Squid-Kit-2: Unterschied zwischen den Versionen

Aus Xinux Wiki
Zur Navigation springen Zur Suche springen
 
(18 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 1: Zeile 1:
 
=Beispielkonzept=
 
=Beispielkonzept=
Bestimmte Rechner dürfen alles alle Anderen dürfen nur auf bestimmte Webseiten.
+
==Erstellen der Dateien==
;Diese Rechner dürfen alles
+
;Ein Teil der Clients bekommt vollen Zugriff.
 +
;Alle anderen dürfen nur eingeschränkt auf bestimmte Webseiten zugreifen.
 +
 
 +
;Liste von IP-Adressen, die uneingeschränkt surfen dürfen.
 +
;Diese Datei wird später als ACL eingebunden.
 
*vi /etc/squid/teamleitung.txt  
 
*vi /etc/squid/teamleitung.txt  
  172.17.113.24  
+
172.26.2XX.10  
  172.17.113.33
+
172.26.2XX.33
  172.17.113.49   
+
172.26.2XX.49   
;Der Rest bekommt Einschränkungen welche Seite sie aufrufen dürfen.
+
 
 +
;Liste von gesperrten Webseiten oder Begriffen.
 +
;url_regex prüft URLs auf diese Einträge.
 
*vi /etc/squid/badsites.txt  
 
*vi /etc/squid/badsites.txt  
  bild.de
+
  bild\.de
 
  sex
 
  sex
  www.faz.net
+
  www\.faz\.net
;In die squid.conf kommen nun die acls
+
facebook
 +
 
 +
==Einbinden in die /etc/squid.conf==
 +
;Einbinden der Dateien als ACL in Squid.
 +
;src = IP-Filter, url_regex = URL-Filter.
 +
Die doppelten Hochkommas bedeuten das die Regel in einer Datei ausgelagert wird-
 
  acl teamleitung src "/etc/squid/teamleitung.txt"
 
  acl teamleitung src "/etc/squid/teamleitung.txt"
  acl badsites url_regex "/etc/squid/badsites.txt"
+
  acl badsites url_regex "/etc/squid/badsites.txt"
;Anwenden der acls
+
 
 +
;Regeln werden von oben nach unten abgearbeitet.
 +
;Erst erlauben, dann verbieten, dann Standardregeln.
 
  http_access allow teamleitung
 
  http_access allow teamleitung
 
  http_access deny badsites
 
  http_access deny badsites
 
  http_access allow it-dmz
 
  http_access allow it-dmz
 
  http_access allow it-lan
 
  http_access allow it-lan
 +
 +
'''Hinweis Rocky Linux:''' SELinux-Kontext für externe Dateien setzen:
 +
<pre>
 +
chcon -t squid_conf_t /etc/squid/teamleitung.txt
 +
chcon -t squid_conf_t /etc/squid/badsites.txt
 +
</pre>
 +
==Squid reloaden==
 +
*systemctl reload squid
 +
==Kontrolle==
 +
*tail -f /var/log/squid/access.log
  
 
=Authentifizierung=
 
=Authentifizierung=
 +
;Zusätzliche Absicherung des Proxys durch Benutzeranmeldung.
 +
;Verhindert Nutzung durch nicht autorisierte Clients.
 +
 +
=Installation von htpasswd=
 +
;Werkzeug zur Erstellung von Benutzer/Passwort-Dateien.
 +
;Wird für Basic Authentication verwendet.
 +
 +
{| class="wikitable"
 +
! Distribution !! Befehl
 +
|-
 +
| Debian / Ubuntu || <code>apt install apache2-utils</code>
 +
|-
 +
| Rocky Linux || <code>dnf install httpd-tools</code>
 +
|}
  
Zur Vermeidung von ungewollten Zugriffen lässt sich in Squid auch eine Authetifizierung erzwingen
 
=Installation von htpasswd
 
* apt install apache2-utils
 
 
==Erstellen einer Passwort Datei==
 
==Erstellen einer Passwort Datei==
+
;Erstellt eine neue Passwortdatei mit dem ersten Benutzer.
 +
;-c darf nur beim ersten Aufruf verwendet werden.
 
*htpasswd -c /etc/squid/password martha
 
*htpasswd -c /etc/squid/password martha
*htpasswd  /etc/squid/password leroy
 
  
 +
;Fügt einen weiteren Benutzer zur bestehenden Datei hinzu.
 +
;Die Datei wird nicht überschrieben.
 +
*htpasswd /etc/squid/password leroy
  
 
{| class="wikitable"
 
{| class="wikitable"
 
! Option !! Bedeutung
 
! Option !! Bedeutung
 
|-
 
|-
| <code>htpasswd</code> || Programmname (zum Verwalten von HTTP-Authentifizierungsdateien)
+
| <code>htpasswd</code> || Programm zur Verwaltung von Benutzerdateien
 
|-
 
|-
| <code>-c</code> || Erstellt eine neue Passwortdatei (nur beim ersten Mal verwenden!)
+
| <code>-c</code> || Erstellt neue Datei (überschreibt bestehende!)
 
|-
 
|-
| <code>passwordfile</code> || Beliebiger Dateiname und Speicherort für die Passwortdatei
+
| <code>passwordfile</code> || Speicherort der Benutzerdatei
 
|-
 
|-
| <code>username</code> || Beliebiger Benutzername, der eingetragen werden soll
+
| <code>username</code> || Benutzername
 
|}
 
|}
  
 
==Änderungen an der squid.conf==
 
==Änderungen an der squid.conf==
 +
;Aktiviert Basic Authentication in Squid.
 +
;Benutzer müssen sich am Proxy anmelden.
  
 
Folgende Einträge werden am Anfang der squid.conf eingefügt:
 
Folgende Einträge werden am Anfang der squid.conf eingefügt:
  
<pre>
+
{| class="wikitable"
auth_param basic program /usr/lib/squid/basic_ncsa_auth /etc/squid/passwd
+
! Distribution !! Pfad
auth_param basic children 20 startup=0 idle=1
+
|-
auth_param basic concurrency 0
+
| Debian / Ubuntu || <code>/usr/lib/squid/basic_ncsa_auth</code>
auth_param basic credentialsttl 500 seconds
+
|-
auth_param basic realm xinux proxy server
+
| Rocky Linux || <code>/usr/lib64/squid/basic_ncsa_auth</code>
auth_param basic casesensitive off
+
|}
  
acl ncsa_users proxy_auth REQUIRED
+
auth_param basic program /usr/lib/squid/basic_ncsa_auth /etc/squid/password
 +
auth_param basic children 20 startup=0 idle=1
 +
auth_param basic concurrency 0
 +
auth_param basic credentialsttl 500 seconds
 +
auth_param basic realm it2XX proxy server
 +
auth_param basic casesensitive off
 +
acl ncsa_users proxy_auth REQUIRED
 +
http_access allow ncsa_users
  
http_access allow ncsa_users
+
'''Hinweis Rocky Linux:''' SELinux-Kontext für die Passwortdatei setzen:
 +
<pre>
 +
chcon -t squid_conf_t /etc/squid/password
 +
</pre>
  
</pre>
+
{| class="wikitable"
 +
! Option || Bedeutung
 +
|-
 +
| <code>auth_param</code> || Definiert Authentifizierungsparameter
 +
|-
 +
| <code>basic</code> || Verwendet HTTP Basic Authentication
 +
|-
 +
| <code>program</code> || Externes Authentifizierungsprogramm
 +
|-
 +
| <code>/usr/lib/squid/basic_ncsa_auth</code> || Prüft Benutzer/Passwort
 +
|-
 +
| <code>/etc/squid/password</code> || Datei mit Zugangsdaten
 +
|-
 +
| <code>children</code> || Anzahl paralleler Auth-Prozesse
 +
|-
 +
| <code>concurrency</code> || Gleichzeitige Anfragen pro Prozess
 +
|-
 +
| <code>credentialsttl</code> || Gültigkeitsdauer Login (Cache)
 +
|-
 +
| <code>realm</code> || Name der Login-Anzeige im Browser
 +
|-
 +
| <code>casesensitive</code> || Groß-/Kleinschreibung beachten oder nicht
 +
|}
  
Syntax:
+
;Reload damit die Regel zieht.
*auth_param: Definiert die Parameter für die Authentifizierung
+
*systemctl reload squid
*basic: Teilt squid mit, dass es sich um grundsätzliche Einstellungen handelt, die zur Anwendung kommen wenn keine anderen verfügbar sind. Weitere Optionen siehe squid Manual
 
*program: Es wird ein externes Programm zur Authentifizierung eingesetzt
 
*/usr/lib/squid/basic_ncsa_auth: Hier befindet sich das Programm
 
*/etc/squid/passwd: Dies ist die Passwortdatei
 
*children: Wieviele Authentifikationsprozesse Squid maximal starten soll
 
*concurrency: Wieviele Anfragen gleichzeitig bearbeitet werden dürfen
 
*credentialsttl: Wie lange die Anmeldedaten gültig sein sollen
 
*realm: Name des Bereichs für den der Proxy zuständig ist. Kann beliebig gewählt werden.
 
*casesensitive: Legt fest ob der BENUTZERname case-sensitiv sein soll
 
  
 
=Time=
 
=Time=
*Um eine Website zu einer gewissen Zeit freizugeben, benutzt man "time"
+
;Zeitbasierte Steuerung von Zugriffen.
 +
;Erlaubt Regeln nur zu bestimmten Uhrzeiten.
 +
 
 
==erstellen der acl==
 
==erstellen der acl==
<pre>
+
;Definiert ein Zeitfenster.
acl break-time time 12:00-13:00
+
;Format ist HH:MM-HH:MM.
</pre>
+
acl break-time time 12:00-13:00
 +
 
 
==erstellen der http_access==
 
==erstellen der http_access==
<pre>
+
;Verknüpft Zeitregel mit Zugriff.
http_access allow bad-sites break-time
+
;Nur im Zeitfenster wird Zugriff erlaubt.
</pre>
+
http_access allow badsites break-time
*In diesem Beispiel werden die bad-sites um 12:00-13:00 freigeschaltet
+
 
 +
;In diesem Beispiel werden die bad-sites um <nowiki>12:00-13:00</nowiki> freigeschaltet.

Aktuelle Version vom 23. April 2026, 11:49 Uhr

Beispielkonzept

Erstellen der Dateien

Ein Teil der Clients bekommt vollen Zugriff.
Alle anderen dürfen nur eingeschränkt auf bestimmte Webseiten zugreifen.
Liste von IP-Adressen, die uneingeschränkt surfen dürfen.
Diese Datei wird später als ACL eingebunden.
  • vi /etc/squid/teamleitung.txt
172.26.2XX.10  
172.26.2XX.33
172.26.2XX.49
Liste von gesperrten Webseiten oder Begriffen.
url_regex prüft URLs auf diese Einträge.
  • vi /etc/squid/badsites.txt
bild\.de
sex
www\.faz\.net
facebook

Einbinden in die /etc/squid.conf

Einbinden der Dateien als ACL in Squid.
src = IP-Filter, url_regex = URL-Filter.

Die doppelten Hochkommas bedeuten das die Regel in einer Datei ausgelagert wird- 

acl teamleitung src "/etc/squid/teamleitung.txt"
acl badsites url_regex "/etc/squid/badsites.txt"
Regeln werden von oben nach unten abgearbeitet.
Erst erlauben, dann verbieten, dann Standardregeln.
http_access allow teamleitung
http_access deny badsites
http_access allow it-dmz
http_access allow it-lan

Hinweis Rocky Linux: SELinux-Kontext für externe Dateien setzen: 

chcon -t squid_conf_t /etc/squid/teamleitung.txt
chcon -t squid_conf_t /etc/squid/badsites.txt

Squid reloaden

  • systemctl reload squid

Kontrolle

  • tail -f /var/log/squid/access.log

Authentifizierung

Zusätzliche Absicherung des Proxys durch Benutzeranmeldung.
Verhindert Nutzung durch nicht autorisierte Clients.

Installation von htpasswd

Werkzeug zur Erstellung von Benutzer/Passwort-Dateien.
Wird für Basic Authentication verwendet.
Distribution Befehl
Debian / Ubuntu apt install apache2-utils
Rocky Linux dnf install httpd-tools

Erstellen einer Passwort Datei

Erstellt eine neue Passwortdatei mit dem ersten Benutzer.
-c darf nur beim ersten Aufruf verwendet werden.
  • htpasswd -c /etc/squid/password martha
Fügt einen weiteren Benutzer zur bestehenden Datei hinzu.
Die Datei wird nicht überschrieben.
  • htpasswd /etc/squid/password leroy
Option Bedeutung
htpasswd Programm zur Verwaltung von Benutzerdateien
-c Erstellt neue Datei (überschreibt bestehende!)
passwordfile Speicherort der Benutzerdatei
username Benutzername

Änderungen an der squid.conf

Aktiviert Basic Authentication in Squid.
Benutzer müssen sich am Proxy anmelden.

Folgende Einträge werden am Anfang der squid.conf eingefügt:

Distribution Pfad
Debian / Ubuntu /usr/lib/squid/basic_ncsa_auth
Rocky Linux /usr/lib64/squid/basic_ncsa_auth 
auth_param basic program /usr/lib/squid/basic_ncsa_auth /etc/squid/password
auth_param basic children 20 startup=0 idle=1
auth_param basic concurrency 0
auth_param basic credentialsttl 500 seconds
auth_param basic realm it2XX proxy server
auth_param basic casesensitive off
acl ncsa_users proxy_auth REQUIRED
http_access allow ncsa_users

Hinweis Rocky Linux: SELinux-Kontext für die Passwortdatei setzen: 

chcon -t squid_conf_t /etc/squid/password
Option Bedeutung
auth_param Definiert Authentifizierungsparameter
basic Verwendet HTTP Basic Authentication
program Externes Authentifizierungsprogramm
/usr/lib/squid/basic_ncsa_auth Prüft Benutzer/Passwort
/etc/squid/password Datei mit Zugangsdaten
children Anzahl paralleler Auth-Prozesse
concurrency Gleichzeitige Anfragen pro Prozess
credentialsttl Gültigkeitsdauer Login (Cache)
realm Name der Login-Anzeige im Browser
casesensitive Groß-/Kleinschreibung beachten oder nicht
Reload damit die Regel zieht.
  • systemctl reload squid

Time

Zeitbasierte Steuerung von Zugriffen.
Erlaubt Regeln nur zu bestimmten Uhrzeiten.

erstellen der acl

Definiert ein Zeitfenster.
Format ist HH
MM-HH:MM.
acl break-time time 12:00-13:00

erstellen der http_access

Verknüpft Zeitregel mit Zugriff.
Nur im Zeitfenster wird Zugriff erlaubt.
http_access allow badsites break-time
In diesem Beispiel werden die bad-sites um 12:00-13:00 freigeschaltet.
Abgerufen von „http://wiki.ixheim.de/index.php?title=Squid-Kit-2&oldid=68955