Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!

Ogłoszenie

Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.

#1  2014-04-29 11:02:26

  zbyszekgit - Użytkownik

zbyszekgit
Użytkownik
Zarejestrowany: 2014-04-29

Squid+Dansguardian - pomoc z iptables

Witam,

Postawiłem sobie w sieci serwer ze squidem + Dansguardian.
Chce tak skonfigurować proxy, żeby działo tylko dla tych użytkowników którym ustawie je w przeglądarce.
Wszystkie reguły co do blokowania/przepuszczania stron chce żeby były skonfigurowane w dansguardian.

Proszę o pomoc jako skonfigurować iptables.

Na chwile obecną jak w squid zmodyfikuje wpis http_access deny all na allow to wszystko działa
Jak zostawię na deny to squid zgłasza zablokowaną stornę tak jakby nie było komunikacji miedzy nim a dnasguardian.

Konfiguracja standardowa:
- squid: 3128
- dansguardian 8080


[b]SQUID[/b]

Kod:

##zdefiniowane obaszry sieci, ktore squid ma brac pod uwage

acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443 563
acl Safe_ports port 80          # http
acl Safe_ports port 21          # ftp
acl Safe_ports port 443 563     # https, snews
acl Safe_ports port 1025-65535  # unregistered ports
acl Safe_ports port 280         # http-mgmt
acl Safe_ports port 488         # gss-http
acl Safe_ports port 591         # filemaker
acl Safe_ports port 777         # multiling http
acl CONNECT method CONNECT
acl our_networks src 192.168.0.0/23 #nasza siec


##zezwalamy na doste do sieci odpowiednim obszarom
http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow our_networks
http_access deny all

##port, na ktorym dziala squid
http_port 3128

##pamiec dla squid
cache_mem 1024 MB

##maksmylany obiekt w pamieci
maximum_object_size_in_memory 256 KB

##metoda odswiezania cache dla pamieci RAM
memory_replacement_policy heap GDSF

##metoda odswiezania cache dla dysku
cache_replacement_policy heap LFUDA

##lokalizacja rozmiar ilosc katalogow i podkatalogow dla proxy
cache_dir aufs /mnt/sdb1 2000 16 256

##minimalny rozmiar object dla dysku
minimum_object_size 0 KB

##maksymalny rozmiar obiektu na dysku
maximum_object_size 500 MB

##poziomy, na ktorych ma nastepowac agresywniejsza wymiana cache
cache_swap_low 90
cache_swap_high 97

##lokalizacja logow
access_log /var/log/squid/access.log squid
cache_log /var/log/squid/cache.log
cache_store_log /var/log/squid/store.log

##rotacja logow
logfile_rotate 4

##maska klienta
client_netmask 255.255.255.0

##maksymalny rozmiar wysylanego naglowka
request_header_max_size 1 MB

##maksymalny rozmiar tresci zapytania
request_body_max_size 2 MB

##odrzuca niedokonczone poloczenia
half_closed_clients off

##czas zamkniecia/restartu squida
shutdown_lifetime 10 second

##uzytkownic uprawiony do korzystania z proxy
cache_effective_user proxy

##grupa uprawniona do uzywania cache
cache_effective_group proxy

##logi bledow
error_directory /var/log/squid/errors/Polish

##wsparcie dla dns
dns_defnames on

##adresy ip dns
dns_nameservers 213.241.79.38 213.241.79.37

##cos tam z ip
ipcache_size 10240
ipcache_low 90
ipcache_high 97

##buforowanie nazw domen
fqdncache_size 8192

##squid trzyma pamiec dla potencjalnego usera
memory_pools on

##limit zarezerwowanej pamieci
memory_pools_limit 100 MB


##odswiezanie plikow
##odswiezanie dla obrazkow
refresh_pattern -i \.(gif|tif|tiff|bmp|jpg|jpeg|png|ico) 1440 50% 10080
##odswiezanie dla obrazkow
refresh_pattern -i \.(wav|mp3|mp2|wmp|mid) 10080 50%  20160
##odswiezanie dokumentow
refresh_pattern -i \.(txt|pdf|doc|xls|docx|odf|ppt|pptx) 4320 50%  10080
##odswiezanie statycznych elementow stron
refresh_pattern -i \.(css|html|htm) 2880 50% 43200
##odswiezanie filmow
refresh_pattern -i \.(flv|swf|mp4|wmv|) 10080 70% 43200

[b]IPTABLES[/b]


Kod:

#!/bin/bash
 
  ### BEGIN INIT INFO
# Provides:          firewall.sh
# Required-Start:    $local_fs $remote_fs
# Required-Stop:     $local_fs $remote_fs
# Default-Start:     2 3 4 5
# Default-Stop:      0 1 6
# Short-Description: Start daemon at boot time
# Description:       Enable service provided by daemon.
### END INIT INFO  

# CZYSZCZENIE STARYCH REGUŁ
iptables -F
iptables -X
iptables -F -t nat
iptables -X -t nat
iptables -F -t filter
iptables -X -t filter
 
# USTAWIENIE POLITYKI DZIAŁANIA
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT

# Komunikacja Dansguardian ze Squidem
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

# Przepuszczanie pakietow przez router

/bin/echo 1 > /proc/sys/net/ipv4/ip_forward 

#Przekierowujemy port 80 na DansGuardiana
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT
--to-ports 3128
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 3128 -j REDIRECT
--to-ports 8080

Ostatnio edytowany przez zbyszekgit (2014-04-29 13:53:42)

Offline

 

#2  2014-04-29 17:19:09

  meciarz - Użytkownik

meciarz
Użytkownik
Zarejestrowany: 2010-06-08

Re: Squid+Dansguardian - pomoc z iptables

witaj,
kolego na początku to się doprecyzuj czy serwer ten jest również bramą internetową i proxy ma działać jako transparent proxy czy tylko proxy (standalone) w sieci LAN ze skonfigurowaną przeglądarką aby używała proxy, czy ma to być dostęp per komputer (po adresie IP) czy per user (po loginie, w domenie AD...) czy niechciane połączenia z komputerów ma odrzucać squid czy mają być blokowane na firewallu...
To co napisałeś w wyżej to miszmasz

Ostatnio edytowany przez meciarz (2014-04-29 17:20:10)

Offline

 

#3  2014-04-30 07:16:30

  zbyszekgit - Użytkownik

zbyszekgit
Użytkownik
Zarejestrowany: 2014-04-29

Re: Squid+Dansguardian - pomoc z iptables

[b]meciarz[/b] dzięki za podjęcie tematu. Już opisuje co bym chciał zdziałać;)

a) Serwer nie jest brama internetowa - proxy ma działać w sieci LAN ze skonfigurowana przeglądarka.
b) Co do dostępu per user to taka konfiguracja docelowo mnie bardzo interesuje...;) próbowałem ja skonfigurować ale miałem problemy. Dlatego na razie chciałbym ustawić dla adresu IP czyli komputerów z mojej sieci 192.168.0.0-192.168.1.254/255.255.254.0. Chcę żeby komputery z tego zakresu miały dostęp do proxy a reszta deny.
c) Chciałbym aby squid pełnił role tylko proxy a wszystkie reguły co do blokowania były konfigurowane w Dansguardian.

Offline

 

#4  2014-04-30 07:41:44

  qlemik - Użytkownik

qlemik
Użytkownik
Zarejestrowany: 2007-11-27

Re: Squid+Dansguardian - pomoc z iptables

Wszystko jest tutaj

Kod:

http://dansguardian.pl/

Ostatnio edytowany przez qlemik (2014-04-30 07:45:23)

Offline

 

#5  2014-04-30 08:48:33

  zbyszekgit - Użytkownik

zbyszekgit
Użytkownik
Zarejestrowany: 2014-04-29

Re: Squid+Dansguardian - pomoc z iptables

1. Niestety problem z wpisem w iptables dalej mnie męczy...tzn muszę mieć w squid.conf dodana regułę http_access allow all
Jak już poradzę sobie z ta konfiguracja to chciałbym sprawdzić pkt 2

2. Chciałbym ustawić dostęp do Internetu dla konkretnego usera z domeny AD.
Dokładnie chodzi mi o coś takiego:

Kod:

http://sp37.bydgoszcz.pl/it/?m=201304

Chciałbym, zeby użytkownicy z grupy InternetUsers w OU Users mieli dostęp do Proxy a osoby nie dodane nie.

U mnie konfiguracja jest następująca:
Kontroler domeny: ece509.ece.local (192.168.0.9)
Serwer proxy: ecv027 (192.168.1.92)

Teraz moje pytanie jak skonfigurować squid.conf??
Czy wystarczy dodać sam wpis:

Kod:

# autoryzacja użytkowników AD którzy należa do grupy "InternetUsers" w AD
auth_param ntlm program /usr/bin/ntlm_auth –helper-protocol=squid-2.5-ntlmssp –require-membership-of="TEST+InternetUsers"
auth_param basic program /usr/bin/ntlm_auth –helper-protocol=squid-2.5-basic –require-membership-of="TEST+InternetUsers"

[b]Plik /etc/krb5.conf[/b]

Kod:

[logging]
default = FILE:SYSLOG:NOTICE:DAEMON
kdc = FILE:/var/log/krb5/krb5kdc.log
admin_server = FILE:/var/log/krb5/kadmind.log[libdefaults]
default_realm = ECE.LOCAL
default_tgs_enctypes = arcfour-hmac-md5 des-cbc-crc des-cbc-md5
des3-hmac-sha1
default_tkt_enctypes = arcfour-hmac-md5 des-cbc-crc des-cbc-md5
des3-hmac-sha1
clockskew = 300
[realms]
ECE.LOCAL = {
kdc = 192.168.0.9
default_domain = ece.local
admin_server = 192.168.0.9
}
ECE.LOCAL = {
kdc = 192.168.0.9
default_domain = ece.local
admin_server = ece509.ece.local
}
[domain_realm]
ece.local = ECE.LOCAL
.ece.local = ECE.LOCAL
[appdefaults]
pam = {
debug = false
ticket_lifetime = 1d
renew_lifetime = 1d
forwardable = true
proxiable = false
retain_after_close = false
minimum_uid = 500
try_first_pass = true
external = sshd
use_shmem = sshd
clockskew = 300
}

[b] /etc/nsswitch.conf[/b]

Kod:

# /etc/nsswitch.conf
#
# Example configuration of GNU Name Service Switch functionality.
# If you have the `glibc-doc-reference' and `info' packages
installed, try:
# `info libc "Name Service Switch"' for information about
this file.

passwd:         files winbind
group:          files winbindhosts: files dns
shadow:         files winbind

hosts:          files dns
networks:       files

protocols:      db files
services:       db files
ethers:         db files
rpc:            db files

netgroup:       nis

[b]/etc/samba/smb.conf[/b]

Kod:

[global]
workgroup = ECE
realm = ECE.LOCAL
interfaces = 192.168.1.92/24
bind interfaces only = Yes
security = ads
map to guest = Bad User
password server = 192.168.0.9
printcap name = cups
logon path = \\%L\profiles\.msprofile
logon drive = P:
logon home = \\%L\%U\.9xprofile
local master = No
wins server = 192.168.0.9
remote announce = 192.168.1.92
winbind uid = 1000-20000
winbind gid = 1000-20000
winbind separator = +
winbind enum users = Yes
winbind enum groups = Yes
winbind use default domain = Yes
winbind trusted domains only = Yes
winbind refresh tickets = Yes
cups options = raw

[b]/etc/hosts[/b]

Kod:

127.0.0.1       ecv027.ece.local        ecv027
192.168.0.9     ece509.ece.local        ece509
192.168.1.92    ecv027.ece.local        ecv027

# The following lines are desirable for IPv6 capable hosts
::1     localhost ip6-localhost ip6-loopback
ff02::1 ip6-allnodes
ff02::2 ip6-allrouters

[b]Linux w AD[/b]

Kod:

root@ecv027:/etc# kinit administrator@ECE.LOCAL
Password for administrator@ECE.LOCAL: 
root@ecv027:/etc# klist
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: administrator@ECE.LOCAL

Valid starting       Expires              Service principal
30.04.2014 08:32:26  30.04.2014 18:32:34  krbtgt/ECE.LOCAL@ECE.LOCAL
    renew until 01.05.2014 08:32:26
root@ecv027:/etc# wbinfo -t
checking the trust secret for domain ECE via RPC calls succeeded

Przy okazji zapytam jeszcze o Dansguardian.
Jeśli chce wygenerować log przez webmina z przystawki DansGuardian Web Content Filter ->  Analyze Logfiles dla konkretnego adresu IP dostaje komunikat

Kod:

Warning - it appears 'anonymizelogs=on' was set in dansguardian.conf so Source Computer addresses were not logged
Warning - it appears either 'anonymizelogs=on' was set in dansguardian.conf or no "auth" methods were enabled so Individual names were not logged

W dansguardian.conf zakomentowałem opcję anonymizelogs=on ale to nie pomogło jaka może być jeszcze przyczyna?
Dodam, że w logach z dansa IP sie pojawiaj w squid 127.0.0.0 lub poźniej 192.168.1.0

Ostatnio edytowany przez zbyszekgit (2014-04-30 11:09:02)

Offline

 

#6  2014-04-30 11:01:45

  meciarz - Użytkownik

meciarz
Użytkownik
Zarejestrowany: 2010-06-08

Re: Squid+Dansguardian - pomoc z iptables

skoro ma działać jako serwer w sieci LAN, to na początku, jeśli chodzi o iptables, to ten kawałek jest niepotrzebny:

Kod:

# Przepuszczanie pakietow przez router

/bin/echo 1 > /proc/sys/net/ipv4/ip_forward 

#Przekierowujemy port 80 na DansGuardiana
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT
--to-ports 3128
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 3128 -j REDIRECT
--to-ports 8080

a tak w ogóle to i tak cały nie ma sensu, bo domyślne polityki masz na ACCEPT, więc tak jak byś go nie włączał.

Jeżeli chodzi zaś o autoryzację użytkowników AD w squidzie:
1) Konfiguracja Kerberosa (/etc/krb5.conf)
2) Dołączenie serwera do AD (samba)
3) Konfiguracja squida
4) Konfiguracja Dansguardiana

Skoro kinit i wbinfo -t wskazują na poprawną konfigurację pkt 1 i 2, to zakładam że jest ok. Zacznij na razie od poprawnej konfiguracji samego squida z autoryzacją użytkowników, a dopiero później baz się dalej z dansguardianem.

Pomocne ci będą:
[url]http://wiki.squid-cache.org/Features/Authentication[/url]
[url]http://wiki.squid-cache.org/ConfigExamples/Authenticate/Ntlm[/url]
[url]http://www.cyberciti.biz/faq/squid-ntlm-authentication-configuration-howto/[/url]
[url]http://www.flatmtn.com/article/setting-squid-ntlm-auth[/url]
[url]http://wiki.squid-cache.org/action/show//ConfigExamples/Authenticate/Groups?action=show&redirect=ConfigExamples%2FAuthenticate%2FNtlmWithGroups[/url]
[url]http://wiki.squid-cache.org/ConfigExamples/Authenticate/Kerberos[/url]

Jeśli chcesz używać ntlm_auth to zwóć uwagę, aby squid miał prawo do czegoś takiego jak: /var/db/samba/winbindd_privileged/pipe (nie jestem pewien czy podałem prawidłową ścieżkę, bo u siebie używam freebsd i bez dansguardiana).

Dodanie auth_param to jedno, ale jeszcze potrzebne będą Ci odpowiednie

Kod:

acl AuthorizedUsers proxy_auth REQUIRED
..
http_access allow all AuthorizedUsers

Przeczytaj ZE ZROZUMIENIEM podane linki, znajdziesz tam wszystko co potrzebujesz odnośnie squida.

Offline

 

#7  2014-04-30 14:05:32

  zbyszekgit - Użytkownik

zbyszekgit
Użytkownik
Zarejestrowany: 2014-04-29

Re: Squid+Dansguardian - pomoc z iptables

Dziękuję za linki - troszkę sobie poczytałem;)
Ale niestety po skonfigurowaniu squida dostaje w przeglądarce: [i]Połączenie zostało zresetowane. Połączenie z serwerem zostało zresetowane podczas wczytywania strony.[/i]
Poniżej config squida. Błąd ewidentnie leży w sekcji AD. Bo jak ja usunę to działa prawidłowo.
Proszę i pomoc - gdzie tkwi błąd?

[b]a) zmieniłem upraweninia do:  winbindd_priv[/b]

Kod:

root@ecv027:/var/run/samba# ls -l
razem 976
-rw-r--r-- 1 root root           40200 kwi 30 14:28 brlock.tdb
-rw-r--r-- 1 root root             696 kwi 30 14:28 connections.tdb
-rw-r--r-- 1 root root          425984 kwi 30 14:29 gencache_notrans.tdb
-rw-r--r-- 1 root root          425984 kwi 30 14:28 gencache.tdb
-rw-r--r-- 1 root root           40200 kwi 30 14:28 locking.tdb
-rw------- 1 root root           12288 kwi 30 14:29 messages.tdb
-rw------- 1 root root             696 kwi 30 14:29 mutex.tdb
-rw-r--r-- 1 root root               5 kwi 30 14:28 nmbd.pid
-rw-r--r-- 1 root root             696 kwi 30 14:28 notify_onelevel.tdb
-rw-r--r-- 1 root root             696 kwi 30 14:28 notify.tdb
-rw-r--r-- 1 root root           12288 kwi 30 14:29 printer_list.tdb
-rw-r--r-- 1 root root            8192 kwi 30 14:29 serverid.tdb
-rw-r--r-- 1 root root             696 kwi 30 14:28 sessionid.tdb
-rw-r--r-- 1 root root               5 kwi 30 14:28 smbd.pid
drwxr-xr-x 2 root root              60 kwi 30 14:29 smb_krb5
srwxrwxrwx 1 root root               0 kwi 30 14:28 unexpected
-rw-r--r-- 1 root root               5 kwi 30 14:29 winbindd.pid
drwxr-x--- 2 root winbindd_priv     60 kwi 30 14:29 winbindd_privileged

[b]b) usunąłem w squid.conf wpis:  cache_effective_group[/b]

[b]c) konfig squida[/b]

Kod:

##zdefiniowane obaszry sieci, ktore squid ma brac pod uwage

acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443 563 8097
acl Safe_ports port 80          # http
acl Safe_ports port 21          # ftp
acl Safe_ports port 443 563     # https, snews
acl Safe_ports port 1025-65535  # unregistered ports
acl Safe_ports port 280         # http-mgmt
acl Safe_ports port 488         # gss-http
acl Safe_ports port 591         # filemaker
acl Safe_ports port 777         # multiling http
acl CONNECT method CONNECT
acl our_networks src 192.168.0.0/23 #nasza siec

#########blokowane serwisy na proxy
#acl deny_site url_regex facebook youtube

###########################AD##########################
auth_param ntlm program /usr/bin/ntlm_auth–helper-protocol=squid-2.5-ntlmssp–require-membership-of="ECE+InternetUsers"
auth_param basic program /usr/bin/ntlm_auth–helper-protocol=squid-2.5-basic–require-membership-of="ECE+InternetUsers"
auth_param basic children 30
auth_param ntlm children 30
acl ntlm_users proxy_auth REQUIRED
http_access allow localhost
http_access our_networks ntlm_users
http_access allow ntlm_users
###########################AD#########################
##zezwalamy na doste do sieci odpowiednim obszarom
http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow our_networks
########http_access deny all
########http_access deny deny_site
http_access allow all

##logowanie IP hostów zamiast 127.0.0.1
follow_x_forwarded_for allow localhost

##port, na ktorym dziala squid
http_port 3128

##pamiec dla squid
cache_mem 1024 MB

##maksmylany obiekt w pamieci
maximum_object_size_in_memory 256 KB
##zezwalamy na doste do sieci odpowiednim obszarom
http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow our_networks
########http_access deny all
########http_access deny deny_site
http_access allow all

##logowanie IP hostów zamiast 127.0.0.1
follow_x_forwarded_for allow localhost

##port, na ktorym dziala squid
http_port 3128

##pamiec dla squid
cache_mem 1024 MB

##maksmylany obiekt w pamieci
maximum_object_size_in_memory 256 KB
##zezwalamy na doste do sieci odpowiednim obszarom
http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow our_networks
########http_access deny all
########http_access deny deny_site
http_access allow all

##logowanie IP hostów zamiast 127.0.0.1
follow_x_forwarded_for allow localhost

##port, na ktorym dziala squid
http_port 3128

##pamiec dla squid
cache_mem 1024 MB

##maksmylany obiekt w pamieci
maximum_object_size_in_memory 256 KB
##metoda odswiezania cache dla pamieci RAM
memory_replacement_policy heap GDSF

##metoda odswiezania cache dla dysku
cache_replacement_policy heap LFUDA

##lokalizacja rozmiar ilosc katalogow i podkatalogow dla proxy
cache_dir aufs /mnt/sdb1 2000 16 256

##minimalny rozmiar object dla dysku
minimum_object_size 0 KB

##maksymalny rozmiar obiektu na dysku
maximum_object_size 500 MB

##poziomy, na ktorych ma nastepowac agresywniejsza wymiana cache
cache_swap_low 85
cache_swap_high 95

##lokalizacja logow
access_log /var/log/squid/access.log squid
cache_log /var/log/squid/cache.log
cache_store_log /var/log/squid/store.log

##rotacja logow
logfile_rotate 4

##maska klienta
client_netmask 255.255.255.0

##maksymalny rozmiar wysylanego naglowka
request_header_max_size 1 MB

##maksymalny rozmiar tresci zapytania
request_body_max_size 2 MB

##odrzuca niedokonczone poloczenia
half_closed_clients off
##czas zamkniecia/restartu squida
shutdown_lifetime 10 second

##uzytkownic uprawiony do korzystania z proxy
cache_effective_user proxy

##grupa uprawniona do uzywania cache
cache_effective_group proxy

##logi bledow
error_directory /var/log/squid/errors/Polish

##wsparcie dla dns
dns_defnames on

##adresy ip dns
dns_nameservers 213.241.79.38 213.241.79.37

##cos tam z ip
ipcache_size 10240
ipcache_low 90
ipcache_high 97

##buforowanie nazw domen
fqdncache_size 8192

##squid trzyma pamiec dla potencjalnego usera
memory_pools on

##limit zarezerwowanej pamieci
memory_pools_limit 100 MB


##odswiezanie plikow
##odswiezanie dla obrazkow
refresh_pattern -i \.(gif|tif|tiff|bmp|jpg|jpeg|png|ico) 1440 50% 10080
##odswiezanie dla obrazkow
refresh_pattern -i \.(wav|mp3|mp2|wmp|mid) 10080 50%  20160
##odswiezanie dokumentow
refresh_pattern -i \.(txt|pdf|doc|xls|docx|odf|ppt|pptx) 4320 50%  10080
##odswiezanie statycznych elementow stron
refresh_pattern -i \.(css|html|htm) 2880 50% 43200
##odswiezanie filmow
refresh_pattern -i \.(flv|swf|mp4|wmv|) 10080 70% 43200

Ostatnio edytowany przez zbyszekgit (2014-04-30 14:37:40)

Offline

 

#8  2014-05-03 22:09:31

  meciarz - Użytkownik

meciarz
Użytkownik
Zarejestrowany: 2010-06-08

Re: Squid+Dansguardian - pomoc z iptables

ad a)
co masz na myśli pisząc zmieniłem uprawnienia do winbindd_priv?
widze

Kod:

drwxr-x--- 2 root winbindd_priv     60 kwi 30 14:29 winbindd_privileged

a czy dodałeś grupę z jaką będziesz uruchamiał squida do grupy winbindd_priv?

Kod:

gpasswd -a proxy winbindd_priv

ad b)
no akurat to ma zostać jak było, ma to związek z pkt a, czyli ta linijka ma się znaleźć w konfigu

Kod:

cache_effective_group proxy

ad c)
czy to błąd podczas wklejania, czy żartujesz sobie z tym konfigiem? te same linie powtarzają się po kilka razy w nim! Zrób z nim porządek i wklej prawidłowy, bo nikt ci nie pomoże

Offline

 

#9  2014-05-05 11:15:06

  zbyszekgit - Użytkownik

zbyszekgit
Użytkownik
Zarejestrowany: 2014-04-29

Re: Squid+Dansguardian - pomoc z iptables

AD 1. Myślę, że tu jest OK. User proxy należy do winbindd_priv

Kod:

root@ecv027:/var/run/samba# groups proxy
proxy : proxy winbindd_priv

AD 2. Dodałem wpis. Teraz już rozumiem jego zasadność;)

Kod:

cache_effective_group proxy

AD 3. Przepraszam popełniłem błąd przy wklejaniu.
Proszę o wskazówki co może być jeszcze nie tak?

Kod:

##zdefiniowane obaszry sieci, ktore squid ma brac pod uwage

acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443 563 8097
acl Safe_ports port 80          # http
acl Safe_ports port 21          # ftp
acl Safe_ports port 443 563     # https, snews
acl Safe_ports port 1025-65535  # unregistered ports
acl Safe_ports port 280         # http-mgmt
acl Safe_ports port 488         # gss-http
acl Safe_ports port 591         # filemaker
acl Safe_ports port 777         # multiling http
acl CONNECT method CONNECT
acl our_networks src 192.168.0.0/23 #nasza siec

###########################AD##########################
auth_param ntlm program /usr/bin/ntlm_auth–helper-protocol=squid-2.5-ntlmssp–require-membership-of="ECE+InternetUsers"
auth_param basic program /usr/bin/ntlm_auth–helper-protocol=squid-2.5-basic–require-membership-of="ECE+InternetUsers"
auth_param basic children 30
auth_param ntlm children 30
acl ntlm_users proxy_auth REQUIRED
http_access allow localhost
http_access our_networks ntlm_users
http_access allow ntlm_users
###########################AD#########################

##zezwalamy na doste do sieci odpowiednim obszarom
http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow our_networks
http_access allow all

##logowanie IP hostów zamiast 127.0.0.1
follow_x_forwarded_for allow localhost

##port, na ktorym dziala squid
http_port 3128

##pamiec dla squid
cache_mem 1024 MB

##maksmylany obiekt w pamieci
maximum_object_size_in_memory 256 KB

##metoda odswiezania cache dla pamieci RAM
memory_replacement_policy heap GDSF

##metoda odswiezania cache dla dysku
cache_replacement_policy heap LFUDA

##lokalizacja rozmiar ilosc katalogow i podkatalogow dla proxy
cache_dir aufs /mnt/sdb1 2000 16 256

##minimalny rozmiar object dla dysku
minimum_object_size 0 KB

##maksymalny rozmiar obiektu na dysku
maximum_object_size 500 MB

##poziomy, na ktorych ma nastepowac agresywniejsza wymiana cache
cache_swap_low 85
cache_swap_high 95

##lokalizacja logow
access_log /var/log/squid/access.log squid
cache_log /var/log/squid/cache.log
cache_store_log /var/log/squid/store.log

##rotacja logow
logfile_rotate 4

##maska klienta
client_netmask 255.255.254.0

##maksymalny rozmiar wysylanego naglowka
request_header_max_size 1 MB

##maksymalny rozmiar tresci zapytania
request_body_max_size 2 MB

##odrzuca niedokonczone poloczenia
half_closed_clients off

##czas zamkniecia/restartu squida
shutdown_lifetime 10 second

##uzytkownic uprawiony do korzystania z proxy
cache_effective_user proxy

##grupa uprawniona do uzywania cache
cache_effective_group proxy

##logi bledow
error_directory /var/log/squid/errors/Polish

##wsparcie dla dns
dns_defnames on

##adresy ip dns
dns_nameservers 213.241.79.38 213.241.79.37

##cos tam z ip
ipcache_size 10240
ipcache_low 90
ipcache_high 97
##buforowanie nazw domen
fqdncache_size 8192

##squid trzyma pamiec dla potencjalnego usera
memory_pools on

##limit zarezerwowanej pamieci
memory_pools_limit 100 MB


##odswiezanie plikow
##odswiezanie dla obrazkow
refresh_pattern -i \.(gif|tif|tiff|bmp|jpg|jpeg|png|ico) 1440 50% 10080
##odswiezanie dla obrazkow
refresh_pattern -i \.(wav|mp3|mp2|wmp|mid) 10080 50%  20160
##odswiezanie dokumentow
refresh_pattern -i \.(txt|pdf|doc|xls|docx|odf|ppt|pptx) 4320 50%  10080
##odswiezanie statycznych elementow stron
refresh_pattern -i \.(css|html|htm) 2880 50% 43200
##odswiezanie filmow
refresh_pattern -i \.(flv|swf|mp4|wmv|) 10080 70% 43200

Offline

 

#10  2014-05-05 11:30:06

  meciarz - Użytkownik

meciarz
Użytkownik
Zarejestrowany: 2010-06-08

Re: Squid+Dansguardian - pomoc z iptables

piwersze co rzuca się w oczy to brak spacji w lini komend programu ntlm, raczej powinno być:

Kod:

auth_param ntlm program /usr/bin/ntlm_auth -–helper-protocol=squid-2.5-ntlmssp -–require-membership-of="ECE+InternetUsers"
auth_param basic program /usr/bin/ntlm_auth -–helper-protocol=squid-2.5-basic -–require-membership-of="ECE+InternetUsers"

po poprawieniu możesz jeszcze dać

Kod:

squid -k parse

lub przejrzeć log cache.log o co się squid dopomina

Ostatnio edytowany przez meciarz (2014-05-06 15:55:27)

Offline

 

#11  2014-05-06 15:00:20

  zbyszekgit - Użytkownik

zbyszekgit
Użytkownik
Zarejestrowany: 2014-04-29

Re: Squid+Dansguardian - pomoc z iptables

OK. Poprawiłem spacje. Bezpośrednio po restarcie nie zgłasza błędów.

Kod:

root@ecv027:/# /etc/init.d/squid restart
[ ok ] Restarting Squid HTTP proxy: squid.
root@ecv027:/# squid -k parse
root@ecv027:/#

W cache.log pojawia się warning. Gdzieś mi brakuje poświadczeń tylko nie bardzo wiem gdzie...?

Kod:

Help options:
  -?, --help                                       Show this help message
      --usage                                      Display brief usage
message

Common samba config:
      --configfile=CONFIGFILE                      Use alternate
configuration
                                                   file

Common samba options:
  -V, --version                                    Print version
2014/05/05 13:27:10| Ready to serve requests.
2014/05/05 13:27:10| WARNING: ntlmauthenticator #1 (FD 7) exited
2014/05/05 13:27:10| WARNING: ntlmauthenticator #2 (FD 8) exited
2014/05/05 13:27:10| WARNING: ntlmauthenticator #3 (FD 9) exited
2014/05/05 13:27:10| WARNING: ntlmauthenticator #4 (FD 10) exited
2014/05/05 13:27:10| WARNING: ntlmauthenticator #5 (FD 11) exited
2014/05/05 13:27:10| WARNING: ntlmauthenticator #6 (FD 12) exited
2014/05/05 13:27:10| WARNING: ntlmauthenticator #7 (FD 13) exited
2014/05/05 13:27:10| WARNING: ntlmauthenticator #8 (FD 14) exited
2014/05/05 13:27:10| WARNING: ntlmauthenticator #9 (FD 15) exited
2014/05/05 13:27:10| WARNING: ntlmauthenticator #11 (FD 17) exited
2014/05/05 13:27:10| WARNING: ntlmauthenticator #10 (FD 16) exited
2014/05/05 13:27:10| WARNING: ntlmauthenticator #12 (FD 18) exited
2014/05/05 13:27:10| WARNING: ntlmauthenticator #13 (FD 19) exited
2014/05/05 13:27:10| WARNING: ntlmauthenticator #14 (FD 20) exited
2014/05/05 13:27:10| WARNING: ntlmauthenticator #16 (FD 22) exited
2014/05/05 13:27:10| Too few ntlmauthenticator processes are running
username must be specified!
Usage: [OPTION...]
      --helper-protocol=helper protocol to use     operate as a stdio-based
                                                   helper
      --username=STRING                            username
      --domain=STRING                              domain name
      --workstation=STRING                         workstation
      --challenge=STRING                           challenge (HEX encoded)
      --lm-response=STRING                         LM Response to the
                                                   challenge (HEX encoded)
      --nt-response=STRING                         NT or NTLMv2 Response to
                                                   the challenge (HEX
encoded)
      --password=STRING                            User's plaintext
password
      --request-lm-key                             Retrieve LM session key
      --request-nt-key                             Retrieve User (NT)
session
                                                   key
      --use-cached-creds                           Use cached credentials
if
                                                   no password is given
      --diagnostics                                Perform diagnostics on
the
                                                   authentication chain
      --require-membership-of=STRING               Require that a user be a
                                                   member of this group
                                                   (either name or SID) for
                                                   authentication to
succeed
      --pam-winbind-conf=STRING                    Require that request
must
                                                   set
 WBFLAG_PAM_CONTACT_TRUSTDOM
                                                   when krb5 auth is
required

Help options:
  -?, --help                                       Show this help message
      --usage                                      Display brief usage
message

Common samba config:
      --configfile=CONFIGFILE                      Use alternate
configuration
                                                   file

Common samba options:
  -V, --version                                    Print version
FATAL: The ntlmauthenticator helpers are crashing too rapidly, need help!
Squid Cache (Version 2.7.STABLE9): Terminated abnormally.
CPU Usage: 0.020 seconds = 0.008 user + 0.012 sys
Maximum Resident Size: 23152 KB
Page faults with physical i/o: 0
Memory usage for squid via mallinfo():
        total space in arena:    2988 KB
        Ordinary blocks:         2864 KB      2 blks
        Small blocks:               0 KB      1 blks
        Holding blocks:           528 KB      2 blks
        Free Small blocks:          0 KB
        Free Ordinary blocks:     123 KB
        Total in use:            3392 KB 96%
        Total free:               123 KB 3%
username must be specified!

Usage: [OPTION...]
      --helper-protocol=helper protocol to use     operate as a stdio-based
                                                   helper
      --username=STRING                            username
      --domain=STRING                              domain name
      --workstation=STRING                         workstation
      --challenge=STRING                           challenge (HEX encoded)
      --lm-response=STRING                         LM Response to the
Squid Cache (Version 2.7.STABLE9): Terminated abnormally.
CPU Usage: 0.020 seconds = 0.008 user + 0.012 sys
Maximum Resident Size: 23152 KB
Page faults with physical i/o: 0
Memory usage for squid via mallinfo():
        total space in arena:    2988 KB
        Ordinary blocks:         2864 KB      2 blks
        Small blocks:               0 KB      1 blks
        Holding blocks:           528 KB      2 blks
        Free Small blocks:          0 KB
        Free Ordinary blocks:     123 KB
        Total in use:            3392 KB 96%
        Total free:               123 KB 3%
username must be specified!

Usage: [OPTION...]
      --helper-protocol=helper protocol to use     operate as a stdio-based
                                                   helper
      --username=STRING                            username
      --domain=STRING                              domain name
      --workstation=STRING                         workstation
      --challenge=STRING                           challenge (HEX encoded)
      --lm-response=STRING                         LM Response to the
                                                   challenge (HEX encoded)
      --nt-response=STRING                         NT or NTLMv2 Response to
                                                   the challenge (HEX
encoded)
      --password=STRING                            User's plaintext
password
      --request-lm-key                             Retrieve LM session key
      --request-nt-key                             Retrieve User (NT)
session
                                                   key
      --use-cached-creds                           Use cached credentials
if
                                                   no password is given
      --diagnostics                                Perform diagnostics on
the
                                                   authentication chain
      --require-membership-of=STRING               Require that a user be a
                                                   member of this group
                                                   (either name or SID) for
                                                   authentication to
succeed
      --pam-winbind-conf=STRING                    Require that request
must
                                                   set
                                                  
WBFLAG_PAM_CONTACT_TRUSTDOM
                                                   when krb5 auth is
required
Help options:
  -?, --help                                       Show this help message
      --usage                                      Display brief usage
message

Common samba config:
      --configfile=CONFIGFILE                      Use alternate
configuration
                                                   file

Common samba options:
  -V, --version                                    Print version
username must be specified!

Usage: [OPTION...]
      --helper-protocol=helper protocol to use     operate as a stdio-based
                                                   helper
      --username=STRING                            username
      --domain=STRING                              domain name
      --workstation=STRING                         workstation
      --challenge=STRING                           challenge (HEX encoded)
      --lm-response=STRING                         LM Response to the
                                                   challenge (HEX encoded)
      --nt-response=STRING                         NT or NTLMv2 Response to
                                                   the challenge (HEX
encoded)
      --password=STRING                            User's plaintext
password
      --request-lm-key                             Retrieve LM session key
      --request-nt-key                             Retrieve User (NT)
session
                                                   key
      --use-cached-creds                           Use cached credentials
if
                                                   no password is given
      --diagnostics                                Perform diagnostics on
the
                                                   authentication chain
      --require-membership-of=STRING               Require that a user be a
                                                   member of this group
                                                   (either name or SID) for
                                                   authentication to
succeed
      --pam-winbind-conf=STRING                    Require that request
must
Help options:
  -?, --help                                       Show this help message
      --usage                                      Display brief usage
message

Common samba config:
      --configfile=CONFIGFILE                      Use alternate
configuration
                                                   file

Common samba options:
  -V, --version                                    Print version

Ostatnio edytowany przez zbyszekgit (2014-05-06 15:11:06)

Offline

 

#12  2014-05-06 15:14:30

  meciarz - Użytkownik

meciarz
Użytkownik
Zarejestrowany: 2010-06-08

Re: Squid+Dansguardian - pomoc z iptables

a jaką jeszcze wersję squida masz u siebie, ja akurat testowo zainstalowałem 3.1.20, więc polecenie w systemie to squid3
Masz błąd w składni ntlm_auth (powinny być dwa myślniki), np działająca u mnie testowo:

Kod:

auth_param ntlm program /usr/bin/ntlm_auth --domain=TEST --helper-protocol=squid-2.5-ntlmssp --require-membership-of="TEST\\Internet"

U ciebie, w zależności od konfiguracji samby, w miejscu "TEST\\Internet" może być "TEST+Internet", więc sobie dopasuj.
Generalnie, to chyba squida widzisz pierwszy raz, skoro masz z nim takie problemy... ale myślę że jakoś przebrniemy

Offline

 

#13  2014-05-07 07:26:04

  zbyszekgit - Użytkownik

zbyszekgit
Użytkownik
Zarejestrowany: 2014-04-29

Re: Squid+Dansguardian - pomoc z iptables

Wersja zainstalowanego squida:

Kod:

||/ Nazwa          Wersja       Architektura Opis
+++-==============-============-============-=================================
ii  squid          2.7.STABLE9- amd64        Internet object cache WWW proxy

Po Twoich uwagach chyba jestem już coraz bliżej. Obecna wersja confa:

Kod:

###########################AD##########################
auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp --require-membership-of="ECE+InternetUsers"
auth_param basic program /usr/bin/ntlm_aut --helper-protocol=squid-2.5-basic --require-membership-of="ECE+InternetUsers"
auth_param basic children 30
auth_param ntlm children 30
acl ntlm_users proxy_auth REQUIRED
http_access allow localhost
http_access allow our_networks ntlm_users
http_access allow ntlm_users
###########################AD#########################

Teraz już w momencie wpisania  strony internetowej użytkownik jest proszony o uwierzytelnienie.
Tylko zastanawia mnie dlaczego pierwsze jest "moz-proxy://192.168.1.92:8080" a potem "Squid proxy-caching web serwer"??
Wpisując nazwę użytkownika i hasło dodanego do grupy InternetUsers w domenie ECE nie mogę się uwierzytelnić.
Aha i próbowałem we Twojej rady "TEST\\Internet" lub "TEST+Internet" ale zawsze pojawiał się taki sam komunikat.

[img]http://imageshack.com/a/img843/6062/3mfa.png[/img]

[img]http://imageshack.com/a/img841/1640/i4ki.png[/img]

To co mojej znajomości squida to masz rację - po raz pierwszy się z nim spotykam;) Ale staram się od podstaw wszystko sobie skonfigurować, żeby potem wiedzieć jak rozwiązywać ewentualne problemy;)

Offline

 

#14  2014-05-07 10:29:50

  meciarz - Użytkownik

meciarz
Użytkownik
Zarejestrowany: 2010-06-08

Re: Squid+Dansguardian - pomoc z iptables

widzę, że na proxy łączysz się na port 8080, olej na razie dansguardiana i opanuj samego squida. puść to na port 3128.
Jeśli chcesz sprawdzić czy poprawnie samba uwierzytelnia użytkownika w domenie, to możesz:

Kod:

wbinfo -a login

oraz dla helpera ntlm:

Kod:

echo "login haslo" | /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic --require-membership-of="TEST\Internet"

Powinieneś otrzymać odpowiedź OK, jeśli się nie uda to będzie ERR

Ostatnio edytowany przez meciarz (2014-05-07 10:31:18)

Offline

 

#15  2014-05-07 10:46:20

  zbyszekgit - Użytkownik

zbyszekgit
Użytkownik
Zarejestrowany: 2014-04-29

Re: Squid+Dansguardian - pomoc z iptables

Kod:

root@ecv027:/# wbinfo -a moj_login
Enter moj_login's password: 
plaintext password authentication succeeded
Enter moj_login's password: 
challenge/response password authentication succeeded

Po wykonaniu drugiego polecenia również otrzymałem poprawna odpowiedź: OK

Kod:

root@ecv027:/# echo "moj_login moje_haslo" | /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic --require-membership-of="ECE+InternetUsers"
OK
root@ecv027:/#

Jak zmieniłem w przeglądarce port na squida 3128 otrzymuje te same komunikaty o podanie loginu i hasła.
Coś jeszcze jest nie tak...

Offline

 

#16  2014-05-07 10:55:27

  meciarz - Użytkownik

meciarz
Użytkownik
Zarejestrowany: 2010-06-08

Re: Squid+Dansguardian - pomoc z iptables

ok, ale po wpisaniu loginu i hasła puszcza dalej? czy nie
Z jakiej przeglądarki korzystasz? próbujesz wejść po http czy https?
daj obecną konfigurację squid.conf.

Ostatnio edytowany przez meciarz (2014-05-07 10:56:23)

Offline

 

#17  2014-05-07 11:09:24

  zbyszekgit - Użytkownik

zbyszekgit
Użytkownik
Zarejestrowany: 2014-04-29

Re: Squid+Dansguardian - pomoc z iptables

Nie puszcza, cały czas prosi ponownie o wpisanie.
Korzystam z Firefoxa i tam ręcznie konfiguruje proxy.
Po https puszcza wszystko. Z autoryzacja wyskakuje przy wejściu przez http.
[img]http://imageshack.com/a/img835/7862/dyhs.png[/img]

Obecna postać pliku squid.conf

Kod:

##zdefiniowane obaszry sieci, ktore squid ma brac pod uwage

acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443 563 8097
acl Safe_ports port 80          # http
acl Safe_ports port 21          # ftp
acl Safe_ports port 443 563     # https, snews
acl Safe_ports port 1025-65535  # unregistered ports
acl Safe_ports port 280         # http-mgmt
acl Safe_ports port 488         # gss-http
acl Safe_ports port 591         # filemaker
acl Safe_ports port 777         # multiling http
acl CONNECT method CONNECT
acl our_networks src 192.168.0.0/23 #nasza siec

###########################AD##########################
auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp --require-membership-of="ECE+InternetUsers"
auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic --require-membership-of="ECE+InternetUsers"
auth_param basic children 30
auth_param ntlm children 30
acl ntlm_users proxy_auth REQUIRED
http_access allow localhost
http_access allow our_networks ntlm_users
http_access allow ntlm_users
###########################AD#########################
##zezwalamy na doste do sieci odpowiednim obszarom
http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow our_networks
http_access allow all

##logowanie IP hostów zamiast 127.0.0.1
follow_x_forwarded_for allow localhost

##port, na ktorym dziala squid
http_port 3128

##pamiec dla squid
cache_mem 1024 MB

##maksmylany obiekt w pamieci
maximum_object_size_in_memory 256 KB

##metoda odswiezania cache dla pamieci RAM
memory_replacement_policy heap GDSF

##metoda odswiezania cache dla dysku
cache_replacement_policy heap LFUDA

##lokalizacja rozmiar ilosc katalogow i podkatalogow dla proxy
cache_dir aufs /mnt/sdb1 2000 16 256

##minimalny rozmiar object dla dysku
minimum_object_size 0 KB

##maksymalny rozmiar obiektu na dysku
maximum_object_size 500 MB

##poziomy, na ktorych ma nastepowac agresywniejsza wymiana cache
cache_swap_low 85
cache_swap_high 95

##lokalizacja logow
access_log /var/log/squid/access.log squid
cache_log /var/log/squid/cache.log
cache_store_log /var/log/squid/store.log

##rotacja logow
logfile_rotate 4

##maska klienta
client_netmask 255.255.254.0

##maksymalny rozmiar wysylanego naglowka
request_header_max_size 1 MB

##maksymalny rozmiar tresci zapytania
request_body_max_size 2 MB

##odrzuca niedokonczone poloczenia
half_closed_clients off

##czas zamkniecia/restartu squida
shutdown_lifetime 10 second

##uzytkownic uprawiony do korzystania z proxy
cache_effective_user proxy
##grupa uprawniona do uzywania cache
cache_effective_group proxy

##logi bledow
error_directory /var/log/squid/errors/Polish

##wsparcie dla dns
dns_defnames on

##adresy ip dns
dns_nameservers 213.241.79.38 213.241.79.37

##cos tam z ip
ipcache_size 10240
ipcache_low 90
ipcache_high 97
##buforowanie nazw domen
fqdncache_size 8192

##squid trzyma pamiec dla potencjalnego usera
memory_pools on

##limit zarezerwowanej pamieci
memory_pools_limit 100 MB

##odswiezanie plikow

##odswiezanie dla obrazkow
refresh_pattern -i \.(gif|tif|tiff|bmp|jpg|jpeg|png|ico) 1440 50% 10080
##odswiezanie dla obrazkow
refresh_pattern -i \.(wav|mp3|mp2|wmp|mid) 10080 50%  20160
##odswiezanie dokumentow
refresh_pattern -i \.(txt|pdf|doc|xls|docx|odf|ppt|pptx) 4320 50%  10080
##odswiezanie statycznych elementow stron
refresh_pattern -i \.(css|html|htm) 2880 50% 43200
##odswiezanie filmow
refresh_pattern -i \.(flv|swf|mp4|wmv|) 10080 70% 43200

Dodam, że w AD w domenie ECE w OU Users umieściłem grupę InternetUsers i tam mam dodanego użytkownika na którym testuje działania squida.

Ostatnio edytowany przez zbyszekgit (2014-05-07 12:59:55)

Offline

 

#18  2014-05-07 14:29:16

  meciarz - Użytkownik

meciarz
Użytkownik
Zarejestrowany: 2010-06-08

Re: Squid+Dansguardian - pomoc z iptables

Raczej nic podejrzanego, które by psuło robotę w konfigu nie widzę. A czy coś się pluje w logach squida lub samby?
https puszcza tobie, bo nie idzie przez proxy (masz odznaczone w przeglądarce).
Przykładowa konfiguracja testowa z autoryzacją ntlm od squida 3.1 (można przerobić także na kerberos):

Kod:

http_port 3128 connection-auth=on
icp_port 0

acl manager proto cache_object
#acl localhost src 127.0.0.1/32
#acl lan src 192.168.1.0/24

acl SSL_ports  port   443
acl Safe_ports port   80          # http
acl Safe_ports port   443         # https
acl Safe_ports port   21          # ftp
acl CONNECT    method CONNECT

acl squidCache   dstdom_regex squid-cache.org$

#--------------------  auth  --------------------#
#-- kerberos samba --#
#auth_param negotiate program /usr/bin/ntlm_auth --domain=TEST --helper-protocol=gss-spnego --require-membership-of="TEST\\Internet"
#auth_param negotiate children 80 startup=10 idle=10
#-- /kerberos --#

#-- ntlm --#
auth_param ntlm program /usr/bin/ntlm_auth --domain=TEST --helper-protocol=squid-2.5-ntlmssp --require-membership-of="TEST\\Internet"
auth_param ntlm children 80 startup=10 idle=10
auth_param basic program /usr/bin/ntlm_auth --domain=TEST --helper-protocol=squid-2.5-basic --require-membership-of="TEST\\Internet"
auth_param basic children 80 startup=10 idle=10
auth_param basic realm Logowanie @ AD
auth_param basic credentialsttl 30 minutes
#-- /ntlm --#


# Group ACL Helper
#external_acl_type nt_group ttl=1800   %LOGIN /usr/lib/squid3/wbinfo_group.pl -K  --
#acl internet external nt_group Internet


acl auth_users   proxy_auth REQUIRED
#--------------------  /auth  --------------------#


http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports


http_access allow auth_users

http_access deny all


# Add any of your own refresh_pattern entries above these.
refresh_pattern ^ftp:           1440    20%     10080
refresh_pattern ^gopher:        1440    0%      1440
refresh_pattern -i (/cgi-bin/|\?) 0     0%      0
refresh_pattern .               0       20%     4320

hierarchy_stoplist cgi-bin ?

http_reply_access allow all

maximum_object_size 8 MB
maximum_object_size_in_memory 64 KB
ipcache_size 1024

cache_dir ufs /var/spool/squid3 100 16 256
coredump_dir  /var/spool/squid3
cache_mgr admin@test

cache_mem  64 MB
cache_effective_user  proxy
cache_effective_group proxy

cache_log        /var/log/squid3/cache.log
access_log       /var/log/squid3/access.log
cache_store_log  /var/log/squid3/store.log
log_mime_hdrs    on
hosts_file       /etc/hosts


visible_hostname localhost
forwarded_for delete
#via off

## DEBUGING
#debug_options ALL,2

Początkowo także ciągle pytał o login/hasło, dopiero po ok 20-30 min negocjacja odbywała się "w tle". Na pewno obsługują ją IE oraz FF, nie wiem jak wygląda sytuacja z chrome czy operą.
Inna sprawa że twoje http_access wymagają jeszcze poprawy.

Offline

 

#19  2014-05-07 14:49:18

  zbyszekgit - Użytkownik

zbyszekgit
Użytkownik
Zarejestrowany: 2014-04-29

Re: Squid+Dansguardian - pomoc z iptables

W logach squida z niepokojących rzeczy to:

Kod:

Could not parse ECE\InternetUsers into seperate domain/name parts!
Could not parse ECE\InternetUsers into seperate domain/name parts!
Could not parse ECE\InternetUsers into seperate domain/name parts!
Could not parse ECE\InternetUsers into seperate domain/name parts!
Could not parse ECE\InternetUsers into seperate domain/name parts!
Could not parse ECE\InternetUsers into seperate domain/name parts!
Could not parse ECE\InternetUsers into seperate domain/name parts!
Could not parse ECE\InternetUsers into seperate domain/name parts!
Could not parse ECE\InternetUsers into seperate domain/name parts!
Could not parse ECE\InternetUsers into seperate domain/name parts!
Could not parse ECE\InternetUsers into seperate domain/name parts!
Could not parse ECE\InternetUsers into seperate domain/name parts!
Could not parse ECE\InternetUsers into seperate domain/name parts!
Could not parse ECE\InternetUsers into seperate domain/name parts!
Could not parse ECE\InternetUsers into seperate domain/name parts!
Could not parse ECE\InternetUsers into seperate domain/name parts!

could not obtain winbind domain name!
could not obtain winbind domain name!
could not obtain winbind domain name!
could not obtain winbind domain name!
could not obtain winbind domain name!
could not obtain winbind domain name!
could not obtain winbind domain name!
could not obtain winbind domain name!
could not obtain winbind domain name!
could not obtain winbind domain name!
could not obtain winbind domain name!

2014/05/07 10:49:15| errorTryLoadText:
'/var/log/squid/errors/Polish/ERR_LIFETIME_EXP': (2) No such file or directory
2014/05/07 10:49:15| errorTryLoadText:
'/var/log/squid/errors/Polish/ERR_READ_ERROR': (2) No such file or directory
2014/05/07 10:49:15| errorTryLoadText:
'/var/log/squid/errors/Polish/ERR_WRITE_ERROR': (2) No such file or directory
2014/05/07 10:49:15| errorTryLoadText:
'/var/log/squid/errors/Polish/ERR_SHUTTING_DOWN': (2) No such file or directory
2014/05/07 10:49:15| errorTryLoadText:
'/var/log/squid/errors/Polish/ERR_CONNECT_FAIL': (2) No such file or directory
2014/05/07 10:49:15| errorTryLoadText:
'/var/log/squid/errors/Polish/ERR_INVALID_REQ': (2) No such file or directory
2014/05/07 10:49:15| errorTryLoadText:
'/var/log/squid/errors/Polish/ERR_UNSUP_REQ': (2) No such file or directory
2014/05/07 10:49:15| errorTryLoadText:
'/var/log/squid/errors/Polish/ERR_INVALID_URL': (2) No such file or directory
2014/05/07 10:49:15| errorTryLoadText:
'/var/log/squid/errors/Polish/ERR_SOCKET_FAILURE': (2) No such file or directory
2014/05/07 10:49:15| errorTryLoadText:
'/var/log/squid/errors/Polish/ERR_DNS_FAIL': (2) No such file or directory
2014/05/07 10:49:15| errorTryLoadText:
'/var/log/squid/errors/Polish/ERR_CANNOT_FORWARD': (2) No such file or directory
2014/05/07 10:49:15| errorTryLoadText:
'/var/log/squid/errors/Polish/ERR_FORWARDING_DENIED': (2) No such file or directory
2014/05/07 10:49:15| errorTryLoadText:
'/var/log/squid/errors/Polish/ERR_NO_RELAY': (2) No such file or directory
2014/05/07 10:49:15| errorTryLoadText:
'/var/log/squid/errors/Polish/ERR_ZERO_SIZE_OBJECT': (2) No such file or directory
2014/05/07 10:49:15| errorTryLoadText:
'/var/log/squid/errors/Polish/ERR_FTP_DISABLED': (2) No such file or directory
2014/05/07 10:49:15| errorTryLoadText:
'/var/log/squid/errors/Polish/ERR_FTP_FAILURE': (2) No such file or directory
2014/05/07 10:49:15| errorTryLoadText:
'/var/log/squid/errors/Polish/ERR_URN_RESOLVE': (2) No such file or directory
2014/05/07 10:49:15| errorTryLoadText:
'/var/log/squid/errors/Polish/ERR_ACCESS_DENIED': (2) No such file or directory
2014/05/07 10:49:15| errorTryLoadText:
'/var/log/squid/errors/Polish/ERR_CACHE_ACCESS_DENIED': (2) No such file or directory

Kocówka to pewnie problem uprawnień do katalogu /var/log/squid/errors/Polish/ zaraz to poprawie ale na początku to nie bardzo wiem o co chodzi...

Ostatnio edytowany przez zbyszekgit (2014-05-07 14:54:42)

Offline

 

#20  2014-05-07 15:01:04

  meciarz - Użytkownik

meciarz
Użytkownik
Zarejestrowany: 2010-06-08

Re: Squid+Dansguardian - pomoc z iptables

To drugie to błędnie wskazany katalog z plikami jakie squid ma pokazywać podczas wystąpienia błędu (brak dostępu, strona niedostępna,...)
Pierwsze może coś nie tak z konfigiem samby? Spróbuj zahaszować linie winbind separator = + i zmień w pozostałych konfigach na \\
Zrestartuj demony: samba, winbindd oraz squid i sprawdź

Offline

 

#21  2014-05-08 11:41:14

  zbyszekgit - Użytkownik

zbyszekgit
Użytkownik
Zarejestrowany: 2014-04-29

Re: Squid+Dansguardian - pomoc z iptables

a) Zmieniłem uprawnienia w katalogu /var/log/squid/errors - ale błąd nie zniknął po restarcie serwera.

Kod:

root@ecv027:/var/log/squid# ls -l
razem 216
-rw-r----- 1 proxy proxy  1957 maj  8 11:25 access.log
-rw-r----- 1 proxy proxy 11290 maj  7 11:09 access.log.2
-rw-r----- 1 proxy proxy 26051 maj  7 07:02 access.log.3
-rw-r----- 1 proxy proxy 10454 maj  8 11:23 cache.log
-rw-r----- 1 proxy proxy 12534 maj  7 11:09 cache.log.2
-rw-r----- 1 proxy proxy 30229 maj  7 07:02 cache.log.3
drwxrwxrwx 3 proxy proxy  4096 kwi 23 07:25 errors
-rw-r----- 1 proxy proxy  6947 maj  8 11:25 store.log
-rw-r----- 1 proxy proxy 27770 maj  8 06:49 store.log.2
-rw-r----- 1 proxy proxy 55039 maj  7 07:06 store.log.3

W sumie myśalęm, że tam będzie squid wrzucać wszystkie logi błędów - sugerowałem się tym: http://jakilinux.org/aplikacje/ujarzmij-squida-czesc-ii-%E2%80%93-konfiguracja/

Kod:

Jeżeli Squid będzie miał chwile słabości:

    #logi bledow
    error_directory /var/log/squid/errors/Polish

to w tej lokalizacji będą lądować wszystkie błędy.

b) w configu samby zahasowałem linie  winbind separator = + i zmieniłem w confie squida na \\ (bo tylko tam się pojawiał zapis z + )
niestety po restarcie dalej to samo;(

Kod:

2014/05/08 11:22:48| aioSync: flushing pending I/O operations
2014/05/08 11:22:48| aioSync: done
2014/05/08 11:22:48| logfileClose: closing log /var/log/squid/store.log
2014/05/08 11:22:48| logfileClose: closing log /var/log/squid/access.log
2014/05/08 11:22:48| aioSync: flushing pending I/O operations
2014/05/08 11:22:48| aioSync: done
2014/05/08 11:22:48| Squid Cache (Version 2.7.STABLE9): Exiting normally.
2014/05/08 11:23:41| Starting Squid Cache version 2.7.STABLE9 for
x86_64-pc-linux-gnu...
2014/05/08 11:23:41| Process ID 3413
2014/05/08 11:23:41| With 1024 file descriptors available
2014/05/08 11:23:41| Using epoll for the IO loop
2014/05/08 11:23:41| DNS Socket created at 0.0.0.0, port 56024, FD 6
2014/05/08 11:23:41| Adding nameserver 213.241.79.38 from squid.conf
2014/05/08 11:23:41| Adding nameserver 213.241.79.37 from squid.conf
2014/05/08 11:23:41| helperStatefulOpenServers: Starting 30
'ntlm_auth' processes
2014/05/08 11:23:41| helperOpenServers: Starting 30 'ntlm_auth'
processes
2014/05/08 11:23:41| User-Agent logging is disabled.
2014/05/08 11:23:41| Referer logging is disabled.
2014/05/08 11:23:41| errorTryLoadText:
'/var/log/squid/errors/Polish/ERR_READ_TIMEOUT': (2) No such file or directory
2014/05/08 11:23:41| errorTryLoadText:
'/var/log/squid/errors/Polish/ERR_LIFETIME_EXP': (2) No such file or directory
2014/05/08 11:23:41| errorTryLoadText:
'/var/log/squid/errors/Polish/ERR_READ_ERROR': (2) No such file or directory
2014/05/08 11:23:41| errorTryLoadText:
'/var/log/squid/errors/Polish/ERR_WRITE_ERROR': (2) No such file or directory
2014/05/08 11:23:41| errorTryLoadText:
'/var/log/squid/errors/Polish/ERR_SHUTTING_DOWN': (2) No such file or directory
2014/05/08 11:23:41| errorTryLoadText:
'/var/log/squid/errors/Polish/ERR_CONNECT_FAIL': (2) No such file or directory
2014/05/08 11:23:41| errorTryLoadText:
'/var/log/squid/errors/Polish/ERR_INVALID_REQ': (2) No such file or directory
2014/05/08 11:23:41| errorTryLoadText:
'/var/log/squid/errors/Polish/ERR_UNSUP_REQ': (2) No such file or directory
2014/05/08 11:23:41| errorTryLoadText:
'/var/log/squid/errors/Polish/ERR_INVALID_URL': (2) No such file or directory
2014/05/08 11:23:41| errorTryLoadText:
'/var/log/squid/errors/Polish/ERR_SOCKET_FAILURE': (2) No such file or directory
2014/05/08 11:23:41| errorTryLoadText:
'/var/log/squid/errors/Polish/ERR_DNS_FAIL': (2) No such file or directory
2014/05/08 11:23:41| errorTryLoadText:
'/var/log/squid/errors/Polish/ERR_CANNOT_FORWARD': (2) No such file or directory
2014/05/08 11:23:41| errorTryLoadText:
'/var/log/squid/errors/Polish/ERR_FORWARDING_DENIED': (2) No such file or directory
2014/05/08 11:23:41| errorTryLoadText:
'/var/log/squid/errors/Polish/ERR_NO_RELAY': (2) No such file or directory
2014/05/08 11:23:41| errorTryLoadText:
'/var/log/squid/errors/Polish/ERR_ZERO_SIZE_OBJECT': (2) No such file or directory
2014/05/08 11:23:41| errorTryLoadText:
'/var/log/squid/errors/Polish/ERR_FTP_DISABLED': (2) No such file or directory
2014/05/08 11:23:41| errorTryLoadText:
'/var/log/squid/errors/Polish/ERR_FTP_FAILURE': (2) No such file or directory
2014/05/08 11:23:41| errorTryLoadText:
'/var/log/squid/errors/Polish/ERR_URN_RESOLVE': (2) No such file or directory
2014/05/08 11:23:41| errorTryLoadText:
'/var/log/squid/errors/Polish/ERR_ACCESS_DENIED': (2) No such file or directory
2014/05/08 11:23:41| errorTryLoadText:
'/var/log/squid/errors/Polish/ERR_CACHE_ACCESS_DENIED': (2) No such file or directory
2014/05/08 11:23:41| errorTryLoadText:
'/var/log/squid/errors/Polish/ERR_CACHE_MGR_ACCESS_DENIED': (2) No such file or direct$
2014/05/08 11:23:41| errorTryLoadText:
'/var/log/squid/errors/Polish/ERR_FTP_PUT_CREATED': (2) No such file or directory
2014/05/08 11:23:41| errorTryLoadText:
'/var/log/squid/errors/Polish/ERR_FTP_PUT_MODIFIED': (2) No such file or directory
2014/05/08 11:23:41| errorTryLoadText:
'/var/log/squid/errors/Polish/ERR_FTP_PUT_ERROR': (2) No such file or directory
2014/05/08 11:23:41| errorTryLoadText:
'/var/log/squid/errors/Polish/ERR_FTP_NOT_FOUND': (2) No such file or directory
2014/05/08 11:23:41| errorTryLoadText:
'/var/log/squid/errors/Polish/ERR_FTP_FORBIDDEN': (2) No such file or directory
could not obtain winbind domain name!
could not obtain winbind domain name!
could not obtain winbind domain name!
could not obtain winbind domain name!
could not obtain winbind domain name!
could not obtain winbind domain name!
could not obtain winbind domain name!
could not obtain winbind domain name!
could not obtain winbind domain name!
could not obtain winbind domain name!
could not obtain winbind domain name!
could not obtain winbind domain name!
could not obtain winbind domain name!
could not obtain winbind domain name!
could not obtain winbind domain name!
could not obtain winbind domain name!
could not obtain winbind domain name!
could not obtain winbind domain name!

c) W jakim pliku przechowywane sa dokładnie logi samby? bo w lokalizacji /var/log/samba sporo tego.

Kod:

root@ecv027:/var/log/samba# 
cores          log.nmbd.1.gz  log.wb-BUILTIN     log.winbindd.2.gz
log.192.168.1.18  log.nmbd.2.gz  log.wb-ECE        log.winbindd-dc-connect
log.192.168.1.89  log.smbd     log.wb-ECV027        log.winbindd-idmap
log.ece021v      log.smbd.1.gz  log.winbindd
log.nmbd      log.smbd.2.gz  log.winbindd.1.gz

[b]Plik log.smbd [/b]

Kod:

[2014/05/08 11:35:43.718091,  0]
printing/print_cups.c:487(cups_async_callback)
  failed to retrieve printer list: NT_STATUS_UNSUCCESSFUL
[2014/05/08 11:48:44.548609,  0] printing/print_cups.c:110(cups_connect)
  Unable to connect to CUPS server localhost:631 - Connection refused
[2014/05/08 11:48:44.549949,  0]
printing/print_cups.c:487(cups_async_callback)
  failed to retrieve printer list: NT_STATUS_UNSUCCESSFUL
[2014/05/08 12:01:45.380360,  0] printing/print_cups.c:110(cups_connect)
  Unable to connect to CUPS server localhost:631 - Connection refused
[2014/05/08 12:01:45.382430,  0]
printing/print_cups.c:487(cups_async_callback)
  failed to retrieve printer list: NT_STATUS_UNSUCCESSFUL
[2014/05/08 12:14:46.167228,  0] printing/print_cups.c:110(cups_connect)
  Unable to connect to CUPS server localhost:631 - Connection refused
[2014/05/08 12:14:46.171136,  0]
printing/print_cups.c:487(cups_async_callback)
  failed to retrieve printer list: NT_STATUS_UNSUCCESSFUL

Ostatnio edytowany przez zbyszekgit (2014-05-08 12:19:47)

Offline

 

#22  2014-05-08 13:00:56

  meciarz - Użytkownik

meciarz
Użytkownik
Zarejestrowany: 2010-06-08

Re: Squid+Dansguardian - pomoc z iptables

error_directory wskazuje gdzie się znajdują pliki wyświetlane użytkownikom podczas wystąpienia błędu/braku dostępu
http://www.squid-cache.org/Doc/config/error_directory/
Zahaszuj ją, niech korzysta z domyślnych, lub wstaw (sprawdź czy u ciebie istnieje)

Kod:

error_directory /usr/share/squid/errors/Polish/

Logi samby, najbardziej cię będą insteresowały pliki:

Kod:

log.wb-ECE
log.winbindd
log.winbindd-dc-connect
log.winbindd-idmap

Usuń narazie z konfiguracji

Kod:

--require-membership-of="ECE+InternetUsers"

wrócimy do tego jak zacznie logować użytkownika, a dodaj --domain, czyli niech to wygląda

Kod:

auth_param ntlm program /usr/bin/ntlm_auth --domain=ECE --helper-protocol=squid-2.5-ntlmssp
auth_param basic program /usr/bin/ntlm_auth --domain=ECE --helper-protocol=squid-2.5-basic

Zmień/dodaj w pliku smb.conf

Kod:

map untrusted to domain       = yes
winbind nested groups         = Yes
winbind trusted domains only  = No

Rozumiem, że komputer na którym to testujesz jest wpięty do domeny i korzystasz z konta domenowego.

Ostatnio edytowany przez meciarz (2014-05-08 13:55:46)

Offline

 

#23  2014-05-08 15:33:24

  zbyszekgit - Użytkownik

zbyszekgit
Użytkownik
Zarejestrowany: 2014-04-29

Re: Squid+Dansguardian - pomoc z iptables

Po wprowadzonych zmianach sytuacja wygląda tak:
1) Przy uruchomieniu przegladarki wpisujac halo mnie nie nie wpuszcza - cały czas prosi ponownie
[img]http://imageshack.com/a/img834/6898/4ly4.png[/img]
2)Jak dam anuluj to dostaje info:
[img]http://imageshack.com/a/img842/3641/18wo.png[/img]
3) Potem gdy jeszcze raz wpisze adres jakieś strony to prosi mnie o uwierzytelnienie ale troszkę inaczej (screen 3) i co ciekawe już mnie poprawnie wpuszcza.
[img]https://imagizer.imageshack.us/v2/435x309q90/834/60o9.png[/img]
4) Kolejne zaskoczenie to to, że jak wpisze jakis zablokowany adres w Dansguardian to mimo konfiguracji na squida odzywa sie dans - myśle ze to wina wpisów w iptables.
[img]https://imagizer.imageshack.us/v2/546x406q90/838/5dlg.png[/img]

Ostatnio edytowany przez zbyszekgit (2014-05-08 15:44:27)

Offline

 

#24  2014-05-08 16:12:35

  meciarz - Użytkownik

meciarz
Użytkownik
Zarejestrowany: 2010-06-08

Re: Squid+Dansguardian - pomoc z iptables

wpisz adres proxy jako pełna nazwa domenowa (FQDN), czyli ecv027.ece.local
Upewnij się żę jest ona rozpoznawalna, tj

Kod:

nslookup ecv027.ece.local

a czy usunąłeś przekierowanie w iptables, dokładniej chodzi mi o te:

Kod:

#Przekierowujemy port 80 na DansGuardiana
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT
--to-ports 3128
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 3128 -j REDIRECT
--to-ports 8080

jeśli nie to usuń je (możesz użyć #), przeładuj firewalla i upewnij się że jest ok poleceniem iptables-save
Skoro serwer działa w sieci LAN, a nie jako transparent, podajesz port w przeglądarce, to tego nie potrzebujesz. Jak już się uporasz z obecnymi problemami, to wyłączysz dostęp do nieużywanych portów, a zostawisz tylko dla squida(czy też dansguardiana).

Ostatnio edytowany przez meciarz (2014-05-08 16:16:27)

Offline

 

#25  2014-05-09 07:52:56

  zbyszekgit - Użytkownik

zbyszekgit
Użytkownik
Zarejestrowany: 2014-04-29

Re: Squid+Dansguardian - pomoc z iptables

a) dokonałem zmiany wpisu w przeglądarce na postać: ecv027.ece.local. Nazwa jest rozpoznawalna po wykonaniu nslookup
b) zakomentowałem w iptables przekierowanie o którym wspomniałeś - po tym restart.

Po czynnościach a) i b) dalej to samo...nie wpuszcza po wpisaniu hasła.
Czyli stan jest ten sam co wcześniej tyle, że wyeliminowaliśmy Dansa z iptables.

w logu squida:

Kod:

2014/05/09 07:22:05| storeDirWriteCleanLogs: Starting...
2014/05/09 07:22:05|   Finished.  Wrote 5715 entries.
2014/05/09 07:22:05|   Took 0.0 seconds (5422201.1 entries/sec).
2014/05/09 07:22:05| logfileRotate: /var/log/squid/store.log
2014/05/09 07:22:05| logfileRotate (stdio): /var/log/squid/store.log
2014/05/09 07:22:05| logfileRotate: /var/log/squid/access.log
2014/05/09 07:22:05| logfileRotate (stdio): /var/log/squid/access.log
2014/05/09 07:22:05| helperStatefulOpenServers: Starting 30
'ntlm_auth' processes
Ignoring unknown parameter "winbind nested gropus"
Ignoring unknown parameter "winbind nested gropus"
Ignoring unknown parameter "winbind nested gropus"
Ignoring unknown parameter "winbind nested gropus"
Ignoring unknown parameter "winbind nested gropus"
Ignoring unknown parameter "winbind nested gropus"
Ignoring unknown parameter "winbind nested gropus"
Ignoring unknown parameter "winbind nested gropus"
Ignoring unknown parameter "winbind nested gropus"
Ignoring unknown parameter "winbind nested gropus"
Ignoring unknown parameter "winbind nested gropus"
Ignoring unknown parameter "winbind nested gropus"
Ignoring unknown parameter "winbind nested gropus"
Ignoring unknown parameter "winbind nested gropus"
Ignoring unknown parameter "winbind nested gropus"
Ignoring unknown parameter "winbind nested gropus"
Ignoring unknown parameter "winbind nested gropus"
Ignoring unknown parameter "winbind nested gropus"
Ignoring unknown parameter "winbind nested gropus"
Ignoring unknown parameter "winbind nested gropus"
Ignoring unknown parameter "winbind nested gropus"
Ignoring unknown parameter "winbind nested gropus"
Ignoring unknown parameter "winbind nested gropus"
Ignoring unknown parameter "winbind nested gropus"
Ignoring unknown parameter "winbind nested gropus"
Ignoring unknown parameter "winbind nested gropus"
Ignoring unknown parameter "winbind nested gropus"
2014/05/09 07:22:05| helperOpenServers: Starting 30 'ntlm_auth'
processes
Ignoring unknown parameter "winbind nested gropus"
Ignoring unknown parameter "winbind nested gropus"
Ignoring unknown parameter "winbind nested gropus"
Ignoring unknown parameter "winbind nested gropus"
Ignoring unknown parameter "winbind nested gropus"
Ignoring unknown parameter "winbind nested gropus"
Ignoring unknown parameter "winbind nested gropus"
Ignoring unknown parameter "winbind nested gropus"
Ignoring unknown parameter "winbind nested gropus"

W logach samby

1. log.wb-ECE

Kod:

[2014/05/09 07:16:08.929671,  0]
winbindd/winbindd.c:212(winbindd_sig_term_hand$
  Got sig[15] terminate (is_parent=0)

2. log.winbindd

Kod:

[2014/05/09 07:16:08.929833,  0]
winbindd/winbindd.c:212(winbindd_sig_term_hand$
  Got sig[15] terminate (is_parent=1)
[2014/05/09 07:16:49,  0] winbindd/winbindd.c:1346(main)
  winbindd version 3.6.6 started.
  Copyright Andrew Tridgell and the Samba Team 1992-2011
[2014/05/09 07:16:49,  0] param/loadparm.c:7969(lp_do_parameter)
  Ignoring unknown parameter "winbind nested gropus"
[2014/05/09 07:16:49.782630,  0] param/loadparm.c:7969(lp_do_parameter)
  Ignoring unknown parameter "winbind nested gropus"
[2014/05/09 07:16:49.787855,  0]
winbindd/winbindd_cache.c:3147(initialize_winb$
  initialize_winbindd_cache: clearing cache and re-creating with version
number$

3. log.winbindd-idmap

Kod:

[2014/05/09 07:16:08.929405,  0]
winbindd/winbindd.c:212(winbindd_sig_term_hand$
  Got sig[15] terminate (is_parent=0)

4. log log.winbindd-dc-connect mam pusty.


c) rozumiem, że nie używane porty mam wyłączyć w iptables?  czyli coś takiego? : -A INPUT -j DROP -p tcp --dport 1023:65535 Jak dokładnie to powinno wyglądać?

Ostatnio edytowany przez zbyszekgit (2014-05-09 07:56:06)

Offline

 

Stopka forum

Powered by PunBB
© Copyright 2002–2005 Rickard Andersson
Nas ludzie lubią po prostu, a nie klikając w przyciski ;-)

[ Generated in 0.021 seconds, 13 queries executed ]

Informacje debugowania

Time (s) Query
0.00013 SET CHARSET latin2
0.00007 SET NAMES latin2
0.00114 SELECT u.*, g.*, o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='18.218.75.58' WHERE u.id=1
0.00095 REPLACE INTO punbb_online (user_id, ident, logged) VALUES(1, '18.218.75.58', 1732429958)
0.00050 SELECT * FROM punbb_online WHERE logged<1732429658
0.00088 DELETE FROM punbb_online WHERE ident='54.36.148.124'
0.00071 DELETE FROM punbb_online WHERE ident='85.208.96.195'
0.00045 SELECT topic_id FROM punbb_posts WHERE id=266235
0.00005 SELECT id FROM punbb_posts WHERE topic_id=25715 ORDER BY posted
0.00057 SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=25715 AND t.moved_to IS NULL
0.00005 SELECT search_for, replace_with FROM punbb_censoring
0.00165 SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=25715 ORDER BY p.id LIMIT 0,25
0.00990 UPDATE punbb_topics SET num_views=num_views+1 WHERE id=25715
Total query time: 0.01705 s