Forum
Diyelimki Centos üzerinde bir kaç basit adımla dansguardian ve squid kurdunuz. iyi de yaptınız , hem şirket maliyetlerini düşürdünüz hem de kararlı ve sürekliliğe sahip olan bir yapıya sahip olduğunuz.
Varsayılan ayarlarda dansguardian 8080 nolu portu dinliyor kendisine gelen istekleri test ettikten sonra 3128 nolu porta iletiyor
filterport = 8080
proxyip =127.0.0.1
proxyport= 3128
Herhangi bir client makinenin tarayıcısında vekil sunucu sunucu ayarları yaptınız ve sunucunun IP bilgisini ve dansguardian ın dinlediği 8080 nolu portu girdiğiniz. Problemsiz bir şekilde internette gezinmeye başladınız. Ama aslında bir problem var ?
Siz kendi client makinenizin IP sine izin vermediğiniz halde proxy sunucuyu kullanmaya başladığınız. Zaten proxy sunucuda hizmeti sizin client makinenize değil de kendi üzerinde bulunan dansguardian ın isteklerine cevap vericek şekilde çalışıyor. Yani sizin isteklerinizide localhost tan geliyormuş gibi görüyor.Bunun ne zararı var diye düşünebilirsiniz . bunun en büyük zararı herhangi bir kullanıcıya spesifik olarak uygulamak isteyeceğiniz bir kuralı oluştursanız dahi kullanamıyacaksınız ,
Çünkü proxy tüm istekleri localhost olarak yorumlayacak. Yani patron a ya da yöneticiler e istisna sağlıyamıyacaksınız , ya da IP gruplarına göre kısıtlamalar koyamıyacaksınız.
bunun basit bir çözümü var
squid.conf dosyasını açıyoruz
Centos üzerinde varsayılan dizin /etc/squid
nano /etc/squid/squid.conf
acl localhost src 127.0.0.1
follow_x_forwarded_for allow localhost
acl_uses_indirect_client on
parametresini ekliyoruz
bu parametreyi ekledikten sonra dosyayı kaydedip kapatıyoruz
Dana sonra dansguardian ın konfigürasyon dosyasını açıyoruz
nano /etc/dansguardian/dansguardian.conf
# if on it adds an X-Forwarded-For: <clientip> to the HTTP request
# header. This may help solve some problem sites that need to know the
# source ip. on | off
forwardedfor = on
# if on it uses the X-Forwarded-For: <clientip> to determine the client
# IP. This is for when you have squid between the clients and DansGuardian.
# Warning - headers are easily spoofed. on | off
usexforwardedfor = on
bu iki pamaetreyi on yapıyoruz .
ctrl x ile kaydedip çıkıyoruz
şimdi servisleri yeniden başlatalım
# service suid restart
# service dansguardian restart
Ve bu ayarlarından sonra bağlanmama izin vermiyor .örnek olması için basit bir kural ekliyorum.
acl all src 0.0.0.0/0.0.0.0
http_access allow all
bu kuralı en üste ekliyorum
# service suid restart
şimdi loglarımızı kontrol edelim .
# tail /var/log/squid/access.log
1271076881.111 155 192.168.0.75 TCP_MISS/200 1613 GET http://swupdl.adobe.com/updates/50/AdobeUpdater/win/AdobeUpdater.exe - DIRECT/80.239.230.163 application/octet-stream
1271077147.635 332 192.168.0.75 TCP_MISS/200 5827 GET http://www.google.com.tr/ - DIRECT/209.85.227.99 text/html
1271077150.671 112 192.168.0.75 TCP_MISS/204 412 GET http://www.google.com.tr/csi? - DIRECT/209.85.227.99 text/html
1271077150.760 314 192.168.0.75 TCP_MISS/204 322 GET http://clients1.google.com.tr/generate_204 - DIRECT/209.85.227.113 text/html
1271077154.405 1037 192.168.0.75 TCP_MISS/200 85321 GET http://www.cozumpark.com/ - DIRECT/91.93.119.118 text/html
1271077154.894 31 192.168.0.75 TCP_MISS/302 562 GET http://www.cozumpark.com/favicon.ico - DIRECT/91.93.119.118 text/html
Benim ayar yaptığım client IP 'si 192.168.0.75 başarılı ile squid e ulaşıyor
Selam.Eklemek istediğim şöyle bir şey var.Squid kurmak iyi güzel.Şirket maliyetini düşürüyor.Ama yeni çıkan yasa ile şirketlerin internet trafiklerini loglamasını istiyor.Fakat istedikleri bir şey daha var.Alınan logların garantörlüğünü.Yani logların degiştirilmemesinin garantisini istiyorlar.Buda yaptığımız linux çözümlerinin devre dışı kalmasını sağlıyor.Yani illa para ile kutu logları criypto uygulayan bi çözüm istiyorlar.
Bilgi İçin ayrıca teşekkürler