Forum
Aktif konular
Üyeler
Kurallar
Arama
Squid Proxy Server Kurulumu Ve Konfigürasyonu 
Kısayol
Şikayet
Özel Mesaj
Merhaba bu makalede size Squid den bahsedeceğim. Peki Squid nedir ne işe yarar. Squid HTTP ve FTP gibi web servisleri için ön bellekleme yapabilen ve internete çıkacak olan bilgisayarları kısıtlama ve filitreleme yapabilen bir prox serverdir. HTTP, HTTPS, FTP, TLS, SSL, Internet Gopher gibi farklı protokollerde çalışması ve özgür yazılım olmasından dolayı rağbet gören bir uygulama. Squid ilk başlarda unix türü işletim sistemlerinde çalışacak şekilde tasarlanmış olmasına karşın 2.7 versiyonundan sonra Windowsa da sıçrayarak çoğu IT yöneticilerin tercih ettiği bir proxy server haline geldi. Çalışma sistemini bir şema olarak bakarsak
Şemada da özet geçecek olursak squid proxy sunucundan interneti filtreleyip bilgisayar kullanıcılarımızın bu server (aktif ederseniz cache belleği) üzerinden internete erişmelerini sağlıyoruz.
SQUID PROXY İLE NELER YAPABİLİRİZ
Squid proxy ile ağınıza bağlı bilgisayarların:
- Internete erişimlerini
- İnternete erişmeleri için kullanıcı adı şifre belirleme
- Internete erişim saatlerini, günlerini
- Belirlediğiniz sitelerin erişimlerini kapatmayı
- İstemediğiniz uzantıların indirilmemesi örneğin *.jpg *.mp4 *.zip vs vs.
- İnternetten indirilecek dosyaların boyutunu belirleme
Dahada uzatılabilir ama ben bu makalede size bu 6 maddeyi nasıl yapabileceğinize değineceğim.
KURULUM
Kurulumu Centos 6,8 64 bit kurulu bir sunucuda gerçekleştireceğiz. Bir kaç komutla kurulumu tamamlayıp ondan sonra belli başlı konfigürasyonlara değineceğiz.
İlk önce sunucumuzu bir güncelleyelim.
yum update yum upgarade
Güncellemeyi bitirdikten sonra kuruluma geçelim
yum install squid -y
Squid kurulumu tamam şu anda squidimiz aktif değil ilk önce ilk ayarlarımızı yapalım. Ip adresimiz üzerinden internete çıkılabilsin istediğimiz port numarsını belirleyelim. Vi editörü zor gelebilir size bunun için Nano editörünü kullanacağız. Sistemde kurulu değilse
yum install nano -y
Nano editör kurulumunu gerçekleştirdik. Şimdi squid.conf dosyamızı düzenlemeye geçebiliriz.
nano /etc/squid/squid.conf
Önce kendi adımız için bir tag belirliyoruz örnek zmoprox bu taga internet çıkış sağlayabilmesi için
acl zmoprox src sunucu-ip-adresiniz
Tagımızı tanımladık ip adresi atadık ve şimdi bu taga internet çıkışı verelim.
http_access allow zmoprox
Ana kurulum tamam diyebiliriz şimdi aşağıya doğru ok tuşları ile inelim port belirleyelim standart port olarak 3128 tanımlı olarak geliyor.
# And finally deny all other access to this proxy
http_access deny all # deny allow yapper issuing proxiniz harks açık hale gelir. Eğer user giriş yapacaksanız ellemeyiniz.
# Squid normally listens to port 3128
http_port 3128 # istediğiniz herhangi boş bir port kullanılabilir. Alt alta port yazarak da yeni portlar ekleyebilirsiniz.
Portumuz tamam şimdi sıra geldi squidi çalıştırmaya ve sunucunun her açılışında otomatik açılmasını sağlamaya.
service squid start
chkconfig squid on
Herhangi bir yanlışlık olmadıysa proxy servisin başlaması lazım yukaraki gibi. Şimdi bilgisayarımızı proxy bağlantısını sağlayalım. Windows için internet explorer dan seçeneklere girip ip adresinizi ve port numaranızı tanımlayabilirsiniz.
Mac-OS da ağ ayarlarına geliniz.
Sunucumuzun ip adresini ve port numaramızı yazdıktan sonra Tamam butonuna artından uygula dediğimizde deneyelim internete çıkabiliyor muyuz?
Evet hata sayfası karşıladı bizi demekki proxy serverimiz çalışıyor. Peki niye internete giremedik. Çünkü herkesin bağlanmasına izin vermedik. Nasıl açacağız bunu
http_aces allow all
Şu şekilde değiştirdiğimizde dosyayı kaydedip çıkalım ve squidi resetleyelim
service squid restart
Şimdi tekrar girmeye çalışalım internete herhangi bir sıkıntı olmadıysa internete girmiş olmanız lazım. Ip adresinizi öğrenmek için ipsorgula tarzı sitelere girip test edebilirsiniz. Bir sorun olmadıysa ip adresiniz olarak sunucunuzun adresi görünmesi gerekmektedir. Bu şekilde kalsa olmuyor mu? Olur ama sunucunuza herkes bağlanabilecek tanıdık tanımadık. Hatta sunucunuz üzerinden ddos saldırıları bile yapılabilir. Bu türkcell bedava internet kullanabilmek için proxy gerekiyor onun için bile kullanabilirler. Bu yüzden başımız ağrımasın diye kapatalım hemen geri allow u deny olarak değiştirip kaydedelim ardından squidi tekrar resetleyelim ki sağlama alalım kendimizi.
Peki nasıl bağlanacağız tabiki kullanıcı oluşturarak.
SQUIDE KULLANICI OLUŞTURMA
Amacımız belirlediğimiz kullanıcıların proxy sunucumuza bağlanıp internete çıkabilmelerini sağlamak. Kullanıcı adı ve şifresi olmayanların bağlanmasını engellemek. İlk önce kullanıcı oluşturalım.
[root@bektas ~]# htpasswd -c /etc/squid/passwd kullanıcı_adı
New password:
Re-type new password:
Adding password for user kullanıcı_afı
[root@bektas ~]# chmod o+r /etc/squid/passwd
[root@bektas ~]# rpm -ql squid | grep ncsa_auth
/usr/lib64/squid/ncsa_auth
/usr/share/man/man8/ncsa_auth.8.gz
Yukardaki komutlarla neler yaptık şimdi htpasswd ile kullanıcı oluşturuk şifre belirledik, squidin içindeki passwd dosyasına izin verdik chmod ile ncsa_auth dosyamızın yerini öğrendik.
Eğer htpasswd komutu çalışmazsa sunucunuzda apache olmadığı içindir bunun için aşağıdaki komutu girip kurabilirsiniz. Kuruluysa aşağıdaki komutu kullanmanıza gerek yok.
yum -y install httpd-tools
Kullanıcı adımız tamam ncsa_auth dosyamızın nerde olduğunuda öğrendik. Şimdi bunları squide tanımlayalım
#squid kullanici ayarlari
auth_param basic program /usr/lib64/squid/ncsa_auth /etc/squid/passwd
auth_param basic children 5
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 2 hours
auth_param basic casesensitive off
# rolumuzu olusturalim
acl ncsa_users proxy_auth REQUIRED
# izin verelim
http_access allow ncsa_users
Yukardaki gibi düzenleyelim. Tekrar söylüyorum auth_param basic program /usr/lib64/squid/ncsa_auth /etc/squid/passwd sisteminiz 32 bitse sadece lib 64 bit ise lib64 dizinini seçin sağlam olsun diyorsanız yukarda da komutu girmiştim ya rpm -ql squid | grep ncsa_auth size tam yolu gösterecek o yolu kullanırsınız. Ardından squidi tekrar resetleyelim.
service squid restart
Şimdi internete girelim bizden şifre istemesi gerekiyor.
Belirlediğimiz kullanıcı adı ve şifreyi girdikten sonra giriş sağlayabiliriz.
İnternetti kullanan kullanıcıların internetten istemediğimiz dosyaları indirmelerini istemiyorsunuz. Söyleseniz de sizi dinlemeyeceklerdir. O zaman sizde squide söyleyin onlarda isteselerde indiremesinler. bunun için önce bir istemediğimiz dosyaların uzantılarını içeren bir liste hazırlayalım
nano /etc/squid/yasakdosya
İçine örnek olması mahiyetinde bu uzantıları girelim.
\.[Jj][Pp][Gg]$
\.[Pp][Nn][Gg]$
\.[Mm][Pp][Gg]$
\.[Mm][Pp][Ee][Gg]$
\.[Mm][Pp]3$
Kaydedip çıkalım. Ardından squid.conf dosyasına listemizi tanımlayalım.
acl yasakd urlpath_regex “/etc/squid/yasakdosya”
http_access deny yasakd
Kaydedip çıktıktan sonra squidi resetleyelim
service squid restart
Test edelim çalışıyor mu diye?
Gördüğünüz gibi fotoğraflar açılmadı linklerini yazarsanız da hata sayfası çıkacaktır.
Peki istemediğimiz sitelere girmelerini nasıl engelleriz. Patron geldi size dedi bunlar akşama kadar facebookta gezeleyip duruyorlar. İş yapmıyorlar. Şunları engelle kimse girmesin derse ne yapacaksınız. Ya hosts dosyasından engelleyeceksiniz varsa bir güvenlik duvarınız ordan engel koyacaksınız yoksa squid den tanımlama yapacağız. Başlayalım. Önce engelleyeceğimiz sitelerin listesini hazırlayalım
nano /etc/squid/blocksite
Squide tanımlayalım dosyamızı. Şimdi squid https porotokolleri şifreli olduğu için pek randıman alınamıyor bu yüzden https için ayrı bir rol belirledim ama blockladığınız site listelerini aynı yerden alacak şekilde ayarladım aşağıdaki ekran alıntısı gibi yapınız
nano /etc/squid/squid.conf
acl httpsyasak dstdomain urlpath_regex “/etc/squid/blocksite”
acl yasaksite dstdomain “/etc/squid/blocksite”
http_access deny httpsyasak CONNECT
http_access deny yasaksite
Kaydedip çıktıktan sonra squid resetleyelim
service squid restart
Siteyi kontrol edelim giriyor mu?
Gördüğünüz gibi siteye erişemedik. Peki bide HTTPS protokolüne bakalım girecek mi siteye.
HTTPS protokolünüde kapattık. Yalnız şöyle bir sorun var https protokolünü kapattığım sitelerin hata sayfalarına yönelendirilmesini biraz meşakkatli olduğu için atladım sadece Siteye Ulaşılamıyor gibi bir hata sayfası çıkıyor.
Şimdi de bilgisayar kullanıcılarının çalışma saatleri içinde yada belirleyeceğimiz günler ile saatler arasında internete girmelerini engelleyelim. Squid günleri de kısaltmış Günler şu şekilde:
M Pazartesi
T Salı
W Çarşamba
H Perşembe
F Cuma
A Cumartesi
S Pazar
D Tüm Hafta Boyu
Hemen kuralımızı oluşturalım. Şöyle diyelim Pazardan Cumartesiye kadar Sabah 8:00 ile 11:59 arası 13:00 ile 16:59 arası internete giremesinler
nano /etc/squid/squid.conf
Dosyayı açalım aşağıdaki kurallardan birini yerleştirelim.
acl oonce time M T W H F A 8:00-11:59
acl osonra time M T W H F A 13:00-16:59
# zmoprox hangi ag ismine engel koyacaksanız onu yazıyoruz sonra kuralli yaziyoruz
http_access deny zmoprox oonce
http_access deny zmoprox osonra
Yada hergün belirlediğiniz saatlerde açıp kapattırabilirsiniz.
acl hergun time 08:00-12:00
http_access allow hergun
Resetleyelimim squidi
[code_scr]service squid restart[/code_sc]Ceche bellek oluşturalım. Peki bu ceche bellek ne işe yarayacak. Ofisinizde bilgisayar kullanıcılarının sıklıkla kullandığı belli başlı siteler var squid bunları tespit edip önbelleğine alıyor. Ofiste bu siteye her çağrı yapanlar için ön bellekten hızlı bir şekilde bilgisayar kullanıcılarına internet sayfalarını açıyor. Aslnda squid kullanma amaçlarından biri de bu bence. Squid.conf dosyasını açalım
nano /etc/squid/squid.conf
Aşağı doğru inin sharp (#) işaretini siliniz burda 100 mb 16 dizin 256 dosya olarak belirtmiş.
# Uncomment and adjust the following to add a disk cache directory.
#cache_dir ufs /var/spool/squid 100 16 256
Bizim hdd çok alan var biz biraz fazla yapalım mesela 2 gb olsun
# Uncomment and adjust the following to add a disk cache directory.
cache_dir ufs /var/spool/squid 2000 16 256
Yukarda ki gibi düzenledik kaydedip çıktık. Squidi durduralım.
service squid stop
Ceche belleği oluşturalım
squid -z
Squidi çalıştıralım
service squid start
Eğer herhangi bir sorun olmadıysa squide start verdiğimizde bize şöyle bir yanıt vermesi gerekiyor
init_cache_dir /var/spool/squid… Starting squid: . [ OK ]
Cache belleğimiz oluştu ve başladı.
Şimdi maximum dosya indirme limiti koyalım. Elemanlar giriyor internete başlıyorlar film indirmeye. İki kişi indirdi mi internet o an felç
en alta inelim
reply_body_max_size 2 MB zmoprox
squid -k reconfigure
service squid restart
Şimdi test edelim
Malesef indirmemize izin vermedi kendileri.
En son olarak da loga deyinelim. Malum kim nereye girdi hepsini kayıt altında tutuyor squidin tuttuğu loglar
/var/log/squid/ altında görebilirsiniz
access.log cache.log squid.out
3 adet log dosyası mevcut. Logları bu şekilde biraz zor analiz edebilirsiniz http://www.squid-cache.org/Misc/log-analysis.html bu aderesten istediğiniz uygulamayı kullanıp logları daha kolay bir şekilde analiz etme imkanınız var. Kolay gelsin.
Daha bir çok şey yazılabilir ama. İnternetten araştırarak bir çok bilgi edinebilirsiniz. Ama bence log tutmak ve şiresiz internete girişi engellemek için ideal. En azından kimin nereye girdiğini. İstemediğiniz filitrelemeler için ideal. Takılan olursa yine yardımcı olmaya çalışacağımı unutmayın.
Alıntı yap
Cevapla