Koozali.org: home of the SME Server
Other Languages => Italiano => Topic started by: Lord Quicksilver on December 20, 2008, 10:37:36 AM
-
Salve a tutti.
Sto cercando di mettere su il contrib in oggetto, per ora mi sono basato unicamente su quello che ho reperito qui su Contribs (Italiano, Inglese e Spagnolo), tralasciando il resto della Rete.
Mi sono basato sulle seguenti pagine:
http://wiki.contribs.org/SquidGuard (http://wiki.contribs.org/SquidGuard)
http://forums.contribs.org/index.php?topic=36217.msg160088#msg160088 (http://forums.contribs.org/index.php?topic=36217.msg160088#msg160088)
C'è un passaggio che non mi è chiaro nella prima pagina:
You will know when things are ready when you see this in the /var/log/squidguard/squidguard.log file:
2007-03-18 17:14:54 [3687] squidGuard 1.2.0 started (1174256093.054)
2007-03-18 17:14:54 [3687] squidGuard ready for requests (1174256094.968)
Intanto penso ci sia un errore di case, dal momento che il file dovrebbe essere /var/log/squidguard/squidGuard.log ma questa è una pinzillacchera. Il vero problema per me è che quel file è vuoto.
Ah, e nel caso che ve lo steste chiedendo, dquidGuard non blocca un bel niente, per ora.
Faccio un piccolo offtopic: nonsoperché sul mio SME molti comandi non sono inseriti nelle variabili d'ambiente, in particolare quelli contenuti in /sbin/e-smith, quindi nel mio sistema non si scrive signal-event post-upgrade (comando non riconosciuto) bensì /sbin/e-smith/signal-event post-upgradeE' normale sta cosa? Prima di sistemarla mi piacerebbe saperlo, magari è una misura di sicurezza...
Un'ultima precisazione: non essendo un utente abituale di siti dai contenuti pericolosi, ho fatto fatica a trovarne uno da provare sul terminale di uno dei miei dipendenti per testare l'effettivo funzionamento di squidGuard. Per chi come me fosse a corto di idee, come suggerito in questo sito:
http://forums.contribs.org/index.php?topic=34337.msg151745#msg151745 (http://forums.contribs.org/index.php?topic=34337.msg151745#msg151745)
potete provare www.playboy.com :-D
Federico
-
ciao
al momento non so dirti nulla su squidguard, ma mi riservo di fare dei test e vedere se a me l'howto funziona
comunque, solo per sapere... non è che il tuo squid sia in modalità trasparente? o che i client NON usino il proxy?
nei log di squid vedi le entry relative alle pagine visitate?
squidguard è in funzione? vedi il processo?
Faccio un piccolo offtopic: nonsoperché sul mio SME molti comandi non sono inseriti nelle variabili d'ambiente, in particolare quelli contenuti in /sbin/e-smith, quindi nel mio sistema non si scrive signal-event post-upgrade (comando non riconosciuto) bensì /sbin/e-smith/signal-event post-upgradeE' normale sta cosa? Prima di sistemarla mi piacerebbe saperlo, magari è una misura di sicurezza...
qui dovresti dirci tu la storia di quella macchina, lo stato di aggiornamento ed eventuali contribs installati
comunque no, non è assolutamente normale..
hai personalizzato il profilo?
cosa ti sputa fuori
/sbin/e-smith/audittools/templates
?
Ciao
Stefano
-
Dunque, andando con ordine:
per quanto riguarda l'esecuzione di squidguard, non ho un processo attivo con quel nome, ma dal momento che nel tutorial da me citato si dice:
Add your entries, then restart squid with
/etc/rc7.d/S90squid stop
/etc/rc7.d/S90squid start
pensavo che NON dovesse esistere un processo con quel nome, bensì che squidguard fosse integrato in qualche modo dentro squid.
Poi, per la modalità trasparente, anche qui non ne so niente, nel senso che non l'ho mai impostato in tal senso, ma, dal momento che squidguard in pratica non fa altro che aggiungere nuove funzionalità a squid, e che quest'ultimo NON è in modalità trasparente, pensavo non ce ne fosse bisogno. Anzi direi che non mi ero neanche posto il problema. Mi sembra strano comunque che nel tutorial ti spieghino come installare, configurare e usare squidguard, tralasciando una cosa importante come questa.
Per quanto riguarda i client, non ho eseguito alcuna operazione su di essi, quindi non gli ho mai detto ne' di usare ne' di non usare i proxy. Scusa la mia ignoranza, ma io pensavo che il proxy fosse utilizzato automaticamente dai client connessi al server SME, a prescindere da quello che io ho impostato sui client, altrimenti ad un utente "malevolo" non basterebbe disattivare questa impostazione per tornare a perder tempo su facebook...?
L'unico comando "diagnostico" che conosco su squidguard è
/sbin/e-smith/config show squidguardche dà come risultato
squidguard=service
Blacklist=http://squidguard.shalla.de/Downloads/shallalist.tar.gz
Squidguard_Allow=trusted
Squidguard_Block=adult,aggressive,drugs,gambling,hacking,porn,proxy,untrusted,violence,warez
Squidguard_FullAccess=all
Squidguard_NoAccess=none
A vederlo così come configurazione sembra tutto in regola... Certo, questo non significa che il processo sia attivo e ben funzionante.
EDIT Anzi, sono sicuro che non lo è:
/var/log/squidguard/squidguard.log
2008-12-22 04:06:26 [24383] squidGuard 1.2.0 started (1229915101.870)
2008-12-22 04:06:26 [24383] db update done
2008-12-22 04:06:26 [24383] squidGuard stopped (1229915186.561)
Parlando invece del mio excursus, immaginavo che non fosse una cosa normale. Il path del mio server è
PATH=/usr/local/bin:/bin:/usr/bin:/usr/X11R6/binNell'output del nuovo comando che mi hai fatto scoprire (madonna quanti ce ne sono!) ho sicuramente trovato la possibile causa del problema, ovvero:
/etc/e-smith/templates-custom/etc/profile/profile: MANUALLY_ADDED, ADDITION
una template che all'epoca mi ero creato per modificare il prompt della root.
Premetto che /etc/profile non è un file nella cui intestazione è scritto "non modificare questo file manualmente ma creati una template ecc. ecc.", ma che da esperienze passato ho notato che tende a resettarsi come un file templatizzato, e quindi ho preferito modificarlo come se fosse tale.
Attualmente il mio /etc/profile contiene i seguenti valori:
# /etc/profile
# System wide environment and startup programs, for login setup
# Functions and aliases go in /etc/bashrc
pathmunge () {
if ! echo $PATH | /bin/egrep -q "(^|:)$1($|:)" ; then
if [ "$2" = "after" ] ; then
PATH=$PATH:$1
else
PATH=$1:$PATH
fi
fi
}
# Path manipulation
if [ `id -u` = 0 ]; then
pathmunge /sbin
pathmunge /usr/sbin
pathmunge /usr/local/sbin
fi
pathmunge /usr/X11R6/bin after
# No core files by default
ulimit -S -c 0 > /dev/null 2>&1
USER="`id -un`"
LOGNAME=$USER
MAIL="/var/spool/mail/$USER"
HOSTNAME=`/bin/hostname`
HISTSIZE=1000
if [ -z "$INPUTRC" -a ! -f "$HOME/.inputrc" ]; then
INPUTRC=/etc/inputrc
fi
export PATH USER LOGNAME MAIL HOSTNAME HISTSIZE INPUTRC
for i in /etc/profile.d/*.sh ; do
if [ -r "$i" ]; then
. $i
fi
done
unset i
unset pathmunge
PS1="[\u@\h:\w] \> "
PROMPT_COMMAND="echo -n [$(date +%H:%M)]"
Ho aggiunto solo le ultime 2 righe, il resto è ("dovrebbe essere") uguale all'originale. Ero tra l'altro indeciso se inserirle lì o in etc/bashrc, ma "su internet" (= non ricordo dove) avevo letto che era meglio metterle in /etc/profile. Sbagliai?
Ciao
Federico
-
Boh non ci capisco più niente... ho fatto partire manualmente squidGuard con un semplice
squidGuard start & e ho ottenuto di far partire il processo (controllato da ps aux) e scrivere finalmente nel log:
2008-12-22 10:26:37 [26387] squidGuard ready for requests (1229937997.661)Ciononostante, non blocca nulla.
:-(
Federico
-
ciao
mi sono accorto che questo 3ad è rimasto "appeso"..
come detto non ho esperienza diretta con squidguard e fare delle simulazioni mi viene un po' scomodo.. ritengo che la cosa migliore sia postare la richiesta nei forum in inglese e sperare in un maggiore aiuto
Ciao e buon anno
Stefano
-
Domanda banale già fatta da Stefano: hai forzato il proxy sul browser ? Non è che hai sul pc un default gateway diverso dal server sme/proxy (che potrebbe essere se lo sme non è direttamente sulla wan con due schede di rete: in questo caso lo sme server ha come default gateway l'indirizzo ip del router ed è la stessa impostazione che distribuisce ai client con il dhcp).
Io lo uso da due clienti con successo, fatto salvo che lavorando su una blacklist qualche cosa può sempre sfuggire.
Saluti
Nicola
-
Ciao, il proxy sul browser non l'ho forzato, pensavo non fosse necessario, cioè pensavo che SME filtrasse direttamente i contenuti a prescindere da quello che il client vuole fare. Per forzarlo quali sono i parametri di default, localhost con porta 8118?
Il client su cui sto testando Squidguard è portatile con windows xp + firefox, e ipconfig /all dà quanto segue:
Scheda Ethernet Connessione rete senza fili:
Suffisso DNS specifico per connessione: ******.***
......
Configurazione automatica abilitata : Sì
Indirizzo IP. . . . . . . . . . . . . : 192.168.1.145
Subnet mask . . . . . . . . . . . . . : 255.255.255.0
Gateway predefinito . . . . . . . . . : 192.168.1.1
Server DHCP . . . . . . . . . . . . . : 192.168.1.1
Server DNS . . . . . . . . . . . . . : 192.168.1.1
.......
192.168.1.1 corrisponde all'indirizzo del server SME.
Aggiungo una cosa ancora: da quando ho modificato la blacklist di default come consigliato qui:
http://wiki.contribs.org/SquidGuard
tutti i giorni mi arriva una notifica di RKHunter che dice
/etc/cron.daily/supdate.cron:
04:05:33 URL:http://www.shallalist.de/Downloads/shallalist.tar.gz [9106722/9106722] -> "shallalist.tar.gz" [1]
Ciao
Federico
-
Dovresti impostare il server dhcp in modo che invii anche degli "extra" come ad esempio il server proxy da utilizzare o lo script di configurazione.
Inoltre dovrai impostare nei browser, a seconda dell'opzione scelta, di ricercare le impostazioni del proxy via rete o mettere direttamente l'url dello script o altro.
Altrimenti non viene filtrato nulla sui client.
-
Finalmente sono riuscito a far funzionare squidGuard (e squid) correttamente. In pratica nonostante sul pannello di amministrazione (server-manager) fosse segnato come abilitato, non lo era o comunque non funzionava bene. L'ho disabilitato, e poi ri-abilitato e adesso funzionano tutti e due. Mah?
Spesso ho notato che la gente che ne sa a pacchi, tipo Stefano, non sembra gradire molto l'utilizzo dell'interfaccia web proprio per prevenire rotture di co....ni come questa. Mi piacerebbe poter fare lo stesso....
Comunque adesso mi posso divertire con il content filtering, addio facebook, anobii e corriere della sera (almeno dall'ufficio) muahahahaha
Preciso che sul browser del mio pc client, come pensavo, non ho avuto bisogno di impostare alcun parametro proxy (attualmente firefox è impostato su "no proxy").
Appena ho un po' di tempo libero ripeto tutto il processo e posto una guida "for dummies" come me al riguardo, sperando che possa servire.
Ciao a tutti e grazie per la pazienza.
Federico
-
...CUT...
Preciso che sul browser del mio pc client, come pensavo, non ho avuto bisogno di impostare alcun parametro proxy (attualmente firefox è impostato su "no proxy").
...CUT...
Scusa, magari mi è sfuggito, il gateway è il server SME e non il router, giusto? In questo caso funziona proprio così, ma se il gateway era direttamente il router avresti dovuto cambiare le impostazioni.
-
Scusa, magari mi è sfuggito, il gateway è il server SME e non il router, giusto? In questo caso funziona proprio così, ma se il gateway era direttamente il router avresti dovuto cambiare le impostazioni.
Esattamente :)
Ciao
Federico
-
Spesso ho notato che la gente che ne sa a pacchi, tipo Stefano, non sembra gradire molto l'utilizzo dell'interfaccia web proprio per prevenire rotture di co....ni come questa. Mi piacerebbe poter fare lo stesso....
intanto grazie per avermi descritto come quello che ne sa a pacchi.. fosse vero :)
comunque, non è necessario essere particolarmente preparati per fare delle modifiche a SME via console.. diciamo che quando conosci
- la sintassi del comando db
- quella del signal-event
- quella dell'expand-template
- come funziona la templatizzazione
- come verificare lo stato di un servizio
sei in grado di fare il 99% delle cose..
per quanto riguarda db, expand-template, signal-event e concetti di templatizzazione qui (http://forums.contribs.org/index.php/topic,43084.msg204684.html#msg204684) trovi un esempio un esempio (in italiano)
per l'ultima cosa, basta ricordarsi [1]
service name start|stop|status|restart
come già detto, sperimentare sul server in produzione è MALE e per mettere su SME su vmware/virtualbox anche sotto windows bastano 5 minuti, 2gb di spazio e 160 mb di ram (anche meno, ma suvvia...)
Ciao
Stefano
[1] alcune delle opzioni potrebbero non esserci e il comando "service" è stato mantenuto su SME per "retrocompatibilità", visto che si dovrebbe usare "sv" o "svc".. io comunque continuo ad usare la sintassi proposta
-
... diciamo che quando conosci
- la sintassi del comando db
- quella del signal-event
- quella dell'expand-template
- come funziona la templatizzazione
- come verificare lo stato di un servizio
sei in grado di fare il 99% delle cose...
E hai detto niente... io a malapena riesco a controllare lo stato dei servizi...
Cmq è questo il bello... studiando si imparano tante cose, ad esempio oggi ho imparato che non posso installare i VMware tools su IpCop virtualizzato perchè non ci sono alcune librerie... :P