Re: [HS] Problmes pour faire marcher squid, et aussi squidGuard
Le Vendredi 1 Novembre 2002 23:18, Aurélien Le Provost a écrit : Salut Le Vendredi 1 Novembre 2002 23:56, Aurélien Le Provost a écrit : Mais ça ne marche toujours pas : désormais, quoi que je tape, soit ça timeout, soit c'est accès interdit au proxy... C'est que le proxy fonctionne (surtout avec l'exemple précedent, on voit bien qu'une irl adult est filtré par squidguard et renvoyé vers google... En fait si j'enlève la ligne redirect_program /usr/bin/squidGuard -c /etc/squid/squidGuard.conf de /etc/squid.conf tout marche impec, aucun problème. OK cela semble être un pb du proxy, quand aucune régle de filtrage ne correspond... Mais dès que je la rajoute, et que je tente d'accéder à une page dans mon navigateur, j'ai droit à un accès interdit au proxy... C'est à dire que tu es redirigé vers googgle? Dans ce cas, le proxy fonctionne bien. C'est un pb avec les régles. A noter: quand il y a un pb de syntaxe ou de config, squidguard passe en emergency mode, et laisse tout passer pour tout le monde... Voici un fichier qui doit fonctionner: dbhome /var/lib/squidguard/db logdir /var/log/squid dest adult { domainlist adult/domains urllist adult/urls redirect http://www.google.fr } acl { default { pass !adult all } } Ce qui m'énerve peu à peu, c'est que j'ai pris la peine de lire la documentation, de faire exactement ce qu'on me demandait, et que ça ne marche pas. 'Fin bon :o) Ca arrive, ça doit être un truc à la c... caché dans un coin! Essaye le fichier ci-dessus un coups avec une url interdite, et un coup avec une url authorisée, et envoie moi les message de squidguard (en debug)...
Re: [HS] Problmes pour faire marcher squid, et aussi squidGuard
Le Vendredi 1 Novembre 2002 14:18, Aurélien Le Provost a écrit : Je me répond à moi-même : squid remarche ; c'était une ligne http_access deny all qui s'était glissé là où il ne fallait pas. Toujours activé par defaut. Avec débian, par defaut on sécurise, donc on bloque! Par contre, le problème reste entier avec squidGuard... redirect_children 7 Je l'ai laissé à 5 finalement. Largement suffisant pour un proxy gerant plus de 50 stations... Si je relance squid, squidGuard commence par mettre la machine à genoux en utilisant tout le processeur. Je l'avais laissé tourner une nuit ; Bon, en fait ça prend environ cinq minutes. Il doit construire sa base, ou un truc comme ça. Par defaut, squidguard génere les bases à chaque lancement de process. C'est ça qui met à genoux le serveur. Force la création des bases au démarrage de squid avec: squidguard -C all quand je reviens il a fini de faire mumuse, mais il n'interdit rien du tout... Mais alors, absolument rien. Dans redirect /var/lib/squidguard/denied.html , je crois qu'il faut une url et pas un path (du type http://localhost/squidguard/denied.htm)... Pour finir, pour débuguer, utilise la commande: echo http://url.de-test.com 10.0.0.0.1/ - xxx.xxx.xxx.xxx -10.0.0.0.1 GET \ | usr/local/bin/squidGuard -d où: http://url.de-test.com correspond à l'url appelée, 10.0.0.0.1 à l'IP de ton proxy xxx.xxx.xxx.xxx à l'IP de l'émetteur (permets de tester des filtres sur les IP) Tu peux même ajouter l'argument -t -mm-ddThh:mm:ss (qui te permet de tester tes filtres horaires!). Squid et squidguard c'est le pieds sur un proxy. Moi, il tourne sur une woody, le réseau est assez conséquent, et je n'ai jamais eu un plantage! Cordialement, Loick.B
[HS] Problmes pour faire marcher squid, et aussi squidGuard
Salut Bon, j'ai finalement choisi squidguard pour interdire certains sites aux postes clients de mon réseau. Du coup, j'ai retoucher à la configuration de squid (sans faire de sauvegarde du fichier de configuration existant et avec lequel tout marchait, bien sûr, sinon ce n'est pas drôle...), pour arriver à : #Recommended minimum configuration: acl all src 0.0.0.0/0.0.0.0 acl manager proto cache_object acl localhost src 127.0.0.1/255.255.255.255 acl clubinfo src 192.168.0.0/255.255.255.0 #Recommended minimum configuration: # Only allow cachemgr access from localhost http_access allow manager localhost http_access deny manager # Only allow purge requests from localhost http_access allow purge localhost http_access deny purge # INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS http_access allow clubinfo # And finally deny all other access to this proxy http_access deny all Et là, ça ne marche plus du tout quand j'essaye d'accèder à n'importe quelle page sur le web à partir des clients (sensés être) authorisés, j'ai à chaque fois le message : ERROR, The requested URL could not be retrieved... Il y a manifestement quelque chose qui m'échappe, mais je ne vois pas... J'ai aussi des soucis avec squidguard (du temps où je n'avais pas cassé squid :o). J'ai cherché tout l'aide possible, j'ai suivi tout ce qu'on me disait de faire à la lettre, pour arriver à un fichier de configuration qui ressemble ligne pour ligne à l'exemple 4 des exemples montrés sur le site de squidguard : dbhome /var/lib/squidguard/db logdir /var/log/squid dest adult { domainlist adult/domains urllist adult/urls } acl { default { pass !adult all redirect /var/lib/squidguard/denied.html } } nestor|~# ll /var/lib/squidguard/db/adult -rw-r--r--1 root root 3.2M oct 31 18:06 domains -rw-r--r--1 root root 223k oct 31 18:06 urls Avec dans le /etc/squid.conf redirect_program /usr/bin/squidGuard -c /etc/squid/squidGuard.conf redirect_children 7 Si je relance squid, squidGuard commence par mettre la machine à genoux en utilisant tout le processeur. Je l'avais laissé tourner une nuit ; quand je reviens il a fini de faire mumuse, mais il n'interdit rien du tout... Un peu d'aide serait bienvenue :o) @+ -- Utilisateurs de Linux, enregistrez-vous : http://counter.li.org
Re: [HS] Problmes pour faire marcher squid, et aussi squidGuard
Salut Le Vendredi 1 Novembre 2002 17:41, Loick.B a écrit : Par contre, le problème reste entier avec squidGuard... redirect_children 7 Je l'ai laissé à 5 finalement. Largement suffisant pour un proxy gerant plus de 50 stations... Ah, alors ça ira avec 7 clients maximum :o) Si je relance squid, squidGuard commence par mettre la machine à genoux en utilisant tout le processeur. Je l'avais laissé tourner une nuit ; Bon, en fait ça prend environ cinq minutes. Il doit construire sa base, ou un truc comme ça. Par defaut, squidguard génere les bases à chaque lancement de process. C'est ça qui met à genoux le serveur. Force la création des bases au démarrage de squid avec: squidguard -C all C'est fait, effectivement ça évite qu'il le refasse à chaque fois que squid est relancé. quand je reviens il a fini de faire mumuse, mais il n'interdit rien du tout... Mais alors, absolument rien. Dans redirect /var/lib/squidguard/denied.html , je crois qu'il faut une url et pas un path (du type http://localhost/squidguard/denied.htm)... Le problème, c'est qu'il n'y a pas de serveur http sur ce proxy. Ça me paraitrait... assez con qu'il laisse passer des sites interdits simplement parce qu'il n'a rien à afficher à la place ? Pour finir, pour débuguer, utilise la commande: echo http://url.de-test.com 10.0.0.0.1/ - xxx.xxx.xxx.xxx -10.0.0.0.1 GET \ | usr/local/bin/squidGuard -d nestor|~# echo http://google.fr 192.168.0.15/ - 192.168.0.15 -192.168.0.15 GET \ | squidGuard -d 2002-11-01 20:57:59 [525] init domainlist /var/lib/squidguard/db/adult/domains 2002-11-01 20:57:59 [525] loading dbfile /var/lib/squidguard/db/adult/domains.db 2002-11-01 20:57:59 [525] init urllist /var/lib/squidguard/db/adult/urls 2002-11-01 20:57:59 [525] loading dbfile /var/lib/squidguard/db/adult/urls.db 2002-11-01 20:57:59 [525] squidGuard 1.2.0 started (1036180679.735) 2002-11-01 20:57:59 [525] squidGuard ready for requests (1036180679.741) 2002-11-01 20:57:59 [525] squidGuard stopped (1036180679.744) Quel est le verdict ? où: http://url.de-test.com correspond à l'url appelée, 10.0.0.0.1 à l'IP de ton proxy Je ne vois pas souvent des IPs à 5 nombres :o) xxx.xxx.xxx.xxx à l'IP de l'émetteur (permets de tester des filtres sur les IP) Je n'ai pas paramétré de filtres avec squidGuard, juste avec squid. Tu peux même ajouter l'argument -t -mm-ddThh:mm:ss (qui te permet de tester tes filtres horaires!). Ça non plus je n'en ai pas besoin. Squid et squidguard c'est le pieds sur un proxy. Moi, il tourne sur une woody, le réseau est assez conséquent, et je n'ai jamais eu un plantage! Peut-être, mais il faudrait quand même que ça marche ! Surtout qu'il n'y a absolument aucun message @+ -- Utilisateurs de Linux, enregistrez-vous : http://counter.li.org
Re: [HS] Problmes pour faire marcher squid, et aussi squidGuard
Le Vendredi 1 Novembre 2002 20:03, Aurélien Le Provost a écrit : C'est fait, effectivement ça évite qu'il le refasse à chaque fois que squid est relancé. En fait, c'est pas tout a fait exact. En realité, les tables realisées sont conservées. Squidguard n'a plus à les compiler à chaque fois (ni au démarrage, ni n'importe quand). En revanche en cas de mmodifs des tables ou des régles, il faudra recomplier les tables... Le problème, c'est qu'il n'y a pas de serveur http sur ce proxy. Ça me paraitrait... assez con qu'il laisse passer des sites interdits simplement parce qu'il n'a rien à afficher à la place ? Et comment veux tu afficher une page html sans serveur web?... En revanche, rien ne t'oblige à placer ce serveur sur ton proxy (d'ou l'interet de l'url dans la redirection)... Pour finir, pour débuguer, utilise la commande: echo http://url.de-test.com 10.0.0.0.1/ - xxx.xxx.xxx.xxx -10.0.0.0.1 GET \ | usr/local/bin/squidGuard -d nestor|~# echo http://google.fr 192.168.0.15/ - 192.168.0.15 -192.168.0.15 GET \ | squidGuard -d 2002-11-01 20:57:59 [525] init domainlist /var/lib/squidguard/db/adult/domains 2002-11-01 20:57:59 [525] loading dbfile /var/lib/squidguard/db/adult/domains.db 2002-11-01 20:57:59 [525] init urllist /var/lib/squidguard/db/adult/urls 2002-11-01 20:57:59 [525] loading dbfile /var/lib/squidguard/db/adult/urls.db 2002-11-01 20:57:59 [525] squidGuard 1.2.0 started (1036180679.735) 2002-11-01 20:57:59 [525] squidGuard ready for requests (1036180679.741) 2002-11-01 20:57:59 [525] squidGuard stopped (1036180679.744) Quel est le verdict ? A mon avis la requête passe. Essaye avec une url incluse dans la db adult (http://www.sex.com est l'exemple basique). La derniére ligne renvoyée devrait-être celle de la redirection vers ta page d'erreur... où: http://url.de-test.com correspond à l'url appelée, 10.0.0.0.1 à l'IP de ton proxy Je ne vois pas souvent des IPs à 5 nombres :o) Et ben faut sortir! ,o) Peut-être, mais il faudrait quand même que ça marche ! Surtout qu'il n'y a absolument aucun message Le top pour tout comprendre: Squid - http://stargate.ac-nancy-metz.fr/linux/cache SquiGuard - http://cri.univ-tlse1.fr/documentations/cache/squidguard.html Loick.B
Re: [HS] Problmes pour faire marcher squid, et aussi squidGuard
Salut Le Vendredi 1 Novembre 2002 22:31, Loick.B a écrit : C'est fait, effectivement ça évite qu'il le refasse à chaque fois que squid est relancé. En fait, c'est pas tout a fait exact. En realité, les tables realisées sont conservées. Squidguard n'a plus à les compiler à chaque fois (ni au démarrage, ni n'importe quand). En revanche en cas de mmodifs des tables ou des régles, il faudra recomplier les tables... Ok. Le problème, c'est qu'il n'y a pas de serveur http sur ce proxy. Ça me paraitrait... assez con qu'il laisse passer des sites interdits simplement parce qu'il n'a rien à afficher à la place ? Et comment veux tu afficher une page html sans serveur web?... Mauvaise question, c'est plutôt : pourquoi je devrais installer un serveur web pour afficher ma propre page d'erreur ? Enfin, ce n'est pas grave, j'ai mis google et ça ira très bien. En revanche, rien ne t'oblige à placer ce serveur sur ton proxy (d'ou l'interet de l'url dans la redirection)... Pour l'instand, je n'ai pas de serveur web du tout. Quel est le verdict ? A mon avis la requête passe. Essaye avec une url incluse dans la db adult (http://www.sex.com est l'exemple basique). La derniére ligne renvoyée devrait-être celle de la redirection vers ta page d'erreur... nestor|~# echo http://www.sex.com 192.168.0.15/ - 192.165.0.15 -192.168.0.15 GET \ | squidGuard -d 2002-11-01 23:52:08 [1560] init domainlist /var/lib/squidguard/db/adult/domains 2002-11-01 23:52:08 [1560] loading dbfile /var/lib/squidguard/db/adult/domains.db 2002-11-01 23:52:08 [1560] init urllist /var/lib/squidguard/db/adult/urls 2002-11-01 23:52:08 [1560] loading dbfile /var/lib/squidguard/db/adult/urls.db 2002-11-01 23:52:08 [1560] squidGuard 1.2.0 started (1036191128.954) 2002-11-01 23:52:08 [1560] squidGuard ready for requests (1036191128.961) http://www.google.fr 192.168.0.15/- - 192.165.0.15 2002-11-01 23:52:08 [1560] squidGuard stopped (1036191128.963) Effectivement, squidGuard me renvoie bien vers google. Mais ça ne marche toujours pas : désormais, quoi que je tape, soit ça timeout, soit c'est accès interdit au proxy... http://url.de-test.com correspond à l'url appelée, 10.0.0.0.1 à l'IP de ton proxy Je ne vois pas souvent des IPs à 5 nombres :o) Et ben faut sortir! ,o) Sérieusement, ça existe ? Peut-être, mais il faudrait quand même que ça marche ! Surtout qu'il n'y a absolument aucun message Le top pour tout comprendre: Squid - http://stargate.ac-nancy-metz.fr/linux/cache J'avias déjà trouvé cette url avec google quand j'avais mon problème avec squid. Maintenant, je pense que squid marche nickel. SquiGuard - http://cri.univ-tlse1.fr/documentations/cache/squidguard.html J'ai déjà lu entièrement ce site. Et je ne vois pas où je me plante... @+ -- Utilisateurs de Linux, enregistrez-vous : http://counter.li.org
Re: [HS] Problmes pour faire marcher squid, et aussi squidGuard
Salut Le Vendredi 1 Novembre 2002 23:56, Aurélien Le Provost a écrit : Mais ça ne marche toujours pas : désormais, quoi que je tape, soit ça timeout, soit c'est accès interdit au proxy... En fait si j'enlève la ligne redirect_program /usr/bin/squidGuard -c /etc/squid/squidGuard.conf de /etc/squid.conf tout marche impec, aucun problème. Mais dès que je la rajoute, et que je tente d'accéder à une page dans mon navigateur, j'ai droit à un accès interdit au proxy... J'ai peut-être un peu modifié ma configuration de squidGuard depuis ce matin : /etc/squid/squidGuard.conf : dbhome /var/lib/squidguard/db logdir /var/log/squid dest adult { domainlist adult/domains urllist adult/urls } acl { default { pass !adult all redirect http://www.google.fr } Dans /var/lib/squidguard/db/adult, j'ai deux fichiers domains et urls cencés être valide, que j'ai d'ailleurs pris ce matin sur le lien que tu as indiqué tout à l'heure. Ce qui m'énerve peu à peu, c'est que j'ai pris la peine de lire la documentation, de faire exactement ce qu'on me demandait, et que ça ne marche pas. 'Fin bon :o) @+ -- Utilisateurs de Linux, enregistrez-vous : http://counter.li.org