Questa piccola guida vi mostrerà come impostare una piccola macchina virtuale per velocizzare e proteggere la rete di navigazione web home / piccola impresa utilizzando CentOS 6, calamari 3.1 e QuintoLabs Content Security 1.4 applicazioni distribuite in un lettore virtuale di VMware in esecuzione su Windows 7 x64 come un sistema operativo host. Questo howto è rivolto a utenti inesperti e a volte può sembrare troppo approfondito per i guru di più avanzati.
Vedi le versioni precedenti di questo HOWTO per esempi di creazione di simili apparecchi virtuali in esecuzione su Debian 6 o Linux Ubuntu 10.04.
Passaggio 1. Scaricare e installare CentOS 6
Vai alla http://www.centos.org e ottenere l’immagine ISO di i386 basato più recente di CentOS 6 (CentOS-6.0-i386-minimal.iso). Anche se è la solita versione consigliata per un moderno server x64, ma come stiamo cercando di creare una macchina virtuale piccola i386 sarà sufficiente per i nostri scopi.
Avviare il lettore virtuale di VMware e creare una nuova macchina virtuale con i seguenti parametri di hardware: nome –proxy, virtuale disco rigido: 8GB. Premere il “Personalizza l’hardware” pulsante ed Elimina il floppy, controller USB, stampante e scheda audio, impostare la quantità di memoria di 512 Mb. passare la scheda di rete da modalità “NAT” in “Bridged”. Scegliere il CDROM virtuale l’immagine ISO che avete scaricato in precedenza e avviare la macchina virtuale.
Seguire i passaggi della procedura guidata di installazione di CentOS principalmente accettando le impostazioni predefinite.Configurare hostname della macchina come “proxy” e root password come “P@ssw0rd” (senza virgolette). Ora aspetta un po ‘ fino a quando l’installazione è completata e quindi riavviare il sistema.
Passaggio 2. Eseguire post configurazione di installazione di CentOS
CentOS 6 distribuito in VMware Player non dispone di sottosistema di rete abilitata per impostazione predefinita. Al fine di impostare l’indirizzo IP statico e attivare una rete abbiamo bisogno di modificare gli script situati nella /etc/sysconfig/network-scripts.. Avviare il terminale di root, quindi aprire il file di script in vi.
Nota: Le impostazioni fornite sopra (indirizzi IP) sono valide per il mio ambiente che si connette all’ISP utilizzando il LinkSys Wireless N Broadband Router (con personalizzato dd-wrt firmware) che ha una generazione di server DHCP in quanto dà IP interno indirizzi dal 192.168.1 sottorete privata. Il router può dare altri indirizzi così fate attenzione :)!
/etc/sysconfig/network-scripts CD /
vi ifcfg-eth0
Aggiungere queste righe al file ifcfg-eth0 :
BOOTPROTO=static NETMASK=255.255.255.0 IPADDR=192.168.1.4 ONBOOT=yes
Quindi salvare il file (ESC + : + wq) e uscire da vi. Poi abbiamo bisogno di impostare le impostazioni del gateway nel file di configurazione /etc/sysconfig/network . Aprire il file…
vi /etc/sysconfig/network
… e aggiungere questa riga:
GATEWAY=192.168.1.1
Salvare il file e uscire da vi. Ora abbiamo bisogno di impostare le impostazioni del server DNS che sono memorizzate in /etc/resolv.conf. Aprire il file…
vi /etc/resolv.conf
… e aggiungere l’indirizzo IP del server DNS che esegue sul router:
nameserver 192.168.1.1
Ora riavviare il sottosistema di rete digitando
/etc/init.d/network restart
nella directory principale terminale o semplicemente riavviando la macchina virtuale. Dopo riavvio confermare che la rete funzioni correttamente digitando nel terminale (non dovrebbero esserci eventuali errori nelle uscite su questi comandi):
ping -c 3 192.168.1.1
Nslookup Google.it
Prima di fare qualsiasi ulteriore installazione che si raccomanda di aggiornare il sistema appena installato con le ultime patch di sicurezza che possano essere venuti fuori dopo ISO è stato rilasciato. Quindi digitare nel terminale di root e riavviare la macchina virtuale al termine dell’aggiornamento.
yum update
riavviare il sistema
Passaggio 3. Installare VMware tools
È consigliabile installare VMware tools in una macchina virtuale per eseguire più velocemente e abilitare alcune funzionalità di integrazione di host utile (come semplice clic fuori della VM e la condivisione degli Appunti). Come siamo costruendo l’unico server console questo potrebbe non essere una cosa della prima priorità ma ancora qui ci sono le istruzioni dettagliate su come farlo.
Select Virtual Machine -> Install VMware Tools from the VMware player interface, wait until VM mounts the virtual ISO disk and type in the root terminal:
mount /dev/cdrom /mnt
cp /mnt/VMwareTools-8.4.6-385536.tar.gz /root
cd /root
taf -xvf VMwareTools-8.4.6-385536.tar.gz
cd vmware-tools-distrib
./vmware-install.pl
Follow the installation wizard mostly pressing Enter (i.e. accepting [yes]). Then reboot the VM.
Step 4. Install Squid Web Caching Proxy
Next we need to install the latest version of Squid proxy server. In order to do that type the following in the root terminal
yum install squid
All squid related packages are downloaded from the Internet and installed automatically.
The only thing to do is to let the external users from our home network to access the Squid. Open the Squid configuration file by typing
vi /etc/squid/squid.conf
and add the following line
visible_hostname proxy
Inoltre verifica che siano presenti nel file di configurazione http_access allow localnet e acl localnet src 192.168.0.0/16 .
Fare ora Squid proxy servizio avvio automatico al boot del sistema digitando
chkconfig squid on
nel prompt dei comandi. Riavviare la macchina virtuale o semplicemente iniziare calamari per la prima volta manualmente:
service squid start
Passaggio 5. Regolare le impostazioni del firewall per consentire agli utenti di rete per connettersi a Squid
Al fine di regolare le impostazioni del firewall che abbiamo bisogno di installare un programma di console basato chiamato system-config-firewall-tui, quindi digitare nel terminale di root:
yum install system-config-firewall-tui
System-config-firewall-tui
Le impostazioni che devono essere personalizzati vengono visualizzate sulle seguenti schermate:
Schermo 1. Selezionare Personalizza pulsante firewall
Schermo 2. Abilitare l’accesso alla porta 80 per WWW (Vedi descrizione dell’installazione di Apache più tardi) e premere Avanti.
Schermo 3. Aggiungere la porta 3128 e impostare il protocollo TCP.
Schermo 4. Quindi premere Avanti e Chiudi.
Riavviare nuovamente il sottosistema di rete digitando
/etc/init.d/network restart
nella directory principale terminale o semplicemente riavviando la macchina virtuale.
Verificare che calamari viene eseguito correttamente da puntando il browser all’indirizzo IP del server proxy (192.168.1.4) e surf ad alcuni dei tuoi siti Web preferiti.
Passaggio 6. Installare Apache
È anche una buona idea avere un server web installato sulla macchina virtuale. Questo server web ospiterà più tardi informazioni sullo stato e relazione per i calamari e QuintoLabs sicurezza del contenuto. Per installare Apache digita quanto segue nel terminale di root:
yum install httpd php
Rendere il servizio Apache automatico all’avvio del sistema digitando
chkconfig httpd su
nel prompt dei comandi. Riavviare la macchina virtuale o solo avviare Apache per la prima volta manualmente digitando
servizio httpd inizio
Aprire il browser e passare a http://192.168.1.4. Si dovrebbero vedere i “Funziona!” saluti da Apache.
Passaggio 7. Installare QuintoLabs Content Security 1.4.0
Il passo successivo sarebbe quella di installare il contenuto 1.4 sicurezza per calamari da QuintoLabs (fanno riferimento ad esso come qlproxy ulteriormente nel testo). Per chi non lo sapesse, sicurezza del contenuto di QuintoLabs è un demone/URL rewriter ICAP che si integra con proxy server Squid esistenti e fornisce funzionalità per disinfettare traffico web passando in casa interna del filtro contenuto ricco / rete aziendale. Può essere utilizzato per bloccare il download di file illegali o potenzialmente dannosi, rimuovere pubblicità fastidiose, impedire l’accesso a diverse categorie di siti web e bloccare risorse con contenuti espliciti (cioè vietare contenuti espliciti e adulto).
Purtroppo QuintoLabs non ha ancora repository di pacchetti online per qlproxy modo che abbiamo per ottenere il CentOS / RedHat RPM pacchetto manualmente dal sito web QuintoLabs a http://www.quintolabs.com/qlicap_download.php usando il vostro browser preferito e caricare il pacchetto al sistema utilizzando scp. Un altro modo è quello di digitare i seguenti comandi nella directory principale terminale (come una riga):
curl http://www.quintolabs.com/qlproxy/binaries/1.4.0/qlproxy-1.4.0-72bbf.i386.rpm > qlproxy-1.4.0-72bbf.i386.rpm
Attendere un po’ al termine del download (circa 21Mb) ed eseguire il comando seguente per installare il pacchetto scaricato
RPM– installare qlproxy-1.4.0-72bbf.i386.rpm
RPM manager verrà eseguito per un po ‘ e il programma verrà installati in /opt/quintolabs/qlproxy e /var/opt/quintolabs/qlproxy.
Nota: questa guida si presuppone SELinux disabilitato sulla vostra macchina. Per note specifiche considerando che SELinux base installazione del qlproxy vedere il loro sito web e politica di SELinux installato in /opt/quintolabs/qlproxy/usr/share/selinux del campione. Al fine di disabilitare SELinux impostare SELINUX = disabled in /etc/selinux/config. e riavviare il computer.
Ora abbiamo bisogno di configurare qlproxy e integrarlo con calamari. I file di configurazione sono testo normale e memorizzati /opt/quintolabs/qlproxy/etc / *. conf e piuttosto semplice da modificare con una manciata di commenti all’interno. Ho intenzione di eseguire le seguenti modifiche:
- Come io personalmente non mi piace troppa pubblicità sul web e come spesso navigare attraverso siti russi e tedeschi voglio attivare estesa adblock filtraggio rimuovendo le sottoscrizioni di russo e tedesco AdBlock corrispondente in /opt/quintolabs /qlproxy/etc/Adblock.conf file. Inoltre non mi piace siti rilevamento me così io solitamente decommentare easy_privacy sottoscrizione nello stesso file.
- I miei bambini a volte giocare giochi online sul mio computer quindi preferisco impostare il livello di euristiche blocco adulto al più alto in /opt/quintolabs/qlproxy/etc/adultblock.conf modificando da heuristics_level = normale a heuristics_level = alta. Se nulla è erroneamente bloccato da qlproxy che più tardi posso aggiungere al file exceptions.conf di averlo attraversato.
- Il modulo Parental Controls di 1,4 ora supporta il filtraggio del contenuto della pagina HTML per parole proibite e frasi (come Dansguardian) e permetterà di troppo. Il trabocchetto potenziale qui è il tipo di algoritmo utilizzato che richiede molta potenza di calcolo dal PC – che è perché il modo consigliato è di lasciare il modulo spento in un’installazione tipica. Prossima versione di qlproxy è conosciuto per includere un’implementazione molto meglio.
- Il modulo urlblock che utilizza comunità sviluppato database di domini categorizzati in modo non corretto inserisce blogspot.com in una categoria adult… quindi aggiungerla all’elenco delle eccezioni in /opt/quintolabs/qlproxy/etc/exceptions.conf per essere in grado di leggere alcuni dei miei Blog preferiti ospitato lì.
- So che worm, Trojan e altri malware software correlati spesso connettersi al mondo di indirizzi IP, così ho messo una regexp magico nel file /opt/quintolabs/qlproxy/etc/httpblock.conf per filtrare fuori url = http://\d+\.\d+\.\d+\.\d+/.*
Buono per ora, cerchiamo di eseguire un comando di riavvio per rendere il demone qlproxyd ricaricare la configurazione /etc/init.d/qlproxy riavviare
Successivamente è necessario integrarlo con calamari. Come il qlproxy demone supporta il protocollo ICAP splendente che questo è un po ‘ diverso dall’integrazione di url_rewrite_program descritto nella precedente versione di questo howto. A proposito, il file README in/opt/quintolabs/qlproxy/contiene istruzioni su come farlo. Comunque qui ci sono i passaggi necessari:
- Aprire il /etc/squid/squid.conf vi digitando
vi /etc/squid/squid.conf
nella directory principale terminal.
- Aggiungere le seguenti righe:
icap_enable on icap_preview_enable on icap_preview_size 4096 icap_persistent_connections on icap_send_client_ip on icap_send_client_username on icap_service qlproxy1 reqmod_precache bypass=0 icap://127.0.0.1:1344/reqmod icap_service qlproxy2 respmod_precache bypass=0 icap://127.0.0.1:1344/respmod adaptation_access qlproxy1 allow all adaptation_access qlproxy2 allow all
Ora riavviare Squid digitando calamari servizio riavviare il terminale di root. Dopo il riavvio prova surf gli stessi siti con il vostro browser e vedere come ben annunci vengono bloccati. Un altro test utile è quello di visitare il sito web di eicar.com e tenta di scaricare un virus eicar.com artificiale di esempio per vedere che com file vengono bloccati dal filtro download.
Nota: per quelli di voi che deve attaccare con squid 2.7 per altri motivi o se siete su Windows(!) qlproxy può essere integrate con calamari come masterizzatore di url. Aprire /etc/squid/squid.conf e trovare la sezione url_rewrite_program e aggiungere il codice seguente (come una riga): url_rewrite_program /opt/quintolabs/qlproxy/sbin/qlproxyd_redirector–config_path=/opt/quintolabs/qlproxy/etc/qlproxyd.conf.
L’ultima cosa da fare è quello di integrare la qlproxy con Apache per essere in grado di visualizzare i rapporti sulle attività utente generata una volta al giorno. Questo è in realtà abbastanza semplice, aprire il file /etc/httpd/httpd.conf e aggiungere la seguente vicino la < / VirtualHost > direttiva:
Alias /qlproxy /var/opt/quintolabs/qlproxy/www <Directory /var/opt/quintolabs/qlproxy/www > Options FollowSymLinks AllowOverride None </Directory>
Ora ricaricare l’apache digitando nel terminale
service httpd restart
È possibile passare a http://192.168.1.4/qlproxy per vedere i report generati. La cosa divertente è che qlproxy blocca l’accesso tramite l’indirizzo IP in base alle nostre impostazioni in httpblock.conf descritto in precedenza. Soluzione sarebbe quella di aggiungere il 192.168.1.2 come voce a /opt/quintolabs/qlproxy/etc/exceptions.conf o semplicemente dire al browser di non utilizzare il proxy per questo indirizzo.
Curriculum
Finalmente tutto è pronto per iniziare l’accelerata sicuro navigazione web senza annunci – puntare il browser al 192.168.1.4 porta 3128, navigare sui siti web preferiti e vedere la differenza. Gli indirizzi IP negli URL sono bloccati e in modo esplicito adulti siti di contenuto troppo. VMware richiede non più di 512 MB e l’esperienza di navigazione è abbastanza accettabile. Il sistema viene aggiornato automaticamente una volta al giorno per l’ultimo url elenco Blocca e annuncio sottoscrizioni e richiede una manutenzione aggiuntiva minima.
Documentazione usate collegamenti
- http://www.CentOS.org
- http://www.squid-cache.org
- http://www.quintolabs.com/qlicap_info.php
- http://issues.quintolabs.com/Trac/quintolabs_qlicap/wiki/QlicapDocs