Forum KOPI Strona Główna KOPI
Forum Klubu Opiekunów Pracowni Internetowych
 
 FAQFAQ   SzukajSzukaj   UżytkownicyUżytkownicy   GrupyGrupy   RejestracjaRejestracja 
 ProfilProfil   Zaloguj się, by sprawdzić wiadomościZaloguj się, by sprawdzić wiadomości   ZalogujZaloguj 

Dansguardian
Idź do strony 1, 2  Następny
 
Napisz nowy temat   Odpowiedz do tematu    Forum KOPI Strona Główna -> Linux
Zobacz poprzedni temat :: Zobacz następny temat  
Autor Wiadomość
Maciek
Administrator


Dołączył: 01 Nov 2004
Posty: 2225
Pomógł: 23
Skąd: z Księżyca

PostWysłany: Sat Mar 29, 2008 6:25 pm    Temat postu: Dansguardian Odpowiedz z cytatem

Informuję, że w NND pjawił się pakiet dansguardian, który we współpracy ze squidem i clamavem zapewnia filtrowanie treści i ochrone antywirusową. Pakiet obecnie jest testowany w dwóch pracowniach szkolnych i pracuje prawidłowo.
Artykuł na ten temat na www.nnd-linux.pl
Powrót do góry
Zobacz profil autora Wyślij prywatną wiadomość
ligan
Użytkownik Forum


Dołączył: 11 Jun 2006
Posty: 63
Skąd: Gryfino

PostWysłany: Sat Mar 29, 2008 8:42 pm    Temat postu: Odpowiedz z cytatem

Dodam, że od 2 lat pakiet ten pracuje u mnie w szkole.
Nie narzekam.
_________________
Zespół Szkół
Gryfino
Powrót do góry
Zobacz profil autora Wyślij prywatną wiadomość
butek
Użytkownik Forum


Dołączył: 28 Dec 2007
Posty: 191
Skąd: Sierpc

PostWysłany: Fri Dec 21, 2012 10:56 am    Temat postu: Dansguardian Odpowiedz z cytatem

Kod:

# polaczenia nawiazane
iptables -A INPUT -j ACCEPT -m state --state ESTABLISHED,RELATED
iptables -A FORWARD -j ACCEPT -m state --state ESTABLISHED,RELATED
iptables -A OUTPUT -j ACCEPT -m state --state ESTABLISHED,RELATED

# udostepniaie internetu w sieci lokalnej
iptables -t filter -A FORWARD -s 172.23.198.0/255.255.255.0 -d 0/0 -j ACCEPT
iptables -t filter -A FORWARD -s 0/0 -d 172.23.198.0/255.255.255.0 -j ACCEPT
iptables -t nat -N MOODLE
iptables -t nat -N PREZI
iptables -t nat -A PREROUTING -s 172.23.198.1 -p tcp --dport 80 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp --dport 80 -j MOODLE
iptables -t nat -A PREROUTING  -p tcp --dport 80 -j REDIRECT --to-port 8080




Kod:
filterip =
# the port that DansGuardian listens to.
filterport = 8080
# the ip of the proxy (default is the loopback - i.e. this server)
proxyip = 172.23.198.1
# the port DansGuardian connects to proxy on
proxyport = 3128

Próbuję włączyć Dansguardiana i ma problem.
1)
Kod:
/etc/init.d/dansguardian start
- Dansguardian nie wstaje , to uruchamiam /usr/sbin/dansguardian (bez żadnych parametrów, czy Dansguardian poszuka sobie pliku konfugracyjnego ??) i wówczas widać w procesach
2)
Kod:
 iptables -t nat -A PREROUTING  -p tcp --dport 80 -j REDIRECT --to-port 3128
- przy takich ustawieniach squid chodzi tarnsparentnie bez problemów. Natomiast jak przekieruję ruch na 8080 to w przeglądarkch pusto, ale pingi idą w świat. Ustawienie w przeglądarkch na sztywno IP serwera proxy z portem 8080 nic nie zmienia.
Kod:
iptables -t nat -A PREROUTING  -p tcp --dport 80 -j REDIRECT --to-port 8080

Czy da się zrobić aby squid był transparentny z włączonym Dansguardianem ?
_________________
Mirosław Butajło
Powrót do góry
Zobacz profil autora Wyślij prywatną wiadomość Wyślij email
Maciek
Administrator


Dołączył: 01 Nov 2004
Posty: 2225
Pomógł: 23
Skąd: z Księżyca

PostWysłany: Fri Dec 21, 2012 11:44 am    Temat postu: Odpowiedz z cytatem

Nie bardzo wiem, po co masz te wpisy zacytowane na początku, ale niech tam i będą... o ile nie psują reszty.
Jeśli squid jest na tej samej maszynie co dansguardian to znacznie lepiej jest to robić na localhosice 127.0.0.1, a nie innym IP. Wtedy w squidzie analogicznie jak sekcję "localnet" robisz sekcję dla localhoista.

Jeśli ci się nie uruchamia Dansguardian to najpierw zobacz do logu dlaczego. Powinien uruchamiać się PO squidzie.

Squid ma wpis " http 3128 transparent" i wtedy jest ok. Prawidłowa reguła powinna uwzględniać interfejs wewnętrzny ($INTIF).
Kod:
iptables -t nat -A PREROUTING -i $INTIF  -p tcp --dport 80 -j REDIRECT --to-port 8080


http://pakiety.cdn.freesco.pl/pgf/firewall-1.2-2PGF-any.pkg.tar.gz - >Tutaj możesz sobie zobaczyć firewall, który jest zastosowany m.in. w EOSie i CDN.
_________________
Belfer.one.PL

Autorski Przewodnik Kulturalny
Powrót do góry
Zobacz profil autora Wyślij prywatną wiadomość
butek
Użytkownik Forum


Dołączył: 28 Dec 2007
Posty: 191
Skąd: Sierpc

PostWysłany: Fri Dec 21, 2012 9:58 pm    Temat postu: Odpowiedz z cytatem

Dansguardian zwalony trochę jest Sad . Właśnie takie mam problemy

Kod:
'downloadmanagers/fancy.cpp' || echo './'`downloadmanagers/fancy.cpp
downloadmanagers/fancy.cpp: In member function `std::string fancydm::timestring(int)':
downloadmanagers/fancy.cpp:507:72: error: `snprintf' was not declared in this scope
make[2]: *** [dansguardian-fancy.o] Error 1
make[2]: Leaving directory `/tmp/dans/dansguardian-2.10.1.1/src'
make[1]: *** [all-recursive] Error 1
make[1]: Leaving directory `/tmp/dans/dansguardian-2.10.1.1'
make: *** [all] Error 2

[url]
http://permalink.gmane.org/gmane.comp.web.dansguardian.general/2792[/url]
_________________
Mirosław Butajło
Powrót do góry
Zobacz profil autora Wyślij prywatną wiadomość Wyślij email
Maciek
Administrator


Dołączył: 01 Nov 2004
Posty: 2225
Pomógł: 23
Skąd: z Księżyca

PostWysłany: Sat Dec 22, 2012 7:16 pm    Temat postu: Odpowiedz z cytatem

A dlaczego usiłujesz kompilować Dansguardiana? Nie ma paczki w twojej dystrybucji?
_________________
Belfer.one.PL

Autorski Przewodnik Kulturalny
Powrót do góry
Zobacz profil autora Wyślij prywatną wiadomość
butek
Użytkownik Forum


Dołączył: 28 Dec 2007
Posty: 191
Skąd: Sierpc

PostWysłany: Sat Dec 22, 2012 7:42 pm    Temat postu: Odpowiedz z cytatem

Nie kompiluję tylko podczas pobierania z repo wyskakuje ten sam błąd . Przeczytałem że w najnowszej wersji (ale jeszcze alpha) 2.12 nie ma tego błędu. Skompilowałem ją w domu na swoim kompie i chodzi. Zastanawiam się nad skompilowaniem jej na serwer. Zrobię obraz serwera i pociągnę wersję alpha.
_________________
Mirosław Butajło
Powrót do góry
Zobacz profil autora Wyślij prywatną wiadomość Wyślij email
Maciek
Administrator


Dołączył: 01 Nov 2004
Posty: 2225
Pomógł: 23
Skąd: z Księżyca

PostWysłany: Sat Dec 22, 2012 8:02 pm    Temat postu: Odpowiedz z cytatem

Kod z ostatniego postu, to kod wypisywany podczas kompilacji ręcznej programu. Co to jest - Debian? To tym razem - widzę - w swojej beztrosce deweloperzy pojechali po bandzie.
Powinno zadziałać zwykłe apt-get install dansguardian.
_________________
Belfer.one.PL

Autorski Przewodnik Kulturalny
Powrót do góry
Zobacz profil autora Wyślij prywatną wiadomość
rufusek3
Użytkownik Forum


Dołączył: 30 Jan 2008
Posty: 168
Skąd: Olkusz

PostWysłany: Fri Dec 28, 2012 7:25 am    Temat postu: Odpowiedz z cytatem

Podepnę się do tematu. Właśnie jestem przy konfiguracji NND. Sama instalacja NND to rzeczywiście prosta sprawa. Doinstalowanie pakietów też nie należy do większych problemów. Mam jednak pytanie czy po doinstalowaniu squida muszę wykonać jego konfigurację?? Druga sprawa to antywirus - mam już program antywirusowy (GDATA), który nie bardzo chciał się aktualizować przy routerze CDN (wcześniej zainstalowany). Czy ktoś ma doświadczenie jak to odblokować (gdzieś czytałem, że należy odblokować port 7660) na firewall lub instalować aktualizację offline.

Niestety ale tak. Przy próbie uruchomienia serwera proxy squid wyświetla mi komunikat:
FATAL: Could not determine fully qualified host name. Please set 'visible_hostname'
Prawdopodobną przyczyną tego problemu jest to iż przy instalacji ustawiłem nazwę hostname inną niż localhost. Tego nie jestem jednak pewien

Sukces dzięki inetentowi - udało mi się dodałem zmienną w squid.conf
dopisując:

visible_hostname sp4

Pojawił się jednak błąd następny, który też pokonałem tzn.

FATAL: Fail to make swap directory /var/cache/00 (13) Premision deniad

Poradziłem sobie - zmieniłem prawa dostępu katalogu.

Mam zamiar dopisać squid do DEMONS w pliku rc.conf i zrobić
reboot
Powrót do góry
Zobacz profil autora Wyślij prywatną wiadomość
butek
Użytkownik Forum


Dołączył: 28 Dec 2007
Posty: 191
Skąd: Sierpc

PostWysłany: Fri Dec 28, 2012 11:36 am    Temat postu: Odpowiedz z cytatem

Zainstalowałem wersję alpha dansguardiana. W domu na jednym komputerze (na opensuse ładnie chodzi ) Natomiast na serwerze wygląda to tak.
Jak włączę Dasnguradian to blokowane jest wszystko z blacklisty przez Danguardiana cała reszta przez Squida Shocked
Jak puszczę ruch na squida to filtruje tylko squid (czyli jest ok)
Wydaje mi się że problem lezy w iptables...
8080 - port dansguardiana
3128 - squid
172.23.198.1 - adres karty sieci lokalnej
192.168.1.35 - wyjście na świat

Kod:
echo 1 > /proc/sys/net/ipv4/ip_forward
# czyszczenie starych regul
iptables -F
iptables -X
iptables -t nat -X
iptables -t nat -F
# ustawienie polityki dzialania
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
iptables -A OUTPUT -p tcp --dport 8074 -j DROP
iptables -A INPUT -p udp --dport 22 -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -p tcp --dport 25 -j ACCEPT
iptables -A INPUT -p udp --dport 631 -j ACCEPT
iptables -A INPUT -p tcp --dport 631 -j ACCEPT
iptables -A INPUT -p udp --dport 443 -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -j ACCEPT
iptables -A INPUT -p tcp --dport 4443 -j ACCEPT
iptables -A INPUT -p tcp --dport 4443 -j ACCEPT
iptables -A INPUT -p tcp --dport 135 -j ACCEPT
iptables -A INPUT -p udp --dport 137 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 135 -j ACCEPT
iptables -A OUTPUT -p udp --dport 137 -j ACCEPT
iptables -A INPUT -p tcp --dport 8080 -j ACCEPT
iptables -A INPUT -i eth1 -s 172.23.198.0/24 -j ACCEPT
iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT
iptables -A INPUT  -p tcp --dport 9400 -m state --state NEW -j  ACCEPT
iptables -A INPUT  -p tcp --dport 9401 -m state --state NEW -j ACCEPT
iptables -A INPUT  -p tcp --dport 9402 -m state --state NEW -j  ACCEPT
iptables -A INPUT  -p tcp --dport 9403 -m state --state NEW -j ACCEPT
iptables -A INPUT  -p tcp --dport 111 -m state --state NEW -j  ACCEPT
iptables -A INPUT  -p tcp --dport 2049 -m state --state NEW -j ACCEPT
iptables -A INPUT -p tcp --dport 631 -m state --state NEW -j ACCEPT

iptables -A INPUT  -p tcp --dport 135 -m state --state NEW -j ACCEPT
iptables -A INPUT  -p udp --dport 137 -m state --state NEW -j ACCEPT
iptables -A INPUT  -p udp --dport 138 -m state --state NEW -j ACCEPT
iptables -A INPUT  -p tcp --dport 139 -m state --state NEW -j ACCEPT
iptables -A INPUT  -p tcp --dport 445 -m state --state NEW -j ACCEPT
iptables -A INPUT  -p tcp --dport 8080 -m state --state NEW -j ACCEPT
iptables -A INPUT  -p tcp --dport 3128 -m state --state NEW -j ACCEPT
iptables -A INPUT  -p udp --dport 8080 -m state --state NEW -j ACCEPT
iptables -A INPUT  -p udp --dport 3128 -m state --state NEW -j ACCEPT
iptables -I FORWARD -p tcp -s 172.23.198.0/24 --dport 9400  -j ACCEPT
iptables -I FORWARD -p tcp -s 172.23.198.0/24 --dport 9401  -j ACCEPT
iptables -I FORWARD -p tcp -s 172.23.198.0/24 --dport 9402  -j ACCEPT
iptables -I FORWARD -p tcp -s 172.23.198.0/24 --dport 9403  -j ACCEPT
iptables -I FORWARD -p tcp -s 172.23.198.0/24 --dport 111  -j ACCEPT
iptables -I FORWARD -p tcp -s 172.23.198.0/24 --dport 2049  -j ACCEPT
iptables -A INPUT -p tcp -s 172.23.198.0/24 --dport 631 -j ACCEPT
iptables -A FORWARD -p tcp -s 172.23.198.0/24 --dport 631 -j ACCEPT

iptables -A OUTPUT  -p tcp --dport 9400 -m state --state NEW -j  ACCEPT
iptables -A OUTPUT  -p tcp --dport 9401 -m state --state NEW -j ACCEPT
iptables -A OUTPUT  -p tcp --dport 9402 -m state --state NEW -j  ACCEPT
iptables -A OUTPUT  -p tcp --dport 9403 -m state --state NEW -j ACCEPT
iptables -A OUTPUT  -p tcp --dport 111 -m state --state NEW -j  ACCEPT
iptables -A OUTPUT  -p tcp --dport 2049 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -p tcp --dport 631 -m state --state NEW -j ACCEPT

iptables -A INPUT -i lo -j ACCEPT
iptables -A FORWARD -o lo -j ACCEPT
iptables -A INPUT -s 0/0 -d 172.23.198.1 -p tcp --dport 22 -j ACCEPT
iptables -A OUTPUT -s 0/0 -d 172.23.198.1 -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -s 0/0 -d 172.23.198.1  -p udp --dport 22 -j ACCEPT
iptables -A OUTPUT -s 0/0 -d 172.23.198.1 -p udp --dport 22 -j ACCEPT

iptables -A INPUT -s 0/0 -d 172.23.198.1 -p tcp --dport 3128 -j ACCEPT
iptables -A OUTPUT -s 0/0 -d 172.23.198.1 -p tcp --dport 3128 -j ACCEPT
iptables -A INPUT -s 0/0 -d 172.23.198.1  -p udp --dport 3128 -j ACCEPT
iptables -A OUTPUT -s 0/0 -d 172.23.198.1 -p udp --dport 3128 -j ACCEPT
iptables -A INPUT -s 0/0 -d 172.23.198.1 -p tcp --dport 631 -j ACCEPT

iptables -A INPUT -s 0/0 -d 172.23.198.1 -p tcp --dport 8080 -j ACCEPT
iptables -A OUTPUT -s 0/0 -d 172.23.198.1 -p tcp --dport 8080 -j ACCEPT
iptables -A INPUT -s 0/0 -d 172.23.198.1  -p udp --dport 8080 -j ACCEPT
iptables -A OUTPUT -s 0/0 -d 172.23.198.1 -p udp --dport 8080 -j ACCEPT

iptables -A INPUT -s 0/0 -d 172.23.198.1 -p tcp --dport 111 -j ACCEPT
iptables -A INPUT -s 0/0 -d 172.23.198.1 -p tcp --dport 9400  -j ACCEPT
iptables -A INPUT -s 0/0 -d 172.23.198.1 -p tcp --dport 2049 -j ACCEPT
iptables -A INPUT -s 0/0 -d 172.23.198.1 -p tcp --dport 9401 -j ACCEPT
iptables -A INPUT -s 0/0 -d 172.23.198.1 -p tcp --dport 9402 -j ACCEPT
iptables -A INPUT -s 0/0 -d 172.23.198.1 -p tcp --dport 9403  -j ACCEPT


iptables -A INPUT -s 0/0 -d 172.23.198.0/24 -p tcp --dport 3128 -j ACCEPT
iptables -A OUTPUT -s 0/0 -d 172.23.198.0/24 -p tcp --dport 3128 -j ACCEPT
iptables -A INPUT -s 0/0 -d 172.23.198.0/24  -p udp --dport 3128 -j ACCEPT
iptables -A OUTPUT -s 0/0 -d 172.23.198.0/24 -p udp --dport 3128 -j ACCEPT

iptables -A INPUT -s 0/0 -d 172.23.198.0/24 -p tcp --dport 111 -j ACCEPT
iptables -A INPUT -s 0/0 -d 172.23.198.0/24 -p tcp --dport 9400  -j ACCEPT
iptables -A INPUT -s 0/0 -d 172.23.198.0/24 -p tcp --dport 2049 -j ACCEPT
iptables -A INPUT -s 0/0 -d 172.23.198.0/24 -p tcp --dport 9401 -j ACCEPT
iptables -A INPUT -s 0/0 -d 172.23.198.0/24 -p tcp --dport 9402 -j ACCEPT
iptables -A INPUT -s 0/0 -d 172.23.198.0/24 -p tcp --dport 9403  -j ACCEPT
iptables -A INPUT -s 0/0 -d 172.23.198.1 -p tcp --dport 631  -j ACCEPT
# polaczenia nawiazane
iptables -A INPUT -j ACCEPT -m state --state ESTABLISHED,RELATED
iptables -A FORWARD -j ACCEPT -m state --state ESTABLISHED,RELATED
iptables -A OUTPUT -j ACCEPT -m state --state ESTABLISHED,RELATED
# udostepniaie internetu w sieci lokalnej
iptables -t filter -A FORWARD -s 172.23.198.0/255.255.255.0 -d 0/0 -j ACCEPT
iptables -t filter -A FORWARD -s 0/0 -d 172.23.198.0/255.255.255.0 -j ACCEPT

iptables -t nat -N MOODLE
iptables -t nat -A PREROUTING -s 172.23.198.1 -p tcp --dport 80 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp --dport 80 -j MOODLE
iptables -t nat -A PREROUTING  -p tcp --dport 80 -j REDIRECT --to-port 8080
iptables -t nat -A POSTROUTING  -j MASQUERADE

_________________
Mirosław Butajło
Powrót do góry
Zobacz profil autora Wyślij prywatną wiadomość Wyślij email
Maciek
Administrator


Dołączył: 01 Nov 2004
Posty: 2225
Pomógł: 23
Skąd: z Księżyca

PostWysłany: Fri Dec 28, 2012 6:08 pm    Temat postu: Odpowiedz z cytatem

Cytat:
Wydaje mi się że problem lezy w iptables...

Całkiem możliwe. Jedno widać na pierwszy rzut oka. Masz za dużo i całkiem niepotrzebnie za dużo reguł.
Ponawiam propozycję skorzystania z zestawu dla CDN. TO prosty i logiczny zestaw reguł, a na dodatek osobno zawiera dodatek do forwardu portów.

Rafał:
Oczywiście musisz mieć squida w DAEMONS,ale pamiętaj, że przed dasnguardianem.
_________________
Belfer.one.PL

Autorski Przewodnik Kulturalny
Powrót do góry
Zobacz profil autora Wyślij prywatną wiadomość
rufusek3
Użytkownik Forum


Dołączył: 30 Jan 2008
Posty: 168
Skąd: Olkusz

PostWysłany: Fri Dec 28, 2012 6:26 pm    Temat postu: Odpowiedz z cytatem

poleceniem ps aux sparwdziłem czy działaja usługi - squid i dansguardian uruchamiaja się. Jednak idąc instrukcjami z CDN ustawiłem w rc.firewall zmienną PROXY na 1 to skutkowało tym iż strony nie otwierały a pingi szły. Myślę iż squid nie uruchamia się z pewnymi parametrami tak jak to miejsce w CDN (spawdzałem z instrukcją). Jakaś wskazówka??
Powrót do góry
Zobacz profil autora Wyślij prywatną wiadomość
Maciek
Administrator


Dołączył: 01 Nov 2004
Posty: 2225
Pomógł: 23
Skąd: z Księżyca

PostWysłany: Fri Dec 28, 2012 11:10 pm    Temat postu: Odpowiedz z cytatem

Czy squid działa to sprawdzisz dopiero po kilkunastu minutach. Musi być proces squid i proces unlinkd.
_________________
Belfer.one.PL

Autorski Przewodnik Kulturalny
Powrót do góry
Zobacz profil autora Wyślij prywatną wiadomość
butek
Użytkownik Forum


Dołączył: 28 Dec 2007
Posty: 191
Skąd: Sierpc

PostWysłany: Sat Dec 29, 2012 12:52 pm    Temat postu: Odpowiedz z cytatem

Kod:
tcpdump 'tcp portrange 80'
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes
12:43:26.659976 IP 172.23.198.2.49483 > 213-241-87-59.ip.netia.com.pl.http: Flags [F.], seq 329398808, ack 2766249591, win 67, length 0
12:43:26.660043 IP 172.23.198.2.49484 > 213-241-87-59.ip.netia.com.pl.http: Flags [F.], seq 2807059790, ack 3219130860, win 67, length 0

Kod:

tcpdump 'tcp portrange 8080

- pusto, podobnie z 3128
ale jak wyłączę squida to na stacji 172.23.198.2 strony się nie ładują (pingi chodzą)
_________________
Mirosław Butajło
Powrót do góry
Zobacz profil autora Wyślij prywatną wiadomość Wyślij email
Maciek
Administrator


Dołączył: 01 Nov 2004
Posty: 2225
Pomógł: 23
Skąd: z Księżyca

PostWysłany: Sat Dec 29, 2012 10:00 pm    Temat postu: Odpowiedz z cytatem

Squid + Dansguardian to para, która działa na interfejsie lo, chyba, że są na innych maszynach.
_________________
Belfer.one.PL

Autorski Przewodnik Kulturalny
Powrót do góry
Zobacz profil autora Wyślij prywatną wiadomość
Wyświetl posty z ostatnich:   
Napisz nowy temat   Odpowiedz do tematu    Forum KOPI Strona Główna -> Linux Wszystkie czasy w strefie CET (Europa)
Idź do strony 1, 2  Następny
Strona 1 z 2

 
Skocz do:  
Nie możesz pisać nowych tematów
Nie możesz odpowiadać w tematach
Nie możesz zmieniać swoich postów
Nie możesz usuwać swoich postów
Nie możesz głosować w ankietach


Powered by phpBB © 2001, 2005 phpBB Group