Squidは別のアプリケーションレベルのフィルターです iptablesを補完することができます。 SquidはキャッシュされたWebプロキシサーバーであり、非常に人気があり、無料であり、クロスプラットフォームです。 インターネット接続のパフォーマンスを向上させるために使用できますが、セキュリティ目的にも使用できます。 プロジェクトが90年代に始まって以来、Squidは非常に進歩しており、今ではその使用方法を理解できるように提示しています。
インストール用、あなたはアクセスすることができます プロジェクトの公式ウェブサイト オペレーティングシステムまたはディストリビューションのバイナリパッケージを選択します。 コンパイルしてソースコードパッケージからインストールしたい場合は、 あなたにはそのオプションがあります。 使用可能なtarballは、tar.gz、tar.bz2、およびtar.xzです。 インストール方法がわからない場合は、このブログで編集している記事にアクセスしてください。 Linuxからパッケージをインストールする方法。 眼! Debianまたは派生物を使用していて、sudo "apt-get install squid"でインストールされていることを確認した場合、有効にするには "squid"を "squid3"に置き換える必要があるため、エラーが発生する可能性があります...
今、私たちは直接行動を説明します Squidの使い方の例 私たちの機器を保護するために。 SquidがACL、つまりアクセス制御リストまたはアクセス制御リスト、つまりこの場合はネットワークフローを制御し、iptablesと同様のフィルターを実装するためのアクセス許可を詳細に示すリストに基づいていることを説明する前にアプリケーションレベルで。
通常、インストール後、次の場所にある構成ファイルが含まれます。 /etc/squid3/squid.conf nanoやgeditなどのエディターで編集する必要があるのはこのためです。 その中で、フィルタリングルールを生成できますが、オプションcache_dir、cache_mem、およびhttp_portがありますが、セキュリティルールには後者を使用します。 もう3128つの詳細は、このファイルがSquidサービスで使用されるデフォルトのポートを指定していることです。デフォルトでは3128です(行またはディレクティブ「http_port8080」を参照し、#を削除してアクティブにします)。 必要に応じて、XNUMXなどの別のポートに変更できます...さらに必要なのは、ホスト名を構成することです。コメント「TAG:Visible_hostname」を探すと、ホスト名を入力する必要がある行「visible_hostname」が表示されます。
ホスト名を知るには、ターミナルに次のように入力します。
hostname
また、表示される名前は、コメントとして無視されないように、前に#を付けてはならない行に追加します。 つまり、次のようになります。
visible_hostname hostname_have_you_appeared
構成ファイルを見ると、非常にコメントが付けられていることがわかります。 作成したルールを上書きする場合は、#で行を開始できます。 それをコメントに変換し、Squidはそれを無視して、サービスに戻すには、#を削除します。これで完了です。 実際、#を削除することで使用できる、作成およびコメント化されたルールが多数あります。 したがって、ルールを削除して書き直す必要はありません。 特定のルールまたはフィルターを追加するには、ACLと何をすべきかを示すディレクティブが必要です。
ちなみに、ルールを有効にするために#を削除すると、 行頭にスペースを残さないように注意してください。 例えば、
進入禁止:
http_port 3128
正しい方法:
http_port 3128
何も聞いたことがありませんか? 心配しないでください 例 あなたはすべてがはるかに良く見えるでしょう。 これを想像してみてください:
Facebookとしてurl_regexをブロックするacl
http_access拒否ブロッキング
このルールの意味 「blocking」という名前のACLは、「facebook」を含むURLへのアクセスを禁止します(したがって、Facebookに入ろうとすると、ブラウザーでエラーがスキップされます)。 「拒否」の代わりに「許可」を使用すると、アクセスを禁止する代わりに許可することになります。 使用することもできます! たとえば、除外するには、list1へのアクセスを許可し、list2へのアクセスは許可しないとします。
http_access allow lista1 !lista2
別の例として、許可されたファイル/ etc / squid3 / ipsの作成があります。 その中に、アクセスを許可するIPのリストを保存します。 たとえば、許可されたipsの内容が次のとおりであるとします。
192.168.30.1
190.169.3.250
192.168.1.26
そして、ACLを作成します これらのIPへのアクセスを許可するには:
acl nuevaregla src "/etc/squid3/ipspermitidas"
かなり実用的な例お使いのコンピューターが18歳未満の子供によって使用されており、特定のアダルトコンテンツサイトへのアクセスを制限したいとします。 まず、次の内容の/ etc / squid3 / listというファイルを作成します。
成人
ポルノの
セックス
ポリンガ
そして今 squid.confファイル 次のルールを設定します。
acl denegados url_regex "/etc/squid3/lista" http_access allow !denegados
ご覧のとおり 許可を使用しました これは原則として許可することですが、あなたが見れば私たちは追加しました! したがって、拒否することは、次のように入力することと同じです。
acl denegados url_regex "/etc/squid3/lista" http_access deny denegados
これまでのようにドメイン名やIPだけでなく、リストを作成することもできます。 ドメインを置くこともできます たとえば、.xxx、.govなどのドメインへのアクセスを制限します。 前のルールに基づいた例を見てみましょう。 次のようなファイル/ etc / squid3 /ドメインを作成します。
。エドゥ
.co.uk
.ORG
そして今、私たちのルール、作成した禁止サイトのリストへのアクセスを拒否しますが、これらのドメインのURLへのアクセスを許可します。
acl denegados url_regex "/etc/squid3/lista" acl permitidos dstdomain "/etc/squid3/dominios" http_access allow !denegados dominios
拡張:
申し訳ありませんが、コメントを見たとき、私は気づきました 私は主なものを欠いています。 私はそれがどのように使用されるかの例を示したばかりで、Squidサーバーを起動するためにそれを言うのを忘れました:
sudo service squid3 start
「/etc/init.d/squidstart」が表示される前ですが、今は私が用意したこの別の行を使用する必要があります。 設定ファイルが/etc/squid/squid.confではなく、/ etc / squid3 /squid.confにあるように。 さて、フィルタリングポリシーを作成して開始したら、ブラウザも設定する必要があります。たとえば、Mozilla Firefoxまたはその派生物を使用している場合は、設定メニュー(3128つのバー)に移動してから、 「設定」、「詳細」、および「ネットワーク」タブで、「接続」セクションの「構成」をクリックします。 そこで、[手動プロキシ構成]を選択し、IPとSquidが使用しているポート(この場合はXNUMX)を配置します。また、[すべてに同じプロキシを使用する]を選択し、変更の保存を終了します。
してください コメントを残すことを忘れないでください、疑問、またはあなたが望むものは何でも...それはSquidをはるかに超えるチュートリアルですが、それがあなたの助けになることを願っています。
ありがとう!、役に立ちました。
もう一度、やや複雑な主題について非常によく凝縮されています。私は「ユーザーレベル:中」と言い続けています。「ネットワーク」についてのいくつかの概念を知っておく必要があります。
「プロキシ」を使用するようにブラウザを設定するオプションを追加する必要があると思いますが、このエントリは「Squidの紹介」なので、次のエントリをよく知っていますか? 配達(最後に、そして私を苛立たせる危険を冒して、あなたがあなたの家または会社で使用する銀行のウェブページおよび/または金融機関を「代理」しないことを忘れないでください)。
こんにちは、コメントありがとうございます。 はい、IPTABLESとSquidは厚すぎて、それらを詳細に説明する記事を作成できません。日常の例を示すことに限定する必要があります...
しかし、あなたは絶対に正しいです、私はプロキシを設定するために今それを追加しました、私はそれを計画しました、そして私は忘れました。 私のせい。
ご挨拶ありがとうございます!!
Uffff "trunk"は、主なことを理解していないことをお詫びします。
サービスを開始します:-(それがなければ「あなたの叔母はいない」-口語的なスピーチを許してください-非常に成功した拡張!8-)
{「/ sbin / init」を変更して、起動ごとに修正します。
http:// www。 ubuntu-es.org/node/ 13012#.Vsr_SUJVIWw}
{もうXNUMXつの簡単な方法は、「update-rc.d」を使用することです。
https:// parbaedlo。 wordpress.com/201 3/03/07 / settings-start-and-stop-of-services-linux-update-rc-d /}
リンクにスペースを追加し、それらを削除すると、ナビゲートします;-)
MUCHASGRACIASPORSUATENCIÓN。
Linuxニュース:Linux Mintへの攻撃:インストーラーに感染し、ユーザーの資格情報を危険にさらす
http://www.muylinux.com/2016/02/21/ataque-a-linux-mint
私はすでにそれを投稿しましたが、ここで他のページをスパムしないでください
ANDROID NEWS:GM Bot、Mazarの派生元であるAndroidトロイの木馬
http://www.redeszone.net/2016/02/21/gm-bot-el-troyano-para-android-del-que-deriva-mazar/
こんにちはジミー、イカがあなたのためにそれらのページを検索しないようにするにはどうすればいいですか? 各コンピューターにプロキシを構成する面倒な作業を回避する透過オプションについてコメントするとよいでしょう。
良い質問です。クライアントのWebページの無料ソフトウェアにCAPTCHAをインストールしました。
(http://www。ks7000。net。ve/ 2015/04/03 / un-captcha-easy-and-simple-to-implement /
-謙虚に、それは「スパム」または自己宣伝ではありません、それはケースに来ます-)
Squidを使用すると、同じ名前を付けたためにこれらの画像が再読み込みされないことを想像します-ea、ランダムな名前を生成することもできます、今まで考えていませんでした-そして同じ名前を持つことで、Squidは何を返しますそれは「キャッシュ」にあります。
明らかに、「プロキシ」の主な機能は、画像(Webページの中で最も重い)で帯域幅を節約することです[i]これらの画像は静的であると仮定すると、時間の経過とともに変化しません。これは99%の場合に当てはまります。 [/ 私]。
ただし、CAPTCHAでは、「実行されていない」ため、以前のストレージを削除し、常に新しいイメージを返す必要があります。
銀行については、サンプルルールを作成するため、スペインで最大のものは«Caixa»であると理解しています。
acl caixa dstdomain .lacaixa.es
ここで:
acl->ルールを作成するコマンド(Isaac氏の記事、上記の段落を読み直してください)。
caixa->ルール名。
dtsdomain->「type」オプションは、ドメインを参照していることを示します。重要な先頭のドット( http://ww w.visolve。 com / squid / squid24s1 / access_controls.php)
ドメイン->必要なドメインをスペースで区切って追加できると思います。 スペースについて言えば、示されたWebリンクに挿入し、削除すると、ナビゲートします(英語のページ)。
ここで紹介した知識がお役に立てば幸いです。 LinuxAdictos!
さて、Squid AGAINの透明性の質問に答えるために、私はあなたが中級レベルの知識を持っている必要があると主張し、教訓的な理由から、私が考える次の記事(英語)は主題について非常によく話します:
http:// www.deckle.co。 uk / squid-users-guide /transparent-caching-proxy.html
注意:
-私からのピンバックを避けるために、リンクにスペースを追加しました(私はチームとはまったく関係がありません)。 Linux Adictosしたがって、私には上記のアクションを実行する権限がありません)。
-これは透明性について私は知りませんでした! (彼らは私に教えてくれなかった、と私は言います)。
-あなたたちを助ける私も自分自身を助けます、これは量的にクールです! ?
そうは言っても、ビジネスに取り掛かりましょう。
私はちょうどIsaac氏に、プロキシがインストールされた状態でブラウザーの構成を拡張するように提案しましたが、彼はとても親切にそうしました(うわー、この男はどこでそんなに多くのことをする時間を見つけますか?)。
このスキームでは、Squidの使用はオプションです。ローカルエリアネットワークの各ユーザーが自分の仕事を担当しますが、インストールできる「bashスクリプト」があることを「紙のペセタに対して銀色に強く」することは間違いありません。 .SSH経由でGNU / Linuxを実行しているさまざまなコンピューターに接続します。
前提条件:Squidサーバーがこの投稿でIsaac氏が教えているように機能していること。すでにテストして「ワークロード」をかけ、パフォーマンスが良好であれば、さらに先に進むことができます。
透明性スキームの下で:
FIRST.-私たちのイカは私たちの「eth0」または「wlan0」のデフォルトルート「ゲートウェイ」でなければなりません-中レベルの知識を覚えていますか?-それを確立します(デフォルトではDHCPで実行されます。このようなサービスのサーバーを構成します。
http:// en.wikipe dia.org/wiki/ Dynamic_Host_Configuration_Protocol)。
障害が発生した場合、Squid(サーバーが実行されているコンピューター)がワークロードで過負荷になっている場合は、すべてのトラフィックをモデムに直接リダイレクトするように構成し、モデムを使用して「ブリッジ」と入力するように計画する必要があります。それらは外に出ます。これは、上記のイベントでトリガーされ、DHCPサーバーを構成する「スクリプト」を作成することによって実現されます。DHCPサーバーは、Squidとは別のコンピューターにインストールする必要があります。
注:Squidを搭載したコンピューターは、常にDHCPからのIPアドレスに依存しますが、同時に、前述のDHCPサーバーで何らかの「制御」を行います。 電力の固定IPアドレスで作業したい場合は可能ですが、コンピューターを追加したり、一部を交換したりする場合は、再度構成する必要があり、それは考えられません(喜んで読んでください:
ht tps://フェノバルビタール。 wordpress.com/2012/07/23/the-12-reasons-by-who-a-administrator-of-systems-lazy-is-a-good-administrator/)
別の注意(XNUMX番目のポイントを参照):モデムやルーターデバイスはDHCP機能を無効にする必要があり、それらはDCHPサーバーによって管理されている必要があります(マウント方法を示すために、これから別のエントリが出てくることを保証します)言ったサービス-)
XNUMX番目。-Squidサーバーへのトラフィックをフィルタリングする必要があります。これは、ワイヤレスネットワークエリア「wifi」をカバーする複数の分散ルーターがある場合、ローカルエリアネットワークですが中規模です。 基本的には最初のポイントと同じですが、デバイスやサブネットが異なる場合は、それらも構成する必要があるため、大企業で「アイアンを粉砕する」作業をしている私たちには注意してください。
THIRD.-SquidをホストするGNU / Linuxでは、ポートをリダイレクトし、«ファイアウォール»を構成する必要があります(前の記事IPTablesを読んでください)
http://www.linuxadictos.com/introduccion-a-iptables-configura-un-firewall-en-linux.html )
iptables -t nat -A PREROUTING -p TCP -dport 80 -j REDIRECT -to-port 3128
およびIPFWへ:
/ sbin / ipfw add 3 fwd 127.0.0.1,3128 tcp from any to any 80
言うまでもなく、そのポート80でApacheまたはNgixサーバーを実行することはできません-Webページのデフォルトポート-常識は、Squidを使用してコンピューターにそれ以上の負荷をかけないことを示します-«キャッシュ»のディスク容量に依存します-。
XNUMX番目。-Squidサーバーを構成し、nanoまたは最も好きなエディターで「/etc/squid/squid.conf」を変更して、そのモードで動作していることを通知する必要があります。
http_port3128トランスペアレント
また、「/ etc /sysctl.conf」でパケット転送を有効にする必要があります。
net.ipv4.ip_forward = 1
net.ipv6.conf.all.forwarding = 1
この最後の行にIPv6がある場合は、将来XNUMX回構成することをお勧めします。
最後に、上記のIsaac氏の推奨に従って、Squidサービスを再起動し、ネットワークサービスも再起動します。
/etc/init.d/procps.shrestart
正誤表のいくつかの信仰(または私の側のいくつかのナンセンス)は、同じ方法で私に知らせます、あなたの批判とコメントは大歓迎です。
氏。 ISAACは、この「戦い」の最後の言葉を持つモデレーターです。
この短いビデオでは、ReactOSで仮想マシンを使用することを除いて、プロキシサーバーを使用するようにMozillaを構成する方法を見ることができますが、それは短く、ここで構成したいものを示していると思います(スペースでリンクが無効になっています、それらを削除して参照してください):
ht tps:/ / www。 Youtube。 com / watch?v = st47K5t7s-Q
私はあなたのラジオ局をフォローし始めたばかりです、私は2日です..そして非常に良いコンテンツ..
メキシコからのご挨拶..(私は教師であり、私の砂粒はオープンソースを使用することです)
Facebookを表示する特権をユーザーに付与したいのですが、他のユーザーにはすでに制限が設定されており、特定の時間にインターネットユーザーを有効にする方法を教えてください。ありがとうございます。
アリ、彼らが私にそれについて説明したのは、あなたが望む機械は制限されておらず、それは省略されなければならないということですが、それまで私は説明があります、私もその主題について未経験です
おやすみなさい、すみません、私の質問は少し基本的なものかもしれませんが、ねえ、私はイカをインストールして、centos 5.4に設定し、ワインとウルトラサーフをインストールしました。私がやろうとしているのは、ウルトラサーフからイカとインターネットを共有することです。 FreeProxyとultrasurfを備えたWindowsマシンXPで、問題なく共有できますが、Linuxでそれを行う方法がわかりません
私はあなたに相談します、私はあなたのような構成を持っています、私の場合、私はイカが走るポート80を8080にリダイレクトします。 問題は、すべてのサービスではありませんが、一部のユーザーがその構成をPCに残し、ポート80を介してアクセスすることです。 これはiptablesで。 問題がどこにあるのか分かりますか?
非常に便利でよく説明されています。 ありがとう!
aclを作成したい場合、どこで作成しますか、つまり、構成ファイルのどの行に作成しますか? また、投稿に示されているように、http_accessコマンドの下にすぐに2行を配置する必要がありますか? またはどこ?
再度、感謝します!! ご挨拶!