Squid

Aus Arktur
Wechseln zu: Navigation, Suche

Inhaltsverzeichnis

Konfiguration

squid -v

zeigt u.a. die Kompilations-Parameter an.

Filter

Die Filterregeln sind in der "squid.conf" im Abschnitt 7 eingetragen.

Prinzip

  • die Regel wird per "acl <acl-Name> ..." definiert
  • das Verhalten (i.a. "deny" oder "allow") wird per "http_access <acl-Name> ..." definiert
  • "1. Treffer zählt" - d.h:
    • sobald eine "allow"- oder "deny"-Regel zutrifft, werden die folgenden Regeln nicht mehr abgearbeitet

Struktur

Seit einigen Squid-Versionen kann der Regelsatz per "include"-Anweisung eingetragen werden; das erleichtert die Pflege der Regeln, und das erleichtert, einzelne Regelsätze einfach ein- oder auszublenden.

Seit Arktur 5.2.04 ist vor-eingestellt, dass die speziellen Regelsätze in "/etc/squid/conf.d" eingetragen werden, der Bereich in Abschnitt 7 der "squid.conf" kann dann z.B. so aussehen:

# privilegierte Rechner
include /etc/squid/conf.d/spezdarf.conf

# Anmeldung per identd
include /etc/squid/conf.d/ident.conf
# spezielle ident-Auswertung
# include /etc/squid/conf.d/darfnicht.conf

# Schmuddelfilter
include /etc/squid/conf.d/schmuddel.conf

# spezielle Blocklisten
include /etc/squid/conf.d/spezblock.conf

# raumweise Freigabe
include /etc/squid/conf.d/raumfrei.conf

# Authentifizierung
include /etc/squid/conf.d/auth.conf

#	Allow everything else
# http_access allow  all

Und die "auth.conf" kann so aussehen:

# Dieter Kroemer
auth_param basic program /usr/libexec/ncsa_auth /etc/squid/.htpasswd

auth_param basic children 20
auth_param basic realm Surf-Anmeldung
auth_param basic credentialsttl 60 minutes
# auth_param basic credentialsttl 10 minutes

acl Anmeldung proxy_auth REQUIRED
http_access deny !Anmeldung

Diese Struktur wirkt sich so aus:

  • wenn "schmuddel" und "spezblock" und "raumfrei" nicht zugeschlagen haben, dann wird "auth.conf" abgearbeitet
  • wenn der User sich brav ausgewiesen ("authentifiziert") hat, dann darf er surfen; genauer: wer die Anmeldung nicht besteht, der fliegt raus ("deny")

Weblinks

spezielle Regeln

Skript Liste Funktion
auth.conf (erneute) Authentifizierung am Proxy
ident.conf Anzeige des vom Client gemeldeten Usernamens
darfnicht.conf /etc/Schule/darfnicht einzelne User sperren
nocache.conf /etc/squid/nocache URLs, die nicht gecachet werden sollen (regex)
raumfrei.conf /etc/squid/frei IP-Adressen der zu sperrenden oder erlaubten Räume
schmuddel.conf /etc/squid/schmuddel, .../whitelist simple Negativ- und Positivlisten (regex)
spezdarf.conf /etc/squid/darf-MAC, .../darf-IP privilegierte MAC- oder IP-Adressen (bei Lehrerrechnern o.ä.)
spezblock.conf /etc/squid/block-MAC, .../block-IP speziell zu sperrende MAC- oder IP-Adressen

"AKTIVIEREN"

"squid" benutzt die Daten aus "/etc/squid.conf".

Wenn dort Daten geändert werden, dann werden sie per

squid -k reconfigure

eingelesen; etwaige Probleme werden (in den nächsten Minuten) vor allem in "/var/log/warn" gemeldet.

Schnellkontrolle nach einigen (wenigen) Minuten:

pgrep -l squid

muss u.a. mindestens 1 Zeile mit dem Text "squid" anzeigen.

Wenn die Änderungen dauerhaft wirken sollen, dann müssen sie in "/etc/squid/squid.conf.in" eingetragen werden; beim Aufbau einer Verbindung ins Internet wird diese Datei als Vorlage für "/etc/squid/squid.conf" genommen.

transparenter Proxy

Weblinks