squidGuard

[TrIpOd]

hi zusammen!

kann mir einer sagen, wie ich meinen squid, bzw. Squidguard dazu bekomme alles an Websites zu blocken, bis auf die, die ich in einer Whitelist freigegeben habe?

Ich dachte zum beispiel an sowas wie: eine blacklist, in der ich alle top level domains sperre und eine whitelist, in der ich bestimmte urls freigebe!?

danke!

[HansPans]

Hi,

warum willst du SquidGard verwenden. Einfach eine acl im squid.conf eintragen und fertig.

acl ALLOWED-URL dstdomain "/was auch immer/allowed-url"

http_access allow ALLOWED-URL

http_access deny all

Have a nice day

HansPans

[I´m a BunnyRabbit]

die konfiguration von squidguard läuft immer nach dem selben schema

befehl name { regel }

nan du musst zuerst einmal gruppen definieren:

# gruppe1 ip 1-10

src gruppe1 {

ip 192.168.0.1-192.168.0.10

}

dann must du die blacklists bzw whitelist laden

die wie folgt aufgebaut sind:

domain.de

gmx.de

soundso.com

...

(für blacklist müssen hier die verbotenen seiten stehen für whitelists die erlaubten seiten)

blacklists bekommst du z.b. hier

im squidguard lädst du dann diese listen wie folgt

dest liste1 {

domains /wo/auch/immer/domains #pfadangabe zu deiner liste

}

zur überprüfung ob die lists korrekt geladen werden empfehle ich einen blick in die log datei des quidguards der pfad zu dieser steht in der squidguard.conf unter logdir

denn zugriff regelst du nun über die ACL's

in der squidguard.conf sieht das dann wie folgt aus

acl {

# für blacklists

gruppe1 {

pass !liste1 all

# hier musst du dann noch einen redirect setzen d.h. eine seite die statt der

# gewünschten seite im browser erscheint. (hier kannst du z.B. den thttpd

# nutzen.)

redirect http://(adresse oder ip der redirectseite)

}

# für whitelists

gruppe2 {

pass liste2 none

redirect http://(adresse oder ip der redirectseite)

}

#dann noch eine default regel für hosts die du nicht einer betimmten gruppe #zugeordnet hast

default {

pass none #host haben keinen zugrif auf den squid

redirect http://(adresse oder ip der redirectseite)

}

Weiss ich bin schlecht im erklären aber hoffentlich hilfts

cu

bunny

[TrIpOd]

danke leute!

das ist alles schon ganz nett, aber ich will ALLES sperren defaultmässig und dann ein paar seiten in der whitelist freigeben!

[I´m a BunnyRabbit]

logdir /wo/auch/immer

dbhome /var/lib/squidguard/db

dest whitelist {

domainlist domains

}

ACL {

default {

pass whitelist none

redirect http://(redirectseite)

}

}

Das ist schon die ganze file

jetzt musst du unter /var/lib/squidguard/db eine datei domains erstellen in der die seiten stehen die besucht werden dürfen

nur fqdn der seiten(z.b. gmx.de) mit zeilenumbruch getrennt

cu

[Kristian]

... und auf der Komandozeile mit

squidguard -C all

deine Berkelay-DB daraus erstellen.

[HansPans]

HALLO!!!!

Guck dir meinen Betrag von gestern noch mal an.

Wenn du das so umsetzt sind alle Seiten geblockt bis auf die Domainen in dem Textfile. Das ist doch genau das was du willst.

SquidGuard ist hier völlig überflüssig

Have a nice day

HansPans

[TrIpOd]

Original geschrieben von HansPans

HALLO!!!!

Guck dir meinen Betrag von gestern noch mal an.

Wenn du das so umsetzt sind alle Seiten geblockt bis auf die Domainen in dem Textfile. Das ist doch genau das was du willst.

SquidGuard ist hier völlig überflüssig

Have a nice day

HansPans

YO!

Naja, überflüssig...............es funktioniert mit der lösung über squidguard und die whitelist! allerdings habe ich eines nicht beachtet:

wenn ich so eine whitelist mit den erlaubten domains habe, dann blockt er ja alles andere! sollte auch so sein! allerdings blockt er dann auch gifs, images, and alles was nicht auf dieser erlaubten domain oder ip liegt! das is *******e.......!

ich wage auch zu bezweifeln, dass es eine lösung dafür gibt, außer manuell jede blöde adresse, bzw. verknüpfung einzutragen!!!!? bin nun erstmal wieder zu squidguard zurückgegangen! was mich allerdings an SG stört ist, dass er nicht wirklich alles an bullshit (porn, ads, usw..) blockt!.......es liegt immer an den database files, die man hat.....und: sites in diese richtung schiessen ja wie pilze aus dem boden. von daher hat man keine 100%ige blockung....das ist nicht gerade so erfrischend!

solutions?

comments?

ps: Quizfrage: wenn ich die lists für squidguard automatisiert runterladen lassen würde, weiss jemand wie oft die bei zB: squidguard.org aktualisiert werden?

THX

[Kristian]

Also, ich lasse sie mir einmal täglich herunterladen, kontrolliere hin und wieder die Logs von squid, und wenn da ne Seite auftaucht, die ich lieber geblockt haben möchte, dann füge ich das in eigene Datenbanken hinzu.

Ob jetzt wirklich täglich sinn macht, weiß ich nicht, aber so groß sind die Files ja auch nicht....

[TrIpOd]

hab mich gerade damit beschäftigt!

lasse das dingen auch einmal täglich ziehen!

mal sehen wie es so funktioniert!

[Kristian]

Lösung für dein Grafik-Problem:

Bau dir doch ne Stichwort-Datei (expressions) in der du die Dateiendungen einpflegst. Die dann noch auf die allow-Liste, und du bist die Sorgen los. Problem:

Wenn du zuviel freigibst, kannst du dir das ganze Blocken sparen.

[TrIpOd]

Original geschrieben von Kristian

Lösung für dein Grafik-Problem:

Bau dir doch ne Stichwort-Datei (expressions) in der du die Dateiendungen einpflegst. Die dann noch auf die allow-Liste, und du bist die Sorgen los. Problem:

Wenn du zuviel freigibst, kannst du dir das ganze Blocken sparen.

Auch ne Lösung! Ich habe mich aber wie gesagt erstmal wieder für die normale blacklist entschieden! das script was ich gefunden haben ist auch sehr gut!

es hat nur aus meiner schmuddel list, die ca. 700kb gross war ne 6,1mb liste gemacht! das lässt natürlich auf mehr blockung hoffen, allerdings zieht das meine maschine absolut in die knie!

quizfrage: wie schnell sind eure maschinen und wie gross sind eure blacklists?

meine: P2 300 / 392MB RAM PC100

[TrIpOd]

Original geschrieben von Kristian

Lösung für dein Grafik-Problem:

Bau dir doch ne Stichwort-Datei (expressions) in der du die Dateiendungen einpflegst. Die dann noch auf die allow-Liste, und du bist die Sorgen los. Problem:

Wenn du zuviel freigibst, kannst du dir das ganze Blocken sparen.

Nun bin ich deinem rat gefolgt und habe den squidguard über whitelists domains und urls gegeben, die der user erreichen darf und eine expressionlist mit dateiendungen, die erlaubt sind und nicht gefiltert werden sollen, egal von welcher ip sie kommen! so sieht die config aus:

dest whitelist {

domainlist whitelists/domains

urllist whitelists/urls

}

dest expressions {

expressionlist whitelists/expressions

}

acl {

default {

pass whitelist none

redirect http://www.muenster.de

}

}

acl {

default {

pass expressions all

}

}

Wenn ich so vorgehe, lässt er alles durch! jede url usw......

kann es daran liegen, dass er dann eher nach extensions schaut als nach den in den whitelists freigegebenen seiten?

[Kristian]

Was willst du jetzt genau erreichen?

1.) Du kannst nur eine default ACL haben. Wenn da mehrere Dinge vorkommen, einfach hintereinander schreiben.

2.) Wenn die Default-ACL auf "pass ....... all" steht, dann tut er halt so, wie ihm geheißen. er lässt alles durch

Schreib mal genau, was er blocken soll, und was durchlassen. (nicht in Domains, sondern in Listen!)

Nachtrag:

hab gerade nochmal gelesen: die korrekte Zeile heißt:

pass whitelist expressions none

Du kannst aber auch einfach die expressionlist mit in die Destination whitelist mit reinnehmen, das geht dann auch...

[TrIpOd]

Ich habe das Problem schon gelöst! Jetz läuft alles schön! :-)

Die Lösung es einfach über Squid zu machen war am einfachsten! Er verweist auf eine Textdatei in der die freigegebenen URLs stehen...

per http_access konnte ich dann allow oder deny setzen....

anyway:

kann mir einer sagen wie ich es realisiere, dass eine verschlüsselte kommunikation stattfindet? Hintergrund:

der proxy steht im internet und ist von allen adressen erreichbar deshalb hätte ich gern sowas wie: die user verbinden sich über eine vpn verbindung zu dem proxy!? ich kenn mich aber nicht so gut aus, von daher fragen dazu:

ist es möglich dynamische adressen mit einer statischen zu einer vpn zu benutzen?

im grunde genommen meine ich aber auch eher client server prinzip. die win maschinen aus dem inet zu dem server vpn oder whatever und nachdem die verschlüsselung hergestellt ist kann auf den proxy zugegriffen werden!?

comments?

[Kristian]

Du kannst irgendwo in der squid.conf angeben, welche Clients überhaupt nur Zugriff auf die Maschine haben. IP-Adressen eintragen und gut...

[TrIpOd]

tja, das is aber nen bischen schwierig wenn es dynamische adressen aus was weiss ich welchen netzen sind, gelle!?