Forum

Centos Üzerind...
 
Bildirimler
Hepsini Temizle

Centos Üzerinde Squid ve Dansguardian X-Forwarded-For parametresi

2 Yazılar
2 Üyeler
0 Reactions
832 Görüntüleme
(@OnurVARGUN)
Gönderiler: 157
Estimable Member
Konu başlatıcı
 

Diyelimki Centos üzerinde bir kaç basit adımla dansguardian ve squid kurdunuz. iyi de yaptınız , hem şirket maliyetlerini düşürdünüz hem de kararlı ve sürekliliğe sahip olan bir yapıya sahip olduğunuz.

Varsayılan ayarlarda dansguardian 8080 nolu portu dinliyor kendisine gelen istekleri test ettikten sonra 3128 nolu porta iletiyor

filterport = 8080

proxyip =127.0.0.1

proxyport= 3128

Herhangi bir client makinenin tarayıcısında vekil sunucu sunucu ayarları yaptınız ve sunucunun IP bilgisini ve dansguardian ın dinlediği 8080 nolu portu girdiğiniz. Problemsiz bir şekilde internette gezinmeye başladınız. Ama aslında bir problem var ?

Siz kendi client makinenizin IP sine izin vermediğiniz halde proxy sunucuyu kullanmaya başladığınız. Zaten proxy sunucuda hizmeti sizin client makinenize değil de kendi üzerinde bulunan dansguardian ın isteklerine cevap vericek şekilde çalışıyor. Yani sizin isteklerinizide localhost tan geliyormuş gibi görüyor.Bunun ne zararı var diye düşünebilirsiniz . bunun en büyük zararı herhangi bir kullanıcıya spesifik olarak uygulamak isteyeceğiniz bir kuralı oluştursanız dahi kullanamıyacaksınız ,

Çünkü proxy tüm istekleri localhost olarak yorumlayacak. Yani patron a ya da yöneticiler e istisna sağlıyamıyacaksınız , ya da IP gruplarına göre kısıtlamalar koyamıyacaksınız.

bunun basit bir çözümü var 

squid.conf dosyasını açıyoruz 

Centos üzerinde varsayılan dizin /etc/squid

nano /etc/squid/squid.conf

acl localhost src 127.0.0.1
follow_x_forwarded_for allow localhost

acl_uses_indirect_client on

parametresini ekliyoruz

bu parametreyi ekledikten sonra dosyayı kaydedip kapatıyoruz

Dana sonra dansguardian ın konfigürasyon dosyasını açıyoruz

nano /etc/dansguardian/dansguardian.conf

# if on it adds an X-Forwarded-For: <clientip> to the HTTP request
# header. This may help solve some problem sites that need to know the
# source ip. on | off
forwardedfor = on

# if on it uses the X-Forwarded-For: <clientip> to determine the client
# IP. This is for when you have squid between the clients and DansGuardian.
# Warning - headers are easily spoofed. on | off
usexforwardedfor = on

bu iki pamaetreyi on yapıyoruz .

ctrl x ile kaydedip çıkıyoruz

şimdi servisleri yeniden başlatalım 

# service suid restart

# service dansguardian restart


Ve bu ayarlarından sonra bağlanmama izin vermiyor .örnek olması için basit bir kural ekliyorum.

acl all src 0.0.0.0/0.0.0.0

http_access allow all

bu kuralı en üste ekliyorum

# service suid restart

şimdi loglarımızı kontrol edelim .

# tail /var/log/squid/access.log 

1271076881.111 155 192.168.0.75 TCP_MISS/200 1613 GET http://swupdl.adobe.com/updates/50/AdobeUpdater/win/AdobeUpdater.exe - DIRECT/80.239.230.163 application/octet-stream
1271077147.635 332 192.168.0.75 TCP_MISS/200 5827 GET http://www.google.com.tr/ - DIRECT/209.85.227.99 text/html
1271077150.671 112 192.168.0.75 TCP_MISS/204 412 GET http://www.google.com.tr/csi? - DIRECT/209.85.227.99 text/html
1271077150.760 314 192.168.0.75 TCP_MISS/204 322 GET http://clients1.google.com.tr/generate_204 - DIRECT/209.85.227.113 text/html
1271077154.405 1037 192.168.0.75 TCP_MISS/200 85321 GET http://www.cozumpark.com/ - DIRECT/91.93.119.118 text/html
1271077154.894 31 192.168.0.75 TCP_MISS/302 562 GET http://www.cozumpark.com/favicon.ico - DIRECT/91.93.119.118 text/html

Benim ayar yaptığım client  IP 'si 192.168.0.75 başarılı ile squid e ulaşıyor 

 
Gönderildi : 12/04/2010 19:53

(@fatihakkus)
Gönderiler: 372
Honorable Member
 

Selam.Eklemek istediğim şöyle bir şey var.Squid kurmak iyi güzel.Şirket maliyetini düşürüyor.Ama yeni çıkan yasa ile şirketlerin internet trafiklerini loglamasını istiyor.Fakat istedikleri bir şey daha var.Alınan logların garantörlüğünü.Yani logların degiştirilmemesinin garantisini istiyorlar.Buda yaptığımız linux çözümlerinin devre dışı kalmasını sağlıyor.Yani illa para ile kutu logları criypto uygulayan bi çözüm  istiyorlar.

Bilgi İçin ayrıca teşekkürler

 
Gönderildi : 12/04/2010 21:24

Paylaş: