Version vom 2. April 2026, 13:05 Uhr

Beispielkonzept

Ein Teil der Clients bekommt vollen Zugriff.
Alle anderen dürfen nur eingeschränkt auf bestimmte Webseiten zugreifen.

Bestimmte Rechner dürfen alles alle Anderen dürfen nur auf bestimmte Webseiten.

Liste von IP-Adressen, die uneingeschränkt surfen dürfen.
Diese Datei wird später als ACL eingebunden.

Diese Rechner dürfen alles

vi /etc/squid/teamleitung.txt

 172.26.213.24  
 172.26.213.33
 172.26.213.49

Liste von gesperrten Webseiten oder Begriffen.
url_regex prüft URLs auf diese Einträge.

Der Rest bekommt Einschränkungen welche Seite sie aufrufen dürfen.

vi /etc/squid/badsites.txt

 bild.de
 sex
 www.faz.net

Einbinden der Dateien als ACL in Squid.
src = IP-Filter, url_regex = URL-Filter.

In die squid.conf kommen nun die acls

acl teamleitung src "/etc/squid/teamleitung.txt"
acl badsites url_regex "/etc/squid/badsites.txt"

Regeln werden von oben nach unten abgearbeitet.
Erst erlauben, dann verbieten, dann Standardregeln.

Anwenden der acls

http_access allow teamleitung
http_access deny badsites
http_access allow it-dmz
http_access allow it-lan

Authentifizierung

Zusätzliche Absicherung des Proxys durch Benutzeranmeldung.
Verhindert Nutzung durch nicht autorisierte Clients.

Zur Vermeidung von ungewollten Zugriffen lässt sich in Squid auch eine Authentifizierung erzwingen

Installation von htpasswd

Werkzeug zur Erstellung von Benutzer/Passwort-Dateien.
Wird für Basic Authentication verwendet.

apt install apache2-utils

Erstellen einer Passwort Datei

Erstellt eine neue Passwortdatei mit dem ersten Benutzer.
-c darf nur beim ersten Aufruf verwendet werden.

htpasswd -c /etc/squid/password martha

Fügt einen weiteren Benutzer zur bestehenden Datei hinzu.
Die Datei wird nicht überschrieben.

htpasswd /etc/squid/password leroy

Option	Bedeutung
`htpasswd`	Programm zur Verwaltung von Benutzerdateien
`-c`	Erstellt neue Datei (überschreibt bestehende!)
`passwordfile`	Speicherort der Benutzerdatei
`username`	Benutzername

Änderungen an der squid.conf

Aktiviert Basic Authentication in Squid.
Benutzer müssen sich am Proxy anmelden.

Folgende Einträge werden am Anfang der squid.conf eingefügt:

auth_param basic program /usr/lib/squid/basic_ncsa_auth /etc/squid/password
auth_param basic children 20 startup=0 idle=1
auth_param basic concurrency 0
auth_param basic credentialsttl 500 seconds
auth_param basic realm it2XX proxy server
auth_param basic casesensitive off

acl ncsa_users proxy_auth REQUIRED
http_access allow ncsa_users

Option	Bedeutung
`auth_param`	Definiert Authentifizierungsparameter
`basic`	Verwendet HTTP Basic Authentication
`program`	Externes Authentifizierungsprogramm
`/usr/lib/squid/basic_ncsa_auth`	Prüft Benutzer/Passwort
`/etc/squid/password`	Datei mit Zugangsdaten
`children`	Anzahl paralleler Auth-Prozesse
`concurrency`	Gleichzeitige Anfragen pro Prozess
`credentialsttl`	Gültigkeitsdauer Login (Cache)
`realm`	Name der Login-Anzeige im Browser
`casesensitive`	Groß-/Kleinschreibung beachten oder nicht

Time

Zeitbasierte Steuerung von Zugriffen.
Erlaubt Regeln nur zu bestimmten Uhrzeiten.

Um eine Website zu einer gewissen Zeit freizugeben, benutzt man "time"

erstellen der acl

Definiert ein Zeitfenster.
Format ist HH: MM-HH:MM.

acl break-time time 12:00-13:00

erstellen der http_access

Verknüpft Zeitregel mit Zugriff.
Nur im Zeitfenster wird Zugriff erlaubt.

http_access allow badsites break-time

In diesem Beispiel werden gesperrte Seiten mittags freigegeben.

In diesem Beispiel werden die bad-sites um 12:00-13:00 freigeschaltet

@@ Zeile 1: / Zeile 1: @@
 =Beispielkonzept=
+;Ein Teil der Clients bekommt vollen Zugriff.
+;Alle anderen dürfen nur eingeschränkt auf bestimmte Webseiten zugreifen.
 Bestimmte Rechner dürfen alles alle Anderen dürfen nur auf bestimmte Webseiten.
-;Diese Rechner dürfen alles
+;Liste von IP-Adressen, die uneingeschränkt surfen dürfen.
+;Diese Datei wird später als ACL eingebunden.
+Diese Rechner dürfen alles
 *vi /etc/squid/teamleitung.txt
 .26.213.24
 .26.213.33
 .26.213.49
-;Der Rest bekommt Einschränkungen welche Seite sie aufrufen dürfen.
+;Liste von gesperrten Webseiten oder Begriffen.
+;url_regex prüft URLs auf diese Einträge.
+Der Rest bekommt Einschränkungen welche Seite sie aufrufen dürfen.
 *vi /etc/squid/badsites.txt
- bild.de
+  bild.de
- sex
+  sex
- www.faz.net
+  www.faz.net
-;In die squid.conf kommen nun die acls
+;Einbinden der Dateien als ACL in Squid.
+;src = IP-Filter, url_regex = URL-Filter.
+In die squid.conf kommen nun die acls
   acl teamleitung src "/etc/squid/teamleitung.txt"
-  acl badsites url_regex  "/etc/squid/badsites.txt"
+  acl badsites url_regex "/etc/squid/badsites.txt"
-;Anwenden der acls
+;Regeln werden von oben nach unten abgearbeitet.
+;Erst erlauben, dann verbieten, dann Standardregeln.
+Anwenden der acls
   http_access allow teamleitung
   http_access deny badsites
@@ Zeile 21: / Zeile 35: @@
 =Authentifizierung=
+;Zusätzliche Absicherung des Proxys durch Benutzeranmeldung.
+;Verhindert Nutzung durch nicht autorisierte Clients.
 Zur Vermeidung von ungewollten Zugriffen lässt sich in Squid auch eine Authentifizierung erzwingen
 =Installation von htpasswd=
-* apt install apache2-utils
+;Werkzeug zur Erstellung von Benutzer/Passwort-Dateien.
+;Wird für Basic Authentication verwendet.
+*apt install apache2-utils
 ==Erstellen einer Passwort Datei==
+;Erstellt eine neue Passwortdatei mit dem ersten Benutzer.
+;-c darf nur beim ersten Aufruf verwendet werden.
 *htpasswd -c /etc/squid/password martha
-*htpasswd  /etc/squid/password leroy
+;Fügt einen weiteren Benutzer zur bestehenden Datei hinzu.
+;Die Datei wird nicht überschrieben.
+*htpasswd /etc/squid/password leroy
 {| class="wikitable"
 ! Option !! Bedeutung
 |-
-| <code>htpasswd</code> || Programmname (zum Verwalten von HTTP-Authentifizierungsdateien)
+| <code>htpasswd</code> || Programm zur Verwaltung von Benutzerdateien
 |-
-| <code>-c</code> || Erstellt eine neue Passwortdatei (nur beim ersten Mal verwenden!)
+| <code>-c</code> || Erstellt neue Datei (überschreibt bestehende!)
 |-
-| <code>passwordfile</code> || Beliebiger Dateiname und Speicherort für die Passwortdatei
+| <code>passwordfile</code> || Speicherort der Benutzerdatei
 |-
-| <code>username</code> || Beliebiger Benutzername, der eingetragen werden soll
+| <code>username</code> || Benutzername
 |}
 ==Änderungen an der squid.conf==
+;Aktiviert Basic Authentication in Squid.
+;Benutzer müssen sich am Proxy anmelden.
 Folgende Einträge werden am Anfang der squid.conf eingefügt:
-<pre>
+ auth_param basic program /usr/lib/squid/basic_ncsa_auth /etc/squid/password
-auth_param basic program /usr/lib/squid/basic_ncsa_auth /etc/squid/password
+ auth_param basic children 20 startup=0 idle=1
-auth_param basic children 20 startup=0 idle=1
+ auth_param basic concurrency 0
-auth_param basic concurrency 0
+ auth_param basic credentialsttl 500 seconds
-auth_param basic credentialsttl 500 seconds
+ auth_param basic realm it2XX proxy server
-auth_param basic realm it2XX proxy server
+ auth_param basic casesensitive off
-auth_param basic casesensitive off
-acl ncsa_users proxy_auth REQUIRED
+ acl ncsa_users proxy_auth REQUIRED
-http_access allow ncsa_users
+ http_access allow ncsa_users
-</pre>
 {| class="wikitable"
 ! Option || Bedeutung
 |-
-| <code>auth_param</code> || Definiert die Parameter für die Authentifizierung
+| <code>auth_param</code> || Definiert Authentifizierungsparameter
 |-
-| <code>basic</code> || Grundsätzliche Einstellungen, die verwendet werden, wenn keine anderen definiert sind (siehe Squid-Manual für weitere Optionen)
+| <code>basic</code> || Verwendet HTTP Basic Authentication
 |-
-| <code>program</code> || Externes Programm, das zur Authentifizierung verwendet wird
+| <code>program</code> || Externes Authentifizierungsprogramm
 |-
-| <code>/usr/lib/squid/basic_ncsa_auth</code> || Pfad zum Authentifizierungsprogramm
+| <code>/usr/lib/squid/basic_ncsa_auth</code> || Prüft Benutzer/Passwort
 |-
-| <code>/etc/squid/passwd</code> || Passwortdatei mit Benutzern und verschlüsselten Passwörtern
+| <code>/etc/squid/password</code> || Datei mit Zugangsdaten
 |-
-| <code>children</code> || Anzahl der maximalen Authentifizierungsprozesse, die Squid starten darf
+| <code>children</code> || Anzahl paralleler Auth-Prozesse
 |-
-| <code>concurrency</code> || Gibt an, wie viele Anfragen gleichzeitig verarbeitet werden können
+| <code>concurrency</code> || Gleichzeitige Anfragen pro Prozess
 |-
-| <code>credentialsttl</code> || Legt fest, wie lange Anmeldedaten im Cache gültig sind (z. B. 2 Stunden)
+| <code>credentialsttl</code> || Gültigkeitsdauer Login (Cache)
 |-
-| <code>realm</code> || Beschreibung oder Name des Authentifizierungsbereichs (wird dem Benutzer angezeigt)
+| <code>realm</code> || Name der Login-Anzeige im Browser
 |-
-| <code>casesensitive</code> || Legt fest, ob Benutzernamen groß-/kleinschreibungssensitiv behandelt werden
+| <code>casesensitive</code> || Groß-/Kleinschreibung beachten oder nicht
 |}
 =Time=
+;Zeitbasierte Steuerung von Zugriffen.
+;Erlaubt Regeln nur zu bestimmten Uhrzeiten.
 *Um eine Website zu einer gewissen Zeit freizugeben, benutzt man "time"
 ==erstellen der acl==
-<pre>
+;Definiert ein Zeitfenster.
-acl break-time time 12:00-13:00
+;Format ist HH:MM-HH:MM.
-</pre>
+ acl break-time time 12:00-13:00
 ==erstellen der http_access==
-<pre>
+;Verknüpft Zeitregel mit Zugriff.
-http_access allow bad-sites break-time
+;Nur im Zeitfenster wird Zugriff erlaubt.
-</pre>
+ http_access allow badsites break-time
+;In diesem Beispiel werden gesperrte Seiten mittags freigegeben.
 *In diesem Beispiel werden die bad-sites um 12:00-13:00 freigeschaltet

Squid-Kit-2: Unterschied zwischen den Versionen