OpenBSD Proxy - Squid, SquidGuard, SquidClamAV e AdZapper

SquidGuard: Instalacin y Configuracin

Agora vamos instalar o SquidGuard: # cd /usr/ports/www/squidguard/ # make install clean Aps a instalao poderemos encontrar um arquivo com a blacklist da seguinte forma: # cd /usr/local/share/examples/squidguard/dest/ # tar x!f "lacklists#tar#g $C /!ar/squidguard/d" Assim teremos a blacklist descompactada no caminho onde o SquidGuard verifica. Temos que fa er pequenas configura!es no SquidGuard" como determinar o #$ do administrador" a fai%a de rede e coisas do tipo. $ara isso basta dar uma olhada no arquivo de configurao dele:/etc/squidguard/squidguard.conf &omo no e%emplo abai%o:

src admin { ip 10.62.102.122 # The administrator's PC domain minhaempresa.com.br # The LAN domain user root administrator # The administrator's lo in names ! src lan { ip domain ! 10.62.102.0"2# # The internal net$or% minhaempresa.com.br # The LAN domain

'esse e%emplo eu coloquei o #$ da minha m(quina e meu dom)nio como sendo do administrador e a fai%a de l(" o endereo *+,. $ara colocar o SquidGuard para verificar os dom)nios e -./s" insira no arquivo de configurao dele 0*etc*squidguard*squidguard.conf1 as seguintes linhas:

dest porn { domainlist blac%lists"porn"domains urllist blac%lists"porn"urls e&pressionlist blac%lists"porn"e&pressions # Lo ed in'o is anon(mi)ed to protect users' pri*ac( lo anon(mous dest"porn.lo ! dest dru s { domainlist blac%lists"dru s"domains urllist blac%lists"dru s"urls # Lo ed in'o is anon(mi)ed to protect users' pri*ac( lo anon(mous dest"dru s.lo ! dest amblin { domainlist blac%lists" amblin "domains urllist blac%lists" amblin "urls # Lo ed in'o is anon(mi)ed to protect users' pri*ac( lo anon(mous dest" amblin .lo

'esse caso ele bloquear( drogas" 2ogos e pornografia. &aso queira mais bloqueios" d3 uma olhada nos diretrios dentro de *var*squidguard*db*blacklists e faa a insero seguindo os modelos acima. Agora vamos definir uma A&/ para o SquidGuard trabalhar filtrando por ela. 4ai ficar mais ou menos assim:

acl { admin $ithin $or%hours { pass +porn +dru s + amblin all ! else { pass +dru s + amblin all ! lan { pass +in,addr +porn +dru s + amblin all ! de'ault { pass none redirect http-""$$$.minhaempresa.com.br"acessone ado.php ! !
5uncionando mais ou menos assim: na hora de servio ele vai passar tudo diferente de pornografia" drogas e 2ogo. Se for hor(rio fora do e%pediente ele passa tudo menos drogas e 2ogo. #sso para o admin. $ara a lan ele vai passar tudo" menos pornografia" drogas e 2ogos. &aso algum desses conte6dos se2am acessados" ele vai redirecionar para o site da minha empresa com uma p(gina de erro padro. Agora vamos criar os arquivos para que o SquidGuard possa interpret(7los. /embrando que os arquivos de configurao esto em *etc*squidguard*" qualquer coisa 8 s dar uma olhada l( dentro. 9bs.: Antes de rodar o update dos arquivos" crie o diretrio :dest: dentro do SquidGuard" da seguinte maneira: # mkdir /!ar/squidguard/log/dest &om isso os logs ficaro dentro deste dest. 9u ento altere o arquivo .conf do SquidGuard. 5ica a seu crit8rio. # squidGuard $u $C all $d 0o 7d vai ser o debug1 #sso funciona mais ou menos como o postmap do $ostfi% para gerar o arquivo .db" mas aqui ele vai criar arquivos no padro ;erkele< =;. >le deve lhe informar algo mais ou menos assim: # squidGuard $u $C all $d +??@7?A7+B CD:E@:+@ FCAG+DH +??@7?A7+B CD:E@:+@ FCAG+DH +??@7?A7+B CD:E@:+@ FCAG+DH +??@7?A7+B CD:E@:+@ FCAG+DH +??@7?A7+B CD:E@:+@ FCAG+DH +??@7?A7+B CD:E@:+@ FCAG+DH +??@7?A7+B CD:E@:+@ FCAG+DH +??@7?A7+B CD:E@:+@ FCAG+DH +??@7?A7+B CD:E@:DG FCAG+DH +??@7?A7+B CD:E@:DG FCAG+DH +??@7?A7+B CD:E@:DG FCAG+DH +??@7?A7+B CD:E@:DG FCAG+DH +??@7?A7+B CD:E@:DG FCAG+DH +??@7?A7+B CD:E@:DG FCAG+DH +??@7?A7+B CD:E@:DG FCAG+DH +??@7?A7+B CD:E@:DG FCAG+DH +??@7?A7+B CD:E@:DG FCAG+DH +??@7?A7+B CD:E@:DG FCAG+DH 'eI setting: dbhome: *var*squidguard*db 'eI setting: logdir: *var*squidguard*log Added -ser: root Added -ser: foo Added -ser: bar destblock good missing active content" set inactive destblock local missing active content" set inactive init domainlist *var*squidguard*db*blacklists*porn*domains create neI dbfile *var*squidguard*db*blacklists*porn*domains.db init urllist *var*squidguard*db*blacklists*porn*urls create neI dbfile *var*squidguard*db*blacklists*porn*urls.db init e%pressionlist *var*squidguard*db*blacklists*porn*e%pressions init domainlist *var*squidguard*db*blacklists*drugs*domains create neI dbfile *var*squidguard*db*blacklists*drugs*domains.db init urllist *var*squidguard*db*blacklists*drugs*urls create neI dbfile *var*squidguard*db*blacklists*drugs*urls.db init domainlist *var*squidguard*db*blacklists*gambling*domains create neI dbfile

*var*squidguard*db*blacklists*gambling*domains.db +??@7?A7+B CD:E@:DG FCAG+DH init urllist *var*squidguard*db*blacklists*gambling*urls +??@7?A7+B CD:E@:DA FCAG+DH create neI dbfile *var*squidguard*db*blacklists*gambling*urls.db +??@7?A7+B CD:E@:DA FCAG+DH squidGuard C.+.C started 0C+ECD?E@B@.??B1 +??@7?A7+B CD:E@:DA FCAG+DH db update done +??@7?A7+B CD:E@:DA FCAG+DH squidGuard stopped 0C+ECD?E@GA.?EC1 J ahora nos dan permiso para Squid lee adentro. # chown $% &squid /!ar/squidguard/ Ahora edite el archivo /etc/squid/squid.conf < aKada estas tres l)neas en 8l: urlLreIriteLprogram *usr*local*bin*squidGuard urlLreIriteLchildren E urlLreIriteLaccess den< localhost A continuacin" reinicie calamar o simplemente arrancarlo si est( parado. J voila" SquidGuard est( traba2ando.

SquidClam'(: Instala)*o e configura)*o

4amos agora fa er a instalao do SquidClamAV de forma r(pida e simples" assim esperamos. #nstalando o ClamAV: # cd /usr/ports/security/clama!/ # make install clean Aps essa longa instalao" vamos configurar o &lamA4. 'ele vamos editar o arquivo freshclam.conf para a atuali ao correr sempre bem. >dite o arquivo *etc*freshclam.conf para ficar assim 0comente a linha que tenha escrito >%ample1:

.atabase.irector( .atabase/$ner .N1.atabase2n'o .atabase3irror .atabase3irror 3a&Attempts chec%s

"*ar"db"clama* 0clama* current.c*d.clama*.net db.it.clama*.net database.clama*.net 4 2#

Salve e saia" depois crie o arquivo de log: # touch /!ar/log/freshclam#log # chow &clama! /!ar/log/freshclam#log > agora faa a atuali ao: # freshclam Adicione no crontab com o comando :cronta" $e: a seguinte linha: M +D M M M *usr*local*bin*freshclam N*dev*null +NOC Assim todos os dias Ps +Dh ele vai e%ecutar o programa de atuali ao das assinaturas de v)rus e tudo mais. >nto assim vai se manter atuali ado. Agora edite o arquivo /etc/clamd.conf para ficar da seguinte forma:

.atabase.irector(

"*ar"db"clama*

Local1oc%et 5ser

"*ar"clama*"clamd.soc%et 0clama*

5aa o mesmo procedimento para a criao do arquivo de log do &lamd que foi feito com o freshclam: # touch /!ar/log/clamd#log # chow &clama! /!ar/log/clamd#log Adicione as seguintes linhas ao arquivo /etc/rc.local para que o clamd se2a iniciali ado no boot do servidor: if F 7% *usr*local*sbin*clamd HQ then echo 7n R clamdR F 7S *var*clamav*clamd.socket H OO rm 7f *var*clamav*clamd.socket *usr*local*sbin*clamd N*dev*null +NOC fi Agora vamos fa er a instalao do Squid&lamav. Antes de iniciar a instalao dele" vamos instalar o curl: # cd /usr/ports/net/curl # make install clean > tamb8m o gIak: # cd /usr/ports/lang/gawk # make install clean $orque o Squid&lamav precisa dele para ser instalado. 5aa o doInload dele em: http:**III.darold.net*pro2ects*squidclamav* # ftp http:**III.darold.net*pro2ects*squidclamav*squidclamav7,.?.tar.g Assim vamos descompact(7lo e instal(7lo" seguindo os passos. # # # # # # # # tar x!f squidclama!$+#,#tar#g cd squidclama!$+#, en! -./-'GS0$-/usr/local/li"/ C11/-'GS0$I/usr/local/include/ #/configure make make install cp squidclama!#conf#dist /etc/squidclama!#conf touch /!ar/log/squidclama!#log chown &squid /!ar/log/squidclama!#log

4amos agora fa er sua configurao editando o arquivo: # !i /etc/squidclama!#conf

/embrando que os bloqueios so feitos atrav8s de e%press!es regulares" usando os parSmetros rege% e rege%i" no qual o rege% 8 :case sensitive: e o rege%i no 8. $ara determinar que no se2a feito o scan usa7se o abort e aborti" na mesma questo anterior" o abort 8 sens)vel a mai6sculas e min6sculas e o aborti no. 4amos l( entoT Adicione as seguintes linhas:

#*eri'icando os se uintes ar6ui*os7 #independente de mai8sculas ou min8sculas re e&i 9.:;.e&e<

re re re re re

e&i e&i e&i e&i e&i

9.:;.com< 9.:;.)ip< 9.:;.rar< 9.:;.tar. )< 9.:;.t )<

# n=o *eri'icar os se uintes tipos de ar6ui*os aborti 9.:;. i'< aborti 9.:;.pn < aborti 9.:;.>p < aborti 9.:;.>pe < abort 9.:;.html< abort 9.:;.htm<
$odemos determinar tamb8m sites com carta branca para no serem verificados ao acessarem" ou se2a" nenhum conte6do bai%ado do determinado site ser( verificado por ele" por e%emplo: Ihitelist III.minhaempresa.com.br U poss)vel fa er a deteco baseado no tipo de conte6do" por e%emplo: content V.MapplicationW*.MX Tudo que for uma aplicao" se2a de v)deo" sIf" Iav" ser( varrido pelo clamav. As outras op!es so bem instintivas" apenas lembrando que 8 importante inserir no final do arquivo a seguinte linha: squidguard *usr*local*bin*squidGuard $ara que ele use o squidguard" pois no squid.conf ser( necess(rio alterar o parSmetro urlLreIriteLprogram para o seguinte valor: urlLreIriteLprogram *usr*local*bin*squidclamav #nsira tamb8m a seguinte linha: httpLaccess alloI localhost $ara que a verificao de v)rus possa funcionar o localhost precisa ter acesso para navegar. 9 squidclamav.conf deve ficar mais ou menos assim:

# in?cio do s6uid0ip s6uid0port lo 'ile redirect trust0cache timeout debu 'orce stat ma&redir clamd0ip clamd0port aborti aborti aborti aborti

ar6ui*o de con' 12@.0.0.1 412A "*ar"lo "s6uidclama*.lo http-""$$$.minhaempresa.com.br"*irus.php 1 60 0 1 0 10 12@.0.0.1 4410 9.:;"c i,bin;".:< 9.:;.pd'< 9.:;.html< 9.:;.css<

aborti re e&i re e&i re e&i content $hitelist s6uid uard

9.:;.&ml< 9.:;.e&e 9.:;.)ip 9.:;. ) 9.:application;".:< $$$.minhaempresa.com.br "usr"local"bin"s6uidBuard

7777777777777777777777777

'd2apper $ Instala)*o e configura)*o

4amos agora instalar o AdZapper de forma bem simples. ;ai%e ele na seguinte url:

http:**ad apper.sourceforge.net*YdoInload

# ftp http:**ad apper.sourceforge.net*ad ap7+??@?D?C.tar.g # tar x!f ad ap$3,,4,5,6#tar#g =e todos esses arquivos descompactados vamos precisar fa er o seguinte: C. &opiar os scripts para *usr*local*bin: # cd ad ap$3,,4,5,6/scripts/ # chmod 788 squid&redirect wrap ap apchain # cp squid&redirect wrap ap apchain /usr/local/"in/ +. $recisar de um servidor Apache para que possam ser hospedados o )cones que vo aparecer no lugar dos banners de propaganda. 'o caso vou dar o e%emplo de um servidor Ieb e%terno. # scp $r aps/ usuario9ser!idor#we"#com#"r:/!ar/www/icons/ $ronto" teoricamente estamos com a instalao do AdZapper conclu)da. Agora vamos partir para a configurao dele e do Squid. 4amos editar o script: Altere ou adicione de acordo com o descrito abai%o: # !i /usr/local/"in/wrap ap squidclamav[*usr*local*bin*squidclamav apper[*usr*local*bin*squidLredirect /embrando que estou usando o servidor Ieb para guardar os )cones. Se preferir" no altere" ele ir( buscar as imagens no servidor do ad ap" mas isso pode dei%ar a navegao um pouco lenta. $or isso 8 mais recomend(vel utili ar um servidor local. # 2'1&:'S;0http://www#minhaempresa#com#"r/icons/ aps # 2'1&:'S;&SS-0https://www#minhaempresa#com#"r/icons/ aps # exec /usr/local/"in/ apchain <= apper< <=squidclama!<