A SquidGuard konfigurálása, a tartalmi szabályok engedélyezése és a Squid naplók elemzése – 6. rész
Az LFCE (Linux Foundation Certified Engineer) olyan szakember, aki rendelkezik a Linux rendszerek hálózati szolgáltatásainak telepítéséhez, kezeléséhez és hibaelhárításához szükséges készségekkel, és felelős a a teljes rendszerarchitektúra tervezése, megvalósítása és folyamatos karbantartása.
Bemutatkozik a Linux Foundation Certification Program.
Korábbi bejegyzéseinkben megvitattuk, hogyan kell telepíteni a Squid + squidGuard alkalmazást, és hogyan kell beállítani a squid-ot a hozzáférési kérelmek megfelelő kezelésére vagy korlátozására. Kérjük, feltétlenül nézze át ezt a két oktatóanyagot, és telepítse mind a Squid-et, mind a squidGuard-ot, mielőtt továbblépne, mivel ezek beállítják a hátteret és a kontextust annak, amit ebben a bejegyzésben tárgyalunk: a squidguard integrálását egy működő squid-környezetbe a feketelista-szabályok végrehajtásához és a tartalomszabályozáshoz a proxy szerver.
Követelmények
- A Squid és a SquidGuard telepítése – 1. rész
- Squid proxykiszolgáló konfigurálása korlátozott hozzáféréssel – 5. rész
Mire használhatom/nem használhatom a SquidGuard-ot?
Bár a squidGuard minden bizonnyal fokozza és javítja a Squid funkcióit, fontos kiemelni, hogy mire képes és mire nem.
A squidGuard a következőkre használható:
- korlátozza egyes felhasználók web-hozzáférését az elfogadott/jól ismert webszerverek és/vagy URL-ek listájára, miközben megtagadja a hozzáférést a tiltólistán szereplő webszerverekhez és/vagy URL-ekhez.
- blokkolja a hozzáférést azokhoz a webhelyekhez (IP-cím vagy domain név alapján), amelyek megfelelnek a reguláris kifejezések vagy szavak listájának egyes felhasználók számára.
- megkövetelik a domain nevek használatát/megtiltják az IP-címek használatát az URL-ekben.
- átirányítja a blokkolt URL-eket hiba- vagy információs oldalakra.
- különböző hozzáférési szabályokat használjon a napszak, a hét napja, a dátum stb. alapján.
- különböző szabályokat alkalmazzon a különböző felhasználói csoportokhoz.
Azonban sem a squidGuard, sem a Squid nem használható:
- a dokumentumokon belüli szöveg elemzése és az eredmény elérése.
- észleli vagy blokkolja a HTML-kódon belüli beágyazott szkriptnyelveket, mint például a JavaScript, a Python vagy a VBscript.
Feketelisták – Az alapok
A feketelista a squidGuard lényeges részét képezi. Alapvetően egyszerű szöveges fájlok, amelyek lehetővé teszik a tartalomszűrők konkrét kulcsszavak alapján történő megvalósítását. Vannak szabadon elérhető és kereskedelmi feketelisták is, a letöltési linkek pedig megtalálhatók a squidguard blacklists projekt weboldalán.
Ebben az oktatóanyagban megmutatom, hogyan integrálhatja a Shalla Secure Services által biztosított feketelistákat a squidGuard telepítésébe. Ezek a feketelisták személyes/nem kereskedelmi használatra ingyenesek, és naponta frissülnek. Ezek a mai állapot szerint több mint 1 700 000 bejegyzést tartalmaznak.
Kényelmünk érdekében hozzunk létre egy könyvtárat a feketelista-csomag letöltéséhez.
mkdir /opt/3rdparty
cd /opt/3rdparty
wget http://www.shallalist.de/Downloads/shallalist.tar.gz
A legfrissebb letöltési link mindig elérhető az alábbiak szerint.
Az újonnan letöltött fájl tárcsa eltávolítása után a feketelista (BL) mappába lépünk.
tar xzf shallalist.tar.gz
cd BL
ls
Az ls kimenetében megjelenített könyvtárakat háttérlista-kategóriáknak, a hozzájuk tartozó (opcionális) alkönyvtárakat pedig alkategóriáknak tekintheti, egészen a fájlok által felsorolt URL-ekig és domainekig. URL-ek és domainek. További részletekért tekintse meg az alábbi képet.
Feketelisták telepítése
A teljes feketelista csomag vagy az egyes kategóriák telepítése úgy történik, hogy a BL könyvtárat vagy annak valamelyik alkönyvtárát a /var/ mappába másoljuk. lib/squidguard/db könyvtárba.
Természetesen eleve letölthette volna a feketelista tarballt ebbe a könyvtárba, de a korábban ismertetett megközelítés jobban szabályozza, hogy egy adott időpontban mely kategóriákat kell letiltani (vagy nem).
Ezután megmutatom, hogyan kell telepíteni az anonvpn, a hacking és a chat feketelistákat, és hogyan kell beállítani a squidGuard-ot ezek használatára.
1. lépés: Másolja rekurzívan az anonvpn, hacking és chat könyvtárakat a /opt/3rdparty/ webhelyről BL-ről /var/lib/squidguard/db-re.
cp -a /opt/3rdparty/BL/anonvpn /var/lib/squidguard/db
cp -a /opt/3rdparty/BL/hacking /var/lib/squidguard/db
cp -a /opt/3rdparty/BL/chat /var/lib/squidguard/db
2. lépés: Használja a domain- és URL-fájlokat a squidguard adatbázisfájljainak létrehozásához. Kérjük, vegye figyelembe, hogy a következő parancs működik .db fájlok létrehozásához az összes telepített feketelistához – még akkor is, ha egy bizonyos kategória 2 vagy több alkategóriával rendelkezik.
squidGuard -C all
3. lépés: Változtassa meg a /var/lib/squidguard/db/ könyvtár és tartalmának tulajdonjogát a proxy felhasználóra, hogy a Squid elolvashassa az adatbázisfájlokat.
chown -R proxy:proxy /var/lib/squidguard/db/
4. lépés: Állítsa be a Squid-et a squidGuard használatára. A Squid url_rewrite_program direktíváját használjuk az /etc/squid/squid.conf fájlban, hogy megmondjuk a Squidnek, hogy a squidGuard-ot használja URL-újraíróként/-átirányítóként.
Adja hozzá a következő sort a squid.conf fájlhoz, ügyelve arra, hogy a /usr/bin/squidGuard a helyes abszolút elérési út az Ön esetében.
which squidGuard
echo "url_rewrite_program $(which squidGuard)" >> /etc/squid/squid.conf
tail -n 1 /etc/squid/squid.conf
5. lépés: Adja hozzá a szükséges direktívákat a squidGuard konfigurációs fájljához (a /etc/squidguard/squidGuard.conf fájlban található).
Kérjük, tekintse meg a fenti képernyőképet, a következő kód után a további magyarázatért.
src localnet {
ip 192.168.0.0/24
}
dest anonvpn {
domainlist anonvpn/domains
urllist anonvpn/urls
}
dest hacking {
domainlist hacking/domains
urllist hacking/urls
}
dest chat {
domainlist chat/domains
urllist chat/urls
}
acl {
localnet {
pass !anonvpn !hacking !chat !in-addr all
redirect http://www.lds.org
}
default {
pass local none
}
}
6. lépés: Indítsa újra a Squid programot, és tesztelje.
service squid restart [sysvinit / Upstart-based systems]
systemctl restart squid.service [systemctl-based systems]
Nyisson meg egy webböngészőt a helyi hálózaton belüli kliensben, és böngésszen a tiltólistás fájlokban található webhelyre (domain vagy url – a következő példában a http://spin.de/ csevegést fogjuk használni) ), és átirányítunk egy másik URL-re, ebben az esetben a www.lds.org-ra.
Ellenőrizheti, hogy a kérést a proxyszerverhez küldték, de elutasították (301-es http-válasz – Véglegesen áthelyezve), és ehelyett a www.lds.org oldalra irányították át.
Korlátozások eltávolítása
Ha valamilyen oknál fogva engedélyeznie kell egy korábban letiltott kategóriát, távolítsa el a megfelelő könyvtárat a /var/lib/squidguard/db mappából, és írja megjegyzésbe (vagy törölje) a kapcsolódó acl-t. a squidguard.conf fájlban.
Ha például engedélyezni szeretné az anonvpn kategória tiltólistáján szereplő domaineket és URL-eket, akkor a következő lépéseket kell végrehajtania.
rm -rf /var/lib/squidguard/db/anonvpn
És szerkessze a squidguard.conf fájlt az alábbiak szerint.
Kérjük, vegye figyelembe, hogy a ELŐTT alatt sárgával kiemelt részek az UTÁNA alatt törölve lettek.
Adott domainek és URL-ek engedélyezési listája
Előfordulhat, hogy bizonyos URL-eket vagy domaineket szeretne engedélyezni, de nem egy teljes feketelistán szereplő könyvtárat. Ebben az esetben létre kell hoznia egy myWhiteLists nevű könyvtárat (vagy bármilyen nevet), és be kell illesztenie a kívánt URL-eket és domaineket a alá. /var/lib/squidguard/db/myWhiteLists url, illetve domain nevű fájlokban.
Ezután inicializálja az új tartalomszabályokat, mint korábban,
squidGuard -C all
és módosítsa a squidguard.conf fájlt az alábbiak szerint.
A korábbiakhoz hasonlóan a sárgával kiemelt részek jelzik a kiegészítendő változtatásokat. Vegye figyelembe, hogy a myWhiteLists karakterláncnak elsőnek kell lennie a pass karakterrel kezdődő sorban.
Végül ne felejtse el újraindítani a Squid programot a változtatások alkalmazásához.
Következtetés
Az oktatóanyagban ismertetett lépések végrehajtása után hatékony tartalomszűrővel és URL-átirányítóval kell rendelkeznie, amely kéz a kézben működik a Squid proxyval. Ha bármilyen problémát tapasztal a telepítési/konfigurálási folyamat során, vagy bármilyen kérdése vagy megjegyzése van, érdemes lehet olvasni a squidGuard webes dokumentációját, de mindig nyugodtan írjon nekünk az alábbi űrlap segítségével, és mi azonnal felvesszük Önnel a kapcsolatot. lehetséges.