Не получается, я так понимаю после нажатия кнопки реконфигурации пропадает файлик ncsa.sams, и из-за этого сквид не запускаетсяCancer писал(а):ЗапустиКод: Выделить всё
1. Останови демон самса 2. Добавь пользователя /usr/local/bin/htpasswd -c /usr/local/etc/squid/ncsa.sams vash_user 3. Запусти сквид 4 .Запусти демон самса 5. Добавь пользователя в самсе, в веб интерфейсе 6. Реконфигурируй сквид из админки
Обсуждение SAMS (Squid Account Manager System)
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
-
- рядовой
- Сообщения: 13
- Зарегистрирован: 2009-07-24 11:45:08
Re: Обсуждение SAMS (Squid Account Manager System)
Услуги хостинговой компании Host-Food.ru
Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
- Cancer
- Гл. Кастратор
- Сообщения: 1269
- Зарегистрирован: 2008-03-25 12:21:36
- Откуда: г. Ростов-на-Дону
- Контактная информация:
Re: Обсуждение SAMS (Squid Account Manager System)
BreezeYZ писал(а):Не получается, я так понимаю после нажатия кнопки реконфигурации пропадает файлик ncsa.sams, и из-за этого сквид не запускаетсяCancer писал(а):ЗапустиКод: Выделить всё
1. Останови демон самса 2. Добавь пользователя /usr/local/bin/htpasswd -c /usr/local/etc/squid/ncsa.sams vash_user 3. Запусти сквид 4 .Запусти демон самса 5. Добавь пользователя в самсе, в веб интерфейсе 6. Реконфигурируй сквид из админки
Попробуйте в веб интерфейсе протестировать Базу Данных....
далее запускайте демон самса в дебаг
Код: Выделить всё
//> samsdaemon -d
-
- рядовой
- Сообщения: 13
- Зарегистрирован: 2009-07-24 11:45:08
Re: Обсуждение SAMS (Squid Account Manager System)
Запустил прверку базы данных из веб-интерфейса все ОК!Cancer писал(а): Попробуйте в веб интерфейсе протестировать Базу Данных....
далее запускайте демон самса в дебаги смотрите то будет после реконфигурированияКод: Выделить всё
//> samsdaemon -d
Запустил демон самса в дебаг, после этого "Команда на реконфигурирование SQUID получена демоном", в консоли следующее:
Код: Выделить всё
countdown: 52
Cache... 0
User autentification... IP
Sleep time of samsdaemon... 1 second
Redirector... NONE
SQUID log parser... diskret
User traffic cleaner... YES
Squidlog cache save... ALL
User name recode... NO
Delay pools... ON
Domain separators... '0'
Log level... '0'
Create PDF file... NO
Creating SAMS users list /usr/local/etc/squid/4a69db8a039fb.sams
squid configure file: /usr/local/etc/squid/squid.conf
TAG: acl found... START
2 users found in template 4a69db8a039fb (auth_IP), create ACL
TAG: acl END
TAG: http_access found... START
2 users found in the template 4a69db8a039fb (auth_IP), create access rights
TAG: http_access END
TAG: delay_class found
countdown: 51
- Cancer
- Гл. Кастратор
- Сообщения: 1269
- Зарегистрирован: 2008-03-25 12:21:36
- Откуда: г. Ростов-на-Дону
- Контактная информация:
Re: Обсуждение SAMS (Squid Account Manager System)
Так а можешь мне подробнее показать настройки из веб морды....
да и вот еще что у тебя случаем шаблон на русском называется?
да и вот еще что у тебя случаем шаблон на русском называется?
Последний раз редактировалось Cancer 2009-07-25 18:17:13, всего редактировалось 2 раза.
-
- рядовой
- Сообщения: 13
- Зарегистрирован: 2009-07-24 11:45:08
Re: Обсуждение SAMS (Squid Account Manager System)
см. ЛСCancer писал(а):Так а можешь мне подробнее показать настройки из веб морды....
да и вот еще что у тебя случаем шаблон не по русский называется?
шаблон называется auth_IP
-
- рядовой
- Сообщения: 13
- Зарегистрирован: 2009-07-24 11:45:08
Re: Обсуждение SAMS (Squid Account Manager System)
Спасибо Cancer-у, что показал на мои ошибки. Squid после реконфигурирования работает. Для IP авторизации в параметрах SAMS должна быть указана авторизация NCSA, в в шаблоне пользователя IP. Также насколько я понял должен присутствовать шаблон с авторизацией NCSA и в этот шаблон должен входить пользователь admin. Тоесть, если в файлике ncsa.sams отсутствуют записи с именем пользователя и паролем, он после нажатия кнопочки реконфигурирования удаляется, а при его отсутствии сквид не запускается.
-
- рядовой
- Сообщения: 10
- Зарегистрирован: 2007-11-07 16:14:05
Re: Обсуждение SAMS (Squid Account Manager System)
Народ помогите ... ааа
всю голову сломал...
есть сайт , очень нужен по работе
http://hdcis.mpcis.be:9080/dcs_login.jsp
вся связка работает отменно....
а вот этот сайт режется ... через проксю.. ну стандартное выражение типа доступ к данному урлу запрещен
этот же сайт через НАТ работает
всю голову сломал...
есть сайт , очень нужен по работе
http://hdcis.mpcis.be:9080/dcs_login.jsp
вся связка работает отменно....
а вот этот сайт режется ... через проксю.. ну стандартное выражение типа доступ к данному урлу запрещен
этот же сайт через НАТ работает
не флуди ... да не судим будешЪ)))
- Cancer
- Гл. Кастратор
- Сообщения: 1269
- Зарегистрирован: 2008-03-25 12:21:36
- Откуда: г. Ростов-на-Дону
- Контактная информация:
Re: Обсуждение SAMS (Squid Account Manager System)
Так напиши что нужно сделать или что не получается...$HPAk писал(а):Народ помогите ... ааа
всю голову сломал...
есть сайт , очень нужен по работе
http://hdcis.mpcis.be:9080/dcs_login.jsp
вся связка работает отменно....
а вот этот сайт режется ... через проксю.. ну стандартное выражение типа доступ к данному урлу запрещен
этот же сайт через НАТ работает
У меня на него заходит нормально!
-
- рядовой
- Сообщения: 13
- Зарегистрирован: 2009-07-24 11:45:08
Re: Обсуждение SAMS (Squid Account Manager System)
А как изменить дефолтовый пароль "qwerty" для пользователя admin, средствами админки это сделать нельзя, в базе "squidctrl" таблица "passwd", там он в зашифрованном виде?
Как запретить пользователям ходить в инет минуя прокси сервер отключением соответствующих настроек в броузере, но при этом почта должна работать без проксика? Сейчас почта работает без прокси.
Как запретить пользователям ходить в инет минуя прокси сервер отключением соответствующих настроек в броузере, но при этом почта должна работать без проксика? Сейчас почта работает без прокси.
- Cancer
- Гл. Кастратор
- Сообщения: 1269
- Зарегистрирован: 2008-03-25 12:21:36
- Откуда: г. Ростов-на-Дону
- Контактная информация:
Re: Обсуждение SAMS (Squid Account Manager System)
Этот вопрос конечно убилА как изменить дефолтовый пароль "qwerty" для пользователя admin
Заходишь под admin 'ом
Авторизация пользователя - - - > Сменить пароль пользователя
Код: Выделить всё
Смена пароля пользователя "Администратор"
login: [ admin ]
Старый пароль: [ ]
Новый пароль: [ ]
Подтвердите новый пароль: [ ]
Настраиваешь firewallКак запретить пользователям ходить в инет минуя прокси сервер отключением соответствующих настроек в броузере, но при этом почта должна работать без проксика? Сейчас почта работает без прокси.
Код: Выделить всё
# Перва сетевая карта Локалка (192.168.55.11)
int_if="rl0"
# Вторая сетевая карта Мир (192.168.1.11)
ext_if="rl1"
# LAN (локальная сеть)
lan_net="{ 192.168.55.0/24 }"
set block-policy drop
set skip on lo0
scrub in all
# Если нет Внутреннего днс сервера, то прокидываем порт на ДНС провайдера
nat pass on $ext_if from $lan_net to ip_dns_сервера port 53 -> $ext_if
# Для почты
nat pass on $ext_if from $lan_net to any port 25 -> $ext_if
nat pass on $ext_if from $lan_net to any port 110 -> $ext_if
pass in quick on $int_if from $lan_net to any
pass out quick on $int_if from self to $lan_net
pass out quick on $ext_if from self to any keep state
block in on $ext_if from any to any
-
- рядовой
- Сообщения: 13
- Зарегистрирован: 2009-07-24 11:45:08
Re: Обсуждение SAMS (Squid Account Manager System)
ага, заработалсяCancer писал(а):Этот вопрос конечно убилА как изменить дефолтовый пароль "qwerty" для пользователя admin
Заходишь под admin 'ом
Авторизация пользователя - - - > Сменить пароль пользователя
-
- проходил мимо
- Сообщения: 2
- Зарегистрирован: 2009-07-30 22:27:41
Re: Обсуждение SAMS (Squid Account Manager System)
ну и мне помогите что ли
есть squid sams и rejik
squid 2.7
sams 1.0.4
rejik 3.2.1
freebsd 6.3
хочется настроить squid с авторизацией по nsca и с автоматическим отключением при превышении лимита
получается то с переменным успехом
проблемы
1. авторизация через браузер запрашивается только в том случае если запущен samsf -d (если не запущен то не запрашивается хотя он висит красным samsf .core) (в документации прочла "Утилиты sams и samsf имеют возможность выполнять скрипт при отключении пользователя. " но просмотреть сам скрипт и понять как он работает не выходит) в общем этот момент в тумане
2.если не обращать внимание на на 1 проблему то авторизация работает юзер ходит в инет статистика считается, режиком всё режется, при достижении лимита юзер пишется отключенным, но продолжает ходить в инет, реконфигурирование, перезапуск браузера не помогают, но помогает рестрат самого сервака - тогда выскакивает сообщение что мол перекачено. Если увеличить юзеру лимит, то выскакивает окошко о запрете доступа без указания причины что перекачено.
3. т.к. без samsf -d не работала авторизация а сам он стартовать не желал - добавила автоматический его - запуск в папку со скриптами, прочла что это не есть правильно и попробовала этот скрипт убрать вообще
в результате после ребута
и squid.core
но с этим возможно причина в том что squid скрипт лежит в нескольких папках.
ну в общем наверное все мои проблемы
теперь исходные данные
/usr/local/etc/squid/squid.conf (правила базовый конфиг, привожу разделы, которые менялись мной или были указаны в инструкции)
/usr/local/etc/sams.conf
/usr/local/rejik/redirector.conf
что ещё нужно выложу.
есть squid sams и rejik
squid 2.7
sams 1.0.4
rejik 3.2.1
freebsd 6.3
хочется настроить squid с авторизацией по nsca и с автоматическим отключением при превышении лимита
получается то с переменным успехом
проблемы
1. авторизация через браузер запрашивается только в том случае если запущен samsf -d (если не запущен то не запрашивается хотя он висит красным samsf .core) (в документации прочла "Утилиты sams и samsf имеют возможность выполнять скрипт при отключении пользователя. " но просмотреть сам скрипт и понять как он работает не выходит) в общем этот момент в тумане
2.если не обращать внимание на на 1 проблему то авторизация работает юзер ходит в инет статистика считается, режиком всё режется, при достижении лимита юзер пишется отключенным, но продолжает ходить в инет, реконфигурирование, перезапуск браузера не помогают, но помогает рестрат самого сервака - тогда выскакивает сообщение что мол перекачено. Если увеличить юзеру лимит, то выскакивает окошко о запрете доступа без указания причины что перекачено.
3. т.к. без samsf -d не работала авторизация а сам он стартовать не желал - добавила автоматический его - запуск в папку со скриптами, прочла что это не есть правильно и попробовала этот скрипт убрать вообще
в результате после ребута
Код: Выделить всё
$ ps -ax | grep squid
654 ?? Ss 0:00.00 /usr/local/sbin/squid -D
670 ?? Is 0:00.00 /usr/local/sbin/squid -D
677 ?? S 0:00.22 (squid) -D (squid)
693 ?? Is 0:00.00 (ncsa_auth) /usr/local/etc/squid/ncsa.sams (ncsa_auth
694 ?? Is 0:00.01 (ncsa_auth) /usr/local/etc/squid/ncsa.sams (ncsa_auth
695 ?? Is 0:00.00 (ncsa_auth) /usr/local/etc/squid/ncsa.sams (ncsa_auth
696 ?? Is 0:00.00 (ncsa_auth) /usr/local/etc/squid/ncsa.sams (ncsa_auth
697 ?? Is 0:00.00 (ncsa_auth) /usr/local/etc/squid/ncsa.sams (ncsa_auth
830 ?? S 0:00.04 (squid) -D (squid)
838 ?? Ss 0:00.01 (ncsa_auth) /usr/local/etc/squid/ncsa.sams (ncsa_auth
840 ?? Ss 0:00.01 (ncsa_auth) /usr/local/etc/squid/ncsa.sams (ncsa_auth
841 ?? Ss 0:00.00 (ncsa_auth) /usr/local/etc/squid/ncsa.sams (ncsa_auth
842 ?? Ss 0:00.01 (ncsa_auth) /usr/local/etc/squid/ncsa.sams (ncsa_auth
843 ?? Ss 0:00.00 (ncsa_auth) /usr/local/etc/squid/ncsa.sams (ncsa_auth
845 p0 R+ 0:00.00 grep squid
но с этим возможно причина в том что squid скрипт лежит в нескольких папках.
ну в общем наверное все мои проблемы
теперь исходные данные
/usr/local/etc/squid/squid.conf (правила базовый конфиг, привожу разделы, которые менялись мной или были указаны в инструкции)
Код: Выделить всё
# TAG: auth_param
auth_param basic program /usr/local/libexec/squid/ncsa_auth /usr/local/etc/squid/ncsa.sa
auth_param basic children 5
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 2 hours
auth_param basic casesensitive off
# TAG: acl
acl _sams_4a676fb9e5113 proxy_auth "/usr/local/etc/squid/4a676fb9e5113.sams"
acl _sams_4a676fb9e5113_time time MTHFAS 00:00-23:59
acl all src all
acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8
acl localnet src 10.0.0.0/8 # RFC1918 possible internal network
acl localnet src 172.16.0.0/12 # RFC1918 possible internal network
acl localnet src 192.168.0.0/16 # RFC1918 possible internal network
acl bad_networks dst "/usr/local/squid/bad_networks.conf"
#acl squidusers proxy_auth REQUIRED
#acl bad_networks dst "/usr/local/squid/bad_networks.conf"
#
acl SSL_ports port 443
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT
# TAG: http_access
http_access allow _sams_4a676fb9e5113 _sams_4a676fb9e5113_time
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localnet
http_access deny all
# TAG: url_rewrite_program
url_rewrite_program /usr/local/rejik/redirector /usr/local/rejik/redirector.conf
# TAG: hierarchy_stoplist
hierarchy_stoplist cgi-bin ?
cache_mem 8 MB 64 MB
maximum_object_size_in_memory 512 KB
cache_dir ufs /usr/local/squid/cache 2048 64 256
maximum_object_size 8092 KB
access_log /usr/local/squid/logs/access.log squid
cache_log /var/log/squid/cache.log
cache_store_log /var/log/squid/store.log
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern . 0 20% 4320
cache_effective_user squid
# TAG: delay_class
delay_pools 1
delay_class 1 2
delay_access 1 allow _sams_4a676fb9e5113
delay_access 1 deny all
delay_parameters 1 524288/524288 524288/524288
Код: Выделить всё
[client]
SQUID_DB=squidlog
SAMS_DB=squidctrl
MYSQLHOSTNAME=localhost
MYSQLUSER=mysql
MYSQLPASSWORD=samspasswd
MYSQLVERSION=5.0
SQUIDCACHEFILE=access.log
SQUIDROOTDIR=/usr/local/etc/squid
SQUIDLOGDIR=/usr/local/squid/logs
SQUIDCACHEDIR=/usr/local/squid/cache
SAMSPATH=/usr/local
SQUIDPATH=/usr/local/sbin
#SQUIDGUARDLOGPATH=/var/log
#SQUIDGUARDDBPATH=/var/db/squidGuard
RECODECOMMAND=iconv -f KOI8-R -t 866 %finp > %fout
#LDAPSERVER=servername_or_ipadress
#LDAPBASEDN=your.domain
#LDAPUSER=DomainAdministrator
#LDAPUSERPASSWD=passwd
#LDAPUSERSGROUP=Users
REJIKPATH=/usr/local/rejik
SHUTDOWNCOMMAND=/sbin/shutdown -h now
CACHENUM=0
Код: Выделить всё
error_log /usr/local/rejik/redirector.err
change_log /usr/local/rejik/redirector.log
make-cache /usr/local/rejik/make-cache
#allow_urls /usr/local/rejik/banlists/allow_urls
<BANNER>
ban_dir /usr/local/rejik/banlists/banners
url http://127.0.0.1/messages/1x1.gif
#log off
<PORNO>
ban_dir /usr/local/rejik/banlists/porno
url http://127.0.0.1/messages/porno.html
<MP3>
ban_dir /usr/local/rejik/banlists/mp3
url http://127.0.0.1/messages/mp3.html
<JS>
ban_dir /usr/local/rejik/banlists/js
url http://127.0.0.1/messages/js.js
#log off
<_sams_4a676fb9e5113_denied>
work_id f:/usr/local/rejik/4a676fb9e5113.sams
ban_dir /usr/local/rejik/_sams_banlists/4a676fb9e5113_denied
url http://192.168.0.183/sams/messages/blocked.php?action=rejikdenied&url=#URL# #_sams_
Последний раз редактировалось Deska 2009-07-31 6:44:52, всего редактировалось 2 раза.
-
- проходил мимо
- Сообщения: 2
- Зарегистрирован: 2009-07-30 22:27:41
Re: Обсуждение SAMS (Squid Account Manager System)
дополнение по поводу вывода
ps -ax | grep squid
как и оказалось скрипт сквида был в нескольких экземлярах и запускался несколько раз, пофиксила теперь
не понимаю как связана авторизация с использованием samsf -d
ps -ax | grep squid
как и оказалось скрипт сквида был в нескольких экземлярах и запускался несколько раз, пофиксила теперь
Код: Выделить всё
ps -ax | grep squid
653 ?? Is 0:00.00 /usr/local/sbin/squid -D
657 ?? S 0:00.25 (squid) -D (squid)
676 ?? Is 0:00.01 (ncsa_auth) /usr/local/etc/squid/ncsa.sams (ncsa_auth
677 ?? Is 0:00.00 (ncsa_auth) /usr/local/etc/squid/ncsa.sams (ncsa_auth
682 ?? Is 0:00.00 (ncsa_auth) /usr/local/etc/squid/ncsa.sams (ncsa_auth
685 ?? Is 0:00.00 (ncsa_auth) /usr/local/etc/squid/ncsa.sams (ncsa_auth
687 ?? Is 0:00.01 (ncsa_auth) /usr/local/etc/squid/ncsa.sams (ncsa_auth
Последний раз редактировалось Deska 2009-07-31 6:40:59, всего редактировалось 1 раз.
- Cancer
- Гл. Кастратор
- Сообщения: 1269
- Зарегистрирован: 2008-03-25 12:21:36
- Откуда: г. Ростов-на-Дону
- Контактная информация:
Re: Обсуждение SAMS (Squid Account Manager System)
Оформите нормально
Правила форума
Убедительная просьба юзать теги
Правила форума
Убедительная просьба юзать теги
Код: Выделить всё
при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.[/color][/b]
-
- рядовой
- Сообщения: 13
- Зарегистрирован: 2009-07-24 11:45:08
Re: Обсуждение SAMS (Squid Account Manager System)
Я использую следующие правила:Cancer писал(а): Настраиваешь firewallКод: Выделить всё
# Перва сетевая карта Локалка (192.168.55.11) int_if="rl0" # Вторая сетевая карта Мир (192.168.1.11) ext_if="rl1" # LAN (локальная сеть) lan_net="{ 192.168.55.0/24 }" set block-policy drop set skip on lo0 scrub in all # Если нет Внутреннего днс сервера, то прокидываем порт на ДНС провайдера nat pass on $ext_if from $lan_net to ip_dns_сервера port 53 -> $ext_if # Для почты nat pass on $ext_if from $lan_net to any port 25 -> $ext_if nat pass on $ext_if from $lan_net to any port 110 -> $ext_if pass in quick on $int_if from $lan_net to any pass out quick on $int_if from self to $lan_net pass out quick on $ext_if from self to any keep state block in on $ext_if from any to any
Код: Выделить всё
#!/bin/sh
# для начала вводим переменные - для нашего же удобства, чтобы не
# вводить по сотне раз одно и то же, а потом искать почему не работает,
# и в итоге выяснять, что ошибся IP адресом в одном из правил
FwCMD="/sbin/ipfw" # собственно где лежит бинарник ipfw
LanOut="xl0" # внешний интерфейс
LanIn="sis0" # внутренний интерфейс
IpOut="222.222.222.222" # внешний IP адрес машины
IpIn="192.168.20.254" # внутренний IP машины
NetMask="24" # маска сети (если она разная для внешней
# и внутренней сети - придётся вводить ещё
# одну переменную, но самое забавное, что
# можно и забить - оставить 24 - всё будет
# работать, по крайней мере я пробовал -
# работаало на 4-х машинах, в разных сетях,
# с разными масками - настоящими разными! но -
# это неправильно.)
NetIn="192.168.20.0" # Внутренняя сеть
# Сбрасываем все правила:
${FwCMD} -f flush
# Проверяем - соответствует ли пакет динамическим правилам:
${FwCMD} add check-state
# Разрешаем весь траффик по внутреннему интерфейсу (петле)
# Вообще я во многих местах читал что без него может ничё не заработать вообще
# и прочие страшилки. Работает - почта, апач, .... А вот squid - не работает :)
# так что без него и правда - никуда.
${FwCMD} add allow ip from any to any via lo0
# рубим попытки lo0 куда-то лезть и откуда-то лезть на lo0 (вот честно - ни
# одного пакета по этим правилам не зарубилось за всё время... Может в этом
# моё счастье? :))
${FwCMD} add deny ip from any to 127.0.0.0/8
${FwCMD} add deny ip from 127.0.0.0/8 to any
# Вводим запреты:
# режем частные сети на внешнем интерфейсе - по легенде он у нас
# смотрит в интернет, а значит пакетам этим браться неоткуда на нём.
# рубим частные сeти
${FwCMD} add deny ip from any to 10.0.0.0/8 in via ${LanOut}
${FwCMD} add deny ip from any to 172.16.0.0/12 in via ${LanOut}
${FwCMD} add deny ip from any to 192.168.0.0/16 in via ${LanOut}
${FwCMD} add deny ip from any to 0.0.0.0/8 in via ${LanOut}
# рубим автоконфигуреную частную сеть
${FwCMD} add deny ip from any to 169.254.0.0/16 in via ${LanOut}
# рубаем мультикастовые рассылки
${FwCMD} add deny ip from any to 240.0.0.0/4 in via ${LanOut}
# рубим фрагментированные icmp
${FwCMD} add deny icmp from any to any frag
# рубим широковещательные icmp на внешнем интерфейсе
${FwCMD} add deny log icmp from any to 255.255.255.255 in via ${LanOut}
${FwCMD} add deny log icmp from any to 255.255.255.255 out via ${LanOut}
# а тут собственно файрволл и начался:
# отправляем всех на frox
${FwCMD} add fwd ${IpIn},2121 tcp from ${NetIn}/${NetMask} to any 21 via ${LanOut}
# отправляем всех на squid (в данном случае - прокси прозрачный)
${FwCMD} add fwd 127.0.0.1,3128 tcp from ${NetIn}/${NetMask} to any 80 via ${LanOut}
# пропускаем траффик через трансляцию сетевых адресов (NAT)
${FwCMD} add divert natd ip from ${NetIn}/${NetMask} to any out via ${LanOut}
${FwCMD} add divert natd ip from any to ${IpOut} in via ${LanOut}
# рубим траффик к частным сетям через внешний интерфейс
# заметтьте - эти правила отличаются от тех что были выше!
${FwCMD} add deny ip from 10.0.0.0/8 to any out via ${LanOut}
${FwCMD} add deny ip from 172.16.0.0/12 to any out via ${LanOut}
${FwCMD} add deny ip from 192.168.0.0/16 to any out via ${LanOut}
${FwCMD} add deny ip from 0.0.0.0/8 to any out via ${LanOut}
# рубим автоконфигуреную частную сеть
${FwCMD} add deny ip from 169.254.0.0/16 to any out via ${LanOut}
# рубаем мультикастовые рассылки
${FwCMD} add deny ip from 224.0.0.0/4 to any out via ${LanOut}
# рубаем мультикастовые рассылки
${FwCMD} add deny ip from 240.0.0.0/4 to any out via ${LanOut}
# разрешаем все установленные соединения (если они установились -
# значит по каким-то правилам они проходили.)
${FwCMD} add allow tcp from any to any established
# разрешаем весь исходящий траффик (серверу-то в инет можно? :))
${FwCMD} add allow ip from ${IpOut} to any out xmit ${LanOut}
# разрешаем DNS снаружи (нам же надо узнавать IP по именам машин?)
${FwCMD} add allow udp from any 53 to any via ${LanOut}
# разрешаем DNS входящий снаружи - если на этой машине работает named
# и держит какую-то зону. В остальных случаях - не нужно
${FwCMD} add allow udp from any to any 53 via ${LanOut}
# разрешаем UDP (для синхронизации времени - 123 порт)
${FwCMD} add allow udp from any to any 123 via ${LanOut}
# разрешаем ftp снаружи (оба правила - для пасивного режима)
# для узнавания портранджа по которому будет работать, лезем в
#/usr/home/lissyara/>sysctl net.inet.ip.portrange.first
# net.inet.ip.portrange.first: 49152
# /usr/home/lissyara/>sysctl net.inet.ip.portrange.last
# net.inet.ip.portrange.last: 65535
${FwCMD} add allow tcp from any to ${IpOut} 21 via ${LanOut}
#Можно изгалиться примерно так, если есть желание, но я предпочитаю руками
#${FwCMD} add allow tcp from any to ${IpOut} \
#`sysctl net.inet.ip.portrange.first | awk '{print $2}'`-\
#`sysctl net.inet.ip.portrange.last | awk '{print $2}'` via ${LanOut}
${FwCMD} add allow tcp from any to ${IpOut} 49152-65535 via ${LanOut}
# разрешаем некоторые типы ICMP траффика - эхо-запрос,
# эхо-ответ и время жизни пакета истекло
${FwCMD} add allow icmp from any to any icmptypes 0,8,11
# открываем снаружи 80 порт - если у нас есть WWW сервер на машине
${FwCMD} add allow tcp from any to ${IpOut} 80 via ${LanOut}
# открываем снаружи 25 порт (SMTP) если на машине крутится почта
#${FwCMD} add allow tcp from any to ${IpOut} 25 via ${LanOut}
# открываем снаружи 22 порт - если надо будет ходить на машину по ssh
${FwCMD} add allow tcp from any to ${IpOut} 22 via ${LanOut}
# открываем снаружи 143 порт(если надо смотреть почту снаружи по IMAP)
${FwCMD} add allow tcp from any to ${IpOut} 143 via ${LanOut}
# открываем снаружи 110 порт(если надо смотреть почту снаружи по POP)
${FwCMD} add allow tcp from any to ${IpOut} 110 via ${LanOut}
# по поводу следующих трёх правил, для tcp, udp и icmp - их можно
# заменить одним правилом:
#${FwCMD} add allow ip from any to any via ${LanIn}
# но для удобства наладки и контроля происходящего я предпочитаю три отдельных
# правила, хотя могут быть грабли - например протокол gre не пройдёт -
# придётся стругать отдельное правило для него, типа
#${FwCMD} add allow gre from any to any via ${LanIn}
# итак:
# разрешаем весь tcp траффик внутри локалки (на внутреннем интерфейсе)
${FwCMD} add allow tcp from any to any via ${LanIn}
# разрешаем весь udp траффик внутри локалки (на внутреннем интерфейсе)
${FwCMD} add allow udp from any to any via ${LanIn}
# разрешаем весь icmp траффик внутри локалки (на внутреннем интерфейсе)
${FwCMD} add allow icmp from any to any via ${LanIn}
# запрещаем всё и всем. Если тип файрволла не open то это правило добавится
# автоматически, но всё-же ну его. Лучше сам. Надёжней.
${FwCMD} add deny ip from any to any
Код: Выделить всё
# пропускаем траффик через трансляцию сетевых адресов (NAT)
${FwCMD} add divert natd ip from ${NetIn}/${NetMask} to any out via ${LanOut}
${FwCMD} add divert natd ip from any to ${IpOut} in via ${LanOut}
- Cancer
- Гл. Кастратор
- Сообщения: 1269
- Зарегистрирован: 2008-03-25 12:21:36
- Откуда: г. Ростов-на-Дону
- Контактная информация:
Re: Обсуждение SAMS (Squid Account Manager System)
Прочитайте на сайте полно документации по этому поводу...
Просто IPFW не юзаю, да и думаю вам стоит создать отдельный топик с вопросом о настройки ipfw
Просто IPFW не юзаю, да и думаю вам стоит создать отдельный топик с вопросом о настройки ipfw
- server801
- ст. лейтенант
- Сообщения: 1421
- Зарегистрирован: 2008-09-27 21:15:16
- Откуда: Саратов
- Контактная информация:
Re: Обсуждение SAMS (Squid Account Manager System)
кто подскажет почему так?
http://IP/sams
начал и я разбираться с этой штуковиной
хотелось бы рабочие конфиги ,если есть
http://IP/sams
Код: Выделить всё
Warning: mysql_connect() [function.mysql-connect]: Access denied for user 'sams'@'localhost' (using password: YES) in /usr/local/share/sams/mysqltools.php on line 289
Access denied for user sams@localhost to MySQL
Warning: mysql_select_db() [function.mysql-select-db]: Access denied for user 'root'@'localhost' (using password: NO) in /usr/local/share/sams/mysqltools.php on line 296
Warning: mysql_select_db() [function.mysql-select-db]: A link to the server could not be established in /usr/local/share/sams/mysqltools.php on line 296
Warning: mysql_select_db() [function.mysql-select-db]: Access denied for user 'root'@'localhost' (using password: NO) in /usr/local/share/sams/mysqltools.php on line 303
Warning: mysql_select_db() [function.mysql-select-db]: A link to the server could not be established in /usr/local/share/sams/mysqltools.php on line 303
Код: Выделить всё
pkg_info | grep mysql
mysql-client-5.0.84 Multithreaded SQL database (client)
mysql-server-5.0.84 Multithreaded SQL database (server)
p5-DBD-mysql50-4.012 MySQL 5.0 driver for the Perl5 Database Interface (DBI)
php5-mysql-5.2.10 The mysql shared extension for php
php5-pdo_mysql-5.2.10 The pdo_mysql shared extension for php
Код: Выделить всё
pkg_info | grep php
php5-5.2.10 PHP Scripting Language
php5-bz2-5.2.10 The bz2 shared extension for php
php5-ctype-5.2.10 The ctype shared extension for php
php5-curl-5.2.10 The curl shared extension for php
php5-dom-5.2.10 The dom shared extension for php
php5-extensions-1.3 A "meta-port" to install PHP extensions
php5-filter-5.2.10 The filter shared extension for php
php5-ftp-5.2.10 The ftp shared extension for php
php5-gd-5.2.10 The gd shared extension for php
php5-gettext-5.2.10 The gettext shared extension for php
php5-hash-5.2.10 The hash shared extension for php
php5-iconv-5.2.10 The iconv shared extension for php
php5-json-5.2.10 The json shared extension for php
php5-mbstring-5.2.10 The mbstring shared extension for php
php5-mcrypt-5.2.10 The mcrypt shared extension for php
php5-mhash-5.2.10 The mhash shared extension for php
php5-mysql-5.2.10 The mysql shared extension for php
php5-openssl-5.2.10 The openssl shared extension for php
php5-pcre-5.2.10 The pcre shared extension for php
php5-pdo-5.2.10 The pdo shared extension for php
php5-pdo_mysql-5.2.10 The pdo_mysql shared extension for php
php5-pdo_sqlite-5.2.10 The pdo_sqlite shared extension for php
php5-posix-5.2.10 The posix shared extension for php
php5-session-5.2.10 The session shared extension for php
php5-simplexml-5.2.10 The simplexml shared extension for php
php5-spl-5.2.10 The spl shared extension for php
php5-sqlite-5.2.10 The sqlite shared extension for php
php5-tokenizer-5.2.10 The tokenizer shared extension for php
php5-xml-5.2.10 The xml shared extension for php
php5-xmlreader-5.2.10 The xmlreader shared extension for php
php5-xmlwriter-5.2.10 The xmlwriter shared extension for php
php5-zip-5.2.10 The zip shared extension for php
php5-zlib-5.2.10 The zlib shared extension for php
phpMyAdmin-3.2.0.1 A set of PHP-scripts to manage MySQL over the web
phpbb-3.0.5 A PHP-based bulletin board / discussion forum system
Код: Выделить всё
pkg_info | grep apache
apache-2.2.11_7 Version 2.2.x of Apache web server with prefork MPM.
Код: Выделить всё
uname -a
FreeBSD host.bsd 7.2-RELEASE-p3 FreeBSD 7.2-RELEASE-p3 #0: Sat Aug 1 21:37:36 MSD 2009 freedom@host.bsd:/usr/obj/usr/src/sys/GENERIC i386
- Cancer
- Гл. Кастратор
- Сообщения: 1269
- Зарегистрирован: 2008-03-25 12:21:36
- Откуда: г. Ростов-на-Дону
- Контактная информация:
Re: Обсуждение SAMS (Squid Account Manager System)
Ты уже пробовал создавать БД из веб интерфеса, эти ошибки из за того что не может к БД подключиться так как пользователь sams и базы не созданы.
- server801
- ст. лейтенант
- Сообщения: 1421
- Зарегистрирован: 2008-09-27 21:15:16
- Откуда: Саратов
- Контактная информация:
Re: Обсуждение SAMS (Squid Account Manager System)
да не,не пробовал.поставил,зашел и вот такая вот фигня
конфиг ,честно спертый у вас
squid.conf
sams.conf
только вот нету у меня такого
конфиг ,честно спертый у вас
squid.conf
Код: Выделить всё
auth_param basic program /usr/local/libexec/squid/ncsa_auth /usr/local/etc/squid/ncsa.sams
auth_param basic children 5
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 2 hours
auth_param basic casesensitive off
acl _sams_default proxy_auth "/usr/local/etc/sams.conf"
acl _sams_default_time time MTWHFAS 00:00-23:00
acl all src all
acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8
acl localnet src 10.0.0.0/8 # RFC1918 possible internal network
acl localnet src 172.16.0.0/12 # RFC1918 possible internal network
acl localnet src 192.168.0.0/16 # RFC1918 possible internal network
acl SSL_ports port 443
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT
acl squidusers proxy_auth REQUIRED
#http_access allow _sams_default _sams_default_time
http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow squidusers
http_access allow localnet
http_access deny all
icp_access allow localnet
icp_access deny all
http_port 3128
hierarchy_stoplist cgi-bin ?
access_log /usr/local/squid/logs/access.log squid
url_rewrite_program /usr/local/rejik/redirector /usr/local/rejik/redirector.conf
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern . 0 20% 4320
acl shoutcast rep_header X-HTTP09-First-Line ^ICY.[0-9]
upgrade_http0.9 deny shoutcast
acl apache rep_header Server ^Apache
broken_vary_encoding allow apache
forwarded_for off
coredump_dir /usr/local/squid/cache
Код: Выделить всё
[client]
SQUID_DB=squidlog
SAMS_DB=squidctrl
MYSQLHOSTNAME=localhost
MYSQLUSER=sams
MYSQLPASSWORD=samspasswd
MYSQLVERSION=5.0
SQUIDCACHEFILE=access.log
SQUIDROOTDIR=/usr/local/etc/squid
SQUIDLOGDIR=/usr/local/squid/logs
SQUIDCACHEDIR=/var/spool/squid
SAMSPATH=/usr/local
SQUIDPATH=/usr/local/sbin
SQUIDGUARDLOGPATH=/var/log
SQUIDGUARDDBPATH=/var/db/squidGuard
RECODECOMMAND=iconv -f KOI8-R -t 866 %finp > %fout
LDAPSERVER=servername_or_ipadress
LDAPBASEDN=your.domain
LDAPUSER=DomainAdministrator
LDAPUSERPASSWD=passwd
LDAPUSERSGROUP=Users
REJIKPATH=/usr/local/rejik
SHUTDOWNCOMMAND=/sbin/shutdown -h now
CACHENUM=0
Код: Выделить всё
/usr/local/etc/squid/ncsa.sams
- Cancer
- Гл. Кастратор
- Сообщения: 1269
- Зарегистрирован: 2008-03-25 12:21:36
- Откуда: г. Ростов-на-Дону
- Контактная информация:
Re: Обсуждение SAMS (Squid Account Manager System)
Да я понимаю, там все в таких ошибках
но есть же кнопка Run SAMS database installation script
На нее жмякай и вперед в статье написано
но есть же кнопка Run SAMS database installation script
На нее жмякай и вперед в статье написано
- server801
- ст. лейтенант
- Сообщения: 1421
- Зарегистрирован: 2008-09-27 21:15:16
- Откуда: Саратов
- Контактная информация:
Re: Обсуждение SAMS (Squid Account Manager System)
Код: Выделить всё
SAMS installations
File squid_db.sql opened
Please wait, database createst may take up to 30 minutes.................
Database successfully generated
File sams_db.sql opened
Please wait, database createst may take up to 30 minutes.......................................................
Database successfully generated
SAMS databases created
Please wait, create SAMS MySQL user...
SAMS MySQL user created
а дальше вот это
Код: Выделить всё
Warning: mysql_connect() [function.mysql-connect]: Access denied for user 'sams'@'localhost' (using password: YES) in /usr/local/share/sams/mysqltools.php on line 289
Access denied for user sams@localhost to MySQL
Warning: mysql_select_db() [function.mysql-select-db]: Access denied for user 'root'@'localhost' (using password: NO) in /usr/local/share/sams/mysqltools.php on line 296
Warning: mysql_select_db() [function.mysql-select-db]: A link to the server could not be established in /usr/local/share/sams/mysqltools.php on line 296
Warning: mysql_select_db() [function.mysql-select-db]: Access denied for user 'root'@'localhost' (using password: NO) in /usr/local/share/sams/mysqltools.php on line 303
Warning: mysql_select_db() [function.mysql-select-db]: A link to the server could not be established in /usr/local/share/sams/mysqltools.php on line 303 SAMS databases not connected
The base squidlog not created or the user sams has no rights to connection to it
The base squidctrl not created or the user sams has no rights to connection to it
Код: Выделить всё
/usr/local/etc/rc.d/sams start
Starting sams.
mysql_real_connect() error 0. no open database squidctrl, DELAY 3 sec
mysql_real_connect() error 1. no open database squidctrl, DELAY 3 sec
mysql_real_connect() error 2. no open database squidctrl, DELAY 3 sec
Последний раз редактировалось server801 2009-08-03 15:07:22, всего редактировалось 1 раз.
- Cancer
- Гл. Кастратор
- Сообщения: 1269
- Зарегистрирован: 2008-03-25 12:21:36
- Откуда: г. Ростов-на-Дону
- Контактная информация:
Re: Обсуждение SAMS (Squid Account Manager System)
Вот же ответ
Скорее всего ты када создавал пользователя sams не такой пароль указал который в sams.conf
Если да, то поменяй пароль в sams.conf на тот который вписывал при создании
ИЛИ
Сноси БД и заного создавай
смотри внимательнее...
Код: Выделить всё
The base squidlog not created or the user sams has no rights to connection to it
The base squidctrl not created or the user sams has no rights to connection to it
Если да, то поменяй пароль в sams.conf на тот который вписывал при создании
ИЛИ
Сноси БД и заного создавай
смотри внимательнее...
Код: Выделить всё
MySQL Hostname: Указываем где у нас находится сервер MySQL, а именно localhost
MySQL login: Вводим администратора СуБД MySQL, а именно root
MySQL password: Пароль root СУБД MYSQL
Sams MySQL user: Вводим пользователя под которым самс будет подключаться к БД (а именно которого мы указали в sams.conf)
Sams MySQL user password: Вводим пароль для пользователя sams, естественно так же который мы указали в sams.conf
Ну и нажимаем кнопку Create Database
- server801
- ст. лейтенант
- Сообщения: 1421
- Зарегистрирован: 2008-09-27 21:15:16
- Откуда: Саратов
- Контактная информация:
Re: Обсуждение SAMS (Squid Account Manager System)
спасибо!завелось!копаем далее......
и так всегда.сквид не страртует?
Код: Выделить всё
/usr/local/etc/rc.d/squid restart
Starting squid.
Последний раз редактировалось server801 2009-08-03 15:13:56, всего редактировалось 1 раз.
- Cancer
- Гл. Кастратор
- Сообщения: 1269
- Зарегистрирован: 2008-03-25 12:21:36
- Откуда: г. Ростов-на-Дону
- Контактная информация:
Re: Обсуждение SAMS (Squid Account Manager System)
server801 писал(а):спасибо!завелось!копаем далее......
Боянъчегъ
Со всеми бывает
- server801
- ст. лейтенант
- Сообщения: 1421
- Зарегистрирован: 2008-09-27 21:15:16
- Откуда: Саратов
- Контактная информация:
Re: Обсуждение SAMS (Squid Account Manager System)
выше написал
и валится в коруhost# host# ps axw | grep squid
1453 p0 D+ 0:00,00 grep squid
host# ps axw | grep rejik
1455 p0 RL+ 0:00,00 grep rejik
host# ps axw | grep samsdaemon
989 p0 S 0:00,21 /usr/local/bin/samsdaemon
1457 p0 RL+ 0:00,00 grep samsdaemon
Последний раз редактировалось server801 2009-08-03 15:32:08, всего редактировалось 3 раза.