Скуид је још један филтер на нивоу апликације који могу допунити иптабле. Скуид је кеширани веб проки сервер, веома је популаран и бесплатан и вишеструке је платформе. Иако се може користити за побољшање перформанси Интернет веза, може се користити и у безбедносне сврхе. Откако је пројекат почео 90-их, Скуид је био врло напредан и сада вам га представљамо како бисте знали како да га користите.
За вашу инсталацију, можете приступити званична веб страница пројекта и изаберите бинарне пакете за ваш оперативни систем или дистрибуцију. Ако желите да га инсталирате из пакета изворног кода компајлирањем, такође имате ту могућност. Доступни тарбал-ови су тар.гз, тар.бз2 и тар.кз. Ако не знате како да инсталирате, можете да одете на чланак о којем уређујемо на овом блогу како инсталирати било који пакет из линука. око! Ако имате Дебиан или дериват и видели сте да је инсталиран са судо "апт-гет инсталл скуид", можда ћете добити грешку, јер морате да замените "скуид" са "скуид3" да би он ступио на снагу .. .
Сада идемо директно на објашњавање акције неколико примера како се користи лигња да заштитимо нашу опрему. Пре него што бих желео да објасним да се Скуид заснива на АЦЛ-овима, односно на списку за контролу приступа или на списку за контролу приступа, односно списковима који детаљно описују дозволе за контролу у овом случају мрежног тока и примењују филтере сличне онима из иптаблес-а, али на нивоу примене.
Обично се након инсталације укључује конфигурациона датотека која се може наћи у /етц/скуид3/скуид.цонф и то је оно што морамо уређивати помоћу уређивача попут нано или гедит. У њему можемо генерисати наша правила филтрирања, иако постоје опције цацхе_дир, цацхе_мем и хттп_порт, потоње ћемо користити за наша сигурносна правила. Још један детаљ је да ова датотека наводи задани порт који користи услуга Скуид, а који је подразумевано 3128 (погледајте линију или директиву „хттп_порт 3128“ и уклоните # да бисте је активирали). Ако желите, можете га променити у други порт попут 8080 ... И још једна ствар која је неопходна је да конфигуришете име хоста, потражите коментар „ТАГ: Видљиво_име хоста“ и видећете ред „висибле_хостнаме“ где морате да ставите свој име хоста.
Да бисте знали своје име хоста, можете укуцати терминал:
hostname
А име које се појави додајете га у ред којем не треба претходи # како не би било занемарено као коментар. Односно, изгледало би овако:
појавило се_видно_име хоста_име_хаве_васе_појаве
Ако видите конфигурациону датотеку, видећете да је врло коментарисана, ако желите да замените креирано правило, линију можете започети са # и трансформишете га у коментар, којим га Скуид игнорише, да би га вратио у употребу, бришете # и то је то. У ствари, постоји много креираних и коментарисаних правила која можете користити уклањањем # из њега. Дакле, не морате да бришете и преписујете правила. Па, да бисте додали одређено правило или филтер, мора да има АЦЛ и директиву која указује на то шта треба радити.
Иначе, када уклоните # да бисте активирали правило, пазите да не остављате размаке на почетку реда. На пример:
Погрешан начин:
хттп_порт 3128
Тачан начин:
хттп_порт 3128
Нисте чули ништа? Па, не брини, са Пример све ћете видети много боље. Замислите ово:
ацл блокира урл_регек као фацебоок
хттп_аццесс одбити блокирање
Шта ово правило значи је да ће ацл са именом „блокирање“ забранити приступ УРЛ-у који садржи „фацебоок“ (стога, ако покушамо да уђемо на Фацебоок, прескочиће грешку у прегледачу). Ако уместо „забрани“ користите „дозволи“, дозволићете приступ уместо да га забраните. Такође можете користити! Да бисте, на пример, изузели, претпоставимо да желите да дозволите приступ листи1, али не и листи2:
http_access allow lista1 !lista2
Други пример може бити стварање датотеке / етц / скуид3 / ипс дозвољено и у њему сачувајте листу ИП адреса којима желимо да дозволимо приступ. На пример, претпоставимо да је садржај дозвољених ипс-а:
192.168.30.1
190.169.3.250
192.168.1.26
А онда креирамо ацл да дозволи приступ овим ИП-овима:
acl nuevaregla src "/etc/squid3/ipspermitidas"
Прилично практичан примерЗамислите да ваш рачунар користе деца млађа од 18 година и желите да ограничите приступ одређеним веб локацијама за садржај за одрасле. Прва ствар је креирање датотеке која се зове / етц / скуид3 / лист са садржајем:
одрасла особа
порно
секс
поринга
А сада у датотеку скуид.цонф поставили смо следеће правило:
acl denegados url_regex "/etc/squid3/lista" http_access allow !denegados
Као што видите користили смо дозволу што је у принципу допустити, али ако погледате додали смо! порећи, дакле, било би еквивалентно стављању:
acl denegados url_regex "/etc/squid3/lista" http_access deny denegados
Такође можете да креирате листе, не само имена домена или ИП-ова као што смо ми то већ радили, такође можете ставити домене и на пример ограничавају приступ доменима као што су .ккк, .гов итд. Погледајмо пример заснован на претходном правилу. Креирамо датотеку / етц / скуид3 / домаинс која има:
.еду
Ис.
Орг.
А сада наше правило, да одбије приступ листи забрањених веб локација које креирамо, али дозвољава приступ УРЛ-овима са овим доменима:
acl denegados url_regex "/etc/squid3/lista" acl permitidos dstdomain "/etc/squid3/dominios" http_access allow !denegados dominios
ПРОШИРЕЊЕ:
Извините, кад сам видео коментаре, схватио сам то Недостајало ми је главно. Ограничио сам се на давање примера како се користи и заборавио сам то да кажем да бих покренуо Скуид сервер:
sudo service squid3 start
Пре него што је кренуло са „/етц/инит.д/скуид старт“, али сада морате да користите ову другу линију коју сам вам ставио. Баш као што се конфигурациона датотека више не налази у /етц/скуид/скуид.цонф, већ у /етц/скуид3/скуид.цонф. У реду, једном када се креирају политике филтрирања и покренемо га, такође морамо да конфигуришемо прегледач, на пример, ако користите Мозилла Фирефок или деривате, можете да одете у мени за конфигурацију (знате, три траке), а затим у Преференцес, Адванцед и на картици Нетворк кликните на Цонфигуратион у одељку Цоннецтион. Тамо бирамо Ручна конфигурација проксија и стављамо ИП и порт који користи Скуид, у овом случају 3128. Такође изаберите „Користи исти прокси за све“ и затворите чување промена.
Молимо вас, Не заборавите да оставите коментаре, сумње или шта год желите ... Иако је ово уџбеник далеко изнад Скуид-а, надам се да ће вам помоћи.
хвала !, корисно.
ОПЕТ врло добро сажет за помало сложену тему, стално понављам „ниво корисника: средњи“, требали бисте знати неке појмове о „мрежама“.
ПОХУМНО сматрам да треба додати опцију за конфигурисање нашег прегледача да користи „проки“, али како је овај унос „УВОД у Скуид“, биће нам врло свесни следећег? испоруке (коначно и уз ризик да будем досадан, ЗАПАМТИТЕ да не „проксирате“ банкарске веб странице и / или финансијске институције које користите у свом дому или предузећу).
Здраво, хвала на коментарима. Да, ИПТАБЛЕС и Лигње су превише дебели да би направили чланак који их детаљно објашњава и морате се ограничити на свакодневне примере ...
Али у потпуности сте у праву, додао сам га сада да бих конфигурисао прокси, планирао сам га и заборавио. Моја грешка.
Поздрав и хвала !!
Уфффф "трунк" извините што нисам схватио главно:
ПОКРЕНИТЕ УСЛУГУ :-( без тога «нема тете» - опростите ми на разговорном говору- ЈАКО УСПЕШНО ПРОШИРЕЊЕ! 8-)
{поправљање при сваком покретању догађа се модификовањем «/ сбин / инит»:
хттп: // ввв. убунту-ес.орг/ноде/ 13012 # .Вср_СУЈВИВв}
{још један лакши начин је коришћење „упдате-рц.д“:
хттпс: // парбаедло. вордпресс.цом/201 3/03/07 / подешавање-покретање-и-заустављање-услуга-линук-упдате-рц-д /}
Везама сам додао размаке, уклонио их и кретаћеш се ;-)
МНОГО ВАМ ХВАЛА НА ПАЖЊИ.
ЛИНУКС ВЕСТИ: Напад на Линук Минт: зарази програме за инсталирање и угрози корисничке податке
http://www.muylinux.com/2016/02/21/ataque-a-linux-mint
Већ сам га објавио, али немојте нежељено слати друге странице овде, молим вас
АНДРОИД ВЕСТИ: ГМ Бот, Андроид тројанац од којег потиче Мазар
http://www.redeszone.net/2016/02/21/gm-bot-el-troyano-para-android-del-que-deriva-mazar/
Здраво Јимми, како се ради да лигње не претражују те странице уместо вас? Било би лепо ако коментаришете прозирну опцију која избегава замор конфигурисања прокија за сваки рачунар
Добро питање, инсталирао сам ЦАПТЦХА у бесплатни софтвер на веб страницама својих клијената:
(хттп: // ввв. кс7000. нет. ве / 2015/04/03 / ун-цаптцха-еаси-анд-симпле-то-Имплементатион /
-Поштено, то НИЈЕ "нежељена пошта" или самопромоција, то је прикладно-)
И претпостављам да се приликом коришћења Скуид ове слике НЕ учитавају поново јер им стављам исто име -еа, такође могу да генеришем насумична имена, о томе нисам размишљао до сада- а с истим именом Скуид враћа оно што има у „кешу“.
Очигледно је да је главна функција «проксија» уштеда пропусног опсега са сликама - најтежом од веб страница - [и] под претпоставком да су ове слике статичне, не мењају се током времена, што је тачно у 99% случајева случајеви [/ и].
Али у ЦАПТЦХА, с обзиром да „нема покретања“, морамо елиминисати његово претходно складиште и увек вратити нову слику.
Што се тиче банака, разумем да је највећа у Шпанији «Цаика» јер ћемо створити ПРИМЕР правило:
ацл цаика дстдомаин .лацаика.ес
где:
ацл -> команда за стварање правила (прочитајте чланак господина Исааца, горње пасусе).
цаика -> име правила.
дтсдомаин -> опција „типе“ да означимо да се позивамо на домен, ВАЖНО тачка на почетку ( http://ww в.висолве. цом / скуид / скуид24с1 / аццесс_цонтролс.пхп)
домен (и) -> претпостављам да можемо додати домене који су нам потребни, одвојене размаком; кад смо већ код размака, убацио сам их у назначене веб везе, уклонио и кретаћеш се (странице на енглеском).
Надам се да ће вам знање представљено овде бити корисно, захваљујући LinuxAdictos!
ДОБРО, да ОПЕТ одговорим на питање ТРАНСПАРЕНТНОСТИ у лигњама, инсистирам на томе да морате имати знање средњег нивоа, а из дидактичких разлога сумирам што је више могуће следећи чланак (на енглеском језику) за који сматрам да врло добро говори о тој теми:
хттп: // вв в.децкле.цо. ук / водич за кориснике лигњи /транспарент-цацхинг-проки.хтмл
Напомене:
-Додао сам размаке на линкове да бих избегао пингбацк од мене (немам апсолутно никакве везе са тимом). Linux Adictos, стога нисам овлашћен да извршим наведену радњу).
- ОВО О ПРОЗИРНОСТИ НИСАМ ЗНАЛА! (нису ме научили, кажем).
-Помажем и вама, и ја си помажем, ово је супер по количини! ?
Па, уз то, кренимо на посао:
САМО сам предложио господину Исаацу да прошири конфигурацију наших прегледача са инсталираним проки-јем, и он је то врло љубазно урадио (вов, где овај човек налази времена за толико ствари?).
Према овој шеми, употреба Скуид-а ЈЕ НЕОБВЕЗНА: сваки корисник наше локалне мреже биће задужен да ради свој посао, али можете се кладити «сребро тврдо против папирних пезета» да постоји нека «басх скрипта» која се може инсталирати путем ССХ-а на разне рачунаре који раде под ГНУ / Линук-ом.
ПРЕДУСЛОВИТЕ: да наш Скуид сервер ради онако како господин Исаац подучава у овом посту, ако смо га већ тестирали и ставили „радно оптерећење“ на њега и ако ради добро, можемо да идемо даље.
ПОД ШЕМОМ ТРАНСПАРЕНТНОСТИ:
ПРВИ.- Наша лигња мора да буде задата рута „гатеваи“ у нашем „етх0“ или „влан0“ - да ли се сећате знања средњег нивоа? -, па ми то тамо успостављамо (то се подразумевано ради са ДХЦП-ом ТОМЕ И конфигуришите сервер такве услуге:
хттп: // ен.википе диа.орг/вики/ Динамиц_Хост_Цонфигуратион_Протоцол).
Морамо да планирамо да конфигуришемо, у случају квара, преусмеримо сав саобраћај на наш модем директно ако је Скуид - рачунар на коме ради - преоптерећен својим радним оптерећењем - и користимо модем (е) типа „бридге“ тако да излазе напоље, то се постиже прављењем „скрипте“ која се покреће у наведеном догађају и конфигурише наш ДХЦП сервер - који би требало да буде инсталиран на другом рачунару од нашег Скуид-.
НАПОМЕНА: наш рачунар са Скуид-ом ће увек зависити од његове ИП адресе од ДХЦП-а, АЛИ истовремено ће имати одређену „контролу“ са наведеним ДХЦП сервером. Ако желите да радите са фиксним ИП адресама, од снаге, можете, али када додате још рачунара ИЛИ ЗАМЕНИТЕ неке, мораћете поново да конфигуришете, а то није идеја (читајте са одушевљењем:
хт тпс: // фено барбитал. вордпресс.цом/2012/07/23/тхе-12-реасонс-би-вхо-а-администратор-оф-системс-лази-ис-а-гоод-администратор/)
ЈОШ ЈЕДНА НАПОМЕНА (погледајте другу тачку): наши модеми и / или уређаји рутера морају да деактивирају ДХЦП функцију и да њима управља наш ДЦХП сервер (-који вас уверавам да из тога излази још један унос који ће нам показати како се монтира поменута услуга-)
ДРУГО.- Морамо филтрирати саобраћај према нашем Скуид серверу, ако имамо неколико распршених рутера који покривају бежичну мрежу „вифи“, то је и даље локална мрежа, али средње величине. У основи је исто што и прва тачка, АЛИ ако имамо различите уређаје ИЛИ ЧАК и подмреже, морамо и њих да конфигуришемо, па будите опрезни са нама који радимо на „дробљењу гвожђа“ у великим компанијама.
ТРЕЋЕ.- У нашем ГНУ / Линуку који хостује Скуид морамо преусмерити портове и конфигурисати «заштитни зид» (прочитајте претходни чланак ИПТаблес
http://www.linuxadictos.com/introduccion-a-iptables-configura-un-firewall-en-linux.html )
иптаблес -т нат -А ПРЕРОУТИНГ -п ТЦП –порт 80 -ј РЕДИРЕЦТ –то-порт 3128
и на ИПФВ:
/ сбин / ипфв додајте 3 фвд 127.0.0.1,3128 тцп са било ког на било који 80
Непотребно је рећи да НЕ МОЖЕМО да покрећемо Апацхе или Нгик сервер на том порту 80 - подразумевани порт веб страница - ОБИЧАЈНИ ПОКАЗАТЕЉИ да не оптерећујемо наш рачунар помоћу Скуид-а - зависно од простора на диску за „кеш меморију“ -.
ЧЕТВРТО.- Морамо да конфигуришемо наш Скуид сервер и да му кажемо да ради у том режиму тако што ћемо изменити „/етц/скуид/скуид.цонф“ помоћу нано-а или уређивача који вам се највише свиђа:
хттп_порт 3128 провидан
Такође морамо омогућити прослеђивање пакета у „/етц/сисцтл.цонф“:
нет.ипв4.ип_форвард = 1
нет.ипв6.цонф.алл.форвардинг = 1
Овај последњи ред ако имамо ИПв6, добро је да га једном конфигуришемо у будућности.
Коначно поново покрените услугу Скуид како је препоручио господин Исаац горе, а такође поново покрените мрежну услугу:
/етц/инит.д/процпс.сх рестарт
НЕКА ВЕРА У ГРЕШКЕ (или неке глупости са моје стране) обавестите ме на исти начин, ваше критике и коментари су добродошли;
ГОСПОДИН. ИСААЦ ЈЕ МОДЕРАТОР који ће имати последњу реч у овој „борби“.
У овом кратком видеу можемо видети како да конфигуришемо Мозиллу да користи прокси сервер, са изузетком да користи виртуелну машину са РеацтОС-ом, али је кратак и мислим да ИЛУСТРИРА оно што овде желите да конфигуришете (веза онемогућена размацима, уклоните их и прегледајте):
хт тпс: / / ввв. ЈуТјуб. цом / ватцх? в = ст47К5т7с-К
Управо сам почео да пратим вашу радио станицу, провео сам два дана .. и врло добар садржај ..
Поздрав из Мексика .. (ја сам учитељ и моје зрно песка је да користим отворени извор)
Желео бих да ми помогнете Желим да дам привилегију кориснику да види Фацебоок и да су остали са већ конфигурисаним ограничењима и како да омогућим кориснике Интернета у одређено време. Желео бих да ме саветујете, хвала
Ари, оно што су ми објаснили у вези с тим је да машина коју желиш није ограничена, мора се изоставити, али до тада имам објашњење, такође сам неискусна у тој теми
Лаку ноћ, извините, можда је моје питање мало основно, али хеј, инсталирао сам лигње и конфигурисао на центос 5.4, инсталирао вино и ултрасрф, оно што намеравам је да поделим интернет са ултра сурфа са лигњама, радим исто на Виндовс машини КСП са ФрееПроки-јем и ултрасурф-ом и могу га делити без проблема, али не знам како се то ради у линуку
Саветујем се са вама, имам конфигурацију попут ваше, у мом случају преусмеравам порт 80 на 8080 тамо где раде лигње. Проблем је у томе што неки корисници остављају ту конфигурацију на својим рачунарима, отказују и приступају преко порта 80, мада не све услуге. Ово са иптаблес. Знате ли где би био проблем?
Веома корисно и добро објашњено. Хвала!
Имам питање, када желим да направим ацл, где то могу да урадим, односно у ком реду конфигурационе датотеке? И да ли бих одмах требао да ставим 2 реда испод команде хттп_аццесс као што приказујете у свом посту? Или где?
Хвала још једном!! Велики поздрав!