shuyi 发表于 2003-12-18 06:21:26

请问Smoothwall可以的防火墙可以加入此规则吗??如可以的话该怎么加?

xtdmcn 发表于 2003-12-18 13:29:03

应该可以,smoothwall开启web透明代理.smoothwall的这个功能是用squid.你只要设置squid就可以过滤非法网址了

feilong 发表于 2003-12-23 12:45:36

能详细说明一下吗

sendin2000 发表于 2003-12-23 13:50:06

那里有Squid的中文说明书??

xtdmcn 发表于 2003-12-27 14:59:32

#阻?色情?站
# sexip 乃控管色情 ip
# sexdn 乃控管色情 domain name
# sexurl 乃控管特殊?址
# sextag 乃控管特殊不?字眼
acl sexip src "/usr/local/squid/etc/sexip"
acl sexdn dstdomain "/usr/local/squid/etc/sexdn"
acl sexurl url_regex "/usr/local/squid/etc/sexurl"
acl sextag urlpath_regex "/usr/local/squid/etc/sextag"
#
http_access deny sexdn
http_access deny sexip
http_access deny sexurl
http_access deny sextag

上述共有?部份, ...
sexip ??不法之ip 140.111.10.7
sexdn??不法之?域 sex.abcd.com.tw
sexurl??不法之?址 www.hinet.net/sexuser/
sextag??不法之字眼 情色

--------------------------------------------------------------------------------

YoHoo??小? ?芳? 2001/11/2[?充]
===========================================

Q:如何在??中去除像nimda之?的病毒?

A:最近大家都被nimda病毒所困?, nimda也?感染??.?95至NT?不遭受攻?.

所以提供大家一?利用 proxy ??病毒??的方法, 相信每??校或??都架?有 Proxy 伺服器 !

我?就是要利用 Squid 的 ACL (Access Control List) ?控管??病毒.

1.在 squid.conf 中加入下列三行

#防???病毒
acl virus url_regex "/usr/local/squid/etc/virus"
http_access deny virus

2.在 /usr/local/squid/etc 目?中, 建立 virus ?案.
3./usr/local/squid/etc/virus 的?容如下, 您也可以新增.
readme.eml
readme.com
readme.wav
sample.exe
BINLADEN_BRASIL.EXE
STOPTERRORISTS.EXE
antraxinfo.vbs
Anti_TeRRoRisM.exe
WTC.exe
4.重新?? Squid
/usr/local/squid/bin/squid -k reconfigure

如此?定, 即可??病毒?...

另外, 也提供以前我 post 的文章 squid acl ??方法. 希望?大家在?路管理上有?助.

#阻?色情?站
# sexip 乃控管色情 ip
# sexdn 乃控管色情 domain name
# sexurl 乃控管特殊?址
# sextag 乃控管特殊不?字眼
acl sexip src "/usr/local/squid/etc/sexip"
acl sexdn dstdomain "/usr/local/squid/etc/sexdn"
acl sexurl url_regex "/usr/local/squid/etc/sexurl"
acl sextag urlpath_regex "/usr/local/squid/etc/sextag"
#
http_access deny sexdn
http_access deny sexip
http_access deny sexurl
http_access deny sextag

上述共有?部份, ...
sexip ??不法之ip 140.111.10.7
sexdn??不法之?域 sex.abcd.com.tw
sexurl??不法之?址 www.hinet.net/sexuser/
sextag??不法之字眼 情色

shuyi 发表于 2003-12-30 11:19:54

老大,不明白啊~~~怎么办
谁对Linux下的代理服务器软件比较了解啊?
相关网址:http://www.cn-cio.org/show.php?article_id=2073&col=art
Linux代理服务器设置和站点过滤技巧 squid和squidGuard

提供者:jzj   发表日期:2003-05-11

--------------------------------------------------------------------------------

一. 前言

  本文主要介绍了在linux使用squid和squidGuard配置代理服务器,以www代理服务为例介绍如何过滤有害站点和限制用户对internet的访问。

二. 介绍

  Squid是Linux下最为流行的代理服务器软件,它功能强大,支持对HTTP,FTP,Gopher,SSL和WAIS等协议的代理;设置简单,只需对配置文件中稍稍改动就可使代理服务器运转起来。而且Squid具有页面缓存功能,它接收用户的下载申请,并自动处理所下载的数据。也就是说,当一个用户象要下载一个主页时,它向Squid发出一个申请,要Squid替它下载,然后Squid连接所申请网站并请求该主页,接着把该主页传给用户同时保留一个备份,当别的用户申请同样的页面时,Squid把保存的备份立即传给用户,使用户觉得速度相当快。

  squidGuard则是作为squid的辅助软件,完成过滤、重定向和访问控制的功能。它是一个自由软件,功能强,便于安装、易于配置、而且处理速度快。功能主要包括:根据web服务器或URLs列表限制一些用户的访问;阻塞某些用户对黑名单上的web服务器和URLs的访问;阻塞某些用户对正则表达式匹配的URLs的访问;在URL路径加强了使用域名访问而禁止用IP访问;重定向阻塞的URLs到一个智能CGI的信息页;重定向非授权用户到一个注册页面;具有基于日期、每周、每天具体时间的访问规则;对不同用户组有不同的规则。但是不能过滤、检查文档中的文本以及HTML中的JavaScript或Vbscript脚本语言。


三. 安装

  1. 安装squid:

  从www.squid-cache.org下载squid-2.4.STABLE2-src.tar.gz存在本地/usr/local/squid/src下。

  在编译Squid之前,建立一个专门运行Squid的用户和组,这里建立了名为squid的组和用户,用户目录设为

/usr/local/squid
#su squid
$cd /usr/local/squid/src
$tar xvzf squid-2.4.STABLE2-src.tar.gz
$ cd squid-2.4.STABLE2
$./configure
$make
$make install

  (默认安装到/usr/local/squid目录下)

  2. 安装Berkeley DB 2.x:

  从http://www.sleepycat.com 下载db-2.7.7.tar.gz并存在/usr/local/squidGuard/src/目录下
$su
#cd /usr/local/squidGuard/src/
#tar xvzf db-2.7.7.tar.gz
#cd db-2.7.7
#cd build_unix
#../dist/configure
#make
#make install

  (默认安装到/usr/local/BerkeleyDB目录下)

  注意:squidGuard不支持Berkeley DB 3.x版本

  3. 安装squidGuard

从http://ftp.ost.eltele.no/pub/www/proxy/squidGuard/squidGuard-1.1.4.tar.gz下载软件包并存于本地/usr/local/squidGuard/src/
#cd /usr/local/squidGuard/src/
#tar xvzf squidGuard-1.1.4.tar.gz
#cd squidGuard-1.1.4
#./configure --with-sg-config=/usr/local/squidGuard/squidGuard.conf
--with-sg-logdir=/usr/local/squidGuard/logs
--with-sg-dbhome=/usr/local/squidGuard/db
#make
#make test //测试ok,即可进行下一步安装
#make install
四. 配置


  1、配置squid:

  修改squid的配置文件/usr/local/squid/etc/squid.conf:
http_port 8080

  #squid的代理端口,使用1024以下的端口,squid必须以root身份运行
  http_access allow all

  #允许所有的用户通过代理进行http访问
  redirect_program /usr/local/squid/bin/squidGuard -c /usr/local/squidGuard/squidGuard.conf

  #squid启用squidGuard进行过滤和转发

  其它参数:

  cache_mem:设置代理服务使用的内存大小,一般推荐为物理内存的三分之一

  cache_dir:指定cache目录的路径,默认为/usr/local/squid/cache。

  maximum_object_size: 指定Squid可以接收的最大对象的大小。Squid缺省值为4M,可以根据自己的需要进行设定。

  cache_dir:设定缓存的位置、大小。一般格式如下:

  cache_dir /usr/local/squid/cache 100 16 256

  /usr/local/squid/cache代表缓存的位置;100代表缓存最大为100M;16和256代表一级和二级目录数。
cache_effective_user:设定使用缓存的有效用户。缺省为用户nobody,如果系统中没有用户nobody,最好建一个或以非root用户运行Squid。这里是以squid身份运行的

  cache_effective_group:设定使用缓存的有效用户组。缺省组为nogroup,如果系统中没有组nogroup,最好建一个组。这里是squid组。

   (其余参数用默认值即可!)

  2.配置squidGuard:

  修改squidGuard的配置文件/usr/local/squidGuard/squidGuard.conf文件:

logdir /usr/local/squidGuard/logs #日志目录定义

dbhome /usr/local/squidGuard/db #db目录定义

time testtime { #时间规则定义

weekly mtwhf 05:00 - 10:30
weekly as 08:00 - 19:00
date *-*-01 08:00 - 16:30
date 2001.10.01 - 2001.10.09
}

src admin { #源组定义
ip 192.168.100.18
}

src client{
ip 192.168.100.20 192.168.100.21 192.168.100.22
ip 192.168.200.0/24
}

dest porn { #目标组定义
domainlist porn/domains
urllist porn/urls
expressionlist porn/expressions
}

acl { #访问规则定义
admin within testtime {
pass !porn all
} else {
pass all
}

client {
pass !in-addr !porn all
}

default {
pass none
redirect http://admin.foo.com

  (#也可以重定向到一个含有一些信息的cgi页面,如下:
http://admin.foo.com/cgi/blocked?clientadd...=%n&clientuser=
%i&clientgroup=%s&targetgroup=%t&url=%u)
}
}

  # vi db/porn/domains
  (域列表文件:主要是阻塞一些定义的站点)
  co.za
  sex.com
  (如上,可以阻塞如hack.co.za、sex.com、www.sex.com、whatever.sex.com,但是不同于.*[^.]sex.com,不匹配ssex.com)

  # vi db/porn/urls
  (url列表文件,主要是阻塞一些站点及其一些栏目)

  qihui.com/sex
  valen.sohu.com/album
  (如上可阻塞http://qihui.com/sex、http://qihui.com/sex/whatever、ftp://qihui.com/sex、http://www.qihui.com/sex等)

  # vi db/porn/expressions
  (表达式列表文件,主要是阻塞一些与表达式匹配的URL访问)

  (^|[?+=/])(.*)(girl)(.*)([?+=/]|$)
  (上面的正则表达式可以阻塞URL中包括girl站点的访问,如:www.girlzine.com、girl.huabao.net、www.huayu.net/girl、www.universiti.com/girl等 )

  注意:squidGuard对配置文件的语法要求很严,如果配置文件语法有误,squidGuard仍能运行,但是squidGuard已进入应急模式,此时代理服务不具有任何阻塞作用,所有通过该代理的访问都可通过,可以查看logs/squidGuard的日志文件,即可发现错误,例如:

  2001-12-20 17:08:44 parse error in configfile /usr/local/squidGuard/squidGuard.conf line 8
  2001-12-20 17:08:44 going into emergency mode
…….

  其中配置文件第8行有误,squidGuard进入应急模式。

  配置的具体说明详见http://www.squidguard.org/

五. 运行:

  $ chmod 777 /usr/local/squid/logs
  设置logs对所有用户为可写。这样,不特定的squid代理客户才能正常访问代理服务器,并能在logs目录、产生access.log、cache.log等文件。)

  $ /usr/local/squid/bin/squid -z
  (手工建立squid的缓存目录/usr/local/squid/cache。)

  #/usr/local/squid/bin/squid
  (后台执行squid。如果想前台执行squid:如果你想前台执行Squid执行命令:

  $/usr/local/squid/bin/squid -NCd1
  该命令正式启动Squid。如果一切正常,你会看到一行输出:

  Ready to serve requests
  # ps ax|grep squid
  20198 ? S 0:00 /usr/local/squid/bin/squid
  20200 ? S 0:27 (squid)
  20310 ? S 0:00 (squidGuard) -c /usr/local/squidGuard/squidGuard.conf
  20311 ? S 0:00 (squidGuard) -c /usr/local/squidGuard/squidGuard.conf
  20312 ? S 0:00 (squidGuard) -c /usr/local/squidGuard/squidGuard.conf
  20313 ? S 0:00 (squidGuard) -c /usr/local/squidGuard/squidGuard.conf
  20314 ? S 0:00 (squidGuard) -c /usr/local/squidGuard/squidGuard.conf

  (此时squidGuard也已启用,每次修改配置后squid -k reconfigure重新起用即可,要杀掉squid执行squid -k kill)

  查看squidGuard日志文件:

  init domainlist /usr/local/squidGuard/db/porn/domains
  2001-12-20 16:14:43 init domainlist /usr/local/squidGuard/db/porn/domains
  2001-12-20 16:14:43 init urllist /usr/local/squidGuard/db/porn/urls
  2001-12-20 16:14:43 init expressionlist /usr/local/squidGuard/db/porn/expressions
  2001-12-20 16:14:43 squidGuard 1.1.4 started (1008836083.022)
  2001-12-20 16:14:43 recalculating alarm in 917 seconds
  2001-12-20 16:14:43 squidGuard ready for requests (1008836083.044)

  表示squidGuard已正常启动
六. 测试:

  配置客户端,然后测试代理服务:

  在另一台win2k上,(以Internet Explore5.0为例)运行IE,单击"工具",接着单击"Internet选项",再单击"连接"选项卡,单击"局域网设置";在"局域网设置"窗口中,?quot;地址"处填上squid服务器的IP地址192.168.100.16,在"端口"处填上"8080"(修改后squid代理使用的端口号,也就是squid.conf中的http_port,默认值为3128),确定后退出。

  接下来,先把IP改成192.168.100.20,浏览一些网站,如sohu,163等,然后再试试domains和urls中定义的,如hack.co.za、qihui.com/sex,会发现主页被重定向到http://admin.foo.com。然后再试试浏览有关girl的网站,去不了了:(;在sohu中搜girl也被重定向了;用IP试试(有些代理程序对IP不做限制,用IP可以绕过代理的限制访问一些禁止的站点),可惜不行!(因为squidGuard配置文件中使用了!in_addr,所以可以强迫用户使用域名访问而不能使用ip访问)

  再下来,把IP改成192.168.100.18,然后时间改为testtime外的时间,浏览网页,试试结果,然后再将时间改为testtime内浏览网页!

  最后,把IP改成192.168.100.30,浏览网页测试。

  (可以查看logs下的access.log和cache.log,看看是否代理运行正常以及访问的站点记录)

七. 总结:

  由上可见,用squid和squidGuard建立的代理服务器,配置比较简单,而且功能强大,可以有效的限制一些用户对internet的访问并过滤一些黑名单列出的站点(如色情站点等)。

  这里只简单的介绍了关于http代理的例子,其它的应用和功能大家可以自己试试。
页: [1]
查看完整版本: [问题]Smoothwall可以过滤非法网址吗?