View Attach Info

Zugriff auf das Internet kontrollieren #

Ich war diese Woche in Situation, mal schnell den Zugriff auf bestimmte Webseiten verbieten zu müssen. Also: einen Router mit einer KrefixLinux -ähnlichen Konfiguration gab es bereits, und in der Debian-Paketliste bin ich mit squidguard (http://www.squidguard.org) und chastity-list fündig geworden. Der Nachfolger von squidguard ist ufdbguard (http://www.urlfilterdb.com).

SquidGuard wird in der /etc/squid.conf als redirect_program eingetragen: 

  redirect_program /usr/sbin/squidGuard -c

/etc/chastity/squidGuard.conf

Damit funktioniert der Schutz über den Proxy. Dann muss man noch die Firewall (Port 80) dichtmachen. Damit nicht jeder User den Proxy im Browser eintragen muss, wäre ein transparenter Proxy gut. Dazu muss der Squid allerdings als Reverse-Proxy in der /etc/squid.conf konfiguriert sein: 

  httpd_accel_host virtual  ::::: OK, dann müssen wir in den Version noch genauer sein 3.0.? mein XEN ist nun ein SID (wegen ATI Treiber,denn musste ich mal testen) der XEN Krenel kommt aber aus ETCH, nur die INITRD ist neu gebaut, weil libcrübt.so.1 nicht in SID ist, sondern so.3 da steht. Nur für den Fall, dass sich mal jemand wundert wieso file not found kommt.
  httpd_accel_port 8080
  httpd_accel_with_proxy on 
  httpd_accel_uses_host_header on

In der Shorewall-Konfiguration sind folgende Einträge in /etc/shorewall/rules nötig: 

  REDIRECT  loc  $FW::8080  tcp  www  -  all
  ACCEPT    $FW  net        tcp  www
Ich hoffe ich habe nichts vergessen, denn ich musste das jetzt aus dem Gedächtnis schreiben...

PeterHormanns

"Dann kann man noch die Firewall als transparenten Proxy alle Zugriffe auf Port 80 umleiten lassen."

Das kann mann eigentlich ganz einfach machen, indem man mit IPtables alles, was auf dem Port 80 ankommt zum Port 3128 bzw 8080 umleitet.

Das sieht dann so aus:

  1. Alle Anfragen von eth1 am Prot 80 (web) an Port 3128 (Squid) weiterleiten 
  iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j DNAT --to 192.168.2.1:3128

ich hoffe das hilft weiter

AnsgarJazdzewski

ufdbGuard (http://www.urlfilterdb.com) ist ein neuer URL-Filter und 8 mal schneller als squidguard. ufdbGuard basiert auf Squidguard und die Konfiguration hat dieselbe Syntax wie Squidguard. Dort kann man (gegen Lizenzgebühr) regelmäßig aktualisierte URL-Listen beziehen.

Add new attachment

Only authorized users are allowed to upload new attachments.
« This page (revision-2) was last changed on 13-Nov-2006 20:16 by MarkusMonderkamp