Squid 3.5.15 und squidGuard CentOS 7 (https und ACL)

Gut gut. Hier bringe ich Ihnen Squid 3.5 (stabil) auf CentOS, Oh wow !!!, wenn sie mir sagten, dass ich über CentOS und sprechen muss Meine Leser sagten mir, dass Squid 3.5 kein https mehr leckt y Jemand schrieb mir eine E-Mail mit der Bitte, nach Gruppen und Inhalten zu filtern. Also bringe ich Ihnen eine Bewertung, damit Sie sehen können, wie ich es gemacht habe und Sie es tun können.

ok, das Wichtigste zuerst, woher weiß Squid in CentOS, dass diese Version was ist? 3.3.8, naja ein bisschen veraltet, aber es funktioniert. Für diejenigen, die gerne in der Strömung leben, ist das erste, das Tintenfisch-Repository hinzuzufügen (ja, Sie könnten das tar.gz herunterladen und kompilieren, aber hey, wir werden das Rad hier nicht neu erfinden, jemand hat es bereits kompiliert in einem U / min-Paket, hahaha). In Debian gibt es eine Reihe von Fehlern, einschließlich Filterung, und es müssen Stretch-Repositorys verwendet werden

Wie immer fordere ich Sie nicht auf, Malware zu installieren. Dies ist aus dem offiziellen Squid-Wiki HIER

vi /etc/yum.repo.d/squid.repo

[squid] name = Squid-Repo für CentOS Linux - $ basearch
#IL Spiegel
baseurl = http: //www1.ngtech.co.il/repo/centos/$releasever/$basearch/
# baseurl = http: //www1.ngtech.co.il/repo/centos/7/$basearch/
failovermethod = Priorität
enabled = 1
gpgcheck = 0

yum update

yum install squid3

Nun, wenn Sie meine anderen Beiträge gelesen haben, wird die Konfiguration von Tintenfisch kein Problem sein. Also Zusammenfassung HIER und zwischenzuspeichern HIER. Ändern sich einige Dinge? Nun, wie bei allen Linux-Versionen sind einige Dateien hier und nicht dort, aber die Einstellungen sind dieselben. Aber damit Sie nicht sagen, dass ich ein Bösewicht bin, ist dies das Minimum, das Sie setzen sollten

acl localnet src 172.16.0.0/21 # RFC1918 mögliches internes Netzwerk

http_access erlaubt localnet

http_port 172.16.5.110:3128

Führen Sie den folgenden Befehl aus, um Ihren Cache-Speicherplatz zu erstellen

squid -z

Dann das nächste, um zu überprüfen, ob die Konfigurationsdatei korrekt ist

squid -k parse

Schließlich starten wir den Dienst neu

systemctl squid restart

Da wir nun http und https filtern und einfache acls erstellen, lautet die Antwort —-> TintenfischGuard, Dieser Mann ist ein Inhaltsfilter und Traffic Redirector, im Moment gibt es viele Leute, die Dansguardian bevorzugen, es ist nicht mein Fall. Obwohl Squidguard von niemandem mehr speziell entwickelt wird, wird es von denselben Distributionen verwaltet, und ich habe nicht die geringste Ahnung, ob eine bestimmte Organisation diesem Paket gewidmet ist. Tatsache ist jedoch, dass es funktioniert und ständig aktualisiert wird .

yum install squidGuard

Wie gesagt, mit Squidguard können Sie den Verkehr durch schwarze Listen (Blacklist) filtern oder durch weiße Listen (Whitelist) zulassen.

Sie müssen die folgenden Zeilen zur squid.conf hinzufügen:

Dies gibt an, welches Programm für die Filterung des Datenverkehrs zuständig ist, wo sich die Binärdatei und die Konfigurationsdatei befinden.

url_rewrite_program / usr / bin / squidGuard -c /etc/squid/squidGuard.conf

Dies gibt an, wie viele maximale Redirectors vorhanden sind (150), um an den Anforderungen teilzunehmen, wie viele minimale mit dem Tintenfisch beginnen (120), wie viele in Reserve gehalten werden (1), wenn sie mehr als eine Anforderung gleichzeitig bearbeiten können (1)

url_rewrite_children 150 Start = 120 Leerlauf = 1 Parallelität = 0

Wenn nicht einmal ein Redirector verfügbar ist, kann die Person nicht navigieren. Dies ist ideal. Wir möchten nicht, dass jemand frei navigieren kann. Im Protokoll wird in diesem Fall ein Fehler angezeigt, und Sie sollten die Erhöhung der Anzahl der Umleitungen bewerten.

url_rewrite_bypass aus

Wie mache ich Acl und Filterung?

Als erstes müssen Sie zunächst eine vollständige Blacklist herunterladen HIERSie können auch erstellen und ich werde erklären, wie, entpacken in / var / squidGuard / dies ist standardmäßig in Centos, in anderen ist es / var / lib / squidguard /

tar -xvzf bigblacklist.tar.gz /var/squidGuard/

chown -R  squid. /var/squidGuard/

Sie müssen squidguard.conf eingeben:

Geben Sie an, wo sich die Listen befinden und wo die Protokolle gespeichert werden.

dbhome / var / squidGuard / blacklists

logdir / var / log / squidGuard /

Jetzt wird der Tintenfischschutz mit 3 Tags src, dest, acl behandelt.

Angenommen, ich möchte eine "begrenzte" Gruppe in src erstellen. Ich deklariere die Gruppe selbst und alle IPs, die zu dieser Gruppe gehören

src begrenzt {
ip 172.168.128.10 # pepito perez informatica
ip 172.168.128.13 # andrea perez informatica
ip 172.168.128.20 # carolina perez informatica
}

Nun zu Listen erstellen und deklarieren, ist mit dem Ziel-Tag. Wichtig! Sie müssen verstehen, wie Sie eine Seite blockieren können

• - Zum Beispiel Domain: facebook.com wird die gesamte Domain blockiert
• - Zum Beispiel urllist: facebook.com/juegos bedeutet dies, dass nur diese URL vom Rest blockiert ist. Ich kann auf allen Facebook navigieren
• -Finale Ausdrucksliste Beispiel Facebook, dann wird jede Seite, auf der Facebook geschrieben wurde, auch wenn es sich um eine Nachrichtenseite handelt, die auf einen Artikel verweist und Facebook in seinem Text erwähnt, blockiert.

Zielporno {
Domainliste Pornos / Domains
urllist porno / urls
Ausdrucksliste Porno / Ausdrücke
}

Jetzt erklären wir, dass Sie blockieren werden oder nicht und welche Maßnahmen Sie ergreifen werden, wenn dies geschieht. Alles beginnt mit dem Etikett ACL, innerhalb gibt es 'n' Anzahl von Gruppen. Fahren Sie mit dem "eingeschränkten" Beispiel fort, dem Pass-Tag, das auf die Listen und den Datenverkehr verweist, wenn das Schlüsselwort a enthält Das Ausrufezeichen (!) am Anfang weist darauf hin, dass es nicht erlaubt ist, sonst ja, auch wenn es auf einer zuvor abgelehnten Liste steht.

In diesem Beispiel haben wir die begrenzte Gruppe, in der es eine Whitelist oder eine weiße Liste gibt, um bestimmten Verkehr zuzulassen, der in den anderen schwarzen Listen (!) Blockiert sein kann. Beenden Sie dann den Satz mit «jedem»Um anzuzeigen, dass dieser Datenverkehr zulässig ist, wenn er keiner Liste entspricht. Wenn es mit dem Label endete «keine»Würde diesen Verkehr nicht zulassen. Endlich das Etikett umleitenUm anzugeben, welche Maßnahmen beim Blockieren einer Seite in diesem Fall zu ergreifen sind, senden wir sie an Google.

Hier ist ein Beispiel, in dem ich viel mehr blockierte Listen eingefügt habe, aber denken Sie daran, dass sie in dest deklariert werden müssen. Außerdem haben nicht alle Listen eine Urlliste, eine Ausdrucksliste oder eine Domänenliste, daher sollten Sie dies gut überprüfen.

acl {
begrenzt {
Pass Whitelist! Porno! Erwachsene! Sexualität! Proxy! Spyware! Malware! Hacking! Mixed_adult! Naturismus! Sekte! Marketingware! Virusinfiziert! Warez! Waffen! Jagd! Updatesites! Glücksspiel! Filehosting! Filesharing! Humor! Anzeigen! Einkaufen! Spiele! Kleidung ! Desktopsillies! Sexualerziehung! Gewalt! Fernbedienung! Jobsuche! Handys! Kinderverschwendung! E-Commerce! Bierlikör! Radio! Socialnetworking! Social_networks! Instantmessaging! Chat! Audio-Video! Verisign! Sport! Sportnews! Nachrichten! Presse! Unterhaltung! Handy ! Dessous! Magazine! Manga! Arjel! Tabak! Französisch! Promi! Bitcoin! Blog jeder
http://google.com umleiten?
} #fin begrenzt
} #ende acl

Wir laden alle Listen neu

squidGuard -b -C ALL

Wenn der für die Anfrage bereitgestellte Tintenfischschutz im Protokoll angezeigt wird, können Sie beginnen

systemctl squid restart

Vielen Dank für alles. Ich hoffe, Sie schreiben weiterhin Kommentare und achten auf alle meine Beiträge.