не работает squidGuard

Обсуждаем OS FreeBSD и сервисы на ней.

Re: не работает squidGuard

Сообщение root » 15 фев 2010, 16:14

maradona писал(а):почему tcpdump нужно слушать на 192.168.1.158 - как же я редирект увижу?

легко и не принужденно, т.к. ты именно туда "заворачиваешь" трафик клиента

maradona писал(а):я смотрю на внешнем набираю адрес который должен редиректится, и вижу что пакет на 80 порт идет туда - какой адрес в браузере, а не на адрес редиректа

я уже выше тебе говорил, что пока ты не заставишь пакеты от клиента заворачиваться на порт сквиды, ковырять сквид бессмысленно

например для IPFW правило бы звучало так:
Код: Выделить всё
fwd 127.0.0.1,3128 tcp from 192.168.0.25 to any 80,8080,82,83,84,85,86,87,89,90,91,92,93,94,95,96,97,98

где 127.0.0.1,3128 - сквида
192.168.0.25 - апишник клиента
ты когда сквиду перевесил, то правила редиректа в PF`е то махнул ?
если тспдампнуть на rl0 по хосту клиента и по порту 80 что там видать ? запросы идут тока в одну сторону ?

в access.log squid запросы от клиента видны ? в squid.conf это строка:
Код: Выделить всё
access_log /usr/local/squid/logs/access.log squid


а что если в секцию default в squidGuard.conf добавить логирование, например:
Код: Выделить всё
log /var/log/SquidGuard.log

что в этом логе у тя будет ?

какие права выставлены на squidGuard.conf ?
Для squidGuard и squidGuard.conf - владелец тот же, что и в squid.conf
прописан для cache_effective_user


так же а как у тя выглядит строка с http_port в squid.conf ?
Код: Выделить всё
http_port 127.0.0.1:3128 transparent

так ?

вот нашел пример тестирования squidGuard:
http://www.opennet.ru/docs/RUS/squidguard/
Перед запуском squidGuard из под Squid-а , желательно протестировать
его работу.

Тестируем.

Создаем исполняемый файл test и пишем
/usr/local/ squidGuard /squidGuard </usr/local/squidGuard/squidGuard /in > /usr/local/squidGuard/squidGuard/out -d
Из файла in будет чтение запросов, в файл out будет выведен результат.
Ключ -d - для режима отладки.
Создаем файл in. Как видно ниже, у него некий стандартный формат:

http://www.adult.com/live.mp3 192.168.0.200/- - GET #1
http://www.adult.com 192.168.0.200/- - GET #2
http://www.aport.ru 192.168.0.200/- - GET #3
http://www.sex.ru 192.168.0.10/- - GET #4
http://www.chat.ru 192.168.0.1/- - GET #5
http://www.k_k_k.com 192.168.0.20/- - GET #6
http://www.aport.ru 192.168.0.15/- - GET #7
http://adv.aport.ru:8000/banners/GOLDEN.gif 192.168.0.22/- - GET #8
http://www.chat.ru 192.168.0.62/- - GET #9
http://www.aport.ru 192.168.0.62/- - GET #10
http://adv.aport.ru:8000/banners/GOLDEN.gif 192.168.0.62/- - GET #11
http://www.sex.ru 192.168.0.100/- - GET #12
http://www.sex.ru 192.168.0.100/- - GET #13
http://www.chat.ru 192.168.0.100/- - GET #14
http://www.k_k_k.com 192.168.0.100/- - GET #15
http://www.aport.ru 192.168.0.100/- - GET #16
http://adv.aport.ru:8000/banners/GOLDEN.gif 192.168.0.100/- - GET #17
http://www.aport.ru 192.168.5.200/- - GET #18
http://www.mus.ru/live.mp3 192.168.0.227/- - GET #19

*Для удобства разбора полетов я справа пронумеровал строки.

Запускаем файл test в рабочее время. На экране получаем сообщения
о загрузке баз, и в результате получаем файл out.
В случае сообщения об ошибке в строке N## следует учитывать ,
что ошибка может быть в предыдущей строке!!!


попробуй так же сделать.

тока у него в squid.conf:
Код: Выделить всё
redirect_program      /usr/local/bin/squidGuard
redirect_children 3
redirector_bypass on


и все же попробуй с IPFW, т.к. строчки в логах:
maradona писал(а):2010/02/09 22:32:38| IpIntercept.cc(336) PfInterception: PF lookup failed: ioctl(DIOCNATLOOK)

точно ни о чем хорошем не говорят
быстрое гугление к каким либо конкретным выводам не привело.
С уважением, root

Изображение
------------
www.mega-net.ru - IT аутсорсинг
Аватара пользователя
root
Site Admin
 
Сообщения: 1894
Зарегистрирован: 11 июн 2008, 13:05
Откуда: Moscow, Russia

Re: не работает squidGuard

Сообщение maradona » 16 фев 2010, 01:31

спс за терпение =)),
Код: Выделить всё
я уже выше тебе говорил, что пока ты не заставишь пакеты от клиента заворачиваться на порт сквиды, ковырять сквид бессмысленно

пакеты на сквид заворачивались, с этим все нормально сквид работает прозрачно, раньше чото не работал заворот на 127.0.0.1, щас все норма
Код: Выделить всё
(23:59:09)</> #sockstat | grep 127.0.0.1:3128
squid    squid      44383 20 tcp4   127.0.0.1:3128        *:*
(23:59:19)</> #

заворот правилом вида:
Код: Выделить всё
rdr on $int_if inet proto {tcp, udp} from $int_net to any port $www_port -> 127.0.0.1 port 3128

Код: Выделить всё
так же а как у тя выглядит строка с http_port в squid.conf ?
Код: Выделить всё
http_port 127.0.0.1:3128 transparent

так ?

именно так и выглядит.
Код: Выделить всё
какие права выставлены на squidGuard.conf ?

вот такие
Код: Выделить всё
(00:03:26)</> #stat /usr/local/etc/squid/squidGuard.conf
  File: "/usr/local/etc/squid/squidGuard.conf"
  Size: 1141         FileType: Regular File
  Mode: (0644/-rw-r--r--)         Uid: (  100/   squid)  Gid: (  100/   squid)
Device: 0,93   Inode: 1653467    Links: 1
Access: Tue Feb 16 00:01:04 2010
Modify: Tue Jan 26 13:24:07 2010
Change: Fri Jan 29 16:34:55 2010

тестировал таким скриптом отсюда:http://www.sys-adm.org.ua/www/squidGuard.php результат абсолютно такой-же как на страничке...
maradona
новичок
 
Сообщения: 15
Зарегистрирован: 30 янв 2010, 18:17

Re: не работает squidGuard

Сообщение root » 16 фев 2010, 16:17

Ты ответил не на все мои вопросы:
root писал(а):если тспдампнуть на rl0 по хосту клиента и по порту 80 что там видать ?
запросы идут тока в одну сторону ?


root писал(а):а что если в секцию default в squidGuard.conf добавить логирование, например:
Код: Выделить всё
log /var/log/SquidGuard.log

что в этом логе у тя будет ?


root писал(а):в access.log squid запросы от клиента видны ?


Получается что squidGuard.conf у тя с правами squid:squid
Для squidGuard и squidGuard.conf - владелец тот же, что и в squid.conf
прописан для cache_effective_user

ну а что у тя в squid.conf указано в cache_effective_user и cache_effective_group ?

maradona писал(а):тестировал таким скриптом отсюда:.........результат абсолютно такой-же как на страничке...

т.е. пишет "Результат: ОК" ?

maradona писал(а):заворот правилом вида:
Код: Выделить всё
rdr on $int_if inet proto {tcp, udp} from $int_net to any port $www_port -> 127.0.0.1 port 3128

м.б. стоит пропробовать на внешнем ифейсе ?
Код: Выделить всё
rdr on $ext_if inet proto {tcp, udp} from $int_net to any port $www_port -> 127.0.0.1 port 3128

т.к. по тому что ты пока уже написал у меня так и не возникло 100% уверенности в том, что трафик долетает в сквиду.

З.Ы. ответь на все мои вопросы на этот раз ;)
С уважением, root

Изображение
------------
www.mega-net.ru - IT аутсорсинг
Аватара пользователя
root
Site Admin
 
Сообщения: 1894
Зарегистрирован: 11 июн 2008, 13:05
Откуда: Moscow, Russia

Re: не работает squidGuard

Сообщение maradona » 16 фев 2010, 23:28

Код: Выделить всё
если тспдампнуть на rl0 по хосту клиента и по порту 80 что там видать ?
запросы идут тока в одну сторону ?

в обе сквид работает, заворот есть, у меня статистика лайтсквида за год уже=))
Код: Выделить всё
22:05:23.793060 IP torrent.rv.UAR.Net.http > turbina.chipidron.com.1732: . ack 695 win 65535
22:05:23.793109 IP torrent.rv.UAR.Net.http > turbina.chipidron.com.1735: . ack 695 win 65535
22:05:23.793157 IP torrent.rv.UAR.Net.http > turbina.chipidron.com.1736: . ack 699 win 65535
22:05:23.793206 IP torrent.rv.UAR.Net.http > turbina.chipidron.com.1738: . ack 692 win 65535
22:05:23.793727 IP torrent.rv.UAR.Net.http > turbina.chipidron.com.1724: F 252:252(0) ack 698 win 65535
22:05:23.793818 IP turbina.chipidron.com.1724 > torrent.rv.UAR.Net.http: . ack 253 win 65284
22:05:23.793869 IP torrent.rv.UAR.Net.http > turbina.chipidron.com.1727: F 252:252(0) ack 692 win 65535
22:05:23.793962 IP turbina.chipidron.com.1727 > torrent.rv.UAR.Net.http: . ack 253 win 65284
22:05:23.794067 IP torrent.rv.UAR.Net.http > turbina.chipidron.com.1728: F 252:252(0) ack 713 win 65535
22:05:23.794137 IP torrent.rv.UAR.Net.http > turbina.chipidron.com.1731: F 252:252(0) ack 695 win 65535
22:05:23.794192 IP turbina.chipidron.com.1728 > torrent.rv.UAR.Net.http: . ack 253 win 65284
22:05:23.794231 IP turbina.chipidron.com.1731 > torrent.rv.UAR.Net.http: . ack 253 win 65284
22:05:23.794292 IP torrent.rv.UAR.Net.http > turbina.chipidron.com.1732: F 356:356(0) ack 695 win 65535
22:05:23.794360 IP torrent.rv.UAR.Net.http > turbina.chipidron.com.1735: F 252:252(0) ack 695 win 65535
22:05:23.794382 IP turbina.chipidron.com.1732 > torrent.rv.UAR.Net.http: . ack 357 win 65180
22:05:23.794453 IP turbina.chipidron.com.1735 > torrent.rv.UAR.Net.http: . ack 253 win 65284

Код: Выделить всё
root писал(а):
а что если в секцию default в squidGuard.conf добавить логирование, например:
Код: Выделить всё
log /var/log/SquidGuard.log
что в этом логе у тя будет ?

я лог давал в первом посте
Код: Выделить всё
2010-02-16 22:14:46 [39456] New setting: dbhome: /var/db/squidGuard
2010-02-16 22:14:46 [39456] New setting: logdir: /var/log
2010-02-16 22:14:46 [39456] init domainlist /var/db/squidGuard/ads/domains
2010-02-16 22:14:46 [39456] loading dbfile /var/db/squidGuard/ads/domains.db
2010-02-16 22:14:46 [39457] New setting: dbhome: /var/db/squidGuard
2010-02-16 22:14:46 [39457] New setting: logdir: /var/log
2010-02-16 22:14:46 [39457] init domainlist /var/db/squidGuard/ads/domains
2010-02-16 22:14:46 [39457] loading dbfile /var/db/squidGuard/ads/domains.db
2010-02-16 22:14:46 [39457] init urllist /var/db/squidGuard/ads/urls
2010-02-16 22:14:46 [39457] loading dbfile /var/db/squidGuard/ads/urls.db
2010-02-16 22:14:46 [39456] init urllist /var/db/squidGuard/ads/urls
2010-02-16 22:14:46 [39456] loading dbfile /var/db/squidGuard/ads/urls.db
2010-02-16 22:14:46 [39456] squidGuard 1.4 started (1266351286.702)
2010-02-16 22:14:46 [39456] squidGuard ready for requests (1266351286.751)
2010-02-16 22:14:46 [39457] squidGuard 1.4 started (1266351286.704)
2010-02-16 22:14:46 [39457] squidGuard ready for requests (1266351286.757)
2010-02-16 22:14:46 [39458] New setting: dbhome: /var/db/squidGuard
2010-02-16 22:14:46 [39458] New setting: logdir: /var/log
2010-02-16 22:14:46 [39458] init domainlist /var/db/squidGuard/ads/domains
2010-02-16 22:14:46 [39458] loading dbfile /var/db/squidGuard/ads/domains.db
2010-02-16 22:14:46 [39458] init urllist /var/db/squidGuard/ads/urls

Код: Выделить всё
в access.log squid запросы от клиента видны ?

да видны
Код: Выделить всё
1266351481.696      9 192.168.1.2 TCP_IMS_HIT/304 251 GET http://torrent.rv.ua/images/red.gif - NONE/- image/gif
1266351481.696      9 192.168.1.2 TCP_IMS_HIT/304 251 GET http://torrent.rv.ua/images/run_on.gif - NONE/- image/gif
1266351481.696      9 192.168.1.2 TCP_IMS_HIT/304 355 GET http://torrent.rv.ua/images/yellow.gif - NONE/- image/gif
1266351481.696      9 192.168.1.2 TCP_IMS_HIT/304 251 GET http://torrent.rv.ua/images/locked.gif - NONE/- image/gif
1266351481.702     15 192.168.1.2 TCP_IMS_HIT/304 251 GET http://torrent.rv.ua/images/properties.png - NONE/- image/png
1266351481.702     15 192.168.1.2 TCP_IMS_HIT/304 251 GET http://torrent.rv.ua/images/down.gif - NONE/- image/gif
1266351481.912    169 192.168.1.170 TCP_MISS/200 397 GET http://clients1.google.ru/complete/search? - DIRECT/74.125.43.113 text/javascript
1266351483.444    377 192.168.1.170 TCP_MISS/200 8534 GET http://www.google.ru/search? - DIRECT/74.125.87.106 text/html
1266351483.732    157 192.168.1.170 TCP_MISS/204 261 GET http://clients1.google.ru/generate_204 - DIRECT/74.125.43.113 text/html
1266351483.733   8001 192.168.1.33 TCP_REFRESH_UNMODIFIED/304 338 GET http://dd.connextra.com/services/ActiveAd/activeAd.js - DIRECT/92.123.72.121 text/javascript
1266351483.748    172 192.168.1.170 TCP_MISS/200 564 GET http://id.google.ru/verify/EAAAAGOafERsfmOUApgrTvt_V9g.gif - DIRECT/209.85.129.100 image/gif
1266351483.936    146 192.168.1.170 TCP_MISS/204 351 GET http://www.google.ru/csi? - DIRECT/74.125.87.106 text/html
1266351483.958     61 192.168.1.33 TCP_MISS/200 345 GET http://autocontext.begun.ru/blockcounter? - DIRECT/91.192.148.17 image/gif

Код: Выделить всё
Получается что squidGuard.conf у тя с правами squid:squid
Для squidGuard и squidGuard.conf - владелец тот же, что и в squid.conf
прописан для cache_effective_user

ну а что у тя в squid.conf указано в cache_effective_user и cache_effective_group ?

Код: Выделить всё
(22:20:17)</usr/ports> #stat /usr/local/bin/squidGuard
  File: "/usr/local/bin/squidGuard"
  Size: 74187        FileType: Regular File
  Mode: (0755/-rwxr-xr-x)         Uid: (    0/    root)  Gid: (    0/   wheel)
Device: 0,93   Inode: 1507441    Links: 1
Access: Tue Feb 16 22:15:54 2010
Modify: Tue Feb  9 12:40:07 2010
Change: Tue Feb  9 12:40:07 2010
(22:20:25)</usr/ports> #stat /usr/local/etc/squid/squidGuard.conf
  File: "/usr/local/etc/squid/squidGuard.conf"
  Size: 1141         FileType: Regular File
  Mode: (0644/-rw-r--r--)         Uid: (  100/   squid)  Gid: (  100/   squid)
Device: 0,93   Inode: 1653467    Links: 1
Access: Tue Feb 16 22:15:31 2010
Modify: Tue Jan 26 13:24:07 2010
Change: Fri Jan 29 16:34:55 2010
(22:20:53)</usr/ports> #

в squid.conf:
Код: Выделить всё
# cache_effective_user squid
cache_effective_group squid

Код: Выделить всё
т.е. пишет "Результат: ОК" ?

да все ок
Код: Выделить всё
м.б. стоит пропробовать на внешнем ифейсе ?

не ну так вроде не делается, внутрений адрес это шлюз для машин.
maradona
новичок
 
Сообщения: 15
Зарегистрирован: 30 янв 2010, 18:17

Пред.

Вернуться в FreeBSD

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 38

cron