La mia idea è quella di un server proxy trasparent direttamente sulla macchina gateway...<br>
La distro è una Gentoo...<br>
<br>
Questo è il mio file di configurazione di squid:<br>
<br>
# NETWORK OPTIONS<br>
# Nome host (FQDN) e porta dove il proxy sarà in ascolto<br>
http_port <a href="http://192.168.0.1:8080">192.168.0.1:8080</a><br>
<br>
# TAG: icp_port<br>
# Porta usata per comunicare con altri proxy<br>
# 0: funziona disabilitata (inutile visto che useremo un solo proxy)<br>
icp_port 0<br>
<br>
# TAG: hierarchy_stoplist<br>
# Lasciamo il default che va bene così :)<br>
hierarchy_stoplist cgi-bin ?<br>
<br>
# TAG: no_cache<br>
# Lasciamo il default che va bene così :)<br>
acl QUERY urlpath_regex cgi-bin \?<br>
<br>
# TAG: maximum_object_size (bytes)<br>
# Dimensione massima degli oggetti da tenere in cache.<br>
maximum_object_size 30 MB<br>
<br>
# TAG: cache_access_log<br>
# File di log degli accessi al proxy<br>
cache_access_log /var/log/squid/access.log<br>
<br>
# TAG: cache_log<br>
# File di log della cache<br>
cache_log /var/log/squid/cache.log<br>
<br>
# TAG: cache_store_log<br>
# File di log degli oggetti<br>
cache_store_log /var/log/squid/store.log<br>
<br>
# TAG: emulate_httpd_log on|off<br>
# Simulo il log nel formato del demone http per poter generare le statistiche con awstats<br>
#emulate_httpd_log on<br>
<br>
# TAG: pid_filename<br>
# File con il pid del processo<br>
pid_filename /var/run/squid.pid<br>
<br>
# TAG: log_fqdn on|off<br>
# Squid effettua un DNS lookup per sapere i nomi di chi vuole usarlo e
salvare tali nomi nel log. Questo causa una latenza per cui lo
disabilitiamo.<br>
log_fqdn off<br>
<br>
<br>
# OPTIONS FOR EXTERNAL SUPPORT PROGRAMS<br>
# -----------------------------------------------------------------------------<br>
<br>
# TAG: ftp_user<br>
# Utente da usare per gli accessi ai server ftp<br>
#ftp_user <a href="mailto:anonymous@tin.it">anonymous@tin.it</a><br>
<br>
# TAG: hosts_file<br>
# Path assoluto del file hosts (solitamente /etc/hosts)<br>
hosts_file /etc/hosts<br>
<br>
# TAG: refresh_pattern<br>
# Lasciamo i valori di default che vanno bene :)<br>
#refresh_pattern ^ftp: 1440 20% 10080<br>
#refresh_pattern ^gopher: 1440 0% 1440<br>
#refresh_pattern . 0 20% 4320<br>
<br>
# ACCESS CONTROLS<br>
# -----------------------------------------------------------------------------<br>
<br>
# TAG: acl<br>
# Definiamo le Access Control List<br>
# Nome: all<br>
# Tipo: filtrosu ip sorgente<br>
# Valore: <a href="http://127.0.0.1/255.255.255.255">127.0.0.1/255.255.255.255</a> (Solo il localhost)<br>
acl localhost src <a href="http://127.0.0.1/255.255.255.255">127.0.0.1/255.255.255.255</a><br>
<br>
# Nome: to_localhost<br>
# Tipo: filtro su ip di destinazione<br>
# Valore: <a href="http://127.0.0.0/8">127.0.0.0/8</a> (Solo gli ip che identificano il localhost)<br>
acl to_localhost dst <a href="http://127.0.0.0/8">127.0.0.0/8</a><br>
<br>
# Nome: SSL_ports<br>
# Tipo: filtro su numero porta<br>
# Valore: 443 563 (Porte protocollo ssl)<br>
acl SSL_ports port 443 563<br>
<br>
acl SSL_ports port 873<br>
acl Safe_ports port 80<br>
acl Safe_ports port 21<br>
acl Safe_ports port 443 563<br>
acl Safe_ports port 70<br>
acl Safe_ports port 210<br>
acl Safe_ports port 1025-65535<br>
acl Safe_ports port 280<br>
acl Safe_ports port 488<br>
acl Safe_ports port 591<br>
acl Safe_ports port 777<br>
acl Safe_ports port 631<br>
acl Safe_ports port 873<br>
acl Safe_ports port 901<br>
acl purge method PURGE<br>
acl CONNECT method CONNECT<br>
<br>
# Questa è l'acl che identifica la mia lan<br>
acl ltruzze.lan src <a href="http://192.168.0.0/255.255.255.0">192.168.0.0/255.255.255.0</a><br>
<br>
# TAG: http_access<br>
# Definiamo chi può usare il proxy e chi no sfruttando le ACL<br>
# Tuti gli ip appartenenti alla LAN possono usare il proxy, il resto non lo tocchiamo e lasciamo i valori di default.<br>
http_access allow ltruzze.lan<br>
http_access allow manager localhost<br>
<br>
# Only allow purge requests from localhost<br>
http_access deny manager<br>
http_access allow purge localhost<br>
# Deny requests to unknown ports<br>
http_access deny !Safe_ports<br>
# Deny CONNECT to other than SSL ports<br>
http_access deny purge<br>
#<br>
http_access deny CONNECT !SSL_ports<br>
<br>
# And finally deny all other access to this proxy<br>
http_access allow localhost<br>
http_access deny all<br>
<br>
# TAG: http_reply_access<br>
# Abilitiamo le risposte alle richieste dei client<br>
http_reply_access allow all<br>
<br>
# TAG: icp_access<br>
# Abilitamo o meno le risposte alle richieste icp<br>
icp_access allow all<br>
<br>
# ADMINISTRATIVE PARAMETERS<br>
# -----------------------------------------------------------------------------<br>
<br>
# TAG: cache_mgr<br>
# Email del gestore della cache<br>
#cache_mgr <a href="mailto:squidadmin@valhalla.lan">squidadmin@valhalla.lan</a><br>
<br>
# TAG: visible_hostname<br>
# Nome da mostrare in caso di errori<br>
visible_hostname proxy.ltruzze.lan<br>
<br>
# OPTIONS FOR THE CACHE REGISTRATION SERVICE<br>
# -----------------------------------------------------------------------------<br>
#<br>
<br>
<br>
# HTTPD-ACCELERATOR OPTIONS<br>
# -----------------------------------------------------------------------------<br>
<br>
# TAG: httpd_accel_host<br>
# TAG: httpd_accel_port<br>
# Necessarie per il transparent proxy<br>
httpd_accel_host virtual<br>
httpd_accel_port 80<br>
<br>
# TAG: httpd_accel_with_proxy on|off<br>
# Necessario per il transparent proxy<br>
httpd_accel_with_proxy on<br>
<br>
# TAG: httpd_accel_uses_host_header on|off<br>
# Necessario per il transparent proxy<br>
httpd_accel_uses_host_header on<br>
<br>
<br>
# MISCELLANEOUS<br>
# -----------------------------------------------------------------------------<br>
<br>
# TAG: logfile_rotate<br>
# Numero di log da tenere in memoria (da 0 a 9)<br>
logfile_rotate 10<br>
<br>
# TAG: error_directory<br>
# Directory dove prendere i messaggi di errore<br>
# E' possibile scegliere la lingua in base alle disponibili<br>
#error_directory /var/log<br>
<br>
# TAG: coredump_dir<br>
# Dove mette i core-dump<br>
coredump_dir /var/spool/squid<br>
<br>
# TAG: ie_refresh on|off<br>
# Necessaria per il transparent proxy con IE<br>
ie_refresh on<br>
<br>
# TAG: cache_replacement_policy<br>
# TAG: memory_replacement_policy<br>
# Metodo di gestione dei file in cache e su hdd<br>
cache_replacement_policy lru<br>
memory_replacement_policy lru<br>
<br>
# SquidGuard<br>
<br>
redirect_program /usr/bin/squidGuard -c /etc/squidGuard/squidGuard.conf<br>
<br>
----------------------------------------------------------------------------------------------------------------------<br>
<br>
Come vedi nell'ultima riga, voglio che SquidGuard filtri le pagine attraverso delle blacklist...<br>
Questo è il problema:<br>
se faccio partire squid commentando #redirect_program ..... squid funziona alla grande e senza alcun problema...<br>
se non commento redirect_program ecco che squid non funziona più..<br>
<br>
come prima cosa, ho fatto un check al file di configurazione di squidguard e risulta OK...<br>
ho provato a testare da solo squidGuard dandogli un dominio vietato e la redirezione funzionava...<br>
<br>
Questo è il file di configurazione di SquidGuard:<br>
<br>
logdir /var/log/squidGuard<br>
dbhome /etc/squidGuard/db<br>
<br>
dest blockedsites {<br>
domainlist blockedsites<br>
}<br>
<br>
acl {<br>
default {<br>
pass !blockedsites all<br>
redirect <a href="http://www.google.com/">http://www.google.com/</a><br>
}<br>
}<br>
<br>
--------------------------------------------------------------------------------------------------------<br>
<br>
come vedi molto semplice...<br>
per quanto rigurda iptables ho inserito la regola di prerouting sulla tabella NAT:<br>
<br>
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 8080<br>
<br>
scusa se sono stato così lungo ma almeno ti ho dato tutto....=)<br>
<br>
non capisco quale sia il problema...squidGuard non ne vuol sapere di andare con squid...<br>
<br>
aspetto un tuo lampo di genio...=)<br>
<br>
ciauz<br><br><div><span class="gmail_quote">Il 07/10/05, <b class="gmail_sendername">Pasqualotto Enrico</b> <<a href="mailto:pasqu@linux.it">pasqu@linux.it</a>> ha scritto:</span><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">
Marco Ruzzenente wrote:<br>> Ciao a tutti!!<br>><br>> Ragazzi se ne sapete per quanto riguarda squid e squidGuard fatemi<br>> sapere...<br>><br>> ho bisogno di un parere...<br>><br><br>Cosa ti serve? Io sto facendo dei test su squid anche come antivirus.....
<br><br><br>--<br>Pasqualotto Enrico<br>email: <a href="mailto:pasqu@linux.it">pasqu@linux.it</a><br>web: <a href="http://www.pasqualotto.org">http://www.pasqualotto.org</a><br><br>-----BEGIN GEEK CODE BLOCK-----<br>Version:
3.12<br>GIT d? s: a-- C+++ UL++++ P L++ E--- W++ N++ o K- w---<br>O-- M V-- PS+ PE+ Y PGP- t--- 5 X R tv-- b+ DI- D+<br>G e h++ r+ y+++++<br>------END GEEK CODE BLOCK------<br><br></blockquote></div><br><br clear="all"><br>
-- <br>Marco