Guide Open Source

GUIDE E MANUALI DEL MONDO LINUX E CMS

Guide Open Source

GUIDE E MANUALI DEL MONDO LINUX E CMS

Guide Open Source

GUIDE E MANUALI DEL MONDO LINUX E CMS

Proxy Web squid filtra contenuto Web su CentOS 6 (versione 1.4)

Questa piccola guida vi mostrerà come impostare una piccola macchina virtuale per velocizzare e proteggere la rete di navigazione web home / piccola impresa utilizzando CentOS 6, calamari 3.1 e QuintoLabs Content Security 1.4 applicazioni distribuite in un lettore virtuale di VMware in esecuzione su Windows 7 x64 come un sistema operativo host. Questo howto è rivolto a utenti inesperti e a volte può sembrare troppo approfondito per i guru di più avanzati.

Vedi le versioni precedenti di questo HOWTO per esempi di creazione di simili apparecchi virtuali in esecuzione su Debian 6 o Linux Ubuntu 10.04.

 

Passaggio 1. Scaricare e installare CentOS 6

Vai alla http://www.centos.org e ottenere l’immagine ISO di i386 basato più recente di CentOS 6 (CentOS-6.0-i386-minimal.iso). Anche se è la solita versione consigliata per un moderno server x64, ma come stiamo cercando di creare una macchina virtuale piccola i386 sarà sufficiente per i nostri scopi.

Avviare il lettore virtuale di VMware e creare una nuova macchina virtuale con i seguenti parametri di hardware: nome –proxy, virtuale disco rigido: 8GB. Premere il “Personalizza l’hardware” pulsante ed Elimina il floppy, controller USB, stampante e scheda audio, impostare la quantità di memoria di 512 Mb. passare la scheda di rete da modalità “NAT” in “Bridged”. Scegliere il CDROM virtuale l’immagine ISO che avete scaricato in precedenza e avviare la macchina virtuale.

Seguire i passaggi della procedura guidata di installazione di CentOS principalmente accettando le impostazioni predefinite.Configurare hostname della macchina come “proxy” e root password come “P@ssw0rd” (senza virgolette). Ora aspetta un po ‘ fino a quando l’installazione è completata e quindi riavviare il sistema.

 

Passaggio 2. Eseguire post configurazione di installazione di CentOS

CentOS 6 distribuito in VMware Player non dispone di sottosistema di rete abilitata per impostazione predefinita. Al fine di impostare l’indirizzo IP statico e attivare una rete abbiamo bisogno di modificare gli script situati nella /etc/sysconfig/network-scripts.. Avviare il terminale di root, quindi aprire il file di script in vi.

Nota: Le impostazioni fornite sopra (indirizzi IP) sono valide per il mio ambiente che si connette all’ISP utilizzando il LinkSys Wireless N Broadband Router (con personalizzato dd-wrt firmware) che ha una generazione di server DHCP in quanto dà IP interno indirizzi dal 192.168.1 sottorete privata. Il router può dare altri indirizzi così fate attenzione :)!

/etc/sysconfig/network-scripts CD /
vi ifcfg-eth0

Aggiungere queste righe al file ifcfg-eth0 :

BOOTPROTO=static
NETMASK=255.255.255.0
IPADDR=192.168.1.4
ONBOOT=yes

Quindi salvare il file (ESC + : + wq) e uscire da vi. Poi abbiamo bisogno di impostare le impostazioni del gateway nel file di configurazione /etc/sysconfig/network . Aprire il file…

vi /etc/sysconfig/network 

… e aggiungere questa riga:

GATEWAY=192.168.1.1

Salvare il file e uscire da vi. Ora abbiamo bisogno di impostare le impostazioni del server DNS che sono memorizzate in /etc/resolv.confAprire il file…

vi /etc/resolv.conf 

… e aggiungere l’indirizzo IP del server DNS che esegue sul router:

nameserver 192.168.1.1

Ora riavviare il sottosistema di rete digitando

/etc/init.d/network restart 

nella directory principale terminale o semplicemente riavviando la macchina virtuale. Dopo riavvio confermare che la rete funzioni correttamente digitando nel terminale (non dovrebbero esserci eventuali errori nelle uscite su questi comandi):

ping -c 3 192.168.1.1
Nslookup Google.it

Prima di fare qualsiasi ulteriore installazione che si raccomanda di aggiornare il sistema appena installato con le ultime patch di sicurezza che possano essere venuti fuori dopo ISO è stato rilasciato. Quindi digitare nel terminale di root e riavviare la macchina virtuale al termine dell’aggiornamento.

yum update
riavviare il sistema

 

Passaggio 3. Installare VMware tools

È consigliabile installare VMware tools in una macchina virtuale per eseguire più velocemente e abilitare alcune funzionalità di integrazione di host utile (come semplice clic fuori della VM e la condivisione degli Appunti). Come siamo costruendo l’unico server console questo potrebbe non essere una cosa della prima priorità ma ancora qui ci sono le istruzioni dettagliate su come farlo.

Select Virtual Machine -> Install VMware Tools from the VMware player interface, wait until VM mounts the virtual ISO disk and type in the root terminal:

mount /dev/cdrom /mnt
cp /mnt/VMwareTools-8.4.6-385536.tar.gz /root
cd /root
taf -xvf VMwareTools-8.4.6-385536.tar.gz
cd vmware-tools-distrib
./vmware-install.pl

Follow the installation wizard mostly pressing Enter (i.e. accepting [yes]). Then reboot the VM.

 

Step 4. Install Squid Web Caching Proxy

Next we need to install the latest version of Squid proxy server. In order to do that type the following in the root terminal

  yum install squid

All squid related packages are downloaded from the Internet and installed automatically.

The only thing to do is to let the external users from our home network to access the Squid. Open the Squid configuration file by typing

 vi /etc/squid/squid.conf   

and add the following line

visible_hostname       proxy

Inoltre verifica che siano presenti nel file di configurazione http_access allow localnet e acl localnet src 192.168.0.0/16 .

Fare ora Squid proxy servizio avvio automatico al boot del sistema digitando

chkconfig squid on

nel prompt dei comandi. Riavviare la macchina virtuale o semplicemente iniziare calamari per la prima volta manualmente:

service squid start

Passaggio 5. Regolare le impostazioni del firewall per consentire agli utenti di rete per connettersi a Squid

Al fine di regolare le impostazioni del firewall che abbiamo bisogno di installare un programma di console basato chiamato system-config-firewall-tui, quindi digitare nel terminale di root:

yum install system-config-firewall-tui
System-config-firewall-tui

Le impostazioni che devono essere personalizzati vengono visualizzate sulle seguenti schermate:

Schermo 1. Selezionare Personalizza pulsante firewall

Schermo 2. Abilitare l’accesso alla porta 80 per WWW (Vedi descrizione dell’installazione di Apache più tardi) e premere Avanti.

Schermo 3. Aggiungere la porta 3128 e impostare il protocollo TCP.

Schermo 4. Quindi premere Avanti e Chiudi.

Riavviare nuovamente il sottosistema di rete digitando

/etc/init.d/network restart

nella directory principale terminale o semplicemente riavviando la macchina virtuale.

Verificare che calamari viene eseguito correttamente da puntando il browser all’indirizzo IP del server proxy (192.168.1.4) e surf ad alcuni dei tuoi siti Web preferiti.

 

Passaggio 6. Installare Apache

È anche una buona idea avere un server web installato sulla macchina virtuale. Questo server web ospiterà più tardi informazioni sullo stato e relazione per i calamari e QuintoLabs sicurezza del contenuto. Per installare Apache digita quanto segue nel terminale di root:

yum install httpd php

Rendere il servizio Apache automatico all’avvio del sistema digitando

chkconfig httpd su

nel prompt dei comandi. Riavviare la macchina virtuale o solo avviare Apache per la prima volta manualmente digitando

servizio httpd inizio

Aprire il browser e passare a http://192.168.1.4Si dovrebbero vedere i “Funziona!” saluti da Apache.

 

Passaggio 7. Installare QuintoLabs Content Security 1.4.0

Il passo successivo sarebbe quella di installare il contenuto 1.4 sicurezza per calamari da QuintoLabs (fanno riferimento ad esso come qlproxy ulteriormente nel testo). Per chi non lo sapesse, sicurezza del contenuto di QuintoLabs è un demone/URL rewriter ICAP che si integra con proxy server Squid esistenti e fornisce funzionalità per disinfettare traffico web passando in casa interna del filtro contenuto ricco / rete aziendale. Può essere utilizzato per bloccare il download di file illegali o potenzialmente dannosi, rimuovere pubblicità fastidiose, impedire l’accesso a diverse categorie di siti web e bloccare risorse con contenuti espliciti (cioè vietare contenuti espliciti e adulto).

Purtroppo QuintoLabs non ha ancora repository di pacchetti online per qlproxy modo che abbiamo per ottenere il CentOS / RedHat RPM pacchetto manualmente dal sito web QuintoLabs a http://www.quintolabs.com/qlicap_download.php usando il vostro browser preferito e caricare il pacchetto al sistema utilizzando scpUn altro modo è quello di digitare i seguenti comandi nella directory principale terminale (come una riga):

curl http://www.quintolabs.com/qlproxy/binaries/1.4.0/qlproxy-1.4.0-72bbf.i386.rpm > qlproxy-1.4.0-72bbf.i386.rpm

Attendere un po’ al termine del download (circa 21Mb) ed eseguire il comando seguente per installare il pacchetto scaricato

RPM– installare qlproxy-1.4.0-72bbf.i386.rpm

RPM manager verrà eseguito per un po ‘ e il programma verrà installati in /opt/quintolabs/qlproxy e /var/opt/quintolabs/qlproxy.

Nota: questa guida si presuppone SELinux disabilitato sulla vostra macchina. Per note specifiche considerando che SELinux base installazione del qlproxy vedere il loro sito web e politica di SELinux installato in /opt/quintolabs/qlproxy/usr/share/selinux del campione. Al fine di disabilitare SELinux impostare SELINUX = disabled in /etc/selinux/config. e riavviare il computer.

Ora abbiamo bisogno di configurare qlproxy e integrarlo con calamari. I file di configurazione sono testo normale e memorizzati /opt/quintolabs/qlproxy/etc / *. conf e piuttosto semplice da modificare con una manciata di commenti all’interno. Ho intenzione di eseguire le seguenti modifiche:

  1. Come io personalmente non mi piace troppa pubblicità sul web e come spesso navigare attraverso siti russi e tedeschi voglio attivare estesa adblock filtraggio rimuovendo le sottoscrizioni di russo e tedesco AdBlock corrispondente in /opt/quintolabs /qlproxy/etc/Adblock.conf file. Inoltre non mi piace siti rilevamento me così io solitamente decommentare easy_privacy sottoscrizione nello stesso file.
  2. I miei bambini a volte giocare giochi online sul mio computer quindi preferisco impostare il livello di euristiche blocco adulto al più alto in /opt/quintolabs/qlproxy/etc/adultblock.conf modificando da heuristics_level = normale a heuristics_level = altaSe nulla è erroneamente bloccato da qlproxy che più tardi posso aggiungere al file exceptions.conf di averlo attraversato.
  3. Il modulo Parental Controls di 1,4 ora supporta il filtraggio del contenuto della pagina HTML per parole proibite e frasi (come Dansguardian) e permetterà di troppo. Il trabocchetto potenziale qui è il tipo di algoritmo utilizzato che richiede molta potenza di calcolo dal PC – che è perché il modo consigliato è di lasciare il modulo spento in un’installazione tipica. Prossima versione di qlproxy è conosciuto per includere un’implementazione molto meglio.
  4. Il modulo urlblock che utilizza comunità sviluppato database di domini categorizzati in modo non corretto inserisce blogspot.com in una categoria adult… quindi aggiungerla all’elenco delle eccezioni in /opt/quintolabs/qlproxy/etc/exceptions.conf per essere in grado di leggere alcuni dei miei Blog preferiti ospitato lì.
  5. So che worm, Trojan e altri malware software correlati spesso connettersi al mondo di indirizzi IP, così ho messo una regexp magico nel file /opt/quintolabs/qlproxy/etc/httpblock.conf per filtrare fuori url = http://\d+\.\d+\.\d+\.\d+/.*

Buono per ora, cerchiamo di eseguire un comando di riavvio per rendere il demone qlproxyd ricaricare la configurazione /etc/init.d/qlproxy riavviare

Successivamente è necessario integrarlo con calamari. Come il qlproxy demone supporta il protocollo ICAP splendente che questo è un po ‘ diverso dall’integrazione di url_rewrite_program descritto nella precedente versione di questo howto. A proposito, il file README in/opt/quintolabs/qlproxy/contiene istruzioni su come farlo. Comunque qui ci sono i passaggi necessari:

  1. Aprire il /etc/squid/squid.conf vi digitando
    vi /etc/squid/squid.conf

    nella directory principale terminal.

  2. Aggiungere le seguenti righe:
    icap_enable on
    icap_preview_enable on
    icap_preview_size 4096
    icap_persistent_connections on
    icap_send_client_ip on
    icap_send_client_username on
    icap_service qlproxy1 reqmod_precache bypass=0 icap://127.0.0.1:1344/reqmod
    icap_service qlproxy2 respmod_precache bypass=0 icap://127.0.0.1:1344/respmod
    adaptation_access qlproxy1 allow all
    adaptation_access qlproxy2 allow all
    

Ora riavviare Squid digitando calamari servizio riavviare il terminale di root. Dopo il riavvio prova surf gli stessi siti con il vostro browser e vedere come ben annunci vengono bloccati. Un altro test utile è quello di visitare il sito web di eicar.com e tenta di scaricare un virus eicar.com artificiale di esempio per vedere che com file vengono bloccati dal filtro download.

Nota: per quelli di voi che deve attaccare con squid 2.7 per altri motivi o se siete su Windows(!) qlproxy può essere integrate con calamari come masterizzatore di url. Aprire /etc/squid/squid.conf e trovare la sezione url_rewrite_program e aggiungere il codice seguente (come una riga): url_rewrite_program /opt/quintolabs/qlproxy/sbin/qlproxyd_redirector–config_path=/opt/quintolabs/qlproxy/etc/qlproxyd.conf.

L’ultima cosa da fare è quello di integrare la qlproxy con Apache per essere in grado di visualizzare i rapporti sulle attività utente generata una volta al giorno. Questo è in realtà abbastanza semplice, aprire il file /etc/httpd/httpd.conf e aggiungere la seguente vicino la < / VirtualHost > direttiva:

Alias /qlproxy /var/opt/quintolabs/qlproxy/www
   <Directory /var/opt/quintolabs/qlproxy/www >
        Options FollowSymLinks
        AllowOverride None
   </Directory>

Ora ricaricare l’apache digitando nel terminale

service httpd restart

È possibile passare a http://192.168.1.4/qlproxy per vedere i report generati. La cosa divertente è che qlproxy blocca l’accesso tramite l’indirizzo IP in base alle nostre impostazioni in httpblock.conf descritto in precedenza. Soluzione sarebbe quella di aggiungere il 192.168.1.2 come voce a /opt/quintolabs/qlproxy/etc/exceptions.conf o semplicemente dire al browser di non utilizzare il proxy per questo indirizzo.

 

Curriculum

Finalmente tutto è pronto per iniziare l’accelerata sicuro navigazione web senza annunci – puntare il browser al 192.168.1.4 porta 3128, navigare sui siti web preferiti e vedere la differenza. Gli indirizzi IP negli URL sono bloccati e in modo esplicito adulti siti di contenuto troppo. VMware richiede non più di 512 MB e l’esperienza di navigazione è abbastanza accettabile. Il sistema viene aggiornato automaticamente una volta al giorno per l’ultimo url elenco Blocca e annuncio sottoscrizioni e richiede una manutenzione aggiuntiva minima.

 

  • http://www.CentOS.org
  • http://www.squid-cache.org
  • http://www.quintolabs.com/qlicap_info.php
  • http://issues.quintolabs.com/Trac/quintolabs_qlicap/wiki/QlicapDocs

Piaciuto l'articolo? Condividilo sui social!

Share on facebook
Facebook
Share on twitter
Twitter
Share on linkedin
LinkedIn
Share on whatsapp
WhatsApp