Squid+Dansguardian: проблемы совместной работы

[кадет2]

В конфигурационном файле Dansguardian /etc/dansguardian/dansguardian.conf нашел и привел к следующему виду опцию:

Code Select Expand

forwardedfor = on
В файле конфигурации Squid /etc/squid3/squid.conf и после секции с элементами ACL нашел и раскомментировал:

Code Select Expand

follow_x_forwarded_for allow localhost
После чего, вместо того, чтобы Dansguardian начал добавлять к запросам заголовки X-Forwarded-For, а Squid их обрабатывать, ...Интернет на всех машинах пропал...

Вот, собственно, пока и всё...

Да, вместо Ubuntu – Debian. Система находится в работе, поэтому опробовать могу только рано утром (опробовать на всяких там «виртуалках» не могу – нет технической возможности – нищие бюджетники).

[Уваров А.С.]

Так не бывает, напрямую эти опции за доступ не отвечают.

Для начала:

Code Select Expand

squid3 -k check
Затем уберите все правила squid, возможно он начинает обрабатывать реальные адреса из заголовков, после чего применяет к ним запрещающие правила.

[кадет2]

Так не бывает.

Я тоже так думал. В данный момент раскомментирована только строчка в dansguardian.conf. Интернет есть.
Правил в squid.conf с момента установки системы никаких (я!!!) не вносил. Завтра с утречка раскомментирую "заветную" строчку в squid.conf и дам команду squid3 -k check
Хочется, чтобы всё работало.

[кадет2]

Раскомментировал строку follow_x_forwarded_for allow localhost (как и обещал).
Получил:
ОШИБКА
Запрошенный URL не может быть получен
При получении URL http://yandex.ru/ произошла следующая ошибка
Доступ запрещен.
Да, squid3 -k chek проблем не выдал...

[кадет2]

Debian стоит уже третий год, DG "прицепил" чуть позже. Появилась мысль (может дурная?), на всякий случай, для чистоты эксперимента(!), переустановить squid3 (чтобы squid.conf был чистым на 10000% - ну, не помню я, чтобы вносил туда какие-то изменения   Может уже и с памятью чего...). Если эта "мысль" имеет право на существование, подскажите пожалуйста, как лучше сделать, чтобы "не уронить" работающую систему.
Да, система регулярно (вручную) обновляется через update, upgrade

[Уваров А.С.]

Получается, что если запрос приходит от localhost, то squid его пропускает, а запросы из локальной сети блокирует. Явно проблема где-то в списках доступа.

[кадет2]

Получается, что если запрос приходит от localhost, то squid его пропускает, а запросы из локальной сети блокирует. Явно проблема где-то в списках доступа.

Завтра утром буду искать... Сохраню squid.conf (тот, что есть и работатет) на всякий случай, и буду экспериментировать целый час... А там ... Ну, не будем о грустном

[Уваров А.С.]

Уберите все, кроме:

Code Select Expand

http_access allow localnet
http_access allow localhost
http_access deny all
После чего убедитесь, что acl localnet задан и описывает именно вашу сеть.

[кадет2]

Вчера "откопал" в своих же "запасах" (фиг знает, зачем делал?) squid.conf, почти после установки системы (по времени). Сегодня рано утром, сохранив действующий, установил "найдёныша", раскомментировал в нём строку follow_x_forvarded_for allow localhost

Перезапустил систему. Пока полёт нормальный! И Интернет не пропал, и логи squid пишет как положено.
В понедельник буду "экспериментировать" (если всё будет нормально, само собой): начну со времени работы какой-нибудь отдельно взятой машины (это вроде по-проще).
Спасибо за советы!

[кадет2]

Новую тему создавать не буду, попытаюсь продолжить здесь, хотя это уже, скорее всего, не проблемы программ, а нехватка знаний и обыкновенные русские народные непонятки. Опробовал ограничение работы по времени - всё отлично срабатывает! Спасибо! А вот ограничение по скорости... Хотел на пробном аппарате уменьшить скорость. Скорость на входе от провайдера - 10. Вот чего "наваял":

acl localnet src 192.168.2.0/24
acl setevoy src 192.168.2.83
acl work_ful time SMTWHFA 07:30-17:30
http_access allow work_ful setevoy
http_access deny setevoy
delay_pools 1
delay_class 1 1
delay_access 1 allow setevoy
delay_access 1 deny all
delay_parameters 1 -1/-1 128000/128000 16000/16000
Сайт 2ip.ru показывает, что скорость не меняется. Чего-то не так...
Будет время - подскажите слабоумному...

[Уваров А.С.]

Замочек в адресной строке на 2ip видели? Собственно это ответ на ваш вопрос, Squid не проксирует HTTPS-соединения.

[кадет2]

Точно! Про https забыл... А как тогда (по-проще!) проверить скорость?

[кадет2]

Точно! Про https забыл... А как тогда (по-проще!) проверить скорость?

Вроде бы разобрался сам. Извините за беспокойство.

[salex]

чесно говоря сколько не прикручивал этот данс нормального результата без долгих настроек не получилось, всегда что то да нужное заблочит, там где нужно закрыть порно и т.п полностью использую яндексовский днс
и все дела

[Уваров А.С.]

Ну так Данс для того и нужен, чтобы закрыть все, что может представлять определенную опасность с точки зрения проверяющих, лучше пусть он заблочит что-то нужное, чем пропустит ненужное. А с учетом новых инициатив депутатов и Роскомнадзора проще вообще оставить только белый список.

[кадет2]

Ну так Данс для того и нужен, чтобы закрыть все, что может представлять определенную опасность с точки зрения проверяющих, лучше пусть он заблочит что-то нужное, чем пропустит ненужное. А с учетом новых инициатив депутатов и Роскомнадзора проще вообще оставить только белый список.

Если бы не увеличивающееся число ресурсов https, то особой разницы между делать "белый" список, по потребностям пользователей, и разблокировать DG, при возникшей необходимости, особо не вижу.
А вот с https (особо противными  )пока только через nat.

[Уваров А.С.]

Широкое внедрение HTTPS вообще делает задачу контентной фильтрации  бессмысленной, разве что только ломать HTTPS, но это еще хуже, так как создает риски реально пропустить MITM-атаку.

Поэтому сегодня надо смотреть на иные способы. Например, DNS-фильтрацию, начиная от безопасных DNS Яндекса и заканчивая SafeDNS, последний вполне серьезный продукт, но платный (с другой стороны поддерживать актуальную базу фильтрации работа не из простых).