Мой сервер
|
|
Murphy | Дата: Вторник, 22.01.2013, 13:08 | Сообщение # 31 |
Рядовой
Группа: Пользователи
Сообщений: 11
Статус: Offline
| ну тогда Ок, просто я думал. что файл разбивается, при достижении определенного размера. например search.log search(1).log search(2).log ...
Еще одно наблюдение, не у всех пользователей отображаетсяпоисковый запрос, вместо него пишется 0. например. 21-1-2013 23:18:29;google.ru;192.168.1.75/-;-;0
некоторые вовсе не падают в лог.
!!!!Я разобрался. Это опять все то же защищенное соединение HTTPS. В нем ничего не логируется.
Тогда у меня вопрос возник. У меня есть сеть и несколько подсетей(компьютерные классы) И одна подсеть выходит в интернет через компьютер преподавателя, ну как шлюз используется. При использовании интернета у меня логируется только как компьютер преподавателя, но не ведется лог по ученикам. Можно ли как нибудь "отловить" школьников, оставляя шлюз учителя или все таки нужно запретить пользование почтой учителя.
Шлюз между подсетями нужен, для того, чтобы учитель мог сам отключить компьютеры учеников от интернета, когда он хочет.
Сообщение отредактировал Murphy - Вторник, 22.01.2013, 13:23 |
|
| |
Vito | Дата: Вторник, 22.01.2013, 16:46 | Сообщение # 32 |
Подполковник
Группа: Администраторы
Сообщений: 131
Статус: Offline
| Цитата (Murphy) ну тогда Ок, просто я думал. что файл разбивается, при достижении определенного размера. Вообще-то в Ubuntu по-крайней мере logrotate будет разбивать автоматически файл search.log, так как в правило, заданное в /etc/logrotate.d/squid3 применяется для всех лог-файлов /var/log/squid3/*.log В других дистрибутивах может быть не так, но в любом случае ротацию логов можно сделать как душа пожелает Т.е. разбивка логов осуществляется не самими программами, а logrotate.
Цитата (Murphy) Можно ли как нибудь "отловить" школьников, оставляя шлюз учителя или все таки нужно запретить пользование почтой учителя. Правильнее всего использовать авторизацию для всех школьников и пользователей выходящих в сеть через этот компьютер. Squid достаточно легко настраивается для того, чтобы требовать пройти авторизацию, если пользователь пришёл с определённого IP, а с остальных IP пускать без логина и пароля. Код #---------------------------------------------------------------------------------------- # Задаём параметры basic-авторизации: #---------------------------------------------------------------------------------------- # 1. Программа авторизации auth_param basic program /usr/local/bin/auth_mysql.pl # 2. Количество процессов авторизации auth_param basic children 10 # 3. Сообщение выводимое при показе формы логина и пароля auth_param basic realm 'Squid+Dansguardian. School content-filter' # 4. Время кэширования правильной авторизации auth_param basic credentialsttl 1 minutes #---------------------------------------------------------------------------------------- # Авторизация без аутенфикации для определённых адресов #---------------------------------------------------------------------------------------- # 1. файл noauth.acl содержит список IP, запросы с которых принимаются без аутентификации acl noauth src "/etc/squid/noauth.acl"
#---------------------------------------------------------------------------------------- # BASIC-авторизация для определённых адресов #---------------------------------------------------------------------------------------- # 1. Правило разрешающее доступ acl proxyusers proxy_auth REQUIRED
#тут располагаются другие правила
#--------------------------------------------- #порядок правил #разрешить доступ с ip #запретить доступ по ip #разрешить доступ пользователям, прошедшим авторизацию #запретить доступ пользователям, прошедшим авторизацию #--------------------------------------------- http_access allow noauth http_access deny noauth http_access allow proxyusers http_access deny proxyusers Естественно приведены только те части конфига которые отвечают за настройку подобной авторизации, хочу заметить что программа авторизации у вас будет другая, а не /usr/local/bin/auth_mysql.pl.
Бывает загвоздка, если между Squid и пользователем есть ещё одно звено типа Dansguardian или другой прокси, то тут потребуется более серьёзная настройка.
Как вариант можно поставить прокси на машину учителя, и рулить уже этим прокси, а ваш основной указать в качестве родительского,так у меня было когда-то сделано.
|
|
| |
admin | Дата: Среда, 20.02.2013, 21:00 | Сообщение # 33 |
Рядовой
Группа: Пользователи
Сообщений: 1
Статус: Offline
| Здравствуйте! Дайте пожалуйста совет, как уже опытный боец на этом фронте! Долго мучились с фильтрацией, и в итоге сидели на том, что использовался почти коробочный DG, без особых настроек, и зоркий глаз учителя на работу детей в интернете, либо просто, отключение автомата на котором висит свитч, и нет инета вообще. Для экстренных случаев - белые списки. Все свилось к такой примитивной схеме, после очередного визита молодого и наглово помошника прокурора, который нацарапал на школу даже при включенных белых списках %), сказал найду, и нашел! Хотя дело потом замяли-) Но вот сейчас опять появился интерес к фильтрации, после того как поигрался с фразами, очень интересный и гибкий инструмент. Так вот скажите, насколько это оправданно и эффективно, составлять списки с фразами? Конечно все не отфильтруешь, но фразы(мат, порно, экстремизм)+семейный поиск например+еще и ДНС фильтрация, для себя я думаю хватит? Не до идеальной конечно системы, но что бы быть уверенным что дети не нарвуться на мат в коментах, или эро сайт? А прокуратура, ей белые списки! Спасибо!
P.S. И еще пара, но очень волнующих вопроса: 1. По какому алгоритму что ли, лучше списки с весом фраз? Сейчас параметр weightedphrasemode установлен =1, показался более приемлемым, хотя не знаю может лучше присвоить 2. Тогда для явно плохих слов ставить вес сразу больше допущенного...
2. Возможно ли с помощью редиректора или в целом с помощью все системы, запретить все, и оставить только один поиск, семейный от яндекс например, и чтобы он автоматически включался? Вопрос конечно я должен сам проверить практически, материал есть и у вас, но просто чтобы время не терять, и точно знать что эта задача реализуема? И возможно ли это сделать для определенных ip?
На этом все, буду очень благодарен за ответы!Добавлено (20.02.2013, 21:00) ---------------------------------------------
Цитата (admin) Возможно ли с помощью редиректора или в целом с помощью все системы, запретить все, и оставить только один поиск, семейный от яндекс например, и чтобы он автоматически включался? Вопрос конечно я должен сам проверить практически, материал есть и у вас, но просто чтобы время не терять, и точно знать что эта задача реализуема? И возможно ли это сделать для определенных ip? с этим вопросм разобрался с помощью правил squid. Сделал так что со всех посиковиков идет перенаправление на http://search.skydns.ru/. Вот только с гуглом вопрос, он на https, я на сколько помню данный протокол не обрабатывается сквидом?
|
|
| |
Vito | Дата: Пятница, 22.02.2013, 13:52 | Сообщение # 34 |
Подполковник
Группа: Администраторы
Сообщений: 131
Статус: Offline
| Цитата (admin) с этим вопросм разобрался с помощью правил squid. Сделал так что со всех посиковиков идет перенаправление на http://search.skydns.ru/. Вот только с гуглом вопрос, он на https, я на сколько помню данный протокол не обрабатывается сквидом? Да, запрос не обрабатывается, https можно для определенных сайтов запретить средствами Squid, но тогда перестанут работать некоторые сервисы. На Habrahabr была статья о Squid и SSL, ссылки можете найти здесь http://dansguardian.ucoz.ru/news/squid_i_ssl/2013-02-08-21
|
|
| |
Murphy | Дата: Пятница, 11.10.2013, 12:02 | Сообщение # 35 |
Рядовой
Группа: Пользователи
Сообщений: 11
Статус: Offline
| Вопрос следующий, закралась где-то ошибка в конфиге. выдает такую ошибку при принятии изменений Цитата 2013/10/11 11:36:18| aclParseArpData: Bad ethernet address: '' По сути не критично, и так работает(squid просто игнорит её), но хотелось бы разобраться, почему так. по логу тоже ничего не видно: Добавлено (11.10.2013, 11:50) --------------------------------------------- 2013/10/11 11:39:52| Using Least Load store dir selection 2013/10/11 11:39:52| Set Current Directory to /var/spool/squid 2013/10/11 11:39:52| Loaded Icons. 2013/10/11 11:39:53| Accepting transparently proxied HTTP connections at 0.0.0.0, port 3128, FD 13. 2013/10/11 11:39:53| Accepting ICP messages at 0.0.0.0, port 3130, FD 14. 2013/10/11 11:39:53| HTCP Disabled. 2013/10/11 11:39:53| WCCP Disabled. 2013/10/11 11:39:53| Ready to serve requests. 2013/10/11 11:39:53| Done reading /var/spool/squid swaplog (1003 entries) 2013/10/11 11:39:53| Finished rebuilding storage from disk. 2013/10/11 11:39:53| 1003 Entries scanned 2013/10/11 11:39:53| 0 Invalid entries. 2013/10/11 11:39:53| 0 With invalid flags. 2013/10/11 11:39:53| 1003 Objects loaded. 2013/10/11 11:39:53| 0 Objects expired. 2013/10/11 11:39:53| 0 Objects cancelled. 2013/10/11 11:39:53| 0 Duplicate URLs purged. 2013/10/11 11:39:53| 0 Swapfile clashes avoided. 2013/10/11 11:39:53| Took 1.2 seconds ( 854.0 objects/sec). 2013/10/11 11:39:53| Beginning Validation Procedure 2013/10/11 11:39:53| Completed Validation Procedure 2013/10/11 11:39:53| Validated 1003 Entries 2013/10/11 11:39:53| store_swap_size = 22964k 2013/10/11 11:39:54| storeLateRelease: released 0 objectsСам сквид неоднократно перезапускал, отключал редиректоры, пулы, менял файлы с маками - ничего. тлен. Последнее что делал, это добавлял новые маки и добавил пулы. маки перепроверил. Что это может быть? Добавлено (11.10.2013, 12:01) --------------------------------------------- Добавлено (11.10.2013, 12:02) --------------------------------------------- А это вывод squid - reconfigure(принятие изменений без перезагрузки кальмара)
|
|
| |
Vito | Дата: Воскресенье, 13.10.2013, 01:45 | Сообщение # 36 |
Подполковник
Группа: Администраторы
Сообщений: 131
Статус: Offline
| Mac-адреса точно правильно написаны? может точка с запятой где-нибудь закралась. Или русская буква особенно С часто попадает, может пробел где закрался. Если в отдельном файле, то каждая запись на новой строке должна быть, без пробелов в начале и конце, хорошиq тон - оставлять несколько пустых строк после списка. Файл /etc/squid/acl/admin_user_mac точно существует? Squid может его читать?
|
|
| |
Murphy | Дата: Вторник, 22.10.2013, 09:05 | Сообщение # 37 |
Рядовой
Группа: Пользователи
Сообщений: 11
Статус: Offline
| Случилось чудо. Я просто скопировал один мак из одного файла в другой и все заработало как надо, русских букв не было, squid теперь работает без ошибок. Спасибо!
Я тут блог веду свой(копирую статьи). Там есть полезная информация по администрированию, если кому нужно. Доступно только для пользователейДобавлено (22.10.2013, 09:05) --------------------------------------------- Вопрос по пулам:
если у меня есть акл со списком пользователей я этому аклу ограничиваю скорость в 128 КБ/c,
то скорость 128 кб/с дается только аклу и пользователи просто ее делат между собой. Я правильно понял?
|
|
| |
andrewrogovar | Дата: Вторник, 02.09.2014, 07:49 | Сообщение # 38 |
Рядовой
Группа: Пользователи
Сообщений: 1
Статус: Offline
| К сожалению, не получается скачать редиректор. Контент-фильтр провайдера (вот ирония) блокирует. Можно его на почту мне выслать? andrewrogov@mail.ru И вопрос по нему. По-прежнему принцип - замена части запроса? А то вроде как сейчас с помощью куки файлов это осуществляется. Во всяком случае, у меня через urlregexplist не получается сейчас "(^http://[0-9a-z]+\.google\.[a-z]+[-/%.0-9a-z]*/search\?)"->"\1safe=on&"
|
|
| |