Subnets.ru

**root** » 15 фев 2010, 16:14

maradona писал(а):почему tcpdump нужно слушать на 192.168.1.158 - как же я редирект увижу?

легко и не принужденно, т.к. ты именно туда "заворачиваешь" трафик клиента

maradona писал(а):я смотрю на внешнем набираю адрес который должен редиректится, и вижу что пакет на 80 порт идет туда - какой адрес в браузере, а не на адрес редиректа

я уже выше тебе говорил, что пока ты не заставишь пакеты от клиента заворачиваться на порт сквиды, ковырять сквид бессмысленно

например для IPFW правило бы звучало так:

Код: Выделить всё: fwd 127.0.0.1,3128 tcp from 192.168.0.25 to any 80,8080,82,83,84,85,86,87,89,90,91,92,93,94,95,96,97,98

где 127.0.0.1,3128 - сквида
192.168.0.25 - апишник клиента
ты когда сквиду перевесил, то правила редиректа в PF`е то махнул ?
если тспдампнуть на rl0 по хосту клиента и по порту 80 что там видать ? запросы идут тока в одну сторону ?

в access.log squid запросы от клиента видны ? в squid.conf это строка:

Код: Выделить всё: access_log /usr/local/squid/logs/access.log squid

а что если в секцию default в squidGuard.conf добавить логирование, например:

Код: Выделить всё: log /var/log/SquidGuard.log

что в этом логе у тя будет ?

какие права выставлены на squidGuard.conf ?

Для squidGuard и squidGuard.conf - владелец тот же, что и в squid.conf
прописан для cache_effective_user

так же а как у тя выглядит строка с http_port в squid.conf ?

Код: Выделить всё: http_port 127.0.0.1:3128 transparent

так ?

вот нашел пример тестирования squidGuard:
http://www.opennet.ru/docs/RUS/squidguard/

Перед запуском squidGuard из под Squid-а , желательно протестировать
его работу.

Тестируем.

Создаем исполняемый файл test и пишем
/usr/local/ squidGuard /squidGuard </usr/local/squidGuard/squidGuard /in > /usr/local/squidGuard/squidGuard/out -d
Из файла in будет чтение запросов, в файл out будет выведен результат.
Ключ -d - для режима отладки.
Создаем файл in. Как видно ниже, у него некий стандартный формат:

http://www.adult.com/live.mp3 192.168.0.200/- - GET #1
http://www.adult.com 192.168.0.200/- - GET #2
http://www.aport.ru 192.168.0.200/- - GET #3
http://www.sex.ru 192.168.0.10/- - GET #4
http://www.chat.ru 192.168.0.1/- - GET #5
http://www.k_k_k.com 192.168.0.20/- - GET #6
http://www.aport.ru 192.168.0.15/- - GET #7
http://adv.aport.ru:8000/banners/GOLDEN.gif 192.168.0.22/- - GET #8
http://www.chat.ru 192.168.0.62/- - GET #9
http://www.aport.ru 192.168.0.62/- - GET #10
http://adv.aport.ru:8000/banners/GOLDEN.gif 192.168.0.62/- - GET #11
http://www.sex.ru 192.168.0.100/- - GET #12
http://www.sex.ru 192.168.0.100/- - GET #13
http://www.chat.ru 192.168.0.100/- - GET #14
http://www.k_k_k.com 192.168.0.100/- - GET #15
http://www.aport.ru 192.168.0.100/- - GET #16
http://adv.aport.ru:8000/banners/GOLDEN.gif 192.168.0.100/- - GET #17
http://www.aport.ru 192.168.5.200/- - GET #18
http://www.mus.ru/live.mp3 192.168.0.227/- - GET #19

*Для удобства разбора полетов я справа пронумеровал строки.

Запускаем файл test в рабочее время. На экране получаем сообщения
о загрузке баз, и в результате получаем файл out.
В случае сообщения об ошибке в строке N## следует учитывать ,
что ошибка может быть в предыдущей строке!!!

попробуй так же сделать.

тока у него в squid.conf:

Код: Выделить всё: redirect_program /usr/local/bin/squidGuard redirect_children 3 redirector_bypass on

и все же попробуй с IPFW, т.к. строчки в логах:

maradona писал(а):2010/02/09 22:32:38| IpIntercept.cc(336) PfInterception: PF lookup failed: ioctl(DIOCNATLOOK)

точно ни о чем хорошем не говорят
быстрое гугление к каким либо конкретным выводам не привело.

**maradona** » 16 фев 2010, 01:31

спс за терпение =)),

Код: Выделить всё: я уже выше тебе говорил, что пока ты не заставишь пакеты от клиента заворачиваться на порт сквиды, ковырять сквид бессмысленно

пакеты на сквид заворачивались, с этим все нормально сквид работает прозрачно, раньше чото не работал заворот на 127.0.0.1, щас все норма

Код: Выделить всё: (23:59:09)</> #sockstat | grep 127.0.0.1:3128 squid squid 44383 20 tcp4 127.0.0.1:3128 *:* (23:59:19)</> #

заворот правилом вида:

Код: Выделить всё: rdr on $int_if inet proto {tcp, udp} from $int_net to any port $www_port -> 127.0.0.1 port 3128

Код: Выделить всё: так же а как у тя выглядит строка с http_port в squid.conf ? Код: Выделить всё http_port 127.0.0.1:3128 transparent так ?

именно так и выглядит.

Код: Выделить всё: какие права выставлены на squidGuard.conf ?

вот такие

Код: Выделить всё: (00:03:26)</> #stat /usr/local/etc/squid/squidGuard.conf File: "/usr/local/etc/squid/squidGuard.conf" Size: 1141 FileType: Regular File Mode: (0644/-rw-r--r--) Uid: ( 100/ squid) Gid: ( 100/ squid) Device: 0,93 Inode: 1653467 Links: 1 Access: Tue Feb 16 00:01:04 2010 Modify: Tue Jan 26 13:24:07 2010 Change: Fri Jan 29 16:34:55 2010

тестировал таким скриптом отсюда:http://www.sys-adm.org.ua/www/squidGuard.php результат абсолютно такой-же как на страничке...

**root** » 16 фев 2010, 16:17

Ты ответил не на все мои вопросы:

root писал(а):если тспдампнуть на rl0 по хосту клиента и по порту 80 что там видать ?
запросы идут тока в одну сторону ?

root писал(а):а что если в секцию default в squidGuard.conf добавить логирование, например:
Код: Выделить всё
log /var/log/SquidGuard.log

что в этом логе у тя будет ?

root писал(а):в access.log squid запросы от клиента видны ?

Получается что squidGuard.conf у тя с правами squid:squid

Для squidGuard и squidGuard.conf - владелец тот же, что и в squid.conf
прописан для cache_effective_user

ну а что у тя в squid.conf указано в cache_effective_user и cache_effective_group ?

maradona писал(а):тестировал таким скриптом отсюда:.........результат абсолютно такой-же как на страничке...

т.е. пишет "Результат: ОК" ?

maradona писал(а):заворот правилом вида:
Код: Выделить всё
rdr on $int_if inet proto {tcp, udp} from $int_net to any port $www_port -> 127.0.0.1 port 3128

м.б. стоит пропробовать на внешнем ифейсе ?

Код: Выделить всё: rdr on $ext_if inet proto {tcp, udp} from $int_net to any port $www_port -> 127.0.0.1 port 3128

т.к. по тому что ты пока уже написал у меня так и не возникло 100% уверенности в том, что трафик долетает в сквиду.

З.Ы. ответь на все мои вопросы на этот раз

**maradona** » 16 фев 2010, 23:28

Код: Выделить всё: если тспдампнуть на rl0 по хосту клиента и по порту 80 что там видать ? запросы идут тока в одну сторону ?

в обе сквид работает, заворот есть, у меня статистика лайтсквида за год уже=))

Код: Выделить всё: 22:05:23.793060 IP torrent.rv.UAR.Net.http > turbina.chipidron.com.1732: . ack 695 win 65535 22:05:23.793109 IP torrent.rv.UAR.Net.http > turbina.chipidron.com.1735: . ack 695 win 65535 22:05:23.793157 IP torrent.rv.UAR.Net.http > turbina.chipidron.com.1736: . ack 699 win 65535 22:05:23.793206 IP torrent.rv.UAR.Net.http > turbina.chipidron.com.1738: . ack 692 win 65535 22:05:23.793727 IP torrent.rv.UAR.Net.http > turbina.chipidron.com.1724: F 252:252(0) ack 698 win 65535 22:05:23.793818 IP turbina.chipidron.com.1724 > torrent.rv.UAR.Net.http: . ack 253 win 65284 22:05:23.793869 IP torrent.rv.UAR.Net.http > turbina.chipidron.com.1727: F 252:252(0) ack 692 win 65535 22:05:23.793962 IP turbina.chipidron.com.1727 > torrent.rv.UAR.Net.http: . ack 253 win 65284 22:05:23.794067 IP torrent.rv.UAR.Net.http > turbina.chipidron.com.1728: F 252:252(0) ack 713 win 65535 22:05:23.794137 IP torrent.rv.UAR.Net.http > turbina.chipidron.com.1731: F 252:252(0) ack 695 win 65535 22:05:23.794192 IP turbina.chipidron.com.1728 > torrent.rv.UAR.Net.http: . ack 253 win 65284 22:05:23.794231 IP turbina.chipidron.com.1731 > torrent.rv.UAR.Net.http: . ack 253 win 65284 22:05:23.794292 IP torrent.rv.UAR.Net.http > turbina.chipidron.com.1732: F 356:356(0) ack 695 win 65535 22:05:23.794360 IP torrent.rv.UAR.Net.http > turbina.chipidron.com.1735: F 252:252(0) ack 695 win 65535 22:05:23.794382 IP turbina.chipidron.com.1732 > torrent.rv.UAR.Net.http: . ack 357 win 65180 22:05:23.794453 IP turbina.chipidron.com.1735 > torrent.rv.UAR.Net.http: . ack 253 win 65284

Код: Выделить всё: root писал(а): а что если в секцию default в squidGuard.conf добавить логирование, например: Код: Выделить всё log /var/log/SquidGuard.log что в этом логе у тя будет ?

я лог давал в первом посте

Код: Выделить всё: 2010-02-16 22:14:46 [39456] New setting: dbhome: /var/db/squidGuard 2010-02-16 22:14:46 [39456] New setting: logdir: /var/log 2010-02-16 22:14:46 [39456] init domainlist /var/db/squidGuard/ads/domains 2010-02-16 22:14:46 [39456] loading dbfile /var/db/squidGuard/ads/domains.db 2010-02-16 22:14:46 [39457] New setting: dbhome: /var/db/squidGuard 2010-02-16 22:14:46 [39457] New setting: logdir: /var/log 2010-02-16 22:14:46 [39457] init domainlist /var/db/squidGuard/ads/domains 2010-02-16 22:14:46 [39457] loading dbfile /var/db/squidGuard/ads/domains.db 2010-02-16 22:14:46 [39457] init urllist /var/db/squidGuard/ads/urls 2010-02-16 22:14:46 [39457] loading dbfile /var/db/squidGuard/ads/urls.db 2010-02-16 22:14:46 [39456] init urllist /var/db/squidGuard/ads/urls 2010-02-16 22:14:46 [39456] loading dbfile /var/db/squidGuard/ads/urls.db 2010-02-16 22:14:46 [39456] squidGuard 1.4 started (1266351286.702) 2010-02-16 22:14:46 [39456] squidGuard ready for requests (1266351286.751) 2010-02-16 22:14:46 [39457] squidGuard 1.4 started (1266351286.704) 2010-02-16 22:14:46 [39457] squidGuard ready for requests (1266351286.757) 2010-02-16 22:14:46 [39458] New setting: dbhome: /var/db/squidGuard 2010-02-16 22:14:46 [39458] New setting: logdir: /var/log 2010-02-16 22:14:46 [39458] init domainlist /var/db/squidGuard/ads/domains 2010-02-16 22:14:46 [39458] loading dbfile /var/db/squidGuard/ads/domains.db 2010-02-16 22:14:46 [39458] init urllist /var/db/squidGuard/ads/urls

Код: Выделить всё: в access.log squid запросы от клиента видны ?

да видны

Код: Выделить всё: 1266351481.696 9 192.168.1.2 TCP_IMS_HIT/304 251 GET http://torrent.rv.ua/images/red.gif - NONE/- image/gif 1266351481.696 9 192.168.1.2 TCP_IMS_HIT/304 251 GET http://torrent.rv.ua/images/run_on.gif - NONE/- image/gif 1266351481.696 9 192.168.1.2 TCP_IMS_HIT/304 355 GET http://torrent.rv.ua/images/yellow.gif - NONE/- image/gif 1266351481.696 9 192.168.1.2 TCP_IMS_HIT/304 251 GET http://torrent.rv.ua/images/locked.gif - NONE/- image/gif 1266351481.702 15 192.168.1.2 TCP_IMS_HIT/304 251 GET http://torrent.rv.ua/images/properties.png - NONE/- image/png 1266351481.702 15 192.168.1.2 TCP_IMS_HIT/304 251 GET http://torrent.rv.ua/images/down.gif - NONE/- image/gif 1266351481.912 169 192.168.1.170 TCP_MISS/200 397 GET http://clients1.google.ru/complete/search? - DIRECT/74.125.43.113 text/javascript 1266351483.444 377 192.168.1.170 TCP_MISS/200 8534 GET http://www.google.ru/search? - DIRECT/74.125.87.106 text/html 1266351483.732 157 192.168.1.170 TCP_MISS/204 261 GET http://clients1.google.ru/generate_204 - DIRECT/74.125.43.113 text/html 1266351483.733 8001 192.168.1.33 TCP_REFRESH_UNMODIFIED/304 338 GET http://dd.connextra.com/services/ActiveAd/activeAd.js - DIRECT/92.123.72.121 text/javascript 1266351483.748 172 192.168.1.170 TCP_MISS/200 564 GET http://id.google.ru/verify/EAAAAGOafERsfmOUApgrTvt_V9g.gif - DIRECT/209.85.129.100 image/gif 1266351483.936 146 192.168.1.170 TCP_MISS/204 351 GET http://www.google.ru/csi? - DIRECT/74.125.87.106 text/html 1266351483.958 61 192.168.1.33 TCP_MISS/200 345 GET http://autocontext.begun.ru/blockcounter? - DIRECT/91.192.148.17 image/gif

Код: Выделить всё: Получается что squidGuard.conf у тя с правами squid:squid Для squidGuard и squidGuard.conf - владелец тот же, что и в squid.conf прописан для cache_effective_user ну а что у тя в squid.conf указано в cache_effective_user и cache_effective_group ?

Код: Выделить всё: (22:20:17)</usr/ports> #stat /usr/local/bin/squidGuard File: "/usr/local/bin/squidGuard" Size: 74187 FileType: Regular File Mode: (0755/-rwxr-xr-x) Uid: ( 0/ root) Gid: ( 0/ wheel) Device: 0,93 Inode: 1507441 Links: 1 Access: Tue Feb 16 22:15:54 2010 Modify: Tue Feb 9 12:40:07 2010 Change: Tue Feb 9 12:40:07 2010 (22:20:25)</usr/ports> #stat /usr/local/etc/squid/squidGuard.conf File: "/usr/local/etc/squid/squidGuard.conf" Size: 1141 FileType: Regular File Mode: (0644/-rw-r--r--) Uid: ( 100/ squid) Gid: ( 100/ squid) Device: 0,93 Inode: 1653467 Links: 1 Access: Tue Feb 16 22:15:31 2010 Modify: Tue Jan 26 13:24:07 2010 Change: Fri Jan 29 16:34:55 2010 (22:20:53)</usr/ports> #

в squid.conf:

Код: Выделить всё: # cache_effective_user squid cache_effective_group squid

Код: Выделить всё: т.е. пишет "Результат: ОК" ?

да все ок

Код: Выделить всё: м.б. стоит пропробовать на внешнем ифейсе ?

не ну так вроде не делается, внутрений адрес это шлюз для машин.

Subnets.ru

не работает squidGuard

Re: не работает squidGuard

Re: не работает squidGuard

Re: не работает squidGuard

Re: не работает squidGuard

Кто сейчас на конференции