Squid je ďalší filter na úrovni aplikácie ktoré môžu dopĺňať iptables. Squid je webový proxy server vo vyrovnávacej pamäti, je veľmi populárny a bezplatný a má rôzne platformy. Hoci sa dá použiť na zlepšenie výkonu internetových pripojení, dá sa použiť aj na bezpečnostné účely. Od začiatku projektu v 90. rokoch bol Squid veľmi pokročilý a teraz vám ho predstavujeme, aby ste vedeli, ako ho používať.
Pre vašu inštaláciu, máte prístup k oficiálna webová stránka projektu a vyberte binárne balíčky pre váš operačný systém alebo distribúciu. Ak ho chcete nainštalovať z balíka zdrojových kódov aj kompiláciou máš tú možnosť. Dostupné tarbally sú tar.gz, tar.bz2 a tar.xz. Ak neviete, ako nainštalovať, môžete prejsť na článok, o ktorom upravujeme v tomto blogu ako nainštalovať akýkoľvek balík z linuxu. oko! Ak máte Debian alebo derivát a videli ste, že je nainštalovaný pomocou sudo „apt-get install squid“, môže vám to spôsobiť chybu, pretože aby ste nadobudli účinnosť, musíte nahradiť „squid“ výrazom „squid3“. ..
Teraz prejdeme priamo k vysvetleniu akcie niekoľko príkladov, ako používať Squid na ochranu nášho vybavenia. Predtým, ako by som chcel vysvetliť, že Squid je založený na ACL, teda na Access Control List alebo Access Control List, teda zoznamoch, ktoré podrobne popisujú oprávnenie na riadenie v tomto prípade sieťového toku a implementáciu filtrov podobných filtrom iptables, ale na aplikačnej úrovni.
Spravidla je po inštalácii zahrnutý konfiguračný súbor, ktorý nájdete v /etc/squid3/squid.conf a práve toto musíme upravovať pomocou editora ako nano alebo gedit. V ňom môžeme vygenerovať naše pravidlá filtrovania, aj keď existujú možnosti cache_dir, cache_mem a http_port, pre bezpečnostné pravidlá ich použijeme. Ďalším detailom je, že tento súbor určuje predvolený port používaný službou Squid, ktorý je predvolene 3128 (aktiváciu nájdete v riadku alebo smernici „http_port 3128“ a odstránením znaku #). Ak chcete, môžete ho zmeniť na iný port ako 8080 ... A ďalšia vec, ktorá je potrebná, je konfigurácia názvu hostiteľa, vyhľadajte komentár „TAG: Visible_hostname“ a uvidíte riadok „visible_hostname“, kam musíte vložiť vaše meno hostiteľa.
Ak chcete vedieť svoje meno hostiteľa, môžete napísať do terminálu:
hostname
A meno, ktoré sa objaví, ho pridáte do riadku, za ktorým by nemal byť uvedený znak #, aby nebol ignorovaný ako komentár. To znamená, že by to vyzeralo takto:
viditeľné_názov_hostiteľa_názov_hostiteľa_ktoré_sú_objavené
Ak uvidíte konfiguračný súbor, uvidíte, že je veľmi komentovaný, ak chcete prepísať vytvorené pravidlo, môžete riadok začať znakom # a transformujete ho na komentár, s ktorým ho Squid ignoruje, aby ste ho znova uviedli do prevádzky, odstránite # a je to. V skutočnosti existuje veľa vytvorených a komentovaných pravidiel, ktoré môžete použiť odstránením #. Pravidlá teda nemusíte mazať a prepisovať. Ak chcete pridať konkrétne pravidlo alebo filter, musí obsahovať zoznam ACL a smernicu, ktorá označuje, čo treba robiť.
Mimochodom, keď odstránite # na aktiváciu pravidla, na začiatku riadku nenechajte medzery, Napríklad:
Zlým smerom:
http_port 3128
Správny spôsob:
http_port 3128
Nepočula si nič? No nebojte sa príklad uvidíte všetko oveľa lepšie. Predstavte si toto:
blokovanie acl url_regex ako facebook
http_access odmietnuť blokovanie
Čo toto pravidlo znamená je to, že acl s názvom „blocking“ zakáže prístup na URL, ktorá obsahuje „facebook“ (preto ak sa pokúsime vstúpiť na Facebook, preskočí chybu v prehliadači). Ak namiesto „odmietnuť“ použijete „povoliť“, namiesto zakázania by ste prístup povolili. Môžete tiež použiť! Ak chcete napríklad vylúčiť, že chcete povoliť prístup do zoznamu1, ale nie do zoznamu2:
http_access allow lista1 !lista2
Ďalším príkladom môže byť vytvorenie povoleného súboru / etc / squid3 / ips a do nej uložiť zoznam adries IP, ku ktorým chceme povoliť prístup. Predpokladajme napríklad, že obsah povolených ips je:
192.168.30.1
190.169.3.250
192.168.1.26
A potom vytvoríme ACL povoliť prístup k týmto adresám IP:
acl nuevaregla src "/etc/squid3/ipspermitidas"
Pekný praktický príkladPredstavte si, že váš počítač používajú deti do 18 rokov a chcete obmedziť prístup na niektoré stránky s obsahom pre dospelých. Prvá vec je vytvoriť súbor s názvom / etc / squid3 / list s obsahom:
dospelý
porno
pohlavia
poringa
A teraz v súbor squid.conf dáme nasledujúce pravidlo:
acl denegados url_regex "/etc/squid3/lista" http_access allow !denegados
Ako vidíš použili sme povoliť čo je v zásade povolené, ale ak sa pozriete, pridali sme! poprieť by to teda bolo rovnocenné s uvedením:
acl denegados url_regex "/etc/squid3/lista" http_access deny denegados
Môžete tiež vytvárať zoznamy nielen doménových mien alebo adries IP, ako sme to vytvorili my, môžete tiež vložiť domény a napríklad obmedziť prístup k doménam ako .xxx, .gov atď. Pozrime sa na príklad založený na predchádzajúcom pravidle. Vytvoríme súbor / etc / squid3 / domains, ktorý má:
. Edu
.es
.org
A teraz naše pravidlo, odmietnuť prístup k zoznamu zakázaných webov, ktoré vytvárame, ale povoliť prístup k adresám URL s týmito doménami:
acl denegados url_regex "/etc/squid3/lista" acl permitidos dstdomain "/etc/squid3/dominios" http_access allow !denegados dominios
ROZŠÍRENIE:
Prepáčte, keď som uvidel komentáre, uvedomil som si to Chýbalo mi to hlavné. Obmedzil som sa na uvádzanie príkladov toho, ako sa používa, a zabudol som povedať, že na spustenie servera Squid:
sudo service squid3 start
Predtým, ako to vyšlo s „/etc/init.d/squid start“, teraz však musíte použiť tento ďalší riadok, ktorý som pre vás dal. Rovnako ako konfiguračný súbor už nie je v /etc/squid/squid.conf, ale v /etc/squid3/squid.conf. Dobre, po vytvorení zásad filtrovania a po ich spustení musíme nakonfigurovať aj prehľadávač, napríklad ak používate prehliadač Mozilla Firefox alebo jeho deriváty, môžete prejsť do ponuky konfigurácie (viete, tri pruhy) a potom na Predvoľby, Spresniť a na karte Sieť kliknite na Konfigurácia v časti Pripojenie. Tam vyberieme Manuálnu konfiguráciu proxy a dáme našu IP a port, ktorý Squid používa, v tomto prípade 3128. Taktiež zvoľte „Použiť na všetky rovnaký proxy server“ a ukončite ukladanie zmien.
prosím Nezabudnite zanechať svoje komentáre, pochybnosti alebo čokoľvek chcete ... Aj keď je to tutoriál ďaleko nad Squidom, dúfam, že vám pomôže.
ďakujem !, užitočné.
ZNOVA veľmi zhustený pre trochu zložitú tému, stále hovorím „používateľská úroveň: stredná“, mali by ste vedieť niečo o „sieťach“.
SKVELO sa domnievam, že by mala byť pridaná možnosť nakonfigurovať náš prehliadač na použitie „proxy“, ale keďže je tento záznam „ÚVOD do Squidu“, budeme si veľmi dobre vedomí toho nasledujúceho? doručenie (konečne a s rizikom, že budem otravný, PRIPOMÍNAJTE, aby ste „nezabezpečili“ bankové webové stránky a / alebo finančné inštitúcie, ktoré používate vo svojej domácnosti alebo spoločnosti).
Ahoj, ďakujem za komentáre. Áno, IPTABLES a Squid sú príliš silné na to, aby vytvorili článok, ktorý ich podrobne vysvetľuje a musíte sa obmedziť na uvádzanie každodenných príkladov ...
Ale máte úplnú pravdu, teraz som to pridal na konfiguráciu proxy, plánoval som to a zabudol som. Moja chyba.
Zdravím a ďakujem !!
Uffff „kufor“ prepáčte, že ste si neuvedomili hlavnú vec:
ZAČNITE SLUŽBU :-( bez toho „niet tvojej tety“ - prepáčte mi za hovorový prejav- VEĽMI ÚSPEŠNÉ ROZŠÍRENIE! 8-)
{oprava pri každom štarte je úpravou "/ sbin / init":
http: // www. ubuntu-es.org/node/ 13012 # .Vsr_SUJVIWw}
{ďalším ľahším spôsobom je použitie súboru „update-rc.d“:
https: // parbaedlo. wordpress.com/201 3/03/07 / nastavenie-spustenie-a-zastavenie-služieb-linux-update-rc-d /}
Do odkazov som pridal medzery, odstráňte ich a budete navigovať ;-)
ĎAKUJEM VÁM VEĽMI PEKNE ZA VAŠU POZORNOSŤ.
NOVINKA LINUX: Útok na Linux Mint: infikujte inštalatérov a kompromitujte prihlasovacie údaje používateľov
http://www.muylinux.com/2016/02/21/ataque-a-linux-mint
Už som to zverejnil, ale prosím, nespamujte tu ďalšie stránky
SPRÁVY PRE ANDROID: GM Bot, trójsky kôň pre Android, od ktorého je Mazar odvodený
http://www.redeszone.net/2016/02/21/gm-bot-el-troyano-para-android-del-que-deriva-mazar/
Ahoj Jimmy, ako to robíš, aby squid nevyhľadával tieto stránky za teba? Bolo by pekné, keby ste komentovali transparentnú možnosť, ktorá zabráni zdĺhavému konfigurovaniu servera proxy pre každý počítač
Dobrá otázka, na webové stránky svojich klientov som nainštaloval CAPTCHA vo voľnom softvéri:
(http: // www. ks7000. net. ve / 2015/04/03 / un-captcha-easy-and-simple-to-implement /
-Ponížene, nejde o „spam“ alebo sebapropagáciu, k prípadu to predsa len príde-)
a predstavujem si, že keď používam Squid, tieto obrázky NIE sú načítané znova, pretože im vložím rovnaké meno -ea, môžem tiež generovať náhodné mená, doteraz som nad tým nerozmýšľal- a tým, že budem mať rovnaký názov, Squid vráti to, čo má to v „cache“.
Je zrejmé, že hlavnou funkciou servera „proxy“ je ukladanie šírky pásma pomocou obrázkov - najťažšej webovej stránky - [i] za predpokladu, že tieto obrázky sú statické, v priebehu času sa nemenia, čo je pravda v 99% prípadov [/ i].
Ale v CAPTCHAs, keďže „nie je spustený“, musíme vylúčiť jeho predchádzajúce úložisko a vždy vrátiť nový obrázok.
Pokiaľ ide o banky, chápem, že najväčšou v Španielsku je «Caixa», pretože vytvoríme PRÍKLADOVÉ pravidlo:
acl caixa dstdomain .lacaixa.es
kde:
acl -> príkaz na vytvorenie pravidla (znovu si prečítajte článok pána Isaaca, odseky vyššie).
caixa -> názov pravidla.
dtsdomain -> možnosť „type“ na označenie toho, že odkazujeme na doménu, DÔLEŽITÉ bodka na začiatku ( http://ww w.vyviesť. com / squid / squid24s1 / access_controls.php)
domény -> Predstavujem si, že môžeme pridať domény, ktoré potrebujeme, oddelené medzerou; keď už hovoríme o medzerách, vložil som ich do označených webových odkazov, odstráňte ich a budete navigovať (stránky v angličtine).
Dúfam, že tu prezentované znalosti sú pre vás užitočné, vďaka LinuxAdictos!
DOBRE, k odpovedi na otázku TRANSPARENTNOSŤ v Squid ZNOVU trvám na tom, že musíte mať vedomosti na strednej úrovni a z didaktických dôvodov čo najskôr zhrniem nasledujúci článok (v angličtine), ktorý podľa mňa hovorí o tejto téme veľmi dobre:
http: // ww w.deckle.co. uk / squid-users-guide /transparent-caching-proxy.html
Poznámky:
-Do odkazov som pridal medzery, aby som sa vyhol spätnému pingu odo mňa (s tímom nemám absolútne nič spoločné). Linux Adictos, preto nie som oprávnený vykonať uvedený úkon).
- TOTO O TRANSPARENTNOSTI som NEVEDEL! (nehovorili ma, hovorím).
-Pomáham vám, chlapci, pomáham si tiež, toto je v pohode čo sa týka množstva! ?
Po tom, čo sme povedali, poďme na vec:
JEN som JA navrhol pánovi Isaacovi, aby rozšíril konfiguráciu našich prehliadačov s nainštalovaným proxy serverom a on to veľmi láskavo urobil (wow, kde si tento muž nájde čas na toľko vecí?).
V rámci tejto schémy je použitie programu Squid NEPOVINNÉ: každý používateľ našej miestnej siete bude zodpovedný za vykonávanie svojej práce, ale môžete staviť «strieborné proti papierovým pesetám», že existuje nejaký «bash skript», ktorý je možné nainštalovať cez SSH na rôzne počítače so systémom GNU / Linux.
PREDPOKLAD: že náš server Squid pracuje tak, ako to v tomto príspevku učí pán Isaac, ak sme ho už otestovali a nasadili mu „pracovné zaťaženie“ a funguje dobre, môžeme ísť ďalej.
V RÁMCI TRANSPARENTNÉHO REŽIMU:
PRVÉ. - Náš Squid musí byť predvolenou cestou „brány“ v našom „eth0“ alebo „wlan0“ - pamätáte si vedomosti na strednej úrovni? -, no, my to tam zavedieme (štandardne sa to robí s DHCP, TAKME musíme tiež nakonfigurovať server takejto služby:
http: // en.wikipe dia.org/wiki/ Dynamic_Host_Configuration_Protocol).
Musíme naplánovať, aby sme v prípade zlyhania nakonfigurovali presmerovanie všetkej premávky na naše modemy priamo, ak je Squid - počítač, na ktorom beží - preťažený svojim pracovným zaťažením - a používame „most“ typu „most“ tak, aby idú von, je to dosiahnuté vytvorením „skriptu“, ktorý sa spustí v uvedenej udalosti, a nakonfiguruje náš server DHCP, ktorý by sa mal nainštalovať na iný počítač ako náš Squid.
POZNÁMKA: náš počítač so Squidom bude vždy závisieť od jeho adresy IP z DHCP, ALE súčasne bude mať určitú „kontrolu“ s uvedeným serverom DHCP. Ak chcete pracovať s pevnými IP adresami, môžete to urobiť, ale keď pridáte viac počítačov ALEBO VYMEŇTE niektoré, budete ich musieť znova nakonfigurovať a nie je to tak (prečítajte si s potešením:
ht tps: // fenobarbital. wordpress.com/2012/07/23/the-12-reasons-by-who-a-administrator-of-systems-lazy-is-a-good-administrator/)
ĎALŠIA POZNÁMKA (pozri druhý bod): naše modemy a / alebo smerovacie zariadenia musia deaktivovať funkciu DHCP a že sú riadené našim serverom DCHP (- čím vás ubezpečujem, že z toho vychádza ďalší záznam, ktorý nám ukáže, ako sa pripojiť uvedená služba-)
DRUHÉ. - Musíme filtrovať prenos smerom k nášmu serveru Squid, ak máme niekoľko rozptýlených smerovačov, ktoré pokrývajú oblasť bezdrôtovej siete „wifi“, je to stále lokálna sieť, ale strednej veľkosti. V zásade je to to isté ako prvý bod, ALE ak máme rôzne zariadenia ALEBO AJ PODSIEŤ, musíme ich tiež nakonfigurovať, takže buďte opatrní s tými z nás, ktorí vo veľkých spoločnostiach pracujú „drvením železa“.
TRETIE - V našom GNU / Linuxe, ktorý hostí Squid, musíme presmerovať porty a nakonfigurovať «firewall» (prečítajte si predchádzajúci článok IPTables
http://www.linuxadictos.com/introduccion-a-iptables-configura-un-firewall-en-linux.html )
iptables -t nat -A PREROUTING -p TCP –port 80 -j REDIRECT -na port 3128
a do IPFW:
/ sbin / ipfw pridať 3 fwd 127.0.0.1,3128 tcp z ktorejkoľvek na ľubovoľnú 80
Netreba dodávať, že NEMÔŽEME spustiť server Apache alebo Ngix na tomto porte 80 -predvolený port webových stránok- INDIKÁTY SPOLOČNÉHO ZMYSLU, aby sme viac nezaťažovali náš počítač funkciou Squid nezávislou na disku pre «cache» -.
ŠTVRTÝ. - Musíme nakonfigurovať náš server Squid a povedať mu, že pracuje v tomto režime, úpravou súboru „/etc/squid/squid.conf“ pomocou nano alebo editora, ktorý sa vám páči najviac:
http_port 3128 transparentné
Musíme tiež povoliť preposielanie paketov v „/etc/sysctl.conf“:
net.ipv4.ip_forward = 1
net.ipv6.conf.all.forwarding = 1
Tento posledný riadok, ak máme IPv6, je dobré nakonfigurovať ho raz v budúcnosti.
Nakoniec reštartujte službu Squid podľa odporúčaní pána Isaaca vyššie a tiež reštartujte sieťovú službu:
/etc/init.d/procps.sh reštart
NIEKTORÁ VIERA CHYB (alebo z mojej strany nejaký nezmysel) dajte mi vedieť rovnakým spôsobom, vaše kritiky a pripomienky sú vítané;
PÁN. ISAAC JE MODERÁTOR, ktorý bude mať posledné slovo v tomto „boji“.
V tomto krátkom videu vidíme, ako nakonfigurovať Mozillu na používanie proxy servera, s výnimkou toho, že používa virtuálny počítač s ReactOS, ale je krátky a myslím si, že to tu ILUSTRAČUJE, čo tu chcete nakonfigurovať (odkaz zakázaný medzerami, odstráňte ich a prehliadajte):
ht tps: / / www. YouTube. com / watch? v = st47K5t7s-Q
Práve som začal sledovať vašu rozhlasovú stanicu, bol som 2 dni .. a veľmi dobrý obsah ..
Pozdrav z Mexika .. (Som učiteľ a mojim zrnkom piesku je použitie opensource)
Bol by som rád, keby ste mi pomohli Chcem dať používateľovi oprávnenie vidieť Facebook a ostatných, ktorí majú obmedzenia už nakonfigurované a ako umožniť používateľom internetu v určitých časoch Bol by som rád, keby ste mi poradili, ďakujem
Ari, vysvetlili mi o tom to, že požadovaný stroj nie je obmedzený, musí sa vynechať, ale dovtedy mám vysvetlenie a som v tejto veci tiež neskúsený.
Dobrú noc, prepáčte, možno je moja otázka trochu základná, ale hej, nainštaloval som chobotnicu a nakonfiguroval som ju na centos 5.4, nainštaloval som víno a ultrazvuk, čo mám v úmysle urobiť, je zdieľať internet z ultrazvuku s chobotnicou, robím to isté na Windows XP s FreeProxy a ultrasurf a môžem to bez problémov zdieľať, ale neviem, ako to urobiť v linuxe
Poradím sa s vami, mám konfiguráciu ako vy, v mojom prípade presmerujem port 80 na 8080, kde beží chobotnica. Problém je v tom, že niektorí používatelia ponechajú túto konfiguráciu na svojom počítači a pristupujú cez port 80, aj keď nie všetky služby. To s iptables. Máte predstavu, kde by bol problém?
Veľmi užitočné a dobre vysvetlené. Vďaka!
Mám otázku, keď chcem vytvoriť ACL, kde to urobím, to znamená v akom riadku konfiguračného súboru? A mal by som okamžite dať 2 riadky pod príkaz http_access, ako ukazuješ vo svojom príspevku? Alebo kde?
Ešte raz ďakujem!! Zdravím vás!