opsætning af transparent proxy (lap)

1: Jeg tror vi i første omgang glemmer udbyderen - du har installeret squid, så du mangler at tilrette rc.firewall
PROXY="10.0.0.1:3128"
MY_IP="10.0.0.1"

gem, og følgende i en kommando prompt:

./rc.firewall
service iptables save
service iptables restart

For at det så virker skal dit net accepteres af squid - i /etc/squid/squid.conf finder du en linie med:
acl our_networks...

og tilretter til:
acl our_networks src 192.168.0.0/255.255.255.0

herefter skal squid genstartes og sikres at den starter ved boot:
service squid restart
chkconfig squid on

2: hvor skriver du din ip-adresse? Hvis det er i start->, så er det fordi samba er startet, men det ønsker du jo også (så vidt jeg husker) - du vil gerne kunne finde din maskine i "andre computere"? - ellers er det bare at stoppe samba (service smb stop; chkconfig smb off)

Jeg kan ikke installere squid. Den mislykkedes.

Det vil altså sige jeg skal deaktivere samba? Er det ikke muligt via iptables at    lukke af for den slags trafik? Vil det omvendt sige at i det tilfælde jeg installerer ftp vil den pege på denne fremfor samba?

Hvorfor vil du lukke for noget på indersiden af din firewall. Du må ikke blande sammen, hvad du kan i forhold til din linux maskine fra inderside i forhold til yderside.

Stol på din scan fra yderside - for du beskytter dig for os andre - ikke dig selv. Selvfølgelig er det muligt at lukke for ting i forhold til indersiden, men det er som regel ikke det man ønsker.

Du skal kende forskel på protokoller. Hvis du i start->kør skriver din ip-adresse med \\, så har du sagt, at smb-protokollen skal bruges - hvorimod, at hvis du skriver ftp://<ip> - så er det ftp-protokollen.

Hvis den mislykkedes - jeg går ud fra, at du bruger rpm-pakken til det - hvad er fejlbeskeden?

Blander nok tingene lidt sammen :-(

Skal lige være sikker... SAMBA er kun til intern trafik og kan altså ikke "kaldes" udefra?! Hvorimod man skal have gang i FTP før andre kan hente filer fra mig?

jeg vender tilbage lidt senere... vil foretage en ny installation da jeg nu føler jeg har styr på hvilke pakker jeg har brug for og ikke. Tror slet ikke jeg har installeret noget squid.

Har fået en kammerat til at teste udefra og han får ikke noget frem med \\min_ip Så alting er som det skal være og ergo... samba virker kun internt. Er det ikke korrekt antaget?

Det er helt korrekt.

rc.firewall er opsat til, at der kun er adgang til port 21, 22 og vnc. Det vil sige, at udefra kan du kun forbinde til ftp, ssh og vnc. Den begrænser ikke adgangen fra lokalnettet - alt er tilladt/muligt.

Du kan altid tilføje yderligere pakker på en allerede installeret maskine, men hvis du har lyst til en ny installation, så er det bare at gå i gang - jeg er her formentlig igen (hvis det er :-)

Så er jeg tilbage med en geninstalleret linux box :-) Bare træls der altid er noget der skal drille mig ;-)

Har endnu ikke fået samba op og køre, men det meste spiller som det skal. Er virkelig godt tilfreds da jeg godt kan lide man ikke kan komme i forbindelse med min samba deling udefra. Som opsætningen bliver det kun via ftp der kan overføres af andre - lige som jeg ville have det! - tak.

Jeg kunne godt tænke mig lidt hjælp til squid :-)

I skrivende er jeg ved at få vnc op og køre så hvis du er klar vil jeg gerne have squid i gang også. Det er så dejlig en fornemmelse når alt virker som det skal.

Et vnc spg. Når jeg kan connecte via vnc fra min xp er det hastighedsmæssigt så lige gyldigt om jeg skriver den faste ip eller den interne (eth1's ip).

Du bør fra lokalnet skrive 10.0.0.1 - og udefra skal du (selvfølgelig) bruge den eksterne adresse.

Har du fået squid installeret: "rpm -qa|grep -i squid" skulle gerne give squid-2.5.STABLE1-2?

tilret rc.firewall
PROXY="10.0.0.1:3128"
MY_IP="10.0.0.1"

gem, og kør følgende i en kommando prompt:

./rc.firewall
service iptables save
service iptables restart

For at det så virker skal dit net accepteres af squid - i /etc/squid/squid.conf finder du en linie med:
acl our_networks...

og tilretter til:
acl our_networks src 192.168.0.0/255.255.255.0

herefter skal squid genstartes og sikres at den starter ved boot:
service squid restart
chkconfig squid on

tak... jeg har lige opdaget du har skrevet :-)

hvad med hensyn til squid og definition af bruger? Er det vigtigt at have en bruger der kun er beregnet til squid? Sikkerhedsmæssigt er det måske ikke så hensigtsmæssigt, men afhjælper firewallen ikke det problem?

Hvis du har installeret squid med rpm, så er der oprettet en bruger til det - så det hele er klaret.

Under alle omstændigheder kan din squid ikke nås udefra

ved "service squid restart" kommer følgende fejl:
Stopper squid: /etc/init.d/squid: line 162: 13178 Afbrudt (SIGABRT)      $SQUID -k check >/dev/null 2>&1
                                                          [MISLYKKEDES]
init_cache_dir /var/spool/squid... /etc/init.d/squid: line 162: 13179 Afbrudt (SIGABRT)      $SQUID -z -F -D 2>/dev/null
Starter squid: /etc/init.d/squid: line 162: 13180 Afbrudt (SIGABRT)      $SQUID $SQUID_OPTS 2>/dev/null
                                                          [MISLYKKEDES]

hvad giver: "rpm -qa|grep -i squid"

[root@xxxx root]# rpm -qa|grep -i squid
squid-2.5.STABLE1-2
[root@xxxx root]#

tror snart jeg kan gætte mig til hvad du vil spørge om... heh...

hvad giver "ls -al /var/spool/squid"

det skulle gerne give en liste over mapper i hex - og måske et par filer

drwxr-x---    2 squid    squid        4096 jan 25  2003 .
drwxr-xr-x  15 root    root        4096 okt 11 21:21 ..

hov.. klippede for tidligt... over de to liner står der:
totalt 8

ok, squid har aldrig været i luften. Hvad giver en "rpm -V squid" - den bør kun give: S.5....T c /etc/squid/squid.conf

er det egentlig muligt at styre hvor hvor meget plads squid må tage og hvornår det skal slettes?

ja, i hvert fald med pladsen og med memory

præcis... den skriver det du gjorde...

;-).. skulle den da heller ik så gerne have været! Installerede jo alt på ny i dag for at fjerne mit flimmer

ok.. det punkt vil jeg også gerne omkring

hvad har du helt præcis ændret i squid.conf - evt. klip hele squid.conf herind - så laver jeg en lille sammenligning med min

acl our_networks src 192.168.0.0/255.255.255.0

jeg satte ovenstående ind og har IKKE ændret andet i filen. Har ikke turde da det vil være et pokkers arbejde at kontrollere igennem for fejl.

Skal vi tage den linie for linie?

skal ikke gøre mig klog men de er # på næsten hver linie - eller rettere tror det er tilfældet på hver eneste af dem. Er det ikke noget som dette vi skal have fingre i?:
#Default:
# http_port 3128

linien lige nedenunder skal også gøres aktiv:
http_access allow our_networks

fjern #

men det er ikke det, som er problemet. Default værdier er ok, men jeg har lige et par andre linier vi skal prøve at ændre (ved ikke om det har betydning):

httpd_accel_host virtual
httpd_accel_port 80
httpd_accel_with_proxy on
httpd_accel_uses_host_header on

fjernede # men stadig fejl

ok... jeg prøver de 4 nu

er du logget på som root?

# HTTPD-ACCELERATOR OPTIONS
# -----------------------------------------------------------------------------

#  TAG: httpd_accel_host
#  TAG: httpd_accel_port

er det ovenstående du mener jeg skal rette til?

#Default:
# httpd_accel_port 80

#  TAG: httpd_accel_single_host    on|off

#Default:
# httpd_accel_single_host off

#  TAG: httpd_accel_with_proxy    on|off
#
#Default:
# httpd_accel_with_proxy off

er en sådan fil skrædersyet... ellers kan jeg jo nøjes med at erstatte min fil med din...? - hvis du vil

ja, det 2 første til din #1
ja til with_proxy on

ja, jeg er root

min har et par enkelte andre ændringer, men og jeg bruger et 10-net, men ellers kunne du godt bruge den - ssh adgang?

hvis ja, så giv en msn - jeg skriver ikke min offentligt :-)

ok.. prøver men skal jeg blot fjerne # - altså lade "TAG:" stå

se lidt længere nede - starter altid med TAG - herefter en beskrivelse - og til slut en linie der kan tilrettes.

vi kan godt mødes over msn... min vnc virker vidt bare ikke 100%.. men det kan jeg jo lige undersøge....

har kun behov for ssh - ingen vnc - start ssh med "service ssh start"

skrev dette:
httpd_accel_host virtual
httpd_accel_port 80
httpd_accel_with_proxy on
httpd_accel_uses_host_header on
i filen hvor det blev erstattet med det der stod

hm... vil du logge på hos mig?

hvordan ordner vi det?

ja, jeg skriver hvad jeg laver parallelt på msn - hvis du ikke stoler på mig er det tuff luck, men jeg tror det er det nemmeste.

msn - her får jeg en ip-adresse - og vi ændrer password til root inden jeg logger på - herefter laver jeg ting og skriver til dig samtidig - og til slut logger jeg af - og du skifter password igen

er du interesseret i at sende filen pr mail? eller skal jeg sende dig min? Jeg kan også poste den her... men... laang tråd så... ;-)

giv mig en mailadresse - så sender jeg filen - du skal blot rette et 10-net til192

*lol*.. har jeg reelt et valg? Vil jo pokkers gerne have det til at virke...

Ja, du har et valg - du siger bare nej, men hvis ikke det er konfigurationsfilen som er problemet (og det tror jeg ikke), så skal der kikkes på netværk, /etc/passwd osv.

ok... håber du kan forstå mig... jeg stoler da på dig men... jeg er bare ikke så meget inde i tingene så har ikke rigtig mulighed for at kontrollere dig på nogen måde... stoler på dit ord, men... ja...

cjmaack@hotmail.com

mail afsendt.

Jeg forstår godt du ikke stoler på mig - omvendt er det eneste jeg kan bruge til at overbevise dig, at jeg ligger rimeligt højt på listen her på E - og har været logget på andre's maskiner mange gange :-)

vær opsærksom på windows/unix linieskift når du flytter filen. Jeg har tilrettet således at du slipper for at rette mit netværk til dit netværk. Filen er klar til brug hos dig.

ok... tak.. så er filen inde. Prøver lige en squid restart

Stopper squid: /etc/init.d/squid: line 162: 13255 Afbrudt (SIGABRT)      $SQUID -k check >/dev/null 2>&1
                                                          [MISLYKKEDES]
init_cache_dir /var/spool/squid... /etc/init.d/squid: line 162: 13256 Afbrudt (SIGABRT)      $SQUID -z -F -D 2>/dev/null
Starter squid: /etc/init.d/squid: line 162: 13257 Afbrudt (SIGABRT)      $SQUID $SQUID_OPTS 2>/dev/null
                                                          [MISLYKKEDES]

og du er logget på som root?

linie 162 undrer mig meget, da min linie 162 indeholder "esac" - hvad med din?

står der noget i /var/log/messages eller /var/log/squid/access.log

hov... der var fejl i ip adressen men det ændrer intet nuværende tidspunkt. Jeg synes det er skræmmende der er så mange instillingsmuligeder. Det er jo ikke til at finde rundt i...

og du er logget på som root?
linie 162 undrer mig meget, da min linie 162 indeholder "esac" - hvad med din?
står der noget i /var/log/messages eller /var/log/squid/access.log

hvad giver en "df -h /var"

den første log fil er mega lang den anden findes ikke

jeg afventer 4 svar - det var en halv nummer 1 - for at svare færdig på log, så kør "grep squid /var/log/messages"

ting fra log filen:

Oct 12 00:07:26 x squid: Could not determine fully qualified hostname.  Please set 'visible_hostname'
Oct 12 00:29:05 x last message repeated 3 times
Oct 12 00:40:54 x last message repeated 3 times
Oct 12 00:53:32 x last message repeated 3 times
Oct 12 00:57:18 x last message repeated 3 times

ja, jeg kører root...

Det var jo interessant - hvad mener du at din maskine hedder?

i linie 162 er der en del af en uddybende tekst?? underligt . Det er da korrekt at "tælle" linier i vi - der står 162,1 - det virker rigtigt

linie 162 af filen /etc/init.d/squid, men svar hellere på, hvad du mener at din maskine burde hedde - skriv resultatet af "cat /etc/hosts"

df -h /var
Filsystem          Størr Brugt  Tilb Brug% Monteret på
/dev/hda3              16G  1.3G  14G  9% /

nu er vi enige... der står det samme på min linie 162

# Do not remove the following line, or various programs
# that require network functionality will fail.
127.0.0.1      localhost.localdomain  localhost
192.168.0.1    x    x

x = navnet

"cat /etc/sysconfig/squid"

# default squid options
# -D disables initial dns checks. If you most likely will not to have an
#    internet connection when you start squid, uncomment this
SQUID_OPTS="-D"

# Time to wait for Squid to shut down when asked. Should not be necessary
# most of the time.
SQUID_SHUTDOWN_TIMEOUT=100

problemet er, at du har problemer med systemkaldet "gethostname", så vi skal lige overbevise squid om, hvad din maskine hedder - i /etc/squid/squid.conf:

#  TAG: visible_hostname
#      If you want to present a special hostname in error messages, etc,
#      then define this.  Otherwise, the return value of gethostname()
#      will be used. If you have multiple caches in a cluster and
#      get errors about IP-forwarding you must set them to have individual
#      names with this setting.
#
#Default:
visible_hostname x

hvor du erstatter x med dit maskinnavn

genstart squid

service squid restart
Stopper squid:                                            [MISLYKKEDES]
init_cache_dir /var/spool/squid... Starter squid: ..      [  O.k.  ]

:-) nu burde det virke.... eller?

ok, så kører squid - du har et dnsproblem.

Har du tilrettet rc.firewall?

dette skriver jeg på min windows maskine... så der virker :-)

dnsproblem?? hm...

kan ikke se reklamerne her på siden... er det et dnsproblem?

vi skal jo også se, at det virker - på linux:

"tail -f /var/log/squid/access.log" - du får ikke promten tilbage - på windows http://www.computerworld.dk - der skulle gerne ske noget på linux.

Bemærk også, at du ikke får reklamer men en fejl - en lille ændring jeg har lavet i squid.conf - du får prompten tilbage med en <ctrl><c>

så ved vi at det virker - eftersom du ikke kan se reklamerne :-)

hvad mener du med det du lige skrev?
log filen er laaang....

en ting jeg lige kommer i tanke om... hvad sluger opsætningen af ram og hd plads? Min maskinen skal jo helt ikke gå i knæ.... ;-)

/etc/squid/squid.conf
cache_mem 100 MB      = memory forbrug
maximum_object_size 409600 KB  = maks størrelse af gemme i squid
cache_dir ufs /var/spool/squid 100 16 256    = 100 er størrelsen af cache

hver gang du går ind på en ny side, så vil der blive skrevet flere linier i access.log - du skulle bare se, at der skete noget.

Se svar ovenfor

jeg kan se reklamerne i linux... har snart klikket "reload" mange gange nu....

altså ca 400 mb disk forbrug...

ja, for linux kører udenom proxy - da den ellers ville køre i ring du forbinder til port 80 -> sendes til 3128 -> 80 -> 3128 osv.

nej.. hov... filerne der skal gemmes må max være 410 KB... det må være sådan det skal læses... :-)

100Mb ram og 100Mb disk

nej 4Mb per stk - og totalt må der bruges 100Mb på /var/spool/squid

log filen viser altså de viser altså en liste over de filer jeg loader på computere tilsluttes nettet...?

korrekt

(1)jeg vil altså gerne se reklamer... det lyder måske dumt.. men er bange for at gå glip af noget.. :-)

(2)Hvordan kan du være sikker på sikker på der ikke forsvinder noget af "værdi"

(3)skal lige have slået fast... en squid bruger er ikke nødvendig vel?

men.. synes da det er en hardcore detalje... ;-)

1: ja, det lyder meget dumt, men i squid.conf finder du en "acl vaek" - og i linien lige efter httpd_access deny vaek - alle de domæner som er nævnt i acl vaek bliver afvist - så kommenter blot de 2 linier ud.

2; jeg er sikker på, at doubleclick.net ikke leverer noget til mig, som jeg ikke kan leve foruden - eller streetblowjobs.com for den sags skyld.

3: Jo, du har brug for en squid bruger - og den bruger er oprettet lige nu - og du må IKKE slette ham.

punkt 3.
er brugeren root og mener du at jeg ikke få slette de lagrede filer? Må jeg tømme logfilen en gang i mellem?

(1) Smart... .efterhånden som jeg finder noget jeg vil hade udelukker jeg trafikken....?

ja, det er muligt at du er brugeren root, men når du starter squid bliver den startet som brugeren squid - kontrol med "ps -ef|grep squid" - 1. kolonne viser hvem der har staret programmet.

Logfilen behøber du ikke tømme - hver søndag morgen kl. 4.02 bliver den "rotaded" - altså zippet og omdøbt - når den er 4 uger gammel slettes den.

1: lige præces - så du bestemmer selv, hvad du ikke vil se på:

og svaret til logfilen er mere korrekt (i stedet for behøver ikke): nej, du må ikke - i hvert fald ikke uden at genstarte squid - det kan skabe problemer.

root    13326    1  0 01:18 ?        00:00:00 squid -D
squid    13328 13326  0 01:18 ?        00:00:01 [squid]
squid    13330 13328  0 01:18 ?        00:00:00 (unlinkd)
root    13425 13397  0 01:42 pts/1    00:00:00 grep squid

hvordan skal dette læses?

kolonne 1: bruger som har startet linie 1 er oprindelig start, 2 og 3 de reelle processer og 4 er din grep

2: process nummer
3: process nummer på moderen
4: tidspunkt for start
5: terminal
6: forbrugt CPU tid
7: program kald

jeg er ja... imponeret! Tak for din enorme hjælp.. synes det er spændende man kan sætte så mange ting op.... Håber bare jeg kan lade være med at spille, men skal næsten ind og kigge nærmere på teknikken.... :-)

velbekomme - så er det sengetid - der er jo formel1 klokken tidligt senere i dag :-)

jamen... hvem står så som bruger når linux maskinen bare bliver tændt... og ... ja... windows maskinen bagefter... det er sidst nævnte jeg bruger mest. Det er for mit vedkommende altså root der er bruger/opretter af squid

uha... det har jeg slet ikke styr på. Har næsten ikke lavet andet end nørde med min spand i dag. Har efterårsferie så... ja, dejligt at være studerende... men linux skal jo køre ;-)

Når du starter din XP (uden at logge på), så startes der jo også en masse services - nogle af disse startes som administrator, andre som localsystem.

På unix/linux er det på samme måde - visse ting startes som root (som altid er udgangspunktet), men visse ting skifter bruger under opstart. Konkret på squid vil det være brugeren squid som har startet squid.

er vi kvit mht point? Vil gerne have lidt stående hvis det brænder på en anden dag.. men tror nu jeg selv vil prøve at sætte ftp op... nu kører det vigtigste og det jeg har haft størst problemer med. Ret skal dog være ret... har kun mulighed for at byde dig på point...

det er helt ok - det kan jo være du skal bruge hjælp til ftp... ;-)

sidste spg (tror jeg) .. hvad hvis computeren ikke er tændt søndag morgen? Så sker sletningen osv.. bare ved først kommende lejlighed eller ?

nogle ting afvikles hurtigst muligt efter - andre ting først næste gang tidspunkt oprinder - og logrotate er det sidste - altså bør maskinen køre søndag morgen.

alternativt starter du den i hånden med /etc/cron.weekly/logrotate

signing off.

jeg er imponeret.... alt det man kan få linux til....

helt i orden!

Jeg har ikke mere på hjertet. Skal også have sovet lidt ingen solen kommer frem igen...

Den opsætning jeg har nu... er det en løsning med transparent proxy ?? Spørger fordi auditmypc.com stadig kan gætte min rigtige ip.

Ja, det er en transparent proxy - jeg er ikke klar over, hvordan den gættes, men det må være noget lokalt på din XP?

Prøv evt. at stille spørgsmål i XP kategorien (jeg kender ikke svaret)

ok... jeg prøver at tænke på noget andet. Som sådan er det jo heller ikke et problem - der er jo ingen der kan berøre den alligevel.