Обсуждение SAMS (Squid Account Manager System)

[BreezeYZ]

Запусти

Код: Выделить всё

1. Останови демон самса
2. Добавь пользователя /usr/local/bin/htpasswd -c /usr/local/etc/squid/ncsa.sams vash_user
3. Запусти сквид
4 .Запусти демон самса
5. Добавь пользователя в самсе, в веб интерфейсе
6. Реконфигурируй сквид из админки

Не получается, я так понимаю после нажатия кнопки реконфигурации пропадает файлик ncsa.sams, и из-за этого сквид не запускается

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[Cancer]

Запусти

Код: Выделить всё

1. Останови демон самса
2. Добавь пользователя /usr/local/bin/htpasswd -c /usr/local/etc/squid/ncsa.sams vash_user
3. Запусти сквид
4 .Запусти демон самса
5. Добавь пользователя в самсе, в веб интерфейсе
6. Реконфигурируй сквид из админки

Не получается, я так понимаю после нажатия кнопки реконфигурации пропадает файлик ncsa.sams, и из-за этого сквид не запускается

Попробуйте в веб интерфейсе протестировать Базу Данных....

далее запускайте демон самса в дебаг

Код: Выделить всё

//> samsdaemon -d

и смотрите то будет после реконфигурирования

[BreezeYZ]

Попробуйте в веб интерфейсе протестировать Базу Данных....

далее запускайте демон самса в дебаг

Код: Выделить всё

//> samsdaemon -d

и смотрите то будет после реконфигурирования

Запустил прверку базы данных из веб-интерфейса все ОК!
Запустил демон самса в дебаг, после этого "Команда на реконфигурирование SQUID получена демоном", в консоли следующее:

Код: Выделить всё

countdown: 52
    Cache... 0
    User autentification... IP
    Sleep time of samsdaemon...  1 second
    Redirector... NONE
    SQUID log parser... diskret
    User traffic cleaner... YES
    Squidlog cache save... ALL
    User name recode... NO
    Delay pools... ON
    Domain separators... '0'
    Log level... '0'
    Create PDF file... NO
Creating SAMS users list /usr/local/etc/squid/4a69db8a039fb.sams
squid configure file: /usr/local/etc/squid/squid.conf
TAG: acl found... START
2 users found in template 4a69db8a039fb (auth_IP), create ACL
TAG: acl END

TAG: http_access found...  START
2 users found in the template 4a69db8a039fb (auth_IP), create access rights
TAG: http_access END
TAG: delay_class found
countdown: 51

ну и и после этого сквид естественно лежит...

[Cancer]

Так а можешь мне подробнее показать настройки из веб морды....
да и вот еще что у тебя случаем шаблон на русском называется?

[BreezeYZ]

Так а можешь мне подробнее показать настройки из веб морды....
да и вот еще что у тебя случаем шаблон не по русский называется?

см. ЛС
шаблон называется auth_IP

[BreezeYZ]

Спасибо Cancer-у, что показал на мои ошибки. Squid после реконфигурирования работает. Для IP авторизации в параметрах SAMS должна быть указана авторизация NCSA, в в шаблоне пользователя IP. Также насколько я понял должен присутствовать шаблон с авторизацией NCSA и в этот шаблон должен входить пользователь admin. Тоесть, если в файлике ncsa.sams отсутствуют записи с именем пользователя и паролем, он после нажатия кнопочки реконфигурирования удаляется, а при его отсутствии сквид не запускается.

[$HPAk]

Народ помогите ... ааа
всю голову сломал...
есть сайт , очень нужен по работе
http://hdcis.mpcis.be:9080/dcs_login.jsp

вся связка работает отменно....
а вот этот сайт режется ... через проксю.. ну стандартное выражение типа доступ к данному урлу запрещен
этот же сайт через НАТ работает

[Cancer]

Народ помогите ... ааа
всю голову сломал...
есть сайт , очень нужен по работе
http://hdcis.mpcis.be:9080/dcs_login.jsp

вся связка работает отменно....
а вот этот сайт режется ... через проксю.. ну стандартное выражение типа доступ к данному урлу запрещен
этот же сайт через НАТ работает

Так напиши что нужно сделать или что не получается...


У меня на него заходит нормально!

[BreezeYZ]

А как изменить дефолтовый пароль "qwerty" для пользователя admin, средствами админки это сделать нельзя, в базе "squidctrl" таблица "passwd", там он в зашифрованном виде?
Как запретить пользователям ходить в инет минуя прокси сервер отключением соответствующих настроек в броузере, но при этом почта должна работать без проксика? Сейчас почта работает без прокси.

[Cancer]

А как изменить дефолтовый пароль "qwerty" для пользователя admin

Этот вопрос конечно убил
Заходишь под admin 'ом
Авторизация пользователя - - - > Сменить пароль пользователя

Код: Выделить всё

Смена пароля пользователя "Администратор"

login:	                 [ admin  ]
Старый пароль:	         [        ]
Новый пароль:	          [        ]
Подтвердите новый пароль: [        ]

Как запретить пользователям ходить в инет минуя прокси сервер отключением соответствующих настроек в броузере, но при этом почта должна работать без проксика? Сейчас почта работает без прокси.

Настраиваешь firewall

Код: Выделить всё

# Перва сетевая карта Локалка (192.168.55.11)
int_if="rl0"

# Вторая сетевая карта Мир (192.168.1.11)
ext_if="rl1"

# LAN (локальная сеть)
lan_net="{ 192.168.55.0/24 }"

set block-policy drop
set skip on lo0
scrub in all

# Если нет Внутреннего днс сервера, то прокидываем порт на ДНС провайдера
nat pass on $ext_if from $lan_net to ip_dns_сервера port 53 -> $ext_if

# Для почты
nat pass on $ext_if from $lan_net to any port 25 -> $ext_if
nat pass on $ext_if from $lan_net to any port 110 -> $ext_if

pass in quick on $int_if from $lan_net to any
pass out quick on $int_if from self to $lan_net

pass out quick on $ext_if from self to any keep state
block in on $ext_if from any to any

[BreezeYZ]

А как изменить дефолтовый пароль "qwerty" для пользователя admin

Этот вопрос конечно убил
Заходишь под admin 'ом
Авторизация пользователя - - - > Сменить пароль пользователя

ага, заработался

[Deska]

ну и мне помогите что ли

есть squid sams и rejik

squid 2.7
sams 1.0.4
rejik 3.2.1
freebsd 6.3

хочется настроить squid с авторизацией по nsca и с автоматическим отключением при превышении лимита

получается то с переменным успехом

проблемы
1. авторизация через браузер запрашивается только в том случае если запущен samsf -d (если не запущен то не запрашивается хотя он висит красным samsf .core) (в документации прочла "Утилиты sams и samsf имеют возможность выполнять скрипт при отключении пользователя. " но просмотреть сам скрипт и понять как он работает не выходит) в общем этот момент в тумане
2.если не обращать внимание на на 1 проблему то авторизация работает юзер ходит в инет статистика считается, режиком всё режется, при достижении лимита юзер пишется отключенным, но продолжает ходить в инет, реконфигурирование, перезапуск браузера не помогают, но помогает рестрат самого сервака - тогда выскакивает сообщение что мол перекачено. Если увеличить юзеру лимит, то выскакивает окошко о запрете доступа без указания причины что перекачено.
3. т.к. без samsf -d не работала авторизация а сам он стартовать не желал - добавила автоматический его - запуск в папку со скриптами, прочла что это не есть правильно и попробовала этот скрипт убрать вообще
в результате после ребута

Код: Выделить всё

$ ps -ax | grep squid
  654  ??  Ss     0:00.00 /usr/local/sbin/squid -D
  670  ??  Is     0:00.00 /usr/local/sbin/squid -D
  677  ??  S      0:00.22 (squid) -D (squid)
  693  ??  Is     0:00.00 (ncsa_auth) /usr/local/etc/squid/ncsa.sams (ncsa_auth
  694  ??  Is     0:00.01 (ncsa_auth) /usr/local/etc/squid/ncsa.sams (ncsa_auth
  695  ??  Is     0:00.00 (ncsa_auth) /usr/local/etc/squid/ncsa.sams (ncsa_auth
  696  ??  Is     0:00.00 (ncsa_auth) /usr/local/etc/squid/ncsa.sams (ncsa_auth
  697  ??  Is     0:00.00 (ncsa_auth) /usr/local/etc/squid/ncsa.sams (ncsa_auth
  830  ??  S      0:00.04 (squid) -D (squid)
  838  ??  Ss     0:00.01 (ncsa_auth) /usr/local/etc/squid/ncsa.sams (ncsa_auth
  840  ??  Ss     0:00.01 (ncsa_auth) /usr/local/etc/squid/ncsa.sams (ncsa_auth
  841  ??  Ss     0:00.00 (ncsa_auth) /usr/local/etc/squid/ncsa.sams (ncsa_auth
  842  ??  Ss     0:00.01 (ncsa_auth) /usr/local/etc/squid/ncsa.sams (ncsa_auth
  843  ??  Ss     0:00.00 (ncsa_auth) /usr/local/etc/squid/ncsa.sams (ncsa_auth
  845  p0  R+     0:00.00 grep squid

и squid.core
но с этим возможно причина в том что squid скрипт лежит в нескольких папках.

ну в общем наверное все мои проблемы
теперь исходные данные

/usr/local/etc/squid/squid.conf (правила базовый конфиг, привожу разделы, которые менялись мной или были указаны в инструкции)

Код: Выделить всё

#  TAG: auth_param

auth_param basic program /usr/local/libexec/squid/ncsa_auth /usr/local/etc/squid/ncsa.sa
auth_param basic children 5
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 2 hours
auth_param basic casesensitive off

#  TAG: acl
acl _sams_4a676fb9e5113 proxy_auth "/usr/local/etc/squid/4a676fb9e5113.sams"
acl _sams_4a676fb9e5113_time time MTHFAS 00:00-23:59
acl all src all
acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8
acl localnet src 10.0.0.0/8     # RFC1918 possible internal network
acl localnet src 172.16.0.0/12  # RFC1918 possible internal network
acl localnet src 192.168.0.0/16 # RFC1918 possible internal network
acl bad_networks dst "/usr/local/squid/bad_networks.conf"
#acl squidusers proxy_auth REQUIRED
#acl bad_networks dst "/usr/local/squid/bad_networks.conf"

#
acl SSL_ports port 443
acl Safe_ports port 80          # http
acl Safe_ports port 21          # ftp
acl Safe_ports port 443         # https
acl Safe_ports port 70          # gopher
acl Safe_ports port 210         # wais
acl Safe_ports port 1025-65535  # unregistered ports
acl Safe_ports port 280         # http-mgmt
acl Safe_ports port 488         # gss-http
acl Safe_ports port 591         # filemaker
acl Safe_ports port 777         # multiling http
acl CONNECT method CONNECT

#  TAG: http_access
http_access allow _sams_4a676fb9e5113  _sams_4a676fb9e5113_time
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localnet
http_access deny all

#  TAG: url_rewrite_program
url_rewrite_program /usr/local/rejik/redirector /usr/local/rejik/redirector.conf

#  TAG: hierarchy_stoplist
hierarchy_stoplist cgi-bin ?

cache_mem 8 MB 64  MB
maximum_object_size_in_memory 512 KB
cache_dir ufs /usr/local/squid/cache  2048 64 256
maximum_object_size 8092 KB
access_log /usr/local/squid/logs/access.log squid
cache_log /var/log/squid/cache.log
cache_store_log /var/log/squid/store.log

refresh_pattern ^ftp:           1440    20%     10080
refresh_pattern ^gopher:        1440    0%      1440
refresh_pattern -i (/cgi-bin/|\?) 0     0%      0
refresh_pattern .               0       20%     4320

cache_effective_user squid

#  TAG: delay_class
delay_pools 1
delay_class 1 2
delay_access 1 allow _sams_4a676fb9e5113
delay_access 1 deny all
delay_parameters 1 524288/524288 524288/524288

/usr/local/etc/sams.conf

Код: Выделить всё

[client]
SQUID_DB=squidlog
SAMS_DB=squidctrl
MYSQLHOSTNAME=localhost
MYSQLUSER=mysql
MYSQLPASSWORD=samspasswd
MYSQLVERSION=5.0
SQUIDCACHEFILE=access.log
SQUIDROOTDIR=/usr/local/etc/squid
SQUIDLOGDIR=/usr/local/squid/logs
SQUIDCACHEDIR=/usr/local/squid/cache
SAMSPATH=/usr/local
SQUIDPATH=/usr/local/sbin
#SQUIDGUARDLOGPATH=/var/log
#SQUIDGUARDDBPATH=/var/db/squidGuard
RECODECOMMAND=iconv -f KOI8-R -t 866 %finp > %fout
#LDAPSERVER=servername_or_ipadress
#LDAPBASEDN=your.domain
#LDAPUSER=DomainAdministrator
#LDAPUSERPASSWD=passwd
#LDAPUSERSGROUP=Users
REJIKPATH=/usr/local/rejik
SHUTDOWNCOMMAND=/sbin/shutdown -h now
CACHENUM=0

/usr/local/rejik/redirector.conf

Код: Выделить всё

error_log /usr/local/rejik/redirector.err
change_log /usr/local/rejik/redirector.log
make-cache /usr/local/rejik/make-cache
#allow_urls /usr/local/rejik/banlists/allow_urls

<BANNER>
ban_dir /usr/local/rejik/banlists/banners
url http://127.0.0.1/messages/1x1.gif
#log off

<PORNO>
ban_dir  /usr/local/rejik/banlists/porno
url http://127.0.0.1/messages/porno.html

<MP3>
ban_dir /usr/local/rejik/banlists/mp3
url http://127.0.0.1/messages/mp3.html

<JS>
ban_dir /usr/local/rejik/banlists/js
url http://127.0.0.1/messages/js.js
#log off
<_sams_4a676fb9e5113_denied>
work_id f:/usr/local/rejik/4a676fb9e5113.sams
ban_dir /usr/local/rejik/_sams_banlists/4a676fb9e5113_denied
url http://192.168.0.183/sams/messages/blocked.php?action=rejikdenied&url=#URL#  #_sams_

что ещё нужно выложу.

[Deska]

дополнение по поводу вывода
ps -ax | grep squid
как и оказалось скрипт сквида был в нескольких экземлярах и запускался несколько раз, пофиксила теперь

Код: Выделить всё

ps -ax | grep squid
  653  ??  Is     0:00.00 /usr/local/sbin/squid -D
  657  ??  S      0:00.25 (squid) -D (squid)
  676  ??  Is     0:00.01 (ncsa_auth) /usr/local/etc/squid/ncsa.sams (ncsa_auth
  677  ??  Is     0:00.00 (ncsa_auth) /usr/local/etc/squid/ncsa.sams (ncsa_auth
  682  ??  Is     0:00.00 (ncsa_auth) /usr/local/etc/squid/ncsa.sams (ncsa_auth
  685  ??  Is     0:00.00 (ncsa_auth) /usr/local/etc/squid/ncsa.sams (ncsa_auth
  687  ??  Is     0:00.01 (ncsa_auth) /usr/local/etc/squid/ncsa.sams (ncsa_auth

не понимаю как связана авторизация с использованием samsf -d

[Cancer]

Оформите нормально

Правила форума
Убедительная просьба юзать теги

Код: Выделить всё

 при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.[/color][/b]

[BreezeYZ]

Настраиваешь firewall

Код: Выделить всё

# Перва сетевая карта Локалка (192.168.55.11)
int_if="rl0"

# Вторая сетевая карта Мир (192.168.1.11)
ext_if="rl1"

# LAN (локальная сеть)
lan_net="{ 192.168.55.0/24 }"

set block-policy drop
set skip on lo0
scrub in all

# Если нет Внутреннего днс сервера, то прокидываем порт на ДНС провайдера
nat pass on $ext_if from $lan_net to ip_dns_сервера port 53 -> $ext_if

# Для почты
nat pass on $ext_if from $lan_net to any port 25 -> $ext_if
nat pass on $ext_if from $lan_net to any port 110 -> $ext_if

pass in quick on $int_if from $lan_net to any
pass out quick on $int_if from self to $lan_net

pass out quick on $ext_if from self to any keep state
block in on $ext_if from any to any

Я использую следующие правила:

Код: Выделить всё

#!/bin/sh

# для начала вводим переменные - для нашего же удобства, чтобы не 
# вводить по сотне раз одно и то же, а потом искать почему не работает,
# и в итоге выяснять, что ошибся IP адресом в одном из правил

FwCMD="/sbin/ipfw" # собственно где лежит бинарник ipfw
LanOut="xl0"            # внешний интерфейс
LanIn="sis0"            # внутренний интерфейс
IpOut="222.222.222.222" # внешний IP адрес машины
IpIn="192.168.20.254"   # внутренний IP машины
NetMask="24"            # маска сети (если она разная для внешней 
                        # и внутренней сети - придётся вводить ещё 
                        # одну переменную, но самое забавное, что 
                        # можно и забить - оставить 24 - всё будет 
                        # работать, по крайней мере я пробовал - 
                        # работаало на 4-х машинах, в разных сетях, 
                        # с разными масками - настоящими разными! но - 
                        # это неправильно.)
NetIn="192.168.20.0"    # Внутренняя сеть

# Сбрасываем все правила:
${FwCMD} -f flush

# Проверяем - соответствует ли пакет динамическим правилам:
${FwCMD} add check-state

# Разрешаем весь траффик по внутреннему интерфейсу (петле)
# Вообще я во многих местах читал что без него может ничё не заработать вообще
# и прочие страшилки. Работает - почта, апач, .... А вот squid - не работает :)
# так что без него и правда - никуда.
${FwCMD} add allow ip from any to any via lo0
# рубим попытки lo0 куда-то лезть и откуда-то лезть на lo0 (вот честно - ни
# одного пакета по этим правилам не зарубилось за всё время... Может в этом
# моё счастье? :))
${FwCMD} add deny ip from any to 127.0.0.0/8
${FwCMD} add deny ip from 127.0.0.0/8 to any


# Вводим запреты:
# режем частные сети на внешнем интерфейсе - по легенде он у нас 
# смотрит в интернет, а значит пакетам этим браться неоткуда на нём.
# рубим частные сeти
${FwCMD} add deny ip from any to 10.0.0.0/8 in via ${LanOut}
${FwCMD} add deny ip from any to 172.16.0.0/12 in via ${LanOut}
${FwCMD} add deny ip from any to 192.168.0.0/16 in via ${LanOut}
${FwCMD} add deny ip from any to 0.0.0.0/8 in via ${LanOut}
# рубим автоконфигуреную частную сеть
${FwCMD} add deny ip from any to 169.254.0.0/16 in via ${LanOut}
# рубаем мультикастовые рассылки
${FwCMD} add deny ip from any to 240.0.0.0/4 in via ${LanOut}
# рубим фрагментированные icmp
${FwCMD} add deny icmp from any to any frag
# рубим широковещательные icmp на внешнем интерфейсе
${FwCMD} add deny log icmp from any to 255.255.255.255 in via ${LanOut}
${FwCMD} add deny log icmp from any to 255.255.255.255 out via ${LanOut}

# а тут собственно файрволл и начался:

# отправляем всех на frox
${FwCMD} add fwd ${IpIn},2121 tcp from ${NetIn}/${NetMask} to any 21 via ${LanOut}
# отправляем всех на squid (в данном случае - прокси прозрачный)
${FwCMD} add fwd 127.0.0.1,3128 tcp from ${NetIn}/${NetMask} to any 80 via ${LanOut}


# пропускаем траффик через трансляцию сетевых адресов (NAT)
${FwCMD} add divert natd ip from ${NetIn}/${NetMask} to any out via ${LanOut}
${FwCMD} add divert natd ip from any to ${IpOut} in via ${LanOut}

# рубим траффик к частным сетям через внешний интерфейс
# заметтьте - эти правила отличаются от тех что были выше!
${FwCMD} add deny ip from 10.0.0.0/8 to any out via ${LanOut}
${FwCMD} add deny ip from 172.16.0.0/12 to any out via ${LanOut}
${FwCMD} add deny ip from 192.168.0.0/16 to any out via ${LanOut}
${FwCMD} add deny ip from 0.0.0.0/8 to any out via ${LanOut}
# рубим автоконфигуреную частную сеть
${FwCMD} add deny ip from 169.254.0.0/16 to any out via ${LanOut}
# рубаем мультикастовые рассылки
${FwCMD} add deny ip from 224.0.0.0/4 to any out via ${LanOut}
# рубаем мультикастовые рассылки
${FwCMD} add deny ip from 240.0.0.0/4 to any out via ${LanOut}


# разрешаем все установленные соединения (если они установились - 
# значит по каким-то правилам они проходили.)
${FwCMD} add allow tcp from any to any established
# разрешаем весь исходящий траффик (серверу-то в инет можно? :))
${FwCMD} add allow ip from ${IpOut} to any out xmit ${LanOut}

# разрешаем DNS снаружи (нам же надо узнавать IP по именам машин?)
${FwCMD} add allow udp from any 53 to any via ${LanOut}
# разрешаем DNS входящий снаружи - если на этой машине работает named
# и держит какую-то зону. В остальных случаях - не нужно
${FwCMD} add allow udp from any to any 53 via ${LanOut}
# разрешаем UDP (для синхронизации времени - 123 порт)
${FwCMD} add allow udp from any to any 123 via ${LanOut}
# разрешаем ftp снаружи (оба правила - для пасивного режима)
# для узнавания портранджа по которому будет работать, лезем в 
#/usr/home/lissyara/>sysctl net.inet.ip.portrange.first
# net.inet.ip.portrange.first: 49152
# /usr/home/lissyara/>sysctl net.inet.ip.portrange.last
# net.inet.ip.portrange.last: 65535
${FwCMD} add allow tcp from any to ${IpOut} 21 via ${LanOut}
#Можно изгалиться примерно так, если есть желание, но я предпочитаю руками
#${FwCMD} add allow tcp from any to ${IpOut} \
#`sysctl net.inet.ip.portrange.first | awk '{print $2}'`-\
#`sysctl net.inet.ip.portrange.last | awk '{print $2}'` via ${LanOut}
${FwCMD} add allow tcp from any to ${IpOut} 49152-65535 via ${LanOut}
# разрешаем некоторые типы ICMP траффика - эхо-запрос, 
# эхо-ответ и время жизни пакета истекло
${FwCMD} add allow icmp from any to any icmptypes 0,8,11
# открываем снаружи 80 порт - если у нас есть WWW сервер на машине
${FwCMD} add allow tcp from any to ${IpOut} 80 via ${LanOut}
# открываем снаружи 25 порт (SMTP) если на машине крутится почта
#${FwCMD} add allow tcp from any to ${IpOut} 25 via ${LanOut}
# открываем снаружи 22 порт - если надо будет ходить на машину по ssh
${FwCMD} add allow tcp from any to ${IpOut} 22 via ${LanOut}
# открываем снаружи 143 порт(если надо смотреть почту снаружи по IMAP)
${FwCMD} add allow tcp from any to ${IpOut} 143 via ${LanOut}
# открываем снаружи 110 порт(если надо смотреть почту снаружи по POP)
${FwCMD} add allow tcp from any to ${IpOut} 110 via ${LanOut}
# по поводу следующих трёх правил, для tcp, udp и icmp - их можно
# заменить одним правилом:
#${FwCMD} add allow ip from any to any via ${LanIn}
# но для удобства наладки и контроля происходящего я предпочитаю три отдельных
# правила, хотя могут быть грабли - например протокол gre не пройдёт - 
# придётся стругать отдельное правило для него, типа 
#${FwCMD} add allow gre from any to any via ${LanIn}
# итак:
# разрешаем весь tcp траффик внутри локалки (на внутреннем интерфейсе)
${FwCMD} add allow tcp from any to any via ${LanIn}
# разрешаем весь udp траффик внутри локалки (на внутреннем интерфейсе)
${FwCMD} add allow udp from any to any via ${LanIn}
# разрешаем весь icmp траффик внутри локалки (на внутреннем интерфейсе)
${FwCMD} add allow icmp from any to any via ${LanIn}
# запрещаем всё и всем. Если тип файрволла не open то это правило добавится
# автоматически, но всё-же ну его. Лучше сам. Надёжней.
${FwCMD} add deny ip from any to any

эти правила разрешают выход в интернет по всем портам?:

Код: Выделить всё

# пропускаем траффик через трансляцию сетевых адресов (NAT)
${FwCMD} add divert natd ip from ${NetIn}/${NetMask} to any out via ${LanOut}
${FwCMD} add divert natd ip from any to ${IpOut} in via ${LanOut}

как разрешить только 25,110,143 порты ?

[Cancer]

Прочитайте на сайте полно документации по этому поводу...

Просто IPFW не юзаю, да и думаю вам стоит создать отдельный топик с вопросом о настройки ipfw

[server801]

кто подскажет почему так?
http://IP/sams

Код: Выделить всё

Warning: mysql_connect() [function.mysql-connect]: Access denied for user 'sams'@'localhost' (using password: YES) in /usr/local/share/sams/mysqltools.php on line 289
Access denied for user sams@localhost to MySQL

Warning: mysql_select_db() [function.mysql-select-db]: Access denied for user 'root'@'localhost' (using password: NO) in /usr/local/share/sams/mysqltools.php on line 296

Warning: mysql_select_db() [function.mysql-select-db]: A link to the server could not be established in /usr/local/share/sams/mysqltools.php on line 296

Warning: mysql_select_db() [function.mysql-select-db]: Access denied for user 'root'@'localhost' (using password: NO) in /usr/local/share/sams/mysqltools.php on line 303

Warning: mysql_select_db() [function.mysql-select-db]: A link to the server could not be established in /usr/local/share/sams/mysqltools.php on line 303

начал и я разбираться с этой штуковиной

Код: Выделить всё

 pkg_info | grep mysql
mysql-client-5.0.84 Multithreaded SQL database (client)
mysql-server-5.0.84 Multithreaded SQL database (server)
p5-DBD-mysql50-4.012 MySQL 5.0 driver for the Perl5 Database Interface (DBI)
php5-mysql-5.2.10   The mysql shared extension for php
php5-pdo_mysql-5.2.10 The pdo_mysql shared extension for php

Код: Выделить всё

pkg_info | grep php
php5-5.2.10         PHP Scripting Language
php5-bz2-5.2.10     The bz2 shared extension for php
php5-ctype-5.2.10   The ctype shared extension for php
php5-curl-5.2.10    The curl shared extension for php
php5-dom-5.2.10     The dom shared extension for php
php5-extensions-1.3 A "meta-port" to install PHP extensions
php5-filter-5.2.10  The filter shared extension for php
php5-ftp-5.2.10     The ftp shared extension for php
php5-gd-5.2.10      The gd shared extension for php
php5-gettext-5.2.10 The gettext shared extension for php
php5-hash-5.2.10    The hash shared extension for php
php5-iconv-5.2.10   The iconv shared extension for php
php5-json-5.2.10    The json shared extension for php
php5-mbstring-5.2.10 The mbstring shared extension for php
php5-mcrypt-5.2.10  The mcrypt shared extension for php
php5-mhash-5.2.10   The mhash shared extension for php
php5-mysql-5.2.10   The mysql shared extension for php
php5-openssl-5.2.10 The openssl shared extension for php
php5-pcre-5.2.10    The pcre shared extension for php
php5-pdo-5.2.10     The pdo shared extension for php
php5-pdo_mysql-5.2.10 The pdo_mysql shared extension for php
php5-pdo_sqlite-5.2.10 The pdo_sqlite shared extension for php
php5-posix-5.2.10   The posix shared extension for php
php5-session-5.2.10 The session shared extension for php
php5-simplexml-5.2.10 The simplexml shared extension for php
php5-spl-5.2.10     The spl shared extension for php
php5-sqlite-5.2.10  The sqlite shared extension for php
php5-tokenizer-5.2.10 The tokenizer shared extension for php
php5-xml-5.2.10     The xml shared extension for php
php5-xmlreader-5.2.10 The xmlreader shared extension for php
php5-xmlwriter-5.2.10 The xmlwriter shared extension for php
php5-zip-5.2.10     The zip shared extension for php
php5-zlib-5.2.10    The zlib shared extension for php
phpMyAdmin-3.2.0.1  A set of PHP-scripts to manage MySQL over the web
phpbb-3.0.5         A PHP-based bulletin board / discussion forum system

Код: Выделить всё

pkg_info | grep apache
apache-2.2.11_7     Version 2.2.x of Apache web server with prefork MPM.

Код: Выделить всё

uname -a
FreeBSD host.bsd 7.2-RELEASE-p3 FreeBSD 7.2-RELEASE-p3 #0: Sat Aug  1 21:37:36 MSD 2009     freedom@host.bsd:/usr/obj/usr/src/sys/GENERIC  i386

хотелось бы рабочие конфиги ,если есть

[Cancer]

Ты уже пробовал создавать БД из веб интерфеса, эти ошибки из за того что не может к БД подключиться так как пользователь sams и базы не созданы.

[server801]

да не,не пробовал.поставил,зашел и вот такая вот фигня
конфиг ,честно спертый у вас
squid.conf

Код: Выделить всё

auth_param basic program /usr/local/libexec/squid/ncsa_auth /usr/local/etc/squid/ncsa.sams
auth_param basic children 5
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 2 hours
auth_param basic casesensitive off

acl _sams_default proxy_auth "/usr/local/etc/sams.conf"
acl _sams_default_time time MTWHFAS 00:00-23:00

acl all src all
acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8

acl localnet src 10.0.0.0/8     # RFC1918 possible internal network
acl localnet src 172.16.0.0/12  # RFC1918 possible internal network
acl localnet src 192.168.0.0/16 # RFC1918 possible internal network

acl SSL_ports port 443
acl Safe_ports port 80          # http
acl Safe_ports port 21          # ftp
acl Safe_ports port 443         # https
acl Safe_ports port 70          # gopher
acl Safe_ports port 210         # wais
acl Safe_ports port 1025-65535  # unregistered ports
acl Safe_ports port 280         # http-mgmt
acl Safe_ports port 488         # gss-http
acl Safe_ports port 591         # filemaker
acl Safe_ports port 777         # multiling http
acl CONNECT method CONNECT
acl squidusers proxy_auth REQUIRED

#http_access allow _sams_default  _sams_default_time

http_access allow manager localhost
http_access deny manager

http_access deny !Safe_ports

http_access deny CONNECT !SSL_ports

http_access allow squidusers
http_access allow localnet

http_access deny all

icp_access allow localnet
icp_access deny all

http_port 3128

hierarchy_stoplist cgi-bin ?

access_log /usr/local/squid/logs/access.log squid

url_rewrite_program /usr/local/rejik/redirector /usr/local/rejik/redirector.conf

refresh_pattern ^ftp:           1440    20%     10080
refresh_pattern ^gopher:        1440    0%      1440
refresh_pattern -i (/cgi-bin/|\?) 0     0%      0
refresh_pattern .               0       20%     4320

acl shoutcast rep_header X-HTTP09-First-Line ^ICY.[0-9]
upgrade_http0.9 deny shoutcast

acl apache rep_header Server ^Apache
broken_vary_encoding allow apache

forwarded_for off

coredump_dir /usr/local/squid/cache

sams.conf

Код: Выделить всё

[client]
SQUID_DB=squidlog
SAMS_DB=squidctrl
MYSQLHOSTNAME=localhost
MYSQLUSER=sams
MYSQLPASSWORD=samspasswd
MYSQLVERSION=5.0
SQUIDCACHEFILE=access.log
SQUIDROOTDIR=/usr/local/etc/squid
SQUIDLOGDIR=/usr/local/squid/logs
SQUIDCACHEDIR=/var/spool/squid
SAMSPATH=/usr/local
SQUIDPATH=/usr/local/sbin
SQUIDGUARDLOGPATH=/var/log
SQUIDGUARDDBPATH=/var/db/squidGuard
RECODECOMMAND=iconv -f KOI8-R -t 866 %finp > %fout 
LDAPSERVER=servername_or_ipadress
LDAPBASEDN=your.domain
LDAPUSER=DomainAdministrator
LDAPUSERPASSWD=passwd
LDAPUSERSGROUP=Users
REJIKPATH=/usr/local/rejik
SHUTDOWNCOMMAND=/sbin/shutdown -h now
CACHENUM=0

только вот нету у меня такого

Код: Выделить всё

/usr/local/etc/squid/ncsa.sams

[Cancer]

Да я понимаю, там все в таких ошибках
но есть же кнопка Run SAMS database installation script
На нее жмякай и вперед в статье написано

[server801]

Код: Выделить всё

SAMS installations


File squid_db.sql opened

Please wait, database createst may take up to 30 minutes.................

Database successfully generated

File sams_db.sql opened

Please wait, database createst may take up to 30 minutes.......................................................

Database successfully generated
SAMS databases created

Please wait, create SAMS MySQL user...
SAMS MySQL user created

ну вроде сделал
а дальше вот это

Код: Выделить всё

Warning: mysql_connect() [function.mysql-connect]: Access denied for user 'sams'@'localhost' (using password: YES) in /usr/local/share/sams/mysqltools.php on line 289
Access denied for user sams@localhost to MySQL

Warning: mysql_select_db() [function.mysql-select-db]: Access denied for user 'root'@'localhost' (using password: NO) in /usr/local/share/sams/mysqltools.php on line 296

Warning: mysql_select_db() [function.mysql-select-db]: A link to the server could not be established in /usr/local/share/sams/mysqltools.php on line 296

Warning: mysql_select_db() [function.mysql-select-db]: Access denied for user 'root'@'localhost' (using password: NO) in /usr/local/share/sams/mysqltools.php on line 303

Warning: mysql_select_db() [function.mysql-select-db]: A link to the server could not be established in /usr/local/share/sams/mysqltools.php on line 303	SAMS databases not connected

The base squidlog not created or the user sams has no rights to connection to it
The base squidctrl not created or the user sams has no rights to connection to it

и вот это

Код: Выделить всё

/usr/local/etc/rc.d/sams start
Starting sams.
mysql_real_connect() error 0. no open database squidctrl, DELAY 3 sec
mysql_real_connect() error 1. no open database squidctrl, DELAY 3 sec
mysql_real_connect() error 2. no open database squidctrl, DELAY 3 sec 

[Cancer]

Вот же ответ

Код: Выделить всё

The base squidlog not created or the user sams has no rights to connection to it
The base squidctrl not created or the user sams has no rights to connection to it

Скорее всего ты када создавал пользователя sams не такой пароль указал который в sams.conf
Если да, то поменяй пароль в sams.conf на тот который вписывал при создании

ИЛИ

Сноси БД и заного создавай

смотри внимательнее...

Код: Выделить всё

MySQL Hostname: Указываем где у нас находится сервер MySQL, а именно localhost
MySQL login: Вводим администратора СуБД MySQL, а именно root
MySQL password: Пароль root СУБД MYSQL
Sams MySQL user: Вводим пользователя под которым самс будет подключаться к БД (а именно которого мы указали в sams.conf)
Sams MySQL user password: Вводим пароль для пользователя sams, естественно так же который мы указали в sams.conf

Ну и нажимаем кнопку Create Database

[server801]

спасибо!завелось!копаем далее......

Код: Выделить всё

/usr/local/etc/rc.d/squid restart
Starting squid.

и так всегда.сквид не страртует?

[Cancer]

спасибо!завелось!копаем далее......

Боянъчегъ

Со всеми бывает

[server801]

выше написал

host# host# ps axw | grep squid
1453 p0 D+ 0:00,00 grep squid
host# ps axw | grep rejik
1455 p0 RL+ 0:00,00 grep rejik
host# ps axw | grep samsdaemon
989 p0 S 0:00,21 /usr/local/bin/samsdaemon
1457 p0 RL+ 0:00,00 grep samsdaemon

и валится в кору