Как использовать Squid Proxy Cache Server для контроля доступа в Интернет
Squid является прокси-сервером кеширования. Если вы системный администратор Linux, вы можете использовать squid для контроля доступа в Интернет в вашей рабочей среде.
Это руководство для начинающих даст толчок тому, как настроить squid на Linux для ограничения доступа в Интернет в сети.
Установить Squid
Вы должны установить следующие три связанных с squid пакета в вашей системе.
- squid
- squid-common
- squid-langpack
В Debian и Ubuntu используйте aptitude для установки squid, как показано ниже. В CentOS используйте yum для установки пакета squid.
$ sudo aptitude install squidПроверьте конфигурацию и сценарии запуска
Помимо установки пакетов, связанных с squid, он также создает сценарии запуска /etc/squid/squid.conf и /etc/init.d/squid.
По умолчанию Squid работает на порту 3128. Вы можете проверить это из файла squid.conf. Вы также можете установить параметр visible_hostname в вашем squid.conf, который будет использоваться в error_log. Если вы не определили, squid получает значение имени хоста с помощью функции gethostname ().
# vim /etc/squid/squid.conf visible_hostname ubuntuserver httpd_port 3128
Примечание. Номер http-порта (3128), указанный в файле squid.conf, должен быть введен в разделе настроек прокси-сервера в браузере клиента. Если squid построен с использованием SSL, вы можете использовать опцию https_port внутри squid.conf для определения https squid.
Запустите Squid и просмотрите логи
Запустите прокси-сервер Squid, как показано ниже.
# service squid start squid start/running, process 11743
Squid поддерживает три файла журнала (access.log, cache.log и store.log) в каталоге /var/log/squid.
В /var/log/squid/access.log вы можете посмотреть, кто и на каком сайте зашел в какой момент. Ниже приведен формат записи squid access.log.
time elapsed remotehost code/status bytes method URL rfc931 peerstatus/peerhost
Чтобы отключить регистрацию в squid, обновите squid.conf следующей информацией.
# to disable access.log cache_access_log /dev/null # to disable store.log cache_store_log none # to disable cache.log cache_log /dev/null
Использование Squid 1: Ограничить доступ к определенным веб-сайтам
Таким образом вы можете запретить пользователям просматривать определенные веб-сайты, когда они подключены к вашей сети через прокси-сервер.
Создайте файл с именем limited_sites и перечислите все сайты, которые вы хотите ограничить доступ.
# vim /etc/squid/restricted_sites www.yahoo.com mail.yahoo.com
Измените файл squid.conf, добавив следующее.
# vim /etc/squid/squid.conf acl RestrictedSites dstdomain "/etc/squid/restricted_sites" http_access deny RestrictedSites
Примечание: вы также можете настроить squid как прозрачный прокси-сервер, который мы обсудим в отдельной статье. Также обратитесь к нашей предыдущей статье о том, как заблокировать ip-адрес с помощью fail2ban и iptables.
Использование Squid 2: разрешить доступ к веб-сайтам только в течение определенного времени
Некоторые организации могут разрешить сотрудникам просматривать веб-страницы или загружать их из Интернета только в течение определенного периода времени.
Приведенная ниже конфигурация squid.conf разрешает доступ в Интернет для сотрудников только с 9:00 до 18:00 в будние дни.
# vim /etc/squid/squid.conf acl official_hours time M T W H F 09:00-18:00 http_access deny all http_access allow official_hours
Использование Squid 3: ограничение доступа к определенной сети
Вместо того, чтобы ограничивать определенные сайты, вы также можете предоставить доступ только к определенной сети и заблокировать все остальное. В приведенном ниже примере разрешен доступ только к внутренней сети 192.168.1. *.
# vim /etc/squid/squid.conf acl branch_offices src 192.168.1.0/24 http_access deny all http_access allow branch_offices
Использование Squid 4. Использование регулярных выражений для сопоставления URL-адресов.
Вы также можете использовать регулярные выражения для разрешения или запрета веб-сайтов.
Сначала создайте файлы заблокированных_сайтов со списком ключевых слов.
# cat /etc/squid/blocked_sites soccer movie www.example.com
Измените файл squid.conf, чтобы блокировать любые сайты, в URL которых есть любое из этих ключевых слов.
# vim /etc/squid/squid.conf acl blocked_sites url_regex -i "/etc/squid/blocked_sites" http_access deny blocked_sites http_access allow all
В приведенном выше примере опция -i используется для игнорирования регистра для сопоставления. Таким образом, при доступе к веб-сайтам squid будет пытаться сопоставить URL-адрес с любым шаблоном, упомянутым в приведенном выше файле block_sites, и запрещает доступ при его совпадении.
SARG — Генератор отчетов по анализу squid
Загрузите и установите SARG для генерации отчетов об использовании squid.
Используйте команду sarg-reports для генерации отчетов, как показано ниже.
# to generate the report for today sarg-report today # on daily basis sarg-report daily # on weekly basis sarg-report weekly # on monthly basis sarg-report monthly
Примечание: добавьте sarg-report в crontab.
Сгенерированные sarg отчеты хранятся в /var/www/squid-reports. Это HTML-отчеты, которые вы можете просмотреть в браузере.
$ ls /var/www/squid-reports Daily index.html $ ls /var/www/squid-reports/Daily 2019Aug28-2020Aug28 images index.html
