SquidGuard konfiguréieren, Inhaltsregelen aktivéieren an Squid Logbicher analyséieren - Deel 6
E LFCE (Linux Foundation Certified Engineer) ass e Profi deen déi néideg Fäegkeeten huet fir Netzwierkservicer a Linux Systemer z'installéieren, ze verwalten an ze léisen, a verantwortlech ass fir de Design, Ëmsetzung a lafend Ënnerhalt vun der Systemarchitektur a senger Ganzheet.
Aféierung vum Linux Foundation Certification Program.
A fréiere Posts hu mir diskutéiert wéi Dir Squid + squidGuard installéiere wëllt a wéi een Squid konfiguréiert fir richteg ze handhaben oder Zougangsufroen ze beschränken. Gitt w.e.g. sécher datt Dir iwwer dës zwee Tutorials gitt an souwuel Squid wéi och SquidGuard installéiert ier Dir weidergoe wéi se den Hannergrond an de Kontext setzen fir wat mir an dësem Post ofdecken: Squidguard an engem funktionnéierende Squid-Ëmfeld z'integréieren fir d'Schwaarzlëscht Regelen an d'Inhaltskontroll iwwer de Proxy Server.
- Installéiert Squid an SquidGuard - Deel 1
- Squid Proxy Server mat limitéierten Zougang konfiguréieren - Deel 5
Fir wat kann ech SquidGuard benotzen?
Och wann SquidGuard sécherlech d'Features vum Squid verbessert an verbessert, ass et wichteg ze markéieren wat et kann a wat et net maache kann.
SquidGuard ka benotzt ginn fir:
- limitéiert den erlaabten Webzougang fir e puer Benotzer nëmmen op eng Lëscht vun akzeptéierten/bekannte Webserveren an/oder URLen, wärend den Zougang zu anere Schwaarzlëschte Webserver an/oder URLen ofgeleent gëtt.
- Blockéiert Zougang zu Siten (duerch IP Adress oder Domain Numm) déi mat enger Lëscht vu reguläre Ausdréck oder Wierder fir e puer Benotzer passen.
- d'Benotzung vun Domain Nimm erfuerderen/d'Benotzung vun IP Adressen an URLen verbidden.
- viruleiren blockéiert URLen op Feeler- oder Infosäiten.
- benotzt verschidde Zougangsregelen op Basis vun Zäit vum Dag, Dag vun der Woch, Datum etc.
- verschidde Reegele fir verschidde Benotzergruppen ëmsetzen.
Wéi och ëmmer, weder SquidGuard nach Squid kënne benotzt ginn fir:
- Text an Dokumenter analyséieren an als Resultat handelen.
- entdeckt oder blockéiert embedded Scripting Sprooche wéi JavaScript, Python oder VBscript am HTML Code.
Blacklists sinn e wesentleche Bestanddeel vun SquidGuard. Prinzipiell si se einfach Textdateien déi Iech erlaben Inhaltsfilter op Basis vu spezifesche Schlësselwieder ëmzesetzen. Et gi souwuel fräi verfügbar a kommerziell Blacklists, an Dir kënnt d'Download Linken op der Websäit vum Squidguard Blacklists Projet fannen.
An dësem Tutorial weisen ech Iech wéi Dir d'Schwaarzlëschte vun Shalla Secure Services an Är SquidGuard Installatioun integréiert. Dës schwaarz Lëschte si gratis fir perséinlech/net kommerziell Notzung a ginn all Dag aktualiséiert. Si enthalen, wéi haut, iwwer 1.700.000 Entréen.
Fir eis Kamoudheet, loosst eis e Verzeechnes erstellen fir de Blacklist Package erofzelueden.
# mkdir /opt/3rdparty # cd /opt/3rdparty # wget http://www.shallalist.de/Downloads/shallalist.tar.gz
Dee leschten Downloadlink ass ëmmer verfügbar wéi hei ënnen beliicht.
Nodeems mir déi nei erofgeluede Datei untarring hunn, wäerte mir an den Dossier vun der schwaarzer Lëscht (BL) duerchsichen.
# tar xzf shallalist.tar.gz # cd BL # ls
Dir kënnt un d'Verzeichnisser, déi am Output vun ls gewise ginn, als Backlist-Kategorien denken, an hir entspriechend (optional) Ënnerverzeechnungen als Ënnerkategorien, erofgaang bis op spezifesch URLen an Domainen, déi an de Dateien opgelëscht sinn. URL respektiv Domänen. Kuckt d'Bild hei ënnen fir weider Detailer.
D'Installatioun vum ganzen Blacklist Package, oder vun eenzelne Kategorien, gëtt duerch Kopie vum BL Verzeichnis, respektiv ee vu sengen Ënnerverzeechnungen, an den /var/ lib/squidguard/db Verzeechnes.
Natierlech kënnt Dir d'schwaarz Lëscht Tarball an dësem Verzeichnis iwwerhaapt eroflueden, awer d'Approche, déi virdru erkläert gouf, gëtt Iech méi Kontroll iwwer wéi eng Kategorien zu enger bestëmmter Zäit blockéiert (oder net) solle ginn.
Als nächst wäerte ech Iech weisen wéi Dir d'anonvpn, Hacking an Chat Blacklists installéiert a wéi Dir SquidGuard konfiguréiert fir se ze benotzen.
1 BL op /var/lib/squidguard/db.
# cp -a /opt/3rdparty/BL/anonvpn /var/lib/squidguard/db # cp -a /opt/3rdparty/BL/hacking /var/lib/squidguard/db # cp -a /opt/3rdparty/BL/chat /var/lib/squidguard/db
Schrëtt 2: Benotzt d'Domänen an d'URL-Dateien fir d'Datebankdateien vun Squidguard ze kreéieren. Maacht weg datt de folgende Kommando funktionnéiert fir .db Dateien fir all installéiert Blacklists ze kreéieren - och wann eng bestëmmte Kategorie 2 oder méi Ënnerkategorien huet.
# squidGuard -C all
Schrëtt 3: Ännert d'Besëtzer vum /var/lib/squidguard/db/ Verzeechnes a säin Inhalt un de Proxy Benotzer sou datt Squid d'Datebankdateien liesen kann.
# chown -R proxy:proxy /var/lib/squidguard/db/
Schrëtt 4: Squid konfiguréieren fir SquidGuard ze benotzen. Mir benotze Squid's url_rewrite_program Direktiv an /etc/squid/squid.conf fir Squid ze soen fir SquidGuard als URL Rewriter/Redirector ze benotzen.
Füügt déi folgend Zeil op squid.conf, gitt sécher datt /usr/bin/squidGuard de richtegen absolute Wee an Ärem Fall ass.
# which squidGuard # echo "url_rewrite_program $(which squidGuard)" >> /etc/squid/squid.conf # tail -n 1 /etc/squid/squid.conf
Step 5: Füügt déi néideg Direktiven un d'Konfiguratiounsdatei vun SquidGuard (an /etc/squidguard/squidGuard.conf).
Kuckt w.e.g. op de Screenshot hei uewen, nom folgende Code fir weider Erklärung.
src localnet {
ip 192.168.0.0/24
}
dest anonvpn {
domainlist anonvpn/domains
urllist anonvpn/urls
}
dest hacking {
domainlist hacking/domains
urllist hacking/urls
}
dest chat {
domainlist chat/domains
urllist chat/urls
}
acl {
localnet {
pass !anonvpn !hacking !chat !in-addr all
redirect http://www.lds.org
}
default {
pass local none
}
}
Step 6: Restart Squid an test.
# service squid restart [sysvinit / Upstart-based systems] # systemctl restart squid.service [systemctl-based systems]
Öffnen e Webbrowser an engem Client am lokalen Netzwierk a surft op e Site, deen an enger vun de Blacklist Dateien fonnt gëtt (Domänen oder URLen - mir benotzen http://spin.de/ Chat am folgende Beispill ) an Dir wäert op eng aner URL ëmgeleet ginn, www.lds.org an dësem Fall.
Dir kënnt verifizéieren datt d'Ufro un de Proxy-Server gemaach gouf awer ofgeleent gouf (301 http Äntwert - Permanent geréckelt) an amplaz op www.lds.org ëmgeleet gouf.
Wann Dir aus irgendege Grënn eng Kategorie aktivéiere musst, déi an der Vergaangenheet gespaart gouf, läscht de entspriechende Verzeechnes vun /var/lib/squidguard/db a kommentéiert (oder läscht) déi verbonne acl an der squidguard.conf Datei.
Zum Beispill, wann Dir d'Domänen an d'URL'en aktivéiere wëllt, déi vun der Kategorie anonvpn schwarz opgelëscht sinn, musst Dir déi folgend Schrëtt ausféieren.
# rm -rf /var/lib/squidguard/db/anonvpn
A ännert d'squidguard.conf Datei wéi follegt.
Notéiert w.e.g. datt Deeler déi giel ënner BEFORE markéiert sinn an AFTER geläscht ginn.
Heiansdo wëllt Dir vläicht bestëmmte URLs oder Domänen erlaben, awer net e ganze schwaarze Verzeechnes. An deem Fall sollt Dir e Verzeechnes mam Numm myWhiteLists erstellen (oder egal wéi en Numm Dir wielt) an déi gewënschte URLs an Domänen ënner setzen. /var/lib/squidguard/db/myWhiteListsa Dateien déi URLen respektiv Domainen genannt ginn.
Dann initialiséiert déi nei Inhaltsregele wéi virdrun,
# squidGuard -C all
a ännert den squidguard.conf wéi follegt.
Wéi virdru weisen d'Deeler, déi a giel markéiert sinn, d'Ännerungen un, déi derbäigesat musse ginn. Notéiert datt d'myWhiteLists String als éischt an der Zeil muss sinn, déi mam Pass ufänkt.
Endlech, erënnert un Squid nei ze starten fir Ännerungen z'applizéieren.
Conclusioun
Nodeems Dir d'Schrëtt an dësem Tutorial verfollegt hutt, sollt Dir e mächtege Inhaltsfilter an URL Redirector hunn Hand an Hand mat Ärem Squid Proxy. Wann Dir Probleemer wärend Ärem Installatiouns-/Konfiguratiounsprozess erliewt oder Froen oder Bemierkungen hutt, wëllt Dir vläicht op d'SquidGuard's Webdokumentatioun referenzéieren, awer fillt Iech ëmmer gratis eis eng Zeil ze schécken andeems Dir de Formulaire hei drënner benotzt a mir kommen sou séier wéi méiglech.