NetPolice (СКФ) на ALT Linux Школьный Сервер 6

[vanchope]

Здравствуйте!
В ALT Linux Школьный Сервер 6 NetPolice по умолчанию не фильтрует, хотя он предустановлен. Чтобы его включить, я использовал инструкцию с сайта NetPolice. Одним из её пунктов было изменение в файле /etc/sysconfig/host2cat параметра DNS_LIST, где  прописывался адрес фильтрующего dns-сервера NetPolice (dnsc1.edu.cair.ru). Этот пункт я выполнил и в этот раз, но иногда после перезагрузки сервера значение параметра DNS_LIST стало самопроизвольно стираться, что выяснилось по отсутствию Интернета через прокси. Потом я переустановил сервер и работал без NetPolice, но стоило мне включить службу memcached, как в браузере увидел знакомую надпись Permition Deny!. Зашёл в /etc/sysconfig/host2cat и нашёл там строку  DNS_LIST = 192.168.1.1 (это адрес модема). Отключил memcached - СКФ перестал фильровать. Конфиг Squid я подставлял свой (точнее, скаченный с Linformatika.ru для 5-ого сервера). При правке родных настроек Squid в Центре Управления Системой (в веб-интерфейсе сервера) связка Squid+NetPolice не работает.  Вот такая ситуация, а теперь вопросы:
1) Как правильно включить фильтр NetPolice на ALT Linux Школьный Сервер 6?
2) Возможна ли настройка Squid для работы с NetPolice из веб-интерфейса сервера, или нужно править конфиги вручную? 

[Skull]

Вопросы настройки NetPolice неоднократно обсуждались в этом разделе. Связка работает только тогда, когда никаких иных изменений не производятся.

[vanchope]

Вопросы настройки NetPolice неоднократно обсуждались в этом разделе.

Согласен, но на 5-ом сервере. В 6-ом сервере нужно ли редактировать host2cat?

Связка работает только тогда, когда никаких иных изменений не производятся.

Каких изменений, не могли бы поподробнее? Какой режим прокси выбирать в веб-интерфейсе сервера? Без полной замены squid.conf я не смог заставить работать связку squid+netpolice...

[Skull]

Согласен, но на 5-ом сервере. В 6-ом сервере нужно ли редактировать host2cat?

Если адрес получается по DHCP, то я сделал хук по заполнению этого параметра.

Каких изменений, не могли бы поподробнее? Какой режим прокси выбирать в веб-интерфейсе сервера?

Никакой. Прокси-сервер в Alterator ортогонален конфигурации Netpolice. У Netpolice своя конфигурация Squid, несовместимая со штатной.

[vanchope]

У Netpolice своя конфигурация Squid, несовместимая со штатной.

Значит, чтобы работала связка, нужно править squid.conf вручную? Или она по умолчанию (из коробки) работает, главное ничего не трогать?

Если адрес получается по DHCP, то я сделал хук по заполнению этого параметра.

Простите, но выражение для меня непонятное. Адрес действительно получается по DHCP. Нужно оставить host2cat как есть или что-то прописывать?  Может дело не только в host2cat, какие-то ещё файлы влияют на СКФ?

[Skull]

У Netpolice своя конфигурация Squid, несовместимая со штатной.

Значит, чтобы работала связка, нужно править squid.conf вручную? Или она по умолчанию (из коробки) работает, главное ничего не трогать?

Не надо править вручную. Надо смотреть инструкцию по netpolice.

Если адрес получается по DHCP, то я сделал хук по заполнению этого параметра.

Простите, но выражение для меня непонятное. Адрес действительно получается по DHCP. Нужно оставить host2cat как есть или что-то прописывать?  Может дело не только в host2cat, какие-то ещё файлы влияют на СКФ?

Так и следуйте по инструкции. DNS-сервер в /etc/sysconfig/host2cat заполнен?

[vanchope]

Так и следуйте по инструкции. DNS-сервер в /etc/sysconfig/host2cat заполнен?

Я же говорю

стоило мне включить службу memcached, как в браузере увидел знакомую надпись Permition Deny!. Зашёл в /etc/sysconfig/host2cat и нашёл там строку  DNS_LIST = 192.168.1.1 (это адрес модема). Отключил memcached - СКФ перестал фильровать.

Я не правил host2cat, а netpolice заработал (что уже не по инструкции), причём при значении DNS_LIST = 192.168.1.1, хотя, если, как вы говорите,  следовать инструкции, нужно прописать значение DNS_LIST = dnsc1.edu.cair.ru. Потом не очень понятно,  почему

иногда после перезагрузки сервера значение параметра DNS_LIST стало самопроизвольно стираться, что выяснилось по отсутствию Интернета через прокси.

Я понимаю, что есть инструкция, но она для 4-5 платформы, а для 6-ой... Похоже, что есть ньюансы, которые могли бы найти своё отражение в новой версии инструкции... или хотя бы в ответе здесь...

[Skull]

причём при значении DNS_LIST = 192.168.1.1, хотя, если, как вы говорите,  следовать инструкции, нужно прописать значение DNS_LIST = dnsc1.edu.cair.ru.

Нет, в инструкции в

Код: [Выделить]

rpm -qd netpolice этого нет. Достаточно DNS-сервера по умолчанию, что и подставил мой хук.

Программа по обновлению /etc/sysconfig/host2cat (то, что я ранее назвал хуком) называется /lib/resolvconf/host2cat (из пакета openresolv-host2cat) и запускается при получении адреса по DHCP. Если список полученных по DHCP DNS-серверов отличается от того, что было прописано в файле, они подставляются. В том числе если список пуст. Возможно, нужно сделать проверку на пустое значение $NAMESERVERS. Сегодня исправлю.

Я понимаю, что есть инструкция, но она для 4-5 платформы, а для 6-ой... Похоже, что есть ньюансы, которые могли бы найти своё отражение в новой версии инструкции... или хотя бы в ответе здесь...

Полгода назад проверял Информика 6.0 Школьный — работало. Код не менялся, основные проблемы возникают при неверном конфигурировании и окружении. По большому счёту, эти вопросы нужно авторам Netpolice задавать, а не издателям в нашем лице.

[vanchope]

причём при значении DNS_LIST = 192.168.1.1, хотя, если, как вы говорите,  следовать инструкции, нужно прописать значение DNS_LIST = dnsc1.edu.cair.ru.

Нет, в инструкции в

Код: [Выделить]

rpm -qd netpolice этого нет. Достаточно DNS-сервера по умолчанию, что и подставил мой хук.

Прочитал инструкцию в /usr/share/doc/netpolice. Она почти идентична той, что находится на официальном сайте netpolice для Alt Linux 4. Там написано, что конфиг host2cat редактировать нужно, только прописывать для школы DNS_LIST = dnsc.skf.edu.ru (в инструкции на сайте DNS_LIST = dnsc1.edu.cair.ru.). Про взаимодействие со squid не сказано ничего. Сегодня решил установить с нуля сервер и настроить netpolice. Запустил все указанные в инструкции службы, но доступ к прокси запрещён.

У Netpolice своя конфигурация Squid, несовместимая со штатной.

Значит, чтобы работала связка, нужно править squid.conf вручную? Или она по умолчанию (из коробки) работает, главное ничего не трогать?

Не надо править вручную. Надо смотреть инструкцию по netpolice.

В альтераторе squid  5 режимов - прозрачный и обычный (без аутентификации kerberos, PAM, kerberos+PAM). На прозрачном (который по умолчанию) не работает, да ведь так и должно быть, ведь netpolice в любом случае требует аутентификации, чтобы знать, кого фильтровать. Конечно, есть вариант подставить готовый конфиг сквид с линформатики, но ведь связка должна работать из коробки... я понимаю, что инструкцию составляли ребята из netpolice, но всё же... может, объясните, как это всё должно работать (имеется в виду запуск squid+netplice, а не настройка в веб-интерфейсе)... вот, установили сервер, что дальше?

[Skull]

В альтераторе squid  5 режимов - прозрачный и обычный (без аутентификации kerberos, PAM, kerberos+PAM). На прозрачном (который по умолчанию) не работает

Есть два squid.conf. Один — для нормальной работы прокси-сервера (и он настраивается в alterator-squid). Второй — для работы netpolice. Друг с другом они конфликтуют и задачи скрестить ужа с ежом их не возникало. Netpolice добавляли сами разработчики и ALT Linux ничего не менял. Я лишь проверил работоспособность в идеальном случае (когда прокси-сервер используют только для СКФ через Netpolice.

я понимаю, что инструкцию составляли ребята из netpolice, но всё же... может, объясните, как это всё должно работать

Увы. Это знают только разработчики Netpolice. Я туда не лез.

[vanchope]

Я лишь проверил работоспособность в идеальном случае (когда прокси-сервер используют только для СКФ через Netpolice.

Вот, то что нужно! Как сделать этот идеальный случай? Итак, чистая система. Прокси по умолчанию в 6-ом сервере отключён. Я его запускаю

Код: [Выделить]

service squid startВсё, больше squid не трогаю. Netpolice уже установлен. Поэтому запускаю memcaced, перезапускаю c-icap и host2cat и... Всё по идее... При обращении к серверу по порту 3128 должен фильтровать, я правильно понимаю? У меня не фильтрует. то есть прокси вообще не предоставляет доступ. Тогда как же настраивается "идеальный случай"?

Есть два squid.conf. Один — для нормальной работы прокси-сервера (и он настраивается в alterator-squid). Второй — для работы netpolice. Друг с другом они конфликтуют и задачи скрестить ужа с ежом их не возникало.

Так ли уж ужа с ежом? Проблема больше в настройке squid, чем в настройке netpolice. Netpolice использует авторизацию по /etc/squid/passwd. Я не думаю, что разработчикам AltLinux составит много труда написать работающий конфиг squid с такой авторизацией и поместить его в alterator. Даже это уже было бы хорошо, хотя можно было бы сделать в альтераторе добавление пользователей squid, это было бы удобно. Ведь продукт носит гордое название Школьный сервер, а в школе сервер прежде всего нужен для фильтрации. Только как раз этому вопросу уделяется очень мало внимания. Простите за эмоции.

[YYY]

> Только как раз этому вопросу уделяется очень мало внимания. Простите за эмоции.

Пропишите DNS сервера netpolice в сквиде без установки самого пакета netpolice...

Или вам надо чтоб он спрашивал логин/пароль?

Может вам лучше сюда конфиг кинуть и хорошенько описать что хотите? Подтянутся специалисты - помогут подкрутить...

[Skull]

Я не думаю, что разработчикам AltLinux составит много труда написать работающий конфиг squid с такой авторизацией и поместить его в alterator.

А зачем? Мы разработкой рекомендуемых Минобразом СКФ не занимаемся, у нас Squid вообще с аутентификацией по Kerberos для Single Sign-On у доменных пользователей.

Даже это уже было бы хорошо, хотя можно было бы сделать в альтераторе добавление пользователей squid, это было бы удобно.

Собственно, доменные пользователи (точнее их группы) для alterator-squid и используются. Правда, к регламентированному СКФ это прямого отношения не имеет.

Ведь продукт носит гордое название Школьный сервер, а в школе сервер прежде всего нужен для фильтрации.

Странно, а я думал для ЭЖ, Moodle, Wiki, аутентификации пользователей.
В любом случае, мы СКФ не разрабатываем, это не наш сегмент рынка. Как думаете, много ли ответственности несёт Microsoft за работоспособность продуктов Adobe на Windows?

[vanchope]

Пропишите DNS сервера netpolice в сквиде без установки самого пакета netpolice...
Или вам надо чтоб он спрашивал логин/пароль?
Может вам лучше сюда конфиг кинуть и хорошенько описать что хотите? Подтянутся специалисты - помогут подкрутить...

Хотелось бы чтобы фильтр работал так, как он задуман. Конфиг сквида, который работает с netpolice в принципе есть, просто я подумал, что всё стало проще по сравнению с настройкой в 5-ке...

Странно, а я думал для ЭЖ, Moodle, Wiki, аутентификации пользователей.
В любом случае, мы СКФ не разрабатываем, это не наш сегмент рынка. Как думаете, много ли ответственности несёт Microsoft за работоспособность продуктов Adobe на Windows?

За отсутствие Moodle или Wiki прокурорская проверка штраф не выпишет, а в качестве электронного журнала весь наш район использует dnevnik.ru. Те сервисы, которые вы перечислили, это, конечно, хорошо, но всё же рискну утверждать, что фильтрация контента в школе - вопрос НАМНОГО актуальнее. Возможно, со мной не согласятся, но я исхожу из собственного опыта, так как работаю в школе. Тему, наверное, можно закрыть.

[YYY]

Пропишите DNS сервера netpolice в сквиде без установки самого пакета netpolice...
Или вам надо чтоб он спрашивал логин/пароль?
Может вам лучше сюда конфиг кинуть и хорошенько описать что хотите? Подтянутся специалисты - помогут подкрутить...

Хотелось бы чтобы фильтр работал так, как он задуман.

Он же был так и не доработан - черные списки не работают, белые не работают (по крайней мере когда я ковырял эту поделку)... Или у вас работало?

Я честно не знаю как в школьном-сервере, но если там есть аутентификация для скида на основе учеток сервера... то это лучше чем заново вводить...


Опять-же я не знаю какие возможности у alterator-squid, но если там была-бы возможность прописать отдельно DNS для сквида а еще ч/б списки - то это было-бы лучше чем ковырять сам пакет netpolice.