In kleinen Unternehmen oder aber auch zuhause, in einer WG oder sonst Wo, kann es manchmal von Vorteil sein, wenn man gewisse Webseiten Sperrt. Oder aber auch ein Elternteil möchte einige Inhalte aus dem Internet sperren, damit die Kinder keine Jugendgefährdenten Sachen sich ansehen.
Hierfür gibt es eine ganz einfache Methode -Squid, ich verwendet in diesem Tutorial Ubuntu 11.10.
Squid ist ein Programmtool von
Linux um Netzwerke zu überwachen und zu verwalten. Es handelt sich dabei um einen
http/FTP Proxy Dienst. Mit Hilfe von Masquerading lässt sich die Sicherheit des
Netzwerkes erhöhen bzw. durch die Sicherung der Internetzugriffe in einem
Cache.
Um Squid zu installieren verwendet man apt-get install
squid3, anschließend werden die Pakete geladen und installiert.
Squid lässt sich nun als Dienst mit Init.d starten und verwalten
(Bsp. sudo/etc/init.d/squid
status).
Um Squid Konfigurieren zu können muss die Datei squid.conf bearbeitet
werden. Jene Datei lässt sich mit sudo nano /etc/squid/squid.conf/ editieren.
Der Eintrag unter Netzwerk Port ist
Standardmäßig gesetzt.
#
TAG: http_port
http_port 3128
Möchte man hingegen auf eine interne
Schnittstelle verweisen nutz man folgendes.
http_port 192.168.61.219:3128
Squid benötig außerdem einen Zwischenspeicher, dieser kann unter
„TAG: maximum_object_size geändert“ werden. Als Standard gilt 20480 KB Speicher.
Die maximale Cache Größe legt man mit „# TAG: maximum_object_size_in_memory
(bytes)“ fest,
bei einem reinen http Proxy kann man bis zu 20% ohne Bedenken vergeben.
Den Speicher Ort des Caches kann man ebenfalls in der Conf festlegen,
hier ist bereits dieser Eintrag vorgenommen worden „# TAG: cache_dir
cache_dir
ufs /var/spool/squid 2000 16 256”.
Aus Sicherheitsgründen ist unter Squid als Standard gesetzt worden,
dass in der Grundkonfiguration keiner mit dem Proxy ins Internet gehen kann.
Dies kann mit den ACL verändert werden.
Ein Bespiel hierfür ist folgender:
ACL FreigebenA src 192.168.61.0/255.255.255.0
http Access allow FreigebenA
Möchte man hingegen nur, dass ein Teilbereich aus einem Netz diese Berechtigung hat,
gibt man folgendes an.
ACL FreigebenB src 192.168.61.1–192.168.61.50
http Access allow FreigebenB
Sollten bestimmte Clients nur die jeweilige Berechtigung haben, nutzt man folgendes.
ACL FreigebenC src 192.168.61.2
http Access allow FreigebenC
Um für Squid einen Hostnamen festzulegen, verändert man die Zeile
„# TAG: visible_hostname visible_hostname meinproxy“.
Es ist logisch das in einem Webproxy dafür gesorgt wird, das bestimmte Namenskontexte gesperrt werden (Bsp. XXX, Rapidshare etc.), damit für eine saubere Internetnutzung gesorgt ist. Dies realisiert man folgendermaßen.
mkdir /etc/squid
touch /etc/squid/gesperrt
chmod 644 /etc/squid/gesperrt
Dort können nun die Webseiten bzw. Namen eingetragen werden, die per Internetzugriff nicht aufgerufen werden sollen. Anschließend muss nur noch in der squid.conf „acl gesperrt url_regex -i "/etc/squid/gesperrt"“ eingetragen werden.
Dies könnte dann so aussehen:
acl all src 0.0.0.0/0.0.0.0
acl manager proto
cache_object
acl localhost src
127.0.0.1/255.255.255.255
acl SSL_ports port 443 563
acl Safe_ports port 80 21
443 563 70 210 1025 - 65535
acl CONNECT method CONNECT
acl gesperrt url_regex -i "/etc/squid/gesperrt" Gewohnter Weise muss anschließend Squid nur noch neugestartet werden, nun kann man nachdem wir den Eintrag im Browser oder in den Netzwerkeinstellungen vorgenommen haben, testen ob der Proxy funktioniert.
Anmerkung: Es sollten nur Root auf den Ordner „gesperrt“ zugriff haben. Wichtig ist außerdem das bei „http access deny/allow“ die Reinfolge eingehalten wird.
Nach einigen Augenblicken der Konfiguration über das Terminal, kann auch schon der Proxy Server in Betrieb genommen werden.
Ich hoffe es hat ein wenig geholfen ;).
Gruß
René
