[Eisfair_dev] [eisfair-1/-2] squid Version 1.9.3 released

Marcus Roeckrath marcus.roeckrath at gmx.de
Mi Mär 14 08:24:51 CET 2012 

Hallo,

Sebastian Scholze wrote:

> Folgendes hat sich am squid Paket geändert:
> 1.9.2 -> 1.9.3
> --------------
> - it is now possible to use + in a class configuration. By using + the
>   class is explicitly allowd (M. Roeckrath)

Zu diesem Punkt möchte ich Euch noch eine kurze Anleitung zum Handling
geben.

Die Idee dazu wurde geboren, als hier etwa vor einem halben Jahr eine
SquidGuard-Blacklistkonfiguration wünschte, die sich mit den bisherigen
Konfigurationsmöglichkeiten nicht realisieren liess.

Etwa folgende Situation ist hierfür beispielgebend, die jetzt konstruiert
ist, da ich das damalige Beispiel und die beteiligten Klassen jetzt nicht
mehr im Kopf habe:

Eine URL ist in diversen Blacklistkategorien geführt, nehmen wir mal an in
Adv und Webmail. Nun soll Adv gesperrt aber Webmail erlaubt werden.

Die bisherige Konfiguration Adv als gesperrt zu listen führte auch zur
Sperre aller URLs, die sowohl in Adv und Webmail gelistet sind, da ein
Match zum Beenden der Prüfung einer URL führt.

Eine Konfiguration mit "-" (adv -webmail) , wie sie bisher schon ging,
bringt nichts, weil sie wieder vorrangig adv und damit die in beiden
Kategorien vorhandenen URLs sperrt.

Das "-" macht für den Fall Sinn, dass man Classes die aus mehreren
Unterklassen bestehen (z. B. finance) einfacher konfigurieren zu können
(finance -banking : verbietet alle Unterklassen von finance mit Ausnahme
von finance/banking).

Für einzelne freizugebene URLs gab esbisher auch schon die Möglichkeit,
diese manuell in die domains oder urls Datei der Kategorie exception
(/usr/local/squidGuard/db/blacklists/exception) einzutragen; diese wird vor
allen Verboten zu Rate gezogen.

Nun kommt das neue "+" ins Spiel. Eine Kategorie mit vorangestellten "+"
wird wie die Spezialklasse exception an die Spitze der Prüfungen vor allen
Verboten gesetzt. Wird also eine angefragte URL in exception oder einer mit
"+" expliziten Klasse gefunden, wird die Prüfung beendet und die URL ist
erlaubt, egal, ob sie in weiteren verbotenen Kategorien auch existiert.

Im obigen Beispiel müsste man also in der SquidGuard-Konfiguration

+webmail adv

setzen (es geht auch adv +webmail; in der Konfigurationsdatei ist die
Reihenfolge egal, das wird von den zugrundeliegenden Skripten geregelt).

Es sollte damit aber auch klar sein, dass damit teilweise die Verbote der
adv-Kategorie umgangen werden. Jeder muss für sich bei der Konfiguration
überlegen, was er mit seinem Definitionen erlaubt oder verbietet.

Für einzelne explizit zu erlaubende URLs ist gegebenenfalls exception die
"sicherere" Lösung.

Aber squidguard ist ja kein Allheilmittel für absolut sicheres Surfen; die
Hersteller der Blacklistdatenbanken garantieren ja auch keine
Vollständigkeit ihrer Listen.

-- 
Gruss Marcus

Mehr Informationen über die Mailingliste Eisfair_dev