Topic: Ich verzweifel am Squid....

[rasti]

Hallo.

Da ackere ich nun seit 3 Tagen das Handbuch durch, denke ich hab es begriffen und es funktioniert trotzdem nicht. Mit funktioniert nicht meine ich, das trotz der Whitelist auch alle anderen WebSites angezeigt werden. Es soll erreicht werden, das nur die Domains in der Whitelist aufrufbar sind.

Hier mal meine squid.conf Eventuell sieht ja jemand den Fehler:

<sup>#------------------------------------------------------------
#          !!DO NOT MODIFY THIS FILE!!
#
# Manual changes will be lost when this file is regenerated.
#
# Please read the developer's guide, which is available
# at http://www.contribs.org/development/
#
# Copyright (C) 1999-2006 Mitel Networks Corporation
#------------------------------------------------------------
http_port 192.168.255.5:3128
http_port 127.0.0.1:3128
udp_incoming_address 192.168.255.5
udp_outgoing_address 0.0.0.0

acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localsrc src 127.0.0.1 192.168.255.0/255.255.255.0
acl localdst dst 127.0.0.1 192.168.255.0/255.255.255.0
acl SSL_ports port 443 563
acl Safe_ports port 21 70 80 81 119 210 443 563 980 1024-65535
acl CONNECT method CONNECT
acl webdav method PROPFIND TRACE PURGE PROPPATCH MKCOL COPY MOVE LOCK UNLOCK
acl u_dom dstdomain "/etc/squid/erlaubt.txt"
pid_filename /var/log/squid/squid.pid
logfile_rotate 0
append_domain .rasali.local
cache_mgr admin@rasali.local
ftp_user nobody@rasali.local
extension_methods REPORT MERGE MKACTIVITY CHECKOUT
http_access allow manager localsrc
http_access deny manager

http_access deny CONNECT !SSL_ports
http_access allow localsrc u_dom
http_access deny all

# httpd_accel_host virtual
# httpd_accel_with_proxy on
# httpd_accel_uses_host_header on
# icp_access allow all
# miss_access allow all

store_avg_object_size 3 KB
# always_direct allow webdav
# always_direct allow all</sup>


In der "erlaubt.txt" habe ich die Domains ohne führendes www zeilenweise abgelegt.

Was habe ich falsch verstanden?

Grüßle
   RaSti

[Igi2003]

Ich habe genau das Gegenteil, also eine Blacklist (Porno) und meine squid.conf sieht so aus:

Code: [Select]

#
# Please read the developer's guide, which is available
# at http://www.contribs.org/development/
#
# Copyright (C) 1999-2006 Mitel Networks Corporation
#------------------------------------------------------------
http_port 192.168.10.1:3128
http_port 127.0.0.1:3128
udp_incoming_address 192.168.10.1
udp_outgoing_address 0.0.0.0

acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localsrc src 127.0.0.1 192.168.10.0/255.255.255.0
acl localdst dst 127.0.0.1 192.168.10.0/255.255.255.0
acl wgwlan src 192.168.10.2/30
acl SSL_ports port 443 563
acl Safe_ports port 21 70 80 81 119 210 443 563 980 1024-65535
acl CONNECT method CONNECT
acl webdav method PROPFIND TRACE PURGE PROPPATCH MKCOL COPY MOVE LOCK UNLOCK
pid_filename /var/log/squid/squid.pid
logfile_rotate 0
append_domain .test
cache_mgr admin@test
ftp_user nobody@test
extension_methods REPORT MERGE MKACTIVITY CHECKOUT
http_access allow manager localsrc
http_access deny manager
acl PornSites url_regex "/usr/local/squid/etc/pornlist1"
http_access deny PornSites wgwlan

http_access deny CONNECT !SSL_ports
http_access allow localsrc
http_access deny all

httpd_accel_host virtual
httpd_accel_with_proxy on
httpd_accel_uses_host_header on
icp_access allow all
miss_access allow all
emulate_httpd_log on

store_avg_object_size 3 KB
always_direct allow webdav
always_direct allow all
Du benötigst einen ACL Eintrag für die IP oder den IP Adressbereich. acl wgwlan src 192.168.10.2/30
Dann benötigst du die Liste, aber in /usr/local/squid/etc/...
In /etc/ funktioniert das nicht, Stichpunkt Rechte.
Dann benötigst du als drittes die Verlinkung der Liste zum acl (PornSites). acl PornSites url_regex "/usr/local/squid/etc/pornlist1"
http_access deny PornSites wgwlan

Für die korrekte Einstellung deiner WhiteList, findest du genug Beispiele über google.

Mfg Igi

[Igi2003]

Zur Ergänzung: Meine Einstellung betrifft nur "eine" IP im Netz, die 192.168.10.2. Hier war ein LAN-LAN Router und dahinter ein WLAN AP für eine Nachbars-WG.

[rasti]

Sorry, aber vielleicht bin ich wirklich zu blöd:

Hier definiere ich mein lokales Netz:
^{acl localsrc src 127.0.0.1 192.168.255.0/255.255.255.0}

 Als nächstes die acl (zwischenzeitlich im richtigen Pfad):
^{acl u_dom dstdomain "/usr/local/etc/squid/erlaubt.txt"}


Und dann, ehe ich alles andere verbiete, erlaube ich dem lokalem Netz in Verbindung mit der Whitelist den Zugriff. Denn lt. HB sind hintereinanderfolgende acl's  immer "UND" verknüpft:
^{http_access allow localsrc u_dom}

Übrigens funktioniert es auch nicht mit url_regex -i

dstdomain ist ja die Zieldomain. Damit müsste ich alle Seiten dieser Domain, also auch die Subdomains abbilden. Die Domain wird ja von hinten aufgelöst.

Grüßle
  RaSti

[rasti]

So, jetzt läufts....

Ich habe als Vorlage für die whitelist eine Liste mit Bookmarks gehabt. In der waren einige Einträge mehrfach vorhanden. Das hat der Squid bemängelt. Nachdem ich diese Doppeleinträge rausgenommen habe und den Proxy neu gestartet habe, funktioniert jetzt alles wie gewünscht.

Danke für die Hilfe.

[Igi2003]

Gut gut.
Hast du jetzt url_regex genutzt oder deins? Vergiss nicht die templates dafür zu erstellen, sonst ist die squid.conf nach dem nächsten signal-event post-upgrade wieder ohne die Einträge.

Mfg Igi

[rasti]

Ich hab die dstdomain genutzt.

Das Thema mit den Templates hab ich noch nicht so ganz durch, das ist das nächste...

Danke!
   RaSti

[cactus]

Das Thema mit den Templates hab ich noch nicht so ganz durch, das ist das nächste...

Im Englisch aber hier ist ein Übersicht (im Englisch): http://wiki.contribs.org/Template_Tutorial