[+] Squid, dansguardian zapis adresów IP w logach

makman · Post autor: **makman** » 22 stycznia 2013, 14:56

Próbowałem dodać do konfiguracji squida parametr:

follow_x_forwarded_for allow localhost

żeby przy współpracy z dansguardianem zapisywał w logach adresy IP maszyn w sieci lokalnej, a nie 127.0.0.1 i wyświetla błąd:

Kod: Zaznacz cały

cache_cf.cc(346) squid.conf:42 unrecognized: 'follow_x_forwarded_for'
 
squid3 -v
Squid Cache: Version 3.0.STABLE8
configure options:  …………… '--enable-follow-x-forwarded-for' ……………….

Ma ktoś pomysł co jest nie tak?

sethiel · Post autor: **sethiel** » 22 stycznia 2013, 15:02

Ja mam tak i działa bez błędów, testowane na wersji 2.7 i 3.x-squezee

Kod: Zaznacz cały

follow_x_forwarded_for allow localhost

Ps. Już wiem dlaczego "u mnie działa". Wersję 3 kompilowałem samodzielnie - bo chciałem potestować https - i to była wersja wyższa niż 3.0 (SQUID 3.1.6).
Z wersją 3.0 nie działa.

makman · Post autor: **makman** » 05 lutego 2013, 12:34

Ostatnio znalazłem chwilę czasu, wróciłem do tematu, uaktualniłem squida i zadziałało od razu.
Dziękuję.

mendeczka · Post autor: **mendeczka** » 05 lutego 2013, 14:24

sethiel pisze:Ja mam tak i działa bez błędów, testowane na wersji 2.7 i 3.x-squezee
Kod: Zaznacz cały
follow_x_forwarded_for allow localhost
Ps. Już wiem dlaczego "u mnie działa". Wersję 3 kompilowałem samodzielnie - bo chciałem potestować https - i to była wersja wyższa niż 3.0 (SQUID 3.1.6).
Z wersją 3.0 nie działa.

Udało Ci się z HTTPS?
Logujesz?

sethiel · Post autor: **sethiel** » 05 lutego 2013, 15:08

Udało Ci się z HTTPS ?

Tak,

Logujesz ?

10 minut logowałem, ale już nie. Dlaczego:
Sprawdziłem czy działa (działa), sprawdziłem jak działa i (...) się przestraszyłem, co innego jakby to było polecenie służbowe. To bym załączył.

Jak działa i dlaczego jest to groźne i niebezpieczne:

Generujesz certyfikat dla organizacji
Propagujesz go na wszystkie komputery i przeglądarki
Włączasz proxy https
Strona https na komputerze użytkownika wyświetla Ci certyfikat organizacji, a nie certyfikat zewnętrznej strony www - certyfikat z góry zaakceptowany - szyfrowanie jest pomiędzy serwerem a klientem w organizacji
Serwer łączy się ze stroną https i to serwer organizacji z serwerem zewnętrznym nawiązuje połączenie
Serwer może przechwycić i zalogować wszystkie hasła i loginy do np stron bankowych wszystkich użytkowników bo siłą rzeczy to on zestawia https dalej na świat.
W dodatku jest to w pełni transparentne (niemalże niewidoczne dla użytkownika)

Jeśli nie muszę mieć takiej odpowiedzialności to jej nie biorę. Zwłaszcza że jakakolwiek wpadka to przerażające konsekwencje.

Jedna zaleta to możesz kontekstowo filtrować treści nielegalne.