Kalmaar on veel üks rakendustaseme filter mis võib iptableid täiendada. Squid on vahemällu salvestatud veebipuhverserver, see on väga populaarne ja tasuta ning see on platvormidevaheline. Kuigi seda saab kasutada Interneti-ühenduse jõudluse parandamiseks, saab seda kasutada ka turvalisuse tagamiseks. Kuna projekt algas 90ndatel, on Squid olnud väga arenenud ja nüüd tutvustame seda teile, et teaksite, kuidas seda kasutada.
Teie installimiseks, saate juurde pääseda projekti ametlik veebisait ja valige oma opsüsteemi või jaotuse binaarpaketid. Kui soovite selle installida lähtekoodipaketist kompileerimise teel, siis ka teil on see võimalus. Saadaolevad tarballid on tar.gz, tar.bz2 ja tar.xz. Kui te ei tea, kuidas installida, võite minna artikli juurde, mida me selles blogis muudame kuidas Linuxist suvalist paketti installida. silm! Kui teil on Debian või derivaat ja olete näinud, et see on installitud sudo "apt-get install squid" -ga, võite saada vea, sest selle jõustumiseks peate asendama "squid" sõnaga "squid3". .
Nüüd läheme otse tegevuse selgitamise juurde mõned näited kalmaari kasutamisest meie varustuse kaitsmiseks. Enne tahaksin selgitada, et kalmaar põhineb ACL-idel, see tähendab juurdepääsukontrolli loendis või juurdepääsukontrolli loendis, st loendites, mis kirjeldavad üksikasjalikult õigusi võrgu voo juhtimiseks ja filtrite rakendamiseks, mis sarnanevad iptablesi omadega, kuid rakenduse tasemel.
Tavaliselt lisatakse pärast installimist konfiguratsioonifail, mille leiate /etc/squid3/squid.conf ja seda peame redigeerima redaktoriga nagu nano või gedit. Selles saame genereerida oma filtreerimisreeglid, kuigi on olemas valikud cache_dir, cache_mem ja http_port, kasutame viimast oma turvareeglite jaoks. Veel üks detail on see, et see fail määrab vaikepordi, mida teenus Squid kasutab, mis on vaikimisi 3128 (vt rida või käsku "http_port 3128" ja selle aktiveerimiseks eemaldage #). Soovi korral saate selle muuta teiseks porti nagu 8080 ... Ja veel üks vajalik asi on hosti nime seadistamine, otsige kommentaari "TAG: Visible_hostname" ja näete rida "visible_hostname", kuhu peate panema oma hostinimi.
Oma hostinime teadmiseks võite terminali sisestada:
hostname
Ja ilmuv nimi lisatakse see reale, millele ei tohiks eelneda #, et seda kommentaarina ei ignoreeritaks. See näeks välja selline:
visible_hostname hostinimi_have_you_ilmunud
Kui näete konfiguratsioonifaili, näete, et see on väga kommenteeritud, kui soovite loodud reegli tühistada, võite alustada rida numbriga # ja teisendate selle kommentaariks, millega Squid seda eirab, et uuesti kasutusele võtta, kustutate # ja kõik. Tegelikult on palju loodud ja kommenteeritud reegleid, mida saate kasutada, eemaldades sellest #. Nii et te ei pea reegleid kustutama ja ümber kirjutama. Konkreetse reegli või filtri lisamiseks peab sellel olema ACL ja direktiiv, mis näitab, mida teha.
Muide, kui reegli aktiveerimiseks eemaldate #, veenduge, et te ei jäta tühikuid rea algusesse. Näiteks:
Vale suund:
3128
Õige viis:
3128
Kas sa pole midagi kuulnud? Noh, ärge muretsege, koos Näide näete kõike palju paremini. Kujutage seda ette:
acl blokeerib url_regexi kui facebooki
http_access keelake blokeerimine
Mida see reegel tähendab on see, et acl nimega "blokeerimine" keelab juurdepääsu URL-ile, mis sisaldab "facebook" (seetõttu kui proovime Facebooki siseneda, jätab see vea brauseris vahele). Kui keelamise asemel kasutate käsku „luba”, lubate selle keelamise asemel juurdepääsu. Võite kasutada ka! Näiteks välistage, et soovite lubada juurdepääsu loendile1, kuid mitte loendile2:
http_access allow lista1 !lista2
Teine näide võib olla faili / etc / squid3 / ips loomine ja salvestage sinna IP-de loend, millele soovime juurdepääsu lubada. Oletame näiteks, et lubatud ips sisu on:
192.168.30.1
190.169.3.250
192.168.1.26
Ja siis loome acl nendele IP-dele juurdepääsu lubamiseks:
acl nuevaregla src "/etc/squid3/ipspermitidas"
Päris praktiline näideKujutage ette, et teie arvutit kasutavad alla 18-aastased lapsed ja soovite piirata juurdepääsu teatud täiskasvanutele mõeldud sisusaitidele. Esimene asi on luua fail nimega / etc / squid3 / list koos sisuga:
täiskasvanud
porn
sugu
poringa
Ja nüüd sisse faili squid.conf panime järgmise reegli:
acl denegados url_regex "/etc/squid3/lista" http_access allow !denegados
Nagu sa näed oleme lubanud mis põhimõtteliselt on lubatud, kuid kui vaatate, oleme lisanud! eitada oleks seega samaväärne:
acl denegados url_regex "/etc/squid3/lista" http_access deny denegados
Samuti saab luua loendeid, mitte ainult domeeninimedest või IP-dest, nagu oleme teinud, saate ka domeene panna ja näiteks piirata juurdepääsu sellistele domeenidele nagu .xxx, .gov jne. Vaatame näidet, mis põhineb eelmisel reeglil. Loome faili / etc / squid3 / domains, millel on:
. Edu
.es
. Org
Ja nüüd meie reegel, keelata juurdepääs meie loodud keelatud saitide loendile, kuid lubades juurdepääsu nende domeenidega URL-idele:
acl denegados url_regex "/etc/squid3/lista" acl permitidos dstdomain "/etc/squid3/dominios" http_access allow !denegados dominios
PIKENDAMINE:
Vabandust, kui nägin kommentaare, sain sellest aru Mul on peamine asi puudu olnud. Olen piirdunud selle kasutamise näidete esitamisega ja unustasin Squidi serveri käivitamiseks seda öelda:
sudo service squid3 start
Enne kui see üles tõusis "/etc/init.d/squid start" -ga, peate nüüd kasutama seda teist rida, mille ma teile olen seadnud. Nii nagu konfiguratsioonifail pole enam /etc/squid/squid.conf, vaid kataloogis /etc/squid3/squid.conf. Ok, kui filtreerimispoliitika on loodud ja selle käivitamine, peame ka brauseri konfigureerima, näiteks kui kasutate Mozilla Firefoxi või derivaate, võite minna konfiguratsioonimenüüsse (teate, kolm riba) ja seejärel Eelistused, Täpsem ja klõpsake vahekaardil Võrk jaotises Ühendus valikut Konfiguratsioon. Seal valime Manuaalse puhverserveri konfigureerimise ja paneme oma IP ja Squidi kasutatava pordi, antud juhul 3128. Samuti valige "Kasuta sama puhverserverit kõigeks" ja väljume muudatuste salvestamisest.
Palun, Ärge unustage oma kommentaare jätta, kahtlusi või mida iganes sa tahad ... Ehkki see on õpetus kaugelt kalmaari kohal, loodan, et see aitab sind.
aitäh !, abivalmis.
Jällegi mõnevõrra keerulise teema jaoks väga hästi kokku pandud, ütlen pidevalt "kasutaja tase: keskmine", peaksite teadma mõningaid mõisteid "võrkude" kohta.
Ma arvan alandlikult, et tuleks lisada võimalus konfigureerida meie brauser "puhverserverit" kasutama, kuid kuna see kirje on "Squid'i sissejuhatus", oleme järgmisest väga teadlikud? kättetoimetamine (lõpuks ja minu ärritumise ohu korral pidage meeles, et ärge "volitage" panganduse veebilehti ja / või finantsasutusi, mida te oma kodus või ettevõttes kasutate).
Tere, aitäh kommentaaride eest. Jah, IPTABLES ja Squid on liiga põhjalikud, et neid artikli põhjalikult selgitada ja peate piirduma igapäevaste näidete esitamisega ...
Kuid teil on täiesti õigus, lisasin selle nüüd puhverserveri konfigureerimiseks, olin seda plaaninud ja unustasin. Minu süü.
Tervitused ja aitäh !!
Uffff "pagasiruumi" vabandust, et ei saanud aru peamisest:
TEENUSE ALUSTAMINE :-( ilma selleta «pole teie tädi» - andestage mulle kõnekõne pärast- VÄGA EDUKAS PIKENDUS! 8-)
{selle parandamine iga alglaadimise ajal on "/ sbin / init" muutmine:
http: // www. ubuntu-es.org/node/ 13012 # .Vsr_SUJVIWw}
{veel üks lihtsam viis on "update-rc.d" kasutamine:
https: // parbaedlo. wordpress.com/201 3/03/07 / setting-start-and-stop-of-services-linux-update-rc-d /}
Olen linkidele lisanud tühikud, eemaldage need ja navigeerite ;-)
AITÄH VÄGA PALJU TÄHELEPANU eest.
LINUX UUDISED: Rünnak Linux Mintile: nakatage installijaid ja ohustage kasutaja mandaate
http://www.muylinux.com/2016/02/21/ataque-a-linux-mint
Ma juba postitasin, kuid ärge palun rämpsposti siin teisi lehti
ANDROIDI UUDISED: GM Bot, Androidi Trooja, millest Mazar pärineb
http://www.redeszone.net/2016/02/21/gm-bot-el-troyano-para-android-del-que-deriva-mazar/
Tere Jimmy, kuidas sa teed nii, et kalmaar ei otsi neid lehti sinu eest? Tore oleks, kui kommenteeriksite läbipaistvat valikut, mis väldib igale arvutile puhverserveri konfigureerimise igavust
Hea küsimus, olen oma klientide veebilehtedele installinud CAPTCHA tasuta tarkvarasse:
(http: // www. ks7000. net. ve / 2015/04/03 / un-captcha-lihtsalt ja lihtsalt rakendatav /
-Humily, see EI OLE "rämpspost" ega enesereklaam, see on asjakohane-)
Ja ma kujutan ette, et kui kalmaari kasutatakse, siis neid pilte EI laadita uuesti, kuna panen neile sama nime - jah, võin genereerida ka juhuslikke nimesid, ma ei olnud sellele seni mõelnud - ja sama nimega tagastab kalmaar selle, mis on see on vahemälus.
Ilmselt on "puhverserveri" peamine funktsioon salvestada ribalaius piltidega - kõige raskem veebileht - [i] eeldusel, et need pildid on staatilised, need ei muutu aja jooksul, mis kehtib 99% -l piltidest. juhtumeid [/ i].
Kuna aga CAPTCHA-s "pole käivitatud", peame selle varasema salvestusruumi kõrvaldama ja alati uue pildi tagastama.
PANKADEKS - ma saan aru, et Hispaania suurim on «Caixa», sest me loome NÄITE reegli:
acl caixa dstomeen .lacaixa.es
kus:
acl -> käsk reegli loomiseks (lugege uuesti üle hr Isaaci artikkel, ülaltoodud lõigud).
caixa -> reegli nimi.
dtsdomain -> "type" variant näitab, et viidame domeenile, TÄHTIS alguses olev punkt ( http://ww w. lahendada. com / squid / squid24s1 / access_controls.php)
domeen (id) -> kujutan ette, et saame lisada vajalikke domeene, eraldatuna tühikuga; tühikutest rääkides olen need sisestanud näidatud veebilinkidesse, eemaldage need ja teete navigeerimist (ingliskeelsed lehed).
Loodan, et siin esitatud teadmised on teile kasulikud, tänu LinuxAdictos!
Noh, et vastata kalmari LÄBIPAISTVUSE küsimusele JÄLLE, nõuan, et teil peavad olema kesktaseme teadmised ja didaktilistel põhjustel võtan võimalikult palju kokku järgmise artikli (inglise keeles), mis minu arvates räägib sellest teemast väga hästi:
http: // ww w.deckle.co. uk / squid-users-guide /transparent-caching-proxy.html
Märkused:
-Olen lisanud linkidele tühikuid, et vältida minupoolset tagasipingutust (mul pole meeskonnaga absoluutselt mingit pistmist). Linux Adictos, seega ei ole mul volitust nimetatud toimingut teostada).
- SEDA LÄBIPAISTVUSE KOHTA EI TEA! (nad ei õpetanud mind, ma ütlen).
-Aidan teid, kutid, aitan ka ennast, see on koguses lahe! ?
Noh, öeldes, alustame asjaga:
JUST pakkusin lihtsalt hr Isaacile, et saaksime laiendada meie brauserite seadistamist installitud puhverserveriga ja ta tegi seda väga sõbralikult (vau, kust see mees leiab aega, et nii palju asju teha?).
Selle skeemi kohaselt on kalmaari kasutamine VALIKULINE: iga meie kohtvõrgu kasutaja vastutab oma töö tegemise eest, kuid võite kihla vedada, et on olemas mõni "bash-skript", mida saab installida SSH kaudu erinevatesse GNU / Linuxi kasutavatesse arvutitesse.
EELNÕUDED: et meie kalmaaride server töötab nii, nagu hr Isaac selles postituses õpetab, kui oleme seda juba testinud ja "töökoormuse" peale pannud ning see toimib hästi, võime edasi minna.
LÄBIPAISTVUSKAVA ALUSEL:
ESIMENE. - Meie kalmaar peab olema vaikimisi marsruut "gateway" meie "eth0" või "wlan0" - kas mäletate keskmise taseme teadmisi? - Noh, me kehtestame need seal (vaikimisi tehakse seda DHCP-ga sellise teenuse serveri konfigureerimine:
http: // et.wikipe dia.org/wiki/ Dynamic_Host_Configuration_Protocol).
Peame kavandama rikke korral kogu liikluse ümbersuunamise otse meie modemile, kui kalmaar - arvuti, kus see töötab, on töökoormuses ületatud - ja kasutama modemi (de) tüüpi "sild" nii, et nad lähevad väljapoole, see saavutatakse "skripti" loomisega, mis käivitatakse nimetatud sündmusel ja konfigureerib meie DHCP-serveri - mis peaks olema installitud erinevasse arvutisse kui meie Squid -.
MÄRKUS: meie kalmaararvuti sõltub alati selle DHCP-st pärinevast IP-aadressist, kuid samal ajal on sellel DHCP-serveriga teatud "kontroll". Kui soovite töötada fikseeritud IP-aadressidega, saate seda teha, kuid kui lisate rohkem arvuteid VÕI asendate mõned, peate uuesti konfigureerima ja see pole mõte (loe rõõmuga:
ht tps: // fenobarbitaal. wordpress.com/2012/07/23/the-12-reasons-by-who-a-administrator-of-systems-lazy-is-a-good-administrator/)
TEINE MÄRKUS (vt teist punkti): meie modem (id) ja / või ruuteriseadmed peavad DHCP-funktsiooni deaktiveerima ja et neid haldab meie DCHP-server (-milleks kinnitan teile, et sellest tuleb veel üks kirje, mis näitab meile, kuidas mount nimetatud teenus-)
TEINE. - Me peame filtreerima liikluse meie kalmaari serveri suunas. Seda juhul, kui meil on mitu hajutatud ruuterit, mis katavad traadita võrgu piirkonna "wifi", on see endiselt kohtvõrk, kuid keskmise suurusega. Põhimõtteliselt on see sama mis esimeses punktis AGA kui meil on erinevad seadmed VÕI isegi alamvõrgud, peame ka need konfigureerima, seega olge ettevaatlik nendega, kes meist töötavad suurtes ettevõtetes raudu purustades.
KOLMAS. - Meie GNU / Linuxis, kus hostitakse kalmaare, peame suunama pordid ümber ja konfigureerima «tulemüüri» (lugege eelmist artiklit IPTables
http://www.linuxadictos.com/introduccion-a-iptables-configura-un-firewall-en-linux.html )
iptables -t nat -A PREROUTING -p TCP –port 80 -j REDIRECT –porti 3128
ja IPFW-le:
/ sbin / ipfw lisab 3 fwd 127.0.0.1,3128 tcp ükskõik milliselt 80-le
Ütlematagi selge, et me EI SAA selles pordis 80 käitada Apache- või Ngix-serverit - veebilehtede vaikeport- ÜHISED MÕISTED NÄITAVAD, et me ei peaks oma arvutisse rohkem koormust pakkuma, kui kalmaar on "vahemälu" kettaruumist sõltuv.
NELJAS. - Me peame oma kalmaari serveri konfigureerima ja ütlema talle, et see töötab selles režiimis, muutes faili "/etc/squid/squid.conf" nano või kõige enam meeldiva redaktoriga:
http_port 3128 läbipaistev
Samuti peame lubama pakettide edastamise kaustas "/etc/sysctl.conf":
net.ipv4.ip_forward = 1
net.ipv6.conf.all.forwarding = 1
See viimane rida, kui meil on IPv6, on hea seda üks kord tulevikus konfigureerida.
Lõpuks taaskäivitage kalmaariteenus, nagu hr Isaac ülal soovitas, ja taaskäivitage ka võrguteenus:
/etc/init.d/procps.sh taaskäivitage
MÕNI ERRATA USK (või minu poolt mingi jama) annab mulle samamoodi teada, teie kriitika ja kommentaarid on teretulnud;
HÄRRA. ISAAC on moderaator, kellele jääb viimane sõna selles "võitluses".
Selles lühikeses videos näeme, kuidas seadistada Mozilla puhverserveri kasutamiseks, välja arvatud see, et see kasutab ReactOS-iga virtuaalset masinat, kuid see on lühike ja ma arvan, et ILLUSTRATSIOONID, mida soovite siin konfigureerida (link on keelatud tühikutega, eemaldage need ja sirvige):
ht tps: / / www. Youtube. com / watch? v = st47K5t7s-Q
Hakkasin just teie raadiojaama jälgima, olen olnud 2 päeva .. ja väga hea sisuga ..
Tervitused Mehhikost .. (olen õpetaja ja minu liivatera on openSource'i kasutamine)
Ma tahaksin, et aitaksite mind. Ma tahan anda kasutajale privileegi Facebooki näha ja et teised on juba seadistatud piirangutega ja kuidas lubada Interneti-kasutajaid teatud aegadel, ma tahaksin, et te mulle nõu annaksite, aitäh
Ari, mida nad mulle sellega seoses selgitasid, on see, et soovitud masinat pole piiratud, see tuleb välja jätta, kuid seni on mul selgitus olemas, olen ka selles valdkonnas kogenematu
Head ööd, vabandage mind, võib-olla on minu küsimus natuke põhiline, aga hei, ma olen installinud kalmaari ja konfigureerinud sentosele 5.4, installinud veini ja ultrasurfi. Kavatsen teha internetti ultramurfist kalmaaridega. Windowsi masinas XP FreeProxy ja ultrasurfiga ning saan seda probleemideta jagada, aga ma ei tea, kuidas seda Linuxis teha
Ma konsulteerin teiega, mul on selline konfiguratsioon nagu teil, minu puhul suunan porti 80 kuni 8080, kus kalmaar töötab. Probleem on selles, et mõned kasutajad jätavad selle konfiguratsiooni arvutisse ja pääsevad juurde pordi 80 kaudu, kuigi mitte kõik teenused. Seda iptablesiga. Kas teil on aimugi, kus probleem oleks?
Väga kasulik ja hästi selgitatud. Aitäh!
Mul on küsimus, kui tahan luua acl-i, kus seda teha, st mis konfiguratsioonifaili real? Ja kas peaksin kohe panema 2 rida käsu http_access alla, nagu näitate oma postituses? Või kuhu?
Aitäh veel kord!! Tervitused!