[Eisfair] Squid - Protokoll und Einschränkung von Benutzern

Daniel Heide daniel.heide at cbos.de
Mo Mai 27 11:52:48 CEST 2013 

Am 26.04.2013 10:06, schrieb Matthias Prill:
> Am 25.04.2013 22:20, schrieb Daniel Heide:
>> Am 25.04.2013 20:19, schrieb Matthias Prill:
>>> Am 25.04.2013 19:24, schrieb Ernst Eiswürfel:
>>>> Am 25.04.2013 18:14, schrieb Matthias Prill:
>>>>> Am 25.04.2013 17:54, schrieb Ernst Eiswürfel:
>>>>>> Am 4/25/2013 5:11 PM, schrieb Matthias Prill:
>>>>>>> Am 25.04.2013 16:20, schrieb Ernst Eiswürfel:
>>>>>>>> Am 4/25/2013 2:56 PM, schrieb Daniel Heide:
>>>>>>>>> Kann der Squid-Proxy im Eisfair 1 den Datenverkehr eigentlich
>>>>>>>>> Protokollieren bzw. Beschränken für bestimmte oder alle Benutzer.
>>>>>>>>>
>>>>>>>>> Wir haben bei uns nämlich ein stark gestiegenes Internet-Volumen
>>>>>>>>> und
>>>>>>>>> müssen der ganzen Sache irgentwie auf die Schlische kommen, da wir
>>>>>>>>> nur
>>>>>>>>> einen Volumentarif bekommen können (keine Möglichkeit für
>>>>>>>>> Kabelgebundenes Internet)
>>>>>>>>>
>>>>>>>> Besser Opt Accounting auf dem fli4l nutzen, der zählt jede
>>>>>>>> Traffic-Art
>>>>>>>> und nicht nur Daten, die durch den Squid gehen.
>>>>>>>>
>>>>>>>> E.E.
>>>>>>> Moin Ernst,
>>>>>>>
>>>>>>> das geht am Ziel vorbei.
>>>>>>> Der Sinn des Proxy ist u.a. ja gerade, daß er als "Stellvertreter"
>>>>>>> für
>>>>>>> mehrere andere steht.
>>>>>>> Am Router ist die Information von wem resp. von welcher IP der
>>>>>>> Traffic
>>>>>>> kommt dahingehend nicht mehr verfügbar, da "scheinbar" alles von
>>>>>>> Proxy
>>>>>>> kommt.
>>>>>>> Damit kommt er dem Bösewicht nicht auf di Schliche .-)
>>>>>>>
>>>>>>> Aber die Squidlogs - so eingeschaltet- lassen sich mit diversen
>>>>>>> Tools
>>>>>>> durchkämmen...
>>>>>>> Squidguard ist auch immer eine sichere Bank, um es sich mit allen
>>>>>>> Proxynutzern zu verderben :-) Von partiellem Throttling mal ganz
>>>>>>> abgesehen...
>>>>>>>
>>>>>>> Gruß
>>>>>>> Matthias
>>>>>>>
>>>>>> Wenn der Traffic aber von 'nem bösen P2P User verursacht wird,
>>>>>> wirst'e
>>>>>> den aber nicht mit Squid entlarven.
>>>>>
>>>>> Naja, es kommt drauf an, wie die Struktur aufgebaut ist.
>>>>> Ich benutze squid seit vielen Jahren als Zwangsproxy. Keiner meiner
>>>>> Clients hat ein Standardgateway. Von daher muß alles durch den squid
>>>>> .-)
>>>>>
>>>>> Gruß
>>>>> Matthias
>>>>>
>>>> Squid ist aber kein generischer Proxy. Er unterstützt HTTP, SSL, FTP
>>>> und
>>>> noch ein paar Andere. Wenn deine Clients kein Standardgateway
>>>> konfiguriert haben, das Gateway auch nicht direkt erreichen können
>>>> sowie
>>>> der Eisfair-Server kein IP-Forwarding macht, können deine Clients in
>>>> der
>>>> Tat nur über diese Protokolle mit dem Internet kommunizieren. In allen
>>>> anderen Fällen ist es problemlos möglich Traffic am Squid vorbei zu
>>>> bekommen :-)
>>> Genauso läuft es seit vielen Jahren zur "Freude" der User (ca. 50) :-)
>>> Hat mich all die Jahre vor dem gröbsten Unfug bewahrt...
>>> Erlaubt dann auch Whitelist für irgendwelche Updateseiten und sonst nix
>>> weiter...
>>> Gruß
>>> Matthias
>>>
>> Genau so soll das dann eigentlich auch laufen, keiner der Rechner
>> bekommt nen Gateway, dass sie alle über den Proxy müssen.
>> Kann man den Squid im Eis eigentlich auch so regeln, dass man die
>> Whitelisten auch Benutzerdefiniert machen kann (ein User darf mehr als
>> ein anderer)?
> Ich habe zusätzlich squidguard installiert. Das filtert den gröbsten
> Dreck aller Art weg.
> Im squidguard habe ich dann die Config angepasst, das für verschiedene
> Rechner unterschiedliche "Filterstufen" existieren.
> Allerdings geht das nur festen IP's. Aber das ist ja problemlos machbar.
>
>
> Ich habe mal einige Dinge aus meinen squidguard.conf extrahiert:
>
> src gruppe1 {
>       ip 192.168.1.0/24
>              }
>
> src pc1 {
>       ip 192.168.100.131
>      }
>
> src pc2 {
>       ip 192.168.100.135
>      }
>
> dann die Definition der Whitelist:
>
> dest white {
>      domainlist  white/domains
>      urllist     white/urls
>      }
>
> Definition zeitlicher Einschränkungen:
>
> time pause_mittag2 {
>   weekly * 12:30-13:00
> }
>
> und abschliessend die acl's dazu:
>
> acl {
>
>      gruppe1      {
>          pass !adult !adv ...
>          redirect http://...
>          }
>
>      pc1 within pause_mittag2        {
>          pass !adult !adv ...
>          }
>
>      pc2    {
>          pass white
>          }
>
>      }
>
>

Wenn ich in die squidguard.conf die Zeilen per Hand einfüge, sind die 
nach dem nächten bearbeiten der Config vom Squid wieder weg.
Wo muss ich die Zeilen sonst einfügen.

Gruß
Daniel

> Damit kann man sehr schön und gezielt den Zugang zum Internet "steuern".
> Sicher ist das nicht 100% sicher, aber wie gesagt es bewahrt mich seit
> vielen Jahren vor dem gröbsten Unfug...
>
> Gruß
> Matthias
>
>

Mehr Informationen über die Mailingliste Eisfair