Squid adalah filter level aplikasi lainnya yang dapat melengkapi iptables. Squid adalah server proxy web yang di-cache, sangat populer dan gratis, dan lintas platform. Meskipun dapat digunakan untuk meningkatkan kinerja koneksi Internet, ini juga dapat digunakan untuk tujuan keamanan. Sejak project dimulai pada tahun 90an, Squid sudah sangat maju dan sekarang kami persembahkan untuk anda agar anda tahu bagaimana cara menggunakannya.
Untuk instalasi Anda, Anda dapat mengakses situs resmi proyek dan pilih paket biner untuk sistem operasi atau distribusi Anda. Jika Anda ingin menginstalnya dari paket kode sumber dengan mengkompilasi juga Anda memiliki pilihan itu. Tarball yang tersedia adalah tar.gz, tar.bz2, dan tar.xz. Jika Anda belum tahu cara instalasinya, Anda bisa masuk ke artikel yang kami edit di blog ini cara menginstal paket apa pun dari linux. mata! Jika Anda memiliki Debian atau turunan dan Anda telah melihat bahwa itu diinstal dengan sudo "apt-get install squid", Anda mungkin mendapatkan kesalahan, karena Anda harus mengganti "squid" dengan "squid3" agar dapat diterapkan .. .
Sekarang kita langsung ke tindakan menjelaskan beberapa contoh bagaimana menggunakan Squid untuk melindungi peralatan kami. Sebelum saya ingin menjelaskan bahwa Squid didasarkan pada ACL, yaitu, pada Daftar Kontrol Akses atau daftar kontrol akses, yaitu, daftar yang merinci izin untuk mengontrol dalam hal ini aliran jaringan dan menerapkan filter yang mirip dengan iptables tetapi di tingkat aplikasi.
Biasanya, setelah penginstalan, file konfigurasi disertakan yang dapat ditemukan di /etc/squid3/squid.conf dan inilah yang harus kita edit dengan editor seperti nano atau gedit. Di dalamnya kami dapat membuat aturan penyaringan kami, meskipun ada opsi cache_dir, cache_mem dan http_port, kami akan menggunakan yang terakhir untuk aturan keamanan kami. Detail lainnya adalah bahwa file ini menetapkan port default yang digunakan oleh layanan Squid, yang secara default adalah 3128 (lihat baris atau petunjuk "http_port 3128" dan hapus # untuk mengaktifkannya). Jika mau, Anda dapat mengubahnya ke port lain seperti 8080 ... Dan hal lain yang diperlukan adalah mengkonfigurasi nama host, cari komentar "TAG: Visible_hostname" dan Anda akan melihat baris "visible_hostname" di mana Anda harus meletakkan nama host Anda.
Untuk mengetahui nama host Anda, Anda dapat mengetik di terminal:
hostname
Dan nama yang muncul Anda tambahkan ke baris yang tidak boleh diawali dengan # agar tidak diabaikan sebagai komentar. Artinya, akan terlihat seperti ini:
visible_hostname hostname_which_you_appeared
Jika Anda melihat file konfigurasi, Anda akan melihat bahwa itu sangat berkomentar, jika Anda ingin mengganti aturan yang dibuat, Anda dapat memulai baris dengan # dan Anda mengubahnya menjadi komentar, yang diabaikan oleh Squid, untuk mengembalikannya ke layanan, Anda menghapus # dan hanya itu. Faktanya, ada banyak aturan yang dibuat dan dikomentari yang dapat Anda gunakan dengan menghapus #. Jadi, Anda tidak perlu menghapus dan menulis ulang aturan. Nah, untuk menambahkan aturan atau filter tertentu, itu harus memiliki ACL dan arahan yang menunjukkan apa yang harus dilakukan.
Ngomong-ngomong, saat Anda menghapus # untuk mengaktifkan aturan, pastikan Anda tidak meninggalkan spasi di awal baris. Sebagai contoh:
Cara yang salah:
http_port 3128
Jalan yang benar:
http_port 3128
Apakah kamu tidak mendengar apapun? Jangan khawatir, dengan Sebuah contoh Anda akan melihat semuanya dengan lebih baik. Bayangkan ini:
acl memblokir url_regex sebagai facebook
http_access menolak pemblokiran
Arti dari aturan ini adalah acl dengan nama "blocking" akan melarang akses ke URL yang mengandung "facebook" (oleh karena itu jika kita mencoba masuk ke facebook maka akan melewatkan error di browser). Jika alih-alih "menolak" Anda menggunakan "izinkan", Anda akan mengizinkan akses alih-alih melarangnya. Anda juga bisa menggunakan! Untuk mengecualikan, misalnya, anggap Anda ingin mengizinkan akses ke list1 tetapi tidak list2:
http_access allow lista1 !lista2
Contoh lain bisa jadi membuat file / etc / squid3 / ips diperbolehkan dan di dalamnya menyimpan daftar IP yang ingin kita izinkan akses. Misalnya, konten ips yang diizinkan adalah:
192.168.30.1
190.169.3.250
192.168.1.26
Dan kemudian kami membuat acl untuk mengizinkan akses ke IP ini:
acl nuevaregla src "/etc/squid3/ipspermitidas"
Contoh yang cukup praktisBayangkan komputer Anda digunakan oleh anak-anak di bawah usia 18 tahun dan Anda ingin membatasi akses ke situs konten dewasa tertentu. Hal pertama adalah membuat file bernama / etc / squid3 / list dengan konten:
dewasa
porno
seks
daun kelor
Dan sekarang masuk file squid.conf kami menempatkan aturan berikut:
acl denegados url_regex "/etc/squid3/lista" http_access allow !denegados
Seperti yang kamu lihat kami telah menggunakan allow yang pada prinsipnya adalah untuk memungkinkan, tetapi jika Anda melihat kami telah menambahkan! untuk menyangkal, oleh karena itu, itu akan setara dengan meletakkan:
acl denegados url_regex "/etc/squid3/lista" http_access deny denegados
Anda juga dapat membuat daftar, tidak hanya nama domain atau IP seperti yang telah kami lakukan, Anda juga bisa meletakkan domain dan misalnya membatasi akses ke domain seperti .xxx, .gov, dll. Mari kita lihat contoh berdasarkan aturan sebelumnya. Kami membuat file / etc / squid3 / domain yang memiliki:
. Edu
. Apakah
. Org
Dan sekarang aturan kami, untuk menolak akses ke daftar situs terlarang yang kami buat, tetapi mengizinkan akses ke URL dengan domain berikut:
acl denegados url_regex "/etc/squid3/lista" acl permitidos dstdomain "/etc/squid3/dominios" http_access allow !denegados dominios
PERPANJANGAN:
Maaf, ketika saya melihat komentar saya menyadarinya Saya telah melewatkan hal utama. Saya telah membatasi diri saya untuk memberikan contoh bagaimana itu digunakan dan saya lupa mengatakan itu untuk memulai server Squid:
sudo service squid3 start
Sebelum memulai dengan "/etc/init.d/squid start", tetapi sekarang Anda harus menggunakan baris lain yang telah saya berikan untuk Anda. Seperti halnya file konfigurasi tidak lagi ada di /etc/squid/squid.conf, tetapi di /etc/squid3/squid.conf. Ok, setelah kebijakan pemfilteran dibuat, dan memulainya, kita juga harus mengkonfigurasi browser, misalnya jika Anda menggunakan Mozilla Firefox atau turunannya, Anda dapat masuk ke menu konfigurasi (Anda tahu, tiga bilah), lalu ke Preferensi, Lanjutan, dan di tab Jaringan, klik Konfigurasi di bagian Koneksi. Di sana, kami memilih konfigurasi proxy Manual dan meletakkan IP kami dan port yang digunakan Squid, dalam hal ini 3128. Juga pilih "Gunakan proxy yang sama untuk semuanya" dan keluar untuk menyimpan perubahan.
Silahkan Jangan lupa tinggalkan komentar Anda, keraguan atau apa pun yang Anda inginkan ... Meskipun tutorial ini jauh di atas Squid, saya harap ini membantu Anda.
terima kasih !, membantu.
Sekali lagi diringkas dengan sangat baik untuk subjek yang agak kompleks, saya terus mengatakan "tingkat pengguna: sedang", Anda harus tahu beberapa pengertian tentang "jaringan".
SAYA dengan rendah hati menganggap bahwa opsi untuk mengkonfigurasi browser kita agar menggunakan "proxy" harus ditambahkan, tetapi karena entri ini adalah "PENGANTAR Squid", kita akan sangat waspada dengan yang berikutnya? pengiriman (akhirnya, dan berisiko mengganggu saya, INGAT untuk tidak "proxy" halaman web perbankan dan / atau lembaga keuangan yang Anda gunakan di rumah atau perusahaan Anda).
Hai, terima kasih atas komentarnya. Ya, IPTABLES dan Squid terlalu tebal untuk membuat artikel yang menjelaskannya secara mendalam dan Anda harus membatasi diri Anda pada contoh sehari-hari ...
Tetapi Anda benar, saya telah menambahkannya sekarang untuk mengkonfigurasi proxy, saya telah merencanakannya dan saya lupa. Salahku.
Salam dan terima kasih !!
Uffff "trunk" maaf karena tidak menyadari hal utama:
MULAI LAYANAN :-( tanpa itu «tidak ada bibimu»-maafkan aku untuk pidato sehari-hari- EKSTENSI SANGAT BERHASIL! 8-)
{memperbaikinya pada setiap boot adalah dengan memodifikasi "/ sbin / init":
http: // www. ubuntu-es.org/node/ 13012 # .Vsr_SUJVIWw}
{cara lain yang lebih mudah adalah menggunakan "update-rc.d":
https: // parbaedlo. wordpress.com/201 3/03/07 / setting-start-and-stop-of-services-linux-update-rc-d /}
Saya telah menambahkan spasi ke tautan, menghapusnya dan Anda akan menavigasi ;-)
TERIMA KASIH BANYAK ATAS PERHATIANNYA.
BERITA LINUX: Serangan di Linux Mint: menginfeksi installer dan kompromi kredensial pengguna
http://www.muylinux.com/2016/02/21/ataque-a-linux-mint
Saya sudah mempostingnya, tapi tolong jangan mengirim spam ke halaman lain di sini
ANDROID NEWS: GM Bot, Android Trojan tempat Mazar diturunkan
http://www.redeszone.net/2016/02/21/gm-bot-el-troyano-para-android-del-que-deriva-mazar/
Halo Jimmy, Bagaimana Anda melakukannya agar cumi-cumi tidak mencari halaman itu untuk Anda? Alangkah baiknya jika Anda mengomentari opsi transparan, yang menghindari kebosanan dalam mengkonfigurasi proxy ke setiap komputer
Pertanyaan bagus, saya telah menginstal CAPTCHA di perangkat lunak gratis di halaman web klien saya:
(http: // www. ks7000. net. ve / 2015/04/03 / un-captcha-easy-and-simple-to-implement /
-Yaah, ini BUKAN "spam" atau promosi diri, itu pantas-)
dan saya membayangkan bahwa ketika menggunakan Squid gambar-gambar ini TIDAK dimuat ulang karena saya memberi nama yang sama pada mereka -ea, saya juga dapat membuat nama acak, saya belum memikirkannya, sampai sekarang- dan dengan memiliki nama yang sama, Squid mengembalikan apa itu ada di "cache".
Jelas sekali fungsi utama dari «proxy» adalah untuk menghemat bandwidth dengan gambar -yang terberat dari halaman web- [i] dengan asumsi bahwa gambar-gambar ini statis, gambar tidak berubah seiring waktu, yang berlaku pada 99% kasus [/ i].
Tapi di CAPTCHA, karena "tidak ada yang berjalan", kita harus menghilangkan penyimpanan sebelumnya dan selalu mengembalikan gambar baru.
BAGI BANK, saya mengerti yang terbesar di Spanyol adalah «Caixa» karena kami akan membuat aturan CONTOH:
acl caixa dstdomain .lacaixa.es
dimana:
acl -> perintah untuk membuat aturan (baca kembali artikel Mr. Isaac, paragraf di atas).
caixa -> nama aturan.
dtsdomain -> opsi "type" untuk menunjukkan bahwa kami merujuk ke domain, PENTING titik di awal ( http://ww w. memecah. com / squid / squid24s1 / access_controls.php)
domain (s) -> Saya membayangkan bahwa kita dapat menambahkan domain yang kita butuhkan, dipisahkan oleh spasi; berbicara tentang spasi, saya telah memasukkannya ke dalam tautan web yang ditunjukkan, menghapusnya dan Anda akan menavigasi (halaman dalam bahasa Inggris).
Semoga ilmu yang disajikan disini bermanfaat bagi anda, terima kasih LinuxAdictos!
BAIK, untuk menjawab pertanyaan TRANSPARANSI di Squid LAGI saya bersikeras bahwa Anda harus memiliki pengetahuan tingkat menengah dan untuk alasan didaktik saya akan merangkum sebanyak mungkin artikel berikut (dalam bahasa Inggris) yang saya anggap berbicara dengan sangat baik tentang subjek:
http: // ww w.deckle.co. uk / squid-users-guide /transparent-caching-proxy.html
Catatan:
-Saya telah menambahkan spasi pada tautan untuk menghindari pingback dari saya (saya sama sekali tidak ada hubungannya dengan tim). Linux Adictos, oleh karena itu saya tidak berwenang melakukan tindakan tersebut).
- INI TENTANG TRANSPARANSI YANG SAYA TIDAK TAHU! (mereka tidak mengajari saya, kataku).
-Membantu kalian, aku juga membantu diriku sendiri, ini keren dalam jumlah! ?
Nah, dengan itu, mari kita mulai bisnis:
Saya HANYA menyarankan kepada Tn. Isaac untuk memperluas konfigurasi browser kami dengan proxy yang terpasang dan dia dengan sangat baik hati melakukannya (wow, di mana orang ini menemukan waktu untuk melakukan banyak hal?).
Di bawah skema ini, penggunaan Squid IS OPTIONAL: setiap pengguna jaringan area lokal kami akan bertanggung jawab untuk melakukan pekerjaan mereka, tetapi Anda dapat bertaruh "sangat kuat terhadap peseta kertas" bahwa ada beberapa "skrip bash" yang dapat diinstal . via SSH ke berbagai komputer yang menjalankan GNU / Linux.
PRASYARAT: bahwa server Squid kami berfungsi seperti yang diajarkan Tn. Isaac dalam posting ini, jika kami telah mengujinya dan meletakkan "beban kerja" di atasnya dan kinerjanya baik, kami dapat melanjutkan ke tahap selanjutnya.
DI BAWAH SKEMA TRANSPARANSI:
PERTAMA.- Squid kita harus menjadi rute default "gateway" di "eth0" atau "wlan0" kita -apakah Anda ingat server pengetahuan tingkat menengah? Dari layanan tersebut:
http: // en.wikipe dia.org/wiki/ Dynamic_Host_Configuration_Protocol).
Kita harus merencanakan untuk mengkonfigurasi, jika terjadi kegagalan, mengarahkan ulang semua lalu lintas ke modem kita secara langsung jika Squid - komputer tempat ia berjalan - kelebihan beban dengan beban kerjanya - dan menggunakan modem jenis "jembatan" sehingga mereka pergi ke luar, ini dicapai dengan membuat "skrip" yang dipicu dalam acara tersebut dan mengkonfigurasi server DHCP kami -yang harus diinstal pada komputer yang berbeda dari Squid kami-.
CATATAN: komputer kita dengan Squid akan selalu bergantung pada alamat IP-nya dari DHCP TETAPI pada saat yang sama ia akan memiliki beberapa "kontrol" dengan server DHCP tersebut. Jika Anda ingin bekerja dengan alamat IP tetap, Anda bisa melakukannya, tetapi ketika Anda menambahkan lebih banyak komputer ATAU GANTI beberapa Anda harus mengkonfigurasi lagi dan itu bukan idenya (baca dengan senang hati:
ht tps: // pheno barbital. wordpress.com/2012/07/23/the-12-reasons-by-who-a-administrator-of-systems-lazy-is-a-good-administrator/)
CATATAN LAINNYA (lihat poin kedua): modem dan / atau perangkat router kami harus menonaktifkan fungsi DHCP dan bahwa mereka diatur oleh server DCHP kami (-yang saya jamin bahwa entri lain keluar dari ini untuk menunjukkan kepada kami cara memasang kata layanan-)
KEDUA.- Kita harus memfilter lalu lintas menuju server Squid kita, ini jika kita memiliki beberapa router yang tersebar yang mencakup area jaringan nirkabel "wifi", itu masih merupakan jaringan area lokal tetapi berukuran sedang. Pada dasarnya ini sama dengan poin pertama TETAPI jika kita memiliki perangkat yang berbeda ATAU BAHKAN subnet, kita harus mengkonfigurasinya juga, jadi berhati-hatilah dengan kita yang bekerja "menghancurkan besi" di perusahaan besar.
KETIGA.- Di GNU / Linux yang menjadi host Squid, kita harus mengarahkan ulang port dan mengkonfigurasi «firewall» (baca artikel sebelumnya IPTables
http://www.linuxadictos.com/introduccion-a-iptables-configura-un-firewall-en-linux.html )
iptables -t nat -A PREROUTING -p TCP –dport 80 -j REDIRECT –ke-port 3128
dan ke IPFW:
/ sbin / ipfw tambahkan 3 fwd 127.0.0.1,3128 tcp dari sembarang ke 80
Tak perlu dikatakan lagi, kita TIDAK DAPAT menjalankan server Apache atau Ngix pada port 80 itu - port default halaman web- INDIKAT UMUMNYA MENUNJUKKAN untuk tidak membebani komputer kita dengan Squid - bergantung pada ruang disk untuk «cache» -.
KEEMPAT.- Kita harus mengkonfigurasi server Squid kita dan memberitahukannya bahwa ia bekerja dalam mode itu dengan memodifikasi "/etc/squid/squid.conf" dengan nano atau editor yang paling Anda sukai:
http_port 3128 transparan
Kita juga harus mengaktifkan penerusan paket di "/etc/sysctl.conf":
net.ipv4.ip_forward = 1
net.ipv6.conf.all.forwarding = 1
Baris terakhir ini jika kita memiliki IPv6, itu bagus untuk mengkonfigurasinya sekali di masa depan.
Terakhir restart service Squid seperti yang direkomendasikan oleh Mr. Isaac diatas dan juga restart service jaringannya:
/etc/init.d/procps.sh mulai ulang
BEBERAPA IMAN DARI ERRATA (atau sesuatu yang tidak masuk akal di pihak saya) beri tahu saya melalui cara yang sama ini, kritik dan komentar Anda diterima;
BAPAK. ISAAC ADALAH MODERATOR yang akan memiliki kata terakhir dalam "pertarungan" ini.
Dalam video singkat ini kita dapat melihat cara mengkonfigurasi Mozilla untuk menggunakan server proxy, dengan pengecualian bahwa ia menggunakan mesin virtual dengan ReactOS, tetapi pendek dan menurut saya ILUSTRAtes yang ingin Anda konfigurasikan di sini (tautan dinonaktifkan dengan spasi, hapus dan telusuri):
ht tps: / / www. Youtube. com / watch? v = st47K5t7s-Q
Saya baru saja mulai mengikuti stasiun radio Anda, saya sudah 2 hari .. dan konten yang sangat bagus ..
Salam dari Meksiko .. (Saya seorang guru dan butiran pasir saya adalah menggunakan opensource)
Saya ingin Anda membantu saya Saya ingin memberikan hak istimewa kepada pengguna untuk melihat Facebook dan yang lain dengan batasan yang sudah dikonfigurasi dan cara mengaktifkan pengguna Internet pada waktu-waktu tertentu Saya ingin Anda memberi tahu saya, terima kasih
Ari, yang mereka jelaskan kepada saya dalam hal ini adalah bahwa mesin yang Anda inginkan tidak dibatasi, harus ditinggalkan, tetapi sampai saat itu saya memiliki penjelasannya, saya juga belum berpengalaman tentang hal itu
Selamat malam, permisi, mungkin pertanyaan saya agak mendasar tapi hei, saya sudah menginstal squid dan mengkonfigurasi centos 5.4, menginstal wine dan ultrasurf, yang ingin saya lakukan adalah berbagi internet dari ultrasurf dengan squid, saya melakukan hal yang sama pada mesin windows XP dengan FreeProxy dan ultrasurf dan saya dapat membagikannya tanpa masalah tetapi saya tidak tahu bagaimana melakukannya di linux
Saya berkonsultasi dengan Anda, saya memiliki konfigurasi seperti milik Anda, dalam kasus saya, saya mengarahkan port 80 ke 8080 di mana squid berjalan. Masalahnya adalah beberapa pengguna meninggalkan konfigurasi itu di PC mereka, dan mengakses melalui port 80, meskipun tidak semua layanan. Ini dengan iptables. Apakah Anda tahu di mana masalahnya?
Sangat berguna dan dijelaskan dengan baik. Terima kasih!
Saya punya pertanyaan, ketika saya ingin membuat acl, di mana saya melakukannya, yaitu, di baris file konfigurasi apa? Dan haruskah saya segera meletakkan 2 baris di bawah perintah http_access seperti yang Anda tunjukkan di posting Anda? Atau dimana?
Terima kasih lagi!! Salam pembuka!