Squid 3.5.15 и squidGuard CentOS 7 (https и ACL)

Хорошо хорошо. Здесь я представляю вам Squid 3.5 (стабильный) на CentOS, Ух ты !!!, если они сказали мне, что я должен говорить о CentOS и мои читатели сказали мне, что squid 3.5 больше не пропускает https y кто-то написал мне электронное письмо с просьбой отфильтровать по группам и содержанию. Итак, я предлагаю вам обзор, чтобы вы могли увидеть, как я это сделал, и вы можете это сделать.

Хорошо, обо всем по порядку, как squid узнает в CentOS, что это за версия? 3.3.8, ну немного устарела, но работает. Однако для тех, кто любит жить в текущем, первым делом нужно добавить репозиторий squid (да, вы можете скачать tar.gz и скомпилировать его, но эй, мы не собираемся изобретать велосипед здесь, кто-то уже скомпилировал его в пакете rpm, хахаха). В Debian есть ряд ошибок, включая фильтрацию, и он должен использовать репозитории Stretch.

Как всегда, я не говорю вам устанавливать вредоносное ПО, это из официальной вики по Squid, проверьте ЗДЕСЬ

vi /etc/yum.repo.d/squid.repo

[squid] name = Репозиторий Squid для CentOS Linux - $ basearch
#IL зеркало
baseurl = http: //www1.ngtech.co.il/repo/centos/$releasever/$basearch/
# baseurl = http: //www1.ngtech.co.il/repo/centos/7/$basearch/
failovermethod = приоритет
включенной = 1
gpgcheck = 0

yum update

yum install squid3

Теперь, если вы читали другие мои сообщения, настройка squid не будет проблемой. Итак, резюме ЗДЕСЬ и кэшировать ЗДЕСЬ. Что-то меняется? Ну, как и во всех Linux, некоторые файлы здесь, а не там, но настройки те же. Но чтобы вы не сказали, что я злодей, это минимум, который вы должны поставить

acl localnet src 172.16.0.0/21 # RFC1918 возможная внутренняя сеть

http_access разрешить локальную сеть

http_порт 172.16.5.110:3128

выполните следующую команду, чтобы создать пространство для кеша

squid -z

Затем следующий, чтобы убедиться, что файл конфигурации правильный

squid -k parse

наконец мы перезапускаем сервис

systemctl squid restart

Теперь, когда мы фильтруем http и https и создаем простые ACL, ответ ---> Сквидгард, Этот человек является фильтром контента и перенаправителем трафика, на данный момент есть много людей, которые предпочитают dansguardian, это не мой случай. Хотя squidguard больше не разрабатывается кем-либо конкретно, он поддерживается теми же дистрибутивами, и я не имею ни малейшего представления о том, посвящена ли этому пакету какая-либо конкретная организация, однако факт в том, что он работает и постоянно обновляется. .

yum install squidGuard

Как я уже сказал, с помощью squidguard вы можете фильтровать трафик через черные списки (черный список) или разрешать через белые списки (белый список)

Вы должны добавить в squid.conf следующие строки:

Это указывает, какая программа будет отвечать за фильтрацию трафика, где расположены двоичный файл и файл конфигурации.

url_rewrite_program / usr / bin / squidGuard -c /etc/squid/squidGuard.conf

Это указывает, сколько максимальных перенаправителей будет существовать (150) для обслуживания запросов, сколько минимумов начнется с squid (120), сколько будет сохранено в резерве (1), если они могут обслуживать более 1 запроса одновременно (0)

url_rewrite_children 150 запуск = 120 простоя = 1 параллелизм = 0

Если нет даже доступного перенаправителя, человек не сможет перемещаться, что идеально, мы не хотим, чтобы кто-либо мог перемещаться свободно. Когда это произойдет, в журнале появится сообщение об ошибке, и вам следует оценить увеличение количества перенаправителей.

url_rewrite_bypass выкл.

Как сделать Acl и фильтрацию?

Первым делом необходимо загрузить полный черный список, чтобы начать с ЗДЕСЬ, вы также можете создать, и я объясню, как разархивировать в / var / squidGuard / это по умолчанию в centos, но в других это / var / lib / squidguard /

tar -xvzf bigblacklist.tar.gz /var/squidGuard/

chown -R  squid. /var/squidGuard/

Вы должны ввести squidguard.conf:

Объявите, где находятся списки и где будут сохраняться журналы.

dbhome / var / squidGuard / черные списки

logdir / var / журнал / squidGuard /

Теперь squid guard обрабатывается 3 тегами src, dest, acl.

Предположим, я хочу создать "ограниченную" группу в src, я объявляю саму группу и все IP-адреса, которые принадлежат этой группе.

SRC ограниченное {
ip 172.168.128.10 # pepito perez informatica
ip 172.168.128.13 # andrea perez informatica
ip 172.168.128.20 # carolina perez informatica
}

Теперь для создавать и объявлять списки, с тегом dest. Важно !, вы должны понимать, как можно заблокировать страницу

• -Например, домен: facebook.com, весь домен будет заблокирован
• -Например, urllist: facebook.com/juegos, это означает, что только этот URL-адрес заблокирован от остальных, я могу перемещаться по всей facebook
• -Наконец, пример списка выражений facebook, то любая страница, на которой написано facebook, даже если это страница новостей, которая ссылается на статью и упоминает facebook в своем теле, будет заблокирована.

целевое порно {
domainlist porn / домены
urllist порно / URLs
ExpressionList порно / выражения
}

Теперь мы заявляем, собираетесь вы блокировать или нет, и какие действия вы предпримете, когда это произойдет. Все начинается с лейбла ACL, внутри есть n групп. Продолжая "ограниченный" пример, тег pass для ссылки на списки и трафик, если ключевое слово имеет восклицательный знак (!) в начале указывает на то, что это запрещено, в противном случае - да, даже если он находится в ранее запрещенном списке.

В этом примере у нас есть ограниченная группа, в которой есть белый список или белый список, чтобы разрешить определенный трафик, который может быть заблокирован в других черных списках (!). Затем закончите предложение с помощью «любой»Чтобы указать, что если он не соответствует ни одному списку, он разрешает этот трафик. Если он заканчивался меткой «никто»Не допустил бы этот трафик. Наконец этикетка переориентировать, чтобы указать, какое действие следует предпринять при блокировке страницы, в этом случае мы отправляем ее в Google.

Вот пример, я поместил еще много заблокированных списков, но помните, что они должны быть объявлены в dest, также не во всех списках есть urllist, expressionlist или domainlist, поэтому вам следует хорошо проверить.

акк {
ограничено {
передать белый список! порно! взрослый! сексуальности! проскировании шпионской! вредоносные программы! взлом! mixed_adult! натуризм! секте! marketingware! virusinfected! варезу! оружие! охота! updatesites! азартные игры! файлообменник! файлообмен! юмор! реклама! ПОКУПКЕ! игру! одежду ! настольные компьютеры! сексуальное образование! насилие! дистанционное управление! поиск вакансий! мобильные телефоны! kidstimewasting! ecommerce! beerliquorsale! радио! социальные сети! social_networks! мгновенные сообщения! чат! аудио-видео! Verisign! спорт! спортивные новости! новости! пресса! развлечения! мобильный телефон ! нижнее белье! журналы! манга! арджел! табак! французское образование! знаменитости! биткойн! блог любой
перенаправить http://google.com?
} #fin limited
} #конец списка

Перезагружаем все списки

squidGuard -b -C ALL

Если в логе появится готовый к запросу squidguard, то мы готовы начать с

systemctl squid restart

Спасибо за все, надеюсь, вы продолжите писать в комментариях и обратите внимание на все мои посты.