When you want to use both of them to have to decide to which the clients will be connecting to. In my case packets goes to Dansguardian and then to Squid and finally to internet.
In standard configuration only Dansguardian knows clients IPs.
To provide user's IPs to Squid change Dansguardian configuration to forward them - change in dansguardian.conf (or dansguardianf1.conf, or whatever you have):
forwardedfor = on usexforwardedfor = on
Be careful - if you don't use Squid (or some other secure proxy) you can publish you private IP addresses to whole world.
Then change Squid configuration (squid.conf) to allow to find the original source:
follow_x_forwarded_for allow localhost
Of course restart both services.
It's pretty simple, but I forgot about this.
If your proxy server (squid and/or dansguardian) is not on your gateway you can also set it up to be transparent.
In my examples gateway ha address 192.168.1.1, and squid server has address 192.168.1.28 and listen on 8080 port.
There is configuration using iptables directly:
iptables -t nat -I PREROUTING -i eth0 -s ! 192.168.1.28 -p tcp --dport 80 -j DNAT --to 192.168.1.28:8880 iptables -t nat -I POSTROUTING -o eth0 -s 192.168.1.0/24 -d 192.168.1.28 -j SNAT --to 192.168.1.1 iptables -I FORWARD -s 192.168.1.0/24 -d 168.13.28 -i eth0 -o eth0 -p tcp --dport 8880 -j ACCEPT
and this is the same in Gargoyle /etc/config/firewall file (you can edit it or use uci add firewall commands):
config redirect
option name 'P12 to Squid DNAT'
option src 'lan'
option proto 'tcp'
option dest_port '8080'
option src_dport '80'
option src_dip '! 192.168.1.1'
option dest_ip '192.168.1.28'
option src_ip '! 192.168.1.28'
config redirect
option name 'P12 to Squid SNAT'
option dest 'lan'
option proto 'tcp'
option src_dip '192.168.1.1'
option dest_ip '192.168.1.28'
option src_ip '192.168.1.0/24'
option target 'SNAT'
config rule
option name 'P12 to Squid'
option dest 'lan'
option dest_port '8080'
option proto 'tcp'
option src_ip '192.168.1.0/24'
option dest_ip '192.168.1.28'
option target 'ACCEPT'
after editing /etc/config/firewall file you have to restart firewall:
/etc/init.d/firewall restart
Today I wrote my firs application for ReadyNAS OS. It's very, very simple. It just for Proxy Auto Configuration (PAC) / Web Proxy Autodiscovery Protocol (WPAD) so I called it wpad ;-)
The whole "application" serve only one file wpad.dat. It fits in two files: /apps/wpad/http.conf and /apps/wpad/wpad.dat itself. The content of /apps/wpad/http.conf is:
<VirtualHost *:80>
ServerAdmin admin@localhost
ServerName wpad
DocumentRoot /apps/wpad
ErrorLog /apps/wpad/error.log
LogLevel warn
</VirtualHost>
Now when apache starts it creates link:
root@NAS:~# ll /etc/apache2/sites-enabled/090-wpad.conf lrwxrwxrwx 1 root root 20 Mar 22 21:15 /etc/apache2/sites-enabled/090-wpad.conf -> /apps/wpad/http.conf
To more detailed info about applications for ReadyNAS OS see ReadyNAS Applications Specification.
To have WPAD worked I had to configure also my router:
To resolve wpad as 192.168.1.12 (this is address of my NAS) in /etc/dnsmasq.conf I added:
address=/wpad/192.168.1.12
and to in /etc/config/dhcp file in section config dhcp 'lan':
list dhcp_option '252,http://wpad/wpad.dat'
Konfiguracja postfix'a
Odkomentowałem linię:
mailbox_transport = lmtp:unix:/var/lib/imap/socket/lmtp
w pliku /etc/postfix/main.cf.
Automatyczne zakładanie skrzynek pocztowych
Domyślnie wymagane jest ręczne założenie skrzynki dla każdego użytkownika. Gdy korzystamy z LDAP może być to niewdzięczne zajęcie. Chciałem, żeby się zakładały automatycznie.
Zgodnie z zaleceniami z sieci dopisałem:
autocreatequota: 20480 unixhierarchysep: yes quotawarn: 90 autocreateinboxfolders: Drafts|Sent|Trash autosubscribeinboxfolders: Drafts|Sent|Trash lmtp_over_quota_perm_failure: 1
do pliku /etc/imapd.conf.
Ta automatyzacja działa tylko gdy użytkownik zaloguje się do serwera POP3 lub IMAP. Dopóki się choć raz nie zaloguje to serwer nie przyjmuje poczty!
Przydało by się zakładanie skrzynki odbywało się gdy serwer postfix autoryzował odbiorcę. Na szczęście CurierIMAP z CentOS ma nałożoną łatę Autocreate INBOX patch for Cyrus. Po ustawieniu:
createonpost: yes
w pliku /etc/imapd.conf skrzynka będzie zakładana gdy przyjdzie pierwsza wiadomość.
Te dwie opcje działają jednocześnie - skrzynka jest zakładana przy pierwszej wiadomości lub przy pierwszym zalogowaniu się.
Konwersja mailbox do maildir
To nie jest takie proste. Wcześniejsze wiadomości z pliku mbox można zaimportować do Thunderbird'a za pomocą dodatku ImportExportTools, jeżeli konto jest zdefiniowane jako IMAP to wiadomości powinny trafić na serwer, ale tego nie testowałem.
Utworzyłem nowy plik /etc/httpd/conf/webapps.d/plikiwebdav.conf (na współczesnym systemie byłby pewnie /etc/httpd/conf.d/plikiwebdav.conf) z konfiguracją serwera apache:
Alias /pliki /var/www/tusapliki
<Directory /var/www/tusapliki/>
Options Indexes MultiViews
AllowOverride None
Order allow,deny
allow from all
</Directory>
<Location /pliki>
DAV On
Order allow,deny
AuthType Digest
AuthName "Dostep do plikow"
AuthUserFile /var/lib/dav/haselka
Require valid-user
Order allow,deny
Allow from 1.2.3.4
Satisfy any
</Location>
oczywiście katalog /var/www/tusapliki musi istnieć. Tutaj dodatkowo wpuszczam bez hasła z adresu IP 1.2.3.4 - to nie jest potrzebne.
Zakładam pierwszego użytkownika:
htdigest -c /var/lib/dav/haselka "Dostep do plikow" ja
i pozostałych:
htdigest /var/lib/dav/haselka "Dostep do plikow" user2 htdigest /var/lib/dav/haselka "Dostep do plikow" user3
itd. Teraz wystarczy przeładować serwer. Testy można wykonać za pomocą przeglądarki.
Podłączenie się do zasobu z MS Windows:
net use * http://adres.mojego.serwera.pl/pliki
spyta się o użytkownika i hasło. Jeżeli podamy hasło w poleceniu:
net use * http://adres.mojego.serwera.pl/pliki tajnehaslo \USER:ja \PERSISTENT:yes
i każemy zapamiętać to doda zasób na stałe.
Dawno się już nie "bawiłem" statystykami, więc stawiając MRTG musiałem sobie totalną powtórkę fundnąć.
Do działania potrzeba pakietów (Mandriva):
- net-snmp
- net-snmp-utils
- net-snmp-mibs (opcja)
- mrtg
Po zainstalowaniu uruchomić demona SNMP (/etc/init.d/snmpd start)
Wygenerować domyślną konfigurację poleceniem
/usr/bin/cfgmaker public@localhost > /etc/mrtg/mrtg.cfg
musiałem tylko zmienić WorkDir na taki jak był oryginalnie (/var/lib/mrtg).
Teraz wystarczy poczekać 15-20 min, bo statystyki są aktualizowane co 5 min. Wynik można oglądać w przeglądarce wpisując twoja.nazwa.serwera/mrtg/localhost_5.html. Nie wyglądają może rewelacyjnie, ale najważniejsze, że są dane.
Add comment