Squid und Squidguard nehmen meine IP's nicht!

[schlaflos]

Hallo Leute!

Hab ein großes Problem:

Ich habe mir SuSE 8.1 Prof. zugelegt und Squid (Version 2.4) sowie Squidguard installiert. Weiters habe ich danach Squidguard in Squid via redirect_programm eingebunden. Soweit so gut. Ich kann auch in squid.conf meine User mittels http_acces deny all vom Internet aussperren oder aber allen den Zugriff erlauben. Will ich nun aber einen einzelnen User blockieren oder nur einzelne Seiten erlauben so übernimmt squid diese änderunen nicht. er bringt allerdings auch keine errorlogs diesbezüglich. In Squidguard verhält es sich genau gleich: alles oder nichts, mit der ausnahme, daß ich dort eben noch die blacklists einbeziehen kann. Aber ich muß einzelne User sperren oder einschränken können.

Ich arbeite in einem reinem Windows Netzwerk wobei der Proxy in einer DMZ mit der IP-Adresse 192.168.1.x/255.255.255.0 steht und die Clients sowei DNS Server die Adressen 10.x.x.x haben mit dem Subnet 255.255.0.0
Zum Internet steht eine Cisco Pix welche auch für das NAT zuständig ist.
Ich kann denn Proxy ohne Probleme mittels Ping erreichen, ja selbst denn Apache (auf dem selben Server) hab ich zu Testzwecken laufen lassen, und siehe da, der Webserver rennt und kann vom WinClient angesprochen werden. Auch vom Proxy kann ich jeden Server oder Client problemlos anpingen. Also ich weiß nicht weiter!

Ich poste mal unten die letzte Version meiner squidguard.conf



logdir /var/squidGuard/logs
dbhome /var/squidGuard/db

src grownups {
ip 10.1.10.140/255.255.255.255 # range 10.0.0.0 - 10.0.0.255
# AND
user foo bar # ident foo or bar
}


dest blacklist {
domainlist blacklist/domains
urllist blacklist/urls
}

acl {
grownups {
pass none
}
default {
pass !blacklist all
redirect http://info.foo.bar/cgi/blocked?clienta ... =%t&url=%u
}
}

"Meine Squid.conf:"

# NETWORK OPTIONS
http_port 3128
cache_access_log /var/log/squid/access.log
cache_log /var/log/squid/cache.log
emulate_httpd_log on
log_ip_on_direct on
client_netmask 255.255.255.255
redirect_program /usr/sbin/squidGuard
redirect_children 4

# ACCESS CONTROLS
# -----------------------------------------------------------------------------

#Recommended minimum configuration:
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255

acl test src 10.1.10.1/255.255.255.255 #eigene Einträge
acl gesperrt dstdomain www.pl-forum.de #eigene Einträge

acl SSL_ports port 443 563
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT

# TAG: http_access
# Allowing or Denying access based on defined access lists
http_access allow manager localhost
http_access deny manager

# Deny requests to unknown ports
http_access deny !Safe_ports

# Deny CONNECT to other than SSL ports
http_access deny CONNECT !SSL_ports

# And finally deny all other access to this proxy

http_access allow localhost
http_access allow test gesperrt
http_access deny all


Hoffentlich kann mir wer helfen!! Danke, Gernot

[SIR_Legwood]

Hallo

kuck dir mal diese einträge an
aus squid.conf "acl test src 10.1.10.1/255.255.255.255 #eigene Einträge"
hier läst du einen Rechner mit 10.1.10.1 zu der den Squid benutzen darf

und die squiduard.conf
src grownups {
ip 10.1.10.140/255.255.255.255 # range 10.0.0.0 - 10.0.0.255 <- hier willst du den 10.1.10.140 sperren, darf aber den squid gar nicht benutzen
# AND
user foo bar # ident foo or bar
}


mfg torsten

[Gernot]

Hi Torsten!

Jetzt kommt das beste: Es funktioniert aber!! Ich kann von 10.1.10.140 ins Internet, obwohl in der squid.conf es eigentlich mit "http_access deny all" verboten werden müßte.
Vielleicht ist hier aber Squidguard stärker als Squid!
Es funktioniert einfach nicht, daß ich in Squidguard oder wenigstens Squid Benutzern nur einzelne Seiten erlaube oder ihnen den Internetzugang komplett weg nehmen kann.

Das ist mein Problem! Seit 2 Tagen bin ich am Brüten wo mein Fehler liegen könnte und ich hab keine Ahnung.
Jetzt hege ich schon den Verdacht, daß das Problem vielleicht bei Linux selbst liegt, aber andererseits, kann ich in alle Richtungen Pings absetzen und auch empfangen!

Ich weiß nicht mehr weiter <img src="http://www.pl-forum.de/UltraBoard/Images/Sad.gif" border="0" align="middle"> ....

Gernot

[SIR_Legwood]

Hallo

hast du einen Proxy eingetragen wenn nicht ist es klar dann geht dein Client direkt ins Internet

mfg Torsten

[Gernot]

nein, hab natürlich am client den proxy mit seiner 192.168.x.x adresse und port 3128 eingetragen!

ich bin jetzt schon den 3. tag dabei und immer noch hab ich keinen hinweiß warum es nicht geht!

bald fange ich an zu weinen, ehrlich!

gernot