|
Etter å ha satt opp squid med squidGuard, tenkte jeg å gjøre noen notater til senere bruk, evt. til andre som skal gjøre det samme.
Omtalt versjon: SquidGuard: 1.2.0
Først:
Liste over kompatible "blacklists": Klikk her
Pakk ut "blacklistene" (forferdelig oversatt ja...) i katalogen som er spesifisert i squidGuard.conf
Default er: dbhome /var/lib/squidGuard/db (iallefall hos meg, ser ut som om at det kan variere, sjekk din squidGuard.conf)
NB! Alle instillinger som gjøres nå i første omgang er i /etc/squid/squidGuard.conf
Etter at du har pakket ut listene må du definere kategoriene i squidGuard, dette gjør du på følgende måte:
dest ads {
domainlist adv/domains
urllist adv/urls
}
dest porn {
domainlist porn/domains
urllist porn/urls
}
Kategoriene ovenfor definerer du utifra katalogstrukturen til listene du lastet ned tidligere.
Hvis du kjører en ls i /var/lib/squidGuard/db vil du se noe sånt som;
ads audio-video gamblig mail osv..
-dette er kataloger/kategorier, inni disse ligger det filer, domains/urls, noen ganger også expressions, dette er filer som inneholder navn og urlér til nettsteder som "hører" til kategoriene.
Hvis du skal ha en regel som gjelder for alle, definere du én default "acl" (Access List)
acl {
default {
pass white !adv !porn all
redirect http://localhost/block.html
}
}
Dette betyr at alle, ehm... "proxybrukere", vil få tilgang på alle sider untatt de som er oppført i domains/urls evt. expressions, legg merke til at i min acl har jeg en "white" uten "!" foran, dvs at hvis du definerer en white(list)-fil (denne filen legger du inn i en katalog som heter "white"i /var/lib/squidGuard/db/white), så vil sites i denne listen godkjennes uavhengig om den er definert i svarteliste-kategoriene ("white" må alltid stå rett etter pass i acl-definisjonen for at den skal fungere), mere om whitelist kommer kanskje senere.
Neste på lista er "redirect", her definerer du hvor brukeren skal bli sendt hvis squidGuard blokkerer en adresse, denne er obligatorisk, den MÅ være med..
Neste på lista er å aktivere svartelistene.
Aktivere svartelistene ja.., dette går ut på å convertere tekstfilene (domain/urls) til db-filer.
Ved å bruke db-filer øker man hastigheten på sjekking og blokking betraktelig.
For å aktivere disse listene, gjør man følgende -i shell:
squidguard -C all
-så må man sørge for at rettigheter er på plass
chown -R <squidbruker> /var/lib/squidguard/db/*
Bytt ut <squidbruker> med navnet på brukeren squidGuard kjører under, her kan du bruke samme som squid - "proxy"
Avhengig av maskinkraften og størrelsen på listene, så kan "squidguard -C all" ta litt tid.
Dette må man gjøre hver gang man oppdaterer listene...
Helt til slutt så må du fortelle squid at squidguard eksisterer, detter gjør du i /etv/squid/squid.conf
ex. nano /etc/squid/squid.conf
bla deg helt nederst i filen og legg til følgende linje;
redirect_program /usr/bin/squidGuard -c /etc/squid/squidGuard.conf
redirect_children 5
-redirect_children tar jeg med for å begrense antall sesjoner squidguard får dra i gang, blir det for mange kan det sluke både cpu-kraft og minne ...
Tilslutt legger jeg med sluttresultatet: squidGuard.conf
PS: Legg merke til at jeg i porn kategorien har lagt til en linje, der jeg ber om at alle "hits" på porn kategorien logges i en fil som heter "blockedpornaccess", dette kan du gjøre på alle de kategoriene du vil, loggene lagres i logdir som spesifiseres øverst i squidGuard.conf.
# CONFIG FILE FOR SQUIDGUARD
#
dbhome /var/lib/squidguard/db
logdir /var/log/squid
#
#
DESTINATION CLASSES:
#
dest ads {
domainlist ads/domains
urllist ads/urls
}
dest audio-video {
domainlist audio-video/domains
urllist audio-video/urls
}
dest porn {
domainlist porn/domains
urllist porn/urls
log blockedpornaccess
}
#
#
ACCESS
#
acl {
default {
pass !porn !ads !audio-video all
redirect http://www.disney.com
}
}
|
