Zoeken op website

SquidGuard configureren, inhoudsregels inschakelen en Squid-logboeken analyseren - Deel 6

Een LFCE (Linux Foundation Certified Engineer) is een professional die over de nodige vaardigheden beschikt om netwerkservices in Linux-systemen te installeren, beheren en problemen op te lossen, en die verantwoordelijk is voor de ontwerp, implementatie en voortdurend onderhoud van de systeemarchitectuur in zijn geheel.

Introductie van het Linux Foundation-certificeringsprogramma.

In eerdere berichten hebben we besproken hoe je Squid + squidGuard installeert en hoe je squid configureert om toegangsverzoeken correct af te handelen of te beperken. Zorg ervoor dat je deze twee tutorials doorneemt en zowel Squid als squidGuard installeert voordat je verdergaat, aangezien ze de achtergrond en de context bepalen voor wat we in dit bericht zullen behandelen: squidguard integreren in een werkende squid-omgeving om blacklist-regels en inhoudscontrole over de te implementeren proxy server.

Vereisten

  1. Installeer Squid en SquidGuard – Deel 1
  2. Squid Proxy Server configureren met beperkte toegang – Deel 5

Waar kan ik SquidGuard wel/niet voor gebruiken?

Hoewel squidGuard de functies van Squid zeker zal versterken en verbeteren, is het belangrijk om te benadrukken wat het wel en niet kan.

squidGuard kan worden gebruikt om:

  1. de toegestane webtoegang voor sommige gebruikers beperken tot een lijst met geaccepteerde/bekende webservers en/of URL's, terwijl de toegang wordt geweigerd tot andere op de zwarte lijst geplaatste webservers en/of URL's.
  2. blokkeer voor sommige gebruikers de toegang tot sites (via IP-adres of domeinnaam) die overeenkomen met een lijst met reguliere expressies of woorden.
  3. het gebruik van domeinnamen vereisen/het gebruik van IP-adressen in URL's verbieden.
  4. Geblokkeerde URL's omleiden naar fout- of infopagina's.
  5. gebruik verschillende toegangsregels op basis van het tijdstip, de dag van de week, de datum enz.
  6. implementeer verschillende regels voor verschillende gebruikersgroepen.

Noch squidGuard, noch Squid kunnen echter worden gebruikt om:

  1. analyseer tekst in documenten en handel naar resultaat.
  2. detecteer of blokkeer ingebedde scripttalen zoals JavaScript, Python of VBscript in HTML-code.

Zwarte lijsten – de basis

Zwarte lijsten zijn een essentieel onderdeel van squidGuard. Kortom, het zijn platte tekstbestanden waarmee u inhoudsfilters kunt implementeren op basis van specifieke trefwoorden. Er zijn zowel gratis beschikbare als commerciële zwarte lijsten, en je kunt de downloadlinks vinden op de website van het squidguard blacklists-project.

In deze tutorial laat ik u zien hoe u de zwarte lijsten van Shalla Secure Services kunt integreren in uw squidGuard-installatie. Deze zwarte lijsten zijn gratis voor persoonlijk/niet-commercieel gebruik en worden dagelijks bijgewerkt. Ze omvatten vanaf vandaag meer dan 1.700.000 inzendingen.

Laten we voor ons gemak een map maken om het zwartelijstpakket te downloaden.

mkdir /opt/3rdparty
cd /opt/3rdparty 
wget http://www.shallalist.de/Downloads/shallalist.tar.gz

De nieuwste downloadlink is altijd beschikbaar, zoals hieronder aangegeven.

Nadat we het zojuist gedownloade bestand hebben uitgepakt, bladeren we naar de map op de zwarte lijst (BL).

tar xzf shallalist.tar.gz 
cd BL
ls

Je kunt de mappen die in de uitvoer van ls worden weergegeven, beschouwen als backlist-categorieën, en hun corresponderende (optionele) submappen als subcategorieën, helemaal aflopend naar specifieke URL's en domeinen, die in de bestanden worden vermeld. respectievelijk urls en domeinen. Raadpleeg de onderstaande afbeelding voor meer details.

Zwarte lijsten installeren

Installatie van het hele blacklist pakket, of van individuele categorieën, wordt uitgevoerd door respectievelijk de map BL of een van de submappen ervan te kopiëren naar de map /var/ lib/squidguard/db map.

Natuurlijk had je de blacklist tarball in de eerste plaats ook naar deze directory kunnen downloaden, maar de eerder uitgelegde aanpak geeft je meer controle over welke categorieën op een specifiek tijdstip wel of niet geblokkeerd moeten worden.

Vervolgens laat ik je zien hoe je de zwarte lijsten anonvpn, hacking en chat installeert en hoe je squidGuard configureert om ze te gebruiken.

Stap 1: Kopieer recursief de mappen anonvpn, hacking en chat uit /opt/3rdparty/ BL naar /var/lib/squidguard/db.

cp -a /opt/3rdparty/BL/anonvpn /var/lib/squidguard/db
cp -a /opt/3rdparty/BL/hacking /var/lib/squidguard/db
cp -a /opt/3rdparty/BL/chat /var/lib/squidguard/db

Stap 2: Gebruik de domeinen en URL-bestanden om de databasebestanden van squidguard te maken. Houd er rekening mee dat de volgende opdracht werkt voor het maken van .db-bestanden voor alle geïnstalleerde zwarte lijsten – zelfs als een bepaalde categorie 2 of meer subcategorieën heeft.

squidGuard -C all

Stap 3: Wijzig het eigendom van de map /var/lib/squidguard/db/ en de inhoud ervan naar de proxygebruiker, zodat Squid de databasebestanden kan lezen.

chown -R proxy:proxy /var/lib/squidguard/db/

Stap 4: Configureer Squid om squidGuard te gebruiken. We zullen Squid's url_rewrite_program richtlijn in /etc/squid/squid.conf gebruiken om Squid te vertellen squidGuard te gebruiken als URL-rewriter/redirector.

Voeg de volgende regel toe aan squid.conf en zorg ervoor dat /usr/bin/squidGuard in jouw geval het juiste absolute pad is.

which squidGuard
echo "url_rewrite_program $(which squidGuard)" >> /etc/squid/squid.conf
tail -n 1 /etc/squid/squid.conf

Stap 5: Voeg de benodigde richtlijnen toe aan het configuratiebestand van squidGuard (bevindt zich in /etc/squidguard/squidGuard.conf).

Raadpleeg de bovenstaande schermafbeelding, na de volgende code, voor verdere verduidelijking.

src localnet {
        ip      192.168.0.0/24
}

dest anonvpn {
        domainlist      anonvpn/domains
        urllist         anonvpn/urls
}
dest hacking {
        domainlist      hacking/domains
        urllist         hacking/urls
}
dest chat {
        domainlist      chat/domains
        urllist         chat/urls
}

acl {
        localnet {
                        pass     !anonvpn !hacking !chat !in-addr all
                        redirect http://www.lds.org
                }
        default {
                        pass     local none
        }
}

Stap 6: Start Squid opnieuw en test.

service squid restart 		[sysvinit / Upstart-based systems]
systemctl restart squid.service 	[systemctl-based systems]

Open een webbrowser in een client binnen een lokaal netwerk en blader naar een site die voorkomt in een van de blacklist-bestanden (domeinen of URL's – we gebruiken http://spin.de/ chat in het volgende voorbeeld ) en u wordt doorgestuurd naar een andere URL, in dit geval www.lds.org.

U kunt verifiëren dat het verzoek bij de proxyserver is ingediend, maar is afgewezen (301 http-antwoord – Permanent verplaatst) en in plaats daarvan is doorgestuurd naar www.lds.org.

Beperkingen verwijderen

Als u om wat voor reden dan ook een categorie moet inschakelen die in het verleden is geblokkeerd, verwijder dan de overeenkomstige map uit /var/lib/squidguard/db en becommentarieer (of verwijder) de gerelateerde acl in het bestand squidguard.conf.

Als u bijvoorbeeld de domeinen en URL's wilt inschakelen die op de zwarte lijst staan van de categorie anonvpn, moet u de volgende stappen uitvoeren.

rm -rf /var/lib/squidguard/db/anonvpn

En bewerk het bestand squidguard.conf als volgt.

Houd er rekening mee dat de geel gemarkeerde delen onder BEFORE in AFTER zijn verwijderd.

Het op de witte lijst zetten van specifieke domeinen en URL’s

Het kan voorkomen dat u bepaalde URL's of domeinen wilt toestaan, maar niet een volledige map op de zwarte lijst. In dat geval moet u een map maken met de naam myWhiteLists (of welke naam u ook kiest) en de gewenste URL's en domeinen invoegen onder /var/lib/squidguard/db/myWhiteLists in bestanden met de naam respectievelijk URL's en domeinen.

Initialiseer vervolgens de nieuwe inhoudsregels zoals voorheen,

squidGuard -C all

en wijzig squidguard.conf als volgt.

Net als voorheen geven de geel gemarkeerde onderdelen de wijzigingen aan die moeten worden toegevoegd. Houd er rekening mee dat de tekenreeks myWhiteLists als eerste moet staan in de rij die begint met pass.

Vergeet ten slotte niet om Squid opnieuw op te starten om de wijzigingen toe te passen.

Conclusie

Na het volgen van de stappen die in deze tutorial worden beschreven, zou u een krachtige inhoudsfilter en URL-redirector moeten hebben die hand in hand werken met uw Squid-proxy. Als u problemen ondervindt tijdens uw installatie-/configuratieproces of als u vragen of opmerkingen heeft, kunt u de webdocumentatie van squidGuard raadplegen, maar u kunt ons altijd een bericht sturen via het onderstaande formulier. We nemen zo snel mogelijk contact met u op. mogelijk.