Да нечему тут удивляться....просто губят всё на корню! Ни курсов ни времени на изучение: Был учителем информатики - сатл админом на 0,25 ставки! Если можете - помогите конкретным советом. Только по полочкам и попорядку.

Раз спрашивается совет, значит не настроен NetPolice

Почитайте для начала это: http://freeschool.nnov.ru/node/12

В идеале NetPolice нужно ставить на сервер, и еще большем идеале прописать переадресацию всех внешних запросов на порт фильтра.

Но мне кажется приведенная инструкция более чем исчерпывающая.

Как вариант поставить на каждом комьютере и прописать в настройках адрес системного прокси. Будет работать без перенастройки на прокси браузеров.

Всем доброе время суток. Расскажу что и ка получилось.

В нашей школе используется 64 битный Альт Линукс Школьный Сервер 5.0.2 и клиенты Альт Линукс Школьный Мастер 5.0.2
На сайте http://freeschool.nnov.ru/node/12 прочитал инструкцию о том, как подключить net police на alt linux 5.0.1 В техподдержке подсказали что на alt linux server 5.0.2 этот фильтр ставиться подобным образом. Ещё стало известно, что данное ПО не работает, если прокси-сервер находится в режиме «прозрачный» Итак., буду описывать по порядку что получилось. Работал через ssh

Инструкция:
1. Подключение репозиториев
Для Школьного Linux 5.0.1 нам необходимо поключить репозитории Alt Linux p5 i586 и noarch. Для этого открываем консоль и получаем права суперпользователя
su -
теперь открываем на редактирование файл /etc/apt/sources.list.d/alt.list и раскоментируем первые два репозитория (удаляем решетку в начале строки)
nano /etc/apt/sources.list.d/alt.list
# ALT Linux Platform 5
rpm [p5] ftp://ftp.altlinux.org/pub/distributions/ALTLinux/p5/branch i586 classic
rpm [p5] ftp://ftp.altlinux.org/pub/distributions/ALTLinux/p5/branch noarch classic
Теперь нам нужно подключить репозиторий самого NetPolice для школьного Linux 5-й платформы. Для это в файл /etc/apt/sources.list добавим адрес репозитория
nano /etc/apt/sources.list
rpm http://update.netpolice.ru/altlinux/p5/branch/n... i586 netpolice

Мои действия:
Чесно говоря не очень понятно как работать с этим nano, да и с английским не всё в порядке, поэтому воспользовался услугами mc. Зашёл в нужную директорию

и кнопкой F4 открыл на редактирование файл alt.list Как в инструкции — удалил решётку в начале строки у первых двух репозиториев и сохранил кнопкой F2. Вот что получилось (рис.2)

Как видите есть несовпадения в репозиториях. В инструкции указаны:
rpm [p5] ftp://ftp.altlinux.org/pub/distributions/ALTLinux/p5/branch i586 classic
rpm [p5] ftp://ftp.altlinux.org/pub/distributions/ALTLinux/p5/branch noarch classic
а в моём примере:
rpm [p5] ftp://ftp.altlinux.org/pub/distributions/ALTLinux/p5/branch x86_64 classic
rpm [p5] ftp://ftp.altlinux.org/pub/distributions/ALTLinux/p5/branch noarch classic

Может это потому, что у меня сервер под 64 битную систему.... в любом слуючае думаю это не существенно (или я не прав?)
Клавишей F10 выхожу из редактора и для подключения репозитория самого net police перехожу в директорию /etc/apt/ Здесь меня интересует файл sources.list (рис 3) Его и открываю на редактирование клавишей F4 Добавляю нужный репозиторий (Рис.4) Сохранил клавишей F2 и вышел из редактора F10 Хотя меня смущает что на 64 битный сервер устанавливается на мой взгляд не верные пакеты (или я опять не прав?) Первая часть вроде закончилась. Переходим ко второй.

Инструкция:
2. Устанавливаем NetPolice
После подключения репозиториев нам нужно обновить список пакетов, доступных для установки
apt-get update
После загрузки файлов со списками пакетов в репозиториях можно приступить к установке комплекса NetPolice
apt-get install netpolice-main
ждем когда все необходимые пакеты загрузяться из репозиториев и установятся в системе. После этого можно приступить к настройке.

Мои действия:
[root@server apt]# apt-get update
Get:1 http://update.netpolice.ru i586 release [502B]
Get:2 ftp://ftp.altlinux.org x86_64 release [840B]
Get:3 ftp://ftp.altlinux.org noarch release [838B]
Fetched 2180B in 26s (81B/s)
Get:1 http://update.netpolice.ru i586/netpolice pkglist [3040B]
Get:2 http://update.netpolice.ru i586/netpolice release [123B]
Get:3 ftp://ftp.altlinux.org x86_64/classic pkglist [2941kB]
Get:4 ftp://ftp.altlinux.org x86_64/classic release [127B]
Get:5 ftp://ftp.altlinux.org noarch/classic pkglist [1788kB]
Get:6 ftp://ftp.altlinux.org noarch/classic release [127B]
Fetched 4733kB in 13m25s (5879B/s)
Reading Package Lists... Done
Building Dependency Tree... Done
[root@server apt]#
Вроде пакеты скачал
[root@server apt]# apt-get upgrade
Reading Package Lists... Done
Building Dependency Tree... Done
0 upgraded, 0 newly installed, 0 removed and 0 not upgraded.
[root@server apt]#
А почему не обновляется...?? Ладно поехали дальше
[root@server apt]# apt-get install netpolice-main
Reading Package Lists... Done
Building Dependency Tree... Done
netpolice-main is already the newest version.
0 upgraded, 0 newly installed, 0 removed and 0 not upgraded.
[root@server apt]#
Что бы это значило? Может он уже установлен? Попробую продолжить

Инструкция:
3. Базовая настройка NetPolice
Следуя инструкции на сайте NetPolice первое что нам нужно сделать - прописать адрес dns-сервера для системы host2cat, которая, как я понимаю, будет отвечать заблокировку сайтов по доменным именам. Для это редактируем файл /etc/sysconfig/host2cat и прописываем в поле DNS_LIST один из серверов NetPolice. Как оказалось, при использовании DNS для домашних пользователей вы получаете больше листов блокировки нежели на сервере для школ. Поэтому используем сервер dnsc1.netpolice.ru
nano /etc/sysconfig/host2cat
MEMCACHED_LIST=127.0.0.1:11211
UDP_PORT=6666
# DNS LIST SERVER IP
#for example DNS_LIST=127.0.0.1
DNS_LIST=dnsc1.netpolice.ru
TTL=3600
HOST2CAT_OPTIONS="-m $MEMCACHED_LIST -u $UDP_PORT -s $DNS_LIST -t $TTL"
После внесения изменений нужно перезапустить сервисы, входящие в комплекс NetPolice. Для этого последовательно выполните следующие команды:
/etc/rc.d/init.d/memcached restart
/etc/rc.d/init.d/host2cat restart
/etc/rc.d/init.d/c-icap restart
/etc/rc.d/init.d/squid restart

Мои действия:
Перехожу в каталог /etc/sysconfig/ и открываю файл host2cat (рис. 5)

Всё вроде сошлось с примером. Как и предполагалось — нужно было тольк дописать dnsc1.netpolice.ru после DNS_LIST= (рис. 6) Жму F2 для сохранения и F10 для выхода

Далее в консоли выполняю следующие команды:

[root@server sysconfig]# /etc/rc.d/init.d/memcached restart
Stopping memcached service: Service memcached is not running. [PASSED]
Starting start-memcached service: [ DONE ]
[root@server sysconfig]# /etc/rc.d/init.d/host2cat restart
Service host2cat is not running. [PASSED]
Starting host2cat service: [ DONE ]
[root@server sysconfig]# /etc/rc.d/init.d/c-icap restart
Service c-icap is not running. [PASSED]
Starting c-icap service: [ DONE ]
[root@server sysconfig]# /etc/rc.d/init.d/squid restart
Stopping squid service: [ DONE ]
Starting squid service: [ DONE ]
[root@server sysconfig]#

Наверняка [PASSED] означает что данная служба не работала. Единственный способ запустить данные сервисы с автоматической загрузкой который я знаю — обратиться к альтератору — системные службы. Нахожу каждый сервис, ставлю галочку «Запускать при загрузке системы» Не забудем зайти на вкладку прокси-сервер и поставить режим «Обычный», иначе net police работать не будет. Не знаю как вы, а я на всякий случай ещё и перезагрузил сервер, хотя это может и лишнее.

Инструкция:
4. Настройка клиентов
Система NetPolice способна фильтровать интернет-контент для всех компьютеров в компьютерном классе и не требует установки на каждый компьютер!
Для использование системы NetPolice запущеной и настроеной на Школьном Linux 5.0.1 вам необходимо на компьютере настроить ваш web-браузер на раоту с интернет через Proxy.

Для FireFox это меню "Правка" -> "Настройки" -> вкладка "Дополнительно" -> "Сеть" -> кнопка "Настроить". В появившемся окне выбрираем "Настроить параметры подключения прокси вручную" и вводим IP адрес прокси-сервера и порт (обычно 3128), далее нажать "ok" и выйти из настроек Firefox.

Но для дистрибутива Школьный Linux Юниор 5.0.1 в качестве основного web-браузера используется Ephiphany, который не имеет соственных настроек proxy и использует общесистемные настроки proxy-сервера. Для этого дистрибутива перейдите в меню "Система" -> "Параметры" -> "Параметры прокси-сервера" и укажите IP-адрес компьютера, на котором установлен NetPolice и укажите порт 3128.

Мои действия:
Не знаю, зачем необходимо менять настройки прокси на браузере, если есть Центр управления системой — Настройка прокси. Там и прописал IP адрес сервера и порт 3128 Имя пользователя и пароль оставляю пустым (так ли это?)

Инструкция:
5. Проверка работы контент-фильтра
После указания IP-адреса и порта в web-браузере введите в строке адреса сайт http://www.f-games.ru/
Вы должны увидеть надпись "Permition deny!". Это говорит о правильной работе установленного NetPolice. Сайт f-games.ru "не совместим с задачами образования".

Мои действия:
Ввожу в браузер ссылку http://www.f-games.ru/ и всё прекрасно открывается....!!! Что я сделал не так?
Перезагружаю компьютер — всё повторяется.... Меняю в /etc/sysconfig/host2cat DNS_LIST с dnsc1.netpolice.ru на dnsc1.edu.cair.ru перезапускаю в альтераторе службу host2cat пробую снова — опять всё прекрасно открывается, перезагружаю сервер — опять всё пропускает. Вернул всё в исходное состояние

Инструкция:
6. Запуск консоли администрирования
Система NetPolice настраивается с помощью web-интерфейса. Для этого запускаем http-сервер
/etc/rc.d/init.d/httpd2 start
Запустите web-браузер и перейдите по адресу http://localhost/cgi-bin/login.cgi
Логин: root
Пароль: root

Мои действия:
Мне приходится пользоваться командой links (рис 7) а затем Правка — Вставить (чтобы вставить адрес)

Появляется следующее окно: долго думал как ввести логин и пароль, оказывается надо нажать интер а затем ввесли данные и перемещаться стрелочками или мышью.

Инструкция:
7. Создание нового администратора
Для создания новой учетной записи администратора перейдите по ссылке "Создать нового администратора". Введлите логин и пароль для нового администратора. После сохранения вернитесь на страницу ввода логина и пароля http://localhost/cgi-bin/login.cgi . Войдите с новым логином и паролем администратора.

Мои действия:
После того, как вошёл в систему — увидел следующее....(рис 8) Завёл нового администратора со своим паролен, а что случилось со старым и почему он не устраивал? На всякий случай сменил и у него пароль.

Инструкция:
8. Создание нового пользователя
При попытке доступа в интернет система NetPolice будет спрашивать вас ввод логина и пароля. К сожалению, пока не удается настроить систему в прозрачном режиме работы. Поэтому, создаем пользователя user с паролем 1.
Для этого перейдите по ссылке "Создать нового юзера".
Введите для нового пользователя имя user
IP адрес: 192.168.1.0 (адрес вашей подсети)
Маска подсети/суффикс: /24
Роль: my_student (выбрать из списка)
Для задания пароля пользователю в консоли от пользователя root выполните команду:
htpasswd2 /etc/squid/passwd user

Мои действия:
Странно, на мой взгляд не нужно ничего создавать, как видно из рис. 8 по умолчанию используется профиль student. Так может и отредактировать его? Тем не менее после нескольких часов опытов и экспериментов создал 2 пользователя uchenik и user

Инструкция:
9. Настройка политик доступа
Для настройки политик доступа в основном меню перейдите по ссылке my_student -> Редактировать

"Список реджектов" - это список запрещенных категорий интернет-ресурсов.
Для собственных внедрений мы используем следующий набор реджитов:

1 Пропаганда войны, разжигание ненависти и вражды, пропаганда порнографии и антиобщественного поведения
8 Преступления
24 Обеспечение анонимности пользователя, обход контентных фильтров
34 Убийства, насилие
54 убийства, насилие, трупы
57 терроризм
101 эротика, порнография
102 социальные сети
104 файлообменные сети и сайты
107 нелегальная помощь школьникам и студентам
109 обеспечение анонимности, обход контентных фильтров
110 онлайн-казино
Полный список реджетов можно посмотрать на сайте NetPolice в разделе "Приложение 2".

Мои действия:
Тут то я и узнал, насколько шире фильтруются домашние пользователи

ПРИЛОЖЕНИЕ 2.
Список категорий и их идентификаторов для школьного категоризирующего DNS сервера.

1 Пропаганда войны, разжигание ненависти и вражды, пропаганда порнографии и антиобщественного поведения
8 Преступления
10 Алкоголь
16 Компьютерные игры (ресурсы данной категории, несовместимые с задачами образования)
21 Нелегальная помощь школьникам и студентам
23 Нижнее белье, купальники
24 Обеспечение анонимности пользователя, обход контентных фильтров
25 Онлайн - казино и тотализаторы
27 Поиск работы, резюме, вакансии (ресурсы данной категории, несовместимые с задачами образования)
32 Табак, реклама табака, пропаганда потребления табака
34 Убийства, насилие
35 Чаты (ресурсы данной категории, несовместимые с задачами образования)

Список категорий и их идентификаторов для домашнего категоризирующего DNS сервера.

105 алкоголь
101 эротика, порнография
3 реклама, баннерные сервера
4 власти, правительство
5 авто
6 кино
7 строительство и ремонт
8 предметы потребления
9 кулинария
10 дача
11 курсы, обучение
12 электроника и электротехника
13 оборудование
14 семья
15 мода и стиль
16 финансы
17 изобразительное искусство
18 компьютеры, аппаратное обеспечение
19 здоровье
20 хобби
21 юмор
22 интерьер
23 доступ в интернет
24 юридические услуги
25 литература
26 СМИ
27 машиностроение
28 металлургия
29 мобильная связь
30 музыка
31 общественные организации
113 компьютерные игры
33 домашние животные
34 фото
35 афиша
36 недвижимость
37 религия
38 школа
39 наука
40 спорт
41 театры
42 транспорт
43 туризм
44 университеты
111 работа и вакансии
46 создание сайтов
112 чаты
48 сайты знакомств
49 войска и вооружение
50 форумы и блоги
51 сервера бесплатной электронной почты
52 бесплатные хостинги
107 нелегальная помощь школьникам и студентам
54 убийства, насилие, трупы
110 онлайн-казино
102 социальные сети
57 терроризм
58 торговля
108 нижнее белье, купальники
109 обеспечение анонимности, обход контентных фильтров
103 службы обмена сообщениями
104 файлообменные сети и сайты
106 табак
Как я не пытался — не смог отредактировать ни один из списков (Рис. 9)

Нажимаю интер, ввожу нужные цифры, перехожу на кнопку добавить, жму интер — ничего не происходит.....??? И вот ещё что, теперь понятно, почему одно фильтруется, а другое нет — потому-что список не полный, фильтруется то, что в нём есть. Как же изменить списки?

Ответ нашёлся с техподдержки - можно входить и таким образом: https://ipadress/cgi-bin/role.cgi
Так и сделал, думал всё хорошо, сейчас всё получиться!!! Ан нет! Ничего он фильтровать не хочет! Зашёл на сервер с другого ПК. Кое-что поменял и вот что вышло:

Вроде вставил 101 эротика, порнография и 105 алкоголь а он как пропускал порнографию так и пропускает... правда почему то закрыл вконтакте... Говов выслушать гору советов, заранее благодарен

Понял в чём проблема: указал вместо my_student student  Исправил

Перегрузил компьютер - всё направно, Всё возможное порно на экране....

Вот, отредактировал список реджектов как в примере

Всё равно ничего кроме вконтакте и ещё пару сайтов не фильтрует.... :(

У меня только одно на ум приходит. Вы не прописали адрес прокси с установленным netpolice в браузере.

Т.е. не смотря на все ваши настройки вы идете только на DNS фильтрацию.

Как проверить: первым делом при входе у вас должен быть запрос имени пользователя и пароля. Соответсвенно если вы не введете, то вас не пустят в интернет вообще.

Если после ввода пароля все равно не происходит фильтрация - значит у вас для данного пользователя не прописаны запреты.

Дак вроде в центре управления системой есть такая штука как "прокси-сервер" туда и прописал IP адрес и потр сервера. в надежде что фильтровать будет по "*" - не вышло, Добавил ещё имя пользователя user и пароль который задавал. Перегрузил и сервер и клиента - ничего, а сегодня проверил второй сетевой интерфейс (до этого работал на 192,168,0,1 а теперь на 192,168,20,1) там вообще ничего не фильтруется. даже вконтакте ито пропускает. Засада полная. :(

Скриншот центра управления системой - прокси сервер

может что с прокси сервером сделать? он в режиме обычный - без аутентификации.... если поставить аутентификацию, то какую? в выпадающем списке есть

Kerberos

PAM

Kerberos + PAM

Заранее спасибо всем ответившим!

Немного поясню: Дело в том. что до этого всего (см выше) я находился в школе в сети 192.168.20.0 и все мои настройки ограничивались тем. что внешнем интерфейсе я прописывал dns net police (81.176.72.82 или 81.176.72.83) в результате при попытке войти на сайт в контакте выходила табличка нет полиса (зелёная) На выходных всё "опыты" проводил дома, в сети 192.168.0.0. Результат - в этой сети стало так же как при dns фильтре в сети 192.168.20.0 Каково же было моё удивление, что придя на работу я обнаружил что в сети 192.168.20.0 вообще пропала всякая фильтрация!!! даже в контакте теперь заходят все кто хочет!!! Не знаю, опятьчто ли на внешний интерфейс поставить dns net police (81.176.72.82 или 81.176.72.83) ? Держаться нету больше сил! Гы Гы Гы....:) :(

> Не знаю, зачем необходимо менять настройки прокси на браузере, если есть Центр управления системой — Настройка прокси. Там и прописал IP адрес сервера и порт 3128
Дак вроде в центре управления системой есть такая штука как "прокси-сервер" туда и прописал IP адрес и потр сервера

Теперь проверяем браузер на предмет Использовать системные настройки прокси:)

> DNS_LIST=dnsc1.netpolice.ru 
IP прописать не пробовали?

Проверить состояние сервисов не помешает
/etc/rc.d/init.d/сервис status

Вы уверены, что для доступа в Intrnet используете прокси, а не, например, NAT.

Viktor писал(а):

Да, и какие IP прописывать, внешние или внутренние? У меня 2 подсетки внутренние 192.168.0.0 и 192.168.20.0 Какие адреса нужно прописать, если не сложно - напишите пример. Спасибо.

А вот мы и подобрались к самому вкусному.

У вас две подсети и одна внешняя сеть.

Я так понимаю что на данном компьютере у вас три сетевых карты или две подсети объединяет другая машина?

Вобщем для начала:

ifconfig

route

iptables-save

А то чувствую самое интересное вы и не договариваете.

С удовольствием! Вы правы, у меня 3 сетевые карты. т.е

1 сетевая карта -  внешняя сеть, соединена с dsl модемом

2 внутренняя сеть 192,168,20,1 (сервер) на ней работает dhcp сервер - это школьная сеть

3 сетевая карта с адресом 192.168.0.3 входит в сеть села, там работает свой сервер 192,168,0,1 но есть несколько клиентов - учителей

 [root@server ~]# ifconfig
eth0 Link encap:Ethernet HWaddr 00:16:E6:5F:3D:A9

inet addr:192.168.20.1 Bcast:192.168.20.255 Mask:255.255.255.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:733730 errors:0 dropped:0 overruns:0 frame:0
TX packets:743013 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:84984961 (81.0 MiB) TX bytes:825281342 (787.0 MiB)
Interrupt:252 Base address:0x4000

eth1 Link encap:Ethernet HWaddr 00:21:91:21:91:52
inet addr:192.168.1.1 Bcast:192.168.1.255 Mask:255.255.255.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:1338557 errors:0 dropped:0 overruns:0 frame:0
TX packets:2154750 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:1875626144 (1.7 GiB) TX bytes:274590672 (261.8 MiB)
Interrupt:19 Base address:0xa000

eth2 Link encap:Ethernet HWaddr 00:D0:B7:46:40:36
inet addr:192.168.0.3 Bcast:192.168.0.255 Mask:255.255.255.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:1246745 errors:0 dropped:0 overruns:0 frame:0
TX packets:13374 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:198570760 (189.3 MiB) TX bytes:1722271 (1.6 MiB)

lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:348285 errors:0 dropped:0 overruns:0 frame:0
TX packets:348285 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:2325581943 (2.1 GiB) TX bytes:2325581943 (2.1 GiB)

ppp1 Link encap:Point-to-Point Protocol
inet addr:90.188.249.254 P-t-P:195.46.116.236 Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1476 Metric:1
RX packets:1330390 errors:0 dropped:0 overruns:0 frame:0
TX packets:2141970 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:3
RX bytes:1845862685 (1.7 GiB) TX bytes:226930512 (216.4 MiB)

venet0 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
UP BROADCAST POINTOPOINT RUNNING NOARP MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:0 (0.0 b) TX bytes:0 (0.0 b)

[root@server ~]#

[root@server ~]# route
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface

UstIlimsk-PE-1. * 255.255.255.255 UH 0 0 0 ppp1
192.168.20.0 * 255.255.255.0 U 0 0 0 eth0
192.168.1.0 * 255.255.255.0 U 0 0 0 eth1
192.168.0.0 * 255.255.255.0 U 0 0 0 eth2
default * 0.0.0.0 U 0 0 0 ppp1
[root@server ~]#

[root@server ~]# iptables-save
# Generated by iptables-save v1.4.5 on Thu Mar 10 08:53:18 2011
*mangle
:PREROUTING ACCEPT [3571600:4422119841]
:INPUT ACCEPT [2157626:4066548308]
:FORWARD ACCEPT [1413955:355543062]
:OUTPUT ACCEPT [1819243:3013341787]
:POSTROUTING ACCEPT [3240803:3370396020]
COMMIT
# Completed on Thu Mar 10 08:53:18 2011
# Generated by iptables-save v1.4.5 on Thu Mar 10 08:53:18 2011
*nat
:PREROUTING ACCEPT [44064:4148899]
:POSTROUTING ACCEPT [55116:3900160]
:OUTPUT ACCEPT [63324:4503706]
-A POSTROUTING -o eth1 -j MASQUERADE
-A POSTROUTING -o ppp1 -j MASQUERADE
COMMIT
# Completed on Thu Mar 10 08:53:18 2011
# Generated by iptables-save v1.4.5 on Thu Mar 10 08:53:18 2011
*filter
:INPUT ACCEPT [202777:22775745]
:FORWARD ACCEPT [10626:578463]
:OUTPUT ACCEPT [69617:5648366]
-A INPUT -f -j DROP
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -j ULOG --ulog-prefix "icount" --ulog-cprange 48 --ulog-qthreshold 50
-A INPUT -i eth1 -j DROP
-A INPUT -i ppp1 -j DROP
-A FORWARD -f -j DROP
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -j ULOG --ulog-prefix "fcount" --ulog-cprange 48 --ulog-qthreshold 50
-A FORWARD -d 192.168.1.0/24 -i eth1 -j ACCEPT
-A FORWARD -m physdev --physdev-is-bridged -j ACCEPT
-A FORWARD -i eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i eth1 -j DROP
-A FORWARD -m physdev --physdev-is-bridged -j ACCEPT
-A FORWARD -i ppp1 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i ppp1 -j DROP
-A OUTPUT -f -j DROP
-A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -j ULOG --ulog-prefix "ocount" --ulog-cprange 48 --ulog-qthreshold 50
COMMIT
# Completed on Thu Mar 10 08:53:18 2011
[root@server ~]#

Жду с нетерпением :)

Была та же самая проблема, всё делал как Андрей (казалось бы что сложного - инструкция же есть)... в итоге как и у Андрея результат: ничего не фильтруется, www.f-games.ru спокойно загружается.

Но я пошел дальше, поизменял настройки внутреннего интерфейса (шлюзом назначил шлюз который на внешнем интерфейсе стоит), еще чего-то... вобщем терь в инет клиенты (AltLinux Master 5.0.2) выходят только если прокси настроить ручками в браузере (раньше это было не обязательно), почтовые клиенты перестали с pop.mail.ru соединяться, ну и с локальным ftp сервером на котором репозиторий тож клиенты не коннектятс.

в связи с чем вопрос: где на сервере (AltLinux Server 5.0.2) посмотреть логи (если это, конечно возможно), по которым можно увидеть, что клиент обратился к какому-то узлу внешней сети (www.ya.ru) и получил отказ от службы squid к примеру? или как определить службу на сервере, которая блокирует соединение?

з.ы. вчера проверка приходила по фильтрам... очень переживали по поводу нынешней ситуации. Очень жду ответов на вопросы Андрея.

>Но я пошел дальше, поизменял настройки внутреннего интерфейса (шлюзом назначил шлюз который на внешнем интерфейсе стоит), еще чего-то... вобщем терь в инет клиенты (AltLinux Master 5.0.2) выходят только если прокси настроить ручками в браузере (раньше это было не обязательно), почтовые клиенты перестали с pop.mail.ru соединяться, ну и с локальным ftp сервером на котором репозиторий тож клиенты не коннектятс.
Посмотрите http://www.spohelp.ru/forums/12-svobodnoe-progr...

> где на сервере (AltLinux Server 5.0.2) посмотреть логи (если это, конечно возможно), по которым можно увидеть, что клиент обратился к какому-то узлу внешней сети (www.ya.ru) и получил отказ от службы squid к примеру?
Вроде как в /var/log/squid/access.log

Вообше для разбора логов squid есть довольно много чего, sarg например.

С логами "iptables" сложнее.

PS Как я понял проблема в настройке связки шлюз+прокси. http://www.spohelp.ru/forums/12-svobodnoe-progr... Может поможет.

Мда... Вернул все как было после установки netpolice
Поискав решение проблемы наткнулся на статейку "Замечания по настройке СКФ/Netpolice на школьном сервере" и там вроде как указано, какие инзменения надо в squid.conf внести...

auth_param basic program /usr/lib/squid/ncsa_auth /etc/squid/passwd
…......
acl password proxy_auth REQUIRED
…......
http_access allow password

ну раскомментировал что было, добавил чего не было и теперь при попытке выхода в инет на клиентах запрашивается имя пользователя и пароль... как я понял тот user с паролем 1 которого завести надо было. Ну ввожу user и 1, получаю запрашиваемую страничку... никакой фильтрации.

Да что жеэто такое-то??? Почему без изменения ручками конфига squid.conf даже логин и пароль прокси не запрашивал? И как фильтр включить?

Уважаемые, ну подскажите что-ли почему netpolice этот не работает... если какие конфиги выложить - выложу... Вон Андрей Шарабаров выкладывал, я минут 15 сравнивал свои с его, чёб не постить свои сюда, а никто не откликается.

Помогите уж добить этот вопрос.

p.s.
куда пойдёт тот или иной пакет решает iptables - я правильно понял, то есть заблокированный там пакет идущий от клиента в интернет через сервер  и до прокси на сервере не дойдёт?

Сергей Паранюшкин писал(а):

Специально скачал и поставил ПСПО5 5.0.3 Легкий, вроде бы сказали, что там все связанное с фильтрацией уже интегрировано.

После настройки по инструкции, ничего не изменилось, как открывалась гадость, так и открывается. Единственное, что добавилась необходимость ввода пароля при выходе в инет и перестали открываться некоторые сайты. 

Кто нибудь уже нашел решение?

Андрей Шарабаров писал(а):

Да, похоже это ТУПиковая ветка.... Мне в техподдержке предложили установить dansguardian

http://www.linformatika.ru/content/zamechaniya_po_nastroike_skfnetpolice_altlinux_na_shkolnom_servere

http://www.linformatika.ru/content/dansguardian_ili_filtratsiya_kontenta 

также информация по настройке на примере убунту:

http://interface31.ru/tech_it/2010/03/ubuntu-server-nastraivaem-kontent-fil-tr-routera-dansguardian.html

http://interface31.ru/tech_it/2010/03/ubuntu-server-nastraivaem-kontent-fil-tr-routera-dansguardian.html

 Вот что предлагает техподдержка.... а что же net police? Имеет ли смысл отбращаться за техподдержкой к ним?

> Вот что предлагает техподдержка.... а что же net police? Имеет ли смысл отбращаться за техподдержкой к ним?

http://www.spohelp.ru/forums/19-kontent-filtry/...

Как я понимаю, _купите_ их продукт и обращайтесь.