![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
установка squid с доступом по группам в AD, squidGuard, lighttpd+lightsquid, sams2 в centos часть 1
полезные ссылки
https://wiki.squid-cache.org/SquidFaq/
Как создать и настроить прокси-сервер Squid
Прокси Squid с авторизацией в домене Active Directory
https://wiki.squid-cache.org/ConfigExamples/Authenticate/Kerberos
https://docs.diladele.com/administrator_guide_6_4/active_directory/index.html
https://serveradmin.ru/nastroyka-proksi-servera-na-centos-7-squid-ad-sams2/ (ввод в домен)
Ввод CentOS 7 в домен Active Directory и авторизация по SSH доменных пользователей
Настраиваем Squid для работы с Active Directory. Часть 1 - базовые настройки
Настраиваем Squid для работы с Active Directory. Часть 2 - Kerberos-аутентификация
Настройка прокси сервера Squid 3.3 на Ubuntu Server 14.04 LTS. Часть 5. Конфигурация Squid 3
Авторизация на SQUID через Active Directory
Настройка SquidGuard на CentOS 7
SQUID и Kerberos-авторизация через Active Directory
Работа Squid с Active Directory. Kerberos-аутентификация. Права доступа на основе групп Active Directory.
Как правильно сформировать keytab-файл с несколькими принципалами сервисов в среде Active Directory
https://wiki.rtzra.ru/software/squid/squid-active-directory
https://www.galkov.pro/install_squid_on_ubuntu/
https://kifarunix.com/install-and-configure-squid-proxy-on-centos-8/
https://www.altlinux.org/Squid/AD-auth
https://www.altlinux.org/Создание_SPN_и_Keytab_файла
Перевод комментариев к файлу конфигурации Squid (squid proxy)
Samba, LDAP, Ввод Linux в домен
https://doxfer.webmin.com/Webmin/Squid_Proxy_Server
http://break-people.ru/cmsmade/?page=unix_webmin_howto_squid
Squid на практике
Почти полный перечень параметров конфигурационного файла Squid 3
Небольшая шпаргалка по Squid
Перехват и просмотр HTTPS трафика на прокси-сервере Squid 4.9
Настройка Интернет шлюза на CentOS 7
Защищаем сервер на CentOS 7 с помощью firewalld и fail2ban
vpn pptp centos7
firewall-cmd настройка брадмаузера
антивирусы
http://www.eicar.org/anti_virus_test_file.htm
http://www.havp.org/
http://www.havp.org/havp-teamwork-with-other-proxys-e-g-squid/
http://squidclamav.darold.net/
https://github.com/darold/squidclamav
https://sourceforge.net/projects/squidclamav/
Настройка SquidClamAv
Установка HAVP в Ubuntu
CentOS 7 + Squid + SquidClamav
Squid + Dansguardian + c-icap + ClamAV на базе CentOS 7
реклама
http://bfilter.sourceforge.net/
http://adzapper.sourceforge.net/
Блокировка рекламы в браузерах
Мануал от RU AdList
https://adblockplus.org/ru/subscriptions
EasyList - https://easylist-downloads.adblockplus.org/easylist.txt
RU AdList - https://easylist-downloads.adblockplus.org/advblock.txt
RU AdList для uBlock Origin - https://easylist-downloads.adblockplus.org/advblock+cssfixes.txt
Adblock Warning Removal List - https://easylist-downloads.adblockplus.org/antiadblockfilters.txt
Counters - https://easylist-downloads.adblockplus.org/cntblock.txt
BitBlock - https://easylist-downloads.adblockplus.org/bitblock.txt
https://easylist-downloads.adblockplus.org/ruadlist+easylist.txt
https://kb.adguard.com/ru/general/adguard-ad-filters
https://filters.adtidy.org/extension/chromium/filters/1.txt
https://filters.adtidy.org/extension/ublock/filters/1.txt
https://filters.adtidy.org/extension/ublock/filters/2.txt
Анализаторы логов для Squid
Анализаторы логов для Squid
https://sourceforge.net/projects/sarg/
http://spohelp.ru/forums/17-gotovye-resheniya/topics/1250-sarg-centos-7/
http://lightsquid.sourceforge.net/
https://sourceforge.net/projects/screen-squid/
http://squidanalyzer.darold.net/index.html
http://samm.kiev.ua/sqstat/
https://github.com/lorf/sqstat
https://wiki.rtzra.ru/software/squid/squid-sqstat
https://github.com/alv1r/SqStat
https://wiki.squid-cache.org/SquidFaq/BinaryPackages#CentOS
yum install squid-helpers
squidview
wget http://www.rillion.net/squidview/squidview-0.86.tar.gz
# tar -xzvf squidview-0.86.tar.gz
# cd squidview-0.7x
before this, make sure you have all the package needed
# yum groupinstall "Development tools"
# yum install ncurses-static ncurses-devel
proceed to compile and install
# ./configure
# make
# cp Makefile.old Makefile
# make oldgcc
# make install
lighttpd+lightsquid
Как установить Lighttpd с PHP-FPM на CentOS 7
How to Install Lighttpd on CentOS 7
SQUID + lightsquid + lighttpd в Ubuntu
centos 7 squid AD LightSquid
Настройка lightsquid
https://www.sysadminwiki.ru/wiki/LightSquid
yum -y update
yum -y erase httpd nginx
yum -y install epel-release
yum -y update
yum groupinstall "Development Tools"
yum -y install perl-GD perl-CGI wget lighttpd lighttpd-fastcgi php-fpm php-mbstring
nano /etc/php-fpm.d/www.conf
systemctl start php-fpm
systemctl enable php-fpm
nano /etc/php.ini
nano /etc/lighttpd/conf.d/fastcgi.conf
найти server.modules += ( "mod_fastcgi" )
Добавьте следующие строки чуть ниже вышеуказанной строки:
nano /etc/lighttpd/modules.conf
проверка
nano /var/www/lighttpd/phpinfo.php
phpinfo();
systemctl restart php-fpm
systemctl restart lighttpd
http://your-IP-addr/phpinfo.php
systemctl start lighttpd
systemctl enable lighttpd
systemctl status lighttpd
mv /var/www/lighttpd /var/www/htdocs
wget -c -P $HOME/Downloads/ https://netcologne.dl.sourceforge.net/project/lightsquid/lightsquid/1.8/lightsquid-1.8.tgz
tar -zxvf $HOME/Downloads/lightsquid-1.8.tgz -C /var/www/html/; cd /var/www/html/
mv lightsquid-1.8/ lightsquid
cd lightsquid/
cp lightsquid.cfg lightsquid.cfg.asli
chown -R lighttpd:lighttpd /var/www/html/lightsquid
chmod -R 755 /var/www/html/lightsquid
chmod +x *.cgi
chmod +x *.pl
perl check-setup.pl
ln -s /var/www/html/lightsquid/ /var/www/lighttpd
systemctl restart lighttpd
Добавим обработку логов по крону раз в 30 минут (сегодняшних)
*/30 * * * * /var/www/html/lightsquid/lightparser.pl today
Cron Jobs — пособие для начинающих
запаролим доступ к статистике
https://redmine.lighttpd.net/projects/lighttpd/wiki/docs_modauth
Add A User to the Password File
sudo mkdir /etc/lighttpd/.htpasswd
nano hash.sh
chmod +x ./hash.sh
использование
./hash.sh 'username' 'myrealm' 'password'
добавить запись в /etc/lighttpd/lighttpd.conf командой
раскомментировать в файле /etc/lighttpd/modules.conf
"mod_auth",
systemctl restart lighttpd
Установка lightsquid на CentOS
Считаем Squid Proxy трафик через lightsquid
lightsquid.cfg
ошибки
Как установить Lighttpd на CentOS 7
systemctl status lighttpd
Loaded: loaded (/usr/lib/systemd/system/lighttpd.service; disabled; vendor preset: disabled)
откройте файл конфигурации /etc/lighttpd/lighttpd.conf и измените строку server.use-ipv6 с «enable» на disable.
systemctl restart lighttpd
http://repo.iotti.biz/
https://centos.pkgs.org/7/lux/lightsquid-apache-1.8-18.el7.lux.noarch.rpm.html
nginx+lightsquid
взаимодействие с CGI
sudo yum install spawn-fcgi fcgiwrap nginx
mkdir /etc/nginx/virt_host
nano /etc/nginx/virt_host/lightsquid.conf
ln -s /etc/nginx/virt_host/lightsquid.conf /etc/nginx/conf.d/
nano /etc/sysconfig/spawn-fcgi
systemctl enable --now nginx spawn-fcgi
Настройте Perl-FastCGI на сервере CentOS 7 Nginx
Centos 7 + ipcad + rsh статистика по траффику
Cron SARG
Настройка SaRG на базе Ubuntu Server
sudo nano /etc/sarg/sarg.conf
Вносим требуемые изменения:
language Russian_UTF-8
graphs yes
graph_days_bytes_bar_color orange
output_dir /var/www/squid-reports
charset UTF-8
Далее в конфиге ищем и комментируем строку:
#site_user_time_date_type table
sudo nano /etc/crontab
Вносим расписание:
00 08-18 * * * root sarg-reports today
00 22 * * * root sarg-reports daily
30 22 * * 0 root sarg-reports weekly
30 23 1 * * root sarg-reports monthly
Теперь крон настроен таким образом, что будет формировать отчеты каждый час в течении рабочего дня (с 8:00 до 18:00), в 22:00 генерируется полный отчет за сутки, по воскресеньям генерируется отчет за неделю и наконец 1го числа каждого месяца будет появляться отчет о пользовании интернетом за месяц.
Генерирование отчетов за день (если файла нет, то создаем):
sudo nano /etc/cron.daily/sarg
Вписываем эти строки (старые удаляем, на всякий случай сделайте бекап)
Крон отвечающий за генерирование отчетов за неделю:
sudo nano /etc/cron.weekly/sarg
Генерирование отчетов за месяц:
sudo nano /etc/cron.monthly/sarg
Установим свеженастроенным файлам права на выполнение:
chmod 755 /etc/cron.daily/sarg /etc/cron.weekly/sarg /etc/cron.monthly/sarg
Для запуска создания отчетов вручную используем следующие команды:
sudo sarg
sudo /etc/cron.daily/sarg
sudo /etc/cron.weekly/sarg
sudo /etc/cron.monthly/sarg
обратный прокси (доступ к ресурсу за nat)
nginx настраивается как тут добавляется файл server233_reverse.conf в /etc/nginx/virt_host, а символическая ссылка с него - в /etc/nginx/conf.d/
sudo firewall-cmd --zone=public --add-port=8080/tcp --permanent
sudo firewall-cmd --zone=public --add-port=8888/tcp --permanent
sudo firewall-cmd --zone=external --add-port=28080/tcp --permanent
sudo firewall-cmd --zone=external --add-port=28888/tcp --permanent
sudo firewall-cmd --reload
появится доступ из внутренней сети по порту 8080, из наружной по порту 28080, к сайту на сервере 233, находящемся на порту 8080, с 8888 портом, на котором висит другой сайт - аналогично
Решение с помощью firewall-cmd
?https://www.dmosk.ru/miniinstruktions.php?mini=router-centos
перенаправление сетевых запросов на сервер, стоящий за NAT и не имеющий прямого выхода во внешнюю сеть.
firewall-cmd --zone=external --permanent --add-forward-port=port=25:proto=tcp:toport=8025:toaddr=192.168.0.15
* где 25 — прослушиваемый внешний порт, для которого сработает перенаправление; tcp — используемый транспортный протокол; 8025 — на какой порт перенаправить запрос; 192.168.0.15 — IP-адрес сервера, на который отправляем запросы.
Разрешаем сам порт:
firewall-cmd --permanent --zone=external --add-port=25/tcp
Чтобы правило вступило в силу:
firewall-cmd --reload
Настройка firewalld CentOS 7 с примерами команд
Разрешить диапазон портов:
# firewall-cmd --zone=public --add-port=5059-5061/udp
Перенаправить входящие на 22 порт на другой хост:
# firewall-cmd --zone=external --add-forward-port=port=22:proto=tcp:toaddr=192.168.1.23
Перенаправить входящие на 22 порт на другой хост с изменением порта назначения (с 22 на 192.168.1.23:2055):
# firewall-cmd --zone=external /
--add-forward-port=port=22:proto=tcp:toport=2055:toaddr=192.168.1.23
https://www.linode.com/docs/security/firewalls/introduction-to-firewalld-on-centos/
Allow all IPv4 traffic from host 192.0.2.0.
sudo firewall-cmd --zone=public --add-rich-rule 'rule family="ipv4" source address=192.0.2.0 accept'
Deny IPv4 traffic over TCP from host 192.0.2.0 to port 22.
sudo firewall-cmd --zone=public --add-rich-rule 'rule family="ipv4" source address="192.0.2.0" port port=22 protocol=tcp reject'
Allow IPv4 traffic over TCP from host 192.0.2.0 to port 80, and forward it locally to port 6532.
sudo firewall-cmd --zone=public --add-rich-rule 'rule family=ipv4 source address=192.0.2.0 forward-port port=80 protocol=tcp to-port=6532'
Forward all IPv4 traffic on port 80 to port 8080 on host 198.51.100.0 (masquerade should be active on the zone).
sudo firewall-cmd --zone=public --add-rich-rule 'rule family=ipv4 forward-port port=80 protocol=tcp to-port=8080 to-addr=198.51.100.0'
To list your current Rich Rules in the public zone:
sudo firewall-cmd --zone=public --list-rich-rules
Как сделать простой веб-сайт за один час
http://nginx.org/en/docs/http/load_balancing.html
https://wiki.squid-cache.org/SquidFaq/ReverseProxy
Reverse proxy from nginx to squid?
Требуется связка: client <-> nginx <-> squid <-> site.
Обратный прокси от nginx до squid
Примеры редиректов в NGINX
СКРЫВАЕМ ЧАСТЬ РЕСУРСОВ IIS СРЕДСТВАМИ NGINX AS REVERSE PROXY (CENTOS 7)
Обратный прокси на Nginx
Проксирование запросов в nginx с помощью proxy_pass
Настройка бесплатного ssl сертификата Lets Encrypt
проксирование почты
https://docs.nginx.com/nginx/deployment-guides/load-balance-third-party/microsoft-exchange/
Настройка NGINX для проксирования почты
Пошаговая инструкция по настройке публикации почтовых серверов Exchange Server 2013/2016 с помощью IIS ARR
Настройка прокси сервера на CentOS
Публикация MS Exchange OWA через NGINX
Обратный прокси Nginx к Exchange 2010/2013
Nginx и Exchange ActiveSync
Deploying Exchange 2016 Behind NGINX Free
enoch85/outlook.conf
Reverse proxy для доступа к Outlook Web App (OWA) из интернета
https://pastebin.com/ZnmjR5hH
Configuring nginx reverse proxy for Exchange 2010
Postfix (антиспам+антивирус), как почтовый шлюз с Exchange
Postfix как пограничный relay для Exchange
Простейший relay на Postfix для Exchange Server
Postfix в качестве почтового шлюза организации
Установка почтового шлюза на Postfix для почтового сервера MS Exchange 2010.
Порты используемые Microsoft Exchange Server 2010
Exchange Network Port Reference
https://docs.microsoft.com/ru-ru/exchange/plan-and-deploy/deployment-ref/network-ports?view=exchserver-2019
https://docs.microsoft.com/ru-ru/exchange/network-ports-for-clients-and-mail-flow-in-exchange-2013-exchange-2013-help
https://www.hoelzle.net/nginx-als-reverse-proxy-fuer-exchange-201020132016/
nano /etc/nginx/nginx.conf
client_max_body_size 2000M;
Для части
more_set_input_headers 'Authorization: $http_authorization';
proxy_set_header Accept-Encoding "";
more_set_headers -s 401 'WWW-Authenticate: Basic realm="exch2016.test.local"';
требуется расширение nginx - модуль headers-more-nginx
cat /var/log/nginx/error.log
unknown directive "more_set_input_headers" in /etc/nginx/conf.d/reverse...
https://blog.friedlandreas.net/2018/10/nginx-unknown-directive-more_set_input_headers/
include /etc/nginx/modules-enabled/*.conf;
nginx -V
https://nginx.org/ru/linux_packages.html
Installing NGINX Plus
https://docs.nginx.com/nginx/admin-guide/installing-nginx/installing-nginx-plus/
sudo wget -P /etc/yum.repos.d https://cs.nginx.com/static/files/nginx-plus-7.4.repo
sudo yum install nginx-plus
yum install nginx-plus-module-headers-more
??? сторонний репозиторий
https://www.getpagespeed.com/redhat
https://pkgs.org/search/?q=nginx-module-headers-more
Install GetPageSpeed repository:
# yum install https://extras.getpagespeed.com/release-el7-latest.rpm
Install nginx-module-headers-more rpm package:
# yum install nginx-module-headers-more
https://nginx.org/ru/docs/http/ngx_http_proxy_module.html
Настройка HTTPS-серверов
How To Create a Self-Signed SSL Certificate for Nginx on CentOS 7
How to setup Let's Encrypt for Nginx on Ubuntu 18.04 (including IPv6, HTTP/2 and A+ SLL rating)
Как настроить Nginx для использования самоподписанного сертификата SSL / TLS в Ubuntu 18.04 VPS или на выделенном сервере
Как создать самоподписанный сертификат SSL для Ngin
mkdir /etc/ssl/private/
openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout /etc/ssl/private/nginx-selfsigned.key -out /etc/ssl/certs/nginx-selfsigned.crt
https://www.zipofar.ru/doku.php?id=reverse_proxy_for_owa
Самый важный пункт при создании сертификата - Common Name. В это поле надо внести доменное имя, ассоциированное с вашим доменом или более предпочтительно IP адрес сервера (этого сервера) на котором собственно и будет установлен сертификат.
Country Name (2 letter code) [AU]:RU
State or Province Name (full name) [Some-State]:Moscow
Locality Name (eg, city) []:Moscow
Organization Name (eg, company) [Internet Widgits Pty Ltd]:MyOrganization
Organizational Unit Name (eg, section) []:MyOrganization
Common Name (e.g. server FQDN or YOUR name) []:server_IP_address or domain_name
Email Address []:admin@your_domain.com
разное
Squid и Whatsapp
Работа мессанджера Whatsapp через прокси-сервер Squid
Чтобы решить данную проблему нужно чтобы Squid не пытался посмотреть HTTPS трафик в направлении whatsapp адресов, а просто выполнял соединение.
Для этого создадим файл (прим. /etc/squid/sites_webwhatsapp.txt) в котором укажем для каких сайтов не предпринимать никаких действий:
В конфигурационном файле (/etc/squid/squid.conf) указываем следующие параметры:
ВАЖНО. Обращаю внимание что действие splice должно быть до каких либо действий с HTTPS трафиком.
Steam
https://www.linode.com/docs/game-servers/install-steamcmd-for-a-steam-game-server/
http://wiki.abcvg.com/wiki/SteamCMD
steam_on.sh
коротко об systemd
Просмотреть список всех активных юнитов
$ systemctl list-units
Покажет любой юнит, который система загрузила или попыталась загрузить, независимо от текущего состояния в системе
$ systemctl list-units --all
неактивные юниты:
$ systemctl list-units --all --state=inactive
Посмотреть только активные юниты служб:
$ systemctl list-units --type=service
Вывод списка всех файлов юнитов
$ systemctl list-unit-files
Посмотреть только юниты, добавленные в автозагрузку:
$ systemctl list-unit-files | grep enabled
Проверить, включен ли юнит в автозапуск при загрузке системы:
$ systemctl is-enabled юнит
Проверить, активен ли данный юнит:
$ systemctl is-active юнит
изменение времени файлов, удаление истории посещения и команд в linux
Долгое Подключение по SSH
nano /etc/ssh/sshd_config
UseDNS no
service sshd restart
мониторить сеть
yum tcpdump install iptraf iftop nload trafshow bmon bwm-ng nethogs trafshow
tcpdump -i enp3s0 -vv
обновить политики SELinux
yum update -y selinux-policy*
ошибки
после обновления:
wbinfo -t
could not obtain winbind interface details: WBC_ERR_WINBIND_NOT_AVAILABLE
could not obtain winbind domain name!
checking the trust secret for domain (null) via RPC calls failed
failed to call wbcCheckTrustCredentials: WBC_ERR_WINBIND_NOT_AVAILABLE
Could not check secret
то
systemctl restart winbind
если есть lotus
firewall-cmd --zone=public --add-port=1352/tcp --permanent
firewall-cmd --reload
https://igoldobin.wordpress.com/2016/10/20/установка-ibm-domino-на-linux/
