Kalmarai yra dar vienas programos lygio filtras kuris gali papildyti „iptables“. „Squid“ yra talpykloje saugomas žiniatinklio tarpinis serveris, jis yra labai populiarus, nemokamas ir yra įvairių platformų. Nors jis gali būti naudojamas gerinant interneto ryšį, jis taip pat gali būti naudojamas saugumo tikslais. Nuo tada, kai projektas prasidėjo 90-aisiais, „Squid“ buvo labai pažengęs ir dabar mes jį pristatome jums, kad mokėtumėte juo naudotis.
Jūsų diegimui, galite pasiekti oficiali projekto svetainė ir pasirinkite savo operacinės sistemos ar paskirstymo dvejetainius paketus. Jei norite jį įdiegti iš šaltinio kodo paketo, taip pat jūs turite tokią galimybę. Galimi vartotojai yra tar.gz, tar.bz2 ir tar.xz. Jei nežinote, kaip įdiegti, galite pereiti į straipsnį, kurį redaguojame šiame tinklaraštyje kaip įdiegti bet kokį paketą iš "Linux". Akis! Jei turite „Debian“ ar išvestinę priemonę ir matėte, kad ji įdiegta su sudo „apt-get install squid“, galite gauti klaidą, nes „squid“ turite pakeisti „squid3“, kad jis įsigaliotų. .
Dabar mes einame tiesiai į veiksmo paaiškinimą keletas pavyzdžių, kaip naudoti kalmarus apsaugoti mūsų įrangą. Prieš norėčiau paaiškinti, kad „Squid“ yra pagrįstas ACL, ty prieigos kontrolės sąraše arba prieigos kontrolės sąraše, tai yra sąrašuose, kuriuose išsamiai aprašomos teisės valdyti tinklo srautus ir įdiegti filtrus, panašius į „iptables“, bet programos lygiu.
Paprastai po įdiegimo įtraukiamas konfigūracijos failas, kurį galima rasti /etc/squid3/squid.conf ir būtent tai turime redaguoti naudodami redaktorių, pvz., „nano“ ar „gedit“. Jame galime sugeneruoti filtravimo taisykles, nors yra parinkčių cache_dir, cache_mem ir http_port, pastarąsias naudosime savo saugumo taisyklėms. Kita detalė yra ta, kad šiame faile nurodomas numatytasis „Squid“ tarnybos prievadas, kuris pagal numatytuosius nustatymus yra 3128 (žr. Eilutę arba direktyvą „http_port 3128“ ir pašalinkite #, kad ją suaktyvintumėte). Jei norite, galite pakeisti jį į kitą prievadą, pvz., 8080 ... Ir dar vienas dalykas, kuris yra būtinas, yra sukonfigūruoti pagrindinį kompiuterį, ieškokite komentaro „TAG: Visible_hostname“ ir pamatysite eilutę „visible_hostname“, kur turite įdėti jūsų pagrindinio kompiuterio vardas.
Norėdami sužinoti pagrindinio kompiuterio vardą, galite įvesti terminalą:
hostname
Pasirodžiusį pavadinimą pridedate jį prie eilutės, prieš kurią neturėtų būti #, kad jis nebūtų ignoruojamas kaip komentaras. Tai reiškia, kad tai atrodytų taip:
matomas_hostname hostname_have_you_ademed
Jei pamatysite konfigūracijos failą, pamatysite, kad jis yra labai komentuojamas, jei norite nepaisyti sukurtos taisyklės, galite pradėti eilutę # ir paverčiate jį komentaru, kuriuo „Squid“ nepaiso, kad jį vėl pradėtumėte naudoti, ištrinsite # ir viskas. Tiesą sakant, yra daug sukurtų ir komentuojamų taisyklių, kurias galite naudoti pašalindami # iš jos. Taigi jums nereikia ištrinti ir perrašyti taisyklių. Na, norint pridėti konkrečią taisyklę ar filtrą, jame turi būti ACL ir direktyva, nurodanti, ką daryti.
Beje, kai pašalinsite #, kad suaktyvintumėte taisyklę, įsitikinkite, kad nepalikote tarpų eilutės pradžioje. Por ejemplo:
Neteisingas būdas:
3128
Teisingas būdas:
3128
Ar nieko negirdėjai? Na nesijaudink, su Pavyzdys viską pamatysite daug geriau. Įsivaizduokite tai:
acl blokuoja url_regex kaip facebook
http_access atmesti blokavimą
Ką reiškia ši taisyklė yra tai, kad acl pavadinimu „blokavimas“ uždraus prieigą prie URL, kuriame yra „facebook“ (todėl jei bandysime įvesti „Facebook“, naršyklėje bus praleista klaida). Jei vietoj „atmesti“ naudojate „leisti“, leistumėte prieigą, o ne uždraustumėte. Taip pat galite naudoti! Pavyzdžiui, jei norite neįtraukti, tarkime, kad norite leisti pasiekti „list1“, bet ne „list2“:
http_access allow lista1 !lista2
Kitas pavyzdys gali būti failo / etc / squid3 / ips leidimas sukūrimas ir jame išsaugokite sąrašą IP, kuriuos norime leisti pasiekti. Pvz., Tarkime, kad leidžiamų ips turinys yra:
192.168.30.1
190.169.3.250
192.168.1.26
Ir tada mes sukuriame acl leisti prieigą prie šių IP:
acl nuevaregla src "/etc/squid3/ipspermitidas"
Gana praktiškas pavyzdysĮsivaizduokite, kad jūsų kompiuteriu naudojasi vaikai iki 18 metų ir norite apriboti prieigą prie tam tikrų suaugusiesiems skirto turinio svetainių. Pirmas dalykas yra sukurti failą pavadinimu / etc / squid3 / list su turiniu:
suaugęs
porno
seksas
poringa
Ir dabar kalmaro.conf failą mes nustatėme šią taisyklę:
acl denegados url_regex "/etc/squid3/lista" http_access allow !denegados
Kaip tu matai mes panaudojome leisti kuris iš principo yra leisti, bet jei pažiūrėsite, mes pridėjome! todėl paneigti būtų tolygu pateikti:
acl denegados url_regex "/etc/squid3/lista" http_access deny denegados
Taip pat galite kurti ne tik domenų vardų ar IP sąrašus, kaip tai darėme, taip pat galite įdėti domenus ir, pavyzdžiui, apriboti prieigą prie domenų, tokių kaip .xxx, .gov ir kt. Pažvelkime į pavyzdį, pagrįstą ankstesne taisykle. Sukuriame failą / etc / squid3 / domains, kuris turi:
. Edu
. Ar
. Org
O dabar mūsų taisyklė, norėdami uždrausti prieigą prie mūsų sukurtų draudžiamų svetainių sąrašo, tačiau suteikdami prieigą prie URL su šiais domenais:
acl denegados url_regex "/etc/squid3/lista" acl permitidos dstdomain "/etc/squid3/dominios" http_access allow !denegados dominios
IŠPLĖTIMAS:
Atsiprašau, pamačiusi komentarus tai supratau Man trūko pagrindinio dalyko. Aš apsiribojau pateikdamas pavyzdžius, kaip jis naudojamas, ir pamiršau tai pasakyti norėdamas paleisti „Squid“ serverį:
sudo service squid3 start
Prieš tai atsikėlęs su „/etc/init.d/squid start“, bet dabar turite naudoti šią kitą eilutę, kurią jums pateikiau. Kaip konfigūracijos failas yra nebe /etc/squid/squid.conf, o /etc/squid3/squid.conf. Gerai, kai bus sukurta filtravimo politika ir ją paleisdami, mes taip pat turėsime sukonfigūruoti naršyklę, pavyzdžiui, jei naudojate „Mozilla Firefox“ ar išvestines priemones, galite pereiti į konfigūravimo meniu (žinote, trys juostos) ir tada Parinktys, Išplėstinė ir skirtuke Tinklas skyriuje Ryšys spustelėkite Konfigūracija. Ten mes pasirenkame rankinį tarpinio serverio konfigūravimą ir įdedame savo IP ir naudojamą kalmarą, šiuo atveju 3128. Taip pat pasirinkite „Visam naudoti tą patį tarpinį serverį“ ir išeikite išsaugodami pakeitimus.
Prašau, Nepamirškite palikti komentarų, abejonių ar ko tik norite ... Nors tai yra pamoka toli virš „Kalmarų“, tikiuosi, kad tai jums padės.
ačiū !, naudinga.
VĖL labai gerai sutelktas šiek tiek sudėtingam dalykui, aš vis sakau „vartotojo lygis: vidutinis“, turėtumėte žinoti keletą sąvokų apie „tinklus“.
NUOLAIDingai manau, kad reikėtų pridėti galimybę sukonfigūruoti mūsų naršyklę naudoti „tarpinį serverį“, tačiau kadangi šis įrašas yra „ĮVADAS į„ Squid ““, mes labai gerai žinosime apie kitą? pristatymas (pagaliau ir rizikuodamas, kad būsiu nemalonus, PRISIMINKITE „nepervesti“ banko tinklalapių ir (arba) finansų įstaigų, kurias naudojate savo namuose ar įmonėje).
Sveiki, aciu uz komentarus. Taip, „IPTABLES“ ir „Squid“ yra per stori, kad būtų galima sukurti straipsnį, kuriame būtų išsamiai paaiškinta, ir jūs turite apsiriboti kasdienių pavyzdžių pateikimu ...
Bet jūs visiškai teisus, aš jį pridėjau dabar norėdamas sukonfigūruoti tarpinį serverį, aš jį planavau ir pamiršau. Mano kaltė.
Linkėjimai ir ačiū !!
Uffff "bagažinė" atsiprašau, kad nesupratau pagrindinio dalyko:
PRADĖKITE PASLAUGĄ :-( be to «nėra jūsų tetos» - atleiskite man už šnekamąją kalbą- LABAI SĖKMINGAI PRATTSTA! 8-)
{kad tai būtų pataisyta kiekviename įkrovime, reikia modifikuoti "/ sbin / init":
http: // www. ubuntu-es.org/node/ 13012 # .Vsr_SUJVIWw}
{kitas lengvesnis būdas yra naudoti "update-rc.d":
https: // parbaedlo. wordpress.com/201 3/03/07 / setting-start-and-stop-of-services-linux-update-rc-d /}
Aš pridėjau tarpų prie nuorodų, pašalinkite juos ir jūs naršysite ;-)
LABAI AČIŪ UŽ JŪSŲ DĖMESĮ.
„LINUX“ NAUJIENOS: „Linux Mint“ ataka: užkrėskite diegėjus ir pažeiskite vartotojo kredencialus
http://www.muylinux.com/2016/02/21/ataque-a-linux-mint
Aš jau jį paskelbiau, bet prašau, nešlamškite kitų puslapių čia
ANDROIDINĖS NAUJIENOS: „GM Bot“, „Android“ Trojan, iš kurio kilo Mazaras
http://www.redeszone.net/2016/02/21/gm-bot-el-troyano-para-android-del-que-deriva-mazar/
Sveiki, Jimmy, kaip tu elgiesi, kad kalmarai neieškotų tų puslapių tavęs? Būtų gerai, jei pakomentuotumėte skaidrią parinktį, kuri išvengtų kiekvieno kompiuterio tarpinio serverio konfigūravimo nuobodulio
Geras klausimas, aš įdiegiau CAPTCHA nemokamoje programinėje įrangoje savo klientų tinklalapiuose:
(http: // www. ks7000. net. ve / 2015/04/03 / un-captcha-lengva ir paprasta įdiegti /
-Nuolankiai, tai NĖRA „šlamštas“ ar savireklama, tikslinga-)
Aš įsivaizduoju, kad naudojant „Squid“ šie vaizdai NĖRA perkraunami, nes dedu tą patį pavadinimą -ea, taip pat galiu generuoti atsitiktinius pavadinimus, apie tai iki šiol negalvojau ir turėdamas tą patį pavadinimą „Squid“ pateikia tai, kas jis yra „talpykloje“.
Akivaizdu, kad pagrindinė „tarpinio serverio“ funkcija yra taupyti pralaidumą vaizdais - sunkiausiu tinklalapio puslapiu - [i] darant prielaidą, kad šie vaizdai yra statiški, jie laikui bėgant nesikeičia, o tai galioja 99 proc. atvejų [/ i].
Kadangi „CAPTCHA“ nėra paleisties, turime pašalinti ankstesnę jos saugyklą ir visada grąžinti naują vaizdą.
Kalbant apie bankus, suprantu, kad didžiausias Ispanijoje yra „Caixa“, nes sukursime PAVYZDŽIO taisyklę:
acl caixa dstomenas .lacaixa.es
kur:
acl -> komanda sukurti taisyklę (perskaitykite pono Izaoko straipsnį, aukščiau esančias pastraipas).
caixa -> taisyklės pavadinimas.
dtsdomain -> "type" parinktis, nurodanti, kad mes nurodome domeną, SVARBU taškas pradžioje ( http://ww w.visolve. com / squid / squid24s1 / access_controls.php)
domenas (-ai) -> Įsivaizduoju, kad galime pridėti mums reikalingus domenus, atskirti tarpu; kalbėdamas apie tarpus, įterpiau juos į nurodytas interneto nuorodas, pašalinkite juos ir naršysite (puslapiai anglų kalba).
Tikiuosi, kad čia pateiktos žinios jums bus naudingos LinuxAdictos!
Na, norėdamas atsakyti į kalmarų SKAIDRUMO KLAUSIMĄ, aš primygtinai reikalauju, kad jūs turėtumėte turėti vidutinio lygio žinių ir dėl didaktinių priežasčių kiek įmanoma apibendrinsiu šį straipsnį (anglų kalba), kuris, mano manymu, labai gerai kalba apie šią temą:
http: // ww w.deckle.co. uk / squid-users-guide /transparent-caching-proxy.html
Pastabos:
-Aš pridėjau tarpų prie nuorodų, kad išvengčiau pingback iš manęs (neturiu visiškai nieko bendra su komanda). Linux Adictos, todėl nesu įgaliotas atlikti minėtų veiksmų).
- TAI APIE Skaidrumą aš nežinojau! (jie manęs nemokė, sakau).
-Padėdamas tau, vaikinai, aš taip pat padedu sau, tai yra šaunu kiekiu! ?
Na, pasakius tai, eikime prie reikalo:
Aš TIK pasiūliau ponui Isaacui išplėsti mūsų naršyklių konfigūravimą su įdiegtu tarpiniu serveriu, ir jis labai maloniai tai padarė (oho, kur šis žmogus randa laiko padaryti tiek daug dalykų?).
Pagal šią schemą kalmarų naudojimas yra NEPRIVALOMAS: kiekvienas mūsų vietinio tinklo vartotojas bus atsakingas už savo darbo atlikimą, tačiau galite lažintis „sidabrinis prieš popierines pesetas“, kad yra koks nors „bash scenarijus“, kurį galima įdiegti per SSH į įvairius kompiuterius, kuriuose veikia GNU / Linux.
IŠANKSTINIS REIKALAVIMAS: kad mūsų „Squid“ serveris veikia taip, kaip moko p. Isaacas šiame įraše, jei mes jau jį išbandėme ir įdėjome „darbo krūvį“ ir jis veikia gerai, galime eiti toliau.
PAGAL Skaidrumo schemą:
PIRMA. - Mūsų kalmarai turi būti numatytasis maršruto „vartai“ mūsų „eth0“ ar „wlan0“ - ar prisimenate vidutinio lygio žinias? - Na, mes juos ten įtvirtiname (tai daroma pagal numatytuosius nustatymus naudojant DHCP konfigūruoti tokios paslaugos serverį:
http: // lt.wikipe dia.org/wiki/ Dynamic_Host_Configuration_Protocol).
Mes turime planuoti sukonfigūruoti, jei nepavyktų, nukreipti visą srautą į savo (-ų) modemą (-us), jei „Squid“ - kompiuteris, kuriame veikia - yra perkrautas savo darbo krūviu, ir naudoti modemo (-ų) tipą „tiltas“, kad jie išeina į lauką, tai pasiekiama sukūrus „scenarijų“, kuris suaktyvinamas minėtame įvykyje ir sukonfigūruoja mūsų DHCP serverį, kuris turėtų būti įdiegtas kitame kompiuteryje nei mūsų „Squid“.
PASTABA: mūsų kalmarų kompiuteris visada priklausys nuo jo IP adreso iš DHCP, BET, tuo pačiu metu jis turės tam tikrą „valdymą“ su minėtu DHCP serveriu. Jei norite dirbti su fiksuotais IP adresais, galite tai padaryti, tačiau pridėję daugiau kompiuterių ARBA PAKEISdami kai kuriuos turėsite sukonfigūruoti dar kartą ir tai nėra idėja (skaitykite su džiaugsmu:
ht tps: // feno barbitalis. wordpress.com/2012/07/23/the-12-reasons-by-who-a-administrator-of-systems-lazy-is-a-good-administrator/)
KITA PASTABA (žr. Antrą punktą): mūsų modemas (-ai) ir (arba) maršrutizatoriai turi išjungti DHCP funkciją ir kad juos valdo mūsų DCHP serveris (-užtikrinu jus, kad iš to dar vienas įrašas parodo, kaip montuoti minėta paslauga-)
ANTRA.- Turime filtruoti srautą į savo „Squid“ serverį, tai jei turime kelis išsklaidytus maršrutizatorius, kurie aprėpia belaidžio tinklo „wifi“ sritį, tai vis tiek yra vietinis tinklas, bet vidutinio dydžio. Iš esmės tai tas pats, kas pirmas taškas, BET, jei turime skirtingus įrenginius ARBA NET potinklius, privalome juos taip pat sukonfigūruoti, todėl būkite atsargūs su tais, kurie dirba „triuškindami lygintuvus“ didelėse įmonėse.
TREČI. - Savo GNU / Linux, kuriame yra „Squid“, turime peradresuoti uostus ir sukonfigūruoti „ugniasienę“ (skaitykite ankstesnį straipsnį „IPTables“)
http://www.linuxadictos.com/introduccion-a-iptables-configura-un-firewall-en-linux.html )
„iptables -t nat -A PREROUTING -p TCP –dport 80 -j REDIRECT –į 3128 prievadą
ir IPFW:
/ sbin / ipfw pridėkite 3 fwd 127.0.0.1,3128 tcp iš bet kurio į 80
Nereikia nė sakyti, kad mes negalime paleisti „Apache“ ar „Ngix“ serverio tame 80 prievade - numatytasis tinklalapių prievadas - BENDROJI JŪSŲ RODIKLIS neapkrauti mūsų kompiuterio daugiau, nes „Squid“ priklauso nuo vietos „talpykloje“ -.
KETVIRTA. - Turime sukonfigūruoti savo „Squid“ serverį ir pasakyti jam, kad jis veikia tokiu režimu, pakeisdami „/etc/squid/squid.conf“ naudodami „nano“ arba labiausiai jums patinkantį redaktorių:
http_port 3128 skaidrus
Taip pat turime įgalinti paketų persiuntimą aplanke „/etc/sysctl.conf“:
net.ipv4.ip_forward = 1
net.ipv6.conf.all.forwarding = 1
Šią paskutinę eilutę, jei turime IPv6, gerai ją sukonfigūruoti ateityje.
Galiausiai iš naujo paleiskite „Squid“ paslaugą, kaip rekomendavo aukščiau ponas Isaacas, taip pat paleiskite tinklo paslaugą:
/etc/init.d/procps.sh paleiskite iš naujo
KAŽKAS TIKRINIMAS KLAIDAIS (ar kokia nors nesąmonė iš mano pusės) praneškite man tuo pačiu būdu, jūsų kritika ir komentarai yra laukiami;
PONAS. ISAAC YRA MODERATORIUS, kuris pasakys paskutinį žodį šioje „kovoje“.
Šiame trumpame vaizdo įraše galime pamatyti, kaip sukonfigūruoti „Mozilla“ naudoti tarpinį serverį, išskyrus tai, kad ji naudoja virtualią mašiną su „ReactOS“, tačiau ji yra trumpa ir manau, kad ILLUSTRATIONS tai, ką norite čia sukonfigūruoti (nuoroda išjungta tarpais, pašalinkite juos ir naršykite):
ht tps: / / www. „YouTube“. com / watch? v = st47K5t7s-Q
Aš ką tik pradėjau sekti jūsų radijo stotį, man buvo 2 dienos .. ir labai geras turinys ..
Sveikinimai iš Meksikos .. (Aš esu mokytojas ir mano smėlio grūdas yra naudoti „openource“)
Norėčiau, kad padėtumėte man, noriu suteikti vartotojui privilegiją matyti „Facebook“ ir kad kiti laikosi jau sukonfigūruotų apribojimų ir kaip įgalinti interneto vartotojus tam tikru metu, norėčiau, kad patartumėte man, ačiū
Ari, ką jie man paaiškino šiuo klausimu, tai, kad norima mašina nėra ribojama, ji turi būti palikta, bet iki tol aš turiu paaiškinimą, aš taip pat esu nepatyręs šia tema
Labanakt, atleisk, gal mano klausimas yra šiek tiek paprastas, bet ei, aš įdiegiau kalmarus ir sukonfigūravau centuose 5.4, įdiegiau vyną ir ultragarsinį banglentę, ką ketinu padaryti, tai pasidalinti internetu iš ultragurfo su kalmarais, aš darau tą patį „Windows“ kompiuteryje „XP“ su „FreeProxy“ ir „ultrasurf“ ir aš galiu juo dalytis be problemų, bet aš nežinau, kaip tai padaryti „Linux“
Aš konsultuojuosi su jumis, turiu tokią konfigūraciją kaip jūsų, mano atveju aš peradresuoju 80 prievadą į 8080, kur veikia kalmarai. Problema ta, kad kai kurie vartotojai palieka šią konfigūraciją savo kompiuteriuose ir prieina per 80 prievadą, nors ne visos paslaugos. Tai su „iptables“. Ar turite idėją, kur būtų problema?
Labai naudinga ir gerai paaiškinta. Dėkoju!
Man kyla klausimas, kada noriu sukurti acl, kur tai daryti, tai yra kurioje konfigūracijos failo eilutėje? Ar turėčiau nedelsiant įdėti 2 eilutes žemiau komandos http_access, kaip parodyta jūsų įraše? Arba kur?
Ačiū dar kartą!! Sveikinimai!