Thomas.will: Die Seite wurde neu angelegt: „ =Prinzip der ACL= {{#drawio:Prinzip der ACL}} =Lan und DMZ freischalten= ==acl bilden== acl lan src 172.16.150.0/24 acl dmz src 10.40.115.0/24 ==acl anwe…“

2026-04-22T10:22:47Z

Die Seite wurde neu angelegt: „ =Prinzip der ACL= {{#drawio:Prinzip der ACL}} =Lan und DMZ freischalten= ==acl bilden== acl lan src 172.16.150.0/24 acl dmz src 10.40.115.0/24 ==acl anwe…“

Neue Seite

=Prinzip der ACL=
{{#drawio:Prinzip der ACL}}

=Lan und DMZ freischalten=
==acl bilden==
acl lan src 172.16.150.0/24
acl dmz src 10.40.115.0/24

==acl anwenden(Reihenfolge ist entscheidend)==
http_access allow lan
http_access allow dmz

=Webseite einschränken=
==Acl bilden==
acl facebook url_regex -i facebook

==Acl anwenden==
http_access deny facebook

==HTTP Port des Proxys angeben==

http_port 3128

=Logs checken=
*tail -f /var/log/squid/access.log
1490008947.188 2 192.168.244.144 TCP_MISS/503 4447 GET http://detectportal.firefox.com/success.txt - HIER_NONE/- text/html
=Blacklist erstellen=
*Wird erstellt, um diverse Seiten zu deaktivieren
==http-liste erstellen==
<pre>
vi /etc/squid/bad-sites.list
</pre>
==http-seiten hinzufügen==
<pre>
facebook.com
pr0gramm.com
</pre>
==erstellen der acl==
<pre>
acl bad-sites url_regex -i "/etc/squid/bad-sites.list"
</pre>
==erstellen der http_access==
<pre>
http_access deny bad-sites
</pre>
=Squid acl Types=
*[[Squid acl types]]

=Squid.conf all in one with Black List=
<pre>
# Squid lauscht auf allen Schnittstellen (inkl. WAN)
http_port 0.0.0.0:3128
# ACLs für die Netzwerke definieren
acl admin-netz src 172.16.1xx.0/24
acl lan src 172.17.1xx.0/24
acl dmz src 10.0.1xx.0/24
# Blacklist-Datei einbinden
acl bad-sites url_regex -i "/etc/squid/bad-sites.list"
# Admin-Netz uneingeschränkt erlauben
http_access allow admin-netz
# LAN & DMZ haben Zugriff, aber mit Blacklist-Einschränkung
http_access deny bad-sites lan
http_access deny bad-sites dmz
# LAN & DMZ dürfen surfen
http_access allow lan
http_access allow dmz
# Standardmäßig alles verbieten
http_access deny all
</pre>

=Squid.conf all in one with White List=
<pre>
# Squid lauscht auf allen Schnittstellen (inkl. WAN)
http_port 0.0.0.0:3128
# ACLs für die Netzwerke definieren
acl admin-netz src 172.16.1xx.0/24
acl lan src 172.17.1xx.0/24
acl dmz src 10.0.1xx.0/24
# Whitelist-Datei einbinden
acl allowed-sites dstdomain "/etc/squid/allowed-sites.list"
# Admin-Netz uneingeschränkt erlauben
http_access allow admin-netz
# LAN & DMZ dürfen nur freigegebene Seiten besuchen
http_access allow lan allowed-sites
http_access allow dmz allowed-sites
# Standardmäßig alles verbieten
http_access deny all
</pre>

=Authentifizierung erzwingen=

Zur Vermeidung von ungewollten Zugriffen lässt sich in Squid auch eine Authetifizierung erzwingen

==Erstellen einer Passwort Datei==
*sudo apt install apache2-utils ''(Debian/Ubuntu)''
*sudo dnf install httpd-tools ''(Rocky Linux)''
*htpasswd -c /etc/squid/passwd username

Syntax:
*htpasswd: Programmname
*-c: Create new passwordfile, also neue Passwortdatei erstellen
*passwordfile: Passwortdatei mit beliebigem Namen. Auch der Ort kann beliebig gewählt werden
*username: Name eines Benutzers (beliebig)

Nach Bestätigen des Befehls wird htpasswd nach einem Passwort für den Benutzer verlangen. Dies kann ebenfalls beliebig gewählt werden.

Weiter Benutzer:
*htpasswd /etc/squid/passwd benutzer2

==Änderungen an der squid.conf==

Folgende Einträge werden am Anfang der squid.conf eingefügt:

<pre>
auth_param basic program /usr/lib/squid/basic_ncsa_auth /etc/squid/passwd
auth_param basic children 20 startup=0 idle=1
auth_param basic concurrency 0
auth_param basic credentialsttl 500 seconds
auth_param basic realm xinux proxy server
auth_param basic casesensitive off

acl ncsa_users proxy_auth REQUIRED

http_access allow ncsa_users

</pre>

'''Hinweis Rocky Linux:''' Der Helper-Pfad unterscheidet sich je nach Distribution:
{| class="wikitable"
! Distribution !! Pfad
|-
| Debian / Ubuntu || <code>/usr/lib/squid/basic_ncsa_auth</code>
|-
| Rocky Linux / RHEL || <code>/usr/lib64/squid/basic_ncsa_auth</code>
|}

Syntax:
*auth_param: Definiert die Parameter für die Authentifizierung
*basic: Teilt squid mit, dass es sich um grundsätzliche Einstellungen handelt, die zur Anwendung kommen wenn keine anderen verfügbar sind. Weitere Optionen siehe squid Manual
*program: Es wird ein externes Programm zur Authentifizierung eingesetzt
*/usr/lib/squid/basic_ncsa_auth: Hier befindet sich das Programm
*/etc/squid/passwd: Dies ist die Passwortdatei
*children: Wieviele Authentifikationsprozesse Squid maximal starten soll
*concurrency: Wieviele Anfragen gleichzeitig bearbeitet werden dürfen
*credentialsttl: Wie lange die Anmeldedaten gültig sein sollen
*realm: Name des Bereichs für den der Proxy zuständig ist. Kann beliebig gewählt werden.
*casesensitive: Legt fest ob der BENUTZERname case-sensitiv sein soll

==Authentifizierung mit ldap==

Zusätzliche Packete:
sudo apt install libldap-2.5-0 ldap-utils ''(Debian/Ubuntu)''
sudo dnf install openldap-clients ''(Rocky Linux)''
Debian 13
sudo apt install libldap2 ldap-utils

<pre>
# LDAP-Authentifizierung einrichten

auth_param basic program /usr/lib/squid/basic_ldap_auth -v 3 -b ou=users,dc=it113,dc=int -D cn=admin,dc=it113,dc=int -w 123Start$ -f uid=%s -h ldap.it113.int
auth_param basic children 20 startup=0 idle=1
auth_param basic concurrency 0
auth_param basic credentialsttl 500 seconds
auth_param basic realm xinux proxy server
auth_param basic casesensitive off

# ACL für authentifizierte Benutzer
acl ldap-auth proxy_auth REQUIRED

# Zugriff erlauben
http_access allow ldap-auth
</pre>

'''Hinweis Rocky Linux:''' Auch hier gilt der abweichende Pfad:
{| class="wikitable"
! Distribution !! Pfad
|-
| Debian / Ubuntu || <code>/usr/lib/squid/basic_ldap_auth</code>
|-
| Rocky Linux / RHEL || <code>/usr/lib64/squid/basic_ldap_auth</code>
|}

===Authentifizierung mit LDAP-Gruppen===
*'''/etc/squid/squid.conf'''
**Zusätzlich zur oben genannten Authentifizierung mit LDAP, kann hier mit Filter von Gruppen gearbeitet werden. Fügen Sie dafür folgende Zeile hinzu:
<pre>
external_acl_type ldap_group %LOGIN /usr/lib/squid/ext_ldap_group_acl -v 3 -b ou=groups,dc=it113,dc=int -D cn=admin,dc=it113,dc=int -w 123Start$ -f "(&(objectClass=posixGroup)(cn=%g)(memberUid=%u))" -h ldap.it113.int

acl it external ldap_group it

http_access allow it
</pre>

'''Hinweis Rocky Linux:''' Pfad des Helpers:
{| class="wikitable"
! Distribution !! Pfad
|-
| Debian / Ubuntu || <code>/usr/lib/squid/ext_ldap_group_acl</code>
|-
| Rocky Linux / RHEL || <code>/usr/lib64/squid/ext_ldap_group_acl</code>
|}

=Rocky Linux – zusätzliche Konfiguration=

Bei Rocky Linux sind gegenüber Debian/Ubuntu einige zusätzliche Schritte erforderlich.

==Firewall (firewalld)==

Rocky Linux verwendet standardmäßig <code>firewalld</code>. Der Squid-Port 3128 muss explizit freigegeben werden:
<pre>
sudo firewall-cmd --permanent --add-port=3128/tcp
sudo firewall-cmd --reload
</pre>

==SELinux==

Rocky Linux läuft mit aktivem SELinux. Dateien, die außerhalb der Squid-Standardpfade abgelegt werden (z.B. Passwortdatei, Blacklist), benötigen den korrekten SELinux-Kontext:
<pre>
sudo chcon -t squid_conf_t /etc/squid/passwd
sudo chcon -t squid_conf_t /etc/squid/bad-sites.list
sudo chcon -t squid_conf_t /etc/squid/allowed-sites.list
</pre>

Alternativ kann <code>restorecon</code> verwendet werden, sofern der Standardkontext für den Pfad korrekt gesetzt ist:
<pre>
sudo restorecon -v /etc/squid/passwd
</pre>

==Paketübersicht==
{| class="wikitable"
! Funktion !! Debian / Ubuntu !! Rocky Linux
|-
| Squid || <code>apt install squid</code> || <code>dnf install squid</code>
|-
| htpasswd || <code>apt install apache2-utils</code> || <code>dnf install httpd-tools</code>
|-
| LDAP-Utils || <code>apt install ldap-utils</code> || <code>dnf install openldap-clients</code>
|-
| LDAP-Bibliothek || <code>apt install libldap-2.5-0</code> || als Abhängigkeit enthalten
|}

=Links=
*https://wiki.squid-cache.org/SquidFaq/SquidAcl

Squid ACL Basic Rocky - Versionsgeschichte

Thomas.will: Die Seite wurde neu angelegt: „ =Prinzip der ACL= {{#drawio:Prinzip der ACL}} =Lan und DMZ freischalten= ==acl bilden== acl lan src 172.16.150.0/24 acl dmz src 10.40.115.0/24 ==acl anwe…“