PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : squidGuard greift nicht! HILFE


exponator
08.07.05, 08:34
Hallo zusammen,
ich habe in den letzten Tagen fast nur noch vorm Rechner gesessen und gelesen und studiert, damit ich die ACLs und configs von squid und squidGuard verstehe.
(Beides ist bereits installiert. Vorinstallierte configs angepasst.)
Nun habe ich die configs meinen Bedürfnissen angepasst, damit meine Kinder nicht zuviel Dreck aus dem Internet ziehen.
Nur; Warum greift squidGuard nicht, obwohl es sollte? Kinderprozesse genug?
Stimmt da was noch nicht?
Und wie muss die squid.conf bei den ACLs im Schluss aussehen?
Ich denke da an die PCs in der squidguard.conf.

Anbei die squid.conf und squidguard.conf.
Vielleicht findet jemand den Fehler. Ich bin scheinbar zu blind.

squid.conf (AUSZUG):
Zeile 1007: redirect_program /usr/sbin/squidGuard -c /etc/squid/squidguard.conf
Zeile 1016: redirect_children 5 ((Sollte für ein 4 Computer-Netz recihen))
Zeile 1837: http_access allow localhost
Zeile 1840: http_access deny all
MUSS HIER SONST NOCH WAS REIN?


squidguard.conf (angepasst)
logdir /var/log/squidGuard/log
dbhome /var/lib/squidGuard/db

src pcm { ip 192.168.0.2 }
src pca { ip 192.168.0.3 }
src pcf { ip 192.168.0.4 }


dest ads {
domainlist /var/lib/squidGuard/db/blacklists/ads/domains
urllist /var/lib/squidGuard/db/blacklists/ads/urls
}
dest aggressive {
domainlist /var/lib/squidGuard/db/blacklists/aggressive/domains
urllist /var/lib/squidGuard/db/blacklists/aggressive/urls
}
dest audiovideo {
domainlist /var/lib/squidGuard/db/blacklists/aggressive/domains
urllist /var/lib/squidGuard/db/blacklists/aggressive/urls
}
dest drugs {
domainlist /var/lib/squidGuard/db/blacklists/drugs/domains
urllist /var/lib/squidGuard/db/blacklists/drugs/urls
}
dest gambling {
domainlist /var/lib/squidGuard/db/blacklists/gambling/domains
urllist /var/lib/squidGuard/db/blacklists/gambling/urls
}
dest hacking {
domainlist /var/lib/squidGuard/db/blacklists/hacking/domains
urllist /var/lib/squidGuard/db/blacklists/hacking/urls
}
dest mail {
domainlist /var/lib/squidGuard/db/blacklists/mail/domains
}
dest porn {
domainlist /var/lib/squidGuard/db/blacklists/porn/domains
urllist /var/lib/squidGuard/db/blacklists/porn/urls
expressionlist /var/lib/squidGuard/db/blacklists/porn/expressions
}
dest proxy {
domainlist /var/lib/squidGuard/db/blacklists/proxy/domains
urllist /var/lib/squidGuard/db/blacklists/proxy/urls
}
dest violence {
domainlist /var/lib/squidGuard/db/blacklists/violence/domains
urllist /var/lib/squidGuard/db/blacklists/violence/urls
}
dest warez {
domainlist /var/lib/squidGuard/db/blacklists/warez/domains
urllist /var/lib/squidGuard/db/blacklists/warez/urls
}

dest freddy {
domainlist /var/lib/squidGuard/db/whitelists/frederic
}
dest global {
domainlist /var/lib/squidGuard/db/whitelists/global
}

acl {
pcm { pass !ads !aggressive !audiovideo !drugs !gambling !hacking !mail !porn !proxy !violence !warez all }
pca { pass !ads !aggressive !audiovideo !drugs !gambling !hacking !mail !porn !proxy !violence !warez all }
pcf { pass freddy global !porn all }
default { pass !global none }
}

Die Prozesse (squid und squidGuard) laufen.

Das Ganze auf einem Rechner mit:
SuSE Linux 9.1 Prof.; KDE 3.2.1; squid 2.5 STABLE5; squidGuard 1.2.0

Ich hoffe die Infos reichen.
mbo
08.07.05, 09:05
Nur; Warum greift squidGuard nicht, obwohl es sollte? Kinderprozesse genug?

Inwiefern greift er nicht?
Und wo ist die redirect-Regel in der squidguard.conf?

cu/2 iae
exponator
09.07.05, 09:55
Hi mbo,
ich habe die redirect-Regel wieder eingefügt:
redirect http://127.0.0.1/etc/squid/errors/ERR_ACCESS_DENIED

SquidGuard greift nicht?
D.h.: Scheinbar tut er seinen Dienst, aber er blockt keinerlei Seiten (wie in den DESTs angegeben.)
Dagegen wird alles geblockt. Nur in der logdatei wird nicht davon protokolliert.

Was ist denn da faul?
Sind die ACLs zu lang?

WIEVIELE Attribute dürfen in den ACLs nach dem pass stehen?
Ist die Anzahl in der squid.conf begrenzt?

Ich hoffe Du weißt darüber Bescheid und kannst mir dabei helfen.
jacusy
10.07.05, 11:40
Ich hab leider dein letztes Posting nicht verstanden, aber ich hatte auch ein paar Probleme mit squidGuard:

Punkt 1:
In der squidGuard.log steht, ob squidGuard läuft oder sich im emergency mode (oder so) befindet. In letzterem wird alles durchgelassen, da in der Regel ein Fehler in der Config war (falscher Pfad, Syntax Error) - steht aber dabei, was faul ist.

Punkt 2:
Offenbar kann squidGuard seine eigene Config nicht richtig pharsen. Z.B. hatte es bei mir nie geklappt, wenn ich 2 Leerzeilen direkt nacheinander hatte.

Die Anzahl nach dem "pass" ist egal, zumindest gings bei mir mit ca. 15 destgroups.

jacusy
exponator
11.07.05, 20:40
Hi jacusy,
ich habe nun sämtliche Leerzeilen rausgenommen.
Nix is.
Auch befindet sich Squidguard nicht im Emergency Mode.
Das wäre es mir in der Log aufgefallen. Hatte ich schon.

Wie funktioniert eigentlich das Zusammenspiel mit Squid und SquidGuard?
Hört Squid mit seiner Config zu lesen da auf, wo der Eintrag von SquidGuard anfängt und das 'Spiel' übernimmt? Oder spielt Squid eine übergeordnete Rolle?

Auch würde mich interessieren, ob jemand eine funktionierende Squid- UND Squidguard-Config hat, wo ich nur die IPs anpassen muss.
Weil, so denke ich, NUR SO kann ich herausfinden, wie man das Ganze händeln muss (soll).
jacusy
11.07.05, 21:03
Naja, also ich hab halt die squid.conf genommen, welche bei squid dabei war. Da brauchst du zunächst nichts ändern, außer den squidGuard (ich glaub bei forwarders? steht aber in der anleiung) einzutragen. Ansonsten musst glaub noch die lokalen Netze beim squid eintragen, sonst geht ja sowieso nix.

Squid hat die übergeordnete Rolle. Wenn du in der squid.conf die acls verpfuschst, geht nix mehr. Deshalb nimm die originale squid.conf und ändere nur das wesentliche! Dann probierst du es zunächst ohne squidGuard und schaust halt, ob du auf alle Seiten kommst.

Dann kannste den squidGuard eintragen. Der wird dann bei jeder Anfrage von squid gefragt, ob die betreffende URL in Ordnung ist. Um das zu testen, kannst ja erst mal nur die default-acl nehmen und dort nur eine Seite freigeben/sperren. Dann kannst drauf aufbaun.

Was mir noch aufgefallen war:
Man muss einzelne Hosts als erstes definieren. Also wenn ich eine Definition vom Netz
source Netz {
ip 192.168.0.0/24;
}
hab, dann ist die Definition von Host
source Host {
ip 192.168.0.30/32;
}
nutzlos, da squidGuard den Host trotzdem in die Gruppe Netz steckt. Hier müsste man also Host vor Netz definieren.

Nochmal in Kürze:
Erst squid allein zum Laufen bringen, dann squidGuard mit Minimalkonfiguration integrieren und dann Schrittweise erweitern. Zumindest mein Vorschlag.


Grüße
jacusy