Squid proxy e acl
- Login o registrati per inviare commenti
Ven, 05/14/2010 - 18:29
Temo di non aver bene afferrato il concetto che sta dietro al first-match basis di squid con le acl.
Riporto dalla guida che sto seguendo:
acl allowed_hosts src 192.168.0.0/255.255.255.128
acl allowed_hosts1 src 192.168.0.128/255.255.255.128
acl allowed_hosts2 src 192.168.1.0/255.255.255.0
acl porn url_regex "/etc/squid/block/porn.block.txt"
acl consentiti url_regex "/etc/squid/block/consentiti.txt"
acl nonconsentiti url_regex "/etc/squid/block/nonconsentiti.txt"
acl snmpManager src 192.168.0.4/255.255.255.255
acl snmppublic snmp_community public
http_access allow localhost
http_access allow allowed_hosts
http_access allow consentiti
http_access deny nonconsentiti
http_access allow allowed_hosts1
http_access deny manager all
http_access deny all
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
si evince che alla subnet dichiarata dalla ACL "allowed_hosts" (192.168.0.0/255.255.255.128) è consentito l'accesso a tutti i siti web, mentre la subnet dichiarata dalla ACL "allowed_hosts1" (192.168.0.128/255.255.255.128) è consentito accedere alle URL contenute nella lista di regexp che viene dichiarata dalla ACL "consentiti". Successivamente verranno bloccate tutte le URL contenute nella lista di regexp definita con la ACL "nonconsentiti".
Ammesso che io faccia parte della subnet allowed_hosts1 e richieda un sito contenuto nella lista porn, col cavolo che vengo bloccato! Oppure ho capito male io? Sarebbe più corretto dire: "alla subnet dichiarata dalla ACL "allowed_hosts1" (192.168.0.128/255.255.255.128) è consentito accedere alle URL contenute nella lista di regexp che viene dichiarata dalla ACL "consentiti" e "porn".
Giusto?
Sab, 05/15/2010 - 22:37
#2
Ciao ecnx82, in effetti questa è un' altra bella domanda che mi stavo facendo: che differenze pratiche ci sono nell'utilizzare policy fatte tramite acl in proxy piuttosto che gestire un redirector tipo squdguard o dansguardian? Ho risultati diversi oppure ottengo la stessa cosa?
Dom, 05/16/2010 - 05:48
#3
Eh eh....proprio qui volevo farti arrivare.
Allora per know-how personale puoi gestirti senza problemi, oppure voler imparare, come lavorare con regex su squid. Dal punto di vista pratico lavorare con un redirector come squidguard, oppure con un vero e proprio programma di content filtering come dansguardian ha lo svantaggio di incrementare l'uso di risorse ma il vantaggio di avere una gamma di features impressionante.
Esempi? Lavorare con i gruppi di utenti, parsing di un DB che contiene una blacklist aggiornabile via cronjob e via dicendo. Qualche difetto? Tempi di parsing e di avvio di squid più lunghi o meno in base alle blacklist implementate e aumento delle risorse.
Squidguard è un bel pò che non viene aggiornato, però gira ancora bene ed è completamente opensource. Dansguardian invece sta prendendo sempre più campo a livello enterprise ed è mantenuto con un bel passo, ma è a pagamento per le realtà aziendali e free per uso personale.
Io personalmente lavoro con le regex di squid solo per delimitare le fasce orarie e bloccare particolari user-agent (es. messenger, skype ecc ecc); oppure solo quando non devo implementare soluzioni di content filtering.
Ciauz
Lun, 05/17/2010 - 15:12
#4
Ok chiarissimo, ed ora mi sento confortato nel sentire che i miei pensieri andavano nella giusta direzione, infatti sono pienamente daccordo con te sul fatto che, risorse hardware permettendo, sia meglio ricorrere ad un vero e proprio content filter che ti può permettere di fare determinate cose in modo tuttavia più semplice e lineare che non con il solo squid.
Sciaoo ;)
Mer, 10/27/2010 - 16:30
#5
Ciao ragazzi,
ho un problema con squid, dopo qualche giorno di perfetto lavoro le pagine iniziano a caricarsi in maniera strana, alcune vanno in timeout e altre non le carica proprio.
Con un Clear And Rebiuld Cache tutto torna a funzionare a meraviglia, dove può essere il problema?
Grazie
Mer, 10/27/2010 - 23:48
#6
Guardati le ACL relative alla cache; guardati le direttive per il replace della cache sul man di squid (o su squid.org che ci sono gli esempi).
Ciauz
Mer, 01/26/2011 - 11:53
#7
Una domanda, dovrei virtualizzare un sistema Ubuntu server che faccia da proxy, la mia idea é chiara,
SQUID + DANSGUARDIAN + CLAMAV
il dubbio é sulla dimensione del disco virtuale e sulla ram, premetto che virtualizzerò con XEN :)
Secondo voi 8Gb di disco e 1Gb di ram sono sufficienti?
Grazie
Mer, 01/26/2011 - 11:53
#8
Una domanda, dovrei virtualizzare un sistema Ubuntu server che faccia da proxy, la mia idea é chiara,
SQUID + DANSGUARDIAN + CLAMAV
il dubbio é sulla dimensione del disco virtuale e sulla ram, premetto che virtualizzerò con XEN :)
Secondo voi 8Gb di disco e 1Gb di ram sono sufficienti?
Grazie
Mer, 01/26/2011 - 19:46
#9
Ciao ir0n e ben tornato. Allora partendo dal presupposto che su un server più spazio su disco ce e meglio è; nel senso che se ce nè in più non fa mai male. Quindi stai pure più largo.
Conta però che la grandezza del disco dipende anche da quanto squid ne assorbirà per fare cache fisica delle pagine visitate (quindi in base alle ACL descritte nello squid.conf). Io comunque minimo minimo, stando alla mia esperienza con XEN, darei un giga di RAM e 40GB di disco. Con un giga di ram puoi benissimo dare 256MB di RAM a squid (rendendo la naivgazione abbastanza fluida anche con carichi di picco discreti) e con 40 Giga di disco puoi gestire una cache molto ampia.
Adesso non so quanti users hai sotto e soprattutto quanta bandwith lato WAN hai e il tipo di traffico internet sviluppato (se cè un wsus o un apt-proxy per esempio). Tuttavia con squid 256MB di RAM fissi per lui li ho sempre dati su un proxy ubuntu / debian, almeno per avere una navigazione degli utenti abbastanza fluida.
Conta che dopo DG è molto ma molto pesante, specie se abbinato con una blacklist con diversi utenti filtrati sotto che navigano assieme. Ricordati che anche Clamav rallenta molto i download se lo accoppi con gli altri due ...
Insomma se stai un pò più largo non te ne pentirai, specie di disco fisso.
Gio, 01/27/2011 - 12:02
#10
Ciao cybercop,
allora ho una lan di 20 client e si devo accoppiare squid con dansguardian e clamav.
Mi consigli di usare la versione 3 o rimanere sulla 2?
Banda disponibile 2MB.
Grazie
- Login o registrati per inviare commenti
Ciao cybercop; guarda io sinceramente ti consiglio di provare a lavorare con squidguard come redirect per questo tipo di appliance. Mi son sempre trovato bene e ridotto gli intoppi / inghippi delle regex su squid.
Appena ho un attimo mi guardo meglio il tuo conf per vedere che cè che non va ;)
Ciauz
Coltiva linux che tanto windows si pianta da solo