proxy:start

Proxy mit Squid

Prinzipiell soll der Proxy verhindern, dass nicht vertrauenswürdige Software Daten an nicht vertrauenswürdige Server sendet. Dazu wird der Software jeweils ein Benutzernamen und ein Passwort zugeordnet, mit der sich diese beim Server anmelden muss. Setzt natürlich voraus, dass die Software in der Lage ist ihren Proxy selbst zu verwalten und dies nicht dem Betriebssystem überlässt.

Es gibt 3 verschiedene Arten von Benutzern:

Browser

Es gibt nur einen solchen Benutzer mit dem Namen browser. Und dieser darf prinzipiell alle Server kontaktieren.

einfache Benutzer

Benutzer deren Benutzernamen und Passwort in der Datei pwbasic,conf eingetragen ist, dürfen die Domains aus der Datei whitelist.txt ansprechen.

konfigurierte Benutzer

Diese Benutzer und ihre Berechtigungen werden mit jeweils einer Konfigurationsdatei im Verzeichnis conf.d konfiguriert.

Konfiguration

Wird die Konfiguration einschließlich Benutzer oder Domainlisten verändert muss die Konfiguration auf Syntaxfehler geprüft und neu eingelesen werden:

/usr(sbin/squid -k parse
/usr/sbin/squid -k reconfigure

Die Konfigurationsdatei besteht weitgehend aus Kommentaren und Leerzeilen. Extraktion der konfigurierten Optionen mit:

grep -v '^\s*$|^\s*#' squid.conf

Zum Anzeigen hier klicken ⇲

Zum Verstecken hier klicken ⇱

auth_param basic program /usr/lib/squid/basic_ncsa_auth /etc/squid/pwbasic.conf
auth_param basic realm proxy
acl localnet src 192.168.0.0/16
acl adminnet src 192.168.2.0/24
acl SSL_ports port 443
acl SSL_ports port 81       # manitu
acl Safe_ports port 80		# http
acl Safe_ports port 81      # manitu
acl Safe_ports port 8080    # spydroid
acl Safe_ports port 21		# ftp
acl Safe_ports port 443		# https
acl browser_users proxy_auth browser
acl authent_users proxy_auth REQUIRED
acl http proto http
acl CONNECT method CONNECT
acl whitelist dstdomain "/etc/squid/whitelist.txt"
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow adminnet manager
http_access deny manager
include /etc/squid/conf.d/*
http_access allow http authent_users whitelist
http_access allow http browser_users
http_access allow CONNECT authent_users whitelist
http_access allow CONNECT browser_users
http_access deny all
http_port 3128
pid_filename /run/squid.pid
coredump_dir /var/spool/squid
refresh_pattern ^ftp:		1440	20%	10080
refresh_pattern ^gopher:	1440	0%	1440
refresh_pattern -i (/cgi-bin/|\?) 0	0%	0
refresh_pattern \/(Packages|Sources)(|\.bz2|\.gz|\.xz)$ 0 0% 0 refresh-ims
refresh_pattern \/Release(|\.gpg)$ 0 0% 0 refresh-ims
refresh_pattern \/InRelease$ 0 0% 0 refresh-ims
refresh_pattern \/(Translation-.*)(|\.bz2|\.gz|\.xz)$ 0 0% 0 refresh-ims
refresh_pattern .		0	20%	4320
dns_v4_first on
proxy/start.txt · Zuletzt geändert: 2023/07/19 23:20 von michael

Seiten-Werkzeuge