Zugriff auf das Internet kontrollieren #

Ich war diese Woche in Situation, mal schnell den Zugriff auf bestimmte Webseiten verbieten zu müssen. Also: einen Router mit einer KrefixLinux -ähnlichen Konfiguration gab es bereits, und in der Debian-Paketliste bin ich mit squidguard (http://www.squidguard.org) und chastity-list fündig geworden. Der Nachfolger von squidguard ist ufdbguard (http://www.urlfilterdb.com).

SquidGuard wird in der /etc/squid.conf als redirect_program eingetragen:

  redirect_program /usr/sbin/squidGuard -c /etc/chastity/squidGuard.conf 

Damit funktioniert der Schutz über den Proxy. Dann muss man noch die Firewall (Port 80) dichtmachen. Damit nicht jeder User den Proxy im Browser eintragen muss, wäre ein transparenter Proxy gut. Dazu muss der Squid allerdings als Reverse-Proxy in der /etc/squid.conf konfiguriert sein:

  httpd_accel_host virtual 
  httpd_accel_port 8080
  httpd_accel_with_proxy on 
  httpd_accel_uses_host_header on 

In der Shorewall-Konfiguration sind folgende Einträge in /etc/shorewall/rules nötig:

  REDIRECT  loc  $FW::8080  tcp  www  -  all
  ACCEPT    $FW  net        tcp  www 

Ich hoffe ich habe nichts vergessen, denn ich musste das jetzt aus dem Gedächtnis schreiben...

PeterHormanns


"Dann kann man noch die Firewall als transparenten Proxy alle Zugriffe auf Port 80 umleiten lassen."

Das kann mann eigentlich ganz einfach machen, indem man mit IPtables alles, was auf dem Port 80 ankommt zum Port 3128 bzw 8080 umleitet.

Das sieht dann so aus:

  1. Alle Anfragen von eth1 am Prot 80 (web) an Port 3128 (Squid) weiterleiten
  iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j DNAT --to 192.168.2.1:3128

ich hoffe das hilft weiter

AnsgarJazdzewski


ufdbGuard (http://www.urlfilterdb.com) ist ein neuer URL-Filter und 8 mal schneller als squidguard. ufdbGuard basiert auf Squidguard und die Konfiguration hat dieselbe Syntax wie Squidguard. Dort kann man (gegen Lizenzgebühr) regelmäßig aktualisierte URL-Listen beziehen.

Add new attachment

Only authorized users are allowed to upload new attachments.
« This page (revision-2) was last changed on 13-Nov-2006 20:16 by MarkusMonderkamp