Меню Рубрики

Squidguard аналог для windows

Есть ли аналог SAMS (Squid Account Management System)?

Хорошего аналога нет. Sams1 работает со Squid, а Sams2 работает со Squid3. Мануал у них достаточно обширный, так что собрать и настроить не составит особого труда. Несколько лет использую, очень удобная вещь. Минус, что не развивается, но по сути оно допилено до рабочего состояния, так что когда разберешься, пользоваться одно удовольствие.

Либо же ставить отдельную биллинг систему не основанную на Squide.

Зачем SAMS?
Реальный кейс расскажу.

Анализаторов логов сквида в репозитории любого дистрибутива — с десяток.
прикрутить squid к LDAP’у или через samba к MS Active Directory делов на 10 минут из которых 80% времени samba+ squid будут качаться, ну или собираться, если это gentoo/freebsd какие.

Настроить десяток групп пользователй в AD с разными скоростями доступа к сети, доступом к разным ресурсам и обьяснить сквиду, что юзеры из группы Domain Administrator и Top Management могут всё и везде на максимальной скорости, users могут ходить на три сайта партнёров, hr дополнительно могут хоть на сайты хидхантинга и социалки, а вот той группе грузчиков и кассиров интернеты вообще не нужны — делов еще на 10 минут.

После чего настраивается лог анализатор и ротация логов и на виртуалку со сквидом админы ходить перестают вообще.

Так у меня работало в компании, задолго настроенной до меня ИТ инфраструктуре еще чуть ли не 6 FreeBSD году так в 2005-6м. Учитывая, что прокси сервер вместе с asterisk’ом был один и кормил интернетом и sip все офисы компании по всему миру и почти по всем континентам, штук 30 в общем подсчёте. И да, настройки сквида менялись только если нужны были новые настройки acl, всё остальное рулилось из AD.

Источник

Аналоги Squid

Squid — это кеширующий прокси для Интернета, поддерживающий HTTP, HTTPS, FTP и многое другое. Он уменьшает пропускную способность и сокращает время отклика за счет кэширования и повторного использования часто запрашиваемых веб-страниц. Squid обладает широким контролем доступа и является отличным ускорителем сервера.

Альтернативы для Squid

Privoxy — это веб-прокси с расширенными возможностями фильтрации для повышения конфиденциальности.

Privoxy — это веб-прокси с расширенными возможностями фильтрации для повышения конфиденциальности, изменения данных веб-страницы, контроля доступа и удаления рекламы и других неприятных нежелательных сообщений в Интернете. Privoxy имеет гибкую конфигурацию и может быть настроен в соответствии с индивидуальными потребностями и вкусами. Он имеет приложение как для автономных систем, так и для пользовательских сетей.

Небольшой и быстрый кеширующий веб-прокси (веб-кеш, HTTP-прокси, прокси-сервер).

Polipo можно использовать вместо фильтрующих рекламу прокси-серверов, улучшающих конфиденциальность, таких как Junkbuster, Privoxy или WWWOFFLE. Поскольку у Polipo гораздо более усовершенствованная поддержка HTTP, он не облагается налогом на скорость, обычно связанным с такими прокси.

Хотите поделиться интернет-соединением? Подключить каждый компьютер к сети через одно подключение к интернету?.

  • Условно бесплатная Windows

Хотите поделиться интернет-соединением? Подключить каждый компьютер к сети через одно подключение к интернету? Максимизировать эффективность вашего доступа в интернет при ограниченном бюджете? Мы вам поможем! Загрузите CCProxy, небольшую программу для обмена интернетом! Она предоставит вам экономически эффективное решение для совместного использования интернета без потери удобства использования и душевного спокойствия.

3Proxy — это кроссплатформенный (Win32/Win64 и Unix), небольшой, бесплатный прокси-сервер.

  • Бесплатная Windows Mac OS

Бесплатный прокси-сервер 3Proxy — это действительно крошечный кроссплатформенный (Win32/Win64 и Unix) бесплатный прокси-сервер. Он включает HTTP-прокси с поддержкой HTTPS и FTP, SOCKSv4/SOCKSv4.5/SOCKSv5 прокси (socks/socks.exe), POP3-прокси, SMTP-прокси, AIM/ICQ-прокси (icqpr/icqpr.exe), MSN Messenger/Live Messenger Proxy (msnpr/msnpr.exe), FTP-прокси, кэширующий DNS-прокси, TCP и UDP.

WinGate Proxy Server — это высокопроизводительный интегрированный прокси-сервер, брандмауэр и сервер электронной почты.

  • Условно бесплатная Windows

WinGate Proxy Server — это высокопроизводительный интегрированный прокси-сервер, брандмауэр и сервер электронной почты, предназначенный для контроля доступа, обеспечения безопасности и связи. То, что вы получаете, это все возможности стандартной лицензии для 3 одновременно работающих пользователей.

Что в этом списке?

С помощью пользователей мы собираем каталог похожих друг на друга программ, чтобы вы могли подобрать альтернативу и скачать их. На сайте можно скачать популярные программы для Windows, Mac Os, Android и iPhone

Источник

To-do: Фильтруем вся и всё

Данная статья представляет из себя скорее более FAQ, чем полноценный мануал. Впрочем, многое уже написано на хабре и для того присутствует поиск по тегам. Смысла переписывать всё заново большого нет.

В последнее время наше государство, к счастью или не к счастью, принялась за интернет и его содержимое.
Многие, несомненно, скажут что нарушаются права, свободы и т.п. Конечно, думаю мало у кого возникнуть сомнения по поводу того, что то что придуманные законы сделаны мало понимающими людьми в деле интернетов, да и основная их цель это не защита нас от того, что там есть. Будучи ответственным человеком да подгоняемый и прокурорами в некоторых учреждениях, встаёт вопрос ограничения поступающей информации. К таким учреждениям, к примеру, относятся школы, детсады, университеты и т.п. им учреждения. Да и бизнесу то-же надо заботится об информационной безопасности.
И первый наш пункт на пути к локальному контент фильтру-это

Анализ того, что такое есть интернет и как он работает.

Не для кого не секрет, что 99 процентов интернета-это http. Далее известно, что у каждого сайта есть имя, содержания страницы, url, ip адрес. Известно, также, что на одном ip может сидеть несколько сайтов, как и наоборот. Так-же, url адреса могут быть как динамичны, так и постоянны.
А то, что записано на страничке, то написано. Отсюда делаем выводы, что сайты можно мониторить по:

  1. Имени сайта
  2. url страницы
  3. По содержанию написанного на страничке сайта
  4. По ip адресу.

Далее, весь контент в интернете можно разделить на три группы:

  1. Это плохое
  2. Это неизвестное
  3. Это хорошее.

И отсюда вытекает два идеологических пути:

  1. Разрешаем только то, что хорошее и запрещаем плохое и неизвестное. Данный путь носит название — БООЛЬШОЙ(а бывает и маленький) Белый список
  2. Разрешаем только то, что хорошее и неизвестное. Запрещаем только плохое. Данный путь носит гордое имя Чёрный список.

Ну и конечно между двумя этими путями существует золотая середина-запрещаем плохое, разрешаем хорошее, а неизвестное анализируем и в режиме онлайн выносим решение-плохо или хорошо.

Cредства их осуществления.

Тут опять два пути:

  • Берём готовое решение.

Такие решения тоже бывают 3 видов-платные, бесплатные, ограниченные(пока не дашь денежку).

Платные решения-это аппаратные(тобишь коробка с неизвестно чем, но делающая своё дело), аппаратно-программные(это то-же коробка, но уже с полноценной ос и соответствующими приложениями) и программные.
Бесплатные решения-это только программные. Но бывают и исключения, но это как раз тот случай, подтверждающий правило.
К платным относятся такие, как Kaspersky антивирус соответствующего функционала, ideco.ru, netpolice, kerio и т.п. Найти их легко, ибо их хорошо рекламируют и достаточно в строке поиска ввести что-то вроде — контентный фильтр купить.
Бесплатные решения имеют один недостаток-они всё сразу делать не умеют. найти их затруднительнее. Но вот их список: PfSense, SmoothWall(бывает двух видов-платный и бесплатный. Бесплатный немного не функционален), UntangleGateway, Endian Firewall(тоже есть платный и бесплатный), IPCOP, Vyatta, ebox platform, Comixwall(Чудное решение. Можете скачать с моего сайта 93.190.205.100/main/moya-biblioteka/comixwall). Все данные решения обладают одним недостатком — ограниченность.

  • Делаем всё руками.

Данный путь самый трудный, но самый и гибкий. Позволяет сотворить всё, что душа пожелает(в том числе и лазейку).
Тут есть великое множество компонентом. Но самые мощные и нужные это-

  1. Squid.Без прокси ни куда.
  2. Dansguardian. Это сердце всего контентного фильтра. Единственный ему бесплатный соперник(не считая его форков)-это POESIA фильтр(но он очень дремуч).
  3. DNS сервер Bind.
  4. Clamav. Антивирус.
  5. Squidguard, режик и им подобные редиректоры для прокси.
  6. Squidclamav.
  7. Sslstrip. Эта утилита делает из зашифрованного https трафика, расшифрованный http трафик.
    www.thoughtcrime.org/software/sslstrip. Аналоги ей прокси-сервер flipper и charly proxy. Но работают аналоги на Windows. А второй платен. Но кому надо, то можно и wine развернуть.
  8. Чёрные списки. Данные списки можно взять с www.shallalist.de (1,7 миллионов сайтов), www.urlblacklist.com (а именно версию big с более чем 10 миллионами сайтов), www.digincore.com (около 4 миллионов), списки режика.
  9. Белые списки. Тут всё очень туго. Единственный нормальный(значит-большой) русскоязычный список можно получить от лиги безопасного интернета, и то только в качестве proxy лиги безопасного интернета или программы www.ligainternet.ru/encyclopedia-of-security/parents-and-teachers/parents-and-teachers-detail.php?ID=532. Кстати в связи с digest авторизацией на прокси лиги, данный прокси не подцепить к squid. Если кто знает как подцепить в качестве родительского прокси, прокси сервер с digest аутентификацией, прошу сообщить.
  10. DNS списки. Тут есть два известный варианта. Первый-это skydns фильтр www.skydns.ru.
    Второй-это yandex dns dns.yandex.ru.
    Skydns более функционален, в отличии от яндекса.

Где происходит фильтрация.

Возможны следующие варианты:

  1. На компьютерах пользователя без централизованного управления, в качестве системного компонента или приложения.
  2. То-же, что и первое, но с централизованным управлением(как пример KASPERSKY ADMINISTRATION KIT).
  3. Компонент к браузеру. Есть для хрома и лиса соответствующие плагины
  4. На отдельном компьютере или кластере компьютеров(включая вариант-на шлюзе).
  5. Распределёнка.

1 и 2, 3 варианты с точки зрения быстроты фильтрации-самые быстрые при массовом использовании сети.
С точки зрения трудозатрат, 1 и 3-самые трудозатратные.
С точки зрения надёжности не обхода фильтрации пользователем, то 4-первое место.
5 вариант-мечта. Но его нет нигде.

Теперь следующий вопрос:

Надёжность фильтрации.

Думаю, ясно. Защиту нужно делать многоуровневой, ибо то, что просочится на одном уровне защиты, перекроется другим уровнем.

Давайте поговорим о

О недостатках уровней защиты.

  • Списки

Интернет-это постоянно и главное-очень быстро меняющаяся среда. Понятно, что наши списки будут не поспевать за интернетом, а уж тем более если мы их будем вести руками. Потому участвуйте в сообществах составления списков и используйте не только файлы со списками, но и сервисами списков, где всё сделают за нас(пример — skydns и yandex).
Да и список не гарантирует того, что на какой-то страничке написано что-то не то, а сам сайт полностью белый и пушистый.
Используйте несколько списков. Что не попало в один, может попало в другой.
К программам, работающим по спискам относятся Netpolice(http://netpolice.ru), цензор(http://icensor.ru/), Traffic Inspector для школ(http://www.smart-soft.ru/ru ) и др. Обычно программы, умеющие делать лексический разбор, умеют работать и по спискам.
Цензор имеет старенькую базу от 2008 года. Но бесплатен во всем. Netpolice существует множество версий и есть бесплатная, но урезанная.
И не забываем-ни чёрные, ни белые списки не смогут вас оградить на 100%. На то способен только лексический анализ.

  • Анализ на вирусы.

Тут главная проблема-антивирусные базы. Опять же, один антивирус на шлюзе, другой-на рабочем месте.

  • Анализ содержания написанного на страничке.

Тут главная проблема — лексический разбор текста. На искусственный разум, понятно, денег нет ни у кого, потому используют базу слов и выражений с весовым коэффициентом. Чем меньше база-тем менее эффективна фильтрация, но и чем больше база, тем более она эффективна, но и трудозатратна. К примеру, разбор произведения Жюль Верна Таинственный остров с lib.ru занимает 8 секунд с моей базой и dansguardian(core2duo 2,66). Да и базу надо где-то взять. Нормальную базу мне пришлось делать самому, чем с вами и делюсь 93.190.205.100/main/dlya-dansguardian/spiski/view.

Возможность обхода пользователем контентной фильтрации.

Вопрос-производительность.

Тут более или менее всё ясно-больше памяти, больше герц, больше кэша. И очень полезно для тех, у кого мощности маленькие, использовать оптимизацию по CFLAGS. Это позволяют делать все линуксы и фряхи, но особо удобны gentoo, calculate linux, slackware, freebsd.
У кого многоядерные процессоры, то используйте OPEMNP(dansguardian пригодный для оного можете взять у меня 93.190.205.100/main/dlya-dansguardian. Кстати, в нём-же исправлена ошибка с невозможностью загрузки данных в интернет.) CFLAGS=»-fopenmp». LDFLAGS=»-lgomp». Не забудьте включить -O3 -mfpmath=sse+387. Про автопатчинг здесь.

Вопрос-иерархия кэшей и прокси.

Если у вас много компьютеров и вы имеете возможность использовать несколько в качестве фильтрации, то делайте так. На одном ставите прокси сервер squid и указываете на нём параметры родительских кэшей с параметром round-robin(http://habrahabr.ru/post/28063/). В качестве родительских на каждом конкретном компьютере выступает выступает dansguardian со squid в связке(ибо без вышестоящего dansguardian не умеет). Вышестоящие располагаются на тех-же компьютерах, на которых располагаются и dansguardians. Для вышестоящих большой кэш не имеет смысла делать, а для первого-обязательно самый большой кэш. Даже если у вас одна машина, то на ней всё-равно делайте связку squid1->dansguardian->squid2->провайдер с таким-же распределением кэширования. На dansguardian не возлагайте ничего, кроме анализа написанного на страницах, перерисовки контента, заголовков и некоторых url, блокировки mime типов. Не в коем случае не вешайте на него антивирус и чёрные листы, иначе будут тормоза.

Анализ по спискам пусть будут делать squid1 и squid2.
Проверку на вирусы пусть будет делать squidclamav через c-icap на squid2. Белые списки вешаем на squid1.
Всё, что в белом списке, должно идти напрямую в интернет, минуя родительские прокси.

DNS сервер обязательно используем свой, в котором используем перенаправление на skydns или dns от yandex. Если есть локальные ресурсы провайдера, то добавляем зону forward на dns провайдера. Так-же в dns сервере прописываем локальную зону для нужных внутрисетевых ресурсов(а что-бы было красиво, они нужны). Указываем nosslsearch поиска google. В конфигах squid обязательно используем свой dns.
Для всего используем вебку Webmin и командную строчку. На windows серверах всё делаем через мышку.

Настройка локальной сети

  1. Используйте аутентификацию по ip адресам. Если вы не «серьёзная» организация, доступ с обязательным логинированием ни к чему.
  2. Используйте логически разделённые сети в одной сплошной физической сети. IP адреса выдавайте по MAC адресам. Запрещайте коннект на порт прокси-сервера при несовпадении MAC адреса машины с присвоенному данному MAC адресу, IP адреса.
  3. Настройте iptables таким образом, чтобы обращения на любые порты(3128, 80, 80, 3130, 443) шло через порт прокси сервера.
  4. Настройте автоматическую настройку прокси-сервера в сети через dns и dhcp. www.lissyara.su/articles/freebsd/trivia/proxy_auto_configuration
  5. Группы и уровень фильтрации делайте по ip адресу.
  6. Можно настроить прокси в настройках браузера.

К нам идёт проверка.

В данном случае-все ползунки в максимум.
Дополнительно-запрещаем все видеосайты, контакт, социальные сети, музыкальные порталы, файлообменники и файлообменные сети.
Запрещаем mp3.
Ставим галочку напротив безопасного поиска в личном кабинете SKYDNS.
Обязательно приводим в порядок документацию.

Источник

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

  • Squid прокси сервер windows
  • Squid под windows настройка
  • Squid анализатор логов под windows
  • Squashfs tools for windows
  • Squarehome key launcher windows style