squid+dansguardian y duda sobre cookies
Hola a todos.. tengo un problema con un sitio en particular (www.netgociando.com). cuando configuro el navegador para NO utilizar el proxy (squid+dansguardian)... funciona OK y me muestra la pagina que esta dentro de un frame (creo que asi se llama) cuando configuro el navegador para utilizar el proxy.. entonces, tengo problema para acceder a algunas partes del sitio y me sale un error 403 dentro del frame. revisando los registros, he notado que este sitio redirecciona ciertas paginas (las que tengo problema) a un dominio externo.. analizando el trafico http, observo estas lineas (las partes mas relevantes): SIN proxy === GET /es/markets/tasas_table.idms HTTP/1.1 Referer: http://www.netgociando.com/Contenido/internacional/libor_v3.asp?id_pag=34 Accept-Language: es Host: www.netgociando.test.idmanagedsolutions.com Connection: Keep-Alive HTTP/1.1 200 OK Date: Thu, 12 Mar 2009 14:09:11 GMT Server: Apache/2.2.4 (Unix) mod_ssl/2.2.4 OpenSSL/0.9.8a mod_jk/1.2.25 PHP/5.2.4 Set-Cookie: netgo.lang.cookie=es; Path=/ Set-Cookie: JSESSIONID=B4FF70FA2C7B0B96C5F452; Path=/ Keep-Alive: timeout=5, max=100 Connection: Keep-Alive CON proxy === GET http://www.netgociando.test.idmanagedsolutions.com/es/markets/tasas_table.idms HTTP/1.1 Referer: http://www.netgociando.com/Contenido/internacional/libor_v3.asp?id_pag=34 Accept-Language: es Proxy-Connection: Keep-Alive Host: www.netgociando.test.idmanagedsolutions.com HTTP/1.0 403 Forbidden Date: Thu, 12 Mar 2009 13:59:15 GMT Server: Apache/2.2.4 (Unix) mod_ssl/2.2.4 OpenSSL/0.9.8a mod_jk/1.2.25 PHP/5.2.4 Age: 191 X-Cache: HIT from proxy.midominio.com X-Cache-Lookup: HIT from proxy.midominio.com:3129 X-Cache: MISS from proxy.midominio.com X-Cache-Lookup: MISS from proxy.midominio.com:3128 Via: 1.0 proxy1-cache.midominio.com (squid/3.0.STABLE7), 1.0 proxy1-auth.midominio.com (squid/3.0.STABLE7) Proxy-Connection: close por lo que veo.. en la primera conexcion (sin proxy).. se envia las cabeceras set-cookies y en la segunda no las veo !!! pienso, que por ser dos dominio distinto.. el proxy no considera el cookie generado en el primer site y NO lo reenvia al segundo !! (al menos esto pienso..) como este dominio es el unico que presenta problemas ... pienso que el problema esta alla y no en la configuracion local.. he revisado en internet algunos documentos: http://www.faqs.org/rfcs/rfc2109.html http://en.wikipedia.org/wiki/HTTP_cookie#Privacy_and_third-party_cookies y aparentemente esto deberia de funcionar asi, o sea, el proxy no deberia de reenviar los cookies al otro dominio, pero no me queda del todo claro. alguien tiene un problema parecido ?? ideas y sugerencias ?? salu2 -- -- Victor Hugo dos Santos Linux Counter #224399
Re: squid+dansguardian y duda sobre cookies
Victor Hugo dos Santos escribió: Hola a todos.. tengo un problema con un sitio en particular (www.netgociando.com). cuando configuro el navegador para NO utilizar el proxy (squid+dansguardian)... funciona OK y me muestra la pagina que esta dentro de un frame (creo que asi se llama) cuando configuro el navegador para utilizar el proxy.. entonces, tengo problema para acceder a algunas partes del sitio y me sale un error 403 dentro del frame. revisando los registros, he notado que este sitio redirecciona ciertas paginas (las que tengo problema) a un dominio externo.. analizando el trafico http, observo estas lineas (las partes mas relevantes): SIN proxy === GET /es/markets/tasas_table.idms HTTP/1.1 Referer: http://www.netgociando.com/Contenido/internacional/libor_v3.asp?id_pag=34 Accept-Language: es Host: www.netgociando.test.idmanagedsolutions.com Connection: Keep-Alive HTTP/1.1 200 OK Date: Thu, 12 Mar 2009 14:09:11 GMT Server: Apache/2.2.4 (Unix) mod_ssl/2.2.4 OpenSSL/0.9.8a mod_jk/1.2.25 PHP/5.2.4 Set-Cookie: netgo.lang.cookie=es; Path=/ Set-Cookie: JSESSIONID=B4FF70FA2C7B0B96C5F452; Path=/ Keep-Alive: timeout=5, max=100 Connection: Keep-Alive CON proxy === GET http://www.netgociando.test.idmanagedsolutions.com/es/markets/tasas_table.idms HTTP/1.1 Referer: http://www.netgociando.com/Contenido/internacional/libor_v3.asp?id_pag=34 Accept-Language: es Proxy-Connection: Keep-Alive Host: www.netgociando.test.idmanagedsolutions.com HTTP/1.0 403 Forbidden Date: Thu, 12 Mar 2009 13:59:15 GMT Server: Apache/2.2.4 (Unix) mod_ssl/2.2.4 OpenSSL/0.9.8a mod_jk/1.2.25 PHP/5.2.4 Age: 191 X-Cache: HIT from proxy.midominio.com X-Cache-Lookup: HIT from proxy.midominio.com:3129 X-Cache: MISS from proxy.midominio.com X-Cache-Lookup: MISS from proxy.midominio.com:3128 Via: 1.0 proxy1-cache.midominio.com (squid/3.0.STABLE7), 1.0 proxy1-auth.midominio.com (squid/3.0.STABLE7) Proxy-Connection: close por lo que veo.. en la primera conexcion (sin proxy).. se envia las cabeceras set-cookies y en la segunda no las veo !!! pienso, que por ser dos dominio distinto.. el proxy no considera el cookie generado en el primer site y NO lo reenvia al segundo !! (al menos esto pienso..) como este dominio es el unico que presenta problemas ... pienso que el problema esta alla y no en la configuracion local.. he revisado en internet algunos documentos: http://www.faqs.org/rfcs/rfc2109.html http://en.wikipedia.org/wiki/HTTP_cookie#Privacy_and_third-party_cookies y aparentemente esto deberia de funcionar asi, o sea, el proxy no deberia de reenviar los cookies al otro dominio, pero no me queda del todo claro. alguien tiene un problema parecido ?? ideas y sugerencias ?? salu2 Pareciera que tu SQUID no esta filtrando las respuestas set-cookies desde ese servidor especifico y las estuviera chacheando. es por eso que al entrar al sitio WEB el SQUID le esta re-enviando una cookie previamente guardada... raro comportamiento, no deberia pasar asi, se supone que las puede guardar, pero las DEBE remover desde el cache. -- = Miguel A. Oyarzo O. Ingeniería Redes y Comunicaciones Linux User: # 483188 - counter.li.org Austro Internet S.A. INALAMBRICA S.A. Teléfono: [+05661] 710030 Punta Arenas - Chile =
squid - dansguardian - squid
Señores, estoy intentando configurar squid + dansguardian, con la siguiente estructura (base): - usuarios sin autentificar pueden navegar en sitios básicos y se deniega todo los demás sitios - usuarios autentificados, pueden navegar en varios sitios, excepto los sitios bloqueados por DG el problema es que el DG, pesar que trabajar bien con usuarios y grupos.. no tiene la posibilidad de autentificar los usuarios... así que configure el squid para solicitar el usuario y contraseña al cliente y después pasar estés datos al DG... hasta acá va bien !!! el problema es que en el DG necesito poner un proxy a donde reenviar las peticiones validas de los usuarios y pongo el mismo squid como proxy de salida .. lo que genera un loop y me muestra este error en los logs: - 2008/03/31 10:33:10| WARNING: Forwarding loop detected for: GET /favicon.ico HTTP/1.0 Host: www.miip.es User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; es-ES; rv:1.9b4) Gecko/2008030714 Firefox/3.0b4 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8 Accept-Language: es-es,es;q=0.8,en-us;q=0.5,en;q=0.3 Accept-Encoding: identity,gzip,deflate Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7 Keep-Alive: 300 Proxy-Authorization: Basic dmhzYW50QnVuZGEwOQ== Via: 1.1 proxy2.midominio.com (squid/3.0.PRE6) X-Forwarded-For: 172.X.X.150 Cache-Control: max-age=259200 X-Forwarded-For: 172.X.X.150 - bien... he visto varias paginas, intentando evitar este loop, entre ellas esta: http://wiki.squid-cache.org/SquidFaq/TroubleShooting#head-16ad27f86ac8fcbd395bcf440c202ee23308a7cc donde agregue las siguientes lineas a mi squid.conf - # Our parent caches cache_peer localhost parent 8080 0 proxy-only no-query login=PASS no-digest # An ACL list acl PEERS src localhost # Prevent forwarding loops cache_peer_access localhost allow !PEERS - lo que a mi punto de vista.. debería de funcionar.. pero no !!! no funciona, continua con el mismo error en los logs (sii.. reinicie ambos servicios). también.. intente modificar los parámetros visible_hostname y unique_hostname con nombres distintos.. pero nada.. m.. según mi punto de vista, existen las siguientes posibilidades.. 1 - poner una otra instancia de squid, a donde el DG pueda enviar las solicitudes (cliente squid DG squid) ... no me agrada mucho la idea, porque debería de modificar los scripts de inicio de squid y efectuar algunos cambios raros en los archivos de configuracion. 2 - poner una instancia de privoxy al frente del DG, quedando asi (clinte - squid - DG - privoxy) ... posiblemente sea la mejor alternativa hasta el momento.. pero el tema es que no conozco muy bien privoxy y tengo temor de dar resultados inesperados en los clientes (pero estoy estudiando su implementación y efectos) 3 - encontrar algún parámetro en el squid, que evite el loop y dejar la estructura tal cual esta ahora (lo que seria mejor en estes momentos). bien.. abajo, envio los parámetros de mi squid.conf en estés momentos: - http_port 3128 icp_port 3130 cache_peer 127.0.0.1 parent 8080 0 proxy-only no-query login=PASS no-digest #cache_peer proxy1.midominio.com sibling 3128 3130 login=PASS hierarchy_stoplist cgi-bin ? acl QUERY urlpath_regex cgi-bin \? cache deny QUERY cache_mem 4000 MB maximum_object_size 40960 KB cache_dir ufs /var/spool/squid3 4 16 256 ftp_user [EMAIL PROTECTED] auth_param basic program /usr/lib/squid3/squid_ldap_auth (DN para conectarse, funciona bien) auth_param basic children 20 auth_param basic realm Web-Proxy Midominio SA auth_param basic credentialsttl 2 hours external_acl_type ldap_group %LOGIN /usr/lib/squid3/squid_ldap_group (DN para conectarse, funciona bien) refresh_pattern ^ftp: 144020% 10080 refresh_pattern ^gopher:14400% 1440 refresh_pattern . 0 20% 4320 acl all src 0.0.0.0/0.0.0.0 acl manager proto cache_object acl localhost src 127.0.0.1/255.255.255.255 acl to_localhost dst 127.0.0.0/8 acl SSL_ports port 443 acl CONNECT method CONNECT acl sites_basicos url_regex -i /etc/squid3/sites_basicos.txt acl autenticados proxy_auth REQUIRED acl PEERS src 127.0.0.1 cache_peer_access 127.0.0.1 allow !PEERS http_access allow manager localhost http_access deny manager http_access deny !Safe_ports http_access deny CONNECT !SSL_ports http_access allow sites_basicos http_access allow autenticados http_access allow localhost http_access deny all http_reply_access allow all icp_access allow all cache_peer_access 127.0.0.1 allow !PEERS cache_mgr [EMAIL PROTECTED] visible_hostname proxy2.midominio.com unique_hostname proxy2.midominio.com acl sitios_internos dst midominio.com always_direct allow sitios_internos error_directory /usr/share/squid3/errors/Spanish coredump_dir /var/spool/squid3 - bien.. ojala alguien haya encontrado una solución para este tema y/o
squid - dansguardian - squid
El lun, 31-03-2008 a las 12:01 -0400, Victor Hugo dos Santos escribió: Señores, estoy intentando configurar squid + dansguardian, con la siguiente estructura (base): - usuarios sin autentificar pueden navegar en sitios básicos y se deniega todo los demás sitios - usuarios autentificados, pueden navegar en varios sitios, excepto los sitios bloqueados por DG el problema es que el DG, pesar que trabajar bien con usuarios y grupos.. no tiene la posibilidad de autentificar los usuarios... así que configure el squid para solicitar el usuario y contraseña al cliente y después pasar estés datos al DG... hasta acá va bien !!! el problema es que en el DG necesito poner un proxy a donde reenviar las peticiones validas de los usuarios y pongo el mismo squid como proxy de salida .. lo que genera un loop y me muestra este error en los logs: - 2008/03/31 10:33:10| WARNING: Forwarding loop detected for: GET /favicon.ico HTTP/1.0 Host: www.miip.es User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; es-ES; rv:1.9b4) Gecko/2008030714 Firefox/3.0b4 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8 Accept-Language: es-es,es;q=0.8,en-us;q=0.5,en;q=0.3 Accept-Encoding: identity,gzip,deflate Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7 Keep-Alive: 300 Proxy-Authorization: Basic dmhzYW50QnVuZGEwOQ== Via: 1.1 proxy2.midominio.com (squid/3.0.PRE6) X-Forwarded-For: 172.X.X.150 Cache-Control: max-age=259200 X-Forwarded-For: 172.X.X.150 - bien... he visto varias paginas, intentando evitar este loop, entre ellas esta: http://wiki.squid-cache.org/SquidFaq/TroubleShooting#head-16ad27f86ac8fcbd395bcf440c202ee23308a7cc donde agregue las siguientes lineas a mi squid.conf - # Our parent caches cache_peer localhost parent 8080 0 proxy-only no-query login=PASS no-digest # An ACL list acl PEERS src localhost # Prevent forwarding loops cache_peer_access localhost allow !PEERS - lo que a mi punto de vista.. debería de funcionar.. pero no !!! no funciona, continua con el mismo error en los logs (sii.. reinicie ambos servicios). también.. intente modificar los parámetros visible_hostname y unique_hostname con nombres distintos.. pero nada.. m.. según mi punto de vista, existen las siguientes posibilidades.. 1 - poner una otra instancia de squid, a donde el DG pueda enviar las solicitudes (cliente squid DG squid) ... no me agrada mucho la idea, porque debería de modificar los scripts de inicio de squid y efectuar algunos cambios raros en los archivos de configuracion. 2 - poner una instancia de privoxy al frente del DG, quedando asi (clinte - squid - DG - privoxy) ... posiblemente sea la mejor alternativa hasta el momento.. pero el tema es que no conozco muy bien privoxy y tengo temor de dar resultados inesperados en los clientes (pero estoy estudiando su implementación y efectos) 3 - encontrar algún parámetro en el squid, que evite el loop y dejar la estructura tal cual esta ahora (lo que seria mejor en estes momentos). bien.. abajo, envio los parámetros de mi squid.conf en estés momentos: [...] bien.. ojala alguien haya encontrado una solución para este tema y/o tenga alguna idea que pueda ayudar. La verdad es que yo nunca he echo la prueba de hacer lo que tu estas intentando, pero se me ocurre una idea que te podria servir. Yo tengo un Squid con Dansguardian funcionando actualmente en mi red, pero de la forma Cliente Dansguardian squid firewall Danswardian, squid y firewall en la misma maquina, pero Dansguardian y squid en un entorno chroot. Lo que podrias hacer es instalar dos veces squid en entornos chroots separados y usando puertos separados. Yo lo estoy haciendo con proxy transparente, no se si tu estas trabajando de la misma forma. Pero yo lo tengo asi cliente gw/firewall (redirecciona al puerto 8080) danswardian(8080) squid(3128) internet Tu podrias hacer lo siguiente ?cliente gw/firewall (redirecciona al puerto ) squid1 () danswardian(8080) squid2(3128) internet (dejando cada squid en un chroot separado). Como te he dicho no he probado esta solucion, pero me imagino que deberia funcionar Saludos
squid+dansguardian
Hola: hace ya tiempo que deje RPM (desde que me pase a debian) pero quizas partiendo desde los SRPM podrias parchearlos y generar los RPM de nuevo (con un nº de subsubsubversion + alto que el que tenes instalado) y luego rpm -u squid_parcheado.rpm Un abrazo PD: No se si ES una solución pero te la planteo, no pensaste en probar squid + squidguard + sarg(opcional)? -- Satoru Lucas Shindoi CEL: 03783-15666916 ICQ: 95357247 - Jabber: [EMAIL PROTECTED] Messenger: [EMAIL PROTECTED] - Yahoo: [EMAIL PROTECTED] -- GULCO - Grupo de Usuarios de GNU/Linux Corrientes - www.gulco.linux.org.ar Sistemas de Informacion - DPEC - www.dpec.com.ar LiNEA S.H. - Linux en el NEA Sociedad de Hecho
squid+dansguardian
Usa squid+SquidGuard El jue, 15-12-2005 a las 10:04 -0400, Wilson Acha escribió: Buenas listeros, estoy configurando un proxy transparente con squid, el cual funciona al pelo, pero deseaba incrementar el filtrado de paginas no deseadas, para lo cual instale el Dansguardian, pero me encuentro con el problema que el Dansguardian anula las ACL del squid, segun puede ver en google, hay que aplicar un parche al squid, pero la verdad es que yo realice todas las confioguraciones desde los rpm (trabajo bajo centos) y otro inconveniente es que mi proxy ya esta trabajando. y no podria empezar todo de cero osea compilar con el parche mencionado nuevamente por que dejaria fuera el servicio mientras sdoluciono el problema (se que no es lo correcto trabajar en servidores en produccion pero nosotros no contamos con servidores de prueba). Existe alguna alternativa de solucion que no incluya el volver a compilar todo desde cero? o cual deberia ser la estrategia para poder resolver este inconveniente? Otra duda adicional si dansguardian trabaja en el puerto 8080, que pasa si se desea acceder aun server (jakarta) que tiene el mismo puerto no existe confusion?
