 "Aufmacher")
Das Thema Netzwerke und Filtern fällt äußerst komplex aus. Ansätze gibt es fast so viele wie zu filternde Inhalte. Aus diesem Grund scheint die Materie speziell für Anfänger oft mit großen Einstiegshürden verbunden. Mit ein wenig Grundwissen über Iptables und Squid bauen Sie aber quasi mit Bordmitteln auf einem Linux-Rechner einen wirkungsvollen Filtermechanismus auf.
Systemvoraussetzungen
Im Beispiel steht ein Linux-Heimserver mit Firewall und Routing bereit. Er sollte als einziger PC am Internet hängen und allen anderen Clients den Zugang ermöglichen, damit niemand den Filter umgeht. Der Router selbst darf daher mindestens die TCP-Ports 21 und 80 nicht weiterleiten, damit die Clients bei den Protokollen FTP und HTTP auf den Proxy zugreifen. Als Proxy arbeitet Squid [1] – im Beispiel in Version 2.6.
Bei Debian 4.0 und Ubuntu 8.04 heben Sie die Software mit einem einfachen apt-get install squid auf die Platte. Für die Clients kommt jedes beliebige Betriebssystem in Frage, solange es auf TCP/IP als Netzwerkprotokoll setzt. Stellen auf den Clients den Router als Proxy-Host im Browser ein (Abbildung 1). Denjenigen, die mit möglichst wenig Aufwand einen eigenen Router installieren wollen, sei Fli4l [2] ans Herz gelegt, das Squid als Zusatzpaket anbietet.
Abbildung 1: Lediglich die Konfiguration des Browsers erfolgt auf jedem Client.
Grundkonfiguration
Laufen das Basissystem und Squid, so geht es an die Konfiguration. Standardmäßig liegt in /etc/squid/squid.conf die Konfigurationsdatei des Proxys. Online [3] finden Sie eine gut kommentierte Version. Eine wichtige Maßnahme nehmen Sie jedoch direkt in der Firewall vor, damit diese eingehende Anfragen auf den Proxy von allen externen Netzen blockiert. So geht niemand unbefugt von außen über den Server online. Listing 1 liefert zwei Alternativen, die Sie jedoch unbedingt auf das eigene Setup anpassen müssen. Es empfiehlt sich, bei der Firewall alle Ports zu sperren und nur diejenigen explizit zu öffnen, die Sie unbedingt benötigen.
# Variante 1 # verwirft eingehende Anfragen auf den Squid-Port 3128, # außer sie kommen aus dem Netz 192.168.1.* iptables -I INPUT -p tcp --dport 3128 -s ! 192.168.1.0/24 -j DROP # Variante 2 # verwirft eingehende Anfragen auf den Squid-Port 3128, # außer sie kommen von der Netzkarte eth0 (lokales Netz) iptables -I INPUT -p tcp --dport 3128 -i ! eth0 -j DROP
Zum besseren Verständnis stellen Sie über die Option error_directory /usr/share/squid/errors/German in der squid.conf die Sprache der Squid-Fehlerseiten auf Deutsch um. Alle weiteren Beispiele in diesem Artikel funktionieren so, dass Sie diese jeweils einzeln unterhalb der Zeile INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS eintragen können.
Wenden Sie mehrere Beispiele gleichzeitig an, so gilt es auf die Reihenfolge und richtige Kombination der Parameter zu achten. Nähere Informationen liefert die Hilfe von Squid. Damit das Programm die aktualisierte Konfiguration einliest, bedarf es jeweils eines einfachen /etc/init.d/squid reload auf der Kommandozeile. Es lohnt sich aber in jedem Fall, die Ratschläge aus dem Kasten "Wichtige Sicherheitshinweise" zu beachten.
Wichtige Sicherheitshinweise
Die Konfiguration eines Proxys hängt maßgeblich davon ab, wie die Netzwerkstruktur aussieht. Dieser Artikel dient daher nur als Anregung und basiert auf der Vorkonfiguration der Pakete von Ubuntu 8.04 mit Squid in der Version 2.6.STABLE18. Andere Distributionen oder Versionen erfordern unter Umständen andere Schritte.
Vor Inbetriebnahme lohnt es, einen Blick in das Squid-Handbuch zu werfen und die Sicherheit des Systems zu prüfen, denn ein offener und falsch konfigurierter Proxy ist so schlimm wie ein ungesichertes WLAN: Er ermöglicht es theoretisch jedem Internet-Nutzer mit der Identität des Proxy-Betreibers zu surfen. Der Betreiber eines Proxys haftet dann eventuell für das Verhalten unberechtigter Mitnutzer. Eine funktionierende Firewall, aktuelle Pakete und eine abgesicherte Squid-Konfiguration gehören daher zur Pflicht.
Einem Freund empfehlen
