Zobacz poprzedni temat :: Zobacz następny temat |
Autor |
Wiadomość |
Maciek Administrator
Dołączył: 01 Nov 2004 Posty: 2225 Pomógł: 23 Skąd: z Księżyca
|
Wysłany: Sat Mar 29, 2008 6:25 pm Temat postu: Dansguardian |
|
|
Informuję, że w NND pjawił się pakiet dansguardian, który we współpracy ze squidem i clamavem zapewnia filtrowanie treści i ochrone antywirusową. Pakiet obecnie jest testowany w dwóch pracowniach szkolnych i pracuje prawidłowo.
Artykuł na ten temat na www.nnd-linux.pl |
|
Powrót do góry |
|
|
ligan Użytkownik Forum
Dołączył: 11 Jun 2006 Posty: 63 Skąd: Gryfino
|
Wysłany: Sat Mar 29, 2008 8:42 pm Temat postu: |
|
|
Dodam, że od 2 lat pakiet ten pracuje u mnie w szkole.
Nie narzekam. _________________ Zespół Szkół
Gryfino |
|
Powrót do góry |
|
|
butek Użytkownik Forum
Dołączył: 28 Dec 2007 Posty: 191 Skąd: Sierpc
|
Wysłany: Fri Dec 21, 2012 10:56 am Temat postu: Dansguardian |
|
|
Kod: |
# polaczenia nawiazane
iptables -A INPUT -j ACCEPT -m state --state ESTABLISHED,RELATED
iptables -A FORWARD -j ACCEPT -m state --state ESTABLISHED,RELATED
iptables -A OUTPUT -j ACCEPT -m state --state ESTABLISHED,RELATED
# udostepniaie internetu w sieci lokalnej
iptables -t filter -A FORWARD -s 172.23.198.0/255.255.255.0 -d 0/0 -j ACCEPT
iptables -t filter -A FORWARD -s 0/0 -d 172.23.198.0/255.255.255.0 -j ACCEPT
iptables -t nat -N MOODLE
iptables -t nat -N PREZI
iptables -t nat -A PREROUTING -s 172.23.198.1 -p tcp --dport 80 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp --dport 80 -j MOODLE
iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 8080
|
Kod: | filterip =
# the port that DansGuardian listens to.
filterport = 8080
# the ip of the proxy (default is the loopback - i.e. this server)
proxyip = 172.23.198.1
# the port DansGuardian connects to proxy on
proxyport = 3128
|
Próbuję włączyć Dansguardiana i ma problem.
1) Kod: | /etc/init.d/dansguardian start | - Dansguardian nie wstaje , to uruchamiam /usr/sbin/dansguardian (bez żadnych parametrów, czy Dansguardian poszuka sobie pliku konfugracyjnego ??) i wówczas widać w procesach
2) Kod: | iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 3128 | - przy takich ustawieniach squid chodzi tarnsparentnie bez problemów. Natomiast jak przekieruję ruch na 8080 to w przeglądarkch pusto, ale pingi idą w świat. Ustawienie w przeglądarkch na sztywno IP serwera proxy z portem 8080 nic nie zmienia.
Kod: | iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 8080 |
Czy da się zrobić aby squid był transparentny z włączonym Dansguardianem ? _________________ Mirosław Butajło |
|
Powrót do góry |
|
|
Maciek Administrator
Dołączył: 01 Nov 2004 Posty: 2225 Pomógł: 23 Skąd: z Księżyca
|
Wysłany: Fri Dec 21, 2012 11:44 am Temat postu: |
|
|
Nie bardzo wiem, po co masz te wpisy zacytowane na początku, ale niech tam i będą... o ile nie psują reszty.
Jeśli squid jest na tej samej maszynie co dansguardian to znacznie lepiej jest to robić na localhosice 127.0.0.1, a nie innym IP. Wtedy w squidzie analogicznie jak sekcję "localnet" robisz sekcję dla localhoista.
Jeśli ci się nie uruchamia Dansguardian to najpierw zobacz do logu dlaczego. Powinien uruchamiać się PO squidzie.
Squid ma wpis " http 3128 transparent" i wtedy jest ok. Prawidłowa reguła powinna uwzględniać interfejs wewnętrzny ($INTIF).
Kod: | iptables -t nat -A PREROUTING -i $INTIF -p tcp --dport 80 -j REDIRECT --to-port 8080 |
http://pakiety.cdn.freesco.pl/pgf/firewall-1.2-2PGF-any.pkg.tar.gz - >Tutaj możesz sobie zobaczyć firewall, który jest zastosowany m.in. w EOSie i CDN. _________________ Belfer.one.PL
Autorski Przewodnik Kulturalny |
|
Powrót do góry |
|
|
butek Użytkownik Forum
Dołączył: 28 Dec 2007 Posty: 191 Skąd: Sierpc
|
Wysłany: Fri Dec 21, 2012 9:58 pm Temat postu: |
|
|
Dansguardian zwalony trochę jest . Właśnie takie mam problemy
Kod: | 'downloadmanagers/fancy.cpp' || echo './'`downloadmanagers/fancy.cpp
downloadmanagers/fancy.cpp: In member function `std::string fancydm::timestring(int)':
downloadmanagers/fancy.cpp:507:72: error: `snprintf' was not declared in this scope
make[2]: *** [dansguardian-fancy.o] Error 1
make[2]: Leaving directory `/tmp/dans/dansguardian-2.10.1.1/src'
make[1]: *** [all-recursive] Error 1
make[1]: Leaving directory `/tmp/dans/dansguardian-2.10.1.1'
make: *** [all] Error 2 |
[url]
http://permalink.gmane.org/gmane.comp.web.dansguardian.general/2792[/url] _________________ Mirosław Butajło |
|
Powrót do góry |
|
|
Maciek Administrator
Dołączył: 01 Nov 2004 Posty: 2225 Pomógł: 23 Skąd: z Księżyca
|
|
Powrót do góry |
|
|
butek Użytkownik Forum
Dołączył: 28 Dec 2007 Posty: 191 Skąd: Sierpc
|
Wysłany: Sat Dec 22, 2012 7:42 pm Temat postu: |
|
|
Nie kompiluję tylko podczas pobierania z repo wyskakuje ten sam błąd . Przeczytałem że w najnowszej wersji (ale jeszcze alpha) 2.12 nie ma tego błędu. Skompilowałem ją w domu na swoim kompie i chodzi. Zastanawiam się nad skompilowaniem jej na serwer. Zrobię obraz serwera i pociągnę wersję alpha. _________________ Mirosław Butajło |
|
Powrót do góry |
|
|
Maciek Administrator
Dołączył: 01 Nov 2004 Posty: 2225 Pomógł: 23 Skąd: z Księżyca
|
Wysłany: Sat Dec 22, 2012 8:02 pm Temat postu: |
|
|
Kod z ostatniego postu, to kod wypisywany podczas kompilacji ręcznej programu. Co to jest - Debian? To tym razem - widzę - w swojej beztrosce deweloperzy pojechali po bandzie.
Powinno zadziałać zwykłe apt-get install dansguardian. _________________ Belfer.one.PL
Autorski Przewodnik Kulturalny |
|
Powrót do góry |
|
|
rufusek3 Użytkownik Forum
Dołączył: 30 Jan 2008 Posty: 168 Skąd: Olkusz
|
Wysłany: Fri Dec 28, 2012 7:25 am Temat postu: |
|
|
Podepnę się do tematu. Właśnie jestem przy konfiguracji NND. Sama instalacja NND to rzeczywiście prosta sprawa. Doinstalowanie pakietów też nie należy do większych problemów. Mam jednak pytanie czy po doinstalowaniu squida muszę wykonać jego konfigurację?? Druga sprawa to antywirus - mam już program antywirusowy (GDATA), który nie bardzo chciał się aktualizować przy routerze CDN (wcześniej zainstalowany). Czy ktoś ma doświadczenie jak to odblokować (gdzieś czytałem, że należy odblokować port 7660) na firewall lub instalować aktualizację offline.
Niestety ale tak. Przy próbie uruchomienia serwera proxy squid wyświetla mi komunikat:
FATAL: Could not determine fully qualified host name. Please set 'visible_hostname'
Prawdopodobną przyczyną tego problemu jest to iż przy instalacji ustawiłem nazwę hostname inną niż localhost. Tego nie jestem jednak pewien
Sukces dzięki inetentowi - udało mi się dodałem zmienną w squid.conf
dopisujÄ…c:
visible_hostname sp4
Pojawił się jednak błąd następny, który też pokonałem tzn.
FATAL: Fail to make swap directory /var/cache/00 (13) Premision deniad
Poradziłem sobie - zmieniłem prawa dostępu katalogu.
Mam zamiar dopisać squid do DEMONS w pliku rc.conf i zrobić
reboot |
|
Powrót do góry |
|
|
butek Użytkownik Forum
Dołączył: 28 Dec 2007 Posty: 191 Skąd: Sierpc
|
Wysłany: Fri Dec 28, 2012 11:36 am Temat postu: |
|
|
Zainstalowałem wersję alpha dansguardiana. W domu na jednym komputerze (na opensuse ładnie chodzi ) Natomiast na serwerze wygląda to tak.
Jak włączę Dasnguradian to blokowane jest wszystko z blacklisty przez Danguardiana cała reszta przez Squida
Jak puszczÄ™ ruch na squida to filtruje tylko squid (czyli jest ok)
Wydaje mi się że problem lezy w iptables...
8080 - port dansguardiana
3128 - squid
172.23.198.1 - adres karty sieci lokalnej
192.168.1.35 - wyjście na świat
Kod: | echo 1 > /proc/sys/net/ipv4/ip_forward
# czyszczenie starych regul
iptables -F
iptables -X
iptables -t nat -X
iptables -t nat -F
# ustawienie polityki dzialania
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
iptables -A OUTPUT -p tcp --dport 8074 -j DROP
iptables -A INPUT -p udp --dport 22 -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -p tcp --dport 25 -j ACCEPT
iptables -A INPUT -p udp --dport 631 -j ACCEPT
iptables -A INPUT -p tcp --dport 631 -j ACCEPT
iptables -A INPUT -p udp --dport 443 -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -j ACCEPT
iptables -A INPUT -p tcp --dport 4443 -j ACCEPT
iptables -A INPUT -p tcp --dport 4443 -j ACCEPT
iptables -A INPUT -p tcp --dport 135 -j ACCEPT
iptables -A INPUT -p udp --dport 137 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 135 -j ACCEPT
iptables -A OUTPUT -p udp --dport 137 -j ACCEPT
iptables -A INPUT -p tcp --dport 8080 -j ACCEPT
iptables -A INPUT -i eth1 -s 172.23.198.0/24 -j ACCEPT
iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT
iptables -A INPUT -p tcp --dport 9400 -m state --state NEW -j ACCEPT
iptables -A INPUT -p tcp --dport 9401 -m state --state NEW -j ACCEPT
iptables -A INPUT -p tcp --dport 9402 -m state --state NEW -j ACCEPT
iptables -A INPUT -p tcp --dport 9403 -m state --state NEW -j ACCEPT
iptables -A INPUT -p tcp --dport 111 -m state --state NEW -j ACCEPT
iptables -A INPUT -p tcp --dport 2049 -m state --state NEW -j ACCEPT
iptables -A INPUT -p tcp --dport 631 -m state --state NEW -j ACCEPT
iptables -A INPUT -p tcp --dport 135 -m state --state NEW -j ACCEPT
iptables -A INPUT -p udp --dport 137 -m state --state NEW -j ACCEPT
iptables -A INPUT -p udp --dport 138 -m state --state NEW -j ACCEPT
iptables -A INPUT -p tcp --dport 139 -m state --state NEW -j ACCEPT
iptables -A INPUT -p tcp --dport 445 -m state --state NEW -j ACCEPT
iptables -A INPUT -p tcp --dport 8080 -m state --state NEW -j ACCEPT
iptables -A INPUT -p tcp --dport 3128 -m state --state NEW -j ACCEPT
iptables -A INPUT -p udp --dport 8080 -m state --state NEW -j ACCEPT
iptables -A INPUT -p udp --dport 3128 -m state --state NEW -j ACCEPT
iptables -I FORWARD -p tcp -s 172.23.198.0/24 --dport 9400 -j ACCEPT
iptables -I FORWARD -p tcp -s 172.23.198.0/24 --dport 9401 -j ACCEPT
iptables -I FORWARD -p tcp -s 172.23.198.0/24 --dport 9402 -j ACCEPT
iptables -I FORWARD -p tcp -s 172.23.198.0/24 --dport 9403 -j ACCEPT
iptables -I FORWARD -p tcp -s 172.23.198.0/24 --dport 111 -j ACCEPT
iptables -I FORWARD -p tcp -s 172.23.198.0/24 --dport 2049 -j ACCEPT
iptables -A INPUT -p tcp -s 172.23.198.0/24 --dport 631 -j ACCEPT
iptables -A FORWARD -p tcp -s 172.23.198.0/24 --dport 631 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 9400 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -p tcp --dport 9401 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -p tcp --dport 9402 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -p tcp --dport 9403 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -p tcp --dport 111 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -p tcp --dport 2049 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -p tcp --dport 631 -m state --state NEW -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A FORWARD -o lo -j ACCEPT
iptables -A INPUT -s 0/0 -d 172.23.198.1 -p tcp --dport 22 -j ACCEPT
iptables -A OUTPUT -s 0/0 -d 172.23.198.1 -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -s 0/0 -d 172.23.198.1 -p udp --dport 22 -j ACCEPT
iptables -A OUTPUT -s 0/0 -d 172.23.198.1 -p udp --dport 22 -j ACCEPT
iptables -A INPUT -s 0/0 -d 172.23.198.1 -p tcp --dport 3128 -j ACCEPT
iptables -A OUTPUT -s 0/0 -d 172.23.198.1 -p tcp --dport 3128 -j ACCEPT
iptables -A INPUT -s 0/0 -d 172.23.198.1 -p udp --dport 3128 -j ACCEPT
iptables -A OUTPUT -s 0/0 -d 172.23.198.1 -p udp --dport 3128 -j ACCEPT
iptables -A INPUT -s 0/0 -d 172.23.198.1 -p tcp --dport 631 -j ACCEPT
iptables -A INPUT -s 0/0 -d 172.23.198.1 -p tcp --dport 8080 -j ACCEPT
iptables -A OUTPUT -s 0/0 -d 172.23.198.1 -p tcp --dport 8080 -j ACCEPT
iptables -A INPUT -s 0/0 -d 172.23.198.1 -p udp --dport 8080 -j ACCEPT
iptables -A OUTPUT -s 0/0 -d 172.23.198.1 -p udp --dport 8080 -j ACCEPT
iptables -A INPUT -s 0/0 -d 172.23.198.1 -p tcp --dport 111 -j ACCEPT
iptables -A INPUT -s 0/0 -d 172.23.198.1 -p tcp --dport 9400 -j ACCEPT
iptables -A INPUT -s 0/0 -d 172.23.198.1 -p tcp --dport 2049 -j ACCEPT
iptables -A INPUT -s 0/0 -d 172.23.198.1 -p tcp --dport 9401 -j ACCEPT
iptables -A INPUT -s 0/0 -d 172.23.198.1 -p tcp --dport 9402 -j ACCEPT
iptables -A INPUT -s 0/0 -d 172.23.198.1 -p tcp --dport 9403 -j ACCEPT
iptables -A INPUT -s 0/0 -d 172.23.198.0/24 -p tcp --dport 3128 -j ACCEPT
iptables -A OUTPUT -s 0/0 -d 172.23.198.0/24 -p tcp --dport 3128 -j ACCEPT
iptables -A INPUT -s 0/0 -d 172.23.198.0/24 -p udp --dport 3128 -j ACCEPT
iptables -A OUTPUT -s 0/0 -d 172.23.198.0/24 -p udp --dport 3128 -j ACCEPT
iptables -A INPUT -s 0/0 -d 172.23.198.0/24 -p tcp --dport 111 -j ACCEPT
iptables -A INPUT -s 0/0 -d 172.23.198.0/24 -p tcp --dport 9400 -j ACCEPT
iptables -A INPUT -s 0/0 -d 172.23.198.0/24 -p tcp --dport 2049 -j ACCEPT
iptables -A INPUT -s 0/0 -d 172.23.198.0/24 -p tcp --dport 9401 -j ACCEPT
iptables -A INPUT -s 0/0 -d 172.23.198.0/24 -p tcp --dport 9402 -j ACCEPT
iptables -A INPUT -s 0/0 -d 172.23.198.0/24 -p tcp --dport 9403 -j ACCEPT
iptables -A INPUT -s 0/0 -d 172.23.198.1 -p tcp --dport 631 -j ACCEPT
# polaczenia nawiazane
iptables -A INPUT -j ACCEPT -m state --state ESTABLISHED,RELATED
iptables -A FORWARD -j ACCEPT -m state --state ESTABLISHED,RELATED
iptables -A OUTPUT -j ACCEPT -m state --state ESTABLISHED,RELATED
# udostepniaie internetu w sieci lokalnej
iptables -t filter -A FORWARD -s 172.23.198.0/255.255.255.0 -d 0/0 -j ACCEPT
iptables -t filter -A FORWARD -s 0/0 -d 172.23.198.0/255.255.255.0 -j ACCEPT
iptables -t nat -N MOODLE
iptables -t nat -A PREROUTING -s 172.23.198.1 -p tcp --dport 80 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp --dport 80 -j MOODLE
iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 8080
iptables -t nat -A POSTROUTING -j MASQUERADE
|
_________________ Mirosław Butajło |
|
Powrót do góry |
|
|
Maciek Administrator
Dołączył: 01 Nov 2004 Posty: 2225 Pomógł: 23 Skąd: z Księżyca
|
Wysłany: Fri Dec 28, 2012 6:08 pm Temat postu: |
|
|
Cytat: | Wydaje mi się że problem lezy w iptables... |
Całkiem możliwe. Jedno widać na pierwszy rzut oka. Masz za dużo i całkiem niepotrzebnie za dużo reguł.
Ponawiam propozycję skorzystania z zestawu dla CDN. TO prosty i logiczny zestaw reguł, a na dodatek osobno zawiera dodatek do forwardu portów.
Rafał:
Oczywiście musisz mieć squida w DAEMONS,ale pamiętaj, że przed dasnguardianem. _________________ Belfer.one.PL
Autorski Przewodnik Kulturalny |
|
Powrót do góry |
|
|
rufusek3 Użytkownik Forum
Dołączył: 30 Jan 2008 Posty: 168 Skąd: Olkusz
|
Wysłany: Fri Dec 28, 2012 6:26 pm Temat postu: |
|
|
poleceniem ps aux sparwdziłem czy działaja usługi - squid i dansguardian uruchamiaja się. Jednak idąc instrukcjami z CDN ustawiłem w rc.firewall zmienną PROXY na 1 to skutkowało tym iż strony nie otwierały a pingi szły. Myślę iż squid nie uruchamia się z pewnymi parametrami tak jak to miejsce w CDN (spawdzałem z instrukcją). Jakaś wskazówka?? |
|
Powrót do góry |
|
|
Maciek Administrator
Dołączył: 01 Nov 2004 Posty: 2225 Pomógł: 23 Skąd: z Księżyca
|
|
Powrót do góry |
|
|
butek Użytkownik Forum
Dołączył: 28 Dec 2007 Posty: 191 Skąd: Sierpc
|
Wysłany: Sat Dec 29, 2012 12:52 pm Temat postu: |
|
|
Kod: | tcpdump 'tcp portrange 80'
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes
12:43:26.659976 IP 172.23.198.2.49483 > 213-241-87-59.ip.netia.com.pl.http: Flags [F.], seq 329398808, ack 2766249591, win 67, length 0
12:43:26.660043 IP 172.23.198.2.49484 > 213-241-87-59.ip.netia.com.pl.http: Flags [F.], seq 2807059790, ack 3219130860, win 67, length 0 |
Kod: |
tcpdump 'tcp portrange 8080 |
- pusto, podobnie z 3128
ale jak wyłączę squida to na stacji 172.23.198.2 strony się nie ładują (pingi chodzą) _________________ Mirosław Butajło |
|
Powrót do góry |
|
|
Maciek Administrator
Dołączył: 01 Nov 2004 Posty: 2225 Pomógł: 23 Skąd: z Księżyca
|
|
Powrót do góry |
|
|
|