На додаток. Останній розділ цього посібника містить інформацію про те, як користувачі можуть підключитися до даного проксі-сервера через SSH і безпечно працювати в Інтернет перебуваючи далеко від дому або офісу.
Примітка: цей документ не є керівництвом по налаштуванню прозорого проксі! Трафік, відмінний від трафіку браузера не буде проходити через проксі-сервер! У керівництві вказані ті кроки, які робив я, але я не гарантую що вони підійдуть і вам без будь-яких змін.
Попереднє налаштування
Це керівництво припускає, що ви вже встановили Ubuntu Server 9.04 і оновили встановлені пакети до останніх версій. Попереднє налаштування Squid, DansGuardian, ClamAV, dhcp3 і Apache або Lighttpd не є необхідною - у цьому керівництві вказана все необхідна конфігурація. Вся установка і настройка повинна робитися від імені користувача з Sudo привілеями.
Установка і настройка ClamAV
Для установки ClamAV запустіть в терміналі наступну команду:
Ця команда встановить демона ClamAV, необхідного для сканування на віруси за допомогою DansGuardian, а також FreshClam для забезпечення актуальності антивірусної бази даних. Ви можете отримати наступне попередження:
Це повідомлення говорить про те, що антивірусний движок застарів - він скаржиться на версію, що поставляється в комплекті з Ubuntu 9.04. Для кращої безпеки, вам слід підтримувати ClamAV оновленим до останньої версії, але це не можливо зробити за допомогою apt та виходить за межі цього посібника. Вважаю, що це попередження можна просто проігнорувати.
Файли ClamAV знаходяться в папці / etc / clamav. але конфігурація, яку поставляють з ClamAV цілком підходить для наших потреб. FreshClam буде оновлювати вірусні сигнатури один раз на годину, але якщо ви хочете це змінити, то слід відредагувати наступний розділ в файлі /etc/clamav/freshclam.conf:
І вказати там то кількість перевірок, яке вам необхідно:
Така зміна призведе до збільшення числа перевірок вдвічі. Натисніть Ctrl + X для виходу і натисніть Y, коли nano попросить "Зберегти змінений буфер (Save the Modified Buffer)". Якщо ви змінили конфігурацію FreshClam, запустіть наступну команду щоб переконатися в тому, що зміни вступили в силу:
Установка і настройка Squid
Для установки Squid запустіть в терміналі наступну команду:
Конфігурація для Squid знаходиться в файлі /etc/squid/squid.conf. Для того, щоб редагувати цей файл, наберіть:
Нам не потрібно сильно змінювати налаштування Squid, так як між ним і користувачами буде знаходиться DansGuardian і направляти трафік на потрібний порт Squid'а. Зараз необхідно встановити цей порт, додавши наступний рядок в кінець файлу:
Натисніть Ctrl + X для виходу і натисніть Y, коли nano попросить "Зберегти змінений буфер (Save the Modified Buffer)". Потім, наберіть наступну команду, щоб Squid перевантажив конфігураційний файл:
Установка і настройка DansGuardian
Для установки DansGuardian запустіть в терміналі наступну команду:
Файли DansGuardian знаходяться в папці / etc / dansguardian. Для редагування основного конфігураційного файлу, наберіть:
Рядок "language" визначає мову сторінки з помилкою, яку покаже DansGuardian при блокуванні веб-вмісту. Можливі значення цього параметра можна знайти в папці / etc / dansguardian. Як тільки ви вибрали мову сторінки з помилкою для своїх користувачів, змініть рядок "language" в файлі /etc/dansguardian/dansguardian.conf. а потім налаштуйте шаблон відображається сторінки:
Дотримуйтесь інструкцій, наведених у файлі template.html для того, щоб вказати назву вашої компанії і поміняти текст повідомлення під свої потреби.
Це необхідно для того, щоб повідомити DansGuardian про те, що ми змінили конфігурацію за замовчуванням. Збережіть файл, натиснувши Ctrl + X і "Y", а потім виконайте команду:
Ця команда необхідна для того, щоб DansGuardian перезавантажив свою конфігурацію і підключився до запущеного проксі-сервера Squid.
Ми підійшли до точки, де вам необхідно зробити дії, зазначені нижче, для того, щоб убезпечити Squid і заборонити користувачам працювати в обхід DansGuardian.
Примітка: не робіть ці кроки, якщо ваш пакетний фільтр вже налаштований і використовує будь-які інші правила! Ці кроки все спутають. Просто адаптуйте правила свого пакетного фільтра, взявши до уваги наступне:
Завдяки цим правилам, ви будете впевнені в тому, що вхідні з'єднання на порт, відмінний від 8080 (порту, на якому працює DansGuardian), будуть заблоковані (і спритні користувачі не зможуть отримати доступ до відкритого проксі-сервера Squid на порту 3128). Також ви можете просто заблокувати порт 3128 наступним чином:
Але мені більше подобається перший спосіб, так як він робить систему безпечніше в цілому.
Папка / etc / dansguardian / lists містить всі файли, що мають відношення до фільтрації вмісту сторінок. Уважно прочитайте кожен з цих файлів для того, щоб отримати уявлення про те, як за допомогою DansGuardian організувати обмеження трафіку за швидкістю, а також про те, яким чином пом'якшити або посилити політики доступу, пропоновані DansGuardian за замовчуванням. Так як в зв'язці з DansGuardian ми використовуємо ClamAV, слід подивитися вміст папки / etc / dansguardian / lists / contentscanners. в якій знаходяться списки винятків того, що не слід перевіряти за допомогою цього антивіруса. За замовчуванням, в цих файлах вже зазначено кілька винятків, тому ви маєте з ними ознайомиться, для того, щоб зрозуміти, чи підходять вони вам чи ні!
Налаштування автоматичного визначення проксі-сервера (Web Proxy Auto Detection, WPAD)
По суті, WPAD надає скрипт всім браузерам вашої мережі через HTTP-сервер. Так як я хочу, щоб цей комп'ютер був сервером "все-в-одному", я продовжу з налаштуванням веб-сервера (не потрібно робити складних налаштувань, так як користувачі не будуть взаємодіяти з цим веб-сервером безпосередньо). Якщо у вас вже є веб-сервер в локальній мережі і клієнти можуть підключатися до нього не виходячи в Інтернет, ви також можете пристосувати наведену нижче конфігурацію для того, щоб розмістити скрипт WPAD на цьому сервері.
Веб-сервер, варіант 1 - Apache2
Спочатку встановимо Apache:
Нам необхідно додати одну строчку в /etc/apache2/httpd.conf. тому запустимо:
Додайте до файлу наступний рядок (вона порівняє коректний тип mime для скрипта автоматичної настройки з розширенням .dat):
Завершіть роботу і збережіть файл натиснувши Ctrl + X і "Y", потім увійдіть або Apache (або запустіть його, якщо він не був запущений раніше) за допомогою команди:
Веб-сервер, варіант 2 - lighttpd
Ідеальним веб-сервером для такого завдання (якщо вам не потрібно щось ще), є lighttpd. Я не тестував lighttpd довго, але наступний розділ допоможе вам встановити і налаштувати його для видачі WPAD скрипта клієнтам. Для початку, встановимо lighttpd:
Необхідно зіставити правильний mime-тип зі скриптом конфігурації. Для того, щоб це зробити відредагуємо /etc/lighttpd/lighttpd.conf:
Додайте наступний розділ в кінець файлу (в файлі, встановленому за замовчуванням, не повинно бути розділу з типами mime):
Натисніть Ctrl + X і "Y", щоб зберегти зміни, а потім виконайте команду:
Створення скрипта автоматичної настройки "wpad.dat"
За замовчуванням, кореневим каталогом веб-сервера (як для першого, так і для другого випадку) є / var / www. Виконайте наступні операції для того, щоб створити скрипт автоматичної настройки:
Вставте в цей файл наступний текст:
DHCP, варіант 1 - dhcp3-server
І додайте наступний рядок:
Натисніть Ctrl + X і "Y" для збереження налаштувань і виходу з nano, після чого перезапустіть dhcp3:
що говорить про те, що ви підключені через проксі-сервер!
DHCP, варіант 2 - Microsoft DHCP Server
що говорить про те, що ви підключені через проксі-сервер!
Необов'язкова настройка DNS сервера
Віддалений доступ до проксі-сервера через SSH
Для того, щоб використовувати проксі-сервер віддалено, з вашого комп'ютера створіть SSH-тунель до проксі-сервера:
висновок
Після того, як ви виконали всі дії даної інструкції, у вас повинен бути налаштований кешуючий проксі-сервер Squid, захищений можливостями контентної фільтрації DansGuardian'а і антивірусної фільтрацією файлів, що завантажуються з Інтернету, яку здійснює ClamAV. Найголовніше, що WPAD дозволяє звести конфігурацію браузера на стороні клієнта до установки галочки "Автоматично визначати проксі-сервер для даної мережі" в налаштуваннях веб-браузера. І все це досягнуто простою установкою файлів за допомогою apt!