Citação:
Postado originalmente por whinston
senao me engano foi este mesmo q eu li :)
vou reler com + cautela e tentar novamente
vc encontrou algum erro neste artigo que ficou pastando ou foi de boa ?
Eu tive um pouco de dificuldade tb... pra não ter surpresa eu configurei o squid e dansguardian primeiro no meu micro e usei uma estação da rede para testes.
Praticamente, segui os seguintes passos:
Fiz a configuração de forma que o dans fosse encarado como o primeiro servidor de conexão e usei o squid como proxy para o dans. Simplesmente levantei o dans na porta 3128 e troquei a do squid para 3127. Em relação ao Squid, só permito o INPUT, para a rede local, na 3128 mesmo - ai ficou como eu queria.
A primeira configuração adotada...
- Configuração no Squid
http_port 10.0.0.254:3127 127.0.0.1:3127
Ps.: Uso dois endereços porque quando quero validar alguma coisa no squid sem sofrer nenhum tipo de restrição, entro no servidor e seto http_proxy como "
http://127.0.0.1:3127".
- Configurando o Dans
### Idioma e formato de log (usando o mesmo do Squid)
languagedir = '/etc/dansguardian/languages
language = 'portuguese'
logfileformat = 3
### Onde o DANS deve escutar
filterip = 10.0.0.254
filterport = 3128
### Setando o Squid como proxy para o Dans
proxyip = 10.0.0.254
proxyport = 3127
### Servidor de Web para mensagens de erro
accessdeniedaddress = 'http://YOURSERVER.YOURDOMAIN:35100/cgi-bin/dansguardian.pl'
Ps.: Já tenho um servidor Apache que uso para o Nagios e Sarg. Deixei no fw, mas não permito acessos externos... apenas em rede local. Vc pode usar outro servidor de web tb.
### Pontuação máxima
naughtynesslimit = 140
showweightedfound = on
### Parametros para autenticação (feita no Squid)
usernameidmethodproxyauth = on
usernameidmethodntlm = off # **NOT IMPLEMENTED**
usernameidmethodident = off
preemptivebanning = on
### Para que os IPs dos clientes de sua rede local sejam repassados ao Squid
forwardedfor = on
usexforwardedfor = off
Com esta configuração você já consegue fazer com que ambos os servidores se conversem, depois os acertos de lista negra e pontuação de palavras é mais simples.
Só tem um detalhe... se o seu Squid não estiver compilado com suporte ao x-forwarded-for, todas as requisições chegarão ao servidor Squid como se a origem fosse sempre o 10.0.0.254. E alguns de seus controles poderão falhar. Eu peguei o dans em rpm no site rpmfind.net. Mas o squid eu compilei e montei um RPM, porque o rpm que tinha no cd não oferecia suporte ao x-forwarded-for. As distros mais atuais já estão disponibilizando o binários com esse patch aplicado.
Para saber se o seu Squid já tem esse patch, edite o squid.conf e veja se encontra a linha "follow_x_forwarded_for" (vai aparecer um comentário).
O cara que fez o artigo optou por um esquema um pouco diferente... ele fez consulta entre caches vizinhos. Ele colocou um exemplo bem no final - no forum que tem após o artigo. Só vi isto depois, mas não gostei muito.... ele faz uma volta maior para chegar no mesmo resultado. Não sei... é um esquema interessante tb.