Internetmegosztás oktatási intézményben. Squid, Squidguard, CentOS-6

Red Hat, Fedora, CentOS

Eredetileg a http://szabadut.fsf.hu -ra kezdtem bele az alábbi leírásba. Disztribúció függetlenül nem sikerült megoldanom, vagyis nem akartam. Túl sok buktató lenne úgy kezdő rendszergazdáknak.

http://kmf.uz.ua/centos/gui6/squidgb.html

Ha van kedvetek, nézzétek át. Ha valamit másképp gondoltok - ne kíméljetek.

  • 3244 megtekintés

( kallo | 2012. 03. 12., h – 20:33 )

Hát mondjuk az jó meg szép, hogy a böngészők leszedik az automatikus beállító fájlt, de mi van azokkal a programokkal amik nem ismerik a proxyt és nem a böngésző kapcsolatát használják, like adobe updater, stb. van pár ilyen program. Én a transzparens proxykat ajánlanám az ilyenek miatt.

szerk.: Egyébként nagyon jó írás és köszönöm szépen és ez amit fentebb írtam csak ritkán jön elő, de akkor elég bosszantó tud lenni.

Épp úgy ahogy más böngésző pl. firefox megkerüli az internet explorer beállítását épp úgy más program is megkerülheti, régebben voltak ebből gondjaim nem transparens proxynál win xp alatt, az adobe programjaira konkrétan emlékszem, hogy offline telepítőket használtunk online install helyett, illetve egy két cég specigfikus programnál is külön kellett bele fejleszteni proxy részt, hogy kijusson az internetre. Hogy ma mi a helyzet win7 alatt azt nem tudom.

Igen, ezt én is észrevettem, hogy az adobe frissítések csak fix beállított proxy IP és porttal mennek XP-n. Ilyenkor megadom az IE-ben, frissítés után a csoportházirend úgy is visszaállítja az ott beállított automatikusra.
Ha van több belső tartalom is (webmail, belső webszerver, stb) akkor érdemes a wpad.dat fájlt használni, hogy azokat ne a proxy által érje el a kliens. Így csak egy helyen kell módosítani a beállításokat. Laptopoknál is nagyon kényelmes, csak egy helyen kell a böngészőben beállítani, és megy.
De ismétlem, ahol így van megoldva, ott azonosítást is kér a Squid.

+1

Köszönjük az írást, igazán hasznos és alapos.

Annyiba tudnék belekötni, hogy én transzparens proxyként konfiguráltam volna a squidet, úgy meg nehéz megkerülni.

A SELinuxot miért kapcsoltad ki? Nálam CentOS 5-ön semmi gondja a squiddel, mondjuk a squidguardot nem használom.

(Off: én is végeztem az eGroupWare-es írásommal, itt megtekinthető.)

--
http://csuhai.hu

Nekem még nem volt gondom semmilyen külső tárolóval bekapcsolt SELinux esetén. Az, hogy az adott tárolóban levő progihoz van-e szabályzat, az már persze más kérdés. De még mindig jobb egy szolgáltatáshoz kikapcsolni, vagy policyt gyártani, mint kikapcsolni, szerintem.

Csak azért kaptam fel erre a fejem, mert már több helyen láttam, hogy ész nélkül kapcsoltatják ki az emberrel a SELinuxot, utána meg csodálkoznak ha bekapnak egy rootkitet mondjuk egy kevésbé okos user gyenge jelszava miatt. Értem én hogy bonyolult, szoptam vele én is nem keveset, de ha beletanul az ember, akkor simán elboldogul vele és jó szolgálatot tesz.
--
http://csuhai.hu

Simán. Én nem emlékszem 5 alatt, hogy bármi nyűgje lett volna. rpmforge, meg elrepót és epelt is használtam.

fedora centos alatt még sose kapcsoltam ki selinuxot, különösebb gond sose volt vele. Mostanában az a szemlélet a gyári policynél, hogy amit nem tilt azt szabad. de fixme

>>: sys-admin.hu :<<

Felhasználói azonosítás miatt nem használok transzparens proxy-t. Szerintem az azonosítás fontosabb a SquidGuard-nál is. Az jó kérdés, hogy Squid3-al meg lehet-e oldani a transzparens módot azonosítással.
Mindenképpen kell egy másik írás is az azonosítás beállításáról, pl LDAP-ról.
Én is szívesen elolvasnám.

Szia,

csak ötlet:
ha esetleg nem változik napi szinten a user tábor, akkor mac alapú dhcp, és ergo azonosítva vannak és mehet a transzparens proxy is? (egy előző melóhelyen így csináltam, nem volt ebből probléma).

Üdv, Andris
---------------------------------------------------
Hell is empty and all the devils are here.
-- Wm. Shakespeare, "The Tempest"

( locsemege v | 2012. 03. 12., h – 22:00 )

Miért tiltod a SELinuxot?

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

Kezdő, vagy más rendszerről áttérő (iskolai) rendszergazdáknak próbál segíteni az írás. Valamilyen középutat próbáltam találni "ezeket beállítod és menni fog" és a mindenre kitérő leírás között. Egyik sem szerencsés szerintem, főleg ha valaki "kényszer" rendszergazda. A SELinux ebbe nem fért (talán) bele, főleg, hogy nem nyújt kifelé semmilyen szolgáltatást, és én sem értek hozzá annyira hogy írjak róla.
Azon is egy csomót vacilláltam, hogy a tűzfal mindkét csatolón megnyitja a portokat. Lehet, hogy mégis kellene egy néhány mondatos figyelmeztetés ezekről.

( matula99 | 2012. 03. 12., h – 22:13 )

hogyan hozza a Google 13. találatnak a cikket a "squid squidguard centos" szavakra, ha csak két napja másoltam oda? Vagy ip alapján lokalizál és csak nekem kedveskedik?

( csuhi | 2012. 03. 12., h – 22:51 )

Engem érdekelne, hogy az FSF-es srácok nem engedték hogy a Szabad Út keretében legyen publikálva a leírás, vagy Te nem akartad a "vendor lock" miatt publikálni?

Szerintem tök jó a leírás, persze még jobb lenne ha a többi preferált disztribre is vonatkozna, de a Debian/Ubuntu/openSUSE/mittomén specifikus dolgokat akár más is hozzátehetné, ha neked nincs kedved/időd/energiád megcsinálni.

--
http://csuhai.hu

Illetve a feladatlista 25. pontja csak Squid-et említ: http://szabadut.fsf.hu/infrastruktura/infrastruktura-projekt-feladatai/

Nem tudom, hogy valóban nagy (több mint egymillió sor) fekete listákkal a squid boldogul-e egyedül, squidguard vagy más segédprogram nélkül. Amennyire én tudom, és keresések alapján nem, de ép azért is van ez a fórum, hogy kiderüljön.
És nekem is érdekes volt, mert 6-os CentOst és squid3-at még nem használtam.