Hallo und Guten morgen zusammen! Kurze Problemdarstellung: Ich habe ein Netzwerk von 3 Systemen, 2 Clients und ein Server, der Server ist ein Suse 8.2 BS und funktioniert auch als Router und Firewall(Inet). Ist es möglich auch ohne Proxy Server einzelne Wörter in der Firewall zu filtern? Wie sind eure Erfahrungen? Sollte es keine Möglichkeiten geben das direkt zu machen sondern über einen Proxy, welcher ist zu empfehlen? Eine Lösung wäre Squid, doch habe gelesen, das man ewig braucht um den zu konfigurieren! Greetz Frank
Am Montag, 10. Januar 2005 09:20 schrieb Frank Hudl:
Hallo und Guten morgen zusammen!
Kurze Problemdarstellung: Ich habe ein Netzwerk von 3 Systemen, 2 Clients und ein Server, der Server ist ein Suse 8.2 BS und funktioniert auch als Router und Firewall(Inet).
Ist es möglich auch ohne Proxy Server einzelne Wörter in der Firewall zu filtern? Wie sind eure Erfahrungen? Sollte es keine Möglichkeiten geben das direkt zu machen sondern über einen Proxy, welcher ist zu empfehlen?
Eine Lösung wäre Squid, doch habe gelesen, das man ewig braucht um den zu konfigurieren!
Häh? Wo hast Du das denn gelesen? Die Konfiguration von Squid dauert ungefähr 30 Sekunden! Port festlegen, wenn es nicht 3128 sein soll, ACL "localnet" definieren und freigeben, rcsquid start.
Gruß Peter -- If I had a message, I´d write a letter! (R. Polanski)
Am Montag, 10. Januar 2005 09:20 schrieb Frank Hudl:
Ich habe ein Netzwerk von 3 Systemen, 2 Clients und ein Server, der Server ist ein Suse 8.2 BS und funktioniert auch als Router und Firewall(Inet).
Ist es möglich auch ohne Proxy Server einzelne Wörter in der Firewall zu filtern? Wie sind eure Erfahrungen? Sollte es keine Möglichkeiten geben das direkt zu machen sondern über einen Proxy, welcher ist zu empfehlen?
Eine Lösung wäre Squid, doch habe gelesen, das man ewig braucht um den zu konfigurieren!
Hi Frank, habe ähnliche Aufstellung der Rechner, Server/Firewall/Proxy auf suse8.2 Eine Filterung des Inhalts via iptables ist mir nicht bekannt und wird auch wohl nicht gehen. Deshalb nutze ich Squid als transparenten Proxy. Die Grundkonfiguration von Squid ist wirklich sekundensache. Ich nutze Webmin zur weiteren Konfiguration , also die ACL's anlegen usw. Bis jetzt war es nicht schwierig oder Zeitaufwendig. Jedesmal wenn ich zB auf Werbung stosse, wird diese dann in die Filterliste eingefügt, was jedesmal ca 30 sec dauert. Da das System ja ständig erweitert wird, sollte auch die Administration im laufe der Zeit deutlich abnehmen. In der Firewall sollte auch noch Port 3128 von aussen ( INET ) gesperrt werden. Martin meine /etc/squid/squid.conf (Auzugsweise ) --------------- snip ------------- http_port 3128 httpd_accel_host virtual httpd_accel_port 80 httpd_accel_with_proxy on httpd_accel_uses_host_header on visible_hostname Deine.Domain auth_param basic program /usr/local/squid/bin/ncsa_auth /usr/local/squid/etc/ passwd auth_param basic children 5 auth_param basic realm Authenifizierung bitte auth_param basic credentialsttl 1 hours hierarchy_stoplist cgi-bin ? acl QUERY urlpath_regex cgi-bin \? no_cache deny QUERY cache_mgr Deine@Email.de unique_hostname Firewall refresh_pattern ^ftp: 1440 20% 10080 refresh_pattern ^gopher: 1440 0% 1440 refresh_pattern . 0 20% 4320 acl all src 0.0.0.0/0.0.0.0 acl weekend time SA acl morgens time MTWHF 00:00-06:00 acl mittag time MTWHF 10:30-11:00 acl abends time MTWHF 15:00-23:59 acl okurl url_regex -i dcgui weather.noaa.gov services.msn.com/ setiathome dl1 dl2 dl3 dl4 ssl.berkeley.edu classicgate.t-online.de babatracker.ath.cx free-av.de /announce tracker.php www.spykids2.nl antivir.de acl microsoftupdate url_regex -i http://packman.rsync.zmi.at download.windowsupdate.com microsoft.com services.msn.com/ hotmail announce wustat.windows.com services.msn.com windowsupdate.microsoft.com/ www.free-av.de avdown.de 213.198.79.4/personal/de/ www.dradradra.de www.hbedv.net avup.de www.avdownload.de free-av.com avdown.de www.windowsupdate.com/v4/ www.vadfadgad.de directory.netmeeting.microsoft.com ils.microsoft.com acl manager proto cache_object acl localhost src 127.0.0.1/255.255.255.255 acl localnet1 src 192.168.0.0 acl localnet2 src 10.0.0.0 acl to_localhost dst 127.0.0.0/8 acl martin src 192.168.1.1 acl SSL_ports port 443 563 acl CONNECT method CONNECT acl passwd proxy_auth REQUIRED acl Werbung url_regex -i webmasterplan.com pagead2.googlesyndication.com banners.webmasterplan.com james.adbutler.de download.service-url.de http:// pc16154.pharmazie.uni-marburg.de/dettmering/linux/titel.html www.wetteronline.de/werbung www.wetteronline.de/wb cnt.wetteronline.de/ cgi-bin/goto http://setiathome.ssl.berkeley.edu/tps_page.html http:// pc16154.pharmazie.uni-marburg.de/dettmering/menu.html /ads/ www.deinprovider.de www.exit-ad.de adbutler.de/ www.heise.de/RealMedia ad.de.doubleclick.net ewxw1323.com webbiz2o.com lifeteens.net gator derspekulant.de /ads.html www.winmail.de as1.falkag.de ads.planetactive.com acl Spamm1 url_regex -i adz.ath.cx sonnerie.net sexteens gyno-girls.net cash4members nude adserver espotting.prosieben.de webmasterplan pagead2.googlesyndication.com james.adbutler.de idataplaza.com hotgirlsnudes.com ads1.revenue.net sourkiss.com www.pr-cd.de/ pr-cd.com sat1.de http://www.ystart.net/upload/ www.nighthobby.com lifeteens.net mort888.com largeandlarg 25larger25 viagr www.32547.biz gresataa.com acl SPY url_regex -i svcs.microsoft.com pagead2.googlesyndication.com adbutler.de http_access deny Spamm1 http_access deny SPY http_access allow microsoftupdate http_access allow manager localhost http_access deny Werbung http_access deny manager http_access allow okurl http_access allow localhost passwd http_access allow localnet2 passwd http_access allow localnet1 passwd http_access allow passwd http_access deny all http_access allow martin http_reply_access allow all icp_access allow all coredump_dir /var/cache/squid deny_info ERR_WERBUNG Werbung --------- snap ----------
Am Montag, 10. Januar 2005 09:20 schrieb Frank Hudl:
Ist es möglich auch ohne Proxy Server einzelne Wörter in der Firewall zu filtern? Wie sind eure Erfahrungen?
Kann ich mir nicht so recht vorstellen. Was willst Du unterbinden, wenn in einem Paket ein verbotenes Wort auftaucht? Wenn Du das einzelne Paket sperrst, ergibt sich ein unvollständige TCP Übertragung, die das Paket erneut anfordert, sorgt bloß für unnötigen Netzwerktraffic, bis zur Aufgabe. Kannst natürlich auch die IP der gegenstelle dicht machen, aber was passiert, wenn bei Heise, Google oder sonstwem ein Wort auftritt, die Seite ist nicht mehr erreichbar (von Shared Hosting Servern, bei denen dann zig Seiten nicht mehr erreichbar sind mal abgesehen).
Sollte es keine Möglichkeiten geben das direkt zu machen sondern über einen Proxy, welcher ist zu empfehlen?
Eine Lösung wäre Squid, doch habe gelesen, das man ewig braucht um den zu konfigurieren!
Also mein Wechsel vom wwwoffle zu squid hat vielleicht ne viertelstunde gedauert. Die Doku ist recht verständlich und gut vorbelegt. Im wesentlichen hab ich die lokalen Rechner eingetragen, damit die nicht über den Proxy laufen und dann den Port auf 8080 geändert (war der Port des wwwoffle, wollte die Proxy-Einstellungen in den Browsern nicht umstellen). -- Machs gut | http://www.iivs.de/schwinde/buerger/tremmel/ | http://packman.links2linux.de/ Manfred | http://www.knightsoft-net.de
Frank Hudl schrieb:
Ist es möglich auch ohne Proxy Server einzelne Wörter in der Firewall zu filtern? Nein Sollte es keine Möglichkeiten geben das direkt zu machen sondern über einen Proxy, welcher ist zu empfehlen?
ohne ihn genauer zu kennen: Privoxy wird noch von Suse mit ausgeliefert Gruß Thomas -- Wirklich, nix für ungut, aber "Kann mal kurz einer erzählen, wie man einen Braunkohlebagger steuert" ist keine kurz zu beantwortende Frage ("Erstmal anlassen, der Rest findet sich..."). Jörg Rossdeutscher in der Suse-Linux Mailingliste
participants (5)
-
Frank Hudl
-
Manfred Tremmel
-
Martin hehnen
-
Peter Baumgartner
-
Thomas Stark