Настройка SQUID proxy server

[Vicpo]

Пути тебе надо писать относительно того где твой файл domainlist лежит если просто в каталоге adult то значит dest убираешь вообще дай вывод ls /usr/local/squidGuard/db
по поводу редиректа он указывает куда перенаправить запрос если обнаружен запрещенный URL обычно поднимается вебсервер на проксе сервере и там выкладывается файлы на которые будет произведен редирект вот от сюда myhost
можешь вообще редирект оставить пустым

[shiko]

Даю вывод директории /usr/local/squidGuard/db:
 

[root@stp1 db]# ls
ads/             books/           entertainment/    hygiene/           mobile-phone/      radio/             updatesites/
adult/           cellphones/      filehosting/      instantmessaging/  naturism/          reaffected/        vacation/
aggressive/      chat/            financial/        jewelry/           news/              religion/          verisign/
antispyware/     childcare/       frencheducation/  jobsearch/         onlineauctions/    ringtones/         violence/
artnudes/        cleaning/        gambling/         kidstimewasting/   onlinegames/       searchengines/     virusinfected/
astrology/       clothing/        games/            lansource/         onlinepayment/     sect/              warez/
audio-video/     culinary/        gardening/        magazines/         personalfinance/   sexuality/         weapons/
banking/         dating/          government/       mail/              pets/              shopping/          weather/
bannedsource/    desktopsillies/  guns/             malware/           phishing/          socialnetworking/  webmail/
beerliquorinfo/  dialers/         hacking/          marketingware/     porn/              sportnews/         whitelist/
beerliquorsale/  drugs/           homerepair/       medical/           privilegedsource/  sports/
blog/            ecommerce/       humor/            mixed_adult/       proxy/             spyware/

На счет строки  (302: http://www.my.host/Images/not_banner.gif)  я кажется понял в место (www.my.host) я могу вбить ip своего сервака, дальше если я к примеру укажу такой путь (http://192.168.0.1/home/norman/имя_файла),  redirect будет срабатывать или нет (не ужеели обязательно подымать веб-сервер) и что эта за цифра (302) она мне покоя не дает, а в инете про это найти не могу, не знаете случайно?

[Vicpo]

по поводу файлов все каталоги есть вот adult явно виден в листинге, так что правим свой файл с учетом этого листинга
по поводу редиректа Redirect 301/302

[shiko]

Вот в этом примере с инета  в redirect- е стоит строка http://192.168.10.9/replace/1x1.gif, просто скажите где должна находиться у меня директория (replace) на моем серваке, я так понимаю тут нету веб сервера. Проста та тема на которую вы меня отправили она слишком большая и требует детального изучения. Да и если я,  как вы сказали вообще откажусь на первых порах (пока въеду что где)от этого redirecta ошибок ни каких не будет в работе?

}    
dest banners {

   
# описываем свою собственную базу баннерных систем

# в этом файле записаны выражения типа baner, banner, ads, show_ads

# перенаправляем все запросы на прозрачный gif размером 1x1 пиксель

domainlist banners/domains

expressionlist banners/expressions

urllist banners/urls

redirect http://192.168.10.9/replace/1x1.gif

log banners

}

}

[Vicpo]

на web сервере если нет веб сервера то редирект убираем

[shiko]

Понял, спасибо! Буду убирать, жаль   :( просто хотелось приукрасить немного  :)

[Vicpo]

А кто мешает поставить апач и положить файлы на него?

[shiko]

Ну, я так думаю все в наших руках, но не все сразу ща сглыд запущу, потом будем думать дальше!
 Меня тут осенило, а вот я создали директорию для тех пользователей у которых кончился лимит трафика и они должны попасть как я понимаю в bannlist, а я только указал дир. bannedsource для указания ip (которые будут вбиваться руками) которым запрещено будет ходить в инет, какая то не стыковка получается! Как же пользователи будут попадать в ban, ведь  в squidGuard.conf таких функций нет.

[Vicpo]

Для этого есть программы SARG Lightsquid

[shiko]

Здравствуйте Vicpo! Закончил сегодня работу над конфигами прокси сервера squid + squidGuard, сделал запуск сервера, а он не запускается:

Код [Выделить] Expand

[root@stp1 /]# service squid start
Запускается squid:                                              [ СБОЙ ]  И что мне делать, в чем может быть проблема, для наглядности что бы не разговаривать на пальцах даю свои конфиги :
SQUID.CONF

Код [Выделить] Expand

# WELCOME TO SQUID 2.6.STABLE16
# ----------------------------
# -----------------------------------------------------------------------------
http_port 192.168.0.1:3128
hierarchy_stolist cgi-bin ?
acl QUIRY urlpath_regex cgi-bin ?
no_cache deny QUIRY
cache_dir ufs /var/spool/squid 2048 16 256
cache_access_log /var/log/squid/access.log
cache_log /var/log/squid/cache.log
cache_store_log /var/log/squid/store.log
cache_min 100 MB
maximum_object_size 102400 KB
cache_effective_user squid
cache_effective_group squid
#cache_ctore_log none

# Передаем управление клиентами редиректору авторизация фильтрация и тп
url_rewrit_program /usr/local/bin/squidGuard -c /usr/local/squidGuard/squidGuard.conf
url_rewrit_children 5
rediretor_bypass on

auth_param basic program /usr/lib/squid/ncsa_auth /etc/squid/internet_users
auth_param basic children 5
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 2 hours
auth_param basic casesensitive off

# Управление ACL то есть разрешения сервера порты типы файлов и тп
#half_clsed_clients off
#acl media url_regex -i ftp .exe .mp3 .avi .mpeg .mpe .mpg .qt .ram .rm .iso .raw .wav .mov .rar .zip .7z .djvu

# Дабовляем основные списки коттроля доступом
acl all src 0.0.0.0/0.0.0.0
#acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
dns_nameserver 212.19.149.53
acl DARIM proxy_auth REQUIRED
acl SSL_ports port 80 443 563 2082
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
#acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT
http_access deny ICQ

#http_access allow manager localhost
#http_access deny managers

http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access deny to_localhost
http_access deny all
acl mynetwork src 192.168.0.0/255.255.255.0
http_access allow mynetwork
#acl our_networks src 192.168.1.0/24 192.168.2.0/24
#http_access allow our_networks
http_access allow localhost
http_access allow DARIM
http_reply_access allow all
visible_hostname admin@domen.kz

# Прописать домен или оставить как есть
append_domain.domen.kz
err_html_txt admin@domen.kz
deny_info ERR_CUSTOM_ACCESS_DENIED all
coredump_dir /var/spool/squid
ie_refresh on
logfile_rotate 1squidGuard.conf

Код [Выделить] Expand

#
# CONFIG FILE FOR SQUIDGUARD
#

dbhome /usr/local/squidGuard/db
logdir /usr/local/squidGuard/log

#
# TIME RULES:
# abbrev for weekdays:
# s = sun, m = mon, t =tue, w = wed, h = thu, f = fri, a = sat

#готовим  диапазоны времени (нерабочее время)
time workhours {
# weekly mtwhf 08:00 - 16:30
# date *-*-01  08:00 - 16:30
weekly * 00:00-08:00 17:00-24:00       # ночь и вечер
        weekly fridays 16:00-17:00             # + пятница  с 16:00 до 17:00 (если у вас короткий день)
        weekly sat sun 00:00-24:00             # + выходные
        date*.01.01                            # + Новый Год
}

#
# REWRITE RULES:
#

#rew dmz {
# s@://admin/@://admin.foo.bar.de/@i
# s@://foo.bar.de/@://www.foo.bar.de/@i
#}

#
# SOURCE ADDRESSES:
# Им можно почти все
src privilegedsource {
iplist privilegedsource/ips
# user root foo bar
# within workhours
}

# Группа заблокированных пользователей
src bannedsource {
iplist bannedsource/ips
}

src lansource {
iplist lansource/lan
}

#
# DESTINATION CLASSES:
# Подключение баз

dest ads {
        domainlist      ads/domains
urllist         ads/urls
expressionlist  ads/expressions
}

dest phishing {
        domainlist      phishing/domains
urllist         phishing/urls
}

dest porn {
        domainlist      porn/domains
urllist         porn/urls
expressionlist  porn/expressions
}

dest warez {
        domainlist      warez/domains
urllist         warez/urls
}

dest spyware {
        domainlist      spyware/domains
}

dest sexuality {
        domainlist      sexuality/domains
urllist         sexualiyt/urls
}

dest hacking {
        domainlist      hacking/domains
urllist         hacking/urls
}

dest audio-video {
        domainlist      audio-video/domains
urllist         audio-video/urls
}

dest games {
        domainlist      games/domains
urllist         games/urls
}

dest onlinegames {
        domainlist      onlinegames/domains
urllist         onlinegames/urls     
}

dest chat {
        domainlist      chat/domains
urllist         chat/urls
}

dest adult {
domainlist adult/domains
urllist adult/urls
# redirect http://admin.foo.bar.de/cgi/blocked?clientaddr=%a+clientname=%n+clientuser=%i+clientgroup=%s+targetgroup=%t+url=%u
}


acl {
privilegedsource {
pass all
}

bannedsource {
        pass none

}

lansource within workhours {
        pass     !warez !porn !phishing !spyware !sexuality !audio-video !games !onlinegames !adult !hacking !ads all   

} else { pass !chat !ads all     #отключение chat-ов и рекламы в рабочее время

} 

default {
        pass none
# log /usr/local/SquidGuard/defoult.log                 # запись в логфайл
# [b]pass local none[/b]
# rewrite dmz

}
}
Посмотрите пожалуйста свежит так скозать взглядом, может где ошибся, да вот в конце файла squidGuard.conf я выделил эту строку по умолчанию было (pass    local none), а во всех статьях в примерах пишется параметр (pass none) , это критично? Спасибо за помощь!!!используйте тег code

[shiko]

Скажите, не может быть ошибкой кометарии  которые я сделал в коде и в каком положении в конфиге должен оставаться курсор после его сохранения?

[shiko]

Вроде нашел, закоментировал строку (http_access deny ICQ) в squid.conf и запустился squid, а вчем проблема непойму, я зашел в /var/loq/squid/squid.aut где была указана фатальная ошибка и руганулся он именно на выше указанную строку, а почему, что неправильно?

[Vicpo]

http_access deny ICQ есть а вот acl ICQ нет вот и ругался

[shiko]

Да это точно, не доглядел у меня другая проблема браузер Mozilla Firefox не хочет работать, я вроде все прописал указал ip прокси и порт 3128, крутил его вертел, а он не хочет работать и все, посмотрите пожалуйста скриншоты.

[Vicpo]

в squid.conf строку http_port 192.168.0.1:3128 поменять на http_port 3128
второе вас блокирует squidGuard проверяйте в доступах

[shiko]

Я протестировал squidGuard.conf, вот результаты теста, если честно не могу понять что за ошибка, вот при просмотре файла тестирования вроде все в порядке. Я проверил указанные в db  файлы где прописывал ip-адреса, меня смущает формат, дело в том что я указал их так (192.168.0.1), а в статьях описывается формат типа (
101.101.101.103/32
101.101.101.104/32) может здесь ошибка?

Код [Выделить] Expand

[root@stp1 squid]# perl squidGuard.pl
??????? ??????????? ?????:
192.168.0.2
sh: line 1:  9886 Ошибка сегментирования                   /usr/local/bin/squidGuard < test.tmp
[root@stp1 squid]# cat reult.txt
cat: reult.txt: Нет такого файла или каталога
[root@stp1 squid]# cat result.txt
Запрос: http://www.sex.com 192.168.0.2/- - GET
Ответ: OK

Запрос: http://www.adult.com 192.168.0.2/- - GET
Ответ: OK

Запрос: http://www.aport.ru 192.168.0.2/- - GET
Ответ: OK

Запрос: http://www.porno.ru 192.168.0.2/- - GET
Ответ: OK

Запрос: http://www.chat.ru 192.168.0.2/- - GET
Ответ: OK

Запрос: http://www.test.com 192.168.0.2/- - GET
Ответ: OK

Запрос: http://www.aport.ru 192.168.0.2/- - GET
Ответ: OK

Запрос: http://adv.aport.ru:8000/banners/ban_1342.gif 192.168.0.2/- - GET
Ответ: OK

[/quote]
  Все уже перепробовал и IP-адреса менял все бестолку, прокси работает при запуске никаких конфликтных ситуаций нет, что ему не хватает я не знаю, почему он не пропускает??? Скажите, а что может означать данная цитата из статьи:
[quote]Проверяем владельца и разрешения. Для squidGuard и squidGuard.conf - владелец тот же, что и в squid.conf прописан для cache_effective_user
Разрешения:
squidGuard      755
squidGuard.conf 644 Как мне провести эту проверку?
используйте тег code

[Vicpo]

от рута

Код [Выделить] Expand

chown squid:squid /usr/local/bin/sguidGuard
chown squid:squid /usr/local/squidGuard/squidGuard.conf
chmod 755 /usr/local/bin/sguidGuard
chmod 644 /usr/local/squidGuard/squidGuard.conf

[shiko]

У меня к вам большая такая человеческая просьба, если вы знаете или догадываетесь в причине блокировки прошу помочь, я честно говоря уже теряюсь в догадках. Если не знаете тогда извените я больше не буду вас беспокоить, спасибо за помощь!

[Vicpo]

дай вывод команды ls -la /usr/local/squidGuard/db
покажи лог squidGuard
и используй тег code а не quote

[shiko]

Код [Выделить] Expand

[root@stp1 /]# ls -la /usr/local/squidGuard/db
итого 336
drwxr-xr-x 84 squid root 4096 2008-08-16 17:40 ./
drwxr-xr-x  4 squid root 4096 2008-08-18 18:38 ../
drwxr-xr-x  2  1001 1001 4096 2008-08-15 10:18 ads/
drwxr-xr-x  2  1001 1001 4096 2008-08-15 10:18 adult/
drwxr-xr-x  2  1001 1001 4096 2008-08-15 10:18 aggressive/
drwxr-xr-x  2  1001 1001 4096 2008-08-15 10:18 antispyware/
drwxr-xr-x  2  1001 1001 4096 2008-08-15 10:18 artnudes/
drwxr-xr-x  2  1001 1001 4096 2008-08-15 10:18 astrology/
drwxr-xr-x  2  1001 1001 4096 2008-08-15 10:18 audio-video/
drwxr-xr-x  2  1001 1001 4096 2008-08-15 10:18 banking/
drwxrwxr-x  2 root  root 4096 2008-08-18 11:31 bannedsource/
drwxr-xr-x  2  1001 1001 4096 2008-08-15 10:18 beerliquorinfo/
drwxr-xr-x  2  1001 1001 4096 2008-08-15 10:18 beerliquorsale/
drwxr-xr-x  2  1001 1001 4096 2008-08-15 10:18 blog/
drwxr-xr-x  2  1001 1001 4096 2008-08-15 10:18 books/
drwxr-xr-x  2  1001 1001 4096 2008-08-15 10:18 cellphones/
drwxr-xr-x  2  1001 1001 4096 2008-08-15 10:18 chat/
drwxr-xr-x  2  1001 1001 4096 2008-08-15 10:18 childcare/
drwxr-xr-x  2  1001 1001 4096 2008-08-15 10:18 cleaning/
drwxr-xr-x  2  1001 1001 4096 2008-08-15 10:18 clothing/
drwxr-xr-x  2  1001 1001 4096 2008-08-15 10:18 culinary/
drwxr-xr-x  2  1001 1001 4096 2008-08-15 10:18 dating/
drwxr-xr-x  2  1001 1001 4096 2008-08-15 10:18 desktopsillies/
drwxr-xr-x  2  1001 1001 4096 2008-08-15 10:18 dialers/
drwxr-xr-x  2  1001 1001 4096 2008-08-15 10:18 drugs/
drwxr-xr-x  2  1001 1001 4096 2008-08-15 10:18 ecommerce/
drwxr-xr-x  2  1001 1001 4096 2008-08-15 10:18 entertainment/
drwxr-xr-x  2  1001 1001 4096 2008-08-15 10:18 filehosting/
drwxr-xr-x  2  1001 1001 4096 2008-08-15 10:18 financial/
drwxr-xr-x  2  1001 1001 4096 2008-08-15 10:18 frencheducation/
drwxr-xr-x  2  1001 1001 4096 2008-08-15 10:18 gambling/
drwxr-xr-x  2  1001 1001 4096 2008-08-15 10:18 games/
drwxr-xr-x  2  1001 1001 4096 2008-08-15 10:18 gardening/
drwxr-xr-x  2  1001 1001 4096 2008-08-15 10:18 government/
drwxr-xr-x  2  1001 1001 4096 2008-08-15 10:18 guns/
drwxr-xr-x  2  1001 1001 4096 2008-08-15 10:18 hacking/
drwxr-xr-x  2  1001 1001 4096 2008-08-15 10:18 homerepair/
drwxr-xr-x  2  1001 1001 4096 2008-08-15 10:18 humor/
drwxr-xr-x  2  1001 1001 4096 2008-08-15 10:18 hygiene/
drwxr-xr-x  2  1001 1001 4096 2008-08-15 10:18 instantmessaging/
drwxr-xr-x  2  1001 1001 4096 2008-08-15 10:18 jewelry/
drwxr-xr-x  2  1001 1001 4096 2008-08-15 10:18 jobsearch/
drwxr-xr-x  2  1001 1001 4096 2008-08-15 10:18 kidstimewasting/
drwxrwxr-x  2 root  root 4096 2008-08-18 11:33 lansource/
drwxr-xr-x  2  1001 1001 4096 2008-08-15 10:18 magazines/
drwxr-xr-x  2  1001 1001 4096 2008-08-15 10:18 mail/
drwxr-xr-x  2  1001 1001 4096 2008-08-15 10:18 malware/
drwxr-xr-x  2  1001 1001 4096 2008-08-15 10:18 marketingware/
drwxr-xr-x  2  1001 1001 4096 2008-08-15 10:18 medical/
drwxr-xr-x  2  1001 1001 4096 2008-08-15 10:18 mixed_adult/
drwxr-xr-x  2  1001 1001 4096 2008-08-15 10:18 mobile-phone/
drwxr-xr-x  2  1001 1001 4096 2008-08-15 10:18 naturism/
drwxr-xr-x  2  1001 1001 4096 2008-08-15 10:18 news/
drwxr-xr-x  2  1001 1001 4096 2008-08-15 10:18 onlineauctions/
drwxr-xr-x  2  1001 1001 4096 2008-08-15 10:18 onlinegames/
drwxr-xr-x  2  1001 1001 4096 2008-08-15 10:18 onlinepayment/
drwxr-xr-x  2  1001 1001 4096 2008-08-15 10:18 personalfinance/
drwxr-xr-x  2  1001 1001 4096 2008-08-15 10:18 pets/
drwxr-xr-x  2  1001 1001 4096 2008-08-15 10:18 phishing/
drwxr-xr-x  2  1001 1001 4096 2008-08-15 10:18 porn/
drwxrwxr-x  2 root  root 4096 2008-08-18 16:39 privilegedsource/
drwxr-xr-x  2  1001 1001 4096 2008-08-15 10:18 proxy/
drwxr-xr-x  2  1001 1001 4096 2008-08-15 10:18 radio/
drwxr-xr-x  2  1001 1001 4096 2008-08-15 10:18 reaffected/
drwxr-xr-x  2  1001 1001 4096 2008-08-15 10:18 religion/
drwxr-xr-x  2  1001 1001 4096 2008-08-15 10:18 ringtones/
drwxr-xr-x  2  1001 1001 4096 2008-08-15 10:18 searchengines/
drwxr-xr-x  2  1001 1001 4096 2008-08-15 10:18 sect/
drwxr-xr-x  2  1001 1001 4096 2008-08-15 10:18 sexuality/
drwxr-xr-x  2  1001 1001 4096 2008-08-15 10:18 shopping/
drwxr-xr-x  2  1001 1001 4096 2008-08-15 10:18 socialnetworking/
drwxr-xr-x  2  1001 1001 4096 2008-08-15 10:18 sportnews/
drwxr-xr-x  2  1001 1001 4096 2008-08-15 10:18 sports/
drwxr-xr-x  2  1001 1001 4096 2008-08-15 10:18 spyware/
drwxr-xr-x  2  1001 1001 4096 2008-08-15 10:18 updatesites/
drwxr-xr-x  2  1001 1001 4096 2008-08-15 10:18 vacation/
drwxr-xr-x  2  1001 1001 4096 2008-08-15 10:18 verisign/
drwxr-xr-x  2  1001 1001 4096 2008-08-15 10:18 violence/
drwxr-xr-x  2  1001 1001 4096 2008-08-15 10:18 virusinfected/
drwxr-xr-x  2  1001 1001 4096 2008-08-15 10:18 warez/
drwxr-xr-x  2  1001 1001 4096 2008-08-15 10:18 weapons/
drwxr-xr-x  2  1001 1001 4096 2008-08-15 10:18 weather/
drwxr-xr-x  2  1001 1001 4096 2008-08-15 10:18 webmail/
drwxr-xr-x  2  1001 1001 4096 2008-08-15 10:18 whitelist/

Код [Выделить] Expand

[root@ stp1 log]# cat /usr/local/squidGuard/log/squidGuard.log
2008-08-18 15:36:17 [9886] New setting: dbhome: /usr/local/squidGuard/db
2008-08-18 15:36:17 [9886] New setting: logdir: /usr/local/squidGuard/log
2008-08-18 15:36:17 [9886] init iplist /usr/local/squidGuard/db/privilegedsource/ips