Портал информационной и технической поддержки ПО образовательных учреждений РФ

SPO HELP
  • Новости
  • Продукты
  • Поддержка
  • Учебный центр
  • Документация
  • Сообщество
  • Форумы
       
  • Вход
  • Регистрация

Форумы → Сетевое взаимодействие СПО и ППО → Подключение Альт Линукс Школьный Сервер 5.0.2 через прокси-сервер
Последние записи

Подключение Альт Линукс Школьный Сервер 5.0.2 через прокси-сервер

Подписаться на Подключение Альт Линукс Школьный Сервер 5.0.2 через прокси-сервер Сообщений: 40, участников: 5 Теги: сервер

  • Участвуют:
  • учитель информатики
  • Viktor
  • Ирина Боркунова
Ответить
Список: 26-40 из 40
1 2


13 апреля 2012, 09:33
Icon_missing_medium учитель информатики Записей: 45

файл resolv.conf

# Generated by resolvconf
# Do not edit manually, use
# /etc/net/ifaces/<interface>/resolv.conf instead.
search school
nameserver 127.0.0.1
nameserver 192.168.114.2
 
13 апреля 2012, 09:45
Icon_missing_medium учитель информатики Записей: 45

Все незакомментированные строки в squid.conf по порядку их следования:

acl all src 0.0.0.0/0.0.0.0 
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 5222-5223 # Jabber
acl Safe_ports port 901 # SWAT
acl SSL_ports port 443 # HTTPS (C)
acl Safe_ports port 21 # FTP
acl Safe_ports port 210 # WAIS
acl Safe_ports port 488 # GSS-HTTP
acl SSL_ports port 873 # RSYNC (C)
acl Safe_ports port 443 # HTTPS
acl Safe_ports port 280 # HTTP-MGMT
acl Safe_ports port 631 # CUPS
acl Safe_ports port 777 # Multilingual HTTP
acl SSL_ports port 563 # SNEWS (C)
acl Safe_ports port 1025-65535 # Other ports
acl SSL_ports port 8080 # Alterator
acl Safe_ports port 80 # HTTP
acl Safe_ports port 563 # SNEWS
acl Safe_ports port 873 # RSYNC
acl Safe_ports port 70 # GOPHER
acl Safe_ports port 591 # Filemaker

http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
acl CONNECT method CONNECT
http_access deny CONNECT !SSL_ports

acl our_networks src 127.0.0.0/8 # LOCALHOST
acl our_networks src 192.168.0.0/24 #
http_access deny !our_networks
http_access allow all
http_access deny all

http_port 3129

cache_peer 192.168.114.2 parent 3128 0

hierarchy_stoplist cgi-bin ?

cache_dir ufs /var/spool/squid 2048 16 256

maximum_object_size 65536 KB

access_log /var/log/squid/access.log squid

cache_log /var/log/squid/cache.log

cache_store_log /var/log/squid/store.log

debug_options ALL,1

acl QUERY urlpath_regex cgi-bin \?
cache deny QUERY

refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern . 0 20% 4320

acl apache rep_header Server ^Apache
broken_vary_encoding allow apache

coredump_dir /var/spool/squid

acl all src 0.0.0.0/0.0.0.0
never_direct allow all


 
18 апреля 2012, 01:55
Icon_missing_medium учитель информатики Записей: 45

Неужели всё так безнадёжно, что никто не может помочь?

 
18 апреля 2012, 07:36
Custom_Аватар_medium Viktor Записей: 1327

В приведенном squid.conf нет "черных списков". Поэтому повторю

> Я не имею представления как и чем Вы блокируете доступ к сайтам из черного списка. В самом простом случае используется соответствующий acl и http_access.

 Выглядеть это может примерно так:

acl blacklist url_regex "/etc/squid/blacklist"

http_access deny our_networks blacklist

 
18 апреля 2012, 08:14
Icon_missing_medium Ирина Боркунова Записей: 465

>В приведенном squid.conf нет "черных списков"

Как один из способов не совсем правильной блокировки, прослеживается в iptables (социальная сеть и почта mail.ru). Полагаю, все это из-за совместной настройки сервера в альтераторе и вручную. Нужно выбрать что-то одно, лучше ручная настройка конфигов. А в squid для блокировки есть замечательная штука - редиректор.

 
19 апреля 2012, 02:56
Icon_missing_medium учитель информатики Записей: 45

Блокировку я настраивал только через альтератор, вручную ничего не добавлял.

> Как один из способов не совсем правильной блокировки, прослеживается в iptables

Как это исправить?

> Выглядеть это может примерно так:

> acl blacklist url_regex "/etc/squid/blacklist"

> http_access deny our_networks blacklist

В каком месте squid.conf я должен это добавить? В файле blacklist можно указывать сайты по url? А используя регулярные выражения?

> А в squid для блокировки есть замечательная штука - редиректор.

Какой способ лучше: предложенный Viktorом или редиректор? И как задействовать этот самый редиректор?

 
19 апреля 2012, 07:52
Icon_missing_medium Ирина Боркунова Записей: 465

>Какой способ лучше: предложенный Viktorом или редиректор? И как задействовать этот самый редиректор?

Применение того, или иного способа фильтрации зависит от объема знаний, поскольку я не профессионал, то пошла по более легкому пути. Можно посмотреть здесь http://www.spohelp.ru/forums/17-gotovye-resheni.... Только перенаправление на search.isensor.ru сейчас не работает, можно применить любую систему каталожного поиска, например, http://school.edu.ru. А в iptables обычно манипулируют портами и протоколами, согласно выбранной политики безопасности, а ваш конфиг, настроенный через альтератор, выглядит просто ужасно. Я раньше пробовала пользоваться альтератором, с подобным результатом, потом перешла только на ручную правку конфигов. 

 
19 апреля 2012, 08:57
Icon_missing_medium учитель информатики Записей: 45

Спасибо за ссылку. Я тоже далеко не профессионал.

> а ваш конфиг, настроенный через альтератор, выглядит просто ужасно

Подскажите, пожалуйста, как же его исправить вручную?

И почему не работает ping? Тоже из-за настройки iptables?

 
19 апреля 2012, 10:33
Icon_missing_medium Ирина Боркунова Записей: 465

Для создания таблиц фильтрации я пользовалась примером сценария из http://www.opennet.ru/docs/RUS/iptables/. Создала на сервере скрипт, применительно к конфигурации нашей сети и выбранной политики безопасности, запустила его. Созданные правила подгрузились. Чтобы их сохранить, необходимо выполнить /sbin/iptables-save > /etc/sysconfig/iptables. В результате получается вот такой конфиг.

# Generated by iptables-save
*nat
:PREROUTING ACCEPT [13440:1076722]
:POSTROUTING ACCEPT [149:8821]
:OUTPUT ACCEPT [13511:710308]
-A POSTROUTING -o внешний интерфейс вашего сервера -j SNAT --to-source внешний адрес вашего сервера
COMMIT
# Completed
# Generated by iptables-save
*mangle
:PREROUTING ACCEPT [927523:621782031]
:INPUT ACCEPT [927485:621780055]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [1011170:689386714]
:POSTROUTING ACCEPT [1011168:689383978]
COMMIT
# Completed
# Generated by iptables-save
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]
:bad_tcp_packets - [0:0]
:icmp_packets - [0:0]
:tcp_packets - [0:0]
:udp_packets - [0:0]
-A INPUT -p tcp -j bad_tcp_packets
-A INPUT -s 192.168.0.0/255.255.255.0 -i внутренний интерфейс вашего сервера -j ACCEPT
-A INPUT -s 127.0.0.1 -i lo -j ACCEPT
-A INPUT -s внутренний адрес вашего сервера -i lo -j ACCEPT
-A INPUT -s внешний адрес вашего сервера -i lo -j ACCEPT
-A INPUT -d внешний адрес вашего сервера -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i внешний интерфейс вашего сервера -p udp -j udp_packets
-A INPUT -i внешний интерфейс вашего сервера -p icmp -j icmp_packets
-A INPUT -d 224.0.0.0/255.0.0.0 -i внешний интерфейс вашего сервера -j DROP
-A INPUT -m limit --limit 3/min --limit-burst 3 -j LOG --log-prefix "IPT INPUT packet died: " --log-level 7
-A FORWARD -p tcp -j bad_tcp_packets
-A FORWARD -i внутренний интерфейс вашего сервера -j ACCEPT
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -m limit --limit 3/min --limit-burst 3 -j LOG --log-prefix "IPT FORWARD packet died: " --log-level 7
-A OUTPUT -p tcp -j bad_tcp_packets
-A OUTPUT -s 127.0.0.1 -j ACCEPT
-A OUTPUT -s внутренний адрес вашего сервера -j ACCEPT
-A OUTPUT -s внешний адрес вашего сервера -j ACCEPT
-A OUTPUT -m limit --limit 3/min --limit-burst 3 -j LOG --log-prefix "IPT OUTPUT packet died: " --log-level 7
-A bad_tcp_packets -p tcp -m tcp --tcp-flags SYN,ACK SYN,ACK -m state --state NEW -j REJECT --reject-with tcp-reset
-A bad_tcp_packets -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j LOG --log-prefix "New not syn:"
-A bad_tcp_packets -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j DROP
-A icmp_packets -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A icmp_packets -p icmp -m icmp --icmp-type 11 -j ACCEPT
-A udp_packets -d широковещательный адрес вашей внешней сети -i внешний интерфейс вашего сервера -p udp -m udp --dport 135:139 -j DROP
-A udp_packets -d 255.255.255.255 -i внешний интерфейс вашего сервера -p udp -m udp --dport 67:68 -j DROP
COMMIT
# Completed

А на команду ping ya.ru сервер отвечает, что ему не знаком этот host, попробуйте пропинговать по ip-адресу.

 
19 апреля 2012, 11:32
Custom_Аватар_medium Viktor Записей: 1327

> Какой способ лучше: предложенный Viktorом или редиректор?

"Редиректор" можно научить пытаться фильтровать контент по признаку наличия стоп-слов. С великим и могучим неоходимо учитывать кодировки. Спектр использования регулярок как правило шире.

> А на команду ping ya.ru сервер отвечает, что ему не знаком этот host, попробуйте пропинговать по ip-адресу.

Нет. PING ya.ru (213.180.204.3)

Надо пробовать с остановленным iptables. Вполне возможно, что провайдер блокирует icmp.

PS учитель информатики, начните решать проблемы постепенно. И посмотрите в Готовых решениях.

 
19 апреля 2012, 12:54
Icon_missing_medium Ирина Боркунова Записей: 465

>Спектр использования регулярок как правило шире.

В редиректоре возможно создание файла pcre в любом разделе и более тонкая настройка фильтрации с помощью регулярных выражений и стоп-слов.


 
27 апреля 2012, 09:26
Icon_missing_medium учитель информатики Записей: 45

Немного изучив руководство по iptables (http://www.opennet.ru/docs/RUS/iptables/) и поковырявшись в файлах настройки iptables на моем сервере, пришёл к выводу, что блокирование не работает из-за того, что выход в Интернет у меня идёт через прокси-сервер провайдера. В правилах блокировки указаны IP-адреса (source и destination) нежелательных сайтов. А в моем случае IP-адрес source и IP-адрес destination всегда один и тот же - это IP-адрес прокси-сервера провайдера. Возможно, я и ошибаюсь. Но как это проверить не знаю.

Пробовал пинговать по IP-адресу при включенном iptables и при выключенном, результат один и тот же - пинг не проходит. Это значит что провайдер блокирует icmp? Может ли это влиять ещё на что-то?

Пробовал способ предложенный Viktorом:

>  Выглядеть это может примерно так:

> acl blacklist url_regex "/etc/squid/blacklist"

> http_access deny our_networks blacklist

Сначала отключил чёрный список хостов в alteratorе. Затем создал файл /etc/squid/blacklist. В него для примера записал адрес mail.ru. Затем добавил в squid.conf указанные Viktorом строки. Добавил их перед строками

acl all src 0.0.0.0/0.0.0.0

never_direct allow all

Однако ничего не получилось - сайт не блокируется. Что я делаю не так?

 
27 апреля 2012, 10:35
Custom_Аватар_medium Viktor Записей: 1327

Но после

http_access deny !our_networks
http_access allow all?

 
28 апреля 2012, 01:33
Icon_missing_medium учитель информатики Записей: 45

Да, после.

 
28 апреля 2012, 08:42
Custom_Аватар_medium Viktor Записей: 1327

Надо до. А то получается, что Вы всем все уже разрешили. Потом запрещать уже бесполезно. Здесь http://www.spohelp.ru/forums/17-gotovye-resheni... посмотрите 3) SQUID

Список: 26-40 из 40
1 2

Войдите чтобы ответить на тему

Форумы → Сетевое взаимодействие СПО и ППО → Подключение Альт Линукс Школьный Сервер 5.0.2 через прокси-сервер
  • Главная
  • О проекте
  • Справка
  • Теги
  • Карта сайта

©2015 Все права защищены. Портал информационной и технической поддержки ПО образовательных учреждений РФ.
Cо всеми проблемами и пожеланиями по работе портала и службы технической поддержки вы можете обратиться по адресу .