CentOS 6 - Squid, SquidGuard

Internetmegosztás oktat�si int�zm�nyben
Csoport alap� tilt�list�k alkalmaz�sa proxy szerveren

Tartalom:
1. A rendszer műk�d�s�nek r�vid �ttekint�se
2. A kiszolg�l� telep�t�se �s alapbe�ll�t�sai
3. Automatikus IP be�ll�t�sok a klienseken
4. A Squid proxy server
5. A SquidGuard
6. A tilt�list�k m�dos�t�sa
7. Az Internet-haszn�lat ellenőrz�se

Ez a le�r�s az Internet megoszt�s egyik m�dszer�t mutatja be a Squid proxy szerver alkalmaz�s�val. A proxy szerver a kliensek �ltal lek�rt tartalmat (weblapot) let�lti az Internetről, a kliensnek �tadja �s t�rolja. Ism�telt oldal-l�togat�s eset�n a m�sodik felhaszn�l�nak a tartalmat nem az Internetről, hanem a saj�t t�rol�j�b�l adja vissza. Oktat�si int�zm�nyben k�l�n�sen fontos lehet a proxyval megval�s�that� funkci�k:

•    korl�tozhatjuk vele a nem k�v�nt internetes c�mek l�togat�s�t
•    korl�tozhatjuk az Internet-hozz�f�r�st felhaszn�l�i azonos�t�s vagy IP c�m alapj�n
•    szűrhet�nk vele internetes tartalmat
•    felhaszn�lhatjuk statisztika k�sz�t�sre
•    rekl�m-jellegű tartalmak kikapcsol�s�val s�vsz�less�get takar�thatunk meg
•    korl�tozhatjuk a kliensek fel� ny�jtott s�vsz�less�get

A fenti funkci�k k�z�l nagym�retű tilt�list�k alkalmaz�s�t, rekl�m tartalmak kikapcsol�s�t �s Internet-haszn�lati statisztik�k k�sz�t�s�t mutatom be CentOS-6 Linux oper�ci�s rendszeren.

1. A rendszer műk�d�s�nek r�vid �ttekint�se

Az egyszerűbb �zemeltet�s �rdek�ben a kiszolg�l� a belső h�l�zatnak DHCP szolg�ltat�st is biztos�t. Automatikusan be�ll�tja a klienseken az IPV4 c�meket, �tj�r�t, h�l�zati maszkot, DNS szerver IP c�m�t �s a DNS ut�tagot is. A bemutat�sra ker�lő p�ld�ban ez: suli.local. A kliensek valamelyik�n a b�ng�sző programot elind�tva, az megpr�b�l automatikus konfigur�ci�s be�ll�t�sokat tal�lni, let�lteni a wpad.suli.local nevű g�pről a wpad.dat f�jlt. Teh�t a konfigur�ci�s f�jl URL-j�nek a k�vetkezőnek kell lennie: http://wpad.suli.local/wpad.dat. A kiszolg�l�n műk�dő DNS szerver feloldja ezt a g�pnevet �s a webszerver a k�r�st kiszolg�lja. A wpad.dat f�jl tartalma alapj�n a b�ng�sző meg�llap�tja a proxy szerver IP c�m�t, portsz�m�t �s ehhez kapcsol�dva el�ri az Internetet.
Ha nem akarjuk az automatikus b�ng�sző-be�ll�t�st haszn�lni, a DNS �s a DHCP r�szt kihagyhatjuk. Ebben az esetben a b�ng�sző(k)ben k�zzel kell majd megadni a proxy szerver�nk IP c�m�t �s portsz�m�t. A webszerver haszn�lata mindenk�pp aj�nlott, hiszen seg�ts�g�vel tilt�si �zeneteket �s a statisztik�kat jelen�t�nk meg. Haszn�lhatjuk az automatikus proxybe�ll�t�s URL-t is, a fenti URL-t, vagy (DNS n�lk�l) IP c�met megadva a b�ng�sző be�ll�t�sain�l. P�ld�nkban ez http://192.168.99.1/wpad.dat.

A kiszolg�l� műk�d�s�t Ubuntu Linux 11.10 alatt futtatott Oracle VM VirtualBox 4.1 program seg�ts�g�vel ellenőriztem. A CentOS-6 Linux telep�t�s�n�l k�t h�l�zati eszk�zt v�lasztottam, az elsőn�l Brigde-elt k�rtya (eth0), a m�sodikn�l Belső h�l�zat, intnet be�ll�t�sokkal. Kliensk�nt Microsoft Windows XP �s Ubuntu Linux 11.10-et telep�tettem, ezekn�l egy h�l�zati k�rty�t, Belső h�l�zat, intnet be�ll�t�sokkal hat�roztam meg (1. �bra). A klienseken tesztelt b�ng�szőprogramok a k�vetkezők: Mozilla Firefox, Google Chrome �s Internet Explorer.

1. �bra (nagy�that�)

2. A kiszolg�l� telep�t�se �s alapbe�ll�t�sai

A CentOS-6 Linux telep�t�se legegyszerűbben DVD-ről t�rt�nhet. A www.centos.org oldalon megtal�ljuk a t�k�r szerverek list�j�t. T�lts�k a DVD-k�pet iso form�tumban. A telep�t�sn�l magyar nyelvet is v�laszthatunk. Adjunk nevet a kiszolg�l�nak, p�ld�nkban ez cent6m.suli.local. A Configure Network kapcsol�ra kattintva az IPv4 be�ll�t�sokn�l v�lasszunk K�zi m�dszert, �s adjunk IP c�meket a csatol�knak. Az Automatikus csatlakoz�st is kapcsoljuk be mindk�t csatol�n�l. P�ld�nkban az eth0 csatol� kapcsol�dik a routerhez, az eth1 a belső h�l�zat kapcsol�j�hoz. A IP be�ll�t�sok a k�vetkezők:

	C�m:	H�l�zati maszk	�tj�r�	DNS kiszolg�l�k:
eth0	192.168.4.17	24	192.168.4.1	192.168.4.1
eth1	192.168.99.1	24

A h�l�zati be�ll�t�sokat m�dos�tanunk kell saj�t h�l�zatunknak megfelelően.
A part�ci�k meghat�roz�s�n�l vegy�k figyelembe a kiszolg�l�nk merevlemezeinek m�ret�t �s a szerver egy�b funkci�it. Szerencs�s, ha a proxy gyors�t�t�ra k�l�n part�ci�ra, vagy ak�r k�l�n merevlemzre ker�l. E part�ci� csatol�si pontja: /var/spool/squid. M�rete t�bb t�z giga b�jt is lehet, p�ld�nkban 80 GB. Telep�t�skor a Create Custom Layout (egy�ni elrendez�s l�trehoz�sa) lehetős�get v�lasztva hat�rozhatunk meg part�ci�kat. A szoftver�ssze�ll�t�sn�l, att�l f�ggően, hogy szeretn�nk-e grafikus fel�letet a Basic Server, vagy a Minimal Desktop aj�nlott. A bemutatott p�ld�ban Minimal Desktop szerepel. A csomagok telep�t�se ut�n a kiszolg�l� �jraindul. Ezut�n hozzuk l�tre saj�t felhaszn�l�i fi�kunkat �s �ll�tsuk be a d�tum �s idő szinkroniz�l�s�t a h�l�zaton kereszt�l.

A kiszolg�l� h�l�zati csatol�k k�z�tt csomagtov�bb�t�st nem v�gez. Fontos, hogy a tanul�i h�l�zat sz�m�ra c�mford�t�st (NAT) ne alkalmazzunk, mert az megker�lhetőv� teszi proxy szervert.

A programok telep�t�se előtt az alap�rtelmezett t�rol�khoz (repository) adjuk az RPMforge t�rol�t. Ind�tsuk el a Termin�l-t �s k�rj�nk root jogosults�got. Elősz�r telep�ts�k a yum-priorites �s az mc csomagokat a k�vetkező parancsokkal:

[pferi@cent6m ~]# su -
Jelsz�:
[root@cent6m etc]# yum install yum-priorities mc

Kapcsoljuk ki a SELinux alrendszert. Az /etc/selinux/config f�jl SELINUX kezdetű sor�t m�dos�tsuk:

SELiNUX=disabled

Ind�tsuk �jra a kiszolg�l�t, majd �ll�tsuk be a t�rol�k prorit�s�t. Az /etc/yum.repos.d/CentOS-Base.repo f�jlban a t�rol�kat jelző r�szeket bőv�ts�k a priority=1 sorral:

[base]
...
priority=1

[updates]
...
priority=1

[extras]
...
priority=1

Telep�ts�k az eml�tett t�rol�t:

[root@cent6m ~]# wget http://pkgs.repoforge.org/rpmforge-release/rpmforge-release-0.5.2-2.el6.rf.i686.rpm
[root@cent6m ~]# rpm -ivh rpmforge-release-0.5.2-2.el6.rf.i686.rpm

Az /etc/yum.repos.d/rpmforge.repo f�jlban az [rpmforge] r�szt bőv�ts�k a priority=5 sorral �s ellenőrizz�k, hogy a t�bbi r�szn�l az enabled = 0 sor szerepel:

[rpmforge]
priority=5

Friss�ts�k az oper�ci�s rendszert �s telep�ts�k a proxy szervert (squid), a tartalomszűr�st megval�s�t� (squidGuard) csomagokat, a DNS, a DHCP �s a webszervert, valamint a tűzfal be�ll�t�s�ra szolg�l� programot:

[root@cent6m ~]# yum update
[root@cent6m ~]# yum install squid squidguard* dnsmasq dhcp httpd system-config-firewall

3. Automatikus IP be�ll�t�sok a klienseken

Enged�lyezz�k, hogy a kiszolg�l�nk n�h�ny szolg�ltat�sa hozz�f�rhető legyen a h�l�zat g�peinek. Ind�tsuk el a tűzfalat: Rendszer/Adminisztr�ci�/Tűzfal. A Megb�zhat� szolg�ltat�sok list�j�b�l v�lasszuk ki a DNS �s a WWW(HTTP)-t valamint az Egy�b portokn�l adjuk hozz� k�vetkezőket: 67 udp �s 8080 tcp. Alkalmazzuk az �j be�ll�t�sokat.

M�dos�tsuk az /etc/dhcp/dhcpd.conf f�jl tartalm�t a k�vetkezőre:

authoritative;
subnet 192.168.99.0 netmask 255.255.255.0 {
range 192.168.99.10 192.168.99.100;
option domain-name-servers 192.168.99.1;
option domain-name "suli.local";
option routers 192.168.99.1;
option broadcast-address 255.255.255.0;
default-lease-time 600;
max-lease-time 7200;
}

Ez egy egyszerű DHCP szervert �ll�t be, a range sorban megadott tartom�nyb�l kapnak IP c�meket a kliensek. Az /usr/share/doc/dhcp-4.1.1/dhcpd.conf.sample f�jlban t�bb minta konfigur�ci�t is tal�lunk a DHCP k�l�nb�ző műk�d�s�re.
Ind�tsuk el a DHCP szervert �s �ll�tsuk be az automatikus indul�st:

[root@cent6m ~]# service dhcpd start
[root@cent6m ~]# chkconfig --levels 235 dhcpd on

Egy kliens g�pen ellenőrizz�k a kiszolg�l� műk�d�s�t. A kliensnem range sorban megadott IP tartom�nyb�l kell c�met kapnia. Nem megfelelő műk�d�s eset�n ellenőrizz�k a h�l�zat eszk�zeit �s vizsg�ljuk meg a /var/log/messages f�jl utols� sorait.

Bőv�ts�k az /etc/hosts �llom�nyt a k�vetkező k�t sorral:

192.168.99.1 cent6m.suli.local cent6m
192.168.99.1 wpad.suli.local wpad

Az DNS szerverk�nt az egyszerű dnsmasq programot alkalmazzuk. Konfigur�ci�s �llom�nya az /etc/dnsmasq.conf. M�dos�tsuk az �llom�ny k�t sor�t: a strict-order �s az interface sorok elől t�r�lj�k a # jelet �s interface �rt�ke legyen eth1. Az al�bbi parancs az �llom�ny akt�v sorait mutatja, azokat amelyek nem # jellel kezdődnek �s nem �resek.

[root@cent6m ~]# cat /etc/dnsmasq.conf | sed '/^#/d; /^ *$/d'
strict-order
interface=eth1

Ind�tsuk el a DNS cache szervert �s �ll�tsuk be az automatikus indul�st:

[root@cent6m ~]# service dnsmasq start
[root@cent6m ~]# chkconfig --levels 235 dnsmasq on

Egy kliens g�pen ellenőrizz�k a kiszolg�l� műk�d�s�t. Parancssorba, vagy Linux kliens eset�n a termin�lba �rjuk az nslookup fsf.hu parancsot, amivel megpr�b�ljuk meghat�rozni az fsf.hu g�p IP c�m�t:

C:\Documents and Settings\tanulo>nslookup fsf.hu
Server: cent6m.suli.local
Address: 192.168.99.1

Non-authoritative answer:
Name: fsf.hu
Address: 195.56.172.143

L�tjuk, hogy a n�vfelold�s siker�lt, a dnsmasq program a kiszolg�l�n műk�dik.
Ellenőrizz�k, hogy a kiszolg�l� hosts �llom�ny�ba megadott g�pn�vvel el�rj�k-e a kiszolg�l�t:

C:\Documents and Settings\tanulo>ping wpad.suli.local

wpad.suli.local [192.168.99.1] pingel�se 32 b�jt m�retű adatokkal:

V�lasz 192.168.99.1: b�jt=32 idő<10 ezredmp. TTL=64
V�lasz 192.168.99.1: b�jt=32 idő<10 ezredmp. TTL=64
V�lasz 192.168.99.1: b�jt=32 idő<10 ezredmp. TTL=64
V�lasz 192.168.99.1: b�jt=32 idő<10 ezredmp. TTL=64

192.168.99.1 ping-statisztik�ja:
Csomagok: k�ld�tt = 4, fogadott = 4, elveszett = 0 (0% vesztes�g),
Oda-vissza �t ideje k�zel�tőlegesen, milliszekundumban:
minimum = 0ms, maximum = 0ms, �tlag = 0ms

Ind�tsuk el a webszervert �s �ll�tsuk be az automatikus indul�st:

[root@cent6m ~]# service httpd start
[root@cent6m ~]# chkconfig --levels 235 httpd on

A klienseken ind�tsuk el a b�ng�szőprogramot �s ellenőrizz�k, hogy a kapcsolat be�ll�t�sain�l a Proxybe�ll�t�sok automatikus felismer�se a h�l�zatban be van �ll�tva (Mozilla Firefox eset�n: Be�ll�t�sok / Halad� / H�l�zat / Kapcsolat, 1. �bra). A kiszolg�l�n figyelj�k meg a webszerver log �llom�ny�nak utols� sorait:

[root@cent6m ~]# tail -5 /var/log/httpd/access_log
192.168.99.10 - - [02/Mar/2012:23:48:03 +0100] "GET /wpad.dat HTTP/1.1" 404 287 "-" "Mozilla/4.0 (compatible; MSIE 8.0; Win32; Trident/4.0)"
192.168.99.10 - - [02/Mar/2012:23:48:07 +0100] "GET /wpad.dat HTTP/1.1" 404 276 "-" "Mozilla/5.0 (Windows NT 5.1; rv:10.0.2) Gecko/20100101 Firefox/10.0.2"
192.168.99.11 - - [03/Mar/2012:01:31:38 +0100] "GET /wpad.dat HTTP/1.1" 404 276 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/535.11 (KHTML, like Gecko) Chrome/17.0.963.56 Safari/535.11"
192.168.99.12 - - [02/Mar/2012:23:49:47 +0100] "GET /wpad.dat HTTP/1.1" 404 276 "-" "Mozilla/5.0 (X11; Ubuntu; Linux i686; rv:10.0.2) Gecko/20100101 Firefox/10.0.2"
192.168.99.13 - - [02/Mar/2012:23:55:02 +0100] "GET /wpad.dat HTTP/1.1" 404 276 "-" "Mozilla/5.0 (X11; U; Linux i686; hu-HU; rv:1.9.2.26) Gecko/20120131 CentOS/3.6-1.el5.centos Firefox/3.6.26"

A fenti sorokat elemezve l�thatjuk, hogy n�gy kliensen k�l�nb�ző b�ng�szőprogramok voltak elind�tva �s azok mindegyike megpr�b�lta let�lteni a wpad.dat f�jlt a proxy konfigur�l�s�hoz. Ezt az �llom�nyt m�g nem hoztunk l�tre, a webszerver a 404-es hibak�ddal v�laszolt.

4. A Squid proxy server

A Squid proxy szerver konfigur�ci�s �llom�nya az /etc/squid/squid.conf. Az alap�rtelmezett �llom�nyt m�dos�tsuk saj�t h�l�zatunknak �s kiszolg�l� param�tereinek megfelelően. Az acl localnet src kezdetű sor a mi belső h�l�zatunkat hat�rozza meg. A http_port ut�n a kiszolg�l� belső IP c�me �s a 8080-as portsz�m �lljon. A cache_dir sorban a cache m�ret�t (megabyte-ban) �s az abban l�vő k�nyvt�rak sz�m�t hat�rozzuk meg. Az alap�rtelmezett �rt�k a k�vetkező:

cache_dir ufs /var/spool/squid 100 16 256

A fenti sor azt mutatja, hogy a cache a /var/spool/squid k�nyvt�rban van, m�rete 100 megabyte, itt 16 k�nyvt�rat tal�lunk, mindegyikben 256 alk�nyvt�rral. A telep�t�sn�l megadott part�ci� m�ret�től f�ggően m�dos�tsuk az �rt�keket. A k�vetkező paranccsal:

[root@cent6m ~]# cat /etc/squid/squid.conf | sed '/^#/d; /^ *$/d'

jelen�ts�k meg a squid.conf nem # jellel kezdődő �s nem �res sorait. Ezek a k�vetkezők:

acl manager proto cache_object
acl localhost src 127.0.0.1/32 ::1
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32 ::1
acl localnet src 192.168.99.0/24
acl SSL_ports port 443
acl Safe_ports port 80     # http
acl Safe_ports port 21          # ftp
acl Safe_ports port 443    # https
acl Safe_ports port 70          # gopher
acl Safe_ports port 210   # wais
acl Safe_ports port 1025-65535    # unregistered ports
acl Safe_ports port 280       # http-mgmt
acl Safe_ports port 488       # gss-http
acl Safe_ports port 591       # filemaker
acl Safe_ports port 777       # multiling http
acl CONNECT method CONNECT
http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localnet
http_access allow localhost
http_access deny all
http_port 192.168.99.1:8080
hierarchy_stoplist cgi-bin ?
cache_dir ufs /var/spool/squid 70000 32 256
coredump_dir /var/spool/squid
refresh_pattern ^ftp:        1440    20%    10080
refresh_pattern ^gopher: 1440    0%    1440
refresh_pattern -i (/cgi-bin/|\?) 0    0%    0
refresh_pattern .        0    20%    4320
cache_mem 32 MB
maximum_object_size 144 MB

F�lk�v�r form�z�ssal a m�dos�tott sorokat emeltem ki. Az utols� sor megadja a maxim�lis f�jlm�retet, amit t�rol a Squid.
A /var/www/html k�nyvt�rba hozzuk l�tre a wpad.dat f�jlt. Tartalma legyen a k�vetkező:

function FindProxyForURL(url, host)
{
    if (isPlainHostName(host))
        return "DIRECT";
    if (isInNet(host, "192.168.99.0", "255.255.255.0"))
        return "DIRECT";
    if (isInNet(host, "127.0.0.1", "255.255.255.255"))
        return "DIRECT";
return "PROXY 192.168.99.1:8080";
}

A fenti f�jl nem csak a proxy haszn�lat�ra �ll�tja be b�ng�szőt, hanem bizonyos c�mek eset�n (g�pn�v, saj�t h�l�zat g�pei, saj�tg�p) k�zvetlen kapcsolatot �ll�t be.
Ind�tsuk el a Squid proxy szervert �s �ll�tsuk be az automatikus indul�st:

[root@cent6m ~]# service squid start
[root@cent6m ~]# chkconfig --levels 235 squid on

A klienseken ind�tsuk el a b�ng�szőprogramot �s ellenőrizz�k az Internet műk�d�s�t.

5. A SquidGuard

A SquidGuard egy �tir�ny�t� �s el�r�st szab�lyoz� kieg�sz�t�s a Squid-hez. Szabad szoftver. Haszn�lata rugalmas �s gyors szűr�st tesz lehetőv�. Mag�t a programot �s a hozz� tartoz� feketelist�kat (squidguard-blacklist) m�r feltelep�tett�k az RPMForge t�rol�b�l. A program konfigur�ci�s �llom�nya az /etc/squid/squidguar.conf, a tilt�list�k pedig a /var/lib/squidguard k�nyvt�rban tal�lhat�k. Ezek kateg�ri�kba rendezett Internetes c�madatb�zisok azokr�l az oldalakr�l, amelyek l�togat�s�t megtiltjuk a felhaszn�l�knak. Figyelj�k meg a k�nyvt�r, majd valamelyik alk�nyvt�r (eset�nkben warez) tartalm�t:

[root@cent6m ~]# ls /var/lib/squidguard/
ads aggressive drugs gambling local proxy warez
adult audio-video forums hacking mail violence
[root@cent6m ~]# ls /var/lib/squidguard/warez/
domains domains.db expressions urls urls.db

A domains, az urls �s az expressions f�jlok - sz�veges �llom�nyok. A SquidGuard a gyorsabb műk�d�s �rdek�ben nem ezekkel a sz�veges �llom�nyokkal dolgozik, hanem a belől�k l�trehozott Berkeley DB form�tum� adatb�zissal. Vizsg�ljuk meg a domains �s a domains.db f�jlok t�pus�t:

[root@cent6m ~]# file /var/lib/squidguard/warez/domains
/var/lib/squidguard/warez/domains: ASCII text
[root@cent6m ~]# file /var/lib/squidguard/warez/domains.db
/var/lib/squidguard/warez/domains.db: Berkeley DB (Btree, version 9, native byte-order)

A SquidGuard haszn�latba v�tel�hez bőv�teni kell az al�bbi k�t sorral az /etc/squid/squid.conf �llom�nyt:

redirect_program /usr/bin/squidGuard -c /etc/squid/squidguard.conf
redirect_children 5

K�sz�ts�nk m�solatot az eredeti squidguard.conf �llom�nyr�l:

[root@cent6m squid]# cp squidguard.conf squidguard.conf.default

�s m�dos�tsuk a tartalm�t a k�vetkezőre:

dbhome
/var/lib/squidguard

logdir /var/log/squidguard

dest ads {

    domainlist        ads/domains

    urllist          
ads/urls

    expressionlist    ads/expressions

    redirect
http://localhost/images/nulbanner.png

       }

dest adult {

    domainlist        adult/domains

    urllist          
adult/urls

    expressionlist    adult/expressions

}

dest aggressive {

    domainlist       
aggressive/domains

    urllist          
aggressive/urls

    expressionlist   
aggressive/expressions

}

dest drugs {

    domainlist        drugs/domains

    urllist          
drugs/urls

    expressionlist    drugs/expressions

}

dest gambling {

    domainlist       
gambling/domains

    urllist          
gambling/urls

    expressionlist    gambling/expressions

}

dest hacking {

    domainlist        hacking/domains

    urllist          
hacking/urls

    expressionlist    hacking/expressions

}

dest proxy {

    domainlist       
proxy/domains

    urllist          
proxy/urls

    expressionlist    proxy/expressions

}

dest violence {

    domainlist       
violence/domains

    urllist          
violence/urls

    expressionlist    violence/expressions

}

dest warez {

    domainlist        warez/domains

    urllist          
warez/urls

    expressionlist    warez/expressions

}

acl {

    default {

        pass !ads !adult !aggressive
!drugs !gambling !hacking !proxy
!violence !warez any

        redirect
http://localhost/cgi-bin/squidGuard.cgi?clientaddr=%a&srcclass=%s&targetclass=%t&url=%u

    }

}

Hozzuk l�tre a /var/www/html/images k�nyvt�rat:

[root@cent6m ~]# mkdir /var/www/html/images

A nullbanner.png �s a blocked.gif k�peket ments�k ebbe a k�nyvt�rba. A squidGuard.cgi f�jlt a /var/www/cgi-bin k�nyvt�rba m�soljuk.
M�dos�tsuk az �llom�nyok jogosults�gait. A k�t k�pnek mindenki sz�m�ra olvashat�nak, a cgi f�jlnak futtathat�nak kell lennie:

[root@cent6m ~]# chmod +r /var/www/html/images/blocked.gif
[root@cent6m ~]# chmod +r /var/www/html/images/nulbanner.png
[root@cent6m ~]# chmod +x /var/www/cgi-bin/squidGuard.cgi

Ezek a k�pek helyettes�tik a tiltott, jellemzően rekl�m, tartalmakat (ads csoport), a squidGuard.cgi f�jl �ltal gener�lt tartalom pedig akkor jelenik meg, amikor a felhaszn�l� tiltott webtartalmat nyit meg.
Ahhoz, hogy a tilt�list�k �rv�nyre jussanak �jra kell konfigur�lni a Squid-et:

[root@cent6m ~]# squid -k reconfigure

Ellenőrizz�k a SquidGuard műk�d�s�t a gyakorlatban. Azoknak a weboldalaknak, melyek nem szerepelnek a tilt�list�kban a klienseken el�rhetőeknek kell lenni�k. Keress�nk olyan oldalt, melyikre vonatkozik a tilt�s. P�ld�ul a warez kateg�ri�ban megtal�ljuk a moviz.net c�met:

2. �bra (nagy�that�)

A SquidGuard nem engedi a hozz�f�r�st, �tir�ny�t az �ltalunk felm�solt squidGuard.cgi �llom�nyra. Ennek seg�ts�g�vel l�thatjuk a saj�t IP c�m�nk, milyen internetes c�met pr�b�ltunk megnyitni, a pontos időt �s d�tumot a szerveren �s azt is, hogy a tiltott oldal milyen csoportba tartozik.
Az ads csoportra m�s szab�ly vonatkozik. Ebből a csoportb�l megnyitott weboldalt a SquidGuard lecser�li a nullbaner.png k�pre.

3. �bra

Ezzel a megold�ssal a weboldalak r�szeik�nt megjelenő rekl�mtartalmakat szinte �szrev�tlen�l cser�lhetj�k le, gyors�tva ezzel az oldal megjelen�s�t. A blocked.gif k�pet squidGuard.cgi jelen�ti meg olyan k�pek helyett, melyek forr�sa tiltott webhely.
A nullbaner.png �s blocked.gif k�peket m�s k�pekkel helyettes�thetj�k, �s squidGuard.cgi �llom�ny tartalm�t is m�dos�thatjuk ig�nyeinknek megfelelően.

6. A tilt�list�k m�dos�t�sa

Az alap�rtelmezett tilt�list�kat m�dos�thatjuk vagy haszn�lhatunk m�s list�kat is. A SquidGuard weboldal�n (http://www.squidguard.org) t�bb javasolt forr�st is tal�lunk a Blacklists men�pont alatt. Ezek k�z�tt vannak ingyenesek �s olyanok is, amelyek haszn�lat��rt fizetni kell.
M�dos�t�saink csak akkor jutnak �rv�nyre, ha �jragener�ljuk az adott db adatb�zist �s �jrakonfigur�ljuk a Squid-et is.

P�ldak�nt hozunk l�tre egy ejnye nevű csoportot, a domain sz�veges �llom�nnyal, abban egyetlen nemjooldal.hu sorral:

[root@centos5 ~]# mkdir /var/lib/squidguard/ejnye
[root@centos5 ~]# echo "nemjooldal.hu" > /var/lib/squidguard/ejnye/domains
[root@cent6m ~]# chown -R squid:squid /var/lib/squidguard

A harmadik parancs az �llom�nyok tulajdonos�t m�dos�tja.
M�dos�tsuk a squidguard.conf �llom�nyt. Hozzuk l�tre az �j c�l oszt�lyt az al�bbi sorokkal:

dest
ejnye {

    domainlist    ejnye/domains

}

A szab�lyt is bőv�ts�k az �j taggal:

pass !ads !adult !ejnye !aggressive !drugs !gambling !hacking !proxy !violence !warez any

Hozzuk l�tre a /root k�nyvt�rban a rebuild.sc �llom�nyt az al�bbi tartalommal:

#!/bin/bash
#/usr/bin/squidguard -C all
/usr/bin/squidguard -C /var/lib/squidguard/ejnye/domains
chown -R squid:squid /var/lib/squidguard
squid -k reconfigure

Ez a szkript az adatb�zisok �jra�p�t�s�re szolg�l. A m�sodik sora minden adatb�zist �jra�p�t. Mivel ez (k�l�n�sen gyeng�bb teljes�tm�nyű g�pen) t�bb percig is eltarthat a harmadik sor csak egy kateg�ria �jra�p�t�s�re mutat p�ld�t. A szkript futtat�sa előtt t�r�lj�k a # jelet a m�sodik sor előtt, vagy m�dos�tsuk a kateg�ri�t a harmadikban. A k�t utols� sor megv�ltoztatja az �llom�nyok tulajdonos�t �s �jrakonfigur�lja a Squid-et.
Adjunk fut�si jogot �s futtassuk a szkriptet:

[root@cent6m ~]# chmod u+x /root/rebuild.sc
[root@cent6m ~]# /root/rebuild.sc
Processing file and database /var/lib/squidguard/ejnye/domains
[==================================================] 100 % done

L�tjuk, hogy csak az ejnye csoport adatb�zis �p�lt �jra. Pr�b�ljuk a kliensen megnyitni a nemjooldal.hu c�met:

4. �bra

7. Az Internet-haszn�lat ellenőrz�se

A Squid Internet-haszn�lati napl��llom�nya a /var/log/squid/access.log. Val�s időben is megfigyelhetj�k a forgalmat a tail -f paranccsal:

[root@cent6m ~]# tail -f /var/log/squid/access.log
1331154229.583 626 192.168.99.12 TCP_MISS/200 12317 GET http://fsf.hu/ - DIRECT/195.56.172.143 text/html
1331154230.391 299 192.168.99.12 TCP_MISS/200 2989 GET http://fsf.hu/kapcsolatfelvetel/ - DIRECT/195.56.172.143 text/html

A fenti sorokban l�tjuk, hogy a 192.168.99.12 IP c�mről az fsf.hu oldalt nyitott�k meg. A mezők sz�k�zzel vannak elv�lasztva, az első oszlop d�tum �s idő, csak szabv�ny UNIX form�tumban, vagyis az első sz�m az 1970 �ta eltelt m�sodperceket mutatja. A log �llom�ny k�pernyőre t�rt�nő ki�rat�s�t a Ctrl+C billentyűkombin�ci�val szak�thatjuk meg. Az al�bbi program seg�ts�g�vel �talak�thatjuk a UNIX form�tum� idő�rt�ket hagyom�nyosra. Hozzuk l�tre a /root k�nyvt�rban az al�bbi �llom�nyt squidlog.sc n�ven:

#!/usr/bin/perl -p
s/^\d+\.\d+/localtime $&/e;

M�dos�tsuk a jogosults�got �s adjuk ki a parancsot ism�telten, kimenet�t a programba ir�ny�tva:

[root@cent6m ~]# chmod u+x squidlog.sc
[root@cent6m ~]# tail -f /var/log/squid/access.log | /root/squidlog.sc
Wed Mar 7 23:12:47 2012 86 192.168.99.12 TCP_MISS/304 413 GET http://fsf.hu/wp-includes/images/rss.png - DIRECT/195.56.172.143 -

R�szletes napi, heti �s havi internet-haszn�lati statisztik�kat a Sarg (Squid Analysis Report Generator) nevű programmal k�sz�thet�nk. Telep�t�s�hez adjuk ki a k�vetkező parancsot:

[root@cent6m ~]# yum install sarg
No package sarg available.

E sorok �r�sakor a sarg csomag m�g nincs a t�rol�ban. Telep�ts�k a testing t�rol�b�l:

[root@cent6m ~]# yum --enablerepo=rpmforge-testing install sarg
Installing:
sarg i686 2.3.1-1.el6.rft rpmforge-testing 512 k
Installed:
sarg.i686 0:2.3.1-1.el6.rft
Complete!

M�dos�tsuk a Sarg konfigur�ci�s �llom�ny�t, az /etc/sarg/sarg.conf fajlt, hogy az akt�v sorai (a nem �res es nem # jellel kezdődők) a k�vetkezők legyenek:

access_log /var/log/squid/access.log
graph_font /usr/share/fonts/dejavu/DejaVuSans.ttf
output_dir /var/www/sarg/ONE-SHOT
resolve_ip yes
index yes
mail_utility mail
show_successful_message no

Ellenőrizhetj�k a m�dos�tott konfigur�ci�s �llom�ny "hasznos" sorait a k�vetkező paranccsal: cat /etc/sarg/sarg.conf | sed '/^#/d; /^ *$/d'
A Sarg minden reggel elk�sz�ti az előző nap internet-haszn�lati statisztik�it. Ezeket a http://localhost/sarg/ c�men tekinthetj�k meg a kiszolg�l�n (ha van grafikus fel�let a kiszolg�l�n). A h�lo�at valamelyik g�p�ről, csak akkor �rhetj�k el, ha a g�p IP c�m�vel (eset�nkben ez 192.168.99.12) bőv�tj�k az /etc/httpd/conf.d/sarg �llom�nyt. Az Allow from sorok ut�n adjuk meg a munka�llom�s IP c�m�t: Allow from 192.168.99.12
Konfigur�jluk �jra webszervert:

[root@cent6m ~]# service httpd reload
A(z) httpd �jrat�lt�se:

A Sarg statisztik�i ezut�n el�rhetőek a 192.168.99.12 g�pről:

5. �bra

Mivel a SARG �ltal �ssze�ll�tott jelent�s bizalmas inform�ci�kat tartalmaz, semmik�pp se enged�lyezz�k hozz�f�r�st b�rmilyen IP-ről. Az oldal tartalm�t mi magunk is kezelj�k ennek megfelelően. A felhaszn�l�kat figyelmeztess�k, hogy az Internet haszn�lat�t a rendszer napl�zza.