Sotong adalah penapis tahap aplikasi yang lain yang dapat melengkapkan iptables. Squid adalah pelayan proksi web cache, ia sangat popular dan percuma, dan ia adalah platform silang. Walaupun dapat digunakan untuk meningkatkan prestasi sambungan Internet, ia juga dapat digunakan untuk tujuan keselamatan. Sejak projek ini bermula pada tahun 90-an, Squid sangat maju dan sekarang kami membentangkannya kepada anda sehingga anda tahu bagaimana menggunakannya.
Untuk pemasangan anda, anda boleh mengakses laman web rasmi projek dan pilih pakej binari untuk sistem operasi atau pengedaran anda. Sekiranya anda ingin memasangnya dari pakej kod sumber dengan menyusun juga anda mempunyai pilihan itu. Tarball yang ada adalah tar.gz, tar.bz2, dan tar.xz. Sekiranya anda tidak tahu cara memasang, anda boleh pergi ke artikel yang kami edit di blog ini cara memasang sebarang pakej dari linux. mata! Sekiranya anda mempunyai Debian atau derivatif dan anda telah melihat bahawa ia dipasang dengan sudo "apt-get install squid", anda mungkin mendapat ralat, kerana anda harus mengganti "squid" dengan "squid3" agar ia berlaku .. .
Sekarang kita langsung menerangkan tindakan beberapa contoh cara menggunakan Sotong untuk melindungi peralatan kami. Sebelum saya ingin menjelaskan bahawa Squid didasarkan pada ACL, iaitu pada Senarai Kawalan Akses atau senarai kawalan akses, iaitu, menyenaraikan yang memperincikan kebenaran untuk dikendalikan dalam hal ini aliran rangkaian dan menerapkan penapis serupa dengan iptables tetapi di peringkat permohonan.
Biasanya, setelah pemasangan, disertakan fail konfigurasi yang dapat dijumpai di /etc/squid3/squid.conf dan inilah yang mesti kita edit dengan editor seperti nano atau gedit. Di dalamnya kita dapat membuat peraturan penyaringan kita, walaupun ada pilihan cache_dir, cache_mem dan http_port, kita akan menggunakan yang terakhir untuk peraturan keselamatan kita. Perincian lain adalah bahawa fail ini menentukan port lalai yang digunakan oleh perkhidmatan Squid, yang secara lalai adalah 3128 (lihat garis atau arahan "http_port 3128" dan hapus # untuk mengaktifkannya). Sekiranya anda mahu, anda boleh menukarnya ke port lain seperti 8080 ... Dan satu lagi perkara yang perlu ialah mengkonfigurasi nama host, cari komen "TAG: Visible_hostname" dan anda akan melihat baris "visible_hostname" di mana anda mesti meletakkan nama host anda.
Untuk mengetahui nama hos anda, anda boleh menaip terminal:
hostname
Dan nama yang muncul anda menambahkannya ke baris yang tidak seharusnya didahului oleh # sehingga tidak diabaikan sebagai komen. Ia akan kelihatan seperti ini:
kelihatan_hostname hostname_which_you_ muncul
Sekiranya anda melihat fail konfigurasi, anda akan melihatnya berkomentar, jika anda ingin mengesampingkan peraturan yang dibuat, anda boleh memulakan baris dengan # dan anda mengubahnya menjadi komen, dengan mana Squid mengabaikannya, untuk meletakkannya kembali ke perkhidmatan, anda memadamkan # dan itu sahaja. Sebenarnya, ada banyak peraturan yang dibuat dan dikomentari yang boleh anda gunakan dengan membuang #. Oleh itu, anda tidak perlu memadam dan menulis semula peraturan. Baiklah, untuk menambahkan peraturan atau penapis tertentu, ia mesti mempunyai ACL dan arahan yang menunjukkan apa yang harus dilakukan.
Ngomong-ngomong, apabila anda membuang # untuk mengaktifkan peraturan, pastikan anda tidak meninggalkan ruang pada awal baris. Sebagai contoh:
Cara yang salah:
http_port 3128
Cara yang betul:
http_port 3128
Adakah anda tidak mendengar apa-apa? Jangan risau, dengan Satu contoh anda akan melihat semuanya lebih baik. Bayangkan ini:
acl menyekat url_regex sebagai facebook
http_access menafikan penyekat
Apa maksud peraturan ini adalah bahawa acl dengan nama "blocking" akan melarang akses ke URL yang berisi "facebook" (oleh itu jika kita cuba memasukkan Facebook, ia akan melewatkan kesalahan pada penyemak imbas). Sekiranya bukan "tolak" anda menggunakan "izinkan", anda akan membenarkan akses dan bukannya melarangnya. Anda juga boleh menggunakan! Sebagai contoh, untuk mengecualikan, andaikan anda mahu membenarkan akses ke list1 tetapi bukan list2:
http_access allow lista1 !lista2
Contoh lain ialah membuat fail / etc / squid3 / ips yang dibenarkan dan di dalamnya menyimpan senarai IP yang kita mahu membenarkan akses. Contohnya, anggap kandungan ips yang dibenarkan adalah:
192.168.30.1
190.169.3.250
192.168.1.26
Dan kemudian kami membuat acl untuk membenarkan akses ke IP ini:
acl nuevaregla src "/etc/squid3/ipspermitidas"
Contoh yang cukup praktikalBayangkan bahawa komputer anda digunakan oleh kanak-kanak di bawah 18 tahun dan anda ingin menyekat akses ke laman web kandungan dewasa tertentu. Perkara pertama adalah membuat fail yang dipanggil / etc / squid3 / list dengan kandungan:
dewasa
lucah
seks
Poringa
Dan sekarang masuk fail squid.conf kami meletakkan peraturan berikut:
acl denegados url_regex "/etc/squid3/lista" http_access allow !denegados
Seperti yang anda lihat kami telah menggunakan membenarkan yang pada dasarnya adalah membenarkan, tetapi jika anda melihat, kami telah menambah! untuk menafikan, oleh itu, ia sama dengan meletakkan:
acl denegados url_regex "/etc/squid3/lista" http_access deny denegados
Anda juga dapat membuat senarai, bukan hanya nama domain atau IP seperti yang telah kami lakukan, anda juga boleh meletakkan domain dan contohnya menyekat akses ke domain seperti .xxx, .gov, dll. Mari kita lihat contoh berdasarkan peraturan sebelumnya. Kami membuat fail / etc / squid3 / domain yang mempunyai:
.edu
. Adakah
Bhg.
Dan sekarang peraturan kita, untuk menolak akses ke senarai laman web terlarang yang kami buat, tetapi membenarkan akses ke URL dengan domain berikut:
acl denegados url_regex "/etc/squid3/lista" acl permitidos dstdomain "/etc/squid3/dominios" http_access allow !denegados dominios
SAMBUNGAN:
Maaf, ketika saya melihat komen saya menyedari itu Saya kekurangan perkara utama. Saya telah mengehadkan untuk meletakkan contoh bagaimana ia digunakan dan saya lupa mengatakan bahawa untuk memulakan pelayan Squid:
sudo service squid3 start
Sebelum ia bermula dengan "/etc/init.d/squid start", tetapi sekarang anda mesti menggunakan baris lain yang telah saya letakkan untuk anda. Sama seperti fail konfigurasi tidak lagi di /etc/squid/squid.conf, tetapi di /etc/squid3/squid.conf. Ok, setelah dasar penapisan dibuat, dan memulakannya, kita juga mesti mengkonfigurasi penyemak imbas, sebagai contoh, jika anda menggunakan Mozilla Firefox atau derivatifnya, anda boleh pergi ke menu konfigurasi (anda tahu, tiga bar), dan kemudian ke Keutamaan, Lanjutan, dan di tab Rangkaian, klik pada Konfigurasi di bahagian Sambungan. Di sana, kami memilih konfigurasi proksi Manual dan meletakkan IP kami dan port yang digunakan Squid, dalam hal ini 3128. Juga pilih "Gunakan proksi yang sama untuk semuanya" dan keluar menyimpan perubahan.
Sila, Jangan lupa tinggalkan komen anda, keraguan atau apa sahaja yang anda mahukan ... Walaupun ini adalah tutorial yang jauh di atas Sotong, saya harap ia dapat membantu anda.
terima kasih !, membantu.
LAGI sangat padat untuk subjek yang agak rumit, saya terus mengatakan "tahap pengguna: sederhana", anda harus mengetahui beberapa tanggapan mengenai "rangkaian".
SAYA HARUS mempertimbangkan bahawa pilihan untuk mengkonfigurasi penyemak imbas kami untuk menggunakan "proksi" harus ditambahkan, tetapi kerana entri ini adalah "PENGENALAN kepada Sotong", kita akan sangat mengetahui yang berikutnya? penghantaran (akhirnya, dan berisiko mengganggu saya, INGAT untuk tidak "proksi" halaman web perbankan dan / atau institusi kewangan yang anda gunakan di rumah atau syarikat anda).
Hai, terima kasih atas komen. Ya, IPTABLES dan Sotong terlalu tebal untuk membuat artikel yang menerangkannya secara mendalam dan anda harus menghadkan diri anda pada contoh sehari-hari ...
Tetapi anda betul, saya telah menambahkannya sekarang untuk mengkonfigurasi proksi, saya telah merancangnya dan saya terlupa. Salah saya.
Salam dan terima kasih !!
Uffff "trunk" maaf kerana tidak menyedari perkara utama:
MULAKAN PERKHIDMATAN :-( tanpa itu «tidak ada ibu saudara anda»-maafkan saya untuk ucapan sehari-hari- SANGAT BERKESAN! 8-)
{jadikan ia tetap pada setiap but dengan mengubah "/ sbin / init":
http: // www. ubuntu-es.org/node/ 13012 # .Vsr_SUJVIWw}
{cara lain yang lebih mudah adalah menggunakan "update-rc.d":
https: // parbaedlo. wordpress.com/201 3/03/07 / setting-start-and-stop-of-services-linux-update-rc-d /}
Saya telah menambah ruang pada pautan, membuangnya dan anda akan menavigasi ;-)
TERIMA KASIH SANGAT BAGI PERHATIAN ANDA.
BERITA LINUX: Serangan pada Linux Mint: menjangkiti pemasang dan menjejaskan kelayakan pengguna
http://www.muylinux.com/2016/02/21/ataque-a-linux-mint
Saya sudah menerbitkannya, tetapi jangan spam halaman lain di sini
BERITA ANDROID: GM Bot, Trojan Android yang berasal dari Mazar
http://www.redeszone.net/2016/02/21/gm-bot-el-troyano-para-android-del-que-deriva-mazar/
Helo Jimmy, bagaimana anda melakukannya supaya sotong tidak mencari halaman tersebut untuk anda? Alangkah baiknya jika anda mengomentari pilihan telus, yang mengelakkan kebosanan mengkonfigurasi proksi ke setiap komputer
Soalan baik, saya telah memasang CAPTCHA dalam perisian percuma di laman web pelanggan saya:
(http: // www. ks7000. net. ve / 2015/04/03 / un-captcha-senang-dan-mudah-untuk dilaksanakan /
-Humily, BUKAN "spam" atau promosi diri, wajar-)
Dan saya membayangkan bahawa ketika menggunakan Squid, gambar-gambar ini TIDAK dimuat semula kerana saya meletakkan nama yang sama padanya -ea, saya juga dapat menghasilkan nama-nama rawak, saya belum memikirkannya, sehingga sekarang- dan dengan nama yang sama, Squid mengembalikan apa yang terdapat dalam "cache."
Tentunya fungsi utama «proksi» adalah untuk menjimatkan lebar jalur dengan gambar-yang paling berat dari laman web- [i] dengan anggapan bahawa gambar ini statik, ia tidak berubah dari masa ke masa, yang berlaku dalam 99% kes [/ i].
Tetapi di CAPTCHA, kerana "tidak ada perarakan", kita mesti menghilangkan simpanan sebelumnya dan selalu mengembalikan gambar baru.
BAGI BANK, saya faham yang terbesar di Sepanyol adalah «Caixa» kerana kami akan membuat peraturan CONTOH:
acl caixa dstdomain .lacaixa.es
di mana:
acl -> perintah untuk membuat peraturan (baca semula artikel Mr Isaac, perenggan di atas).
caixa -> nama peraturan.
dtsdomain -> pilihan "type" untuk menunjukkan bahawa kita merujuk kepada domain, PENTING titik di awal ( http://ww w. menyelesaikan. com / squid / squid24s1 / access_controls.php)
domain -> Saya membayangkan bahawa kita dapat menambahkan domain yang kita perlukan, dipisahkan oleh spasi; bercakap tentang ruang Saya telah memasukkannya ke dalam pautan web yang ditunjukkan, membuangnya dan anda akan menavigasi (halaman dalam bahasa Inggeris).
Semoga ilmu yang disampaikan ini bermanfaat kepada anda, terima kasih kepada LinuxAdictos!
BAIK, untuk menjawab persoalan TRANSPARENSI dalam Sotong LAGI saya menegaskan bahawa anda mesti mempunyai pengetahuan tahap pertengahan dan atas sebab-sebab didaktik, saya akan meringkaskan sebanyak mungkin artikel berikut (dalam bahasa Inggeris) yang saya anggap dapat membicarakan topik ini dengan baik:
http: // ww w.deckle.co. uk / sotong-pengguna-panduan /transparent-caching-proxy.html
Nota:
-Saya telah menambah ruang pada pautan untuk mengelakkan pingback daripada saya (saya langsung tiada kaitan dengan pasukan). Linux Adictos, oleh itu saya tidak diberi kuasa untuk menjalankan tindakan tersebut).
- INI MENGENAI TRANSPARENSI, SAYA TIDAK TAHU! (mereka tidak mengajar saya, saya katakan).
-Membantu kalian, saya juga menolong saya, ini adalah kuantiti yang hebat! ?
Oleh itu, mari kita pergi ke perniagaan:
Saya HANYA mencadangkan kepada Encik Isaac untuk memperluas konfigurasi penyemak imbas kami dengan proksi yang dipasang dan dia sangat ramah (wow, di manakah lelaki ini mempunyai masa untuk melakukan banyak perkara?).
Di bawah skema ini, penggunaan Squid ADALAH PILIHAN: setiap pengguna rangkaian kawasan tempatan kami akan bertanggungjawab untuk melakukan tugas mereka, tetapi anda boleh bertaruh "perak keras terhadap peseta kertas" bahawa terdapat beberapa "skrip bash" yang dapat dipasang melalui SSH ke pelbagai komputer yang menjalankan GNU / Linux.
PRA-KEPERLUAN: bahawa pelayan Squid kami berfungsi seperti yang diajarkan oleh Encik Isaac dalam catatan ini, jika kita telah mengujinya dan meletakkan "beban kerja" di atasnya dan ia berkinerja baik, kita dapat terus melangkah lebih jauh.
DI BAWAH SKIM TRANSPARENSI:
PERTAMA. - Sotong kami mestilah laluan "gateway" lalai dalam "eth0" atau "wlan0" kami - adakah anda ingat pengetahuan tahap sederhana? Pelayan perkhidmatan sedemikian:
http: // en.wikipe dia.org/wiki/ Dynamic_Host_Configuration_Protocol).
Kita mesti merancang untuk mengkonfigurasi, sekiranya berlaku kegagalan, mengarahkan semua lalu lintas ke modem kita secara langsung jika Squid - komputer di mana ia berjalan - dibebani dengan beban kerjanya - dan menggunakan jenis "jambatan" modem mereka pergi ke luar, ini dicapai dengan membuat "skrip" yang dipicu dalam peristiwa tersebut dan mengkonfigurasi pelayan DHCP kami-yang harus dipasang pada komputer yang berbeza daripada Squid kami-.
CATATAN: komputer kita dengan Squid akan selalu bergantung pada alamat IP-nya dari DHCP TETAPI pada masa yang sama ia akan mempunyai beberapa "kawalan" dengan pelayan DHCP tersebut. Sekiranya anda ingin bekerja dengan alamat IP tetap, berkuasa, anda boleh, tetapi apabila anda menambahkan lebih banyak komputer ATAU GANTI beberapa anda perlu mengkonfigurasi lagi dan bukan idea (baca dengan senang hati:
ht tps: // pheno barbital. wordpress.com/2012/07/23/the-12-reason-by-who-a-administrator-of-systems-lazy-is-a-good-administrator/)
CATATAN LAIN (lihat titik kedua): modem kami dan / atau peranti penghala mesti menyahaktifkan fungsi DHCP dan bahawa ia diatur oleh pelayan DCHP kami (-yang saya jamin bahawa entri lain keluar dari ini untuk menunjukkan kepada kami bagaimana pemasangan kata perkhidmatan-)
KEDUA.- Kita mesti menyaring lalu lintas ke pelayan Squid kita, ini jika kita mempunyai beberapa penghala tersebar yang meliputi kawasan rangkaian tanpa wayar "wifi", ia masih merupakan rangkaian kawasan setempat tetapi bersaiz sederhana. Pada dasarnya ia sama dengan titik pertama TETAPI jika kita mempunyai peranti yang berlainan ATAU BAHAGIAN subnet, kita mesti mengkonfigurasinya juga, jadi berhati-hatilah dengan kita yang bekerja "menghancurkan besi" di syarikat besar.
KETIGA.- Di GNU / Linux kami yang menjadi tuan rumah Squid, kita mesti mengarahkan port dan mengkonfigurasi «firewall» (baca artikel sebelumnya IPTables
http://www.linuxadictos.com/introduccion-a-iptables-configura-un-firewall-en-linux.html )
iptables -t nat -A PREROUTING -p TCP –dport 80 -j REDIRECT -to-port 3128
dan ke IPFW:
/ sbin / ipfw tambahkan 3 fwd 127.0.0.1,3128 tcp dari mana-mana hingga 80
Tidak perlu dikatakan, kita TIDAK BOLEH menjalankan pelayan Apache atau Ngix di port itu 80-port lalai laman web- INDIKASI SENSE UMUM untuk tidak meletakkan lebih banyak beban pada komputer kita dengan Squid-bergantung pada ruang cakera untuk «cache» -.
KEEMPAT.- Kita mesti mengkonfigurasi pelayan Squid kita dan mengatakan bahawa ia berfungsi dalam mod itu dengan mengubah "/etc/squid/squid.conf" dengan nano atau editor yang paling anda sukai:
http_port 3128 telus
Kita juga mesti mengaktifkan penghantaran paket dalam "/etc/sysctl.conf":
net.ipv4.ip_forward = 1
net.ipv6.conf.all.forwarding = 1
Baris terakhir ini jika kita mempunyai IPv6, ada baiknya kita mengkonfigurasinya sekali lagi di masa hadapan.
Akhirnya mulakan semula perkhidmatan Squid seperti yang disyorkan oleh Mr Isaac di atas dan mulakan semula perkhidmatan rangkaian:
/etc/init.d/procps.sh mulakan semula
BEBERAPA KEYAKINAN ERRATA (atau omong kosong dari pihak saya) beritahu saya dengan cara ini, kritikan dan komen anda dialu-alukan;
ENCIK. ISAAC ADALAH MODERATOR yang akan mempunyai kata terakhir dalam "pertarungan" ini.
Dalam video pendek ini, kita dapat melihat bagaimana mengkonfigurasi Mozilla untuk menggunakan pelayan proksi, dengan pengecualian bahawa ia menggunakan mesin maya dengan ReactOS, tetapi pendek dan saya rasa ia MENGHASILKAN apa yang anda ingin konfigurasikan di sini (pautan dilumpuhkan dengan ruang, alih keluar dan semak imbas):
ht tps: / / www. Youtube. com / tonton? v = st47K5t7s-Q
Saya baru mula mengikuti stesen radio anda, saya telah 2 hari .. dan kandungan yang sangat baik ..
Salam dari Mexico .. (Saya seorang guru dan pasir saya menggunakan sumber terbuka)
Saya ingin anda menolong saya, saya ingin memberikan keistimewaan kepada pengguna untuk melihat Facebook dan yang lain mempunyai sekatan yang telah dikonfigurasikan dan bagaimana membolehkan pengguna Internet pada masa-masa tertentu saya ingin anda menasihati saya, terima kasih
Ari, apa yang mereka jelaskan kepada saya dalam hal ini adalah bahawa mesin yang anda mahukan tidak terhad, ia harus ditinggalkan, tetapi sehingga saya mempunyai penjelasan, saya juga tidak berpengalaman
Selamat malam, maafkan saya, mungkin soalan saya agak asas tetapi hei, saya telah memasang sotong dan dikonfigurasi pada centos 5.4, memasang wain dan ultrasurf, apa yang saya ingin lakukan ialah berkongsi internet dari ultrasurf dengan sotong, saya juga melakukan perkara yang sama pada mesin windows XP dengan FreeProxy dan ultrasurf dan saya boleh membagikannya tanpa masalah tetapi saya tidak tahu bagaimana melakukannya di linux
Saya berunding dengan anda, saya mempunyai konfigurasi seperti anda, dalam kes saya, saya mengarahkan port 80 hingga 8080 di mana sotong berjalan. Masalahnya ialah sebilangan pengguna meninggalkan konfigurasi tersebut di PC mereka, dan mengakses melalui port 80, walaupun tidak semua perkhidmatan. Ini dengan iptables. Adakah anda mempunyai idea di mana masalahnya?
Sangat berguna dan dijelaskan dengan baik. Terima kasih!
Saya mempunyai soalan, ketika saya ingin membuat acl, di mana saya boleh melakukannya, iaitu, dalam baris fail konfigurasi apa? Dan perlukah saya segera meletakkan 2 baris di bawah arahan http_access seperti yang anda tunjukkan dalam catatan anda? Atau di mana?
Terima kasih sekali lagi!! Salam!