Kalmari on toinen sovellustason suodatin joka voi täydentää iptablesia. Squid on välimuistissa oleva välityspalvelin, se on erittäin suosittu ja ilmainen, ja se on alustojen välinen. Vaikka sitä voidaan käyttää Internet-yhteyksien suorituskyvyn parantamiseen, sitä voidaan käyttää myös turvallisuustarkoituksiin. Projektin alusta 90-luvulla Squid on ollut erittäin edistynyt, ja nyt esitämme sen sinulle, jotta osaat käyttää sitä.
Asennustasi varten, voit käyttää projektin virallinen verkkosivusto ja valitse käyttöjärjestelmän tai jakelun binaaripaketit. Jos haluat asentaa sen lähdekoodipaketista kääntämällä, myös sinulla on tämä vaihtoehto. Saatavilla olevat paketit ovat tar.gz, tar.bz2 ja tar.xz. Jos et tiedä kuinka asentaa, voit siirtyä artikkeliin, jota muokkaamme tässä blogissa minkä tahansa paketin asentaminen Linuxista. silmä! Jos sinulla on Debian tai johdannainen ja olet huomannut, että se on asennettu sudo "apt-get install squid" -ohjelmaan, se voi antaa sinulle virheen, koska sinun on korvattava "squid" "squid3": lla, jotta se tulee voimaan. ..
Nyt siirrymme suoraan toiminnan selittämiseen joitain esimerkkejä kalmarin käytöstä suojaamaan laitteitamme. Ennen kuin haluaisin selittää, että Squid perustuu ACL-luetteloihin, toisin sanoen kulunvalvontaluetteloon tai kulunvalvontaluetteloon, toisin sanoen luetteloihin, joissa kuvataan yksityiskohtaisesti oikeudet hallita tässä tapauksessa verkkovirtaa ja toteuttaa suodattimia, jotka ovat samanlaisia kuin iptables, mutta sovellustasolla.
Normaalisti asennuksen jälkeen sisältyy kokoonpanotiedosto, joka löytyy /etc/squid3/squid.conf ja juuri tätä meidän on muokattava editorilla, kuten nano tai gedit. Siinä voimme luoda suodatussäännöt, vaikka on olemassa vaihtoehtoja cache_dir, cache_mem ja http_port, käytämme jälkimmäistä tietoturvasääntöihimme. Toinen yksityiskohta on, että tämä tiedosto määrittää Squid-palvelun käyttämän oletusportin, joka on oletusarvoisesti 3128 (katso rivi tai direktiivi "http_port 3128" ja poista # aktivoidaksesi sen). Jos haluat, voit vaihtaa sen toiseen porttiin, kuten 8080 ... Ja toinen asia on määrittää isäntänimi, etsi kommentti "TAG: Visible_hostname" ja näet rivin "visible_hostname", johon sinun on lisättävä isäntänimi.
Jos haluat tietää isäntänimesi, voit kirjoittaa päätelaitteeseen:
hostname
Ja näkyviin tulevan nimen lisäät sen riville, jota ei pitäisi edeltää #, jotta sitä ei ohiteta kommenttina. Eli se näyttäisi tältä:
visible_hostname isäntänimi_have_you_ilmoitettu
Jos näet määritystiedoston, huomaat, että se on hyvin kommentoitu, jos haluat ohittaa luodun säännön, voit aloittaa rivin # ja muunnat sen kommentiksi, jolla Squid jättää sen huomiotta, jotta otat sen takaisin käyttöön, poistat # ja siinä kaikki. Itse asiassa on olemassa monia luotuja ja kommentoituja sääntöjä, joita voit käyttää poistamalla #. Joten sinun ei tarvitse poistaa ja kirjoittaa sääntöjä uudelleen. No, tietyn säännön tai suodattimen lisäämiseksi sillä on oltava ACL ja direktiivi, joka ilmoittaa mitä tehdä.
Muuten, kun poistat # aktivoidaksesi säännön, varmista, ettet jätä välilyöntejä rivin alkuun. Esimerkiksi:
Väärällä tavalla:
http_port 3128
Oikea tapa:
http_port 3128
Etkö ole kuullut mitään? No, älä huoli, kanssa Esimerkki näet kaiken paljon paremmin. Kuvittele tämä:
acl estää url_regexin facebookina
http_access estää eston
Mitä tämä sääntö tarkoittaa on, että acl, jonka nimi on "esto", estää pääsyn URL-osoitteeseen, joka sisältää "facebook" (joten jos yritämme päästä Facebookiin, se ohittaa virheen selaimessa). Jos käyt "estä" -kohdan sijaan "salli", sallit pääsyn sen sijaan, että kieltäisit sen. Voit käyttää myös! Voit sulkea pois esimerkiksi, että haluat sallia pääsyn listalle1 mutta et listalle2:
http_access allow lista1 !lista2
Toinen esimerkki voisi olla tiedoston / etc / squid3 / ips sallittu luominen ja tallentaa siihen luettelon IP-osoitteista, joihin haluamme sallia pääsyn. Oletetaan esimerkiksi, että sallittujen ips: n sisältö on:
192.168.30.1
190.169.3.250
192.168.1.26
Ja sitten luomme acl sallia pääsy näihin IP-osoitteisiin:
acl nuevaregla src "/etc/squid3/ipspermitidas"
Melko käytännöllinen esimerkkiKuvittele, että tietokonettasi käyttävät alle 18-vuotiaat lapset ja haluat rajoittaa pääsyä tietyille aikuisille tarkoitetuille sivustoille. Ensimmäinen asia on luoda tiedosto nimeltä / etc / squid3 / list, jonka sisältö on:
aikuinen
porno
sukupuoli
poringa
Ja nyt sisään squid.conf-tiedosto asetimme seuraavan säännön:
acl denegados url_regex "/etc/squid3/lista" http_access allow !denegados
Kuten näet olemme käyttäneet salli jonka periaatteessa sallitaan, mutta jos katsot, olemme lisänneet! kieltää siis vastaisi:
acl denegados url_regex "/etc/squid3/lista" http_access deny denegados
Voit myös luoda luetteloita, ei vain verkkotunnuksista tai IP-osoitteista, kuten olemme tehneet, voit myös laittaa verkkotunnuksia ja esimerkiksi rajoittaa pääsyä verkkotunnuksiin, kuten .xxx, .gov jne. Tarkastellaan esimerkkiä, joka perustuu edelliseen sääntöön. Luomme tiedoston / etc / squid3 / domains, jolla on:
. Edu
.es
. Org
Ja nyt sääntömme, kieltää pääsy luomaamme kiellettyjen sivustojen luetteloon, mutta sallia pääsyn URL-osoitteisiin, joissa on nämä verkkotunnukset:
acl denegados url_regex "/etc/squid3/lista" acl permitidos dstdomain "/etc/squid3/dominios" http_access allow !denegados dominios
LAAJENNUS:
Anteeksi, kun näin kommentit, tajusin sen Minulta puuttuu pääasia. Olen rajoittunut asettamaan esimerkkejä siitä, miten sitä käytetään, ja unohdin sanoa sen aloittaaksesi Squid-palvelimen:
sudo service squid3 start
Ennen kuin se nousi kohtaan "/etc/init.d/squid start", mutta nyt sinun on käytettävä tätä muuta linjaa, jonka olen asettanut. Aivan kuten määritystiedosto ei ole enää tiedostossa /etc/squid/squid.conf, vaan tiedostossa /etc/squid3/squid.conf. Ok, kun suodatuskäytännöt on luotu ja sen käynnistäminen, meidän on myös määritettävä selain, esimerkiksi jos käytät Mozilla Firefoxia tai johdannaisia, voit siirtyä määritysvalikkoon (tiedät, kolme palkkia) ja sitten Asetukset, Lisäasetukset ja napsauta Verkko-välilehdessä Yhteys-osassa Kokoonpano. Siellä valitsemme Manuaalinen välityspalvelimen kokoonpano ja laitamme IP: n ja Squidin käyttämän portin, tässä tapauksessa 3128. Valitse myös "Käytä samaa välityspalvelinta kaikkeen" ja poistu muutosten tallentamisesta.
haluta Älä unohda jättää kommentteja, epäilyksiä tai mitä haluat ... Vaikka se on opetusohjelma kaukana Squidistä, toivon, että se auttaa sinua.
kiitos !, hyödyllinen.
JÄLLEEN hyvin tiivistetty jonkin verran monimutkaisesta aiheesta, sanon jatkuvasti "käyttäjätaso: keskitaso", sinun pitäisi tietää joitain käsitteitä "verkoista".
Uskon nöyrästi, että on lisättävä vaihtoehto määrittää selaimesi käyttämään "välityspalvelinta", mutta koska tämä merkintä on "ESITTELY Squidiin", olemme hyvin tietoisia seuraavasta? toimitus (lopuksi, ja minua voi ärsyttää, MUISTA, ettet "välitä" pankkisi verkkosivuja ja / tai rahoituslaitoksia, joita käytät kotona tai yrityksessä).
Hei, kiitos kommenteista. Kyllä, IPTABLES ja Squid ovat liian paksuja tekemään artikkelin, joka selittää ne perusteellisesti, ja sinun on rajoituttava esittelemään jokapäiväisiä esimerkkejä ...
Mutta olet täysin oikeassa, olen lisännyt sen nyt välityspalvelimen määrittämiseksi, olin suunnitellut sen ja unohdin. Minun vikani.
Terveisiä ja kiitos!
Uffff "runko" anteeksi, että en ymmärtänyt pääasiaa:
ALOITA PALVELU :-( ilman sitä "ei ole tätiäsi" - anteeksi minulle puhepuhe - Hyvin onnistunut laajennus! 8-)
{Korjaamalla se kullekin käynnistykselle muokkaamalla "/ sbin / init":
http: // www. ubuntu-es.org/node/ 13012 # .Vsr_SUJVIWw}
{toinen helpompi tapa on käyttää "update-rc.d":
https: // parbaedlo. wordpress.com/201 3/03/07 / setting-start-and-stop-of-services-linux-update-rc-d /}
Olen lisännyt linkkeihin välilyöntejä, poista ne ja navigoit ;-)
KIITOS PALJON HUOMIOSTANNE.
LINUX-UUTISET: Hyökkäys Linux Mintiin: saastuttaa asentajia ja vaarantaa käyttäjän tunnistetiedot
http://www.muylinux.com/2016/02/21/ataque-a-linux-mint
Olen jo julkaissut sen, mutta älä roskapostaa muita sivuja täällä
ANDROID-UUTISET: GM Bot, Android-troijalainen, josta Mazar on peräisin
http://www.redeszone.net/2016/02/21/gm-bot-el-troyano-para-android-del-que-deriva-mazar/
Hei Jimmy, miten voit tehdä niin, että kalmari ei etsi näitä sivuja sinulle? Olisi mukavaa, jos kommentoit läpinäkyvää vaihtoehtoa, joka välttää välityspalvelimen määrittämisen kuhunkin tietokoneeseen
Hyvä kysymys, olen asentanut CAPTCHA: n vapaaseen ohjelmistoon asiakkaitteni verkkosivuille:
(http: // www. ks7000. net. ve / 2015/04/03 / un-captcha-helppo ja helppo toteuttaa /
-Humily, se EI ole "roskapostia" tai itsensä mainostamista, se on tarkoituksenmukaista-)
ja kuvittelen, että kun käytät kalmaria, näitä kuvia EI ladata uudelleen, koska laitoin niihin saman nimen - niin, voin myös luoda satunnaisia nimiä, en ollut ajatellut sitä, tähän asti - ja jolla on sama nimi, kalmari palauttaa sen, mitä se on välimuistissa.
«Välityspalvelimen» päätehtävä on luonnollisesti säästää kaistanleveyttä kuvilla - verkkosivun raskaimmalla - [i] olettaen, että nämä kuvat ovat staattisia, ne eivät muutu ajan myötä, mikä pätee 99 prosenttiin tapaukset [/ i].
Mutta CAPTCHAsissa, koska "ei ole käynnissä", meidän on poistettava sen edellinen tallennustila ja palautettava aina uusi kuva.
Pankeista ymmärrän, että Espanjan suurin on «Caixa», koska luomme ESIMERKIN säännön:
acl caixa -verkkotunnus .lacaixa.es
missä:
acl -> komento säännön luomiseksi (lue uudelleen Isaacin artikkeli, yllä olevat kappaleet).
caixa -> säännön nimi.
dtsdomain -> "type" -vaihtoehto osoittaa, että viittaamme verkkotunnukseen, TÄRKEÄÄ alussa oleva piste ( http://ww w. ratkaista. com / squid / squid24s1 / access_controls.php)
verkkotunnus (t) -> Kuvittelen, että voimme lisätä tarvitsemamme toimialueet välilyönnillä erotettuna; puhumalla välilyönneistä, olen lisännyt ne ilmoitettuihin linkkeihin, poista ne ja navigoit (sivut englanniksi).
Toivon, että tässä esitetystä tiedosta on sinulle hyötyä! LinuxAdictos!
Hyvin, vastaamaan kysymykseen avoimuudesta kalmarissa JÄLLEEN, vaadin, että sinulla on oltava keskitason tieto ja didaktisista syistä aion tiivistää mahdollisimman paljon seuraavan artikkelin (englanniksi), jonka mielestäni puhuu aiheesta hyvin:
http: // ww w.deckle.co. uk / squid-users-guide /transparent-caching-proxy.html
Huomautuksia:
-Olen lisännyt linkkeihin välilyöntejä välttääkseni pingbackin (minulla ei ole mitään tekemistä joukkueen kanssa). Linux Adictos, joten minulla ei ole oikeutta suorittaa mainittua toimintoa).
- TÄTÄ AVOIMUUDESTA En tiennyt! (he eivät opettaneet minua, sanon).
-Auttamalla teitä, autan myös itseäni, tämä on hienoa määrältään! ?
No, sanottuaan, aloitetaan asia:
Ehdotin vain, että herra Isaac laajentaisi selaintemme määritystä asennetulla välityspalvelimella, ja hän teki sen hyvin ystävällisesti (wow, mistä tämä mies löytää aikaa tehdä niin monia asioita?).
Tämän järjestelmän mukaan kalmari on VALINNAINEN: jokainen lähiverkkomme käyttäjä on vastuussa työnsä suorittamisesta, mutta voit lyödä vetoa «hopea kovaa paperipesetoja vastaan», että on olemassa joitain «bash-komentosarjoja», jotka voidaan asentaa SSH: n kautta useisiin tietokoneisiin, joissa on GNU / Linux.
EDELLINEN: Squid-palvelimemme toimii kuten herra Isaac opettaa tässä viestissä, jos olemme jo testanneet sen ja asettaneet "työmäärän" ja se toimii hyvin, voimme edetä eteenpäin.
AVOIMUUSJÄRJESTELMÄ:
ENSIMMÄINEN. - Kalmarimme on oltava oletusreitti "yhdyskäytävä" "eth0" tai "wlan0" - muistatko keskitason tiedon? - No, me perustamme sen sinne (se tehdään oletusarvoisesti DHCP: n kanssa määritä tällaisen palvelimen palvelin:
http: // fi.wikipe dia.org/wiki/ Dynamic_Host_Configuration_Protocol).
Meidän on suunniteltava konfiguroida vikatilanteessa ohjaamaan koko liikenne modeemillemme suoraan, jos Squid - tietokone, jossa se toimii - on ylikuormitettu työmäärällä - ja käytettävä modeemien tyyppiä "bridge", jotta he menevät ulos, tämä saavutetaan tekemällä "komentosarja", joka laukaistaan mainitussa tapahtumassa ja määrittää DHCP-palvelimemme - joka tulisi asentaa eri tietokoneelle kuin Squid -.
HUOMAUTUS: Squid-tietokoneemme riippuu aina sen DHCP: n IP-osoitteesta, mutta samalla sillä on jonkin verran "hallintaa" mainitun DHCP-palvelimen kanssa. Jos haluat työskennellä kiinteiden IP-osoitteiden kanssa, voit, mutta kun lisäät tietokoneita TAI VAIHTAT jotkut, sinun on määritettävä uudelleen, eikä se ole idea (lue ilolla:
ht tps: // fenobarbitaali. wordpress.com/2012/07/23/the-12-reasons-by-who-a-administrator-of-systems-lazy-is-a-good-administrator/)
MUU HUOMAUTUS (katso toinen kohta): modeemiemme ja / tai reititinlaitteidemme on deaktivoitava DHCP-toiminto ja että niitä ohjaa DCHP-palvelimemme (-varmistan teille, että tästä tulee uusi merkintä osoittamaan meille kuinka mount mainittu palvelu-)
TOINEN. - Meidän on suodatettava liikenne Squid-palvelimellemme, tämä jos meillä on useita hajautettuja reitittimiä, jotka kattavat langattoman verkkoalueen "wifi", se on edelleen lähiverkko, mutta keskikokoinen. Pohjimmiltaan se on sama kuin ensimmäinen kohta, MUTTA, jos meillä on erilaisia laitteita TAI Jopa aliverkkoja, meidän on myös määritettävä ne, joten ole varovainen niiden kanssa, jotka työskentelevät "murskaamalla rautoja" suurissa yrityksissä.
KOLMAS. - Squidiä isännöivässä GNU / Linuxissa meidän on ohjattava portit uudelleen ja määritettävä «palomuuri» (lue edellinen artikkeli IPTables
http://www.linuxadictos.com/introduccion-a-iptables-configura-un-firewall-en-linux.html )
iptables -t nat -A PREROUTING -p TCP –portti 80 -j REDIRECT –porttiin 3128
ja IPFW: lle:
/ sbin / ipfw lisää 3 fwd 127.0.0.1,3128 tcp mistä tahansa 80: een
Lienee tarpeetonta sanoa, että emme voi käyttää Apache- tai Ngix-palvelinta siinä portissa 80 - verkkosivujen oletusportti - YHTEINEN TUNNUS ILMOITTAA, ettemme lisää kuormitusta tietokoneellemme Squid-ohjelmalla, joka riippuu levytilasta «välimuistille» -.
NELJÄS. - Squid-palvelimemme on määritettävä ja ilmoitettava sille, että se toimii kyseisessä tilassa, muuttamalla "/etc/squid/squid.conf" -ohjelmaa nanolla tai editorilla, josta pidät eniten:
http_port 3128 läpinäkyvä
Meidän on myös sallittava pakettien edelleenlähetys tiedostossa "/etc/sysctl.conf":
net.ipv4.ip_forward = 1
net.ipv6.conf.all.forwarding = 1
Tämä viimeinen rivi, jos meillä on IPv6, on hyvä määrittää se kerran tulevaisuudessa.
Käynnistä lopuksi Squid-palvelu uudelleen, kuten herra Isaac edellä on suositellut, ja käynnistä myös verkkopalvelu uudelleen:
/etc/init.d/procps.sh käynnistä uudelleen
JOSIN ERRATA-USKO (tai jotakin hölynpölyä omalta puoleltani) kerro minulle samalla tavalla, kritiikkisi ja kommenttisi ovat tervetulleita;
HERRA. ISAAC on moderaattori, jolla on viimeinen sana tässä "taistelussa".
Tässä lyhyessä videossa voimme nähdä, kuinka Mozilla määritetään käyttämään välityspalvelinta, lukuun ottamatta sitä, että se käyttää virtuaalikonetta ReactOS: n kanssa, mutta se on lyhyt ja mielestäni KUVAA, mitä haluat määrittää täällä (linkki poistettu tiloista, poista ne ja selaa):
ht tps: / / www. Youtube. fi / katsella? v = st47K5t7s-Q
Olen juuri alkanut seurata radioasemaa, olen ollut 2 päivää .. ja erittäin hyvä sisältö ..
Terveisiä Meksikosta .. (Olen opettaja ja minun hiekkajyväni on käyttää opensourcea)
Haluan sinun auttavan minua Haluan antaa etuoikeuden käyttäjälle nähdä Facebook ja että muut ovat jo määritettyjen rajoitusten kanssa ja kuinka Internet-käyttäjät otetaan käyttöön tiettyinä aikoina. Haluaisin sinun neuvovan minua, kiitos
Ari, mitä he selittivät minulle siitä, että haluamaasi konetta ei ole rajoitettu, se on jätettävä pois, mutta siihen asti minulla on selitys, olen myös kokematon aiheesta
Hyvää yötä, anteeksi, ehkä kysymykseni on vähän perusluonteinen, mutta hei, olen asentanut kalmarin ja konfiguroinut sentin 5.4, asentanut viiniä ja ultrasurfia. Aion tehdä jakamaan Internetiä ultraurfista kalmarien kanssa, teen saman Windows-koneessa XP, jossa on FreeProxy ja ultrasurf, ja voin jakaa sen ongelmitta, mutta en tiedä miten se tehdään Linuxissa
Konsultoin sinua, minulla on sellainen kokoonpano kuin sinun, minun tapauksessani ohjaan portin 80 8080, jossa kalmari toimii. Ongelmana on, että jotkut käyttäjät jättävät kyseisen kokoonpanon tietokoneelleen, he peruuttavat pääsyn porttiin 80, vaikka eivät kaikki palvelut. Tämä iptablesin kanssa. Onko sinulla aavistustakaan, missä ongelma olisi?
Erittäin hyödyllinen ja hyvin selitetty. Kiitos!
Minulla on kysymys, kun haluan luoda acl: n, missä teen sen, ts. Missä määritystiedoston rivillä? Ja pitäisikö minun laittaa heti 2 riviä http_access -komennon alle, kuten osoitat viestissäsi? Tai missä?
Kiitos taas!! Terveisiä!