Настройка SQUID proxy server

Автор shiko, 12 Августа 2008, 16:40

« предыдущая тема - следующая тема »

0 Пользователей и 1 Гость просматривают эту тему.

dalvis

Насчет файла /internet_users, точно утверждать не буду но по моему его необходимо создать самому, а вот регистрация пользователей скорей всего будет осуществляться через web-морду squidGuard после его настройки и запуска, я так думаю!!! :)


[color=\"beige\"]иногда лучше промолчать...... Vicpo[/color]

Vicpo

shiko
ЦитироватьVicpo скажите, а вот в том котфиге который вы мне дали в качестве примера есть параметр для организации взаимодействия squid-a и squidGuard "redirect_program /usr/bin/squidGuard -c /etc/squid/squidGuard.conf", а в интернете я нашел похожую ситуацию и в ней указан параметр "url_rewrit_program" , в чем разница? Этот параметр записывает указанный путь куда та?
различие строк от версии squid вам надо посмотреть оригинальный squid.conf который инсталлируется в систему вместе со squid
аутентификация пользователей происходит по средствам squidGuard соответственно и данные о пользователях хранятся в базе squidGuard
dalvis у squidGuard нет вебморды, регистрируется ручками в файлах базы squidGuard
поищите в гугле по запросу установка squid + squidGuard не важно для FreeBSD или Linux принципы работы программ не меняются, постарайтесь понять взаимодействие между squid и squidGuard  и сразу многие вопросы отпадут сами собой

shiko

Уже разобрался, спасибо. Действительно все дело в версии squid
           
ЦитироватьВ ветке 2.6.STABLE произошли изменения и теперь вместо параметров redirect_program и      redirect_children необходимо использовать url_rewrite_program и url_rewrite_children соответственно.
А вот как насчет директории в конфиге squid  /internet_users на которую ссылается параметр  "auty_param basic program /usr/lib/squid/ncsa_auth /etc/squid/internet_users" я так понял он запускает службу идентификации и следовательно в файле internet_users должны находиться данные пользователей. Дело в том что в этом конфиге так же задействован и squidGuard. Тогда скажите зачем эти качели с идентификацией которая проводится как squidGuard, так и в squid.conf вот что непонятно???

Vicpo

/usr/bin/squidGuard -c /etc/squid/squidGuard.confВот эта строчка запуска редиректора сам бинарник  /usr/bin/squidGuard указываем испоьзовать конфиг -c а это конфиг файл /etc/squid/squidGuard.conf
а это в squidGuard.conf определяет где брать информацию о пользователях которым предоставлен интернет
src privilegedsource {
iplist privilegedsource/ips
}

src bannedsource {
iplist bannedsource/ips
}

src lansource {
iplist lansource/lan
}
теперь понятно или дальше разжевывать?

Vicpo

механизм действия такой:
стартует сквид запускает сквидгуард отдавая ему управление доступом и после старта сквидгуард сам сквид никого не авторизовывает, этим занимается сквидгуард это если с доступом по айпи адрессам
если базовую авторизацию использовать то надо задействовать сквид

shiko

Скажите пожалуйста, что происходит в данном случаи и все:

Цитироватьurl_rewrit_program /usr/local/bin/squidGuard -c /usr/local/squidGuard/squidGuard.conf
url_rewrit_children 5
rediretor_bypass on

auth_param basic program /usr/lib/squid/ncsa_auth /etc/squid/internet_users
auth_param basic children 5
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 2 hours
auth_param basic casesensitive off

а главное меня интересует эта строка она ошибочна в этом конфиге или нет:
Цитироватьauth_param basic program /usr/lib/squid/ncsa_auth /etc/squid/internet_users
что за файл internet_users у меня его нет, его нужно создать и дать там список пользователей или ip-address

Vicpo

вот эта схема работает когда пользователь выходит в интернет ему вылетает окно авторизации где он вводит связку пользователь пароль
в этом случае имя пользователя и хеш пароля храниться в файле internet_users, а ещё надо распределить права доступа к сайтам в интернете внеся имена пользователей в базу сквидгуарда
если использовать доступ по айпи, то есть доступ в инет привязывается к компьютеру а не к пользователю то вот этот кусок не нуженauth_param basic program /usr/lib/squid/ncsa_auth /etc/squid/internet_users
auth_param basic children 5
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 2 hours
auth_param basic casesensitive off
фактически получается так пользователь открыл браузер набрааал URL нажал ввод вылетело приглашение авторизоваться он ввел логин пароль нажал ввод сквид сверяет данные с файлом internet_users если сходятся то пропускает и передает управление доступом сквидгуард сквидгуард проверяет по спискам категорий доступа имя пользователя в какой находит то тот доступ и предоставляет если нет то дает доступ по умолчанию то есть все запрещенно

shiko

Вот это собственно мне и нужно, было понять, спасибо!!! Следовательно при конфигурировании squidGuard, мне не надо организовывать доступ для пользователей по ip и по логинам и паролям -это будет делать squid, а вот за запреты на сайты, музыку, фильмы и т.д настраиваем в squidGuard. :)

Vicpo

ЦитироватьВот это собственно мне и нужно, было понять, спасибо!!! Следовательно при конфигурировании squidGuard, мне не надо организовывать доступ для пользователей по ip и по логинам и паролям -это будет делать squid, а вот за запреты на сайты, музыку, фильмы и т.д настраиваем в squidGuard. :)
доступ по ip лучше отдать сквидгуарду а то получиться что сквид перехватит авторизацию по ip и не передаст управление сквидгуарду

shiko

Тогда что, мне лучше удалить выше оговоренный кусог кода из squid.conf и организовать подключение только по ip-адреса (диапазон которых будет указан в squidGuard), следовательно подключение будет осуществляться без в вода пользователем логина и пароля, я правильно понял?
         А потом я еще спрашивал каким образов в этот файл заносятся пароли (было сказано что ручками), в таком случаи они будут не зашифрованы, так или нет?

Vicpo

в принципе да но забивается не диапазон а каждый айпи адрес с новой строки
src privilegedsource {
iplist privilegedsource/ips
}

src bannedsource {
iplist bannedsource/ips
}

src lansource {
iplist lansource/lan
}
в этом кусек мы видим 3 группы доступа
privilegedsource - им можно почти все
bannedsource - это группа заблокированных пользователей если например у юзера кончился лимит трафика можно внести его сюда его заблокирует не действует на privilegedsource
lansource - все остальные по стандарртному достпу
есть ещё правило default которое запрещает доступ всем кто не указан в правилах privilegedsource lansource

privilegedsource/ips
bannedsource/ips
lansource/lan
вот сюда вносятся ip кому разрешен доступ к инету каждый ip  с новой строки
эти каталоги с файлами находятся в бызе сквидгуарда если память не изменяет по пути /usr/lib/squidGuard-1.2/db

shiko

Вот в этом то и дело что у меня нет указанных вами директорий, поэтому и путаюсь в одних источниках так в других по другому и где правильно не понять и теперь что мне делать прописывать руками - так можно? У меня db squidGuard находится /usr/local/squidGuard/db - и там еще log и squidGuard.conf все бельше ничего db и log пустые,  да и в самом конфиге squidGuard прописана директория dbhome такаяже (/usr/local/squidGuard/db).

Vicpo

/usr/local/squidGuard/db здесь она потому что ты руками собрал, папка db пустая потому что ты не скачал саму базу
скачай базу и положи содержимое архива в каталог db в ней должно быть около 10 каталогов

вот здесь базы

shiko

Там кроме, списка blacklist, bigblacklist ничего нету эту базу я давно скачал и установил, а вот архивов с содержимым типа

Цитироватьprivilegedsource/ips
bannedsource/ips
lansource/lan

я не нашел, вы уж извените

Vicpo

хорошо нет там этих каталогов создай сам каталоги
privilegedsource
bannedsource
lansource
в них создай файлы
ips
ips
lan
а в файлах впиши ip в чем проблема то?
Не надо бояться

shiko

Да никто и небоиться :) я уже нечто подобное забульбенил, вот только файлы у меня обыкновенные текстовые пойдет?, тут в другом гвоздь. IP вы сказали как прописывать, а вот какой формат записи должен быть файле пользователей, я спрашивал правда про формат записи в файле internet_users, да что то пропустили, не заметили наверно. Я все думаю логины, пароли они же шифроваться должны, а если их руками вбить то они же так и останутся в своем первозданном виде, это что так и должно быть?
         Да и еще у вас в примере из файла squidGuard.conf есть значение iplist:
       
Цитироватьsrc privilegedsource {
   iplist   privilegedsource/ips
}
это что параметр или директория в db, я почему спрашиваю потому что есть еще и domainlist и т.д если это директории то я их не создавал.

Vicpo


shiko

я переписал вопрос, посмотрите еще раз предпоследний вопрос пожалуйста, спасибо!

Vicpo

Цитироватья переписал вопрос, посмотрите еще раз предпоследний вопрос пожалуйста, спасибо!
хорошо нет там этих каталогов(директорий) создай сам каталоги(директории)
/usr/local/squidGuard/db/privilegedsource в ней текстовый файл ips в нем ip построчно
/usr/local/squidGuard/db/bannedsource в ней текстовый файл ips в нем ip построчно
/usr/local/squidGuard/db/lansource в ней текстовый файл lan в нем ip построчно

shiko

Подскажите пожалуйста, вот в ниже приведенном коде из squidGuard.conf указан путь для блокирующего банера, куда мне его лучше закинуть, что это за директория (www.my.host) и что означает цифра (302) стоящая впереди адресной строки.

Цитироватьdest ads {
        domainlist              ads/domains
        expressionlist          ads/expressions
        urllist                 ads/urls
        redirect        302: http://www.my.host/Images/not_banner.gif     
                        # адрес рисунка для подмены рекламных баннеров
     }

И еще вопрос, скажите у меня в коде файла squidGuard.conf по умолчанию были указаны ниже приведенные параметры для  adult, скажите почему в описании стоит (domainlist   dest/adult/domains)
впереди gest, а потом идет обращение к каталогу базы, это так и должно быть?, или тоже связано с изменением в новой версии файла, что это??? Как мне указывать, путь к моим каталогам, тоже впереди ставить (gest/)?

Цитировать}

dest adult {
   domainlist    dest/adult/domains
   urllist            dest/adult/urls
   expressionlist   dest/adult/expressions
   redirect    http://admin.foo.bar.de/cgi/blocked?client...group=%t+url=%u
}

и вот эта вот адресная строка в redirekt которая стоит по умолчанию мне ее можно оставить или как? Она будет работать?