Отсутствует фильтрация в SquidGuard

[paltusssss]

Здравствуйте!

Установил сквид и сквидгард. В squidguard.conf добавил соответствующие фильтры и указал - клиента:

Код: Выделить всё

time workhours {
        weekly mtwhf 08:00 - 17:00
#       date *-*-01  08:00 - 16:30
}

src first_client {
        ip              192.168.1.153
}

acl {
        first_client within workhours {
          pass !porn !my_blacklist all
        }
        default {
                pass     none
                log     default
}
}

dest porn {
    domainlist     porn/domains
    urllist        porn/urls
    expressionlist porn/expressions
}

и т.д.

В squid.conf прописал:
redirect_program /usr/bin/squidGuard
redirect_children 1
redirector_bypass on

После этого перезапустил сквид и в логах сквидгарда читаем:

Код: Выделить всё

2011-04-20 19:35:56 [6613] New setting: dbhome: /usr/share/squidGuard-1.4/db
2011-04-20 19:35:56 [6613] New setting: logdir: /var/log/squidGuard
2011-04-20 19:35:56 [6613] Added User: root
2011-04-20 19:35:56 [6613] init domainlist /usr/share/squidGuard-1.4/db/my_blacklist/d
omains
2011-04-20 19:35:56 [6613] init urllist /usr/share/squidGuard-1.4/db/my_blacklist
2011-04-20 19:35:56 [6613] urllist empty, removed from memory
2011-04-20 19:35:56 [6613] destblock good missing active content, set inactive
2011-04-20 19:35:56 [6613] init domainlist /usr/share/squidGuard-1.4/db/ads/domains
2011-04-20 19:35:56 [6613] init urllist /usr/share/squidGuard-1.4/db/ads/urls
2011-04-20 19:35:56 [6613] init domainlist /usr/share/squidGuard-1.4/db/adult/domains
2011-04-20 19:35:56 [6613] domainlist empty, removed from memory
2011-04-20 19:35:56 [6613] init urllist /usr/share/squidGuard-1.4/db/adult/urls
2011-04-20 19:35:56 [6613] urllist empty, removed from memory
2011-04-20 19:35:56 [6613] init expressionlist /usr/share/squidGuard-1.4/db/adult/expr
essions
2011-04-20 19:35:56 [6613] init domainlist /usr/share/squidGuard-1.4/db/aggressive/dom
ains
2011-04-20 19:35:56 [6613] init urllist /usr/share/squidGuard-1.4/db/aggressive/urls
2011-04-20 19:35:56 [6613] init domainlist /usr/share/squidGuard-1.4/db/audio-video/do
mains
2011-04-20 19:35:56 [6613] init urllist /usr/share/squidGuard-1.4/db/audio-video/urls
2011-04-20 19:35:56 [6613] init domainlist /usr/share/squidGuard-1.4/db/drugs/domains
2011-04-20 19:35:56 [6613] init urllist /usr/share/squidGuard-1.4/db/drugs/urls
2011-04-20 19:35:56 [6613] init domainlist /usr/share/squidGuard-1.4/db/gambling/domains
2011-04-20 19:35:56 [6613] init urllist /usr/share/squidGuard-1.4/db/gambling/urls
2011-04-20 19:35:56 [6613] init domainlist /usr/share/squidGuard-1.4/db/hacking/domains
2011-04-20 19:35:56 [6613] init urllist /usr/share/squidGuard-1.4/db/hacking/urls
2011-04-20 19:35:56 [6613] init domainlist /usr/share/squidGuard-1.4/db/mail/domains
2011-04-20 19:35:56 [6613] init domainlist /usr/share/squidGuard-1.4/db/porn/domains
2011-04-20 19:35:59 [6613] init urllist /usr/share/squidGuard-1.4/db/porn/urls
2011-04-20 19:36:00 [6613] init expressionlist /usr/share/squidGuard-1.4/db/porn/expressions
2011-04-20 19:36:00 [6613] init domainlist /usr/share/squidGuard-1.4/db/proxy/domains
2011-04-20 19:36:00 [6613] init urllist /usr/share/squidGuard-1.4/db/proxy/urls
2011-04-20 19:36:00 [6613] urllist empty, removed from memory
2011-04-20 19:36:00 [6613] init domainlist /usr/share/squidGuard-1.4/db/violence/domains
2011-04-20 19:36:00 [6613] init urllist /usr/share/squidGuard-1.4/db/violence/urls
2011-04-20 19:36:00 [6613] urllist empty, removed from memory
2011-04-20 19:36:00 [6613] init domainlist /usr/share/squidGuard-1.4/db/warez/domains
2011-04-20 19:36:00 [6613] init urllist /usr/share/squidGuard-1.4/db/warez/urls
2011-04-20 19:36:00 [6613] (squidGuard): ACL destination !ads is not defined in configfile /etc/squid/squidGuard.conf
2011-04-20 19:36:00 [6613] Going into emergency mode

как видно, сквид и сквидгард благополучно связаны и базы фильтров прошли инициализацию. Но с клиента всё равно сумел зайти на любой порно сайт. Получается никакой фильтрации нет?

[Ленивая Бестолочь]

dest porn {
domainlist porn/domains
urllist porn/urls
expressionlist porn/expressions
}

тут не хватает того, куда редиректим.
что-то типа

Код: Выделить всё

redirect        http://joblist.ru

[paltusssss]

dest porn {
domainlist porn/domains
urllist porn/urls
expressionlist porn/expressions
}

тут не хватает того, куда редиректим.
что-то типа

Код: Выделить всё

redirect        http://joblist.ru

Я читал про редиректы и в примерах видел перенаправления на какие то url, но что это за ресурсы и куда перенаправлять в моём случае - не понятно.

[Ленивая Бестолочь]

ну смотрите. вы фильтруете интернет следующим образом:
неугодные url вы _переписываете_ на свой. а на какой?
ну логично на такой, на котором будет написано большими буквами "порнуху на работе смотреть нельзя". или то, что вам угодно.

[paltusssss]

ну смотрите. вы фильтруете интернет следующим образом:
неугодные url вы _переписываете_ на свой. а на какой?
ну логично на такой, на котором будет написано большими буквами "порнуху на работе смотреть нельзя". или то, что вам угодно.

Спасибо за ответ! Жаль, что поспешил с темой, как оказалось Dansguardian намного лучше squidguard'а. Что бы не создавать новую тему, подскажите пожалуйста.
Настроил и запустил Squid. В файле Dansguardian.conf указал:

filterip = 127.0.0.1
# the port that DansGuardian listens to.
filterport = 8080
# the ip of the proxy (default is the loopback - i.e. this server)
proxyip = 127.0.0.1
# the port DansGuardian connects to proxy on
proxyport = 3128

Благополучно запустил dansguardian и порт 8080 им прослушивается. В браузере клиента пишу порт 8080 - интернета нет, а если указываю 3128 - интеренет появляется без фильтрации. В файле /var/log/messages:

less /var/log/messages/ | grep dansguardian

Код: Выделить всё

Apr 23 19:15:44 formoza dansguardian[13496]: Error connecting to proxy
Apr 23 19:15:44 formoza dansguardian[13496]: Error connecting to proxy
Apr 23 19:15:44 formoza dansguardian[13496]: Error connecting to proxy
Apr 23 19:22:26 formoza dansguardian[13490]: Started sucessfully.
Apr 23 19:24:23 formoza dansguardian[15134]: Started sucessfully.
Apr 23 19:24:58 formoza dansguardian[15140]: Error connecting to proxy
Apr 23 19:26:22 formoza dansguardian[15245]: Started sucessfully.
Apr 23 19:27:00 formoza dansguardian[15251]: Error connecting to proxy
Apr 23 19:43:46 formoza dansguardian[15251]: Error connecting to proxy
Apr 23 19:44:56 formoza dansguardian[15251]: Error connecting to proxy
Apr 23 19:58:46 formoza dansguardian[15251]: Error connecting to proxy
Apr 23 20:15:03 formoza dansguardian[15251]: Error connecting to proxy
Apr 23 20:16:14 formoza dansguardian[17783]: Started sucessfully.
Apr 23 21:28:27 formoza dansguardian[21326]: Started sucessfully.
Apr 23 21:31:21 formoza dansguardian[21558]: Started sucessfully.

Из лога видно, что фильтр стартует, но не может соединиться с прокси. что это может быть?

P.S. Squid у меня запускается от пользователя squid, а Dansguardian от пользователя dansguardian..

[kisil]

Может сам squid не принимает запросы от dansguardian. Проверте настройку сквида и позвольте конектитса к ниму из хоста 127.0.0.1

[paltusssss]

Может сам squid не принимает запросы от dansguardian. Проверте настройку сквида и позвольте конектитса к ниму из хоста 127.0.0.1

Проблему решил прописав в proxyip и filterip один и тот же ip-адрес. Но теперь не могу получить доступ к отчётам используя Sarg. Запускаю http://192.168.1.1/squid/ и получаю в ответ
Access forbidden!

You don't have permission to access the requested directory. There is either no index document or the directory is read-protected.

If you think this is a server error, please contact the webmaster.
Error 403

Не нашёл нигде инфы, как указать себе права.

[kisil]

Ви как настроили апач. Смотрите в настройку алиаса в конфиге апача.

[paltusssss]

Ви как настроили апач. Смотрите в настройку алиаса в конфиге апача.

Пилюлю нашёл, Sarg запустился.

Alias /sarg "/var/www/html/squid"
<Directory "var/www/html/squid/">
Options Indexes
AllowOverride None
Order allow,deny
Allow from all
</Directory>

как я понимаю, доступ открыт всем. Что сюда добавить, что бы доступ был только для конкретного пользователя или адреса?

P.S. Поправил секцию заменив:
Order deny, allow
Deny from all
Allow from 192.168.1.153

С соседнего компа доступа не получил.

[kisil]

Я такого не делал, но может так
Allow from 192.168.1.153
Order deny, allow
Deny from all

[paltusssss]

Я такого не делал, но может так
Allow from 192.168.1.153
Order deny, allow
Deny from all

Не работает! Что за фигня, то доступа нет совсем, то он открыт для всех.

[kisil]

Я такого не делал, но может так
Allow from 192.168.1.153

Deny from all

[sash-kan]

paltusssss
извиняюсь за глупый вопрос. а httpd вы после изменений перезапускаете?

[paltusssss]

paltusssss
извиняюсь за глупый вопрос. а httpd вы после изменений перезапускаете?

Конечно. И командой service httpd reload и service httpd restart

Создал произвольный каталог /etc/pro

Alias /pro "/etc/pro/"
<Directory "/etc/pro/">
Options Indexes
AllowOverride None
Order allow,deny
Allow from all
</Directory>

Каталог открылся.

Alias /pro "/etc/pro/"
<Directory "/etc/pro/">
Options Indexes
AllowOverride None
Order deny, allow
Deny from all
Allow from 192.168.1.153
</Directory>

Доступа - нет. Получается что проблема не в сарге, а в том, что апач не открывает доступ по адресам. Чем же мой апач отличается от остальных, если правила брал из рекомендаций.

[kisil]

Наверное Allow from 192.168.1.153 должно идти перед запретом всего.

[sash-kan]

Наверное Allow from 192.168.1.153 должно идти перед запретом всего.

порядок в данном случае не важен.

апач не открывает доступ по адресам

надеюсь, вы обращаетесь с какой-то другой машины, имеющей ip 192.168.1.153? не с той же машины, где apache работает.
и apache именно в таком виде и получает информацию о соединении.

p.s. только пожалуйста, не спрашивайте у меня, как это проверить. я всё-таки верю в человеческий разум (улыбка)

[paltusssss]

апач не открывает доступ по адресам

надеюсь, вы обращаетесь с какой-то другой машины, имеющей ip 192.168.1.153? не с той же машины, где apache работает.
и apache именно в таком виде и получает информацию о соединении.

153-й фиксированый адрес раздаёт dhcp на соседнюю машину. С неё я ввожу http://192.168.1.1 и получаю тестовую страницу It works. Но когда ввожу 192.168.1.1/squid - вылетаю со словами Access forbiden и 403 ошибкой, пока в настройках апача не пропишу allow from all. Что естественно не допустимо.
P.S.

p.s. только пожалуйста, не спрашивайте у меня, как это проверить. я всё-таки верю в человеческий разум (улыбка)

Я уже проверил (-: А вот если бы вы продублировали сиуацию у себя и отписались - было бы не плохо.

[sash-kan]

А вот если бы вы продублировали сиуацию у себя

как вы это себе представляете?

строк

Order deny, allow
Deny from all
Allow from 192.168.1.153

более чем достаточно, чтобы разрешить доступ только с адреса 192.168.1.153.
естественно, httpd должен видеть, что обращение к нему приходит именно с этого адреса.

p.s. смотрите логи, разбирайтесь. удачи.