Lignji so še en filter na ravni aplikacije ki lahko dopolnjujejo iptables. Squid je predpomnjeni spletni strežnik proxy, je zelo priljubljen in brezplačen ter je večplastni. Čeprav se lahko uporablja za izboljšanje učinkovitosti internetnih povezav, se lahko uporablja tudi zaradi varnosti. Odkar se je projekt začel v devetdesetih letih, je bil Squid zelo napreden in zdaj vam ga predstavljamo, da boste vedeli, kako ga uporabljati.
Za vašo namestitev, lahko dostopate do uradna spletna stran projekta in izberite binarne pakete za svoj operacijski sistem ali distribucijo. Če ga želite namestiti iz paketa izvorne kode s prevajanjem, tudi imate to možnost. Razpoložljivi tarballi so tar.gz, tar.bz2 in tar.xz. Če ne veste, kako namestiti, pojdite na članek, ki ga urejamo v tem blogu kako namestiti kateri koli paket iz linuxa. oko! Če imate Debian ali izpeljanko in ste videli, da je nameščen s sudo "apt-get install squid", lahko pride do napake, ker morate "squid" zamenjati s "squid3", da bo začel veljati. .
Zdaj gremo neposredno k razlagi akcije nekaj primerov uporabe lignjev za zaščito naše opreme. Preden bi rad razložil, da Squid temelji na ACL-jih, to je na seznamu nadzora dostopa ali seznamu nadzora dostopa, torej seznamih, ki podrobno opisujejo dovoljenja za nadzor v tem primeru omrežnega toka in izvajajo filtre, podobne tistim iz iptables, vendar na ravni aplikacije.
Po namestitvi je običajno vključena konfiguracijska datoteka, ki jo najdete v /etc/squid3/squid.conf in prav to moramo urejati z urejevalnikom, kot je nano ali gedit. V njem lahko ustvarimo naša pravila filtriranja, čeprav obstajajo možnosti cache_dir, cache_mem in http_port, bomo slednjo uporabili za naša varnostna pravila. Druga podrobnost je, da ta datoteka določa privzeta vrata, ki jih uporablja storitev Squid, ki je privzeto 3128 (glejte vrstico ali direktivo "http_port 3128" in odstranite #, da jo aktivirate). Če želite, ga lahko spremenite v druga vrata, kot je 8080 ... In še ena stvar je, da konfigurirate ime gostitelja, poiščite komentar "TAG: Visible_hostname" in prikazala se bo vrstica "visible_hostname", kamor morate vnesti svoje ime gostitelja.
Če želite vedeti svoje ime gostitelja, lahko vnesete v terminal:
hostname
In ime, ki se prikaže, dodate v vrstico, pred katero ne sme biti #, da ne bo prezrto kot komentar. To bi izgledalo takole:
ime_host_gostitelja_ime_gosta_prišlo_
Če vidite konfiguracijsko datoteko, boste videli, da je zelo komentirana, če želite preglasiti ustvarjeno pravilo, lahko vrstico začnete z # in ga pretvorite v komentar, s katerim ga Squid ignorira, da ga vrnete v uporabo, izbrišete # in to je to. Dejansko obstaja veliko ustvarjenih in komentiranih pravil, ki jih lahko uporabite tako, da odstranite #. Tako vam ni treba brisati in prepisovati pravil. No, če želite dodati določeno pravilo ali filter, mora imeti ACL in direktivo, ki navaja, kaj storiti.
Mimogrede, ko odstranite #, da aktivirate pravilo, na začetku vrstice ne puščajte presledkov. Na primer:
Napačen način:
http_port 3128
Pravilen način:
http_port 3128
Niste še nič slišali? No, brez skrbi, s Primer vse boste videli veliko bolje. Predstavljajte si to:
acl blokira url_regex kot facebook
http_access zavrne blokiranje
Kaj to pravilo pomeni je, da bo acl z imenom "blokiranje" prepovedoval dostop do URL-ja, ki vsebuje "facebook" (zato, če poskusimo vstopiti v Facebook, bo v brskalniku preskočil napako). Če namesto "zavrni" uporabite "dovoli", bi dovolili dostop, namesto da bi ga prepovedali. Uporabite lahko tudi! Recimo, da želite izključiti na primer, da želite dovoliti dostop do seznama1, ne pa do seznama2:
http_access allow lista1 !lista2
Drug primer je lahko ustvarjanje datoteke / etc / squid3 / ips in vanj shranite seznam IP-jev, do katerih želimo omogočiti dostop. Denimo, da je vsebina dovoljenih ips:
192.168.30.1
190.169.3.250
192.168.1.26
In potem ustvarimo acl za omogočanje dostopa do teh IP-jev:
acl nuevaregla src "/etc/squid3/ipspermitidas"
Precej praktičen primerPredstavljajte si, da vaš računalnik uporabljajo otroci, mlajši od 18 let, in želite omejiti dostop do nekaterih spletnih mest z vsebino za odrasle. Prva stvar je ustvariti datoteko z imenom / etc / squid3 / list z vsebino:
odraslih
porno
sex
poringa
In zdaj v datoteko squid.conf postavimo naslednje pravilo:
acl denegados url_regex "/etc/squid3/lista" http_access allow !denegados
Kot vidiš uporabili smo dovoljenje kar je načeloma dovoljeno, če pa pogledate, smo dodali! zanikati bi bilo torej enakovredno postavitvi:
acl denegados url_regex "/etc/squid3/lista" http_access deny denegados
Ustvarite lahko tudi sezname, ne samo domenskih imen ali IP-jev, kot smo to storili, lahko postavite tudi domene in na primer omeji dostop do domen, kot so .xxx, .gov itd. Oglejmo si primer, ki temelji na prejšnjem pravilu. Ustvarimo datoteko / etc / squid3 / domens, ki vsebuje:
. Edu
.es
.org
In zdaj naše pravilo, da zavrnemo dostop do seznama prepovedanih spletnih mest, ki jih ustvarimo, vendar dovoljujemo dostop do URL-jev s temi domenami:
acl denegados url_regex "/etc/squid3/lista" acl permitidos dstdomain "/etc/squid3/dominios" http_access allow !denegados dominios
RAZŠIRITEV:
Žal, ko sem videl komentarje, sem to spoznal Manjkalo mi je glavno. Omejil sem se na dajanje primerov, kako se uporablja, in pozabil sem to povedati, da zaženem strežnik Squid:
sudo service squid3 start
Preden je začel z "/etc/init.d/squid start", zdaj pa morate uporabiti to drugo vrstico, ki sem jo postavil. Tako kot konfiguracijska datoteka ni več v /etc/squid/squid.conf, temveč v /etc/squid3/squid.conf. Ok, ko so politike filtriranja ustvarjene in jih zaženemo, moramo konfigurirati tudi brskalnik, na primer, če uporabljate Mozilla Firefox ali izpeljane finančne instrumente, lahko odprete konfiguracijski meni (saj veste, tri vrstice) in nato Preferences, Advanced in na zavihku Network kliknite Configuration v razdelku Connection. Tam izberemo Ročno konfiguriranje proxyja in vstavimo svoj IP in vrata, ki jih uporablja Squid, v tem primeru 3128. Izberite tudi "Uporabi isti proxy za vse" in zapustite shranjevanje sprememb.
Prosim, Ne pozabite pustiti svojih komentarjev, dvomi ali karkoli že želite ... Čeprav gre za vadnico daleč nad Squid, upam, da vam pomaga.
hvala !, koristno.
SPET zelo dobro strnjen za nekoliko zapleteno temo, nenehno ponavljam "uporabniška raven: srednja", morali bi vedeti nekaj pojmov o "omrežjih".
POHUMNO menim, da je treba dodati možnost, da naš brskalnik konfigurira tako, da uporablja "proxy", toda ker je ta vnos "UVOD v lignje", se bomo dobro zavedali naslednjega? dostava (končno in z nevarnostjo, da me nagajate, NE pozabite, da ne "posredujete" bančnih spletnih strani in / ali finančnih institucij, ki jih uporabljate doma ali v podjetju).
Živjo, hvala za komentarje. Ja, IPTABLES in Lignji so pregosti, da bi naredili članek, ki bi jih podrobno razložil, zato se morate omejiti na vsakodnevne primere ...
Ampak imate popolnoma prav, zdaj sem ga dodal za konfiguracijo proxyja, načrtoval sem ga in pozabil. Moja krivda.
Lep pozdrav in hvala !!
Uffff "trunk" oprosti, ker se nisem zavedal glavne stvari:
ZAČNI STORITEV :-( brez tega «ni tete» - oprostite mi za pogovorni govor- ZELO USPEŠNO RAZŠIRITEV! 8-)
{popraviti ga je treba pri vsakem zagonu tako, da spremenite "/ sbin / init":
http: // www. ubuntu-es.org/node/ 13012 # .Vsr_SUJVIWw}
{še en lažji način je uporaba "update-rc.d":
https: // parbaedlo. wordpress.com/201/3/03 / setting-start-and-stop-of-services-linux-update-rc-d /}
Povezavam sem dodal presledke, jih odstranil in krmaril boš ;-)
VELIKO HVALA ZA POZORNOST.
LINUX NOVICE: Napad na Linux Mint: okuži namestitvene programe in ogrozi uporabniške poverilnice
http://www.muylinux.com/2016/02/21/ataque-a-linux-mint
Sem ga že objavil, vendar prosim ne pošiljajte drugih strani
NOVICE ANDROID: GM Bot, Android Trojanec, iz katerega izhaja Mazar
http://www.redeszone.net/2016/02/21/gm-bot-el-troyano-para-android-del-que-deriva-mazar/
Pozdravljeni Jimmy, kako narediš, da lignji ne iščejo teh strani namesto tebe? Lepo bi bilo, če bi komentirali pregledno možnost, s katero se izognete težavam pri konfiguriranju proxyja za vsak računalnik
Dobro vprašanje, na spletne strani svojih strank sem namestil CAPTCHA v brezplačno programsko opremo:
(http: // www. ks7000. net. ve / 2015/04/03 / un-captcha-enostavno in enostavno za izvedbo /
-Humly, NI "vsiljena pošta" ali samopromocija, je primerno-)
in predstavljam si, da se pri uporabi lignjev teh slik NE naloži, ker sem jim dal isto ime -ea, lahko tudi generiram naključna imena, o tem nisem razmišljal do zdaj- in z istim imenom Squid vrne tisto, kar ima v "predpomnilniku".
Očitno je glavna naloga "posrednika" prihraniti pasovno širino s slikami - najtežjo na spletni strani - [i] ob predpostavki, da so te slike statične, se s časom ne spreminjajo, kar velja v 99% primerov [/ jaz].
Toda v CAPTCHA, ker "ni pohoda", moramo odstraniti prejšnjo shrambo in vedno vrniti novo sliko.
Kar zadeva banke, razumem, da je največja v Španiji «Caixa», ker bomo ustvarili PRIMER pravilo:
acl caixa dstdomain .lacaixa.es
kje:
acl -> ukaz za ustvarjanje pravila (preberite članek gospoda Isaaca, zgornje odstavke).
caixa -> ime pravila.
dtsdomain -> možnost "type" označuje, da se sklicujemo na domeno, POMEMBNO piko na začetku ( http://ww w.visolve. com / squid / squid24s1 / access_controls.php)
domene (e) -> domnevam, da lahko dodamo domene, ki jih potrebujemo, ločene s presledkom; Ko smo že pri presledkih, sem jih vstavil v navedene spletne povezave, jih odstranil in krmaril se boš (strani v angleščini).
Upam, da vam je tukaj predstavljeno znanje koristno, hvala LinuxAdictos!
No, da bi spet odgovoril na vprašanje PREGLEDNOSTI v Lignji, vztrajam, da moraš imeti znanje na srednji ravni, in iz didaktičnih razlogov bom čim bolj povzel naslednji članek (v angleščini), za katerega menim, da zelo dobro govori o tej temi:
http: // ww w.deckle.co. uk / squid-users-guide /transparent-caching-proxy.html
Opombe:
- Povezavam sem dodal presledke, da se izognem povratnemu pingu (z ekipo nimam prav nič). Linux Adictos, zato nisem pooblaščen za izvedbo navedenega dejanja).
- TEGA O PROZIRNOSTI NISEM VEDEL! (niso me naučili, pravim).
-Pomagam vam, tudi jaz si pomagam, to je kul v količini! ?
No, s tem pa pojdimo na posel:
SAMO sem gospodu Isaacu predlagal, naj nadaljuje s konfiguriranjem naših brskalnikov z nameščenim proxyjem, in to je zelo prijazno storil (vau, kje ta človek najde čas za toliko stvari?).
V skladu s to shemo je uporaba lignjev NEOBVEZNA: vsak uporabnik našega lokalnega omrežja bo odgovoren za svoje delo, lahko pa stavite "trdo srebro proti papirnatim pezetam", da je mogoče namestiti nekaj "bash skripta" prek SSH do različnih računalnikov z GNU / Linuxom.
PREDPOSREDNO: da naš strežnik za lignje deluje, kot uči gospod Isaac v tej objavi, če smo ga že preizkusili in mu dali "delovno obremenitev" in deluje dobro, lahko nadaljujemo naprej.
POD SHEMO PROZORNOSTI:
PRVI.- Naš lignji mora biti privzeta pot »prehod« v našem »eth0« ali »wlan0« - se spomnite srednjeveškega znanja? -, pa ga tam vzpostavimo (to se privzeto opravi z DHCP, TUDI pred tem moramo tudi konfigurirajte strežnik take storitve:
http: // en.wikipe dia.org/wiki/ Dynamic_Host_Configuration_Protocol).
V primeru okvare moramo načrtovati, da ves promet preusmerimo neposredno na naše modeme, če je Squid - računalnik, v katerem teče - preobremenjen s svojo delovno obremenitvijo - in uporabimo modem (-e) tipa "bridge", tako da gredo zunaj, to dosežemo z izdelavo "skripta", ki se sproži v omenjenem dogodku in konfigurira naš strežnik DHCP - ki naj bo nameščen v drugem računalniku kot naš Squid-.
OPOMBA: naš računalnik s Squid bo vedno odvisen od svojega IP naslova iz DHCP-a, hkrati pa bo imel nekaj nadzora nad omenjenim DHCP-strežnikom. Če želite delati s fiksnimi naslovi IP, moči lahko, ko pa dodate več računalnikov ALI ZAMENITE nekatere, jih boste morali znova konfigurirati in to ni ideja (beri z veseljem:
ht tps: // feno barbital. wordpress.com/2012/07/23/the-12-reasons-by-who-a-administrator-of-systems-lazy-is-a-good-administrator/)
DRUGA OPOMBA (glej drugo točko): naši modemi in / ali usmerjevalne naprave morajo deaktivirati funkcijo DHCP in jih upravlja naš strežnik DCHP (- ki vam zagotavljam, da iz tega izhaja še en vnos, ki nam pokaže, kako se montira omenjena storitev-)
DRUGO. - Filtrirati moramo promet do našega strežnika Squid, če imamo več razpršenih usmerjevalnikov, ki pokrivajo območje brezžičnega omrežja "wifi", je to še vedno lokalno omrežje, vendar srednje velikosti. V bistvu je enako kot prva točka, toda če imamo različne naprave ALI TUDI podomrežja, jih moramo tudi konfigurirati, zato bodite previdni pri tistih, ki delamo z "drobljenjem železa" v velikih podjetjih.
TREČE. - V našem GNU / Linux, ki gosti Squid, moramo preusmeriti vrata in konfigurirati «požarni zid» (preberite prejšnji članek IPTables
http://www.linuxadictos.com/introduccion-a-iptables-configura-un-firewall-en-linux.html )
iptables -t nat -A PREDHODNO -p TCP –port 80 -j REDIRECT –to-port 3128
in na IPFW:
/ sbin / ipfw dodajte 3 fwd 127.0.0.1,3128 tcp iz katerega koli v katerega koli 80
Ni treba posebej poudarjati, da na tistih vratih 80 - privzeta vrata spletnih strani - NE moremo zagnati strežnika Apache ali Ngix - PRIPRAVLJENA OBMOČJA POKAZUJE, da ne bi več obremenjevali našega računalnika s Squid-odvisno od prostora na disku za "predpomnilnik" -.
ČETRTI. - Naš strežnik Squid moramo konfigurirati in mu sporočiti, da deluje v tem načinu, tako da spremenimo "/etc/squid/squid.conf" z nano ali urejevalnikom, ki vam je najbolj všeč:
http_port 3128 pregleden
Omogočiti moramo tudi posredovanje paketov v "/etc/sysctl.conf":
net.ipv4.ip_forward = 1
net.ipv6.conf.all.forwarding = 1
To zadnjo vrstico, če imamo IPv6, je dobro nastaviti v prihodnosti.
Končno znova zaženite storitev Squid, kot priporoča g. Isaac zgoraj, in znova zaženite tudi omrežno storitev:
/etc/init.d/procps.sh znova zaženite
NEKAJ VERE V NAPAKE (ali kakšno neumnost z moje strani) mi sporočite na ta način, vaše kritike in komentarji so dobrodošli;
GOSPOD. ISAAC JE MODERATOR, ki bo imel zadnjo besedo v tej "borbi".
V tem kratkem videoposnetku lahko vidimo, kako Mozillo konfigurirati za uporabo proxy strežnika, z izjemo, da uporablja navidezni stroj z ReactOS-om, vendar je kratek in mislim, da ILUSTRIRA, kaj želite tukaj nastaviti (povezava onemogočena s presledki, odstranite jih in brskajte):
ht tps: / / www. Youtube. com / watch? v = st47K5t7s-Q
Ravno sem začel spremljati vašo radijsko postajo, že dva dni sem .. in zelo dobra vsebina ..
Lep pozdrav iz Mehike .. (jaz sem učitelj in moje zrno peska je uporaba odprtega vira)
Želel bi, da mi pomagate. Želim dati privilegij uporabniku, da vidi Facebook, drugi pa imajo že konfigurirane omejitve in kako omogočiti uporabnike interneta ob določenem času. Prosim, da mi svetujete, hvala
Ari, v zvezi s tem so mi razložili, da stroj, ki ga želiš, ni omejen, ampak ga je treba izpustiti, toda do takrat imam razlago, sem tudi neizkušen
Lahko noč, oprostite, mogoče je moje vprašanje nekoliko osnovno, ampak hej, lignje sem namestil in konfiguriral na centos 5.4, namestil vino in ultrasurf, kar nameravam storiti, je deliti internet z ultra surfa z lignji, tudi jaz počnem enako na operacijskem sistemu Windows XP s FreeProxy in ultrasurf in ga lahko brez problema delim, vendar ne vem, kako to narediti v Linuxu
Posvetujem se z vami, imam konfiguracijo, kot je vaša, v mojem primeru preusmerim vrata 80 na 8080, kamor tečejo lignji. Težava je v tem, da nekateri uporabniki to konfiguracijo zapustijo v svojih računalnikih, prekinejo in dostopajo prek vrat 80, čeprav ne vseh storitev. To z iptables. Ali veste, kje bi bil problem?
Zelo koristno in dobro razloženo. Hvala!
Imam vprašanje, kdaj želim ustvariti acl, kje naj to storim, torej v kateri vrstici konfiguracijske datoteke? In naj takoj postavim dve vrstici pod ukaz http_access, kot prikazujete v svojem prispevku? Ali kje?
Hvala še enkrat!! Pozdravi!