News:

Праздник нужно всегда носить с собой. Эрнест Хемингуэй

Main Menu

Squid+Dansguardian: проблемы совместной работы

Started by кадет2, 04 October 2016, 05:35

Previous topic - Next topic

0 Members and 4 Guests are viewing this topic.

кадет2

В конфигурационном файле Dansguardian /etc/dansguardian/dansguardian.conf нашел и привел к следующему виду опцию:

forwardedfor = on
В файле конфигурации Squid /etc/squid3/squid.conf и после секции с элементами ACL нашел и раскомментировал:

follow_x_forwarded_for allow localhost
После чего, вместо того, чтобы Dansguardian начал добавлять к запросам заголовки X-Forwarded-For, а Squid их обрабатывать, ...Интернет на всех машинах пропал...

Вот, собственно, пока и всё...

Да, вместо Ubuntu – Debian. Система находится в работе, поэтому опробовать могу только рано утром (опробовать на всяких там «виртуалках» не могу – нет технической возможности – нищие бюджетники).

Уваров А.С.

Так не бывает, напрямую эти опции за доступ не отвечают.

Для начала:

squid3 -k check
Затем уберите все правила squid, возможно он начинает обрабатывать реальные адреса из заголовков, после чего применяет к ним запрещающие правила.

кадет2

Quote from: Уваров А.С. on 04 October 2016, 08:47Так не бывает.
Я тоже так думал. В данный момент раскомментирована только строчка в dansguardian.conf. Интернет есть.
Правил в squid.conf с момента установки системы никаких (я!!!) не вносил. Завтра с утречка раскомментирую "заветную" строчку в squid.conf и дам команду squid3 -k check
Хочется, чтобы всё работало.

кадет2

Раскомментировал строку follow_x_forwarded_for allow localhost (как и обещал).
Получил:
ОШИБКА
Запрошенный URL не может быть получен
При получении URL http://yandex.ru/ произошла следующая ошибка
Доступ запрещен.
Да, squid3 -k chek проблем не выдал...

кадет2

Debian стоит уже третий год, DG "прицепил" чуть позже. Появилась мысль (может дурная?), на всякий случай, для чистоты эксперимента(!), переустановить squid3 (чтобы squid.conf был чистым на 10000% - ну, не помню я, чтобы вносил туда какие-то изменения   :( Может уже и с памятью чего...). Если эта "мысль" имеет право на существование, подскажите пожалуйста, как лучше сделать, чтобы "не уронить" работающую систему.
Да, система регулярно (вручную) обновляется через update, upgrade

Уваров А.С.

Получается, что если запрос приходит от localhost, то squid его пропускает, а запросы из локальной сети блокирует. Явно проблема где-то в списках доступа.

кадет2

Quote from: Уваров А.С. on 05 October 2016, 09:27Получается, что если запрос приходит от localhost, то squid его пропускает, а запросы из локальной сети блокирует. Явно проблема где-то в списках доступа.
Завтра утром буду искать... Сохраню squid.conf (тот, что есть и работатет) на всякий случай, и буду экспериментировать целый час... А там ... Ну, не будем о грустном

Уваров А.С.

Уберите все, кроме:

http_access allow localnet
http_access allow localhost
http_access deny all

После чего убедитесь, что acl localnet задан и описывает именно вашу сеть.

кадет2

Вчера "откопал" в своих же "запасах" (фиг знает, зачем делал?) squid.conf, почти после установки системы (по времени). Сегодня рано утром, сохранив действующий, установил "найдёныша", раскомментировал в нём строку follow_x_forvarded_for allow localhost

Перезапустил систему. Пока полёт нормальный! И Интернет не пропал, и логи squid пишет как положено.
В понедельник буду "экспериментировать" (если всё будет нормально, само собой): начну со времени работы какой-нибудь отдельно взятой машины (это вроде по-проще).
Спасибо за советы!

кадет2

Новую тему создавать не буду, попытаюсь продолжить здесь, хотя это уже, скорее всего, не проблемы программ, а нехватка знаний и обыкновенные русские народные непонятки. Опробовал ограничение работы по времени - всё отлично срабатывает! Спасибо! А вот ограничение по скорости... Хотел на пробном аппарате уменьшить скорость. Скорость на входе от провайдера - 10. Вот чего "наваял":

acl localnet src 192.168.2.0/24
acl setevoy src 192.168.2.83
acl work_ful time SMTWHFA 07:30-17:30
http_access allow work_ful setevoy
http_access deny setevoy
delay_pools 1
delay_class 1 1
delay_access 1 allow setevoy
delay_access 1 deny all
delay_parameters 1 -1/-1 128000/128000 16000/16000
Сайт 2ip.ru показывает, что скорость не меняется. Чего-то не так...
Будет время - подскажите слабоумному...

Уваров А.С.

Замочек в адресной строке на 2ip видели? Собственно это ответ на ваш вопрос, Squid не проксирует HTTPS-соединения.

кадет2

Точно! Про https забыл... А как тогда (по-проще!) проверить скорость?

кадет2

Quote from: кадет2 on 27 October 2016, 11:03Точно! Про https забыл... А как тогда (по-проще!) проверить скорость?
Вроде бы разобрался сам. Извините за беспокойство.

salex

чесно говоря сколько не прикручивал этот данс нормального результата без долгих настроек не получилось, всегда что то да нужное заблочит, там где нужно закрыть порно и т.п полностью использую яндексовский днс
и все дела

Уваров А.С.

Ну так Данс для того и нужен, чтобы закрыть все, что может представлять определенную опасность с точки зрения проверяющих, лучше пусть он заблочит что-то нужное, чем пропустит ненужное. А с учетом новых инициатив депутатов и Роскомнадзора проще вообще оставить только белый список.

кадет2

Quote from: Уваров А.С. on 16 January 2017, 22:31Ну так Данс для того и нужен, чтобы закрыть все, что может представлять определенную опасность с точки зрения проверяющих, лучше пусть он заблочит что-то нужное, чем пропустит ненужное. А с учетом новых инициатив депутатов и Роскомнадзора проще вообще оставить только белый список.
Если бы не увеличивающееся число ресурсов https, то особой разницы между делать "белый" список, по потребностям пользователей, и разблокировать DG, при возникшей необходимости, особо не вижу.
А вот с https (особо противными  ;) )пока только через nat.

Уваров А.С.

Широкое внедрение HTTPS вообще делает задачу контентной фильтрации  бессмысленной, разве что только ломать HTTPS, но это еще хуже, так как создает риски реально пропустить MITM-атаку.

Поэтому сегодня надо смотреть на иные способы. Например, DNS-фильтрацию, начиная от безопасных DNS Яндекса и заканчивая SafeDNS, последний вполне серьезный продукт, но платный (с другой стороны поддерживать актуальную базу фильтрации работа не из простых).