Squid 3.5.15 та squidGuard CentOS 7 (https та ACL)

Добре-добре. Ось я приношу вам Squid 3.5 (стабільний) на CentOS, Ух ти !!!, якби вони сказали мені, що я повинен говорити про CentOS і мої читачі сказали мені, що squid 3.5 більше не просочується https y хтось написав мені електронний лист із проханням відфільтрувати за групами та вмістом. Тож я приношу вам огляд, щоб ви побачили, як я це зробив, і ви можете це зробити.

добре, по-перше, звідки кальмар дізнається, що в CentOS ця версія? 3.3.8, добре трохи застарілий, але він працює. Однак для тих, хто любить жити в поточній версії, перше, що потрібно - додати сховище кальмарів (так, ви можете завантажити tar.gz і скомпілювати його, але привіт, ми не збираємось винаходити колесо тут, хтось його вже скомпілював в пакеті з об / хв, ха-ха-ха). У Debian він має ряд помилок, серед яких фільтрація, і вони повинні використовувати сховища Stretch

Як завжди, я не кажу вам встановлювати шкідливе програмне забезпечення, це з офіційної вікі squid, перевірте ТУТ

vi /etc/yum.repo.d/squid.repo

[squid] name = репозиторій Squid для CentOS Linux - $ basearch
#IL дзеркало
baseurl = http: //www1.ngtech.co.il/repo/centos/$releasever/$basearch/
# baseurl = http: //www1.ngtech.co.il/repo/centos/7/$basearch/
failovermethod = пріоритет
розблоковано = 1
gpgcheck = 0

yum update

yum install squid3

Тепер, якщо ви прочитали інші мої повідомлення, налаштування кальмарів не складе проблем. Тож резюме ТУТ та кешувати ТУТ. Щось змінюється? Ну, як і у всіх Linux, деякі файли знаходяться тут і не там, але налаштування однакові. Але щоб ви не сказали, що я негідник, це мінімум, який ви повинні покласти

acl localnet src 172.16.0.0/21 # RFC1918 можлива внутрішня мережа

http_access дозволити локальну мережу

http_порт 172.16.5.110:3128

запустіть наступну команду, щоб створити простір кеш-пам’яті

squid -z

Потім наступний, щоб переконатися, що файл конфігурації правильний

squid -k parse

нарешті, ми перезапустимо службу

systemctl squid restart

Тепер, оскільки ми фільтруємо http і https і створюємо прості acls, відповідь ---> SquidGuard, Цей чоловік є фільтром вмісту та редиректором трафіку, на даний момент є багато людей, які віддають перевагу dansguardian, це не мій випадок. Хоча squidguard більше ніхто не розробляє, він підтримується тими ж дистрибутивами, і я не маю ні найменшого уявлення про те, чи якась конкретна організація присвячена цьому пакету, однак, справа в тому, що він працює і все ще постійно оновлюється .

yum install squidGuard

Як я вже говорив, за допомогою squidguard ви можете фільтрувати трафік через чорні списки (чорний список) або дозволяти через білі списки (білий список)

Ви повинні додати наступні рядки до squid.conf:

Це вказує, яка програма буде відповідати за фільтрацію трафіку, де знаходяться двійковий файл та файл конфігурації.

url_rewrite_program / usr / bin / squidGuard -c /etc/squid/squidGuard.conf

Це вказує, скільки максимальних редиректорів буде існувати (150) для участі в запитах, скільки мінімумів починається з кальмара (120), скільки буде зберігатися в резерві (1), якщо вони можуть відвідувати більше 1 запиту одночасно (0)

url_rewrite_children 150 запуск = 120 простою = 1 паралельність = 0

Якщо немає навіть переспрямовувача, людина не зможе орієнтуватися, що ідеально, ми не хочемо, щоб хтось вільно орієнтувався. У журналі буде повідомлено про помилку, коли це станеться, і ви повинні оцінити збільшення кількості редиректорів.

url_rewrite_bypass вимкнено

Як робити Acl і фільтрацію?

Перше, що потрібно, це завантажити повний чорний список для початку ТУТ, Ви також можете створити, і я поясни, як, декомпресувати в / var / squidGuard / це за замовчуванням у centos, але в інших це / var / lib / squidguard /

tar -xvzf bigblacklist.tar.gz /var/squidGuard/

chown -R  squid. /var/squidGuard/

Ви повинні ввести squidguard.conf:

Заявіть, де знаходяться списки та де зберігатимуться журнали.

dbhome / var / squidGuard / чорні списки

logdir / var / log / squidGuard /

Зараз охорона кальмарів обробляється 3 мітками src, dest, acl.

Припустимо, я хочу створити "обмежену" групу в src, я оголошую саму групу та всі ip-адреси, які належать до цієї групи

SRC обмежена {
ip 172.168.128.10 # pepito perez informatica
ip 172.168.128.13 # andrea perez informatica
ip 172.168.128.20 # carolina perez informatica
}

Тепер для створювати та оголошувати списки, з тегом dest. Важливо! Ви повинні розуміти, як можна заблокувати сторінку

• -Наприклад, домен: facebook.com, весь домен буде заблоковано
• -Наприклад, urllist: facebook.com/juegos це означає, що лише ця URL-адреса заблокована від решти, я можу переміщатися по всьому facebook
• -Нарешті, приклад списку виразів facebook, тоді будь-яка сторінка, на якій написано facebook, навіть якщо це сторінка новин, яка посилається на статтю та згадує facebook у своєму тілі, буде заблокована.

dest порно {
порно / домени
порно / URL-адреси
порно / вирази
}

Тепер ми заявляємо, що ви збираєтеся заблокувати чи ні, і які дії ви вживете, коли це станеться. Все починається з етикетки ACL, всередині є "n" кількість груп. Продовжуючи "обмежений" приклад, тег проходу для посилання на списки та трафік, якщо ключове слово має знак оклику (!) на початку відноситься до того, що це заборонено, інакше так, навіть якщо він є у списку раніше відхилених.

У цьому прикладі ми маємо обмежену групу, в якій є білий або білий список, щоб дозволити певний трафік, який може бути заблокований в інших чорних списках (!), Потім закінчити речення з «будь-який»Щоб вказати, що якщо він не відповідає жодному списку, це дозволяє цей трафік. Якщо це закінчувалось ярликом «ніхто»Не дозволить такий рух. Нарешті лейбл переадресовувати, щоб вказати, які дії слід вжити при блокуванні сторінки, у цьому випадку ми надсилаємо її в Google.

Ось приклад, я помістив ще багато заблокованих списків, але пам’ятайте, що вони повинні бути оголошені в dest, також не всі списки мають urllist, expressionlist або domainlist, тому вам слід добре перевірити.

acl {
обмежено {
пройти білий список! порно! доросла! сексуальність! проксі! шпигунське! шкідливе програмне! хакерство! змішана_доросла! натуризм! секта! маркетингове! заражене! вірусом! зброя! полювання! оновленнясайтів! азартні ігри! ! настільні комп'ютери! сексуальнеосвіта! насильство! дистанційне управління! пошук роботи! мобільні телефони! розтрата часу! електронна комерція! beerliquorsale! радіо! соціальна мережа! соціальні_мережі! обмін миттєвими повідомленнями! чат! аудіо-відео! версія! спорт! sportnews! новини! преса! ! білизна! журнали! манга! arjel! тютюн! французькеосвіта! знаменитість! біткойн! блог будь-який
переспрямувати http://google.com?
} # фін обмежений
} # fin acl

Ми перезавантажуємо всі списки

squidGuard -b -C ALL

Якщо у журналі з’явиться squidguard, готовий до запиту, тоді ми готові розпочати

systemctl squid restart

Дякую за все, сподіваюся, ви продовжуватимете писати в коментарях і звертатимете увагу на всі мої дописи.