Ang pusit ay isa pang filter sa antas ng application na maaaring umakma sa mga iptable. Ang pusit ay isang naka-cache na web proxy server, ito ay napakapopular at libre, at ito ay cross-platform. Bagaman maaari itong magamit upang mapabuti ang pagganap ng mga koneksyon sa Internet, maaari rin itong magamit para sa mga layuning pangseguridad. Mula nang magsimula ang proyekto noong dekada 90, ang Squid ay naging napaka-advanced at ngayon iniharap namin ito sa iyo upang malaman mo kung paano ito gamitin.
Para sa iyong pag-install, maaari mong ma-access ang opisyal na website ng proyekto at piliin ang mga binary package para sa iyong operating system o pamamahagi. Kung nais mong i-install ito mula sa package ng source code sa pamamagitan ng pag-iipon, din mayroon kang pagpipiliang iyon. Ang mga magagamit na tarball ay tar.gz, tar.bz2, at tar.xz. Kung hindi mo alam kung paano mag-install, maaari kang pumunta sa artikulong nai-edit namin sa blog na ito kung paano mag-install ng anumang pakete mula sa linux. mata! Kung mayroon kang isang Debian o nagmula at nakita mo na naka-install ito sa sudo na "apt-get install squid", maaari kang makakuha ng isang error, dahil kailangan mong palitan ang "pusit" ng "squid3" upang magkabisa ito .. .
Ngayon ay dumidiretso kami sa pagkilos na nagpapaliwanag ilang halimbawa ng kung paano gamitin ang Squid upang maprotektahan ang aming kagamitan. Bago ko nais ipaliwanag na ang Squid ay batay sa mga ACL, iyon ay, sa Listahan ng Access Control o listahan ng kontrol sa pag-access, iyon ay, mga listahan na detalyado sa mga pahintulot upang makontrol sa kasong ito ang daloy ng network at magpatupad ng mga filter na katulad ng sa mga iptable ngunit sa antas ng aplikasyon.
Karaniwan, pagkatapos ng pag-install, isang file ng pagsasaayos ang kasama na maaaring matagpuan sa /etc/squid3/squid.conf at ito ang dapat nating i-edit sa isang editor tulad ng nano o gedit. Sa loob nito maaari naming mabuo ang aming mga panuntunan sa pag-filter, kahit na may mga pagpipilian na cache_dir, cache_mem at http_port, gagamitin namin ang huli para sa aming mga panuntunan sa seguridad. Ang isa pang detalye ay tinutukoy ng file na ito ang default port na ginamit ng serbisyo ng Squid, na bilang default ay 3128 (tingnan ang linya o direktiba na "http_port 3128" at alisin ang # upang maisaaktibo ito). Kung nais mo, maaari mo itong palitan sa ibang port tulad ng 8080 ... At isa pang bagay na kinakailangan ay upang mai-configure ang hostname, hanapin ang komentong "TAG: Visible_hostname" at makikita mo ang isang linya na "visible_hostname" kung saan dapat mong ilagay ang hostname mo.
Upang malaman ang iyong hostname, maaari kang mag-type sa terminal:
hostname
At ang lilitaw na pangalan ay idinagdag mo ito sa linya na hindi dapat na mauna sa # upang hindi ito balewalain bilang isang komento. Iyon ay, ganito ang hitsura:
visible_hostname hostname_have_you_appeared
Kung nakikita mo ang file ng pagsasaayos, makikita mo na ito ay lubos na nagkomento, kung nais mong i-override ang isang nilikha na panuntunan, maaari mong simulan ang linya sa # at binago mo ito sa isang puna, kung saan hindi ito pinapansin ng Squid, upang ibalik ito sa serbisyo, tatanggalin mo ang # at iyan lang. Sa katunayan, maraming mga nilikha at nagkomentong mga panuntunan na maaari mong gamitin sa pamamagitan ng pag-alis ng # mula rito. Kaya hindi mo na kailangang tanggalin at muling isulat ang mga panuntunan. Kaya, upang magdagdag ng isang tukoy na panuntunan o filter, dapat itong magkaroon ng isang ACL at isang direktiba na nagsasaad kung ano ang dapat gawin.
Sa pamamagitan ng paraan, kapag tinanggal mo ang isang # upang buhayin ang isang panuntunan, tiyaking hindi ka nag-iiwan ng mga puwang sa simula ng linya. Halimbawa:
Maling daanan:
http_port 3128
Tamang paraan:
http_port 3128
Wala ka bang narinig? Kaya huwag mag-alala, kasama Isang halimbawa mas makikita mo ang lahat. Isipin ito:
acl na humahadlang sa url_regex bilang facebook
http_access tanggihan ang pag-block
Ano ang ibig sabihin ng panuntunang ito ay ang acl na may pangalang "pagharang" na magbabawal sa pag-access sa URL na naglalaman ng "facebook" (samakatuwid kung susubukan naming ipasok ang Facebook ay lalaktawan ang isang error sa browser). Kung sa halip na "tanggihan" ay gumagamit ka ng "payagan", papayagan mo ang pag-access sa halip na pagbawalan ito. Maaari mo ring gamitin ang! Upang maibukod, halimbawa, ipagpalagay na nais mong payagan ang pag-access sa list1 ngunit hindi sa listahan2:
http_access allow lista1 !lista2
Ang isa pang halimbawa ay maaaring lumikha ng isang file / etc / squid3 / ips na pinapayagan at sa loob nito makatipid ng isang listahan ng mga IP na nais naming payagan ang pag-access. Halimbawa, ipagpalagay na ang nilalaman ng pinapayagan na ips ay:
192.168.30.1
190.169.3.250
192.168.1.26
At pagkatapos ay nilikha namin ang acl upang payagan ang pag-access sa mga IP na ito:
acl nuevaregla src "/etc/squid3/ipspermitidas"
Isang medyo praktikal na halimbawaIsipin na ang iyong computer ay ginagamit ng mga batang wala pang 18 taong gulang at nais mong higpitan ang pag-access sa ilang mga site na pang-nasa hustong gulang na nilalaman. Ang unang bagay ay upang lumikha ng isang file na tinatawag na / etc / squid3 / listahan kasama ang nilalaman:
may sapat na gulang
pornograpya
kasarian
Poringa
At ngayon sa ang squid.conf file inilalagay namin ang sumusunod na panuntunan:
acl denegados url_regex "/etc/squid3/lista" http_access allow !denegados
Tulad ng nakikita mo gumamit kami ng payagan na sa prinsipyo ay papayagan, ngunit kung titingnan mo ay nagdagdag kami! , upang tanggihan, samakatuwid, ito ay katumbas ng paglalagay:
acl denegados url_regex "/etc/squid3/lista" http_access deny denegados
Ang mga listahan ay maaari ring likhain, hindi lamang ng mga pangalan ng domain o mga IP tulad ng nagawa na natin, maaari mo ring ilagay ang mga domain at halimbawa paghigpitan ang pag-access sa mga domain tulad ng .xxx, .gov, atbp. Tingnan natin ang isang halimbawa batay sa dating panuntunan. Lumilikha kami ng isang file / etc / squid3 / mga domain na mayroong:
.edu
.es
. Org
At ngayon ang aming panuntunan, upang tanggihan ang pag-access sa listahan ng mga ipinagbabawal na site na nilikha namin, ngunit pinapayagan ang pag-access sa mga URL na may mga domain na ito:
acl denegados url_regex "/etc/squid3/lista" acl permitidos dstdomain "/etc/squid3/dominios" http_access allow !denegados dominios
KARAGDAGANG:
Paumanhin, nang makita ko ang mga komento napagtanto ko iyon Nawawala ko ang pangunahing bagay. Nilimitahan ko ang aking sarili sa paglalagay ng mga halimbawa kung paano ito ginagamit at nakalimutan kong sabihin iyon upang simulan ang server ng Squid:
sudo service squid3 start
Bago ito nakabangon sa "/etc/init.d/squid start", ngunit ngayon dapat mong gamitin ang ibang linya na inilagay ko para sa iyo. Tulad ng pagsasaayos ng file ay wala na sa /etc/squid/squid.conf, ngunit sa /etc/squid3/squid.conf. Ok, sa sandaling nalikha ang mga patakaran sa pag-filter, at pagsisimula nito, dapat din naming i-configure ang browser, halimbawa, kung gumagamit ka ng Mozilla Firefox o mga derivatives, maaari kang pumunta sa menu ng pagsasaayos (alam mo, ang tatlong mga bar), at pagkatapos ay Mga Kagustuhan, Advanced, at sa tab na Network, mag-click sa Configuration sa seksyon ng Koneksyon. Doon, pipiliin namin ang Manu-manong pagsasaayos ng proxy at ilagay ang aming IP at ginagamit ang port Squid, sa kasong ito 3128. Piliin din ang "Gumamit ng parehong proxy para sa lahat" at lumabas sa pag-save ng mga pagbabago.
Sa pabor, Huwag kalimutan na iwanan ang iyong mga komento, pagdududa o kung ano man ang gusto mo ... Bagaman ito ay isang tutorial na malayo sa itaas ng Squid, inaasahan kong makakatulong ito sa iyo.
salamat !, kapaki-pakinabang.
MULI nang maayos na nakakondisyon para sa isang medyo kumplikadong paksa, patuloy kong sinasabi na "antas ng gumagamit: daluyan", dapat mong malaman ang ilang mga ideya tungkol sa "mga network".
HUMBLY kong isaalang-alang na ang opsyong i-configure ang aming browser upang magamit ang "proxy" ay dapat idagdag, ngunit dahil ang entry na ito ay isang "INTRODUKSYON sa Squid", malalaman natin ang susunod? paghahatid (sa wakas, at sa panganib na inisin ako, TANDAAN na huwag "i-proxy" ang mga web page ng pagbabangko at / o mga institusyong pampinansyal na ginagamit mo sa iyong bahay o kumpanya).
Kumusta, salamat sa mga komento. Oo, ang IPTABLES at Squid ay masyadong makapal upang makagawa ng isang artikulo na nagpapaliwanag sa kanila nang malalim at kailangan mong limitahan ang iyong sarili sa paglalagay ng mga pang-araw-araw na halimbawa ...
Ngunit ikaw ay ganap na tama, idinagdag ko ito ngayon upang mai-configure ang proxy, pinlano ko ito at nakalimutan ko. Kasalanan ko.
Pagbati at salamat !!
Uffff "trunk" paumanhin para hindi napagtanto ang pangunahing bagay:
SIMULAN ANG SERBISYO :-( nang wala iyan «wala ang iyong tiyahin» -patawarin mo ako para sa kolokyal na pagsasalita- LABING TAGUMPAY NA PAGPAPALAKI! 8-)
Ang {pag-ayos nito sa bawat boot ay sa pamamagitan ng pagbabago ng "/ sbin / init":
http: // www. ubuntu-es.org/node/ 13012 # .Vsr_SUJVIWw}
{isa pang mas madaling paraan ay ang paggamit ng "update-rc.d":
https: // parbaedlo. wordpress.com/201 3/03/07 / setting-start-and-stop-of-services-linux-update-rc-d /}
Nagdagdag ako ng mga puwang sa mga link, alisin ang mga ito at mag-navigate ka ;-)
MARAMING SALAMAT SA ATTENTION MO.
BALITA ng LINUX: Pag-atake sa Linux Mint: makahawa sa mga installer at ikompromiso ang mga kredensyal ng gumagamit
http://www.muylinux.com/2016/02/21/ataque-a-linux-mint
Nai-post ko na ito, ngunit huwag mag-spam ng iba pang mga pahina dito mangyaring
BALITA NG ANDROID: GM Bot, ang Android Trojan na nagmula sa Mazar
http://www.redeszone.net/2016/02/21/gm-bot-el-troyano-para-android-del-que-deriva-mazar/
Kumusta Jimmy, paano mo gagawin upang ang squid ay hindi maghanap sa mga pahinang iyon para sa iyo? Maganda kung magkomento ka sa transparent na pagpipilian, na maiiwasan ang tedium ng pag-configure ng proxy sa bawat computer
Magandang tanong, nag-install ako ng isang CAPTCHA sa libreng software sa mga web page ng aking mga kliyente:
(http: // www. ks7000. net. ve / 2015/04/03 / un-captcha-easy-and-simple-to-implement /
-Humily, HINDI ito "spam" o pagtataguyod ng sarili, angkop ito-)
at naiisip ko na kapag gumagamit ng Squid ng mga imaheng ito ay HINDI nai-reload dahil inilagay ko ang parehong pangalan sa kanila -ea, makakagawa rin ako ng mga random na pangalan, hindi ko pa naisip iyon, hanggang ngayon- at sa pagkakaroon ng parehong pangalan, ibinalik ng Squid kung ano mayroon ito sa "cache."
Malinaw na ang pangunahing pagpapaandar ng «proxy» ay upang makatipid ng bandwidth gamit ang mga imahe - ang pinakamabigat ng isang web page- [i] sa palagay na ang mga imaheng ito ay static, hindi sila nagbabago sa paglipas ng panahon, na totoo sa 99% ng mga kaso [/ i]
Ngunit sa mga CAPTCHA, dahil "walang tumatakbo", dapat nating alisin ang dating pag-iimbak at laging ibalik ang isang bagong imahe.
TUNGKOL SA MGA BANKS, Nauunawaan ko na ang pinakamalaking sa Espanya ay «Caixa» sapagkat lilikha kami ng isang halimbawa ng panuntunan:
acl caixa dstdomain .lacaixa.es
kung saan:
acl -> utos na lumikha ng panuntunan (muling basahin ang artikulo ni G. Isaac, mga talata sa itaas).
caixa -> pangalan ng panuntunan.
dtsdomain -> pagpipiliang "uri" upang ipahiwatig na tumutukoy kami sa isang domain, MAHALAGA ang tuldok sa simula ( http://ww w.pagbigyan. com / squid / squid24s1 / access_controls.php)
(mga) domain -> Naiisip ko na maaari naming idagdag ang mga domain na kailangan namin, na pinaghihiwalay ng isang puwang; nagsasalita ng mga puwang na ipinasok ko ang mga ito sa ipinahiwatig na mga link sa web, alisin ang mga ito at mag-navigate ka (mga pahina sa Ingles).
Umaasa ako na ang kaalaman na ipinakita dito ay kapaki-pakinabang sa iyo, salamat sa LinuxAdictos!
MABUTI, upang sagutin ang tanong ng TRANSPARENCY sa Squid ULIT iginiit kong dapat kang magkaroon ng kaalamang antas sa gitna at para sa mga kadahilanang didaktiko ay ibubuod ko hangga't maaari ang sumusunod na artikulo (sa Ingles) na isinasaalang-alang kong mahusay na binabanggit ang paksa:
http: // ww w.deckle.co. uk / squid-users-guide /transparent-caching-proxy.html
Mga Tala:
-Nagdagdag ako ng mga puwang sa mga link upang maiwasan ang pag-pingback mula sa akin (wala talaga akong kinalaman sa koponan). Linux Adictos, samakatuwid hindi ako awtorisadong magsagawa ng nasabing aksyon).
- ITO TUNGKOL SA TRANSPARENCY HINDI KO ALAM! (hindi nila ako tinuro, sabi ko).
-Helping you guys Tinutulungan ko din ang aking sarili, ito ay cool sa dami! ?
Kaya, sa nasabing iyon, magsimula tayo sa negosyo:
Iminungkahi ko lang kay G. Isaac na palawakin ang pag-configure ng aming mga browser gamit ang naka-install na proxy at napakabait niyang ginawa (aba, saan nakakahanap ang taong ito ng oras upang magawa ang maraming bagay?).
Sa ilalim ng iskemang ito, ang paggamit ng Squid AY OPSYONAL: ang bawat gumagamit ng aming lokal na lugar na network ay mangangasiwa sa paggawa ng kanilang trabaho, ngunit maaari kang tumaya «mahirap na pilak laban sa mga pesetong papel» na mayroong ilang «bash script» na maaaring mai-install .sa pamamagitan ng SSH sa iba't ibang mga computer na nagpapatakbo ng GNU / Linux.
PRE-REQUIREMENT: na ang aming Squid server ay gumagana tulad ng itinuturo ni G. Isaac sa post na ito, kung nasubukan na namin ito at naglagay ng isang "workload" dito at mahusay itong gumaganap, maaari kaming magpatuloy upang magpatuloy.
SA ILALIM NG SKEMA NG TRANSPARENCY:
UNA.- Ang aming Squid ay dapat na ang default na ruta na "gateway" sa aming "eth0" o "wlan0"-naaalala mo ba ang kaalaman sa antas ng katamtaman? -, mahusay na itinatatag namin ito doon (ginagawa ito bilang default sa DHCP DAHIL kailangan din natin i-configure ang server ng naturang serbisyo:
http: // tl.wikipe dia.org/wiki/ Dynamic_Host_Configuration_Protocol).
Dapat naming planuhin na i-configure, kung sakaling may kabiguan, direktang i-redirect ang lahat ng trapiko sa aming (mga) modem kung Squid -ang computer kung saan ito tumatakbo- ay lumampas sa workload nito -at gamitin ang (mga) modem) na "tulay" upang pumunta sila sa labas, nakakamit ito sa pamamagitan ng paggawa ng isang "script" na na-trigger sa nasabing kaganapan at ise-configure ang aming DHCP server -na dapat na mai-install sa ibang computer kaysa sa aming Squid-.
TANDAAN: ang aming computer na may Squid ay palaging nakasalalay sa kanyang IP address mula sa DHCP NGUNIT sa parehong oras magkakaroon ito ng ilang "control" sa nasabing DHCP server. Kung nais mong gumana sa mga nakapirming mga IP address, may kapangyarihan, magagawa mo, ngunit kapag nagdagdag ka ng higit pang mga computer O PALITAN ang ilan kakailanganin mong i-configure muli at hindi ito ang ideya (basahin nang may kasiyahan:
ht tps: // pheno barbital. wordpress.com/2012/07/23/the-12-reasons-by-who-a-ad administrator-of-systems-lazy-is-a-good-ad administrator/)
ISA PANG TANDAAN (tingnan ang pangalawang punto): ang aming (mga) modem at / o mga aparato ng router ay dapat na huwag paganahin ang pagpapaandar ng DHCP at pinamamahalaan sila ng aming server ng DCHP (-Na tinitiyak ko sa iyo na may isa pang entry na lalabas dito upang maipakita sa amin kung paano naka-mount sinabi serbisyo-)
PANGALAWA.- Dapat nating salain ang trapiko patungo sa aming server ng Squid, ito kung mayroon kaming maraming mga dispersed router na sumasakop sa isang wireless network area na "wifi", ito ay isang lokal na network ng lugar ngunit may katamtamang laki. Mahalaga na ito ay kapareho ng unang punto NGUNIT kung mayroon kaming magkakaibang mga aparato O KAHIT mga subnet, dapat din nating i-configure ang mga ito, kaya mag-ingat sa mga nagtatrabaho sa "pagdurog sa mga bakal" sa malalaking kumpanya.
IKATLONG.- Sa aming GNU / Linux na nagho-host ng Squid dapat naming i-redirect ang mga port at i-configure ang «firewall» (basahin ang nakaraang artikulo IPTables
http://www.linuxadictos.com/introduccion-a-iptables-configura-un-firewall-en-linux.html )
iptables -t nat -A PREROUTING -p TCP –dport 80 -j REDIRECT –to-port 3128
at sa IPFW:
/ sbin / ipfw magdagdag ng 3 fwd 127.0.0.1,3128 tcp mula sa alinman sa anumang 80
Hindi na kailangang sabihin, HINDI kami makakapagpatakbo ng isang Apache o Ngix server sa port na iyon 80 -default na port ng mga web page- KATANGKAP NA SINABI NG SINSE na huwag maglagay ng higit pang pagkarga sa aming computer na may Squid -asa sa disk space para sa «cache» -.
IKAAPAT.- Dapat naming i-configure ang aming server ng Squid at sabihin dito na gumagana ito sa mode na iyon sa pamamagitan ng pagbabago ng "/etc/squid/squid.conf" kasama ang nano o ang editor na pinaka gusto mo:
http_port 3128 transparent
Dapat din naming paganahin ang pagpapasa ng packet sa "/etc/sysctl.conf":
net.ipv4.ip_forward = 1
net.ipv6.conf.all.forwarding = 1
Ang huling linya na ito kung mayroon kaming IPv6, mabuting i-configure ito minsan sa hinaharap.
Sa wakas i-restart ang serbisyo ng Squid tulad ng inirekomenda ni G. Isaac sa itaas at i-restart din ang serbisyo sa network:
/etc/init.d/procps.sh i-restart
ILANG PANANAMPALATAYA NG ERRATA (o ilang kalokohan sa aking bahagi) ipaalam sa akin sa ganitong paraan, ang iyong mga pagpuna at puna ay malugod na tinatanggap;
GINOO. SI ISAAC ANG MODERATOR na magkakaroon ng huling salita sa "laban."
Sa maikling video na ito maaari naming makita kung paano i-configure ang Mozilla upang magamit ang isang proxy server, maliban sa paggamit nito ng isang virtual machine na may ReactOS, ngunit ito ay maikli at sa palagay ko ay ILLUSTRATIONS kung ano ang nais mong i-configure dito (hindi pinagana ang link sa mga puwang, alisin ang mga ito at mag-browse):
ht tps: / / www. Youtube. com / manuod? v = st47K5t7s-Q
Nagsimula lang akong sundin ang iyong istasyon ng radyo, 2 araw na ako .. at napakahusay na nilalaman ..
Mga pagbati mula sa Mexico .. (Ako ay isang guro at ang aking butil ng buhangin ay dapat gamitin ang opensource)
Nais kong tulungan mo ako Nais kong bigyan ang pribilehiyo sa isang gumagamit na makita ang Facebook at ang iba ay kasama ang mga paghihigpit na na-configure at kung paano paganahin ang mga gumagamit ng Internet sa ilang mga oras na nais kong payuhan mo ako, salamat
Ari, ang ipinaliwanag nila sa akin sa bagay na ito ay ang machine na gusto mo ay hindi pinaghihigpitan, ito ay dapat iwanang, ngunit hanggang sa mayroon akong paliwanag, wala rin akong karanasan sa paksa
Magandang gabi, patawarin mo ako, marahil ang aking katanungan ay medyo basic ngunit hey, nag-install ako ng pusit at naka-configure sa isang centos 5.4, nag-install ng alak at ultrasurf, kung ano ang balak kong gawin ay ibahagi ang internet mula sa ultrasurf sa pusit, ginagawa ko ang pareho sa isang windows machine XP na may FreeProxy at ultrasurf at maibabahagi ko ito nang walang problema ngunit hindi ko alam kung paano ito gawin sa linux
Kinokonsulta ko kayo, mayroon akong isang pagsasaayos tulad ng sa iyo, sa aking kaso ay nagre-redirect ako ng port 80 hanggang 8080 kung saan tumatakbo ang pusit. Ang problema ay iniiwan ng ilang mga gumagamit ang pagsasaayos na iyon sa kanilang mga computer, at pag-access sa pamamagitan ng port 80, kahit na hindi lahat ng mga serbisyo. Ito ay may iptables. Mayroon ka bang ideya kung saan ang problema?
Napaka kapaki-pakinabang at mahusay na ipinaliwanag. Salamat!
Mayroon akong isang katanungan, kapag nais kong lumikha ng isang acl, saan ko ito gagawin, iyon ay, sa anong linya ng file ng pagsasaayos? At dapat ko bang agad na maglagay ng 2 linya sa ibaba ng http_access utos tulad ng ipinakita mo sa iyong post? O saan?
Salamat ulit!! Pagbati po!