Φιλτράρισμα σελίδων απο thin - fat client - server

Ξεκίνησε από tallis, 01 Φεβ 2011, 05:44:47 ΜΜ

« προηγούμενο - επόμενο »

apapakL

#15
άλλαξε το

' system http_proxy host' 'epal-server' σε ' system http_proxy host' 'server'

Οι fat και οι thin ξέρουν τον ltsp εξυπηρετητή σαν server ανεξαρτήτως του ονόματος που θα δώσεις (είναι hardcoded στον κώδικα του ltsp).

Προτείνεται για τους fat 'server' και για τους thin 'localhost' για να μην έχεις πρόβλημα με πιθανή αλλαγή ip του ltsp εξυπηρετητή ή όνομα ltsp-εξυπηρετητή διάφορο του server  πχ. περίπτωση συναδέλφου που πάει σε δυο σχολεία και  ltsp εξυπηρετητή το προσωπικό του laptop το οποίο πιθανώς να μην ονομάζεται 'server'.

Επίσης πρέπει να βάλεις και στο /etc/hosts του  ltsp εξυπηρετητή (εφόσον δεν ονομάζεται server) το εξής

127.0.2.1 server


για να βγαίνει και ο ίδιος ο εξυπηρετητής αν δεν έχει όνομα server μέσω του proxy.

tallis

άλλαξα το όνομα του LTSP-server σε 'server' και λειτούργησε.

;D
Απόστολος Γιόκας
ΠΕ20 - ΕΠΑΛ Ορεστιάδας

gidarakos

Αν δηλώσω στον firefox proxy «localhost» ο squid3 παίζει σωστά (και για banned_domain).
Όμως αν δηλώσω «server», σε όλες τις σελίδες παίρνω μήνυμα «ERROR The requested URL could not be retrieved. Απαγορεύεται η Πρόσβαση.» εκτός από τις banned_domain σελίδες που μου εμφανίζεται κανονικά το μήνυμα «...έχει απαγορευτεί από τον καθηγητή».
Στο hosts υπάρχει το «127.0.1.1 server». Δοκίμασα και 127.0.2.1 αλλά τίποτα.
Ενώ με την εγκατάσταση του server δημιουργείτε εγγραφή «127.0.1.1 server» εσείς γιατί προτείνετε «127.0.2.1 server»;

Ευχαριστώ για το χρόνο σας.

Υ.Γ. Ο server δεν έχει static ip. Τις δοκιμές τις κάνω από το server αν και από thin είχε την ίδια συμπεριφορά (αναμενόμενο).

tallis

Καλημέρα

Μάλλον δεν έχεις επιτρέψει την πρόσβαση στο squid απο το συγκεκριμένο δίκτυο.

Στο squid.conf έχεις βάλει
acl localnet src 10.x.y.0/24

(οπου x.y.z το δίκτυο του σχολείου σου)
και μετά
http_access allow localnet

?
Απόστολος Γιόκας
ΠΕ20 - ΕΠΑΛ Ορεστιάδας

gidarakos

Υπάρχουν αυτές οι εγγραφές!
Αν βάλω proxy localhost όλα παίζουν σωστά (και οι thin).
Με το όνομα server τι γίνεται!

alkisg

Δεν έχω δει καθόλου μα καθόλου το θέμα squid, αλλά λογικά κάπου θα έχει κάπου τέτοιες οδηγίες:
acl localhost src 127.0.0.1/32 ::1
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32 ::1
...
http_access allow localhost


...οι οποίες δεν περιλαμβάνουν το server, αν αυτός είναι 127.0.1.1.
Οπότε ίσως η πρώτη γραμμή πρέπει να αλλάξει σε:
acl localhost src 127.0.0.0/8 ::1

ή εναλλακτικά, αν το επιτρέπει η σύνταξη, να προστεθεί μόνο το dns name "server" στην acl "localhost".

apapakL

Παράθεση από: gidarakos στις 17 Μαρ 2011, 09:32:05 ΠΜ
Ενώ με την εγκατάσταση του server δημιουργείτε εγγραφή «127.0.1.1 server» εσείς γιατί προτείνετε «127.0.2.1 server»;

Το προτείνουμε μόνο στη περίπτωση που ο ltsp εξυπυρετητής δεν λέγεται server

apapakL

αν θέλεις τρέξε τη παρακάτω εντολή
cat /etc/squid3/squid.conf | egrep -v "^s*(#|$)"


και πόσταρε το αποτέλεσμα για να δούμε το squid.conf σου

gidarakos

teacher@server:~$ cat /etc/squid3/squid.conf | egrep -v "^s*(#|$)"
acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32
acl SSL_ports port 443
acl Safe_ports port 80		# http
acl Safe_ports port 21		# ftp
acl Safe_ports port 443		# https
acl Safe_ports port 70		# gopher
acl Safe_ports port 210		# wais
acl Safe_ports port 1025-65535	# unregistered ports
acl Safe_ports port 280		# http-mgmt
acl Safe_ports port 488		# gss-http
acl Safe_ports port 591		# filemaker
acl Safe_ports port 777		# multiling http
acl CONNECT method CONNECT
http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
        error_directory /usr/share/squid3/errors/el   
	acl schoolnet src 10.84.75.0/24
        acl banned_domains url_regex -i "/etc/squid3/banned_domains.acl"
        deny_info ERR_SCH-SCRIPTS_BANNED_DOMAINS banned_domains
        http_access deny banned_domains
        http_access allow localhost
        http_access allow schoolnet
        http_access deny all
http_access allow localhost
http_access deny all
icp_access deny all
htcp_access deny all
http_port 3128
hierarchy_stoplist cgi-bin ?
access_log /var/log/squid3/access.log squid
refresh_pattern ^ftp:		1440	20%	10080
refresh_pattern ^gopher:	1440	0%	1440
refresh_pattern (cgi-bin|\?)	0	0%	0
refresh_pattern .		0	20%	4320
icp_port 3130
dns_nameservers 194.63.239.164 194.63.237.4 194.63.238.4
coredump_dir /var/spool/squid3
teacher@server:~$

apapakL

Άλλαξε τη γραμμή

acl localhost src 127.0.0.1/32


σε

acl localhost src 127.0.0.1/32 127.0.1.1/32

apapakL

Να και το squid.conf σου με τη παραπάνω προσθήκη χωρίς σχόλια, χωρίς κάποιες διπλές directives
acl manager proto cache_object
acl localhost src 127.0.0.1/32 127.0.1.1/32
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32
acl SSL_ports port 443
acl Safe_ports port 80		# http
acl Safe_ports port 21		# ftp
acl Safe_ports port 443		# https
acl Safe_ports port 70		# gopher
acl Safe_ports port 210		# wais
acl Safe_ports port 1025-65535	# unregistered ports
acl Safe_ports port 280		# http-mgmt
acl Safe_ports port 488		# gss-http
acl Safe_ports port 591		# filemaker
acl Safe_ports port 777		# multiling http
acl CONNECT method CONNECT
http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access deny to_localhost
        error_directory /usr/share/squid3/errors/el   
	acl schoolnet src 10.84.75.0/24
        acl banned_domains url_regex -i "/etc/squid3/banned_domains.acl"
        deny_info ERR_SCH-SCRIPTS_BANNED_DOMAINS banned_domains
        http_access deny banned_domains
        http_access allow localhost
        http_access allow schoolnet
        http_access deny all
icp_access deny all
htcp_access deny all
http_port 3128
hierarchy_stoplist cgi-bin ?
access_log /var/log/squid3/access.log squid
refresh_pattern ^ftp:		1440	20%	10080
refresh_pattern ^gopher:	1440	0%	1440
refresh_pattern (cgi-bin|\?)	0	0%	0
refresh_pattern .		0	20%	4320
icp_port 3130
dns_nameservers 194.63.239.164 194.63.237.4 194.63.238.4
coredump_dir /var/spool/squid3


Υ.Γ. Αν το χρησιμοποιήσεις, για παν ενδεχόμενο πάρε back up το παλιό!!

gidarakos

Δούλεψε!  :) Σε ευχαριστώ!

Άρα αυτό είναι κάτι που πρέπει να προσθέτουμε σε μία εγκατάσταση squid3;
Στις οδηγίες αν δεν κάνω λάθος δεν είδα κάτι τέτοιο..

apapakL

Να σου πω την αλήθεια εμένα το configuration σου (με proxy στο firefox server) για τους thin δούλευε αλλά στο server όχι.

Οι οδηγίες που αναφέρονται στο συγκεκριμένο post περιλαμβάνουν και φιλτράρισμα ανά χρήστη, αλλά επειδή ο διαχειριστής του συστήματος είναι στους whitelist users, και το σχετικό directive προηγείται από τα υπόλοιπα, δεν εμφανιζόταν πρόβλημα αφού συνδέομαι στο server με χρήστη που ανήκει στους whitelist_users...

apapakL

#28
Παράθεση από: apapakl στις 17 Μαρ 2011, 02:07:34 ΜΜ
Να σου πω την αλήθεια εμένα το configuration σου (με proxy στο firefox server) για τους thin δούλευε αλλά στο server όχι.


fat client ήταν τελικά. Sorry! Τώρα που το σκέφτομαι το πρόβλημα το είχα δει και γι αυτό πρότεινα  για ltsp server και thin να χρησιμοποιείται localhost ενώ στους fat server. Επιπρόσθετα γλυτώνουμε από προβλήματα όπως αλλαγές ip λόγω μεταφοράς σε άλλα υποδίκτυα πχ laptop ltsp server, ή όνομα εξυπηρετητή διαφορετικό του hardcoded στο κώδικα του ltsp "server".

Επίσης δουλεύει και με αυτό που πρότεινε ο alkisg
Αντικατάσταση του

acl localhost src 127.0.0.1/32


με

acl localhost src 127.0.0.0/8


Οπότε ή κάνουμε την παραπάνω αλλαγή στο squid.conf και χρησιμοποιούμε παντού server ή χρησιμοποιούμε localhost για proxy στους thin και τον ίδιο τον ltsp server και server για proxy στους fat clients.

gidarakos

Οι mandatory ρυθμίσεις για thin τι νόημα έχουν αν δεν κλειδώσεις τις ρυθμίσεις του firefox;
Θέλω να πω ότι αν μας ενδιαφέρει ο proxy να είναι υποχρεωτικός μόνο για τον firefox χρειάζονται;
Οι mandatory ρυθμίσεις είναι γενικά για gnome εφαρμογές που «βγαίνουν» στο internet για να χρησιμοποιούν υποχρεωτικά τον proxy;