Squid 3.5.15 és squidGuard CentOS 7 (https és ACL)

Jó jó. Itt hozok neked Squid 3.5 (stabil) a CentOS-on, Hűha !!!, ha azt mondták volna, hogy beszélnem kell a CentOS-ról és olvasóim azt mondták, hogy a 3.5-ös tintahal már nem szivárgott ki https-t y valaki írt nekem egy e-mailt, amelyben csoportok és tartalom szerinti szűrést kért. Szóval hozok egy véleményt, hogy lássa, hogyan csináltam, és meg is tudja csinálni.

rendben az első dolgok, honnan tudja a tintahal a CentOS-ban, hogy ez mi a verzió? 3.3.8, kicsit elavult, de működik. Azok számára, akik szeretnek az áramlatban élni, az első dolog az, hogy hozzáadják a tintahal-adattárat (igen, letölthetik a tar.gz fájlt és lefordíthatják, de hé, itt nem fogjuk feltalálni a kereket, valaki már összeállította fordulatszámú csomagban, hahaha). A Debianban egy sor hiba van, beleértve a szűrést is, és a Stretch adattárakat kell használnia

Mint mindig, nem azt mondom, hogy telepítsen rosszindulatú programokat, ez a hivatalos tintahal wikiből származik, ellenőrizze ITT

vi /etc/yum.repo.d/squid.repo

[squid] name = Squid repo a CentOS Linux számára - $ basearch
#IL tükör
baseurl = http: //www1.ngtech.co.il/repo/centos/$releasever/$basearch/
# baseurl = http: //www1.ngtech.co.il/repo/centos/7/$basearch/
failovermethod = előny
enabled = 1
gpgcheck = 0

yum update

yum install squid3

Most, ha elolvasta a többi bejegyzésemet, a tintahal konfigurálása nem jelent problémát. Tehát összefoglaló ITT és gyorsítótárba tenni ITT. Néhány dolog megváltozik? Nos, mint minden linux, néhány fájl itt és nem ott van, de a beállítások ugyanazok. De nehogy azt mondja, hogy gazember vagyok, ez a minimum, amit fel kell tennie

acl localnet src 172.16.0.0/21 # RFC1918 lehetséges belső hálózat

http_access engedélyezi a helyi hálózatot

http_port 172.16.5.110:3128

futtassa a következő parancsot a gyorsítótár létrehozásához

squid -z

Ezután a következő, hogy ellenőrizze a konfigurációs fájl helyes-e

squid -k parse

végül újraindítjuk a szolgáltatást

systemctl squid restart

Most, hogy a http-et és a https-t szűrjük, és egyszerű acl-eket hozunk létre, a válasz a következő: SquidGuard, ez az ember egy tartalomszűrő és forgalomirányító, jelenleg nagyon sokan kedvelik a dansguardiant, ez nem az én esetem. Bár a squidguard-ot már senki sem fejlesztette ki konkrétan, ugyanezek a disztribúciók tartják fenn, és fogalmam sincs, hogy valamilyen speciális szervezet dedikált-e ennek a csomagnak, de tény, hogy működik és még mindig folyamatosan frissül .

yum install squidGuard

Mint mondtam, a squidguard segítségével szűrheti a forgalmat a feketelistákon (feketelista) vagy engedélyezheti a fehér listákon (fehérlista)

A következő sorokat hozzá kell adnia a squid.conf fájlhoz:

Ez jelzi, hogy melyik program lesz felelős a forgalom szűréséért, hol található a bináris és a konfigurációs fájl.

url_rewrite_program / usr / bin / squidGuard -c /etc/squid/squidGuard.conf

Ez azt jelzi, hogy hány maximális átirányító létezik (150), hogy részt vegyen a kérésekben, hány minimum kezdődik a kalmárral (120), hányat tartanak tartalékban (1), ha egyszerre több kérelemen is részt vehetnek (1)

url_rewrite_children 150 indítás = 120 tétlen = 1 egyidejűség = 0

Ha még egy átirányító sem áll rendelkezésre, akkor az illető nem fog tudni navigálni, ami ideális, nem akarjuk, hogy bárki szabadon navigáljon. A naplóban hibát ad, ha ez megtörténik, és értékelnie kell az átirányítók számának növelését.

url_rewrite_bypass ki

Hogyan kell elvégezni az Acl-t és a szűrést?

Az első dolog egy teljes feketelista letöltése ITT, létrehozhat és elmagyarázom, hogyan kell kicsomagolni a / var / squidGuard / fájlban, ez alapértelmezés szerint centóban van megadva, de másokban a / var / lib / squidguard /

tar -xvzf bigblacklist.tar.gz /var/squidGuard/

chown -R  squid. /var/squidGuard/

Írja be a squidguard.conf fájlt:

Adja meg, hol vannak a listák, és hová kerülnek a naplók.

dbhome / var / squidGuard / feketelisták

logdir / var / log / squidGuard /

Most a tintahalvédelmet 3 tag src, dest, acl címkével kezelik.

Tegyük fel, hogy egy "korlátozott" csoportot akarok létrehozni az src-ben, kijelentem magát a csoportot és az összes, az adott csoporthoz tartozó ip-t

src korlátozott {
ip 172.168.128.10 # pepito perez informatica
ip 172.168.128.13 # andrea perez informatica
ip 172.168.128.20 # carolina perez informatica
}

Most azért listák létrehozása és deklarálása, a dest címkével van. Fontos! Meg kell értened, hogyan blokkolhatsz egy oldalt

• -Például domain: facebook.com, a teljes domain blokkolásra kerül
• -Például urllist: facebook.com/juegos ez azt jelenti, hogy csak az az url van blokkolva a többitől, tudok navigálni az összes facebook-on
• -Végül a expresszlista példa facebook, majd minden olyan oldal blokkolásra kerül, amelyen a facebook meg van írva, még akkor is, ha olyan híroldalról van szó, amely hivatkozik egy cikkre és a testében megemlíti a facebook-ot.

dest porn {
domainlist porn / domains
urllist porn / urls
kifejezéslista pornó / kifejezések
}

Most kijelentjük, hogy blokkolni akarja vagy sem, és milyen intézkedéseket fog tenni, amikor megtörténik. Minden a címkével kezdődik ACL, belül 'n' számú csoport van. A "korlátozott" példával folytatva a pass tag a listákra és a forgalomra utal, ha a kulcsszó rendelkezik a az elején felkiáltójel (!) arra utal, hogy nem megengedett, egyébként igen, még akkor is, ha egy korábban elutasított listán szerepel.

Ebben a példában van egy korlátozott csoportunk, amelyben van egy engedélyezőlista vagy egy fehér lista, amely lehetővé teszi bizonyos forgalmak letiltását a többi fekete listában (!), Majd fejezze be a mondatot «bármilyen»Annak jelzésére, hogy ha egyetlen listának sem felelt meg, akkor engedélyezi a forgalmat. Ha a címkével végződött «egyik sem»Nem engedi meg a forgalmat. Végül a címke átirányítás, jelezve, hogy milyen lépéseket kell tennie az oldal blokkolásakor, ebben az esetben elküldjük a google-nak.

Itt van egy példa, hogy még sok blokkolt listát tettem fel, de ne feledje, hogy deklarálni kell őket a dest-ben, és nem minden listán szerepel urllist, expresslist vagy domainlist, ezért érdemes jól ellenőrizni.

acl {
korlátozott {
átadja az engedélyezőlistát! pornó! felnőtt! szexualitás! proxy! spyware! malware! hackelés! mixed_adult! naturizmus! szekta! marketingware! vírusfertőzött! warez! fegyverek! vadászat! frissítési oldalak! szerencsejáték! filehosting! fájlmegosztás! humor! hirdetések! ! asztali számítógépek! szexualitásoktatás! erőszak! távirányító! álláskeresés! mobiltelefonok! kidstime pazarlás! e-kereskedelem! beerliquorsale! rádió! socialnetworking! social_networks! azonnali üzenetküldés! chat! audio-video! verisign! sport! sportújságok! hírek! ! fehérnemű! magazinok! manga! arjel! dohány! francia oktatás! híresség! bitcoin! blog minden
átirányítja a http://google.com címet?
} #fin korlátozott
} #end acl

Az összes listát újratöltjük

squidGuard -b -C ALL

Ha a naplóban megjelenik a kérésre kész squidguard, akkor készen állunk az indulásra

systemctl squid restart

Köszönök mindent, remélem, folyamatosan kommentben írsz, és figyelsz minden bejegyzésemre.