[Soporte] [Discusion] saludos

Jesús Reina jreina3 en gmail.com
Lun Nov 17 09:46:26 VET 2008


Buenos Dias Señores de Soporte, Estoy configurando un Servidor PROXY
trasnparente, instalé el Squid y SquidGuard
ahora mi situación es la siguiente,

1.- el squid filtra solamente para el ACL DSTDOMAIN,

2.- El squidGuard cuando aplico politicas de filtro , se bloquea el acceso a
internet en su totalidad. no se puede navegar, al quitar el filtro se activa
el del squid.

3.- ahora bien con respecto al Proxy transparente. configuré el IPTABLES en
el servidor PROXY

iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT
--to-port 3128

y esta chequeado con el comando  iptables -t nat -L -v


en el squid.conf agregué y/o modifiqué las siguientes lineas

http_port 3128 transparent
http_port 8080 transprent

# Debe especificarse la IP de cualquier servidor HTTP en la
# red local o bien el valor virtual
httpd_accel_host 192.168.128.24  #IP del servidor PROXY
httpd_accel_port 80
httpd_accel_with_proxy on
httpd_accel_uses_host_header on

cuando reinicio el squid me da unos mensajes de error en estas lineas

y en los browser me envía este mensaje

2008/11/14 08:53:02| parseConfigFile: line 36 unrecognized:
'httpd_accel_host 192.168.128.24'
2008/11/14 08:53:02| parseConfigFile: line 37 unrecognized:
'httpd_accel_port 80'
2008/11/14 08:53:02| parseConfigFile: line 38 unrecognized:
'httpd_accel_with_proxy on'
2008/11/14 08:53:02| parseConfigFile: line 39 unrecognized:
'httpd_accel_uses_host_header on'

al consultar una página en el browser me da mensaje : El servidor proxy está
rechazando las conexiones

4.- una pregunta : Es necesario instalar apache en el servidor? . de todas
manera lo instalé pero el sistema operativo no levanta el servicio apache :
comprobé con la URL http://localhost/ y me da error , no aparece el mensaje
IT WORKS, ni con la ip del servidor http://192.168.128.24/
el servicio apache aparentemente está instalado pero el S.O. no lo levanta ,
comprobado con un : ps -df | grep apache
squid si levanta ps -df | grep squid

proxy    26331 26329  0 08:57 ?        00:00:00 (squid) -D -sYC

srvproxy:/etc/squid# ps -ax | grep squid Warning: bad ps syntax, perhaps a
bogus '-'? See http://procps.sf.net/faq.html
 4769 pts/1    Sl+    6:07 gedit /etc/squid/squid.conf
26329 ?        Ss     0:00 /usr/sbin/squid -D -sYC
26331 ?        Sl     0:00 (squid) -D -sYC
26332 ?        Ss     0:00 (squidGuard) -c /etc/squid/squidGuard.conf
26333 ?        Ss     0:00 (squidGuard) -c /etc/squid/squidGuard.conf
26334 ?        Ss     0:00 (squidGuard) -c /etc/squid/squidGuard.conf
26337 ?        Ss     0:00 (squidGuard) -c /etc/squid/squidGuard.conf
26338 ?        Ss     0:00 (squidGuard) -c /etc/squid/squidGuard.conf
26339 ?        Ss     0:00 (squidGuard) -c /etc/squid/squidGuard.conf
26340 ?        Ss     0:00 (squidGuard) -c /etc/squid/squidGuard.conf
26341 ?        Ss     0:00 (squidGuard) -c /etc/squid/squidGuard.conf
26344 ?        Ss     0:00 (squidGuard) -c /etc/squid/squidGuard.conf
26345 ?        Ss     0:00 (squidGuard) -c /etc/squid/squidGuard.conf
26346 ?        Ss     0:00 (squidGuard) -c /etc/squid/squidGuard.conf
26347 ?        Ss     0:00 (squidGuard) -c /etc/squid/squidGuard.conf
26348 ?        Ss     0:00 (squidGuard) -c /etc/squid/squidGuard.conf
26349 ?        Ss     0:00 (squidGuard) -c /etc/squid/squidGuard.conf
26350 ?        Ss     0:00 (squidGuard) -c /etc/squid/squidGuard.conf
26351 ?        Ss     0:00 (squidGuard) -c /etc/squid/squidGuard.conf
26352 ?        Ss     0:00 (squidGuard) -c /etc/squid/squidGuard.conf
26353 ?        Ss     0:00 (squidGuard) -c /etc/squid/squidGuard.conf
26354 ?        Ss     0:00 (squidGuard) -c /etc/squid/squidGuard.conf
26355 ?        Ss     0:00 (squidGuard) -c /etc/squid/squidGuard.conf

con respecto a SquidGuard

echo "http://www.rotten.com / - - GET" | squidGuard -d

2008-11-14 09:19:20 [27139] init domainlist /var/lib/squidguard/db/porn/
domains
2008-11-14 09:19:20 [27139] loading dbfile
/var/lib/squidguard/db/porn/domains.db
2008-11-14 09:19:20 [27139] init urllist /var/lib/squidguard/db/porn/urls
2008-11-14 09:19:20 [27139] loading dbfile
/var/lib/squidguard/db/porn/urls.db
2008-11-14 09:19:20 [27139] destblock good missing active content, set
inactive
2008-11-14 09:19:20 [27139] destblock local missing active content, set
inactive
2008-11-14 09:19:20 [27139] squidGuard 1.2.0 started (1226668760.731)
2008-11-14 09:19:20 [27139] recalculating alarm in 25840 seconds
2008-11-14 09:19:20 [27139] squidGuard ready for requests (1226668760.732)

2008-11-14 09:19:20 [27139] squidGuard stopped (1226668760.732)

redireccione el httpd_accel_host hacia nuestro servidor web 192.168.128.17,
tampoco funciona



5.- es con respecto a la ubicación del servidor PROXY en la red LAN. lo
tengo como un host interno es decir unop más de la red.

he leido que puede ser externo es decir entre el router y switch,
funcionaria como un firewall, pero en este caso tendria que realizar muchos
cambios en la red por lo de la puerta de enlace.

6.- he pensado reiniciar desde cero . es decir instalar en este orden

   a.- Sistema Operativo.
   b.- Apache.
   c.- Squid.
   e- SquidGuard.

pero no si si es lo correcto o insistir en buscar la falla.


anexo te envio el squid.conf y el squidguard.conf para revises y me
orientes, se que es mucho pedir , tengo muchas fallas y es la primera vez
que configuro un PROXY, hice el curso en CANTV de administracion de
servidores y en eso estoy aplicando las teorias. si no puedes ayudar por
cuestiones de tiempo u otro factor , favor remiteme a alguien  mucho te lo
agradeceria.

Gracias de antemano

Jesus Reina
Coordinador de Sistemas
Instituto Nacional de Meteorología e Hidrología
INAMEH.

*squid.conf

*# listen on internal address
http_port 3128 transparent
http_port 8080 transparent

# disable icp
icp_port 0

# the proxy hostname
visible_hostname srvproxy

# display error messages in spanish
error_directory /usr/share/squid/errors/Spanish

# where to send error messages
#cache_mgr lcatano

# boost cache speed
#offline_mode on

# cache and objects maximum size
cache_dir aufs /var/spool/squid 600 16 256
maximum_object_size 4096 KB
access_log /var/log/squid/access.log squid
emulate_httpd_log on

# no cgi-bin cache
#acl QUERY urlpath_regex cgi-bin \?
#no_cache deny QUERY


redirect_program /usr/bin/squidGuard -c /etc/squid/squidGuard.conf
redirect_children 20

# Debe especificarse la IP de cualquier servidor HTTP en la
# red local o bien el valor virtual
httpd_accel_host 192.168.128.24
httpd_accel_port 80
httpd_accel_with_proxy on
httpd_accel_uses_host_header on

# recommended minimum configuration:
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8

acl SSL_ports port 443 563 # https, snews
acl SSL_ports port 873 # rsync
acl Safe_ports port 80 # http
acl Safe_ports port 20 21 # ftp
acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 631 # cups
acl Safe_ports port 873 # rsync
acl Safe_ports port 900 # Woa
acl Safe_ports port 901 # SWAT
acl Safe_ports port 1443 # Change direct in une
acl purge method PURGE
acl CONNECT method CONNECT

http_access allow manager localhost
http_access deny manager
http_access deny to_localhost
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

acl redlocal src 192.168.0.0/24
acl dominios dstdomain .facebook.com .youtube.com .ebuddy.com .messenger.com
acl deny_paginas_web url_regex "/etc/squid/deny_paginas_web"
acl deny_extensiones urlpath_regex -i \.wav$ \.mp3$ \.wma$ \.pps$ \.wmv$
\.avi$ \.mpg$ \.flv$
acl deny_extensiones1 urlpath_regex -i \.exe$ \.rar$ \.dll$ \.zip$ \.iso$

http_access deny dominios
http_access deny deny_paginas_web deny_extensiones deny_extensiones1
http_access allow localhost
http_access allow redlocal
http_access allow all
http_reply_access allow all

cache_effective_group proxy
forwarded_for off
coredump_dir /var/spool/squid

s*quidguard.conf*

# CONFIG FILE FOR SQUIDGUARD
#

dbhome /var/lib/squidguard/db
logdir /var/log/squid

#
# TIME RULES:
# abbrev for weekdays:
# s = sun, m = mon, t =tue, w = wed, h = thu, f = fri, a = sat

time workhours {
    weekly mtwhf 08:00 - 16:30
    date *-*-01  08:00 - 16:30
}

dest porn {

domainlist /var/lib/squidguard/db/porn/domains

urllist /var/lib/squidguard/db/porn/urls

}

acl {
default {
pass !porn all
redirect http://www.google.es
}
}

dest good {
}

dest local {
}


acl {

    default {
        pass     local none
    }
}


El 17 de noviembre de 2008 9:00, Hector Colina <hcolina en gmail.com> escribió:

> El día 17 de noviembre de 2008 21:27, Jesús Reina <jreina3 en gmail.com>
> escribió:
> > Buenos dias amigo,actualmente estoy instalando un servidor PROXY
> > transparente, procedí a instalar el SQUID y SquidGuard, después de una
> larga
> > jornada de investigación, squidguard pide dependencias de varios archivos
> > difícil de encontrar ; pero los encontré en las librerias de debian etch.
>
> Buenos días Jesús Reina.
>
> POR FAVOR, ¿podrías iniciar tus preguntas en otro hilo de discusión?
>
> Iniciar una pregunta en un hilo de discusión que NO TIENE NADA QUE VER
> con lo que preguntas, disminuye la oportunidad de que alguien te
> ayude, amén de que DESORDENA los hilos de discusión temáticos que
> muchos tenemos.
>
> Agredecido...
>
> --
> **********************************************
> Hector Colina. Linux  counter id 131637
> Debian user, aka e1th0r
> Mérida-Venezuela http://e1th0r.gulmer.org.ve
> Key fingerprint = 6FA1 6D2F CF9E 5C86 7DC5  EF2C 881F 07E7 D12F 702D
> LA REVOLUCIÓN NO SE HACE UNICAMENTE CON LAS ARMAS
> _______________________________________________
> Discusion mailing list
> Discusion en canaima.softwarelibre.gob.ve
> http://canaima.softwarelibre.gob.ve/cgi-bin/mailman/listinfo/discusion
>
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <http://canaima.softwarelibre.gob.ve/pipermail/soporte/attachments/20081117/63aef572/attachment-0002.htm>


Más información sobre la lista de distribución Soporte