Статью прислал коллега по цеху.
Хороший продукт для учреждений, не требующий каких-либо материальных вложений со стандартным функционалом для прокси.
Минимальные требования:
— операционная система Windows 2003 Server или Windows XP;
— наличие не менее 1 гигабайт свободного места на жестком диске под кэш системы.
Для осуществления возможности распределения доступа в сеть Интернет внутри образовательного учреждения на основе авторизации (по логину и паролю) необходимо настроить Службу каталогов.
В данной инструкции мы будем рассматривать механизм настройки покси-сервера Squid при использовании клиентами браузера Internet Explorer используя возможность этих программ по NTLM-авторизации. В этом случае авторизация проходит скрыто (не требовать авторизации). При использование других браузеров, которые не поддерживают NTLM-авторизацию (Opera и т.д.), придётся использовать Basic-авторизацию, при этом пользователь будет видеть приглашение для ввода логина и пароля.
- Инсталяция прокси-сервера Squid
1.1. Скачайте архив дистрибутива программы Squid по ссылке: http://www.edu.cap.ru/squid/squid-2.7.zip и разархивируйте его содержимое в корень диска С:\ предварительно создав парку Squid
1.2. Скачайте файл конфигурации настройки системы по ссылке: http://www.edu.cap.ru/squid/squid_conf.rar Разархивируйте его содержимое внутрь каталога Squid. При этом некоторые файлы будут заменены.
1.3. В случае, если Squid устанавливается на сервере имеющим 2 и более сетевых интерфейса, один из которых с прямым доступом в сеть Интернет, то необходимо открыть на редактирование файл squid.conf, найти в нем строку «http_port 3128» и дописать туда IPадрес того интерфейса, который подключен во внутреннюю, школьную, сеть. Например: «http_port 192.168.1.1:3128». (ВНИМАНИЕ! В случае, если сервер имеет выход в сеть Интернет через аппаратный марштуризатор, либо другой компьютер с NAT, то изменения производить не обязательно.)
1.4. Зайите в каталог «Squid», затем в каталог «!install». Запустите файл «install_service.bat», при этом исполнительный файл устанавливается в качестве службы. Следом запустите файл «make_cache.bat», при этом на диске создается кэш.
1.5. Выполните: «Пуск», «Администрирование», «Службы». Найдите службу Squid и изменяете ее тип запуска на «Авто». Затем запустите службу.
Выполните: «Пуск», «Мой компьютер», правой кнопкой мыши, «Управление», «Службы». Находим там службу Squid и меняем тип запуска в «Авто». Затем запускаем службу
1-й и 2-й способ одинаково равнозначен и для 2003 сервер и для ХР.
- Настройка прокси-сервера Squid.
2.1. В Active Directory необходимо создать 2 группы пользователей: «AllowInternet« и «AllowInternetRestrict«. Первая группа будет содержать учетные записи тех пользователей, для которых не применяется ограничение по списку посещаемых сайтов. Вторая группа будет содержать учетные записи тех пользователей, которым необходим доступ только к ограниченному списку сайтов (при этом с 1 октября 2009 года в системе порталов «Образование Чувашии» планируется запустить единый контент-фильтр «GFIWebMonior»).
2.2. В файле squid.conf описаны правила, при которых прокси-сервер будет выпускать пользователей в сеть Интернет.
В первую очередь срабатывает правило, по которому доступ в сеть Интернет предоставляется тем пользователям, которые работают на компьютерах с определенными IP адресами. Список этих адресов в формате адрес/маска (192.168.1.1/32) заносится в файл «%\squid\etc\acls\ allow.noauth.ip.acl». Данное правило желательно не использовать вообще, ибо в данном случае доступ в сеть Интернет получит любой пользователь, залогинившийся на этом компьютере. Более того, «злоумышленник» может сниффером выяснить адреса, с которых возможно выйти в сеть Интернет и поставить его вручную уже на своем компьютере.
Следующим срабатывает правило доступа в сеть Интернет для группы с ограниченным доступом (AllowInternetRestrict). Если запрошенный сайт указан в файле «%\squid\etc\acls\ allow.restrictedaccess.sites.acl»,а пользователь включен в группу (AllowInternetRestrict) то доступ разрешается. Если в файле нет запрошенного сайта – доступ запрещается.
И в последнюю очередь срабатывает правило доступа в сеть Интернет для группы с неограниченным доступом в сеть Интернет (AllowInternet).
ВНИМАНИЕ! После любых манипуляций с файлом squid.conf, а так же группами AllowInternet/AllowInternetRestrict в Active Directory обязательно необходимо запустить файл «%squid/!Install/reconfigure.bat» чтобы применились изменения.
2.3. После всех настроек остается указать в настройках браузеров адрес компьютера, на котором вы установили прокси-сервер, а так же порт (по умолчанию 3128), и добавить в группы AllowInternet/AllowInternetRestrict соответствующие логины пользователей.
- Просмотр логов прокси-сервера Squid
Squid хранит журналы посещения сайтов в каталоге %\Squid\var\logs. Для нормального анализа логов существует утилита WrSpy.
3.1. Скачиваем инсталляционную программу по ссылке: http://www.edu.cap.ru/squid/WrSpySetup.rar Распаковываем и устанавливаем.
3.2. Затем скачиваем обновление к ней по ссылке: http://www.edu.cap.ru/squid/WrSpyUp166.rar Распаковываем и устанавливаем.
3.3. При первом запуске программы надо будет указать, что используется прокси-сервер SQUID и, что отчеты и логи лежат по адресу пути: c:\squid\var\logs\
3.4. Для получения отчета на панели инструментов необходимо последовательно нажать кнопки: «Докачка», «Анализ», «Вывод в HTML».
Конфиг файл для Squid
http_port 3128
dns_nameservers 77.88.8.8
visible_hostname sr-proxy
acl NET src 10.0.10.32/27
acl Badsite dstdomain .mail.ru .mail.yandex.ru .vk.com
http_access deny all Badsite
http_access allow NET
http_access deny all
access_log /var/log/squid/access.log squid
tunnel gre 1
ttl 16
ip firewall disable
local address 11.11.11.11
remote address 22.22.22.22
ip address 172.16.1.1/30
enable
exit