ubuntuusers.de

Fragen zu Squid

Status: Gelöst | Ubuntu-Version: Ubuntu
Antworten |

chefweb

Avatar von chefweb

Anmeldungsdatum:
2. August 2006

Beiträge: Zähle...

Hallo,

kann mir jemand erklären, wie ich bei der Installation von Squid vorgehen muss?
Mein PC besitzt 2 Netzwerkarten( eth0, statische IP Internet; eth1 statische IP daran hängen 4 weitere PCs via Switch)
Diese 4 PC sollen über den "Server" surfen können, jedoch soll dieser einige Webinhalte filtern(XXX, etc.). Wie muss ich bei der Installation/Einrichtung von Squid vorgehen? Gibt es ein GUI dafür?

Danke

mreczio

Avatar von mreczio

Anmeldungsdatum:
1. Mai 2006

Beiträge: 1820

Wohnort: Essen

chefweb hat geschrieben:

Hallo,

kann mir jemand erklären, wie ich bei der Installation von Squid vorgehen muss?
Mein PC besitzt 2 Netzwerkarten( eth0, statische IP Internet; eth1 statische IP daran hängen 4 weitere PCs via Switch)
Diese 4 PC sollen über den "Server" surfen können, jedoch soll dieser einige Webinhalte filtern(XXX, etc.). Wie muss ich bei der Installation/Einrichtung von Squid vorgehen? Gibt es ein GUI dafür?

Danke

Nun zuerst gibt es im Netz sehr gute Anleitungen zur Konfiguration von Squid bzw. ist die squid.conf auch sehr gut dokumentiert.
Also würde ich sagen nicht nur Installieren sondern auch lesen, weil es nutzt nicht sehr viel wenn man dir es erklärt und du verstehst das Prinzip nicht.
Kurzanleitung
Öffne die squid.conf mit dem Editor deiner wahl (als root z.b. sudo vi /etc/squid/squid.conf)
Suche dort die Zeile http_port 8080:
das ist der Port auf den Squid hört. Kannst du auch ändern z.B. in 3128.
Für den Verbot von Zugriffen sind die ACL zuständig.
Dort wird einmal beschrieben was eine ACL machen sollen und im zweiten für wen sie gelten soll.

Also zuerstmal kannst du festlegen wer alles Squid nutzen darf und dann was von Squid gefiltert werden soll

Also suche den Abschnitt ACL und trage dort ein:

acl meinNetz src 192.168.0.0/255.255.0.0 # hier wird das Netz angegeben von wo der Zugriff auf Squid gestattet wird also Dein Netz
acl verboten url_regex -i "/etc/squid/verboten" # Diese Zeile ist für das Filtern bestimmter Begriffe oder Seiten.
acl erlaubt url_regex -i "/etc/squid/erlaubt" # Diese Zeile ist für das Zulassen von Seiten die möglicherweise durch die verboten-liste verboten währen. Anmerkung: Hilft mir wenn User Anrufen und mir sagen das Sie auf Seite XY nicht zugreifen können. Muss aber nicht sein

So weiter unten steht der Abschnitt http_access

Dieser sollte nun so aussehen.
http_access allow meinNetz #hiermit erlaubst den Zugriff aus deinem Netz
http_access allow erlaubt #hiermit den Zugriff auf Seiten die in der Datei /etc/squid/erlaubt stehen
http_access deny verboten # hieremit verbietest du den Zugriff auf Seiten oder Begriffe die in der /etc/squid/verboten stehen
http_access allow manager localhost # Standarteintrag
http_access deny manager # Standarteintrag
http_access deny !Safe_ports # Standarteintrag
http_access deny CONNECT !SSL_ports # Standarteintrag
http_access deny all # als letzte Regel wird alles was NICHT erlaubt wurde verboten.

So nun must du noch zwei Dateien erstellen im Verzeichnis /etc/squid die als Inhalt die Seiten oder Begriffe erhalten auf die die Filter zutreffen sollen.
Wichtig ist, das in jeder Zeile nur ein Begriff oder eine URL steht und diese mit einem Return abgeschlossen wird
Beispiel für die Verbotenliste
sudo vi /etc/squid/verboten

xxx
adult
parkplatzsex
sextreff.com

usw usw usw
Nun kann es sein, das du in der Datei /etc/squid/verboten Wörter stehen hast, die allerdings in anderen Wörten auch vor kommen z.b Sex und StaatSEXamen.
Für diese Möglichkeit gibt es eben die /etc/squid/erlaubt Liste in der du z.B. explizit Seiten erlaubst oder aber Begriffe.
Nun noch Squid neu Starten und im Browser des Clients die Adresse und den Port von Squid eintragen.
Schon sollte es laufen.
Um den Benutzern den Zugriff auf das Internet ohne Squid zu verbieten, solltest du natürlich ein paar Firewallregeln anlegen die das verbieten.

Wenn du die Liste verboten oder erlaubt erweiterst, so must du Squid die änderung mitteilen indem du ein squid reload ausführst.

So als zweite Variante gibt es z.B. Webmin mit dem du Squid auch konfigurieren kannst.

Martin

chefweb

(Themenstarter)
Avatar von chefweb

Anmeldungsdatum:
2. August 2006

Beiträge: 184

@mreczio

Vielen Dank für deine Hilfe! Squid läuft jetzt bei mir soweit und die Clients können darüber surfen, jedoch funktioniert das Regelwerk immer noch nicht richtig... Die Client können immer noch auf gesperrte Seiten zugreifen..

hier meine squid.conf:

http_port 8080
cache_replacement_policy heap LFUDA
memory_replacement_policy heap GDSF 
cache_mem  16 MB
cache_swap_low  80
cache_swap_high 95
maximum_object_size 32768 KB
minimum_object_size 0 KB
ipcache_size 1024
ipcache_low  80
ipcache_high 95
fqdncache_size 1024
cache_dir ufs /var/spool/squid 128 16  16

acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl pool src 192.168.1.0/255.255.255.0
acl localhost src 127.0.0.0/255.255.255.255
acl verboten url_regex -i "/etc/squid/verboten" 
acl erlaubt url_regex -i "/etc/squid/erlaubt" 
acl SSL_ports port 443 563
acl CONNECT method CONNECT
acl Safe_ports port 80 84 21 443 563 631 70 210 1025-65535
acl Safe_ports port 280		# http-mgmt
acl Safe_ports port 488		# gss-http
acl Safe_ports port 591		# filemaker
acl Safe_ports port 777		# multiling http

http_access allow pool 
http_access allow erlaubt
http_access deny verboten 
http_access allow manager localhost 
http_access deny manager
http_access deny !Safe_ports 
http_access deny CONNECT !SSL_ports 
http_access deny all 

mreczio

Avatar von mreczio

Anmeldungsdatum:
1. Mai 2006

Beiträge: 1820

Wohnort: Essen

chefweb hat geschrieben:

@mreczio

Vielen Dank für deine Hilfe! Squid läuft jetzt bei mir soweit und die Clients können darüber surfen, jedoch funktioniert das Regelwerk immer noch nicht richtig... Die Client können immer noch auf gesperrte Seiten zugreifen..

hier meine squid.conf:

http_port 8080
cache_replacement_policy heap LFUDA
memory_replacement_policy heap GDSF 
cache_mem  16 MB
cache_swap_low  80
cache_swap_high 95
maximum_object_size 32768 KB
minimum_object_size 0 KB
ipcache_size 1024
ipcache_low  80
ipcache_high 95
fqdncache_size 1024
cache_dir ufs /var/spool/squid 128 16  16

acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl pool src 192.168.1.0/255.255.255.0
acl localhost src 127.0.0.0/255.255.255.255
acl verboten url_regex -i "/etc/squid/verboten" 
acl erlaubt url_regex -i "/etc/squid/erlaubt" 
acl SSL_ports port 443 563
acl CONNECT method CONNECT
acl Safe_ports port 80 84 21 443 563 631 70 210 1025-65535
acl Safe_ports port 280		# http-mgmt
acl Safe_ports port 488		# gss-http
acl Safe_ports port 591		# filemaker
acl Safe_ports port 777		# multiling http

http_access allow pool 
http_access allow erlaubt
http_access deny verboten 
http_access allow manager localhost 
http_access deny manager
http_access deny !Safe_ports 
http_access deny CONNECT !SSL_ports 
http_access deny all 

tausche mal die zeilen
http_access allow erlaubt
http_access deny verboten
wenn es noch immer nicht klappert sach bescheid

chefweb

(Themenstarter)
Avatar von chefweb

Anmeldungsdatum:
2. August 2006

Beiträge: 184

hat leider nichts gebracht... woran kann es noch liegen? gibt es irgendwo bereits fertig Listen, mit Schlagwörtern die man erlauben und verbieten sollte?

chefweb

(Themenstarter)
Avatar von chefweb

Anmeldungsdatum:
2. August 2006

Beiträge: 184

es funktioniert endlich!, Danke

wo bekomme ich jetzt möglichst viele Stichwörter/Adressen für die "erlaubt" und "verboten" Listen her?

mreczio

Avatar von mreczio

Anmeldungsdatum:
1. Mai 2006

Beiträge: 1820

Wohnort: Essen

chefweb hat geschrieben:

es funktioniert endlich!, Danke

wo bekomme ich jetzt möglichst viele Stichwörter/Adressen für die "erlaubt" und "verboten" Listen her?

Kopf anstrengen ☺

Oder aber einfach ab und zu die log-datein von Squid anschauen welche Seiten besucht wurden und die Auffälligen sperren.
Es gibt noch die möglichkeit über Squidguard dies zu Regeln.
Da stehen die Einträge in einer Datenbank.
Ich hatte mal versucht die Daten aus der Datenbank in meiner Verbotenliste zu übernehmen war auch kein Prob. nur die Textdatei war etwa 2 MB groß und eine Anfrage an den Proxy dauerte dann seeeeeeehr lange. Habe dann doch lieber squidguard installiert.
Also solche Wörter wie ja, tiefer, schneller, schön, mach weiter, nimm mich würde ich nicht sperren ☺

Martrin

Lux Team-Icon

Avatar von Lux

Anmeldungsdatum:
10. November 2005

Beiträge: 5152

Wohnort: Grüt (Gossau ZH), Schweiz

chefweb hat geschrieben:

wo bekomme ich jetzt möglichst viele Stichwörter/Adressen für die "erlaubt" und "verboten" Listen her?

Das ist ein "Hase und Igel"-Spiel.

Wenn Du die Suchbegriffe zu weit fasst, fallen auch sinnvolle Seiten durch. (Die Bandbreite bei "Sex" reicht beispielsweise von Porno-Seiten bis zu biologischen Fachseiten, wobei die Fachseiten vermutlich nicht verboten werden sollen).

Gruß

Dirk

onebit

Avatar von onebit

Anmeldungsdatum:
17. Januar 2006

Beiträge: 38

Wohnort: Soonwald

Ich habe bei mir in der Firma das Wort "sex" natürlich auch gesperrt.
Bis ich einen MS SBS2k3 installieren musste und nach Updates für die Software suchte. Den MSEXchange2003 enthält auch dieses Keyword. Somit habe ich das mit den Keywords gelassen (bis das Ding dann lief, man will ja nicht zu freundlich zu seinen DAUs sein ☺.

Gruß
1

onebit

Avatar von onebit

Anmeldungsdatum:
17. Januar 2006

Beiträge: 38

Wohnort: Soonwald

Was auch klasse funktioniert ist die Zeitlichebegrenzung des Internetzugangs.
Von Mo bis Fr von 8 bis 18 Uhr durften die Leutz surfen.
Einfach mal hier [url http://www.squid-handbuch.de/hb/node50_ct.html#SECTION03363000000000000000]vorbei schauen[/url] 🤣
Ich konnte 28% des Internettraffic vom Squid ziehn.
Das Programm ist echt Klasse!

Antworten |