Hallo,
ich möchte anhand zweier Beispiele, die Einrichtung mehrerer Gruppen im Zusammenspiel mit dem URL-Filter erläutern.
- Beispiel 1 zeigt dies über die Authentifizierung anhand lokaler Benutzer
- Beispiel 2 anhand einer NTML-Authentifizierung.
Anmerkung: Der transparente Proxy kann nicht verwendet werden. Um die Anpassungen dauerhaft zu sichern muss die ID im Template /etc/squid/squid.conf erhöht werden.
Wenn wir neue Templates anlegen, wird auf eine Eingabe gewartet. Ein "**" schließt die Eingabe ab!
Ziel:
Gruppe-A: Dürfen auf Whitelist zugreifen Blacklist ist aber gesperrt
Gruppe-B: Sperrt die Einträge der Blacklist gibt den Rest frei
Gruppe-C: Gibt die Whitelist frei sperrt den Rest
Beispiel 1:
Vorbereitungen: Verbinden Sie sich mit dem Benutzer admin und dem Programm Putty an der Firewall!
Anlegen von 3 Benutzergruppen über die CLI.
Code: Alles auswählen
add extc_template http_proxy /etc/squid/groupa.txt
add extc_template http_proxy /etc/squid/groupb.txt
add extc_template http_proxy /etc/squid/groupc.txt
Anlegen von jeweils 3 Black- und Whitelists
Code: Alles auswählen
add extc_template http_proxy /etc/squid/black-groupa.txt
add extc_template http_proxy /etc/squid/white-groupa.txt
add extc_template http_proxy /etc/squid/black-groupb.txt
add extc_template http_proxy /etc/squid/white-groupb.txt
add extc_template http_proxy /etc/squid/black-groupc.txt
add extc_template http_proxy /etc/squid/white-groupc.txt
Jetzt muss das Template (Konfiguration) des Squid angepasst werden:
Dazu gehen Sie im Webinterface auf "Extras -> Erweitert Einstellunge -> Ja -> Vorlagen -> http_proxy" dort wählen Sie die Datei "/etc/squid/squid.conf" aus. Hier sollten in der Auswahl auch die angelegten Templates sichtbar sein:
#IF ${ENABLE_EXCEPTION_URL_LIST}=1
http_access allow whitelist all
#ENDIF
//hinter dieser Stelle den folgenden Code einfügen
Code: Alles auswählen
acl whitelist_groupa url_regex "/etc/squid/white-groupa.txt"
acl whitelist_groupb url_regex "/etc/squid/white-groupb.txt"
acl whitelist_groupc url_regex "/etc/squid/white-groupc.txt"
acl blacklist_groupa url_regex "/etc/squid/black-groupa.txt"
acl blacklist_groupb url_regex "/etc/squid/black-groupb.txt"
acl blacklist_groupc url_regex "/etc/squid/black-groupc.txt"
acl UsersGroupA proxy_auth "/etc/squid/groupa.txt"
acl UsersGroupB proxy_auth "/etc/squid/groupb.txt"
acl UsersGroupC proxy_auth "/etc/squid/groupc.txt"
Die bestehende Zeile gegen die folgenden ersetzen
Code: Alles auswählen
#IF ${ENABLE_AUTH_LOCAL}=1
#dürfen auf whitelist zugreifen blacklist ist gesperrt
http_access allow UsersGroupA whitelist_groupa
http_access deny UsersGroupA blacklist_groupa
#sperrt die Einträge der blacklist gibt den rest frei
http_access deny UsersGroupB blacklist_groupb
http_access allow UsersGroupB all
#gibt die whitelist frei sperrt den rest
http_access allow UsersGroupC whitelist_groupc
http_access deny UsersGroupC all
#ENDIF
Hier den mittleren Wert auskommentieren
Code: Alles auswählen
#IF ${ENABLE_AUTH_LOCAL}=1
#http_access allow authentication whitelist
#ENDIF
In die selbst definierten Templates müssen nun die URLs, beziehungsweise in die der Gruppen die lokalen Benutzer der FW eingetragen werden.
Als Wiltcard um in der Blacklist alles zu sperren, geben Sie .* ein.