= Zugriff auf das Internet kontrollieren =

Ich war diese Woche in Situation, mal schnell den Zugriff auf
bestimmte Webseiten verbieten zu müssen. Also: einen Router mit
einer KrefixLinux -ähnlichen Konfiguration gab es bereits, und in
der Debian-Paketliste bin
ich mit ''squidguard'' (http://www.squidguard.org) und
''chastity-list'' fündig geworden.
Der Nachfolger von squidguard ist ''ufdbguard''
(http://www.urlfilterdb.com).

SquidGuard wird in der /etc/squid.conf als redirect_program
eingetragen:

  redirect_program /usr/sbin/squidGuard -c
/etc/chastity/squidGuard.conf 

Damit funktioniert der Schutz über den Proxy. Dann muss man noch
die Firewall (Port 80) dichtmachen. Damit nicht jeder User den
Proxy im Browser eintragen muss, wäre ein transparenter Proxy gut.
Dazu muss der Squid allerdings als Reverse-Proxy in der
/etc/squid.conf konfiguriert sein:

  httpd_accel_host virtual 
  httpd_accel_port 8080
  httpd_accel_with_proxy on 
  httpd_accel_uses_host_header on 

In der Shorewall-Konfiguration sind folgende Einträge in
/etc/shorewall/rules nötig:

  REDIRECT  loc  $FW::8080  tcp  www  -  all
  ACCEPT    $FW  net        tcp  www 

Ich hoffe ich habe nichts vergessen, denn ich musste das jetzt aus
dem Gedächtnis schreiben...

PeterHormanns

----
"Dann kann man noch die Firewall als transparenten Proxy alle
Zugriffe auf Port 80 umleiten lassen."

Das kann mann eigentlich ganz einfach machen, indem man mit
IPtables alles, was auf dem Port 80 ankommt zum Port 3128 bzw 8080
umleitet.

Das sieht dann so aus:

# Alle Anfragen von eth1 am Prot 80 (web) an Port 3128 (Squid)
weiterleiten
  iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j DNAT
--to 192.168.2.1:3128

ich hoffe das hilft weiter

AnsgarJazdzewski

----
''ufdbGuard'' (http://www.urlfilterdb.com) ist ein neuer URL-Filter
und 8 mal schneller als squidguard. ufdbGuard basiert auf
Squidguard und die Konfiguration hat dieselbe Syntax wie
Squidguard. Dort kann man (gegen Lizenzgebühr) regelmäßig
aktualisierte URL-Listen beziehen.