Настройка прокси-сервера Squid на Ubuntu 9.04 с DansGuardian, ClamAV и WPAD (автоматическое определение прокси)В этом руководстве описывается как установить прокси-сервер Squid на Ubuntu 9.04 с DansGuardian (для фильтрации трафика) и ClamAV (для проверки трафика на вирусы); кроме того, мы настроим автоматическое определение прокси-сервера (WPAD) с помощью DHCP (в нашем случае это dhcp3 или DHCP сервер Windows Server 2003) или DNS с тем, чтобы единственной настройкой, которую необходимо сделать со стороны клиента, было бы включение галочки Автоматически определять настройки прокси-сервера для этой сети в Firefox или в Internet Explorer. К концу данного руководства, у ваших пользователей будет полнофункциональный и безопасный прокси-сервер для работы по HTTP.В дополнение . Последний раздел данного руководства содержит информацию о том, как пользователи могут подключиться к данному прокси-серверу через SSH и безопасно работать в Интернет находясь вдали от дома или офиса.Примечание: этот документ не является руководством по настройке прозрачного прокси Трафик, отличный от трафика браузера не будет проходить через прокси-сервер В руководстве указаны те шаги, которые делал я, но я не гарантирую что они подойдут и вам без каких-либо изменений.Предварительная настройкаЭто руководство предполагает, что вы уже установили Ubuntu Server 9.04 и обновили установленные пакеты до последних версий. Предварительная настройка Squid, DansGuardian, ClamAV, dhcp3 и Apache или Lighttpd не является необходимой - в этом руководстве указана все необходимая конфигурация. Вся установка и настройка должна делаться от имени пользователя с Sudo привилегиями.1. Установка и настройка ClamAVДля установки ClamAV запустите в терминале следующую команду:sudo apt-get install clamav-daemon clamav-freshclamЭта команда установит демона ClamAV, необходимого для сканирования на вирусы при помощи DansGuardian, а также FreshClam для обеспечения актуальности антивирусной базы данных. Вы можете получить следующее предупреждение:LibClamAV Warning: ***********************************************************LibClamAV Warning: *** This version of the ClamAV engine is outdated. ***LibClamAV Warning: *** DON39;T PANIC Read http://www.clamav.net/support/faq ***LibClamAV Warning: ***********************************************************Это сообщение говорит о том, что антивирусный движок устарел - он жалуется на версию, поставляемую в комплекте с Ubuntu 9.04. Для лучшей безопасности, вам следует поддерживать ClamAV обновленным до последней версии, но это не возможно сделать при помощи apt и выходит за пределы данного руководства. Полагаю, что это предупреждение можно просто проигнорировать.Конфигурационные файлы ClamAV находятся в папке /etc/clamav, но конфигурация, поставляемая с ClamAV вполне подходит для наших нужд. FreshClam будет обновлять вирусные сигнатуры один раз в час, но если вы хотите это изменить, то следует отредактировать следующий раздел в файле /etc/clamav/freshclam.conf: Check for new database 24 times a dayChecks 24И указать там то количество проверок, которое вам необходимо: Check for new database 24 times a dayChecks 48Подобное изменение приведет к увеличению числа проверок вдвое. Нажмите Ctrl+X для выхода и нажмите Y, когда nano попросит Сохранить измененный буфер (Save the Modified Buffer). Если вы изменили конфигурацию FreshClam, запустите следующую команду чтобы убедиться в том, что изменения вступили в силу:sudo /etc/init.d/clamav-freshclam restart
2. Установка и настройка SquidДля установки Squid запустите в терминале следующую команду:sudo apt-get install squidКонфигурация для Squid находится в файле /etc/squid/squid.conf. Для того, чтобы редактировать этот файл, наберите:sudo nano /etc/squid/squid.confsquid.confhttp_port 3128cache_mem 500 MBcache_dir ufs /var/spool/squid3 1000 16 256cache_access_log /var/log/squid3/access.logcache_log /var/log/squid3/cache.logcache_store_log /var/log/squid3/store.logvisible_hostname Ubuntu_Linuxacl wwwUsers src 192.168.0.0/24 acl banners url_regex /etc/squid3/banners.deny http_access deny bannershttp_access allow wwwUsershttp_access deny allНам не нужно сильно изменять настройки Squid, так как между ним и пользователями будет находится DansGuardian и направлять трафик на нужный порт Squid39;а. Сейчас необходимо установить этот порт, добавив следующую строку в конец файла:http_port 3128Нажмите Ctrl+X для выхода и нажмите Y, когда nano попросит Сохранить измененный буфер (Save the Modified Buffer). Затем, наберите следующую команду, чтобы Squid перегрузил конфигурационный файл:sudo /etc/init.d/squid reload
3. Установка и настройка DansGuardianДля установки DansGuardian запустите в терминале следующую команду:sudo apt-get install dansguardianКонфигурационные файлы DansGuardian находятся в папке /etc/dansguardian. Для редактирования основного конфигурационного файла, наберите:sudo nano /etc/dansguardian/dansguardian.confВесь dansguardian.conf хорошо откомментирован и весьма информативен. Ниже приведена простейшая настройка, но для того, чтобы в полной мере воспользоваться возможностями контентной фильтрации DansGuardian, необходимо его внимательно прочитать. По-умолчанию, DansGuardian весьма строг (что, вероятно, вам и нужно); ослабление этих ограничений потребует некоторого терпения и редактирования конфигурационных фалов. Я затрону кое-какие моменты ниже. Обратите внимание на следующие строки в конфигурационном файле:language = 39;russian39;filterip = x.x.x.xfilterport = 8080proxyip = 127.0.0.1proxyport = 3128contentscanner = 39;/etc/dansguardian/contentscanners/clamav.conf39;Строка language определяет язык страницы с ошибкой, которую покажет DansGuardian при блокировке веб-содержимого. Возможные значения этого параметра можно найти в папке /etc/dansguardian. Как только вы выбрали язык страницы с ошибкой для своих пользователей, измените строку language в файле /etc/dansguardian/dansguardian.conf, а затем настройте шаблон отображаемой страницы:sudo nano /etc/dansguardian/languages/russian/template.htmlСледуйте инструкциям, приведенным в файле template.html для того, чтобы указать название вашей компании и поменять текст сообщения под свои нужды. В строках filterip и filterport указывается IP-адрес и порт прокси-сервера, соответственно. Установите значение параметра filterip равным IP-адресу вашего сервера в локальной сети, а filterport равным тому номеру порта, который вам нужен для вашего прокси; хорошее значение по-умолчанию - 8080.Важно: если вы хотите иметь доступ к этому прокси через SSH, расположенный на этом же сервере, добавьте еще одну строку filterip и укажите в ней адрес 127.0.0.1 для того, чтобы убедиться в том, что DansGuardian будет также использовать localhost для ожидания запросов на подключение.Параметр proxyip указывает адрес прокси-сервера Squid, а параметр proxyport указывает порт, на котором он работает. Если вы следуете данной инструкции, оставьте значение этого параметра неизменным - 127.0.0.1, или, другими словами, адрес локальной машины. Аналогично, если для Squid вы использовали порт по-умолчанию, как предложено выше, оставьте значение параметра proxyport равным 3128.Файл /etc/dansguardian/dansguardian.conf уже содержит строку contentscanner в конце. Раскомментируйте ее, чтобы сообщить DansGuardian о необходимости использовать ClamAV для проверки запрошенных через HTTP файлов.Для завершения настройки, закомментируйте или удалите следующую строку:UNCONFIGURED - Please remove this line after configurationЭто необходимо для того, чтобы сообщить DansGuardian о том, что мы изменили конфигурацию по-умолчанию. Сохраните файл, нажав Ctrl+X и Y, а затем выполните команду:sudo /etc/init.d/dansguardian restartЭта команда необходима для того, чтобы DansGuardian перезагрузил свою конфигурацию и подключился к запущенному прокси-серверу Squid.Мы подошли к точке, где вам необходимо сделать действия, указанные ниже, для того, чтобы обезопасить Squid и запретить пользователям работать в обход DansGuardian.Примечание: не делайте эти шаги, если ваш пакетный фильтр уже настроен и использует какие-либо другие правила Эти шаги все спутают. Просто адаптируйте правила своего пакетного фильтра, приняв во внимание следующее:sudo ufw default DENYsudo ufw ALLOW 8080sudo ufw enableБлагодаря этим правилам, вы будете уверены в том, что входящие соединения на порт, отличный от 8080 (порта, на котором работает DansGuardian), будут заблокированы (и пронырливые пользователи не смогут получить доступ
