• Блокировка от скачивания нежелательных файлов в SQUID

    Пользователи всегда норовят что либо скачать из интернета и часто скачивают вредоносное ПО, тем самым подвергая опасности другие ПК в локальной сети и целостность их данных. Поэтому сейчас мы на примере рассмотрим как бороться с этим явлением используя прокси-сервер Squid 3.5.19.

    Все операции проделываться будут на Ubuntu server 14.04.5 с развернутым Squid 3.5.19 по этой инструкции и опираясь на представленный в инструкции конфиг Squid.

    Создадим текстовый файл, в котором будут хранится список всех нежелательных элементов URL, содержащие имена файлов с расширениями.

    sudo nano /etc/squid/blockfiles.txt

    Указываем в файле все нежелательные расширения файлов, которые необходимо блокировать:

    \.[Aa][Vv][Ii]$ #Блокировка - .avi
    \.[Mm][Pp][Gg]$ #Блокировка - .mpg
    \.[Mm][Pp][Ee][Gg]$ #Блокировка - .mpeg
    \.[Ff][Ll][Vv]$ #Блокировка - .flv
    \.[Mm][Pp]3$ #Блокировка - .mp3

    Информация: расширение файлов указано в формате прим. [Mm][Pp]3 чтобы исключить варианты расширений вида: mP3, MP3, Mp3.. Указанный нами формат расширения, исключает возможность любого варианта написания данного расширения.

    Читать далее…

    БесполезноСлабоватоПриемлемоОтличноПревосходно (Еще нет оценок)
    Загрузка...
  • Блокировка интернета по времени и дням недели в SQUID

    Контролируем предоставления доступа в интернет по времени и дням недели. Не будем оставлять повода сотрудникам задерживаться на работе, дабы посидеть в интернете.

    Все операции проделываться будут на Ubuntu server 14.04.5 с развернутым Squid 3.5.19 по этой инструкции и опираясь на представленный в инструкции конфиг Squid.

    Блокировать доступ мы будем с помощью acl — time. Синтаксис acl такой: acl [название правила] time [аббревиатура дней] [h1:m1-h2:m2].

    Коды дней недели определяются так: S — Sunday — Воскресенье, M — Monday — Понедельник, T — Tuesday — Вторник, W — Wednesday — Среда, H — Thursday — Четверг, F — Friday — Пятница, A — Saturday — Суббота. А параметры h1:m1 и h2:m2 вставляется время.

    Важно !  h1:m1 всегда должно быть меньше h2:m2

    Читать далее…

    БесполезноСлабоватоПриемлемоОтличноПревосходно (Еще нет оценок)
    Загрузка...
  • Ограничиваем скорость доступа пользователям в интернет с помощью SQUID.

    Рано или поздно все сталкиваются с задачей ограничения скорости доступа в интернет для пользователей. Эту задачу будем решать с помощью Squid. Мы рассмотрим различные варианты общего ограничения скорости доступа, ограничения скорости при скачивании определенных файлов из сети интернет, ограничение скорости на основе Active Directory групп.

    Все операции проделываться будут на Ubuntu server 14.04.5 с развернутым Squid 3.5.19 по этой инструкции.

    За ограничение скорости в Squid отвечает параметр delay_pools. Принцип работы delay_pools: каждый запрашиваемый объект сначала попадает в пул, а затем передается клиенту. Каждый пул определяется двумя параметрами: скоростью его заполнения и размером буфера. Прим. размер пула 8000 и размер буфера 8000, означает что скорость заполнения буфера будет 64 кБ/с. Неограниченный размер буфера и скорости задается как -1/-1. Размер буфера и скорость задается в байта.

    Скорость заполнения пула зависит от класса delay_class. Варианты доступных классов:

    1. Общие ограничения скорости загрузки для всех.
    2. Общие ограничения скорости загрузки и скорость каждого хоста.
    3. Общие ограничения скорости загрузки, скорость сети и скорость каждого хоста.
    4. Все ограничения класса 3 + ограничения на уровне отдельно взятых пользователей (требуется аутентификация пользователей в правилах http_access).
    5. Запросы группируются по тэгам определяемым в external_acl

    Вид записей delay_parameters, в зависимости от выбранного класса:

    1. delay_parameters <номер пула> <общие ограничения для всех>
    2. delay_parameters <номер пула> <общие ограничения для всех> <ограничения для хоста>
    3. delay_parameters <номер пула> <общие ограничения для всех> <ограничения для подсети> <ограничения для хоста>
    4. delay_parameters <номер пула> <общие ограничения для всех> <ограничения для подсети> <ограничения для хоста> <ограничения для пользователя>
    5. delay_parameters <номер пула> <тегированные ограничения>

    Читать далее…

    БесполезноСлабоватоПриемлемоОтличноПревосходно (Еще нет оценок)
    Загрузка...
  • Способы перенаправления запросов с заблокированных сайтов на заданную страницу в SQUID

    Появилась необходимость настроить в Squid перенаправление на определенный сайт в случае если пользователь пытается зайти на сайт который находится в списке заблокированных. Я нашел для себя несколько способов реализовать данную задачу. Рассмотрим способ мгновенного редиректа на заданный сайт и редирект с отображением страницы  ERR_ACCESS_DENIED (входящую в состав Squid) и через несколько секунд выполнять редирект на заданную страницу.

    Сразу хочу предупредить, что выполнить перенаправление на заданную страницу в Squid возможно только при посещении пользователем HTTP сайтов. К сожалению с HTTPS сайтами перенаправление работать не будет.

    Проделываться все будет на Squid 3.5.19 (статья по установке) установленным на Ubuntu server 14.04.5 LTS. Но уверен что способы будут работать и на отличных от моих параметров.

    Читать далее…

    БесполезноСлабоватоПриемлемоОтличноПревосходно (1 голос(ов), в среднем: 4,00 из 5)
    Загрузка...
  • Настройка SQUID авторизации по логину и паролю. NCSA-авторизация

    Появилась необходимость настроить Squid 3.5.19 с авторизацией по логину и паролю. Т.е. чтобы при попытке посетить какой либо интернет ресурс пользователю выдавался запрос авторизации, в случае успешной авторизации доступ в интернет предоставлялся, в ином случае, пользователь получал бы отказ доступа. В Squid реализовать такой метод авторизации можно с помощью basic_ncsa_auth.

    При данном методе авторизации имя пользователя и пароль будут хранится в текстовом файле. Логин и пароль будем создавать при помощи утилиты htpasswd входящую в состав apache-utils. Пароли будут хранится в хешированном виде.

    Итак все действия ниже я буду производить на Ubuntu server 14.04.5 x64 с установленным Squid 3.5.19 по данной статье.

    Читать далее…

    БесполезноСлабоватоПриемлемоОтличноПревосходно (2 голос(ов), в среднем: 4,50 из 5)
    Загрузка...
  • Настройка ротации логов Squid в Ubuntu 14.04 LTS

    Развернутый мною Squid по данной статье, успешно работает. Но столкнулся с такой ситуацией что сразу не понял почему логи Squid хранятся крайне мало и для детального анализа трафика проходящего в компании не достаточно.

    По умолчанию ротация логов в Squid выставлена всего на три дня, поэтому яразобрался как увеличить срок жизни логов и выставить ротацию логов в период одного месяца. В моем случае этого достаточно.

    Осуществлять ротацию логов мы будем с помощью системной службы logrotate, входящей в состав Ubuntu Server 14.04.

    Заметка: Ротация логов осуществляет периодическую замену старых логов новыми, помещая устаревшие данные в архив или просто удаляя их. В зависимости от настроек архив логов может храниться как в сжатом, так и в несжатом виде и иметь необходимую глубину.

    Основные настройки logrotate хранятся в /etc/logrotate.conf, настройки отдельных сервисов (в нашем случае Squid) хранятся в /etc/logrotate.d/squid, и эти настройки имеют приоритет над logrotate.conf. Сама служба вызывается раз в сутки через планировщик cron.

    Читать далее…

    БесполезноСлабоватоПриемлемоОтличноПревосходно (Еще нет оценок)
    Загрузка...
  • Работа Squid с Active Directory. Kerberos-аутентификация. Права доступа на основе групп Active Directory.

    В предыдущей статье мы разбирали как развернуть прокси-сервер Squid 3.5.19 на Ubuntu 14.04.5 LTS. А сейчас мы разберем как подружить Squid 3.5.19 c Active Directory, чтобы доступ в интернет предоставлялся только по доменным учетным записям, а так же возможность использования Active Directory групп для разграничения прав доступа в интернет.

     

    Squid у меня установлен на Ubuntu 14.04.5 LTS x64 (srv-squid), имеется домен контроллер srv-dc1 (testzone.local) на Windows Server 2008 R2. Авторизацию Squid будем делать через Kerberos. Поехали..

     

    Проведем подготовительные работы на машине где установлен Squid.

     

    Укажем корректное для работы сActive Directory название машины. Вызываем редактирование файла /etc/hostname

    sudo nano /etc/hostname

    И к названию системы дописываем название вашего домена (в моем случае я дописываю .testzone.local)

    Читать далее…

    БесполезноСлабоватоПриемлемоОтличноПревосходно (2 голос(ов), в среднем: 4,50 из 5)
    Загрузка...
  • Анализируем трафик Squid с помощью Sarg

    В этой статье мы разобрали как развернуть прокси-сервер Squid 3.5.19 на Ubuntu 14.04.4 x64. В этой статье мы разберем как развернуть анализатор логов прокси-сервера Squid и просмотр сформированных с помощью Sarg логов в удобном для нас виде через Web браузер.

    Разворачивать я буду Sarg на той же машине где и стоит Squid, ОС используемая Ubuntu 14.04.5 x64. Устанавливать Sarg будем из репозитариев Ubuntu. На момент написания статьи в репозитария доступна 2.3.6 версия Sarg.

    Первым делом обновляем систему до актуального состояния

    sudo apt-get update
    sudo apt-get upgrade

    Устанавливаем Sarg

    sudo apt-get install sarg

    После установки выполним конфигурацию Sarg. Выполним резервное копирование файла конфигурации.

    sudo cp /etc/sarg/sarg.conf /etc/sarg/sarg.conf.backup

    Читать далее…

    БесполезноСлабоватоПриемлемоОтличноПревосходно (3 голос(ов), в среднем: 5,00 из 5)
    Загрузка...
  • Установка Squid 3.5.19 на Ubuntu 14.04.5 LTS с поддержкой HTTPS протокола

    Появилась необходимость на работе анализировать трафик интернета, с возможностью выставлять всякого рода запреты на пользование интернета сотрудникам и посещении сайтов как по HTTP протоколу, так и по HTTPS. Использовать будем для всех этих дел Squid 3.5.19 и развернут он будет на Ubuntu 14.04.5 LTS.

    Первым делом обновляем систему до актуального состояния

    sudo apt-get update
    sudo apt-get upgrade

    Устанавливаем необходимые для сборки пакетов инструменты

    sudo apt-get -y install devscripts build-essential fakeroot debhelper dh-autoreconf cdbs

    Устанавливаем зависимости для libecap и squid

    sudo apt-get -y build-dep libecap
    sudo apt-get -y build-dep squid3

    Читать далее…

    БесполезноСлабоватоПриемлемоОтличноПревосходно (6 голос(ов), в среднем: 4,67 из 5)
    Загрузка...