Salve a tutti. sto provando a realizzare un proxy con sistema di Log completo da usare per i visitatori e per le installazioni
(squid+squidguard+sarg+webalizer+iptables)
(x il Linux Day)
Allora premetto che non sono molto competente di proxy quindi..ecco ho preso la guida di debianitalie ed ho aggiuto delle acl e http.
Questa è la configurazione che ho fatto anche se molte cose non ho capito (vadalla e http port)
NETWORK OPTIONS<br /># Nome host (FQDN) e porta dove il proxy sarà in ascolto<br />http_port 192.168.1.3:3128<br /><br />redirect_program /usr/local/bin/squidGuard -c /etc/squid/squidGuard.conf<br />redirect_children 5<br /><br />auth_param ntlm<br />program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp<br />auth_param ntlm children 5<br />auth_param ntlm max_challenge_reuses 0<br />auth_param ntlm max_challenge_lifetime 15 minute<br />auth_param ntlm use_ntlm_negotiate on<br />auth_param basic<br />program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic<br />auth_param basic realm Squid proxy-caching web server<br /><br />uth_param ntlm<br />program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp<br />auth_param ntlm children 5<br />auth_param ntlm max_challenge_reuses 0<br />auth_param ntlm max_challenge_lifetime 15 minute<br />auth_param ntlm use_ntlm_negotiate on<br />auth_param basic<br />program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic<br />auth_param basic realm Squid proxy-caching web server<br />auth_param basic children 5<br />auth_param basic casesensitive off<br />auth_param basic credentialsttl 2 hours<br />authenticate_cache_garbage_interval 1 hour<br />authenticate_ttl 1 hour<br />authenticate_ip_ttl 0 second<br /><br /># TAG: icp_port<br /># Porta usata per comunicare con altri proxy<br /># 0: funziona disabilitata (inutile visto che useremo un solo proxy)<br />icp_port 0<br /><br /># TAG: hierarchy_stoplist<br /># Lasciamo il default che va bene così :)<br />hierarchy_stoplist cgi-bin ?<br /><br /># TAG: no_cache<br /># Lasciamo il default che va bene così :)<br />acl QUERY urlpath_regex cgi-bin \?<br /><br /># TAG: maximum_object_size (bytes)<br /># Dimensione massima degli oggetti da tenere in cache.<br /># Uso un valore molto altro perchè avendo N pc con debian che si aggiornano in $maximum_object_size 30 MB<br /><br /># Uso un valore molto altro perchè avendo N pc con debian che si aggiornano in $maximum_object_size 30 MB<br /><br /># TAG: cache_access_log<br /># File di log degli accessi al proxy<br />cache_access_log /var/log/squid/access.log<br /><br /># TAG: cache_log<br /># File di log della cache<br />cache_log /var/log/squid/cache.log<br /><br /># TAG: cache_store_log<br /># File di log degli oggetti<br />cache_store_log /var/log/squid/store.log<br /><br /># TAG: emulate_httpd_log on|off<br /># Simulo il log nel formato del demone http per poter generare le statistiche c$emulate_httpd_log on<br /><br />emulate_httpd_log on<br /><br /># TAG: pid_filename<br /># File con il pid del processo<br />pid_filename /var/run/squid.pid<br /><br /># TAG: log_fqdn on|off<br /># Squid effettua un DNS lookup per sapere i nomi di chi vuole usarlo e salvare $log_fqdn off<br /><br /><br /># OPTIONS FOR EXTERNAL SUPPORT PROGRAMS<br /># -----------------------------------------------------------------------------<br /><br /># TAG: hosts_file<br /># Path assoluto del file hosts (solitamente /etc/hosts)<br />hosts_file /etc/hosts<br /><br /># TAG: refresh_pattern<br /># TAG: refresh_pattern<br /># Lasciamo i valori di default che vanno bene :)<br />refresh_pattern ^ftp: 1440 20% 10080<br />refresh_pattern ^gopher: 1440 0% 1440<br />refresh_pattern . 0 20% 4320<br /><br /># ACCESS CONTROLS<br /># -----------------------------------------------------------------------------<br /><br /># TAG: acl<br /># Definiamo le Access Control List<br /># Nome: all<br /># Tipo: filtrosu ip sorgente<br /># Valore: 0.0.0.0/0.0.0.0 (tutti)<br />acl all src 0.0.0.0/0.0.0.0<br /><br />acl manager proto cache_object<br />acl password proxy_auth REQUIRED<br /><br />acl manager proto cache_object<br />acl password proxy_auth REQUIRED<br />external_acl_type linux_group %LOGIN /usr/lib/squid/squid_unix_group<br /><br /><br /># Nome: localhost<br /># Tipo: filtro su ip sorgente<br /># Valore: 127.0.0.1/255.255.255.255 (Solo il localhost)<br />acl localhost src 127.0.0.1/255.255.255.255<br /><br /># Nome: to_localhost<br /># Tipo: filtro su ip di destinazione<br /># Valore: 127.0.0.0/8 (Solo gli ip che identificano il localhost)<br />acl to_localhost dst 127.0.0.0/8<br /><br /># Nome: SSL_ports<br /># Tipo: filtro su numero porta<br /># Valore: 443 563 (Porte protocollo ssl)<br />acl SSL_ports port 443 563<br /> Valore: 443 563 (Porte protocollo ssl)<br />acl SSL_ports port 443 563<br /><br />acl SSL_ports port 873<br />acl Safe_ports port 80<br />acl Safe_ports port 21<br />acl Safe_ports port 443 563<br />acl Safe_ports port 70<br />acl Safe_ports port 210<br />acl Safe_ports port 1025-65535<br />acl Safe_ports port 280<br />acl Safe_ports port 488<br />acl Safe_ports port 591<br />acl Safe_ports port 777<br />acl Safe_ports port 631<br />acl Safe_ports port 873<br />acl Safe_ports port 901<br />acl purge method PURGE<br />acl CONNECT method CONNECT<br /><br />acl purge method PURGE<br />acl CONNECT method CONNECT<br />acl internet external linux_group internet<br />acl internet-admins external linux_group internet-admins<br />acl circoli external linux_group privilegiati<br />acl domino external linux_group dominio<br />acl service_time_acl time M T W H F 8:00-18:30<br />acl privilegiati_time_acl time 09:00-22:00<br />acl dominio_time_acl time<br />acl porn url_regex "/etc/squid/liste/porn"<br />acl porn1 url_regex "/etc/squid/liste/porn1"<br />acl noporn url_regex "/etc/squid/liste/noporn"<br />acl mp3 url_regex "/etc/squid/liste/mp3"<br />acl pirate url_regex "/etc/squid/liste/pirate"<br />acl badurl url_regex "/etc/squid/liste/badurl"<br />acl nazi url_regex "/etc/squid/liste/nazi"<br />acl anarco url_regex "/etc/squid/liste/anarco"<br /><br /># Questa è l'acl che identifica la mia lan<br />acl Valhalla.lan src 192.168.1.0/255.255.255.0<br /><br /># TAG: http_access<br /># Definiamo chi può usare il proxy e chi no sfruttando le ACL<br /># Tuti gli ip appartenenti alla LAN possono usare il proxy, il resto non lo toc$http_access allow Valhalla.lan<br />http_access allow manager localhost<br /><br /># Only allow purge requests from localhost<br />http_access deny manager<br />http_access allow purge localhost<br /># Deny requests to unknown ports<br />http_access deny !Safe_ports<br /># Deny CONNECT to other than SSL ports<br />http_access deny purge<br />#<br />http_access deny CONNECT !SSL_ports<br /><br />http_access deny CONNECT !SSL_ports<br />http_access allow admins<br />http_access allow password internet-admins<br />http_access deny porn<br />http_access deny porn1<br />http_access deny mp3<br />http_access deny badurl<br />http_access deny pirate<br />http_access deny nazi<br />http_access deny anarco<br /><br /># And finally deny all other access to this proxy<br />http_access allow localhost<br />http_access deny all<br /><br /># TAG: http_reply_access<br /># Abilitiamo le risposte alle richieste dei client<br />http_reply_access allow all<br />Abilitiamo le risposte alle richieste dei client<br />http_reply_access allow all<br /><br /># TAG: icp_access<br /># Abilitamo o meno le risposte alle richieste icp<br />icp_access allow all<br /><br /><br /><br /># ADMINISTRATIVE PARAMETERS<br /># -----------------------------------------------------------------------------<br /><br /># TAG: cache_mgr<br /># Email del gestore della cache<br />cache_mgr squidadmin@valhalla.lan<br /><br /># TAG: visible_hostname<br /># Nome da mostrare in caso di errori<br />visible_hostname proxy.valhalla.lan<br /># Nome da mostrare in caso di errori<br />visible_hostname proxy.valhalla.lan<br /><br /># OPTIONS FOR THE CACHE REGISTRATION SERVICE<br /># -----------------------------------------------------------------------------<br />#<br /><br /><br /># HTTPD-ACCELERATOR OPTIONS<br /># -----------------------------------------------------------------------------<br /><br /># TAG: httpd_accel_host<br /># TAG: httpd_accel_port<br /># Necessarie per il transparent proxy<br />httpd_accel_host virtual<br />httpd_accel_port 80<br /><br /># TAG: httpd_accel_with_proxy on|off<br /># Necessario per il transparent proxy<br /># TAG: httpd_accel_with_proxy on|off<br /># Necessario per il transparent proxy<br />httpd_accel_with_proxy on<br /><br /># TAG: httpd_accel_uses_host_header on|off<br /># Necessario per il transparent proxy<br />httpd_accel_uses_host_header on<br /><br /><br /># MISCELLANEOUS<br /># -----------------------------------------------------------------------------<br /><br /># TAG: logfile_rotate<br /># Numero di log da tenere in memoria (da 0 a 9)<br />logfile_rotate 10<br /><br /># TAG: error_directory<br /># Directory dove prendere i messaggi di errore<br /># E' possibile scegliere la lingua in base alle disponibili<br /> Directory dove prendere i messaggi di errore<br /># E' possibile scegliere la lingua in base alle disponibili<br />error_directory /usr/share/squid/errors/Italian<br /><br /># TAG: coredump_dir<br /># Dove mette i core-dump<br />coredump_dir /var/spool/squid<br /><br /># TAG: ie_refresh on|off<br /># Necessaria per il transparent proxy con IE<br />ie_refresh on<br /><br /># TAG: cache_replacement_policy<br /># TAG: memory_replacement_policy<br /># Metodo di gestione dei file in cache e su hdd<br />cache_replacement_policy lru<br />memory_replacement_policy lru<br /><br />
Fino a qui tutto a posto l'errore che mi da quando vado a fare squid -z mi dice :
hackers93:/home/hackers93# squid -z
FATAL: Bungled squid.conf line 11: auth_param ntlm
Squid Cache (Version 2.6.STABLE5): Terminated abnormally.
hackers93:/home/hackers93#
perchè? poi dovrei anche integrare iptables, ho visto questa guida ma non so cosa devo configurare http://guide.debianizzati.org/index.php/Firewall_Builder come posso fare?
Non voglio la pappa già fatta voglio solo sapere come posso risolvere questo e probloema e da che dipende. Grazie anticipatamente.
nessuno che mi può dare una mano????