Router na debianie Wheezy + Squid i inne

Masz problemy z siecią bądź internetem? Zapytaj tu
Awatar użytkownika
pone13
Beginner
Posty: 337
Rejestracja: 30 listopada 2007, 20:59
Lokalizacja: Leszno

Post autor: pone13 »

W konfiguracji masz błąd linijka 508 unrecognized 'port'
Kargul1000
Posty: 36
Rejestracja: 01 kwietnia 2011, 13:32

Post autor: Kargul1000 »

Literówkę zrobiłem ale i tak squid nie chce puścić ruchu, przeglądarka dalej nie wyświetla stron.

OK
Zmieniłem w iptables reguły squida
$IPTABLES -A INPUT -s 192.168.1.2 -d 192.168.2.1 -p tcp --dport 3128 -j ACCEPT
$IPTABLES -I OUTPUT -s 192.186.1.2 -d 192.168.2.1 -p tcp --sport 3128 -j ACCEPT
$IPTABLES -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-ports 3128
i otwiera mi tylko niektóre strony ( gmaila, paypal, weeb.tv) a innych nie chce :(


Dquid odpala śpiewająco:
[ 13:52:21 ] [ ~ ] >> service squid start
[ ok ] Starting Squid HTTP proxy: squid.
Kargul1000
Posty: 36
Rejestracja: 01 kwietnia 2011, 13:32

Post autor: Kargul1000 »

Co może być nie tak ? Korzystałem z tego http://forum.dug.net.pl/viewtopic.php?id=8742
A to mój config squida:
# TAG: acl
acl all src all
acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32
acl localnet src 10.0.0.0/8 # RFC1918 possible internal network
acl localnet src 172.16.0.0/12 # RFC1918 possible internal network
acl localnet src 192.168.0.0/16 # RFC1918 possible internal network
acl SSL_ports port 443 # https
acl SSL_ports port 563 # snews
acl SSL_ports port 873 # rsync
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 631 # cups
acl Safe_ports port 873 # rsync
acl Safe_ports port 901 # SWAT
acl purge method PURGE
acl CONNECT method CONNECT
# TAG: http_access
http_access allow all
http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost
http_access deny all
# TAG: icp_access
icp_access allow localnet
icp_access deny all
# TAG: http_port
http_port 192.168.2.254:3128 transparent
# TAG: hierarchy_stoplist
hierarchy_stoplist cgi-bin ?
# TAG: cache_mem (bytes)
cache_mem 256 MB
# TAG: maximum_object_size_in_memory (bytes)
maximum_object_size_in_memory 64 KB
# TAG: cache_replacement_policy
cache_replacement_policy heap LFUDA
memory_replacement_policy heap GDSF
# TAG: cache_dir
cache_dir diskd /var/spool/squid 256 16 256 Q1=90 Q2=110
# TAG: maximum_object_size (bytes)
maximum_object_size 10 MB
# TAG: access_log
access_log /var/log/squid/access.log squid
# TAG: refresh_pattern
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern (Release|Packages(.gz)*)$ 0 20% 2880
refresh_pattern . 0 20% 4320
refresh_pattern -i \.(gif|jpg|jpeg|png|html|bmp) 4320 90% 43200 reload-into-ims
refresh_pattern -i \.(zip|gz|bz2|exe|rar|mp3|mpg|avi|wmv|vqf|ogg|swf|js) 43200 100% 43200 reload-into-ims
refresh_pattern -i [url]http://.*\.windowsupdate\.com/.*[/url] 43200 100% 43200 reload-into-ims
refresh_pattern -i [url]http://download\.microsoft\.com/.*[/url] 43200 100% 43200 reload-into-ims
refresh_pattern -i [url]http://.*\.update.microsoft.com/.*[/url] 43200 100% 43200 reload-into-ims
refresh_pattern -i [url]http://au\.download\.windowsupdate\.com/.*[/url] 43200 100% 43200 reload-into-ims
refresh_pattern -i [url]http://windowsupdate\.microsoft\.com/.*[/url] 43200 100% 43200 reload-into-ims
refresh_pattern -i [url]http://download\.windowsupdate\.com/.*[/url] 43200 100% 43200 reload-into-ims
# TAG: upgrade_http0.9
acl shoutcast rep_header X-HTTP09-First-Line ^ICY.[0-9]
upgrade_http0.9 deny shoutcast
# TAG: broken_vary_encoding
acl apache rep_header Server ^Apache
broken_vary_encoding allow apache
# TAG: extension_methods
extension_methods REPORT MERGE MKACTIVITY CHECKOUT
# TAG: error_directory
error_directory /usr/share/squid/errors/Polish
# TAG: dns_nameservers
dns_nameservers 194.204.159.1 194.204.152.34
# TAG: hosts_file
hosts_file /etc/hosts
# TAG: fqdncache_size (number of entries)
fqdncache_size 8192
# TAG: coredump_dir
coredump_dir /var/spool/squid
Kargul1000
Posty: 36
Rejestracja: 01 kwietnia 2011, 13:32

Post autor: Kargul1000 »

OK Squid działa :) )) Przyczyną był zablokowany port 3128 na udp.
#SQUID PORT
#iptables -A INPUT -s $LAN -d $SERWER -p tcp --dport 3128 -j ACCEPT
#iptables -I OUTPUT -s $LAN -d $SERWER -p tcp --sport 3128 -j ACCEPT
$IPTABLES -A INPUT -s 192.168.2.0/24 -d 192.168.2.1 -p tcp --dport 3128 -j ACCEPT
$IPTABLES -I OUTPUT -s 192.168.2.0/24 -d 192.168.2.1 -p tcp --sport 3128 -j ACCEPT
$IPTABLES -A INPUT -s 192.168.2.0/24 -d 192.168.2.1 -p udp --dport 3128 -j ACCEPT
$IPTABLES -I OUTPUT -s 192.168.2.0/24 -d 192.168.2.1 -p udp --sport 3128 -j ACCEPT
# cały ruch na port nasluchu squida
$IPTABLES -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128
$IPTABLES -t nat -A PREROUTING -i eth1 -p tcp --dport 8080 -j REDIRECT --to-port 3128
A to skrypt w bashu jakim sprawdzam porty może się przyda komuś :) :
#!/bin/bash

PORT=('80' '22' '25' '53' '110' '3306' '443' '3128' '8080' '' '' '')
#-- kolorki
B='\e[1;34m'
R='\e[0;31m'
N='\e[0m'
#-----------
echo "Status monitorowanych uslug: "
echo "---------------------------------------------"
for X in ${PORT
[*]}
do
STATUS=`netstat -tln |grep $X |awk '{print $6}' |tail -1`
if [ "$STATUS" != "LISTEN" ]; then
case $X in
"80") echo -e "Apache ${R}NIE${N} dziala !!";;
"22") echo -e "SSH ${R}NIE${N} dziala !!";;
"25") echo -e "Postfix ${R}NIE${N} dziala !!";;
"53") echo -e "Bind ${R}NIE${N} dziala !!";;
"110") echo -e "Dovecot ${R}NIE${N} dziala !!";;
"3306") echo -e "MySQL ${R}NIE${N} dziala !!";;
"443") echo -e "Apache SSL ${R}NIE${N} dziala !!";;
"3128") echo -e "Squid ${R}NIE${N} dziala !!";;
"8080") echo -e "8080 ${R}NIE${N} dziala !!";;
esac
else
case $X in
"80") echo -e "Apache ${B}DZIALA${N} na porcie $X";;
"22") echo -e "SSH ${B}DZIALA${N} na porcie $X";;
"25") echo -e "Postfix ${B}DZIALA${N} na porcie $X";;
"53") echo -e "Bind ${B}DZIALA${N} na porcie $X";;
"110") echo -e "Dovecot ${B}DZIALA${N} na porcie $X";;
"3306") echo -e "MySQL ${B}DZIALA${N} na porcie $X";;
"443") echo -e "Apache SSL ${B}DZIALA${N} na porcie $X";;
"3128") echo -e "Squid ${B}DZIALA${N} na porcie $X";;
"8080") echo -e "8080 ${B}DZIALA${N} na porcie $X";;
esac
fi

done
Kargul1000
Posty: 36
Rejestracja: 01 kwietnia 2011, 13:32

Post autor: Kargul1000 »

OK Działa :D !!!

Przyczyną był nieotwarty port squida po udp

Teraz tak wyglądaja moje wpisy w firewallu :D
83 #SQUID PORT
84 #iptables -A INPUT -s $LAN -d $SERWER -p tcp --dport 3128 -j ACCEPT
85 #iptables -I OUTPUT -s $LAN -d $SERWER -p tcp --sport 3128 -j ACCEPT
86 $IPTABLES -A INPUT -s 192.168.2.0/24 -d 192.168.2.1 -p tcp --dport 3128 -j ACCEPT
87 $IPTABLES -I OUTPUT -s 192.168.2.0/24 -d 192.168.2.1 -p tcp --sport 3128 -j ACCEPT
88 $IPTABLES -A INPUT -s 192.168.2.0/24 -d 192.168.2.1 -p udp --dport 3128 -j ACCEPT
89 $IPTABLES -I OUTPUT -s 192.168.2.0/24 -d 192.168.2.1 -p udp --sport 3128 -j ACCEPT
123 # cały ruch na port nasluchu squida
124 $IPTABLES -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128
125 $IPTABLES -t nat -A PREROUTING -i eth1 -p tcp --dport 8080 -j REDIRECT --to-port 3128
A to programik którym sprawdzam czy mam porty otwarte, może się komuś przyda:
1 #!/bin/bash
2
3 PORT=('80' '22' '25' '53' '110' '3306' '443' '3128' '8080' '' '' '')
4 #-- kolorki
5 B='\e[1;34m'
6 R='\e[0;31m'
7 N='\e[0m'
8 #-----------
9 echo "Status monitorowanych uslug: "
10 echo "---------------------------------------------"
11 for X in ${PORT
[*]}
12 do
13 STATUS=`netstat -tln |grep $X |awk '{print $6}' |tail -1`
14 if [ "$STATUS" != "LISTEN" ]; then
15 case $X in
16 "80") echo -e "Apache ${R}NIE${N} dziala !!";;
17 "22") echo -e "SSH ${R}NIE${N} dziala !!";;
18 "25") echo -e "Postfix ${R}NIE${N} dziala !!";;
19 "53") echo -e "Bind ${R}NIE${N} dziala !!";;
20 "110") echo -e "Dovecot ${R}NIE${N} dziala !!";;
21 "3306") echo -e "MySQL ${R}NIE${N} dziala !!";;
22 "443") echo -e "Apache SSL ${R}NIE${N} dziala !!";;
23 "3128") echo -e "Squid ${R}NIE${N} dziala !!";;
24 "8080") echo -e "8080 ${R}NIE${N} dziala !!";;
25 esac
26 else
27 case $X in
28 "80") echo -e "Apache ${B}DZIALA${N} na porcie $X";;
29 "22") echo -e "SSH ${B}DZIALA${N} na porcie $X";;
30 "25") echo -e "Postfix ${B}DZIALA${N} na porcie $X";;
31 "53") echo -e "Bind ${B}DZIALA${N} na porcie $X";;
32 "110") echo -e "Dovecot ${B}DZIALA${N} na porcie $X";;
33 "3306") echo -e "MySQL ${B}DZIALA${N} na porcie $X";;
34 "443") echo -e "Apache SSL ${B}DZIALA${N} na porcie $X";;
35 "3128") echo -e "Squid ${B}DZIALA${N} na porcie $X";;
36 "8080") echo -e "8080 ${B}DZIALA${N} na porcie $X";;
37 esac
38 fi
39
40 done


Działam dalej jeszcze SARG i DANSGUARDIAN
Kargul1000
Posty: 36
Rejestracja: 01 kwietnia 2011, 13:32

Post autor: Kargul1000 »

Ok Sarg działa wystarczyło w sarg.conf zmienić ścieżkę tworzenia raportów na
output_dir /var/www/app/webroot/sarg
(mam cakephp na apache2) i folder na hasło przez .htaccess :)

Teraz zabieram się za DANSGUARDIAN-a :D
Kargul1000
Posty: 36
Rejestracja: 01 kwietnia 2011, 13:32

Post autor: Kargul1000 »

Ok Po wielu próbach, przekopaniu netu w poszukiwaniu tutoriali na temat squid + dansguardian udało mi się jedynie zainstalować dansguardiana i go skonfigurować ale nie potrafię go zmusić przez IPTABLES żeby filtrował i odsiewał złe strony i wirusy za pomocą (clamav).

Przy pomocy wpisu:
$IPTABLES -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128
działa squid ale gdy chcę przekierować cały ruch na 8080 (bo na nim działa dansguardian) i za haszowaniu powyższego wpisu
#$IPTABLES -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 8080
#$IPTABLES -t nat -A PREROUTING -i eth1 -p tcp --dport 3124 -j REDIRECT --to-port 8080
#$IPTABLES -t nat -A PREROUTING -i eth1 -p tcp --dport 3127 -j REDIRECT --to-port 8080
#$IPTABLES -t nat -A PREROUTING -i eth1 -p tcp --dport 3128 -j REDIRECT --to-port 8080
#$IPTABLES -t nat -A PREROUTING -i eth1 -p tcp --dport 8080 -j REDIRECT --to-port 8080
Strony się nie ładują :(

POMOŻE KTOŚ ?
Kargul1000
Posty: 36
Rejestracja: 01 kwietnia 2011, 13:32

Post autor: Kargul1000 »

Działa pięknie wszystko :) tfu tfu :D jakby ktoś kiedyś szukał i nie mógł znaleźć to proszę:
http://dansguardian.pl/index.php?s=inst ... 5-minutowa
http://geek-admin.blogspot.com/2013/01/ ... rdian.html (BARDZO POMOGŁA KONFIGURACJA GEEK-a :) )
http://lazowski.wordpress.com/2009/09/2 ... sguardian/

aaaa właśnie pamiętajcie nie przekierowujcie całej puli adresów jeśli macie apache2 na tym samym kompie :)
$IPTABLES -t nat -A PREROUTING -s 192.168.2.2/24 -p tcp --dport 80 -j REDIRECT --to-port 8080
ADMIN ZAMYKAMY :)

Dzięki za pomoc pone13 :)
ODPOWIEDZ