Моё меню Общее меню Пользователи Правила форума Все прочитано
Вернуться   uForum.uz > GLOBAL > Информационная безопасность
Знаете ли Вы, что ...
...до того как открыть новую тему, стоит использовать поиск: такая тема уже может существовать.
<< Предыдущий совет - Случайный совет - Следующий совет >>


Ответить

 
Опции темы Опции просмотра
Старый 20.12.2012 16:56   #11  
Real ID Group Ultimate ex-wild_John
Супермодератор
Аватар для German Stimban
Оффлайн
Центр программистов Bepro
Начальник отдела
Сообщений: 8,063
+ 4,916  6,509/2,846
– 300  135/90

UzbekistanОтправить сообщение для German Stimban с помощью ICQОтправить сообщение для German Stimban с помощью Skype™LiveJournal
Выполни команду squid -z, каков результат?
__________________
Герман - это не имя, это особое состояние души (Джим Анджер)
Ответить 
Старый 20.12.2012 17:09   #12  
Real ID Group
Аватар для Aziz Madetov
Оффлайн
Сообщений: 1,512
+ 3,005  1,178/530
– 55  21/17

Uzbekistan
Цитата:
Сообщение от German Stimban Посмотреть сообщение
Выполни команду squid -z, каков результат?
Герман, кэш создан, все настроено, все работает — но только с 2-мя серверами в связке. Мне нужно разделить трафик на мир/тасикс средствами сквида.

Сейчас я это делаю при помощи iptables на шлюзе, а это неправильно. Проблема в том, что ни один конфиг не понимает маски CIDR. Вычислять диапазоны и вручную вбивать ip-адреса по отдельности не очень хочется, поэтому спрашиваю здесь, на форуме.

Может, какая-то надстройка для Squid3 или squidGuard есть? Кто бы ссылкой поделился
Ответить 
Старый 20.12.2012 17:26   #13  
Real ID Group Ultimate ex-wild_John
Супермодератор
Аватар для German Stimban
Оффлайн
Центр программистов Bepro
Начальник отдела
Сообщений: 8,063
+ 4,916  6,509/2,846
– 300  135/90

UzbekistanОтправить сообщение для German Stimban с помощью ICQОтправить сообщение для German Stimban с помощью Skype™LiveJournal
Цитата:
Сообщение от Aziz Madetov Посмотреть сообщение
Проблема в том, что ни один конфиг не понимает маски CIDR.
Что в логах пишет?
Код:
[german@localhost ~]$ sudo cat /etc/squid/squid.conf
http_port 3128
acl our_net src 192.168.3.0/24
acl tasix dst 10.0.0.0/21

http_access allow our_net tasix
http_access deny our_net
http_access deny all
[german@localhost ~]$ sudo service squid restart
Остановка squid: ................          [   ОК  ]
init_cache_dir ... Запуск squid: .        [   ОК  ]
[german@localhost ~]$ rpm -qa | grep squid
squid-3.1-14mdv2010.1
[german@localhost ~]$
__________________
Герман - это не имя, это особое состояние души (Джим Анджер)

Последний раз редактировалось German Stimban; 20.12.2012 в 17:28.
Ответить 
2 "+" от:
Старый 29.12.2012 17:08   #14  
Real ID Group
Аватар для Aziz Madetov
Оффлайн
Сообщений: 1,512
+ 3,005  1,178/530
– 55  21/17

Uzbekistan
Цитата:
Сообщение от German Stimban Посмотреть сообщение
Что в логах пишет?
В общем, все сделал, как ты описал, выполнил squid3 -k reconfigure и получил вывод:
Код:
...
2012/12/29 17:05:56| WARNING: because of this '94.158.48.0/24' is ignored to keep splay tree searching predictable
2012/12/29 17:05:56| WARNING: You should probably remove '94.158.48.0/24' from the ACL named 'tasix'
2012/12/29 17:05:56| WARNING: (B) '94.158.49.0/24' is a subnetwork of (A) '94.158.49.0/24'
2012/12/29 17:05:56| WARNING: because of this '94.158.49.0/24' is ignored to keep splay tree searching predictable
2012/12/29 17:05:56| WARNING: You should probably remove '94.158.49.0/24' from the ACL named 'tasix'
2012/12/29 17:05:56| WARNING: (B) '94.158.49.0/24' is a subnetwork of (A) '94.158.49.0/24'
2012/12/29 17:05:56| WARNING: because of this '94.158.49.0/24' is ignored to keep splay tree searching predictable
...
Кроме того, сквид видимо не понял что ему делать со списком сетей, так как пускает в мир обе группы пользователей.

Пока пустил вторую группу пользователей через фильтр в iptables.

Будем искать... ©
Ответить 
Реклама и уведомления
Старый 29.12.2012 17:19   #15  
Real ID Group
Аватар для Aziz Madetov
Оффлайн
Сообщений: 1,512
+ 3,005  1,178/530
– 55  21/17

Uzbekistan
Ах да, логи:

/var/log/squid/squidGuard.log:
Скрытый текст:
Код:
...
2012-12-29 17:05:56 [31812] init domainlist /var/lib/squidguard/db/dating/domains
2012-12-29 17:05:56 [31812] loading dbfile /var/lib/squidguard/db/dating/domains.db
2012-12-29 17:05:56 [31812] init urllist /var/lib/squidguard/db/dating/urls
2012-12-29 17:05:56 [31812] loading dbfile /var/lib/squidguard/db/dating/urls.db
2012-12-29 17:05:56 [31812] init domainlist /var/lib/squidguard/db/games-misc/domains
2012-12-29 17:05:56 [31812] loading dbfile /var/lib/squidguard/db/games-misc/domains.db
2012-12-29 17:05:56 [31812] init urllist /var/lib/squidguard/db/games-misc/urls
2012-12-29 17:05:56 [31812] loading dbfile /var/lib/squidguard/db/games-misc/urls.db
2012-12-29 17:05:56 [31812] init domainlist /var/lib/squidguard/db/games-online/domains
2012-12-29 17:05:56 [31812] loading dbfile /var/lib/squidguard/db/games-online/domains.db
2012-12-29 17:05:56 [31812] init urllist /var/lib/squidguard/db/games-online/urls
2012-12-29 17:05:56 [31812] loading dbfile /var/lib/squidguard/db/games-online/urls.db
2012-12-29 17:05:56 [31812] init domainlist /var/lib/squidguard/db/movies/domains
2012-12-29 17:05:56 [31812] loading dbfile /var/lib/squidguard/db/movies/domains.db
2012-12-29 17:05:56 [31812] init urllist /var/lib/squidguard/db/movies/urls
2012-12-29 17:05:56 [31812] loading dbfile /var/lib/squidguard/db/movies/urls.db
2012-12-29 17:05:56 [31812] init domainlist /var/lib/squidguard/db/porn/domains
2012-12-29 17:05:56 [31812] loading dbfile /var/lib/squidguard/db/porn/domains.db
2012-12-29 17:05:56 [31812] init urllist /var/lib/squidguard/db/porn/urls
2012-12-29 17:05:56 [31812] loading dbfile /var/lib/squidguard/db/porn/urls.db
2012-12-29 17:05:56 [31812] init domainlist /var/lib/squidguard/db/radiotv/domains
2012-12-29 17:05:56 [31812] loading dbfile /var/lib/squidguard/db/radiotv/domains.db
2012-12-29 17:05:56 [31812] init urllist /var/lib/squidguard/db/radiotv/urls
2012-12-29 17:05:56 [31812] loading dbfile /var/lib/squidguard/db/radiotv/urls.db
2012-12-29 17:05:56 [31812] init domainlist /var/lib/squidguard/db/socialnet/domains
2012-12-29 17:05:56 [31812] loading dbfile /var/lib/squidguard/db/socialnet/domains.db
2012-12-29 17:05:56 [31812] init urllist /var/lib/squidguard/db/socialnet/urls
2012-12-29 17:05:56 [31812] loading dbfile /var/lib/squidguard/db/socialnet/urls.db
2012-12-29 17:05:56 [31812] init domainlist /var/lib/squidguard/db/updatesites/domains
2012-12-29 17:05:56 [31812] loading dbfile /var/lib/squidguard/db/updatesites/domains.db
2012-12-29 17:05:56 [31812] init urllist /var/lib/squidguard/db/updatesites/urls
2012-12-29 17:05:56 [31812] loading dbfile /var/lib/squidguard/db/updatesites/urls.db
2012-12-29 17:05:56 [31812] init domainlist /var/lib/squidguard/db/webtv/domains
2012-12-29 17:05:56 [31812] loading dbfile /var/lib/squidguard/db/webtv/domains.db
2012-12-29 17:05:56 [31812] init urllist /var/lib/squidguard/db/webtv/urls
2012-12-29 17:05:56 [31812] loading dbfile /var/lib/squidguard/db/webtv/urls.db
2012-12-29 17:05:56 [31812] squidGuard 1.4 started (1356782756.527)
2012-12-29 17:05:56 [31812] squidGuard ready for requests (1356782756.540)
...

/var/log/squid3/access.log:
Скрытый текст:
Код:
...
1356783312.646   1486 192.168.0.230 TCP_MISS/304 608 GET http://www.microsoft.com/pkiops/crl/MicSecSerCA2011_2011-10-18.crl - DIRECT/65.55.57.27 application/pkix-crl
1356783312.710     37 192.168.0.230 TCP_REFRESH_UNMODIFIED/304 600 GET http://mscrl.microsoft.com/pki/mscorp/crl/mswww(6).crl - DIRECT/94.245.82.13 application/pkix-crl
1356783313.568    832 192.168.0.230 TCP_MISS/304 554 GET http://crl.microsoft.com/pki/crl/products/microsoftrootcert.crl - DIRECT/217.212.252.145 application/pkix-crl
1356783313.641     37 192.168.0.230 TCP_MISS/304 536 GET http://crl.microsoft.com/pki/crl/products/CodeSignPCA2.crl - DIRECT/217.212.252.145 application/pkix-crl
1356783313.702     37 192.168.0.230 TCP_MISS/304 553 GET http://crl.microsoft.com/pki/crl/products/WinPCA.crl - DIRECT/217.212.252.145 application/pkix-crl
1356783313.767     41 192.168.0.230 TCP_REFRESH_UNMODIFIED/304 598 GET http://mscrl.microsoft.com/pki/mscorp/crl/mswww(5).crl - DIRECT/94.245.82.13 application/pkix-crl
1356783313.827     37 192.168.0.230 TCP_MISS/304 562 GET http://crl.microsoft.com/pki/crl/products/MicrosoftTimeStampPCA.crl - DIRECT/217.212.252.145 application/pkix-crl
...


Все в порядке...
Ответить 
Старый 29.12.2012 17:55   #16  
Known ID Group uParty Member
Аватар для ustas
Оффлайн
Сообщений: 2,250
+ 842  1,117/581
– 34  11/10

Uzbekistan
Может, просто дадите удалённый доступ и, к примеру, Герман настроит?
А вы, как будете в Ташкенте, проставитесь

Нет, ну, возможно, у вас огромное желание и зуд в руках постараться сделать самому всё, так тоже бывает. На этот случай могу порекомендовать поставить тестовую машинку и потом подёргать получившиеся скрипты на ней, когда у вас уже будет свободно работающая система.
__________________
время одно на всех, но каждый верит только своим часам.
Ответить 
Старый 29.12.2012 17:58   #17  
Real ID Group
Аватар для Aziz Madetov
Оффлайн
Сообщений: 1,512
+ 3,005  1,178/530
– 55  21/17

Uzbekistan
Цитата:
Сообщение от ustas Посмотреть сообщение
Может, просто дадите удалённый доступ и, к примеру, Герман настроит?
К машине нет доступа извне. И тестовой машиной тоже, к сожалению, не располагаю.
Ответить 
Старый 02.01.2013 21:58   #18  
Real ID Group
Аватар для Aziz Madetov
Оффлайн
Сообщений: 1,512
+ 3,005  1,178/530
– 55  21/17

Uzbekistan
Цитата:
Сообщение от Aziz Madetov Посмотреть сообщение
Будем искать... ©
Проблема решена.

# cat /etc/squid3/squid.conf:
Скрытый текст:
Код:
http_port 192.168.0.1:3128 transparent
icp_port  3130

acl manager      proto     cache_object
acl localhost    src       127.0.0.1/32
acl to_localhost dst       127.0.0.0/8
acl group1       src       192.168.0.5-192.168.0.20
acl group2       src       192.168.0.21-192.168.0.254
acl tasix        dst       "/etc/squid3/tasix"       # Список сайтов Tas-IX
acl expressions  url_regex "/etc/squid3/expressions" # regexp доменов разных мессенджеров

acl SSL_ports  port 443
acl Safe_ports port 80          # http
acl Safe_ports port 21          # ftp
acl Safe_ports port 443         # https
acl Safe_ports port 70          # gopher
acl Safe_ports port 210         # wais
acl Safe_ports port 1025-65535  # unregistered ports
acl Safe_ports port 280         # http-mgmt
acl Safe_ports port 488         # gss-http
acl Safe_ports port 591         # filemaker
acl Safe_ports port 777         # multiling http

acl proto_https proto HTTPS

acl CONNECT method CONNECT

always_direct allow proto_https

http_access allow manager
http_access allow localhost
http_access allow group1
http_access allow group2 tasix
http_access allow group2 expressions
http_access deny  group2
http_access deny  !Safe_ports
http_access deny  CONNECT !SSL_ports

http_access deny all
icp_access  deny all
htcp_access deny all

hierarchy_stoplist cgi-bin ?

access_log   /var/log/squid3/access.log squid
coredump_dir /var/spool/squid3

cache_dir             ufs /var/spool/squid3 1024 16 256
cache_effective_user  proxy
cache_effective_group proxy
cache_mgr             webmaster@localhost

url_rewrite_program  /usr/bin/squidGuard -c /etc/squid/squidGuard.conf
url_rewrite_children 5
redirector_bypass    off

error_directory /usr/share/squid3/errors/Russian-1251

# cat /etc/squid/squidGuard.conf:
Скрытый текст:
Код:
dbhome /var/lib/squidguard/db
logdir /var/log/squid

# SOURCE ADDRESSES:

src admin {
    ip 192.168.0.5/32
}
src group1 {
    ip 192.168.0.6-192.168.0.20
}
src group2 {
    ip 192.168.0.21-192.168.0.254
}

# DESTINATION CLASSES:
dest adv {
    domainlist adv/domains
    urllist    adv/urls
    redirect   http://192.168.0.1/adv.html
}
dest dating {
    domainlist dating/domains
    urllist    dating/urls
    redirect   http://192.168.0.1/403.html
}
dest games-misc {
    domainlist games-misc/domains
    urllist    games-misc/urls
    redirect   http://192.168.0.1/403.html
}
dest games-online {
    domainlist games-online/domains
    urllist    games-online/urls
    redirect   http://192.168.0.1/403.html
}
dest movies {
    domainlist movies/domains
    urllist    movies/urls
    redirect   http://192.168.0.1/403.html
}
dest porn {
    domainlist porn/domains
    urllist    porn/urls
    redirect   http://192.168.0.1/warn.html
}
dest radiotv {
    domainlist radiotv/domains
    urllist    radiotv/urls
    redirect   http://192.168.0.1/403.html
}
dest socialnet {
    domainlist socialnet/domains
    urllist    socialnet/urls
    redirect   http://192.168.0.1/403.html
}
dest updatesites {
    domainlist updatesites/domains
    urllist    updatesites/urls
    redirect   http://192.168.0.1/false.html
}
dest webtv {
    domainlist webtv/domains
    urllist    webtv/urls
    redirect   http://192.168.0.1/403.html
}
dest tasix {
    domainlist tasix/domains
    redirect   http://192.168.0.1/403.html
}

acl {

    admin {
        pass !adv !dating !games-misc !games-online !movies !porn !radiotv !socialnet !webtv all
    }
	group1 {
        pass !adv !dating !games-misc !games-online !movies !porn !radiotv !socialnet !updatesites !webtv all
    }
    group2 {
        pass !adv !dating !games-misc !games-online !movies !porn !radiotv !socialnet !updatesites !webtv !messengers tasix
    }
    default {
        pass none
        redirect http://192.168.0.1/403.html
    }

}


В файлах /var/lib/squidguard/db/tasix/domains, /etc/squid3/tasix и /etc/squid3/expressions приведены списки доменов, сетей и доменов в виде регулярных выражений для фильтрации.

Обращение к модераторам:
Спасибо всем, кто помогал! Тему можно закрывать. С Новым годом!
Ответить 
Старый 18.04.2014 20:30   #19  
Аватар для DELL
Оффлайн
Сообщений: 19
+ 10  11/6
– 5  0/0

Uzbekistan
Доброго времени суток.
Нужна помощь в настройке сервера на основе сквида:
1. нужно поднять программный рейд5, дать доступ на чтение всем а на запись только с парольной защитой.
2. настроить сквид так чтоб инет шел через 2 подключенных к нему модема: все соц сети, сайты с медиаконтентом шли через 1й модем, все остальные через второй. При этом чтобы можно было блокировать некоторые сайты путем добавления их в черный список или редирект их на другой сайт, запрет на скачивание файлов больше 5 мб.
3. ПО будет установлено на отдельном (не рейд) диске и на томже диске создать папку для общего доступа с правами записи и просмотра всем.
Буду весьма благодарен тем кто поможет с установкой.
п.с. можно написать в личку мыло или номер телефона - перезвоню.
Ответить 
Старый 18.04.2014 21:12   #20  
Заблокирован(а)
Аватар для ratheon
Оффлайн
Свиноферма
нанотехнолог
Сообщений: 674
+ 1  216/160
– 0  100/60

Uzbekistan
Цитата:
1. нужно поднять программный рейд5, дать доступ на чтение всем а на запись только с парольной защитой.
какие записи, какие чтения, вы об чем ?
Ответить 
Ответить
Опции темы
Опции просмотра




Здесь представлены форумы: UZINFOCOM, ЦППМП, ГКСИТТ, PC.UZ, Microsoft, IBM, HP, Fujitsu, D-Link, Intel, Ассоциация IT, InfoCOM.UZ, BANK.UZ, ActiveCloud, Sarkor Telecom, BUZTON, Cisco Systems, NetDec, EVO, Sharq Telekom, EPSON, Cron Telecom.
Powered by vBulletin® Version 3.8.5
Copyright ©2000 - 2017, Jelsoft Enterprises Ltd. Перевод: zCarot
Advertisement System V2.5 By Branden
Центр UZINFOCOM


Новые 24 часа Кто на форуме Новички Поиск Кабинет Все прочитано Вверх