Squid 3.5.15 i squidGuard CentOS 7 (https i ACL)

Dobrze dobrze. Tutaj przedstawiam Squid 3.5 (stabilny) na CentOS, oh wow !!!, gdyby mi powiedzieli, że muszę porozmawiać o CentOS i moi czytelnicy powiedzieli mi, że z Squid 3.5 nie wycieka już https y ktoś napisał do mnie e-maila z prośbą o filtrowanie według grup i zawartości. Przynoszę więc recenzję, abyś mógł zobaczyć, jak to zrobiłem i możesz to zrobić.

ok na początek, skąd squid będzie wiedział w CentOS, że ta wersja jest czym? 3.3.8, trochę przestarzały, ale działa. Jednak dla tych, którzy lubią żyć w nurtach, pierwszą rzeczą jest dodanie repozytorium squid (tak, moglibyście pobrać plik tar.gz i go skompilować, ale hej, nie zamierzamy tu na nowo odkrywać koła, ktoś już pakiet rpm, hahaha). W Debianie ma szereg błędów, w tym filtrowanie i musi używać repozytoriów Stretch

Jak zawsze nie mówię ci o instalowaniu złośliwego oprogramowania, to jest z oficjalnej wiki squid, sprawdź TUTAJ

vi /etc/yum.repo.d/squid.repo

[squid] name = Repozytorium Squid dla CentOS Linux - $ basearch
Lustro #IL
baseurl = http: //www1.ngtech.co.il/repo/centos/$releasever/$basearch/
# baseurl = http: //www1.ngtech.co.il/repo/centos/7/$basearch/
failovermethod = priorytet
enabled = 1
gpgcheck = 0

yum update

yum install squid3

Teraz, jeśli przeczytałeś inne moje posty, konfiguracja squid nie będzie problemem. Więc podsumowanie TUTAJ i do pamięci podręcznej TUTAJ. Czy coś się zmienia? Cóż, jak każdy linux, niektóre pliki są tutaj, a nie tam, ale ustawienia są takie same. Ale żebyś nie powiedział, że jestem złoczyńcą, to jest minimum, które powinieneś postawić

acl localnet src 172.16.0.0/21 # RFC1918 możliwa sieć wewnętrzna

http_access zezwalaj na sieć lokalną

http_port 172.16.5.110:3128

uruchom następujące polecenie, aby utworzyć przestrzeń pamięci podręcznej

squid -z

Następnie następny, aby sprawdzić, czy plik konfiguracyjny jest poprawny

squid -k parse

w końcu ponownie uruchamiamy usługę

systemctl squid restart

Ponieważ filtrujemy http i https oraz tworzymy proste listy ACL, odpowiedź brzmi - -> Kałamarnica, ten człowiek jest filtrem treści i przekierowującym ruch, w tej chwili jest wielu ludzi, którzy wolą dansguardian, to nie moja sprawa. Chociaż squidguard nie jest już rozwijany przez nikogo w konkretnym, jest utrzymywany przez te same dystrybucje i nie mam najmniejszego pojęcia, czy jakaś konkretna organizacja jest dedykowana temu pakietowi, jednak faktem jest, że działa i nadal jest utrzymywany stale aktualizowane.

yum install squidGuard

Jak powiedziałem, dzięki squidguard możesz filtrować ruch przez czarne listy (czarna lista) lub zezwalać na białe listy (biała lista)

Musisz dodać następujące wiersze do squid.conf:

Wskazuje, który program będzie odpowiedzialny za filtrowanie ruchu, gdzie znajduje się plik binarny i plik konfiguracyjny.

url_rewrite_program / usr / bin / squidGuard -c /etc/squid/squidGuard.conf

Wskazuje, ile maksymalnych przekierowań będzie istnieć (150) do obsługi żądań, ile minimów zaczyna się od squid (120), ile będzie utrzymywanych w rezerwie (1), jeśli mogą obsłużyć więcej niż 1 żądanie jednocześnie (0)

url_rewrite_children 150 startup = 120 idle = 1 współbieżność = 0

Jeśli nie ma nawet dostępnego przekierowania, osoba nie będzie w stanie nawigować, co jest idealne, nie chcemy, aby ktokolwiek mógł swobodnie nawigować. W dzienniku wyświetli się błąd, gdy tak się stanie i powinieneś ocenić zwiększenie liczby przekierowań.

url_rewrite_bypass wyłączone

Jak zrobić ACL i filtrować?

Pierwszą rzeczą jest pobranie pełnej czarnej listy, od której można zacząć TUTAJ, możesz także tworzyć i wyjaśnię, jak rozpakuj w / var / squidGuard / to jest domyślnie w centos, ale w innych jest to / var / lib / squidguard /

tar -xvzf bigblacklist.tar.gz /var/squidGuard/

chown -R  squid. /var/squidGuard/

Musisz wejść do squidguard.conf:

Zadeklaruj, gdzie są listy i gdzie będą zapisywane dzienniki.

dbhome / var / squidGuard / blacklists

logdir / var / log / squidGuard /

Teraz ochrona squid jest obsługiwana za pomocą 3 tagów src, dest, acl.

Załóżmy, że chcę utworzyć grupę „ograniczoną” w src, deklaruję samą grupę i wszystkie adresy IP należące do tej grupy

src ograniczony {
ip 172.168.128.10 # pepito perez informatica
ip 172.168.128.13 # andrea perez informatica
ip 172.168.128.20 # carolina perez informatica
}

Teraz dla tworzyć i deklarować listy, jest z tagiem dest. Ważne!, Musisz zrozumieć, jak możesz zablokować stronę

• -Na przykład domena: facebook.com, cała domena zostanie zablokowana
• -Na przykład lista adresów URL: facebook.com/juegos oznacza to, że tylko ten adres URL jest zablokowany dla reszty, mogę poruszać się po całym Facebooku
• - Na koniec przykładowa lista wyrażeń na Facebooku, wtedy każda strona, na której napisano Facebook, nawet jeśli jest to strona z wiadomościami, która odwołuje się do artykułu i wspomina o Facebooku w treści, zostanie zablokowana.

przeznaczenie porno {
lista domen porno / domeny
urllist porn / urls
pornografia / wyrażenia z listy wyrażeń
}

Teraz deklarujemy, że zamierzasz zablokować, czy nie, i jakie działania podejmiesz, gdy to się stanie. Wszystko zaczyna się od etykiety ACL, wewnątrz jest „n” liczby grup. Kontynuując przykład „z ograniczeniami”, tag przepustki odnoszący się do list i ruchu, jeśli słowo kluczowe ma rozszerzenie wykrzyknik (!) na początku oznacza, że ​​jest to niedozwolonew przeciwnym razie tak, nawet jeśli znajduje się na liście wcześniej odrzuconej.

W tym przykładzie mamy ograniczoną grupę, w której znajduje się biała lista lub biała lista zezwalająca na określony ruch, który może być blokowany na innych czarnych listach (!). Następnie zakończ zdanie znakiem «każdy»Wskazanie, że jeśli nie pasuje do żadnej listy, zezwala na ten ruch. Jeśli kończyło się etykietą «Żaden»Nie zezwoli na ten ruch. Wreszcie etykieta przekierowanie, aby wskazać, jakie działania należy podjąć podczas blokowania strony, w takim przypadku wysyłamy ją do Google.

Oto przykład, który umieściłem o wiele więcej blokowanych list, ale pamiętaj, że muszą być zadeklarowane w miejscu docelowym, również nie wszystkie listy mają listę adresów URL, listę wyrażeń lub listę domen, więc powinieneś dobrze sprawdzić.

dow {
ograniczona {
przejdź do białej listy! porno! dorosły! seksualność! proxy! spyware! złośliwe oprogramowanie! hacking! mixed_adult! naturism! sect! marketingware! virusinfected! warez! broń! łowiectwo! aktualizacje! ! komputery stacjonarne! edukacja seksualna! przemoc! zdalne sterowanie! szukanie pracy! telefony komórkowe! kidstimewasting! ecommerce! beerliquorsale! radio! socialnetworking! social_networks! instantmessaging! chat! audio-video! verisign! sport! sportnews! news! press! rozrywka! mobile-phone ! bielizna! magazyny! manga! arjel! tytoń! szaleństwo! celebrytka! bitcoin! blog any
przekierować http://google.com?
} #fin ograniczona
} #koniec acl

Przeładowujemy wszystkie listy

squidGuard -b -C ALL

Jeśli w logu pojawi się gotowy na żądanie squidguard, to możemy zacząć

systemctl squid restart

Dzięki za wszystko, mam nadzieję, że będziesz dalej pisać w komentarzach i zwracać uwagę na wszystkie moje posty.