Temat: tinyproxy

Chciałbym prosić o pomoc w konfiguracji transparentnego proxy, które obsługiwałoby ruch tylko dla jednego segmentu sieci.
Openwrt w mojej sieci to 192.168.15.1, chciałbym, żeby cały ruch http i https z podsieci 192.168.15.96/28 był kierowany przez proxy na routerze. Pozostałe segmenty maja działać bez proxy.
Jeśli dobrze rozumiem, powinienem dodać na routerze regułę zawijającą ruch :80 i :443 z w/w podsieci na adres 192.168.15.1:8888, oraz dodac w konfiguracji proxy Allow='192.168.15.96/28'. dobrze kombinuję ?

Generalnie chodzi o to by proxy filtrowało ruch tylko dla komputerów dzieci. Wpis  z proxy w przeglądarce odpada smile

2

Odp: tinyproxy

Np. http://eko.one.pl/?p=openwrt-tinyproxy#transparentproxy

dodajesz jeszcze option src_ip takie jak chcesz

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

3

Odp: tinyproxy

src_ip do konfiguracji redirecta na firewall?

4

Odp: tinyproxy

To w poradniku przekierowywało cały ruch. Chcesz tylko określonego hosta czy klasę to dodaj właśnie jeszcze opcję src_ip.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

5

Odp: tinyproxy

Działa, dziękuję.

6 (edytowany przez geos 2016-09-14 14:57:48)

Odp: tinyproxy

u mnie też tinyproxy działa wg. poradnika. mam jednak pytanie: czy można zmienić komunikat, który się pojawia po wyfiltrowaniu strony? jest to:

Filtered
The request you made has been filtered
Generated by tinyproxy version 1.8.3.

wolałbym komunikat, który nie sugeruje, że proxy jest w użyciu.

7

Odp: tinyproxy

Zobacz np. option DefaultErrorFile "/usr/share/tinyproxy/default.html", pewnie przez edycję template lub podane swojego.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

8

Odp: tinyproxy

zadziałało, dzięki!

9 (edytowany przez geos 2016-09-15 18:43:34)

Odp: tinyproxy

mam jeszcze jedno pytanie, bo chociaż szukałem w internetach to jakoś nie chce zadziałać. w poradniku jest opcja FilterURLs='On' i powinna on filrtować URL zamiast domeny. mam też włączoną opcję FilterExtended='Yes'. i teraz jak próbuję wyfiltrować tvonline.vectra.pl/#tvp1 to nie działa gdy tvp jest dodane do filtra. jak wchjodzę na tvp.pl to działa filtr i nie pokazuje strony. czy to możliwe, że trzeba jakoś innej składni używać w pliku filter aby odfiltrować tvp w URL zawierającym #tvp1?

10 (edytowany przez geos 2016-09-16 12:00:26)

Odp: tinyproxy

czy w ogóle komuś działa filrtowanie po URL? dodałem do pliku filtra słowo kluczowe 'viewtopic'. oczekiwałem, że wszystkie URL zawierające viewtopic będa blokowane, również te na tym forum. tak jednak nie jest. wszystko jest przepuszczane. tinyproxy zrestartowane za każdym razem. jeśli występuje blokada to w logach widnieje wpis (przykładowy):

Proxying refused on filtered domain "p219.bench.cedexis-test.com"

tu akurat filtrowanie było po słowie test. tak jakby cały czas filtrowanie było po domenach.

konfiguracja uci show tinyproxy:

tinyproxy.@tinyproxy[0]=tinyproxy
tinyproxy.@tinyproxy[0].User='nobody'
tinyproxy.@tinyproxy[0].Group='nogroup'
tinyproxy.@tinyproxy[0].Port='8888'
tinyproxy.@tinyproxy[0].Timeout='600'
tinyproxy.@tinyproxy[0].DefaultErrorFile='/usr/share/tinyproxy/default.html'
tinyproxy.@tinyproxy[0].StatFile='/usr/share/tinyproxy/stats.html'
tinyproxy.@tinyproxy[0].LogFile='/var/log/tinyproxy.log'
tinyproxy.@tinyproxy[0].LogLevel='Info'
tinyproxy.@tinyproxy[0].MaxClients='100'
tinyproxy.@tinyproxy[0].MinSpareServers='5'
tinyproxy.@tinyproxy[0].MaxSpareServers='20'
tinyproxy.@tinyproxy[0].StartServers='10'
tinyproxy.@tinyproxy[0].MaxRequestsPerChild='0'
tinyproxy.@tinyproxy[0].Allow='127.0.0.1' '192.168.13.0/27'
tinyproxy.@tinyproxy[0].ViaProxyName='tinyproxy'
tinyproxy.@tinyproxy[0].ConnectPort='443' '563'
tinyproxy.@tinyproxy[0].enabled='1'
tinyproxy.@tinyproxy[0].Filter='/etc/tinyproxy/filter'
tinyproxy.@tinyproxy[0].FilterExtended='Yes'
tinyproxy.@tinyproxy[0].FilterURLs='Yes'

Nie ma znaczenia, czy jest Yes czy On w opcji FilterURLs.

EDYCJA: znalazłem, ten temat jest bardzo pomocny: http://eko.one.pl/forum/viewtopic.php?id=6365

po wprowadzeniu modyfikacji w nim opisanych - działa!

11

Odp: tinyproxy

geos napisał/a:

mam jeszcze jedno pytanie, bo chociaż szukałem w internetach to jakoś nie chce zadziałać. w poradniku jest opcja FilterURLs='On' i powinna on filrtować URL zamiast domeny. mam też włączoną opcję FilterExtended='Yes'. i teraz jak próbuję wyfiltrować tvonline.vectra.pl/#tvp1 to nie działa gdy tvp jest dodane do filtra. jak wchjodzę na tvp.pl to działa filtr i nie pokazuje strony. czy to możliwe, że trzeba jakoś innej składni używać w pliku filter aby odfiltrować tvp w URL zawierającym #tvp1?

Proxy nie odfiltruje nigdy anchora. Jeśli w przeglądarce wpisujesz http://tvonline.vectra.pl/#tvp1 to do serwera i i tak idzie GET / - wszystko po znaku # jest tylko informacją dla przeglądarki. Innymi słowy proxy nie wie czy w URLu wpisujesz #tvp1 #trwam czy nic, więc nie jest w stanie po tym odfiltrować.

12 (edytowany przez geos 2016-09-16 12:37:59)

Odp: tinyproxy

marcoos napisał/a:

Proxy nie odfiltruje nigdy anchora. Jeśli w przeglądarce wpisujesz http://tvonline.vectra.pl/#tvp1 to do serwera i i tak idzie GET / - wszystko po znaku # jest tylko informacją dla przeglądarki. Innymi słowy proxy nie wie czy w URLu wpisujesz #tvp1 #trwam czy nic, więc nie jest w stanie po tym odfiltrować.

marcoos, po zastosowaniu wskazanego myku z cytowanego postu wszystko działa wg. oczekiwań co jest w sprzeczności z Twoją tezą wink być może działa z użyciem innego mechanizmu niż opisujesz, ale działa. w logu pojawia się też informacja:

Proxying refused on filtered url "http://tvonline.vectra.pl:80/player/params/?os=desktop&station=tvp1&t=1474025818028"

13

Odp: tinyproxy

geos napisał/a:
marcoos napisał/a:

Proxy nie odfiltruje nigdy anchora. Jeśli w przeglądarce wpisujesz http://tvonline.vectra.pl/#tvp1 to do serwera i i tak idzie GET / - wszystko po znaku # jest tylko informacją dla przeglądarki. Innymi słowy proxy nie wie czy w URLu wpisujesz #tvp1 #trwam czy nic, więc nie jest w stanie po tym odfiltrować.

marcoos, po zastosowaniu wskazanego myku z cytowanego postu wszystko działa wg. oczekiwań co jest w sprzeczności z Twoją tezą wink być może działa z użyciem innego mechanizmu niż opisujesz, ale działa. w logu pojawia się też informacja:

Proxying refused on filtered url "http://tvonline.vectra.pl:80/player/params/?os=desktop&station=tvp1&t=1474025818028"

No i masz wyjaśnienie dlaczego - przeglądarka (a raczej javascript na stronie) pod spodem robi zapytanie do innego adresu a tutaj ciąg tvp1 jest już w URLu przekazywanym do serwera.

14

Odp: tinyproxy

czyli na podstawie tego "anchora" javascript w tle generuje nowe zapytanie, tak? czym jest ten anchor, dlaczego jest to informacja tylko dla przeglądarki (no i chyba dla javascriptu też) i czy te "anchory" oznacza się tylko # czy też jakimiś innymi znakami?

pomijając ten mechanizm widać, że coś jest nie tak z konfiguracją tinyproxy, bo poprzednio nie filtrowała po url: zapytania leciały takie same.

15

Odp: tinyproxy

Anchor był używany od lat 90tych do tego, żeby "przewinąć" stronę w przeglądarce do konkretnego punktu. Dzisiaj się używa głównie do tego, żeby w aplikacjach JavaScriptowych można było zrobić "link" do konkretnego miejsca w aplikacji a nie do strony głównej. Tylko znak # - wszystko po "#" w adresie URL nie jest wysyłane przez przeglądarkę jako "zapytanie" a realizowane po stronie przeglądarki.

16 (edytowany przez geos 2016-09-26 23:18:54)

Odp: tinyproxy

tinyproxy trochę strzela focha. robię /etc/init.d/tinyproxy restart i nie widzę procesów tinyproxy w ps | grep tiny. tak jakby zupełnie padło i nie chciało wstać. pomaga restart rutera. czasami robiąc /etc/init.d/tinyproxy restart pojawia się lakoniczny komunikat "bus error".

zacząłem szukać w internetach i jeden trop prowadzi do "braku miejsca". ruter to Zyxel 2812HNU-F1/F3, 128MB RAM i 128MB Flash. czy to możłiwe, że coś mu się przytyka na "braku miejsca" i jeśli tak, to czy można go "odtykać" cyklicznie jakimś poleceniem odpalanym z crona?

17

Odp: tinyproxy

bus error zwykle występował przy braku ramu, tak po prostu. Nie zapchałeś go zbyt dużą ilością regułek filtrów?

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

18

Odp: tinyproxy

mam tylko 4 reguły, w porywach do 5. wynik free też wydaje się bezpieczny:

             total         used         free       shared      buffers
Mem:        124988        54588        70400        14116         4136
-/+ buffers:              50452        74536
Swap:            0            0            0

w takim razie będę monitorował plik loga i jeśli to jest coś z pamięcią to również zajętość pamięci (cyklicznie, z crona, i wysłaniem emaila po przekroczeniu powiedzmy 95%). czy zwrócić jeszcze na coś uwagę oprócz tego?

19

Odp: tinyproxy

Napisać do autorów lub zaktualizować do bieżącej wersji (jeżeli jest nowsza).

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

20

Odp: tinyproxy

Panowie, czy jest jakiś w miarę skuteczny sposób aby filtrować ruch https? niekoniecznie z tinyproxy (co mi za bardzo nie wychodzi). ewentualnie jak kombinować, aby odciąć jeden adres po https?

21

Odp: tinyproxy

Możesz wyciąć jeden adres ip jeżeli na num jest tylko ta witryna.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

22 (edytowany przez geos 2016-12-17 20:40:09)

Odp: tinyproxy

dzięki Cezary, jako tako to ogarnąłem. teraz mam następujące pytanie. ściągnąłem wgetem pełną kopię jakiejś strony typu 404, której układ mi się podoba. w skład kopii wchodzą skrypty js, obrazki png, gity itp., które to są umieszczone w podkatalogach. kopia ma już odpowiednio przekonwertowane linki do linków lokalnych i jak ją otwieram w przeglądarce na komputerze to wszystko się wyświetla poprawnie.

przekopiowałem całą kopię wraz z podkatalogami na ruter i w konfiguracji tinyproxy wskazałem plik html jako domyślny. i teraz jak tinyproxy wyświetla ten plik to strona jest kulawa, właściwie wyświetla się sam tekst, nie ma obrazków itp. czy zawartość kopii musi być przekopiowana do jakiegoś specjalnego katalogu czy też jest to przypadłość tinyproxy, że nie potrafi "zaserwować" pełnej lokalnej kopii pliku wraz ze skryptami, obrazkami itp?