 477
Jutro walczę dalej.
Saturas pisze:
Idąc dalej... wpisujesz ip na ślepo? czyli to co ktoś poda? dostosowujesz to do siebie?


No przecież chyba wyraźnie napisałem:

Cytuj:
Dla przypomnienia:

Główny NND-router w sieci: 192.168.0.1 (firewall ze strony http://listonosz.com.pl/)
Maszyna pełniąca funkcję proxy+squid NND squid: 192.168.0.2 (firewall wyłączony)

Dla dowolnego komputera w sieci, w przeglądarce ustawiając proxy 192.168.0.2 i port 8080 Dansguardian działa wyśmienicie. Chcę jednak aby ruch WWW z dowolnego komputera w sieci (później tylko z wybranych IP) zawsze szedł przez 192.168.0.2 bez konieczności konfigurowania proxy.


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: środa, 17 marca 2010, 17:01 
Offline
Użytkownik

Rejestracja: niedziela, 23 września 2007, 14:35
Posty: 477
Saturas pisze:
Odnośnie (111) Connection refused - sprawdź ACL w squidzie.

Rzeczywiście jest to komunikat generowany przez Dansguardiana:

: [/] [] ()
BŁĄD
Żądany URL nie może zostać sprowadzony

Podczas sprowadzania URL-a: http://www.google.pl/

wystąpił następujący błąd:

    * Nie można zrealizować połączenia

System zwrócił następującą wartość:

    (111) Connection refused

Serwer źródłowy lub sieć mogą być nieczynne. Spróbuj ponowić żądanie później.
Generated Wed, 17 Mar 2010 15:47:06 GMT by Dansguardian (squid/2.6.STABLE18)


Co ciekawe pojawia się on dopiero po wprowadzeniu na routerze reguły:
iptables -t nat -A PREROUTING -s 192.168.0.0/24 -p tcp --dport 80 -j REDIRECT --to 192.168.0.2

(przekierowanie portu 80 na 8080 ustawione jest bezpośrednio na maszynie z Dansguardianem)

Przed ustawieniem tej reguły (na routerze) dansguardian działa prawidłowo (oczywiście konieczne jest ręczne skonfigurowanie przeglądarek na proxy).

Po wprowadzeniu tej reguły:

a). przeglądarki bez ustawionego proxy w ogóle nie mają dostępu do stron WWW
b). przeglądarki z ręcznie ustawionym proxy wyświetlają komunikat jak wyżej.


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: środa, 17 marca 2010, 18:50 
Offline
MODERATOR

Rejestracja: środa, 24 października 2007, 15:30
Posty: 329
Lokalizacja: Sadowne
Wlep swoje pliki konfiguracyjne od squida i dansguardiana.

_________________
Polska Grupa Freesco
medhost - Kompleksowe rozwiązania informatyczne
Przychodnia Optima Koszarska Rudnicka


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: środa, 17 marca 2010, 19:15 
Offline
Użytkownik

Rejestracja: niedziela, 23 września 2007, 14:35
Posty: 477
Wygląda na to, że pliki za długie do wklejenia za pomocą tagów code.

Wklejam więc inaczej:

squid.conf
http://wklej.org/hash/a1c218205fe/

dansguardian.conf
http://wklej.org/hash/afd1e3edff5/

dansguardianf1.conf
http://wklej.org/hash/51f7c251156/


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: środa, 17 marca 2010, 21:25 
Offline
Honorowy Admin

Rejestracja: piątek, 5 lipca 2002, 17:30
Posty: 7800
Lokalizacja: Słupsk
No więc tak, wkurzyłem się i sprawdziłem dokładnie.
1. Na maszynie z dansguardianem otwieramy tylko port 8080 lub wyłączamy firewall. Stosowny fragment pliku firewall:
: [/] [] ()
# zaplotkuj jesli nie chcesz udostepniac serwisu  http do inetu
    if [ "$WWW" = "1" ]; then
        $i -A INPUT -p tcp -i $EXTIF --dport 80 -j ACCEPT 2>$LOGFILE
        ## dopisujemy
        $i -A INPUT -p tcp -i $EXTIF --dport 8080 -j ACCEPT 2>$LOGFILE
    fi

Na routerze trochę więcej wpisów. Sprawdziłem to ze standardowym firewallem z NND, jeśli ktoś ma inny firewall, to niech sam kombinuje kolejność, albo dodatkowe polecenia sobie doda w rc.local.
: [/] [] ()
# Wszystkie polaczenia z innych interfejsow niz interfejs do internetu pozwalamy
        $i -A INPUT -i ! $EXTIF  -j ACCEPT 2>$LOGFILE
        $i -A FORWARD -i ! $EXTIF -j ACCEPT 2>$LOGFILE
        ### forward dla maszyny z dansem
        iptables -A FORWARD -d 192.168.0.253 -j ACCEPT

    # i maskujemy
        if [ "$NETWORK" = "1" ]; then
            $i -t nat -A POSTROUTING  -o $EXTIF -j MASQUERADE 2>$LOGFILE
            ##### maskarada dla squida z dansem
            iptables -t nat -A POSTROUTING -p tcp -d 192.168.0.253 --dport 8080 -j MASQUERADE
        fi
    fi
    ### dopisane
    iptables -t nat -A PREROUTING ! -s 192.168.0.253 ! -d 192.168.0.253 -p tcp --dport 80 -j DNAT --to 192.168.0.253:8080
    # Zezwalamy na wszystko co odbywa sie w ramach juz dozwolonych polaczen


Uwaga! W moim teście maszyna z dansguardianem miała IP 192.168.0.253 (trzeba to sobie dostosować).
I jeszcze jedno. Propozycja Zciecha nie działała dlatego, ze bez ! -s IP_DANSGUARDIANA ! -d IP_DANSGUARDIANA regułka się zapętlała.

_________________
Obrazek Belfer.one.PL
Obrazek Audio Cafe


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: czwartek, 18 marca 2010, 02:14 
Offline
Użytkownik

Rejestracja: niedziela, 23 września 2007, 14:35
Posty: 477
Maciek jesteś wielki !. Nie wiem co ja bym czasem bez Ciebie zrobił :)

Zaraz wprowadzam regułki i sprawdzam, czy u mnie też działa :)

--- edit ---

Rewelacja, wszystko działa!!! :D


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: czwartek, 10 lutego 2011, 13:51 
Offline

Rejestracja: piątek, 29 sierpnia 2008, 12:28
Posty: 22
Ze względu na to, iż nie chciałem zakładać nowego tematu podepne się pod ten wątek.

Info:
192.168.0.1 - Router NND
192.168.0.10 - Squid

Zastosowałem regułki od Maciek adoptując do swojej sieci
: [/] [] ()
iptables -A FORWARD -d 192.168.0.10 -j ACCEPT
iptables -t nat -A POSTROUTING -p tcp -d 192.168.0.10 --dport 8080 -j MASQUERADE
iptables -t nat -A PREROUTING ! -s 192.168.0.10 ! -d 192.168.0.10 -p tcp --dport 80 -j DNAT --to 192.168.0.10:8080


Wszystko działa ok, tylko ze w access.log nie zapisują się logi stron otwieranych kompów tylko adres routera 192.168.0.1
Co należy zmienic w regułkach iptables bądź w samym squidzie by w access.log pojawiały się IP kompów otwierających stronki?
Próbowałem w squid.conf wstawić:
: [/] [] ()
follow_x_forwarded_for allow all

ale bez rezultatów.


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: czwartek, 10 lutego 2011, 15:58 
Offline
Honorowy Admin

Rejestracja: piątek, 5 lipca 2002, 17:30
Posty: 7800
Lokalizacja: Słupsk
Taka już uroda squida. Dansguardian potrafi zanotować w logu adres maszyny źródłowej. Nie jestem pewny, czy bez dansguardiana da się to obejść.

_________________
Obrazek Belfer.one.PL
Obrazek Audio Cafe


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: czwartek, 10 lutego 2011, 16:06 
Offline
MODERATOR

Rejestracja: sobota, 30 lipca 2005, 14:08
Posty: 3984
Lokalizacja: Rzeszów
Tak da sie to obejsc nie maskujac polaczen do squida.
Jednak przy obecnej konfiguracji przekirowanie na transparentne proxy przestanie dzialac. IMHO najlepszym rozwiazaniem jest przeniesienie maszyny ze squidem na inny interfejs, lub jesli sie nie da, to na inna klase adresowa.

_________________
FAQ dla NND: http://nnd-linux.pl/faq.php
Doswiadczenie, to cos, co zdobywasz tuz po chwili w ktorej go potrzebowales.


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: czwartek, 10 lutego 2011, 17:59 
Offline

Rejestracja: piątek, 29 sierpnia 2008, 12:28
Posty: 22
Dzięki za szybkie odpowiedzi. W przeciągu kilku dni sprawdzę wasze sugestie. W pierwszej kolejności przetestuję radę tasiorka gdyż dansa jeszcze nie testowałem- ale mam w zamiarze.
Obecnie mam na eth0 192.168.0.10 sambe i squida, więc muszę zmienić interfejs na 172.16.0.10
Na routerze 192.168.0.1 przekierowanie:
: [/] [] ()
iptables -A FORWARD -d 172.16.0.10 -j ACCEPT
iptables -t nat -A POSTROUTING -p tcp -d 172.16.0.10 --dport 8080 -j MASQUERADE
iptables -t nat -A PREROUTING ! -s 172.16.0.10 ! -d 172.16.0.10 -p tcp --dport 80 -j DNAT --to 172.16.0.10:8080

Mniej więcej tak to ma wyglądać?
ta 2 linijka z makaradą też ma być? Będe wdzieczny za wskazówki.


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: piątek, 11 lutego 2011, 09:51 
Offline
MODERATOR

Rejestracja: sobota, 30 lipca 2005, 14:08
Posty: 3984
Lokalizacja: Rzeszów
Nie, ta druga linie pomin.

_________________
FAQ dla NND: http://nnd-linux.pl/faq.php
Doswiadczenie, to cos, co zdobywasz tuz po chwili w ktorej go potrzebowales.


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: piątek, 18 lutego 2011, 13:58 
Offline

Rejestracja: piątek, 29 sierpnia 2008, 12:28
Posty: 22
Maciek, zainstalowałem dansa, pracuje poprawnie ale nadal jest ten sam problem w logach. Nie ma logowania IP klientów tylko IP routera 192.168.0.1

192.168.0.10 - squid, dansguardian
192.168.0.1 - router NND

Dodałem do squid'a:
: [/] [] ()
follow_x_forwarded_for allow localhost
acl_uses_indirect_client on
delay_pool_uses_indirect_client on
log_uses_indirect_client on

a do dansa:
: [/] [] ()
forwardedfor = on

Dodatkowe tez zmieniłem format logów dansa na format logów squid'a. Da się jeszcze coś z tym zrobić by były zapisywane IP klientów? Jak nie dam rady z dansem to spróbuje opcji tasiorka.


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: piątek, 18 lutego 2011, 14:08 
Offline
Honorowy Admin

Rejestracja: piątek, 5 lipca 2002, 17:30
Posty: 7800
Lokalizacja: Słupsk
Nie miałem nigdy maszyny ze squidem na wewnętrznym IP w LAN, zawsze na routerze. W tej chwili nawet nie mam czasu na symulację tego na Virtualboxie.
Obawiam się, że faktycznie przy zastosowaniu transparent proxy, to tak będzie.

_________________
Obrazek Belfer.one.PL
Obrazek Audio Cafe


Na górę
 Wyświetl profil  
 
Wyświetl posty nie starsze niż:  Sortuj wg  
Nowy temat Odpowiedz w temacie  [ Posty: 33 ]  Przejdź na stronę Poprzednia  1, 2

Strefa czasowa UTC+2godz.


Kto jest online

Użytkownicy przeglądający to forum: Obecnie na forum nie ma żadnego zarejestrowanego użytkownika i 9 gości


Nie możesz tworzyć nowych tematów
Nie możesz odpowiadać w tematach
Nie możesz zmieniać swoich postów
Nie możesz usuwać swoich postów
Nie możesz dodawać załączników

Szukaj:
Przejdź do:  
cron
Technologię dostarcza phpBB® Forum Software © phpBB Group
Hosting: Compus-Net
RobertKonik.pl