[FUG-BR] RES: Integracao squid/dansguardian

Diego shaamangra em gmail.com
Sexta Janeiro 15 17:32:51 BRST 2010


Ola Cristiano, muito obrigado pela resposta. Segue meu dansguardian.conf:

filter = 192.168.1.129

# the port that DansGuardian listens to.
filterport = 3128

# the ip of the proxy (default is the loopback - i.e. this server)
proxyip = 192.168.1.129

# the port DansGuardian connects to proxy on
proxyport = 3128


Porem, nao aparece nada no arquivo definido como log do dansguardian,
no caso access.log... Mas no access.log do squid sim:

1263583796.366    401 192.168.1.179 TCP_MISS/204 323 GET
http://www.google.com.br/csi? - DIRECT/64.233.163.104 text/html

As regras do meu fw sao:nagios# ipfw show
00100 45735 12010047 divert 8668 ip4 from any to any
00150  9732  2582357 allow ip from 192.168.1.0/24 to any via vr0
00200     0        0 fwd tablearg tcp from 192.168.1.0/24 to any dst-port 80
64000 36606  9502027 allow ip from any to any



Nao teria que ter uma regra no fw dando um fwd do squid pro dg??


[]s








2010/1/15 Cristiano Maynart Pereira <cpereira em unisc.br>:
>>-----Mensagem original-----
>>De: freebsd-bounces em fug.com.br [mailto:freebsd-bounces em fug.com.br] Em
>>nome de Diego
>>Enviada em: sexta-feira, 15 de janeiro de 2010 15:59
>>Para: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)
>>Assunto: [FUG-BR] Integracao squid/dansguardian
>>
>>PessoALL, boa tarde!! Primeiramente gostaria de parabenizar a lista.
>>Resolvo muitos dos meus problemas por aqui.
>>
>>Tenho aqui um ambiente, onde estou implementando uma politica de
>>seguranca com proxy feito pelo SQUID e filtragem feito pelo
>>DANSGUARDIAN. O squid.conf esta configurado da seguinte forma:
>>
>>acl all src 0.0.0.0/0.0.0.0
>>acl manager proto cache_object
>>acl localhost src 127.0.0.1/32
>>acl SSL_ports port 443
>>acl SMTP_ports port 25
>>acl Safe_ports port 80 21 443 563 70 210 1025-65535 280 488 591 777
>>acl purge method PURGE
>>acl CONNECT method CONNECT
>>http_port 3128 transparent
>>
>># impede o uso do proxy como open-relay (spam)
>>http_access deny SMTP_ports
>>http_access allow manager localhost
>>http_access deny manager
>>http_access allow purge localhost
>>http_access deny purge
>>http_access deny !Safe_ports
>>http_access deny CONNECT !SSL_ports
>>acl redelocal src 192.168.1.0/24 # ip de rede interno
>>http_access allow localhost
>>http_access allow redelocal
>>http_access deny all
>>icp_access deny all
>>htcp_access deny all
>>http_access allow redelocal
>>hierarchy_stoplist cgi-bin ?
>>access_log /usr/local/squid/logs/access.log squid
>>refresh_pattern ^ftp:           1440    20%     10080
>>refresh_pattern ^gopher:        1440    0%      1440
>>refresh_pattern (cgi-bin|\?)    0       0%      0
>>refresh_pattern .               0       20%     4320
>>icp_port 3130
>>coredump_dir none
>>cache_dir diskd /squid 1000 16 256 Q1=72 Q2=64
>>cache_log /usr/local/squid/logs/cache.log squid
>>access_log /usr/local/squid/logs/access.log squid
>>cache_store_log none
>>visible_hostname proxy
>>
>>
>>
>>
>>      O DG parece esta configurado certo, as principais entradas em
>>relacao a rede/portas estao com seus respectivos IPs.. Minha duvida
>>principal e` em relacao a interligacao entre o SQUID  e o DG. Seria
>>feito por meio de arquivo de configuracao ou firewall?
>>
>>Meu firewall esta da seguinte forma:
>>
>>
>>rede interna: 192.168.1.0/24
>>placa de rede externa: re0
>>placa de rede interna: vr0
>>
>>ipfw add 100 divert natd ip4 from any to any recv re0
>>ipfw fwd 127.0.0.1,3128 tcp from any to 127.0.0.1,8080
>>
>>Meu natd.conf
>>
>>interface re0
>>dynamic yes
>>same_ports yes
>>use_sockets yes
>>
>>
>> Pelo o que eu entendi, a requisicao e` feita, e processada pelo DG e
>>somente depois disso feito o proxy pelo squid. Nao estou conseguindo
>>aplicar isso de forma correta no firewall. Alguma ajuda??
>>
>>Agradeco desde ja,  []`s
>>
>>
>>
>>raioo silver !
>>-------------------------
>>Histórico: http://www.fug.com.br/historico/html/freebsd/
>>Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
>
> Olá Diego.
>
> Voce esta certo, primeiro eh realizado filtro no dansguardian o qual chama o Squid. Voce pode retirar a regra de fwd no firewall. Voce tem que apontar os clientes para utilizar como proxy o Dansgardian.
>
> Pelo seu arquivo squid.conf vi que esta usando a porta 3128 para o squid, então uma solucao seria:
>
> Altere a porta do Squid no squid.conf, por exemplo para 31288
> http_port 31288 transparent
>
>
> No dansguardian.conf, configure o mesmo porta escutar na porta anteriormente utilizada no Squid - 3128:
>
> # the port that DansGuardian listens to.
> filterport = 3128
>
>
> E utilize (considerando que o Dansguardian esteja na mesma maquina):
>
> # the ip of the proxy (default is the loopback - i.e. this server)
> proxyip = 127.0.0.1
>
> # the port DansGuardian connects to proxy on
> proxyport = 31288
>
>
> Cristiano Maynart
>
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>


Mais detalhes sobre a lista de discussão freebsd