Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
i spełnia swoją rolę?
Serwer Debian 5 Lenny z firewallem i dhcp.
Muszę mieć możliwość podglądu odwiedzanych stron WWW przez użytkowników w mojej firmie.
Zainstalowałem squida i sarga.
Jeszcze nie ingerowałem w ich konfigurację.
Domyślam się, że na ustawieniach domyślnych nic nie działa tak jak powinno.
Squid włącza mi sie przy starcie serwera.
Sarg nic nie wpisuje do logów.
Od czego zacząć?
Offline
1) zerknij może na konfigurację obu programów,
2) czy w /var/log/squid/acces.log znajduja sie jakieś wpisy?
3) czy przekierowałeś ruch http na squida ?
4) zmień logrotate dla squida tak aby trzymał logi z tygodnia w pliku a nie jak jest domyślnie z jednego dnia, inaczej sarg nie będzie działał.
Ostatnio edytowany przez lopezpb (2010-02-27 00:15:33)
Offline
pgrep squid
nmap -sV -p <port squida> <host>
Może tak?
Co do spełniania roli? logi, test przeglądarką - wpisane parametry (host:port) proxy, czy wyświetla cokolwiek?
Czy pisze coś w stylu "firefox został skonfigurowany do korzystania z serwera proxy, który odmawia połączeń".
To by było na tyle
;)
Ostatnio edytowany przez Jacekalex (2010-02-27 06:10:43)
Offline
lopezpb napisał(-a):
1) zerknij może na konfigurację obu programów,
2) czy w /var/log/squid/acces.log znajduja sie jakieś wpisy?
3) czy przekierowałeś ruch http na squida ?
4) zmień logrotate dla squida tak aby trzymał logi z tygodnia w pliku a nie jak jest domyślnie z jednego dnia, inaczej sarg nie będzie działał.
ad. 2: pliki są, ale puste
ad. 3: w pliku firewall mam taki wpis:
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128
, gdzie eth0 to karta sieciowa 'na/z zewnątrz' (a eth1 to LAN)
ad. 4: poprawiłem
Offline
Skopiuj konfiguracje squida:
cp /etc/squid/squid.conf /etc/squid/squid.conf.old
a w squid.conf wklej to:
http_port 3128 transparent cache_access_log /var/log/squid/access.log cache_mem 256 MB maximum_object_size_in_memory 64 KB memory_replacement_policy heap GDSF cache_replacement_policy heap LFUDA cache_dir diskd /var/spool/squid 2048 16 256 Q1=90 Q2=110 maximum_object_size 10 MB cache_swap_low 90 cache_swap_high 95 error_directory /usr/share/squid/errors/Polish acl siec src 10.0.0.0/8 #Tutaj daj swoja sieć np. 192.168.0.0/24 acl localhost src 127.0.0.1/32 acl all src 0.0.0.0/0.0.0.0 http_access allow siec http_access allow localhost http_access deny all
restart squida
/etc/init.d/squid restart
zobacz czy teraz w access.log masz jakieś wpisy.
Ostatnio edytowany przez lopezpb (2010-03-01 16:58:06)
Offline
zobacz czy teraz w access.log masz jakieś wpisy.
dostrzegłem zmianę (myślałem, że na lepsze):
po wydaniu komendy do restartu squida zaczął coś 'mielić' (pierwszy raz to widziałem, bo nigdy dotychczas nie było 'Waiting'):
debian:~# Restarting Squid HTTP proxy: squid Waiting.....................done.
ale access.log dalej jest pusty :(
Offline
Czy utworzyłeś strukturę katalogów gdzie ma być trzymany cache? Uprawnienia odpowiednie nadałeś ? Czy po prostu zainstalowałeś squida i liczysz na to że zadziała ?
Offline
pasqdnik napisał(-a):
Czy utworzyłeś strukturę katalogów gdzie ma być trzymany cache? Uprawnienia odpowiednie nadałeś ? Czy po prostu zainstalowałeś squida i liczysz na to że zadziała ?
Katalogi się potworzyły same w /var/spool/squid/, ale niestety są puste (chyba, że mają takie być).
Co do praw do katalogów to jest 777 a właścicielem jest proxy.
A czy wpis iptables jest poprawny?
Offline
Nie jest. Jeśli Twój interfejs LAN to eth1 to regułki powinny wyglądać tak:
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 8080 -j REDIRECT --to-port 3128
Offline
pasqdnik napisał(-a):
Nie jest. Jeśli Twój interfejs LAN to eth1 to regułki powinny wyglądać tak:
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 8080 -j REDIRECT --to-port 3128
jak je wpisalem to w przeglądarce FF otrzymałem komunikat:
Połączenie zostało zresetowane
Połączenie z serwerem zostało zresetowane podczas wczytywania strony.
* Witryna może być tymczasowo niedostępna lub zbyt obciążona. Spróbuj ponownie za kilka minut.
* Jeśli nie można otworzyć żadnej strony, należy sprawdzić swoje połączenie sieciowe.
* Jeśli komputer użytkownika jest chroniony przez zaporę sieciową lub serwer proxy, należy sprawdzić, czy program Firefox jest uprawniony do łączenia się z Internetem.
oczywiście w przeglądarce proxy jest wyłączone.
Ostatnio edytowany przez tomeq77 (2010-03-02 10:37:08)
Offline
A bo zaczynasz trochę od dupy strony...
Najpierw przeczytaj dokumentację, lub jakiegoś porządnego manuala. Ja zaczynałem od tego;
http://man.chinaunix.net/newsoft/squid/book-full-html/book-full.html
Później zainteresuj się aplikacją squidclient i sprawdź, czy ten squid Ci w ogóle coś cachuje. Dopiero wtedy baw sie iptablesami.
Offline
bzyk napisał(-a):
A bo zaczynasz trochę od dupy strony...
Najpierw przeczytaj dokumentację, lub jakiegoś porządnego manuala...
To po co jest to forum i pomocni użytkownicy?
W sumie to na każdy post w tym (i innych) wątku mógłbyś takiej odpowiedzi udzielić.
Offline
Wysłałem Ci linka do dobrej dokumentacji, pokazałem Ci odpowiednie narzędzie... Czegóż jeszcze chcesz? Życzę Ci abyś dostawał zawsze tak dobre odpowiedzi. Jeżeli oczekujesz rybek a nie wędki, to daruj sobie zabawę z linuksem, bo to jest system dla myślących samodzielnie. Chcesz mieć wszystko na tacy, to może zainstaluj sobie jakiegoś windowsa, czy coś w tym stylu - tam będziesz miał płatny support i nie będziesz sobie czasu marnował na czytanie odpowiedzi jakiś freaków co to zmuszają innych do myślenia.
Offline
@bzyk: nie męcz się. I tak nie zrozumie.
@tomeq77: na stronie linuxhomenetworking masz szczegółowy opis konfiguracji squida i wielu innych.
Offline
pasqdnik napisał(-a):
@bzyk: nie męcz się. I tak nie zrozumie.
hehe, dobre.
pasqdnik napisał(-a):
@tomeq77: na stronie linuxhomenetworking masz szczegółowy opis konfiguracji squida i wielu innych.
Opisów w sieci jest mnóstwo i pewnie wszystkie działają, ale ja mam problem z kategorii nietypowych.
Otóż jakiekolwiek przekierowanie na port squida (3128 transparent) odcina mi dostęp do internetu.
A w konfigu jest ustawione na http_port 3128 transparent.
Jak to rozwiążę to będę szczęśliwszym człowiekiem, a jak na dodatek to rozwiążę przy Waszej pomocy to i Wy będziecie szczęśliwsi, bo zrobicie (kolejny) dobry uczynek.
Offline
tomeq77 napisał(-a):
Otóż jakiekolwiek przekierowanie na port squida (3128 transparent) odcina mi dostęp do internetu.
A w konfigu jest ustawione na http_port 3128 transparent.
Jak to rozwiążę to będę szczęśliwszym człowiekiem, a jak na dodatek to rozwiążę przy Waszej pomocy to i Wy będziecie szczęśliwsi, bo zrobicie (kolejny) dobry uczynek.
Nooo, to masz najebane w konfigu, albo w firewallu. Może się nimi pochwalisz w końcu ?
EDIT: Wklej zawartość plików:
1. /etc/network/interfaces
2. squid.conf
3. regułki firewalla
4. wynik polecenia ls -al /var/spool/squid
5 .wynik polecenia cat /etc/group
Ostatnio edytowany przez pasqdnik (2010-03-03 15:00:33)
Offline
tomeq77 napisał(-a):
A w konfigu jest ustawione na http_port 3128 transparent.
Jak to rozwiążę to będę szczęśliwszym człowiekiem, a jak na dodatek to rozwiążę przy Waszej pomocy to i Wy będziecie szczęśliwsi, bo zrobicie (kolejny) dobry uczynek.
1) Czy wkleiłeś do squid.conf to co ci podałem wyżej ?
2) Czy w tym konfigu zmieniłeś pulę adresów na swoje ?
acl siec src 10.0.0.0/8 #Tutaj daj swoja sieć np. 192.168.0.0/24
3) Firewall:
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128
i nie ma opcji musi działać.
4) Jeżeli nie to wklej to o co prosił cię pasqdnik.
Offline
pasqdnik napisał(-a):
tomeq77 napisał(-a):
Otóż jakiekolwiek przekierowanie na port squida (3128 transparent) odcina mi dostęp do internetu.
A w konfigu jest ustawione na http_port 3128 transparent.
Jak to rozwiążę to będę szczęśliwszym człowiekiem, a jak na dodatek to rozwiążę przy Waszej pomocy to i Wy będziecie szczęśliwsi, bo zrobicie (kolejny) dobry uczynek.Nooo, to masz najebane w konfigu, albo w firewallu. Może się nimi pochwalisz w końcu ?
EDIT: Wklej zawartość plików:
1. /etc/network/interfaces
2. squid.conf
3. regułki firewalla
4. wynik polecenia ls -al /var/spool/squid
5 .wynik polecenia cat /etc/group
1. /etc/network/interfaces:
# This file describes the network interfaces available on your system # and how to activate them. For more information, see interfaces(5). # The loopback network interface auto lo iface lo inet loopback # The primary network interface allow-hotplug eth0 iface eth0 inet static address 83.3.xxx.xxx netmask 255.255.255.xxx broadcast 83.3.xxx.xxx gateway 83.3.xxx.xxx allow-hotplug eth1 iface eth1 inet static address 192.168.0.1 netmask 255.255.255.0
2. squid.conf
http_port 192.168.0.1:3128 transparent cache_access_log /var/log/squid/access.log cache_mem 32 MB maximum_object_size_in_memory 64 KB memory_replacement_policy heap GDSF cache_replacement_policy heap LFUDA #cache_dir diskd /var/spool/squid 1024 16 256 Q1=90 Q2=110 maximum_object_size 5 MB cache_swap_low 90 cache_swap_high 95 error_directory /usr/share/squid/errors/Polish acl siec src 192.168.0.0/24 acl localhost src 127.0.0.1/32 acl all src 0.0.0.0/0.0.0.0 http_access allow siec http_access allow localhost http_access deny all cache_effective_user proxy cache_effective_group proxy
3. regułki firewalla
# wlaczenie w kernelu forwardowania echo 1 > /proc/sys/net/ipv4/ip_forward # czyszczenie starych regul iptables -F iptables -X iptables -t nat -X iptables -t nat -F # ustawienie polityki dzialania iptables -P INPUT DROP #input-strumien wchodzacy; drop-blokada iptables -P FORWARD DROP #forward-pakiety przechodzace miedzy interfejsami iptables -P OUTPUT ACCEPT #output-wychodzace przepuszczamy #zezwolenie na laczenie z naszym zewn ip po shh iptables -A INPUT -i lo -j ACCEPT #pakiety wchodzace na petle zwrotna puszczamy (loopback 127.0.0.1) iptables -A FORWARD -o lo -j ACCEPT #pakiety miedzy interfejsami petli zwrotnej puszczamy iptables -A INPUT -s 0/0 -d 192.168.0.1 -p tcp --dport 10000 -j ACCEPT #puszczamy ruch wchodzacy na port 22 (ssh) po tcp iptables -A OUTPUT -s 0/0 -d 192.168.0.1 -p tcp --dport 10000 -j ACCEPT iptables -A INPUT -s 0/0 -d 192.168.0.1 -p tcp --dport 22 -j ACCEPT #puszczamy ruch wchodzacy na port 22 (ssh) po tcp iptables -A OUTPUT -s 0/0 -d 192.168.0.1 -p tcp --dport 22 -j ACCEPT iptables -A INPUT -s 0/0 -d 192.168.0.1 -p udp --dport 22 -j ACCEPT iptables -A OUTPUT -s 0/0 -d 192.168.0.1 -p udp --dport 22 -j ACCEPT #polaczenia nawiazane iptables -A INPUT -j ACCEPT -m state --state ESTABLISHED,RELATED #utrzymuj stan pakietow wchodzacych iptables -A FORWARD -j ACCEPT -m state --state ESTABLISHED,RELATED #utrzymuj stan pakietow forwardowanych iptables -A OUTPUT -j ACCEPT -m state --state ESTABLISHED,RELATED #utrzymuj stan pakietow wychodzacych #udostepnianie internetu w sieci lokalnej iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -j MASQUERADE #tworzymy maskarade czyli nat dla sieci iptables -A FORWARD -s 192.168.0.0/24 -j ACCEPT #puszczamy miedzy interfejsami ruch z sieci 192.168.0.0 #Transparent proxying squid --------------------------------------------------------- #iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-ports 3128 #iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 8080 #iptables -t nat -A PREROUTING -i eth1 -p tcp -s 192.168.0.0/24 --dport 80 -j DNAT --to-destination 192.168.0.1:8080 #iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128 #iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 8080 -j REDIRECT --to-port 3128 #iptables -t nat -A OUTPUT -p tcp -m owner --dport 80 --uid-owner squid -j ACCEPT #iptables -t nat -A OUTPUT -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.0.1:3128 #iptables -t nat -A PREROUTING -i eth1 -d 192.168.0.0/255.255.255.0 ACCEPT #iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128 #iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 8080 -j REDIRECT --to-port 3128 #iptables -A PREROUTING -t nat --in-interface eth0 --protocol tcp --destination-port www \ --jump DNAT --to-destination 192.168.0.1:8080 # tomekc iptables -t nat -A POSTROUTING -s 192.168.0.10 -j MASQUERADE iptables -A FORWARD -m mac --mac-source 00:04:61:55:F8:F5 -j ACCEPT # aniab iptables -t nat -A POSTROUTING -s 192.168.0.11 -j MASQUERADE iptables -A FORWARD -m mac --mac-source 00:18:F3:0B:1A:C7 -j ACCEPT # laptop1 iptables -t nat -A POSTROUTING -s 192.168.0.12 -j MASQUERADE iptables -A FORWARD -m mac --mac-source 00:1F:16:42:B1:C9 -j ACCEPT
4. wynik polecenia ls -al /var/spool/squid
razem 136 drwxrwxrwx 18 root root 4096 mar 4 07:55 . drwxr-xr-x 5 root root 4096 mar 2 14:41 .. drwxr-x--- 258 proxy proxy 4096 mar 3 14:50 00 drwxr-x--- 258 proxy proxy 4096 mar 3 14:50 01 drwxr-x--- 258 proxy proxy 4096 mar 3 14:50 02 drwxr-x--- 258 proxy proxy 4096 mar 3 14:50 03 drwxr-x--- 258 proxy proxy 4096 mar 3 14:50 04 drwxr-x--- 258 proxy proxy 4096 mar 3 14:50 05 drwxr-x--- 258 proxy proxy 4096 mar 3 14:50 06 drwxr-x--- 258 proxy proxy 4096 mar 3 14:50 07 drwxr-x--- 258 proxy proxy 4096 mar 3 14:50 08 drwxr-x--- 258 proxy proxy 4096 mar 3 14:50 09 drwxr-x--- 258 proxy proxy 4096 mar 3 14:50 0A drwxr-x--- 258 proxy proxy 4096 mar 3 14:50 0B drwxr-x--- 258 proxy proxy 4096 mar 3 14:50 0C drwxr-x--- 258 proxy proxy 4096 mar 3 14:50 0D drwxr-x--- 258 proxy proxy 4096 mar 3 14:50 0E drwxr-x--- 258 proxy proxy 4096 mar 3 14:50 0F -rw-r----- 1 proxy proxy 57888 mar 4 08:08 swap.state
5 .wynik polecenia cat /etc/group
root:x:0: daemon:x:1: bin:x:2: sys:x:3: adm:x:4: tty:x:5: disk:x:6: lp:x:7: mail:x:8: news:x:9: uucp:x:10: man:x:12: proxy:x:13: kmem:x:15: dialout:x:20:t fax:x:21: voice:x:22: cdrom:x:24:t floppy:x:25:t tape:x:26: sudo:x:27: audio:x:29:t dip:x:30: www-data:x:33: backup:x:34: operator:x:37: list:x:38: irc:x:39: src:x:40: gnats:x:41: shadow:x:42: utmp:x:43: video:x:44:t sasl:x:45: plugdev:x:46:t staff:x:50: games:x:60: users:x:100: nogroup:x:65534: libuuid:x:101: crontab:x:102: Debian-exim:x:103: mlocate:x:104: ssh:x:105: t:x:1000: bind:x:106:
Offline
http_port 192.168.0.1:3128 transparent
Przecież ten wpis jest nieprawidłowy. Squid Ci się przez to nie podnosi w ogóle.
http_port 3128 transparent
EDIT: Sprawdziłem na wirtualce. Po poprawieniu konfiguracji u mnie działa.
Ostatnio edytowany przez pasqdnik (2010-03-04 09:09:01)
Offline
pasqdnik napisał(-a):
http_port 192.168.0.1:3128 transparent
Przecież ten wpis jest nieprawidłowy. Squid Ci się przez to nie podnosi w ogóle.
Kod:
http_port 3128 transparentEDIT: Sprawdziłem na wirtualce. Po poprawieniu konfiguracji u mnie działa.
już działa.
musiałem dopisać do firewalla:
iptables -A INPUT -s 192.168.0.0/24 -d 192.168.0.1 -p tcp --dport 3128 -j ACCEPT iptables -I OUTPUT -s 192.168.0.0/24 -d 192.168.0.1 -p tcp --sport 3128 -j ACCEPT
, ale pojawił się kolejny problem.
Statystyki moge przeglądać tylko przez Webmina.
Po wpisaniu w przeglądarce
http://192.168.0.1/squid-reports/ "
nie wyświetla mi żadnej strony.
Pewnie znów coś z portami...
Ostatnio edytowany przez tomeq77 (2010-03-04 11:19:19)
Offline