Re: [HS] Problmes pour faire marcher squid, et aussi squidGuard

2002-11-02 Par sujet Loick.B 
Le Vendredi 1 Novembre 2002 23:18, Aurélien Le Provost a écrit :
 Salut

 Le Vendredi 1 Novembre 2002 23:56, Aurélien Le Provost a écrit :
  Mais ça ne marche toujours pas : désormais, quoi que je tape, soit ça
  timeout, soit c'est accès interdit au proxy...
C'est que le proxy fonctionne (surtout avec l'exemple précedent, on voit bien 
qu'une irl adult est filtré par squidguard et renvoyé vers google...

 En fait si j'enlève la ligne
 redirect_program /usr/bin/squidGuard -c /etc/squid/squidGuard.conf
 de /etc/squid.conf
 tout marche impec, aucun problème.
OK cela semble être un pb du proxy, quand aucune régle de filtrage ne 
correspond...

 Mais dès que je la rajoute, et que je tente d'accéder à une page dans
 mon navigateur, j'ai droit à un accès interdit au proxy...
C'est à dire que tu es redirigé vers googgle?
Dans ce cas, le proxy fonctionne bien.
C'est un pb avec les régles.
A noter: quand il y a un pb de syntaxe ou de config, squidguard passe en 
emergency mode, et laisse tout passer pour tout le monde...

Voici un fichier qui doit fonctionner:

dbhome /var/lib/squidguard/db
logdir /var/log/squid

dest adult {
domainlist adult/domains
urllist adult/urls
redirect http://www.google.fr
}

acl {
default {
pass !adult all
}
}

 Ce qui m'énerve peu à peu, c'est que j'ai pris la peine de lire la
 documentation, de faire exactement ce qu'on me demandait, et que ça ne
 marche pas. 'Fin bon :o)
Ca arrive, ça doit être un truc à la c... caché dans un coin!

Essaye le fichier ci-dessus un coups avec une url interdite, et un coup avec 
une url authorisée, et envoie moi les message de squidguard (en debug)...

Re: [HS] Problmes pour faire marcher squid, et aussi squidGuard

2002-11-01 Par sujet Loick.B 
Le Vendredi 1 Novembre 2002 14:18, Aurélien Le Provost a écrit :
 Je me répond à moi-même : squid remarche ; c'était une ligne
 http_access deny all
 qui s'était glissé là où il ne fallait pas.
Toujours activé par defaut.
Avec débian, par defaut on sécurise, donc on bloque!


 Par contre, le problème reste entier avec squidGuard...
  redirect_children 7
 Je l'ai laissé à 5 finalement.
Largement suffisant pour un proxy gerant plus de 50 stations...

  Si je relance squid, squidGuard commence par mettre la machine à
  genoux en utilisant tout le processeur. Je l'avais laissé tourner une
  nuit ;

 Bon, en fait ça prend environ cinq minutes. Il doit construire sa base,
 ou un truc comme ça.
Par defaut, squidguard génere les bases à chaque lancement de process.
C'est ça qui met à genoux le serveur.
Force la création des bases au démarrage de squid avec:
squidguard -C all

  quand je reviens il a fini de faire mumuse, mais il n'interdit
  rien du tout...

 Mais alors, absolument rien.
Dans  redirect /var/lib/squidguard/denied.html , je crois qu'il faut une url 
et pas un path (du type http://localhost/squidguard/denied.htm)...

Pour finir, pour débuguer, utilise la commande:
echo http://url.de-test.com 10.0.0.0.1/ - xxx.xxx.xxx.xxx -10.0.0.0.1 GET  \
 | usr/local/bin/squidGuard -d
où:
http://url.de-test.com correspond à l'url appelée,
10.0.0.0.1 à l'IP de ton proxy
xxx.xxx.xxx.xxx à l'IP de l'émetteur (permets de tester des filtres sur les 
IP)
Tu peux même ajouter l'argument -t -mm-ddThh:mm:ss
(qui te permet de tester tes filtres horaires!).

Squid et squidguard c'est le pieds sur un proxy.
Moi, il tourne sur une woody, le réseau est assez conséquent, et je n'ai 
jamais eu un plantage!

Cordialement,

Loick.B

[HS] Problmes pour faire marcher squid, et aussi squidGuard

2002-11-01 Par sujet Aurlien Le Provost 
Salut

Bon, j'ai finalement choisi squidguard pour interdire certains sites 
aux postes clients de mon réseau.

Du coup, j'ai retoucher à la configuration de squid (sans faire de 
sauvegarde du fichier de configuration existant et avec lequel tout 
marchait, bien sûr, sinon ce n'est pas drôle...), pour arriver à :

#Recommended minimum configuration:
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl clubinfo src 192.168.0.0/255.255.255.0

#Recommended minimum configuration:
# Only allow cachemgr access from localhost
http_access allow manager localhost
http_access deny manager
# Only allow purge requests from localhost
http_access allow purge localhost
http_access deny purge

# INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS
http_access allow clubinfo
# And finally deny all other access to this proxy
http_access deny all

Et là, ça ne marche plus du tout quand j'essaye d'accèder à n'importe 
quelle page sur le web à partir des clients (sensés être) authorisés, 
j'ai à chaque fois le message :

ERROR, The requested URL could not be retrieved...

Il y a manifestement quelque chose qui m'échappe, mais je ne vois pas...


J'ai aussi des soucis avec squidguard (du temps où je n'avais pas cassé 
squid :o). J'ai cherché tout l'aide possible, j'ai suivi tout ce qu'on 
me disait de faire à la lettre, pour arriver à un fichier de 
configuration qui ressemble ligne pour ligne à l'exemple 4 des exemples 
montrés sur le site de squidguard :

dbhome /var/lib/squidguard/db
logdir /var/log/squid

dest adult {
domainlist  adult/domains
urllist adult/urls
}

acl {
default {
pass !adult all
redirect /var/lib/squidguard/denied.html
}
}

nestor|~# ll /var/lib/squidguard/db/adult
-rw-r--r--1 root root 3.2M oct 31 18:06 domains
-rw-r--r--1 root root 223k oct 31 18:06 urls

Avec dans le /etc/squid.conf

redirect_program /usr/bin/squidGuard -c /etc/squid/squidGuard.conf
redirect_children 7

Si je relance squid, squidGuard commence par mettre la machine à genoux 
en utilisant tout le processeur. Je l'avais laissé tourner une nuit ; 
quand je reviens il a fini de faire mumuse, mais il n'interdit rien du 
tout...

Un peu d'aide serait bienvenue :o)

@+

-- 
Utilisateurs de Linux, enregistrez-vous :
http://counter.li.org

Re: [HS] Problmes pour faire marcher squid, et aussi squidGuard

2002-11-01 Par sujet Aurlien Le Provost 
Salut

Le Vendredi 1 Novembre 2002 17:41, Loick.B a écrit :

  Par contre, le problème reste entier avec squidGuard...
 
   redirect_children 7
 
  Je l'ai laissé à 5 finalement.

 Largement suffisant pour un proxy gerant plus de 50 stations...

Ah, alors ça ira avec 7 clients maximum :o)

   Si je relance squid, squidGuard commence par mettre la machine à
   genoux en utilisant tout le processeur. Je l'avais laissé tourner
   une nuit ;
 
  Bon, en fait ça prend environ cinq minutes. Il doit construire sa
  base, ou un truc comme ça.

 Par defaut, squidguard génere les bases à chaque lancement de
 process. C'est ça qui met à genoux le serveur.
 Force la création des bases au démarrage de squid avec:
 squidguard -C all

C'est fait, effectivement ça évite qu'il le refasse à chaque fois que 
squid est relancé.

   quand je reviens il a fini de faire mumuse, mais il n'interdit
   rien du tout...
 
  Mais alors, absolument rien.

 Dans  redirect /var/lib/squidguard/denied.html , je crois qu'il
 faut une url et pas un path (du type
 http://localhost/squidguard/denied.htm)...

Le problème, c'est qu'il n'y a pas de serveur http sur ce proxy. Ça me 
paraitrait... assez con qu'il laisse passer des sites interdits 
simplement parce qu'il n'a rien à afficher à la place ?

 Pour finir, pour débuguer, utilise la commande:
 echo http://url.de-test.com 10.0.0.0.1/ - xxx.xxx.xxx.xxx
 -10.0.0.0.1 GET  \  | usr/local/bin/squidGuard -d

nestor|~# echo http://google.fr 192.168.0.15/ - 192.168.0.15 
-192.168.0.15 GET \ | squidGuard -d
2002-11-01 20:57:59 [525] init domainlist 
/var/lib/squidguard/db/adult/domains
2002-11-01 20:57:59 [525] loading dbfile 
/var/lib/squidguard/db/adult/domains.db
2002-11-01 20:57:59 [525] init urllist /var/lib/squidguard/db/adult/urls
2002-11-01 20:57:59 [525] loading dbfile 
/var/lib/squidguard/db/adult/urls.db
2002-11-01 20:57:59 [525] squidGuard 1.2.0 started (1036180679.735)
2002-11-01 20:57:59 [525] squidGuard ready for requests (1036180679.741)

2002-11-01 20:57:59 [525] squidGuard stopped (1036180679.744)

Quel est le verdict ?

 où:
 http://url.de-test.com correspond à l'url appelée,
 10.0.0.0.1 à l'IP de ton proxy

Je ne vois pas souvent des IPs à 5 nombres :o)

 xxx.xxx.xxx.xxx à l'IP de l'émetteur (permets de tester des filtres
 sur les IP)

Je n'ai pas paramétré de filtres avec squidGuard, juste avec squid.

 Tu peux même ajouter l'argument -t -mm-ddThh:mm:ss
 (qui te permet de tester tes filtres horaires!).

Ça non plus je n'en ai pas besoin.

 Squid et squidguard c'est le pieds sur un proxy.
 Moi, il tourne sur une woody, le réseau est assez conséquent, et je
 n'ai jamais eu un plantage!

Peut-être, mais il faudrait quand même que ça marche !
Surtout qu'il n'y a absolument aucun message

@+

-- 
Utilisateurs de Linux, enregistrez-vous :
http://counter.li.org

Re: [HS] Problmes pour faire marcher squid, et aussi squidGuard

2002-11-01 Par sujet Loick.B 
Le Vendredi 1 Novembre 2002 20:03, Aurélien Le Provost a écrit :
 C'est fait, effectivement ça évite qu'il le refasse à chaque fois que
 squid est relancé.
En fait, c'est pas tout a fait exact.
En realité, les tables realisées sont conservées. 
Squidguard n'a plus à les compiler à chaque fois (ni au démarrage, ni 
n'importe quand).
En revanche en cas de mmodifs des tables ou des régles, il faudra recomplier 
les tables...

 Le problème, c'est qu'il n'y a pas de serveur http sur ce proxy. Ça me
 paraitrait... assez con qu'il laisse passer des sites interdits
 simplement parce qu'il n'a rien à afficher à la place ?
Et comment veux tu afficher une page html sans serveur web?...
En revanche, rien ne t'oblige à placer ce serveur sur ton proxy (d'ou 
l'interet de l'url dans la redirection)...

  Pour finir, pour débuguer, utilise la commande:
  echo http://url.de-test.com 10.0.0.0.1/ - xxx.xxx.xxx.xxx
  -10.0.0.0.1 GET  \  | usr/local/bin/squidGuard -d

 nestor|~# echo http://google.fr 192.168.0.15/ - 192.168.0.15
 -192.168.0.15 GET \ | squidGuard -d
 2002-11-01 20:57:59 [525] init domainlist
 /var/lib/squidguard/db/adult/domains
 2002-11-01 20:57:59 [525] loading dbfile
 /var/lib/squidguard/db/adult/domains.db
 2002-11-01 20:57:59 [525] init urllist /var/lib/squidguard/db/adult/urls
 2002-11-01 20:57:59 [525] loading dbfile
 /var/lib/squidguard/db/adult/urls.db
 2002-11-01 20:57:59 [525] squidGuard 1.2.0 started (1036180679.735)
 2002-11-01 20:57:59 [525] squidGuard ready for requests (1036180679.741)

 2002-11-01 20:57:59 [525] squidGuard stopped (1036180679.744)

 Quel est le verdict ?
A mon avis la requête passe.
Essaye avec une url incluse dans la db adult (http://www.sex.com est l'exemple 
basique).
La derniére ligne renvoyée devrait-être celle de la redirection vers ta page 
d'erreur...

  où:
  http://url.de-test.com correspond à l'url appelée,
  10.0.0.0.1 à l'IP de ton proxy

 Je ne vois pas souvent des IPs à 5 nombres :o)
Et ben faut sortir! ,o)

 Peut-être, mais il faudrait quand même que ça marche !
 Surtout qu'il n'y a absolument aucun message
Le top pour tout comprendre:
Squid - http://stargate.ac-nancy-metz.fr/linux/cache
SquiGuard - http://cri.univ-tlse1.fr/documentations/cache/squidguard.html

Loick.B

Re: [HS] Problmes pour faire marcher squid, et aussi squidGuard

2002-11-01 Par sujet Aurlien Le Provost 
Salut

Le Vendredi 1 Novembre 2002 22:31, Loick.B a écrit :

  C'est fait, effectivement ça évite qu'il le refasse à chaque fois
  que squid est relancé.

 En fait, c'est pas tout a fait exact.
 En realité, les tables realisées sont conservées.
 Squidguard n'a plus à les compiler à chaque fois (ni au démarrage, ni
 n'importe quand).
 En revanche en cas de mmodifs des tables ou des régles, il faudra
 recomplier les tables...

Ok.

  Le problème, c'est qu'il n'y a pas de serveur http sur ce proxy. Ça
  me paraitrait... assez con qu'il laisse passer des sites interdits
  simplement parce qu'il n'a rien à afficher à la place ?

 Et comment veux tu afficher une page html sans serveur web?...

Mauvaise question, c'est plutôt : pourquoi je devrais installer un 
serveur web pour afficher ma propre page d'erreur ? Enfin, ce n'est pas 
grave, j'ai mis google et ça ira très bien.

 En revanche, rien ne t'oblige à placer ce serveur sur ton proxy (d'ou
 l'interet de l'url dans la redirection)...

Pour l'instand, je n'ai pas de serveur web du tout.

  Quel est le verdict ?

 A mon avis la requête passe.
 Essaye avec une url incluse dans la db adult (http://www.sex.com est
 l'exemple basique).
 La derniére ligne renvoyée devrait-être celle de la redirection vers
 ta page d'erreur...

nestor|~# echo http://www.sex.com 192.168.0.15/ - 192.165.0.15 
-192.168.0.15 GET \ | squidGuard -d
2002-11-01 23:52:08 [1560] init domainlist 
/var/lib/squidguard/db/adult/domains
2002-11-01 23:52:08 [1560] loading dbfile 
/var/lib/squidguard/db/adult/domains.db
2002-11-01 23:52:08 [1560] init urllist 
/var/lib/squidguard/db/adult/urls
2002-11-01 23:52:08 [1560] loading dbfile 
/var/lib/squidguard/db/adult/urls.db
2002-11-01 23:52:08 [1560] squidGuard 1.2.0 started (1036191128.954)
2002-11-01 23:52:08 [1560] squidGuard ready for requests 
(1036191128.961)
http://www.google.fr 192.168.0.15/- - 192.165.0.15
2002-11-01 23:52:08 [1560] squidGuard stopped (1036191128.963)

Effectivement, squidGuard me renvoie bien vers google.

Mais ça ne marche toujours pas : désormais, quoi que je tape, soit ça 
timeout, soit c'est accès interdit au proxy...

   http://url.de-test.com correspond à l'url appelée,
   10.0.0.0.1 à l'IP de ton proxy
 
  Je ne vois pas souvent des IPs à 5 nombres :o)

 Et ben faut sortir! ,o)

Sérieusement, ça existe ?

  Peut-être, mais il faudrait quand même que ça marche !
  Surtout qu'il n'y a absolument aucun message

 Le top pour tout comprendre:
 Squid - http://stargate.ac-nancy-metz.fr/linux/cache

J'avias déjà trouvé cette url avec google quand j'avais mon problème 
avec squid. Maintenant, je pense que squid marche nickel.

 SquiGuard -
 http://cri.univ-tlse1.fr/documentations/cache/squidguard.html

J'ai déjà lu entièrement ce site. Et je ne vois pas où je me plante...

@+

-- 
Utilisateurs de Linux, enregistrez-vous :
http://counter.li.org

Re: [HS] Problmes pour faire marcher squid, et aussi squidGuard

2002-11-01 Par sujet Aurlien Le Provost 
Salut

Le Vendredi 1 Novembre 2002 23:56, Aurélien Le Provost a écrit :

 Mais ça ne marche toujours pas : désormais, quoi que je tape, soit ça
 timeout, soit c'est accès interdit au proxy...

En fait si j'enlève la ligne
redirect_program /usr/bin/squidGuard -c /etc/squid/squidGuard.conf
de /etc/squid.conf
tout marche impec, aucun problème.
Mais dès que je la rajoute, et que je tente d'accéder à une page dans 
mon navigateur, j'ai droit à un accès interdit au proxy...

J'ai peut-être un peu modifié ma configuration de squidGuard depuis ce 
matin :

/etc/squid/squidGuard.conf :

dbhome /var/lib/squidguard/db
logdir /var/log/squid

dest adult {
domainlist  adult/domains
urllist adult/urls
}

acl {
default {
pass !adult all
redirect http://www.google.fr
}

Dans /var/lib/squidguard/db/adult, j'ai deux fichiers domains et urls 
cencés être valide, que j'ai d'ailleurs pris ce matin sur le lien que 
tu as indiqué tout à l'heure.

Ce qui m'énerve peu à peu, c'est que j'ai pris la peine de lire la 
documentation, de faire exactement ce qu'on me demandait, et que ça ne 
marche pas. 'Fin bon :o)

@+

-- 
Utilisateurs de Linux, enregistrez-vous :
http://counter.li.org