Freesco, NND, CDN, EOS
http://forum.freesco.pl/

Provider>Maszyna NND>Maszyna Dansguardian>[SOLVED]
http://forum.freesco.pl/viewtopic.php?f=34&t=17964
Strona 2 z 2

Autor:  mes mariusz [ środa, 17 marca 2010, 01:54 ]
Tytuł: 

Jutro walczę dalej.
Saturas pisze:
Idąc dalej... wpisujesz ip na ślepo? czyli to co ktoś poda? dostosowujesz to do siebie?


No przecież chyba wyraźnie napisałem:

Cytuj:
Dla przypomnienia:

Główny NND-router w sieci: 192.168.0.1 (firewall ze strony http://listonosz.com.pl/)
Maszyna pełniąca funkcję proxy+squid NND squid: 192.168.0.2 (firewall wyłączony)

Dla dowolnego komputera w sieci, w przeglądarce ustawiając proxy 192.168.0.2 i port 8080 Dansguardian działa wyśmienicie. Chcę jednak aby ruch WWW z dowolnego komputera w sieci (później tylko z wybranych IP) zawsze szedł przez 192.168.0.2 bez konieczności konfigurowania proxy.

Autor:  mes mariusz [ środa, 17 marca 2010, 17:01 ]
Tytuł: 

Saturas pisze:
Odnośnie (111) Connection refused - sprawdź ACL w squidzie.

Rzeczywiście jest to komunikat generowany przez Dansguardiana:

: [/] [] ()
BŁĄD
Żądany URL nie może zostać sprowadzony

Podczas sprowadzania URL-a: http://www.google.pl/

wystąpił następujący błąd:

    * Nie można zrealizować połączenia

System zwrócił następującą wartość:

    (111) Connection refused

Serwer źródłowy lub sieć mogą być nieczynne. Spróbuj ponowić żądanie później.
Generated Wed, 17 Mar 2010 15:47:06 GMT by Dansguardian (squid/2.6.STABLE18)


Co ciekawe pojawia się on dopiero po wprowadzeniu na routerze reguły:
iptables -t nat -A PREROUTING -s 192.168.0.0/24 -p tcp --dport 80 -j REDIRECT --to 192.168.0.2

(przekierowanie portu 80 na 8080 ustawione jest bezpośrednio na maszynie z Dansguardianem)

Przed ustawieniem tej reguły (na routerze) dansguardian działa prawidłowo (oczywiście konieczne jest ręczne skonfigurowanie przeglądarek na proxy).

Po wprowadzeniu tej reguły:

a). przeglądarki bez ustawionego proxy w ogóle nie mają dostępu do stron WWW
b). przeglądarki z ręcznie ustawionym proxy wyświetlają komunikat jak wyżej.

Autor:  Saturas [ środa, 17 marca 2010, 18:50 ]
Tytuł: 

Wlep swoje pliki konfiguracyjne od squida i dansguardiana.

Autor:  mes mariusz [ środa, 17 marca 2010, 19:15 ]
Tytuł: 

Wygląda na to, że pliki za długie do wklejenia za pomocą tagów code.

Wklejam więc inaczej:

squid.conf
http://wklej.org/hash/a1c218205fe/

dansguardian.conf
http://wklej.org/hash/afd1e3edff5/

dansguardianf1.conf
http://wklej.org/hash/51f7c251156/

Autor:  Maciek [ środa, 17 marca 2010, 21:25 ]
Tytuł: 

No więc tak, wkurzyłem się i sprawdziłem dokładnie.
1. Na maszynie z dansguardianem otwieramy tylko port 8080 lub wyłączamy firewall. Stosowny fragment pliku firewall:
: [/] [] ()
# zaplotkuj jesli nie chcesz udostepniac serwisu  http do inetu
    if [ "$WWW" = "1" ]; then
        $i -A INPUT -p tcp -i $EXTIF --dport 80 -j ACCEPT 2>$LOGFILE
        ## dopisujemy
        $i -A INPUT -p tcp -i $EXTIF --dport 8080 -j ACCEPT 2>$LOGFILE
    fi

Na routerze trochę więcej wpisów. Sprawdziłem to ze standardowym firewallem z NND, jeśli ktoś ma inny firewall, to niech sam kombinuje kolejność, albo dodatkowe polecenia sobie doda w rc.local.
: [/] [] ()
# Wszystkie polaczenia z innych interfejsow niz interfejs do internetu pozwalamy
        $i -A INPUT -i ! $EXTIF  -j ACCEPT 2>$LOGFILE
        $i -A FORWARD -i ! $EXTIF -j ACCEPT 2>$LOGFILE
        ### forward dla maszyny z dansem
        iptables -A FORWARD -d 192.168.0.253 -j ACCEPT

    # i maskujemy
        if [ "$NETWORK" = "1" ]; then
            $i -t nat -A POSTROUTING  -o $EXTIF -j MASQUERADE 2>$LOGFILE
            ##### maskarada dla squida z dansem
            iptables -t nat -A POSTROUTING -p tcp -d 192.168.0.253 --dport 8080 -j MASQUERADE
        fi
    fi
    ### dopisane
    iptables -t nat -A PREROUTING ! -s 192.168.0.253 ! -d 192.168.0.253 -p tcp --dport 80 -j DNAT --to 192.168.0.253:8080
    # Zezwalamy na wszystko co odbywa sie w ramach juz dozwolonych polaczen


Uwaga! W moim teście maszyna z dansguardianem miała IP 192.168.0.253 (trzeba to sobie dostosować).
I jeszcze jedno. Propozycja Zciecha nie działała dlatego, ze bez ! -s IP_DANSGUARDIANA ! -d IP_DANSGUARDIANA regułka się zapętlała.

Autor:  mes mariusz [ czwartek, 18 marca 2010, 02:14 ]
Tytuł: 

Maciek jesteś wielki !. Nie wiem co ja bym czasem bez Ciebie zrobił :)

Zaraz wprowadzam regułki i sprawdzam, czy u mnie też działa :)

--- edit ---

Rewelacja, wszystko działa!!! :D

Autor:  raflikks [ czwartek, 10 lutego 2011, 13:51 ]
Tytuł: 

Ze względu na to, iż nie chciałem zakładać nowego tematu podepne się pod ten wątek.

Info:
192.168.0.1 - Router NND
192.168.0.10 - Squid

Zastosowałem regułki od Maciek adoptując do swojej sieci
: [/] [] ()
iptables -A FORWARD -d 192.168.0.10 -j ACCEPT
iptables -t nat -A POSTROUTING -p tcp -d 192.168.0.10 --dport 8080 -j MASQUERADE
iptables -t nat -A PREROUTING ! -s 192.168.0.10 ! -d 192.168.0.10 -p tcp --dport 80 -j DNAT --to 192.168.0.10:8080


Wszystko działa ok, tylko ze w access.log nie zapisują się logi stron otwieranych kompów tylko adres routera 192.168.0.1
Co należy zmienic w regułkach iptables bądź w samym squidzie by w access.log pojawiały się IP kompów otwierających stronki?
Próbowałem w squid.conf wstawić:
: [/] [] ()
follow_x_forwarded_for allow all

ale bez rezultatów.

Autor:  Maciek [ czwartek, 10 lutego 2011, 15:58 ]
Tytuł: 

Taka już uroda squida. Dansguardian potrafi zanotować w logu adres maszyny źródłowej. Nie jestem pewny, czy bez dansguardiana da się to obejść.

Autor:  tasiorek [ czwartek, 10 lutego 2011, 16:06 ]
Tytuł: 

Tak da sie to obejsc nie maskujac polaczen do squida.
Jednak przy obecnej konfiguracji przekirowanie na transparentne proxy przestanie dzialac. IMHO najlepszym rozwiazaniem jest przeniesienie maszyny ze squidem na inny interfejs, lub jesli sie nie da, to na inna klase adresowa.

Autor:  raflikks [ czwartek, 10 lutego 2011, 17:59 ]
Tytuł: 

Dzięki za szybkie odpowiedzi. W przeciągu kilku dni sprawdzę wasze sugestie. W pierwszej kolejności przetestuję radę tasiorka gdyż dansa jeszcze nie testowałem- ale mam w zamiarze.
Obecnie mam na eth0 192.168.0.10 sambe i squida, więc muszę zmienić interfejs na 172.16.0.10
Na routerze 192.168.0.1 przekierowanie:
: [/] [] ()
iptables -A FORWARD -d 172.16.0.10 -j ACCEPT
iptables -t nat -A POSTROUTING -p tcp -d 172.16.0.10 --dport 8080 -j MASQUERADE
iptables -t nat -A PREROUTING ! -s 172.16.0.10 ! -d 172.16.0.10 -p tcp --dport 80 -j DNAT --to 172.16.0.10:8080

Mniej więcej tak to ma wyglądać?
ta 2 linijka z makaradą też ma być? Będe wdzieczny za wskazówki.

Autor:  tasiorek [ piątek, 11 lutego 2011, 09:51 ]
Tytuł: 

Nie, ta druga linie pomin.

Autor:  raflikks [ piątek, 18 lutego 2011, 13:58 ]
Tytuł: 

Maciek, zainstalowałem dansa, pracuje poprawnie ale nadal jest ten sam problem w logach. Nie ma logowania IP klientów tylko IP routera 192.168.0.1

192.168.0.10 - squid, dansguardian
192.168.0.1 - router NND

Dodałem do squid'a:
: [/] [] ()
follow_x_forwarded_for allow localhost
acl_uses_indirect_client on
delay_pool_uses_indirect_client on
log_uses_indirect_client on

a do dansa:
: [/] [] ()
forwardedfor = on

Dodatkowe tez zmieniłem format logów dansa na format logów squid'a. Da się jeszcze coś z tym zrobić by były zapisywane IP klientów? Jak nie dam rady z dansem to spróbuje opcji tasiorka.

Autor:  Maciek [ piątek, 18 lutego 2011, 14:08 ]
Tytuł: 

Nie miałem nigdy maszyny ze squidem na wewnętrznym IP w LAN, zawsze na routerze. W tej chwili nawet nie mam czasu na symulację tego na Virtualboxie.
Obawiam się, że faktycznie przy zastosowaniu transparent proxy, to tak będzie.

Strona 2 z 2 Strefa czasowa UTC+2godz.
Powered by phpBB® Forum Software © phpBB Group
https://www.phpbb.com/