Squid është një tjetër filtër i nivelit të aplikimit të cilat mund të plotësojnë iptables. Squid është një server proxy i memorizuar në internet, është shumë popullor dhe falas dhe është ndër-platformor. Megjithëse mund të përdoret për të përmirësuar performancën e lidhjeve në Internet, mund të përdoret gjithashtu për qëllime sigurie. Që kur projekti filloi në vitet '90, Squid ka qenë shumë i avancuar dhe tani ne jua paraqesim atë në mënyrë që ju të dini se si ta përdorni atë.
Për instalimin tuaj, ju mund të përdorni faqja zyrtare në internet e projektit dhe zgjidhni paketat binare për sistemin tuaj operativ ose shpërndarjen. Nëse dëshironi ta instaloni nga paketa e kodit burimor duke përpiluar, gjithashtu ju e keni atë mundësi. Tarballët në dispozicion janë tar.gz, tar.bz2 dhe tar.xz. Nëse nuk dini si të instaloni, mund të shkoni te artikulli për të cilin ne editojmë në këtë blog si të instaloni ndonjë paketë nga linux. sy! Nëse keni një Debian ose derivat dhe keni parë që është instaluar me sudo "apt-get install kallamar", mund të merrni një gabim, sepse duhet të zëvendësoni "kallamarin" me "squid3" që ajo të hyjë në fuqi ...
Tani ne shkojmë direkt në veprim duke shpjeguar disa shembuj se si të përdorim Squid për të mbrojtur pajisjet tona. Para se të doja të shpjegoja që Squid bazohet në ACL, domethënë në Listën e Kontrollit të Hyrjes ose listën e kontrollit të hyrjes, domethënë listat që detajojnë lejet për të kontrolluar në këtë rast rrjedhën e rrjetit dhe zbatimin e filtrave të ngjashëm me ato të iptables por në nivelin e aplikimit.
Normalisht, pas instalimit, përfshihet një skedar konfigurimi që mund të gjendet në /etc/squid3/squid.conf dhe ky është ai që ne duhet të redaktojmë me një redaktor si nano ose gedit. Në të mund të gjenerojmë rregullat tona të filtrimit, megjithëse ka mundësi cache_dir, cache_mem dhe http_port, ne do t'i përdorim këto të fundit për rregullat tona të sigurisë. Një detaj tjetër është se kjo skedar specifikon portin e parazgjedhur të përdorur nga shërbimi Squid, i cili si parazgjedhje është 3128 (shikoni vijën ose direktivën "http_port 3128" dhe hiqni # për ta aktivizuar atë). Nëse dëshironi mund ta ndryshoni në një port tjetër si 8080 ... Dhe një tjetër gjë që është e nevojshme është të konfiguroni emrin e hostit, kërkoni komentin "TAG: Visible_hostname" dhe do të shihni një rresht "dukshëm_hostname" ku duhet të vendosni emri i hostit
Për të njohur emrin e hostit tuaj, mund të shkruani në terminal:
hostname
Dhe emrin që shfaqet, ju e shtoni në rreshtin që nuk duhet të paraprihet nga # në mënyrë që të mos injorohet si koment. Domethënë, do të dukej kështu:
emri i host_ dukshëm_host_ që ju u shfaqët
Nëse shihni skedarin e konfigurimit, do të shihni se është shumë i komentuar, nëse doni të anuloni një rregull të krijuar, mund ta filloni rreshtin me # dhe ju e shndërroni atë në një koment, me të cilin Squid e injoron atë, për ta vënë përsëri në shërbim, ju fshini # dhe kaq. Në fakt, ka shumë rregulla të krijuara dhe të komentuara që mund të përdorni duke hequr # nga ajo. Kështu që nuk keni pse të fshini dhe rishkruani rregullat. Epo, për të shtuar një rregull specifik ose filtër, ai duhet të ketë një ACL dhe një direktivë që tregon se çfarë të bësh.
Nga rruga, kur hiqni një # për të aktivizuar një rregull, sigurohuni që të mos lini hapësira në fillim të rreshtit. Për shembull:
Mënyra e gabuar:
http_port 3128
Mënyra e saktë:
http_port 3128
Nuk keni dëgjuar asgjë? Epo mos u shqetëso, me Nje shembull do të shihni gjithçka shumë më mirë. Imagjinoni këtë:
bllokimi i acl url_regex si facebook
http_access mohojnë bllokimin
Çfarë do të thotë kjo rregull është se acl me emrin "bllokim" do të ndalojë hyrjen në URL që përmban "facebook" (prandaj nëse përpiqemi të futemi në Facebook do të kalojë një gabim në shfletuesin). Nëse në vend të "mohoni" përdorni "lejoni", ju do të lejonit hyrjen në vend që ta ndalonit atë. Ju gjithashtu mund të përdorni! Për të përjashtuar, për shembull, supozoni se dëshironi të lejoni hyrjen në listën1, por jo në listën2:
http_access allow lista1 !lista2
Një shembull tjetër mund të jetë krijimi i një skedari / etj / squid3 / ip të lejuara dhe në të ruani një listë të IP-ve që duam të lejojmë hyrjen. Për shembull, supozoni se përmbajtja e ip-eve të lejuara është:
192.168.30.1
190.169.3.250
192.168.1.26
Dhe pastaj ne krijojmë acl për të lejuar hyrjen në këto IP:
acl nuevaregla src "/etc/squid3/ipspermitidas"
Një shembull mjaft praktikImagjinoni që kompjuteri juaj përdoret nga fëmijë nën 18 vjeç dhe ju doni të kufizoni hyrjen në faqet e caktuara të përmbajtjes për të rritur. Gjëja e parë është krijimi i një skedari të quajtur / etc / squid3 / list me përmbajtjen:
i rritur
pornografi
seks
poringa
Dhe tani në skedari squid.conf ne vendosim rregullin e mëposhtëm:
acl denegados url_regex "/etc/squid3/lista" http_access allow !denegados
Siç e shihni ne kemi përdorur të lejuar e cila në parim është të lejohet, por nëse shikoni kemi shtuar! për të mohuar, pra, do të ishte ekuivalente me vendosjen:
acl denegados url_regex "/etc/squid3/lista" http_access deny denegados
Ju gjithashtu mund të krijoni lista, jo vetëm të emrave të domain ose IP siç kemi bërë, mund të vendosni edhe domene dhe për shembull kufizoni aksesin në fusha të tilla si .xxx, .gov, etj. Le të shohim një shembull të bazuar në rregullin e mëparshëm. Ne krijojmë një skedar / etc / squid3 / domains që ka:
edu
.es
. Org
Dhe tani rregulli ynë, për të mohuar hyrjen në listën e vendeve të ndaluara që ne krijojmë, por duke lejuar hyrjen në URL me këto fusha:
acl denegados url_regex "/etc/squid3/lista" acl permitidos dstdomain "/etc/squid3/dominios" http_access allow !denegados dominios
ZGJERIM:
Na vjen keq, kur pashë komentet e kuptova atë Më ka munguar gjëja kryesore. Jam kufizuar në vendosjen e shembujve se si përdoret dhe harrova ta them për të filluar serverin Squid:
sudo service squid3 start
Para se të ngrihej me "/etc/init.d/squid start", por tani ju duhet të përdorni këtë linjë tjetër që unë kam vënë për ju. Ashtu si skedari i konfigurimit nuk është më në /etc/squid/squid.conf, por në /etc/squid3/squid.conf. Ok, pasi të krijohen politikat e filtrimit dhe duke e filluar atë, ne gjithashtu duhet të konfigurojmë shfletuesin, për shembull, nëse përdorni Mozilla Firefox ose derivate, mund të shkoni në menunë e konfigurimit (i dini, tre shiritat), dhe pastaj te Preferencat, Të Avancuara dhe në skedën Rrjeti, klikoni në Konfigurimin në seksionin Lidhja. Atje, ne zgjedhim konfigurimin manual të përfaqësuesit dhe vendosim IP-në tonë dhe portin Squid që po përdor, në këtë rast 3128. Gjithashtu zgjidhni "Përdorni të njëjtin proxy për gjithçka" dhe dilni duke kursyer ndryshimet.
Ju lutem Mos harroni të lini komentet tuaja, dyshime apo çfarëdo që dëshironi ... Megjithëse është një tutorial shumë më lart se Squid, shpresoj që t'ju ndihmojë.
faleminderit !, e dobishme.
AGAIN shumë mirë i kondensuar për një temë disi komplekse, vazhdoj të them "niveli i përdoruesit: i mesëm", duhet të dini disa nocione për "rrjetet".
E konsideroj HUMBLY se duhet shtuar opsioni për të konfiguruar shfletuesin tonë për të përdorur "proxy", por pasi që kjo hyrje është një "HYRJE në Squid", ne do të jemi shumë të vetëdijshëm për tjetrin? dorëzimi (së fundmi, dhe duke rrezikuar të jem i bezdisshëm, KUJTOHET mos të "përfaqësoni" faqet në internet të bankave dhe / ose institucionet financiare që përdorni në shtëpinë ose kompaninë tuaj).
Përshëndetje, faleminderit për komentet. Po, IPTABLES dhe Squid janë shumë të trashë për të bërë një artikull që i shpjegon ato në thellësi dhe ju duhet të kufizoheni në vendosjen e shembujve të përditshëm ...
Por ju keni absolutisht të drejtë, unë e kam shtuar atë tani për të konfiguruar proxy, unë e kishte planifikuar atë dhe kam harruar. Gabimi im.
Përshëndetje dhe faleminderit !!
"Trungu" i Uffff më vjen keq që nuk e kupton gjënë kryesore:
FILLONI SH SERRBIMIN :-( pa atë "nuk ka teze" - më falni për fjalimin bisedor- ZGJATIM SHUM I SUKSESSHM! 8-)
{bërja e tij fikse në secilën boot është duke modifikuar "/ sbin / init":
http: // www. ubuntu-es.org/node/ 13012 # .Vsr_SUJVIWw}
{një mënyrë tjetër më e lehtë është përdorimi i "update-rc.d":
https: // parbaedlo. wordpress.com/201 3/03/07 / vendosja-start-dhe-ndalimi i shërbimeve-linux-update-rc-d /}
Unë kam shtuar hapësira në lidhjet, hiqni ato dhe ju do të lundroni ;-)
FALEMINDERIT SHUME PER VEMENDJEN TUAJ.
LAJME LINUX: Sulmi në Linux Mint: infektoni instaluesit dhe kompromentoni kredencialet e përdoruesit
http://www.muylinux.com/2016/02/21/ataque-a-linux-mint
Unë tashmë e kam botuar atë, por mos spam faqet e tjera këtu ju lutem
LAJME PROR ANDROID: GM Bot, Android Trojan nga i cili rrjedh Mazar
http://www.redeszone.net/2016/02/21/gm-bot-el-troyano-para-android-del-que-deriva-mazar/
Përshëndetje Xhimi, si ia del që kallamari të mos kërkojë ato faqe për ju? Do të ishte mirë të komentonit mbi opsionin transparent, i cili shmang lodhjen e konfigurimit të një proxy në secilin kompjuter
Pyetje e mirë, unë kam instaluar një CAPTCHA në softuer falas në faqet e internetit të klientëve të mi:
(http: // www. ks7000. net. ve / 2015/04/03 / un-captcha-i lehtë dhe i thjeshtë për t’u zbatuar /
-Humily, NUK është "spam" ose vetë-promovim, është e përshtatshme-)
dhe imagjinoj që kur përdorni Squid këto imazhe NUK ringarkohen sepse unë u vë të njëjtin emër - po, unë gjithashtu mund të krijoj emra të rastit, nuk e kisha menduar atë deri më tani - dhe duke pasur të njëjtin emër, Squid kthen atë që ajo ka në "cache".
Padyshim që funksioni kryesor i «proxy» është të ruajë gjerësinë e brezit me imazhet - më të rëndat e një faqe në internet - [i] në supozimin se këto imazhe janë statike, ato nuk ndryshojnë me kalimin e kohës, e cila është e vërtetë në 99% të raste [/ i].
Por në CAPTCHA, pasi që "nuk ka punë", ne duhet të eleminojmë hapësirën e mëparshme të ruajtjes së tij dhe gjithmonë të kthejmë një imazh të ri.
P FORR BANKAT, unë e kuptoj se më e madhja në Spanjë është «Caixa» sepse ne do të krijojmë një rregull SHEMBULL:
acl caixa dstdomain .lacaixa.es
ku:
acl -> komandë për të krijuar rregull (rilexoni artikullin e z. Isaac, paragrafët më lart).
caixa -> emër rregulli.
dtsdomain -> opsioni "tip" për të treguar që i referohemi një domeni, E RNDSISHME pika në fillim ( http://ww w.zgjidh. com / kallamar / squid24s1 / access_controls.php)
domain (a) -> Unë imagjinoj se mund të shtojmë domenet që na duhen, të ndara nga një hapësirë; duke folur për hapësirat Unë i kam futur ato në lidhjet e treguara të internetit, hiqni ato dhe do të lundroni (faqet në anglisht).
Shpresoj se njohuritë e paraqitura këtu janë të dobishme për ju, falë LinuxAdictos!
MIR, për t'iu përgjigjur pyetjes së TRANSPARENC inS në Squid AGAIN Unë insistoj që ju duhet të keni njohuri të nivelit të mesëm dhe për arsye didaktike unë do të përmbledh sa më shumë që të jetë e mundur artikullin e mëposhtëm (në anglisht) që unë konsideroj se flet shumë mirë për temën:
http: // ww w.deckle.co. udhëzues / përdorues-kallamar-përdorues / proxy-transparencë-caching.html
Shenime:
-Kam shtuar hapësira në lidhje për të shmangur pingback nga unë (nuk kam absolutisht asgjë me ekipin). Linux Adictos, prandaj nuk jam i autorizuar të kryej veprimin në fjalë).
- KJO P TRR TRANSPARENC NUK E DI SI! (nuk më mësuan, them).
-Duke ju ndihmuar, ndihmoj edhe veten time, kjo është shumë mirë në sasi! ?
Epo, me atë që tha, le të merremi me biznesin:
Unë Thjesht i sugjerova z. Isaac të zgjeronte konfigurimin e shfletuesve tanë me proxy të instaluar dhe ai me shumë dashamirësi bëri (wow, ku e gjen këtë njeri kohën për të bërë kaq shumë gjëra?).
Sipas kësaj skeme, përdorimi i Squid ISSHT OP OPSIONAL: secili përdorues i rrjetit tonë lokal do të jetë përgjegjës për kryerjen e punës së tij, por ju mund të vini bast "argjend të fortë kundër pesetave të letrës" se ka ndonjë "skenar bash" që mund të instalohet përmes SSH në kompjutera të ndryshëm që përdorin GNU / Linux.
PARKërkesë: që serveri ynë Squid po punon siç mëson z. Isaac në këtë postim, nëse e kemi testuar tashmë dhe i kemi vendosur një "ngarkesë pune" dhe kjo funksionon mirë, ne mund të vazhdojmë të shkojmë më tej.
N SCHN SKEMN E TRANSPARENCS:
E PARA. - Kallamari ynë duhet të jetë rruga e paracaktuar "portë hyrëse" në "eth0" ose "wlan0" - a e mbani mend njohuritë e nivelit të mesëm? -, mirë, ne e vendosim atë atje (kjo bëhet në mënyrë të paracaktuar me DHCP TEREFORE, gjithashtu duhet konfiguroni një server të një shërbimi të tillë:
http: // en.wikipe dia.org/wiki/ Protokolli_Konfigurimi Dinamik_Host_).
Ne duhet të planifikojmë të konfigurojmë, në rast të dështimit, të ridrejtojmë të gjithë trafikun drejt modemit (modemëve) tanë direkt nëse Squid - kompjuteri ku funksionon - është i mbingarkuar me ngarkesën e tij të punës - dhe të përdorim "urë" të tipit të modemit në mënyrë që ato shkojnë jashtë, kjo arrihet duke bërë një "skenar" që shkaktohet në ngjarjen në fjalë dhe konfiguron serverin tonë DHCP - i cili duhet të instalohet në një kompjuter tjetër nga ai i Squid tonë.
SHENIM: kompjuteri ynë me Squid gjithmonë do të varet nga adresa e tij IP nga DHCP POR në të njëjtën kohë do të ketë një farë "kontrolli" me serverin DHCP të përmendur. Nëse doni të punoni me adresa IP fikse, me energji elektrike, mundeni, por kur shtoni më shumë kompjuterë OSE Zëvendësoni disa do të duhet të konfiguroni përsëri dhe nuk është ideja (lexoni me kënaqësi:
ht tps: // feno barbital. wordpress.com/2012/07/23/the- 12- arsyet-nga-kush-një-administrator-i-sistemeve-dembel-është-një-administrator i mirë /)
SH NOTNIM TJETTHERR (shih pikën e dytë): modemi (t) dhe / ose pajisjet e ruterit duhet të çaktivizojnë funksionin DHCP dhe se ato drejtohen nga serveri ynë DCHP (-të cilin ju siguroj se një tjetër hyrje del nga kjo për të na treguar se si montohet tha sherbimi-)
E DYTA - Duhet të filtrojmë trafikun drejt serverit tonë Squid, kjo nëse kemi disa routerë të shpërndarë që mbulojnë një zonë të rrjetit pa tel "wifi", ai është akoma një rrjet lokal por me madhësi të mesme. Në thelb është e njëjtë me pikën e parë POR nëse kemi pajisje të ndryshme OSE EDHE nën-rrjetë, duhet t'i konfigurojmë gjithashtu, kështu që bëni kujdes me ata prej nesh që punojnë "thërrmojnë hekurat" në ndërmarrjet e mëdha.
I TRETI.- Në GNU / Linux që pret Squid ne duhet të ridrejtojmë portet dhe të konfigurojmë «firewall» (lexoni artikullin e mëparshëm IPTables
http://www.linuxadictos.com/introduccion-a-iptables-configura-un-firewall-en-linux.html )
iptables -t nat -A PARAPRAKIM -p TCP –port 80 -j REDIRECT –në -port 3128
dhe IPFW:
/ sbin / ipfw shtoni 3 fwd 127.0.0.1,3128 tcp nga cilido në çdo 80
Eshtë e panevojshme të thuhet, ne NUK MUND T run përdorim një server Apache ose Ngix në atë port 80 - porti i gabuar i faqeve të internetit - TREGUESIT E KOMUNONS SENZE të mos vendosim më shumë ngarkesë në kompjuterin tonë me Squid - të varur nga hapësira e diskut për «memorien» -.
KATRT.- Ne duhet të konfigurojmë serverin tonë Squid dhe t’i themi se po punon në atë mënyrë duke modifikuar "/etc/squid/squid.conf" me nano ose redaktorin që ju pëlqen më shumë:
http_port 3128 transparente
Ne gjithashtu duhet të mundësojmë përcjelljen e paketave në "/etc/sysctl.conf":
net.ipv4.ip_forward = 1
net.ipv6.conf.all.forwarding = 1
Kjo linjë e fundit nëse kemi IPv6, është mirë ta konfigurojmë një herë në të ardhmen.
Në fund rindizni shërbimin Squid siç rekomandohet nga z. Isaac më lart dhe gjithashtu rindizni shërbimin e rrjetit:
/etc/init.d/procps.sh rinisni
DISA BESIM T OF ERRATA-s (ose disa marrëzira nga ana ime) më tregoni në këtë mënyrë, kritikat dhe komentet tuaja janë të mirëseardhura;
ZOTI. ISAAC THESHT THE MODERATORI i cili do të thotë fjalën e fundit në këtë "luftë".
Në këtë video të shkurtër mund të shohim se si të konfigurojmë Mozilla për të përdorur një server proxy, me përjashtim që ajo përdor një makinë virtuale me ReactOS, por është e shkurtër dhe mendoj se ilustron atë që dëshironi të konfiguroni këtu (lidhja e paaftë me hapësira, hiqni ato dhe shfletoni):
ht tps: / / www. YouTube. com / watch? v = st47K5t7s-Q
Sapo kam filluar të ndjek stacionin tuaj të radios, kam 2 ditë .. dhe përmbajtje shumë të mirë ..
Përshëndetje nga Meksika .. (Unë jam një mësues dhe gruri im i rërës është që të përdor opensource)
Unë do të doja të më ndihmonit Unë dua t'i jap privilegjin një përdoruesi për të parë Facebook dhe se të tjerët janë me kufizimet e konfiguruara tashmë dhe si të mundësojnë përdoruesit e internetit në kohë të caktuara unë do të doja të më këshillonit,
Ari, ajo që ata më shpjeguan në lidhje me këtë është që makineria që dëshironi nuk është e kufizuar, duhet të lihet jashtë, por deri atëherë kam shpjegimin, edhe unë jam i papërvojë për këtë temë
Natën e mirë, më falni, ndoshta pyetja ime është pak themelore, por hej, unë kam instaluar kallamar dhe konfiguruar në një centos 5.4, instaluar verë dhe ultrasurf, ajo që kam ndërmend të bëj është të ndaj internetin nga ultrasurf me kallamar, bëj të njëjtën gjë në një makinë Windows XP me FreeProxy dhe ultrasurf dhe mund ta ndaj pa problem por nuk di si ta bëj në linux
Unë këshillohem me ju, unë kam një konfigurim si juaji, në rastin tim unë ridrejtoj portën 80 në 8080 ku kalon kallamari. Problemi është se disa përdorues e lënë atë konfigurim në kompjuterët e tyre, ata anulojnë dhe hyjnë përmes portës 80, megjithëse jo të gjitha shërbimet. Kjo me iptables. A keni ndonjë ide se ku do të ishte problemi?
Shumë e dobishme dhe e shpjeguar mirë. Faleminderit!
Kam një pyetje, kur dua të krijoj një acl, ku ta bëj, domethënë, në cilën linjë të skedarit të konfigurimit? Dhe a duhet të vendos menjëherë 2 rreshta poshtë komandës http_access siç tregon në postimin tënd? Apo ku?
Faleminderit perseri!! Pershendetje!