ADMIN 11/13 stellt die besten Lösungen vor und klärt, ob Browser-Plugins, Anonymisierer sowie Verschlüsselung wirklich helfen. Weitere Themen: Small ... (mehr)

Squid

Um nun alle gestarteten Instanzen von Privoxy und Tor auch verwenden zu können, soll der Squid-Proxy zum Einsatz kommen. Zunächst befreit der folgende Aufruf die Squid-Konfigurationsdatei von den unnötigen Kommentaren:

cd /etc/squid3 ; cp squid.conf squid.conf.BAK ; sed '/^$/d;/^#/d' -i squid.conf

Der Aufruf legt ein Backup der gut dokumentierten Konfigurationsdatei an, falls Sie die Funktion des ein oder anderen Parameters nochmal nachlesen wollen.

Damit die Clients in Ihrem Netz den Squid-Proxy nutzen dürfen, müssen Sie dies erlauben. Fügen Sie dazu eine ACL am Anfang der »squid.conf« hinzu:

acl myNetwork src 192.168.0.0/24

Hiermit wird das Objekt »myNetwork« mit dem Class-C-Netz 192.168.0.0 angelegt. Passen Sie das Netz entsprechend Ihrer Umgebung an. Das war aber nur die halbe Miete. Die entscheidende Zugriffsregel ( »http_access« ) fehlt noch. Fügen Sie dafür vor der Zeile »http_access deny all« die nachstehende Zeile ein:

http_access allow myNetwork

Last but not least müssen Sie Squid auch mitteilen, dass er die Internetinhalte über Privoxy abrufen soll. Fügen Sie dafür die Zeilen aus Listing 3 am Ende der »squid.conf« hinzu.

Listing 3

Squid-Konfiguration

 

Bevor Sie Squid nun starten, müssen Sie noch die Datei »/etc/hosts« anpassen. Da Squid seine Cache-Parents, also übergeordnete Caches, von denen er Inhalte abruft, nur über den Namen identifiziert und ein Name nur einmal vorkommen darf, wurde localhost im Beispiel durchnummeriert ( »cache_peer« in Listing 3 ). Fügen Sie also der Datei »/etc/hosts« die Zuordnungen aus Listing 4 hinzu. Starten Sie nun alle Dienste über die Init.d-Skripte – verwenden Sie nicht den »service« -Befehl aus dem Upstart-Paket, da dieser die veränderten Init.d-Skripte ignoriert.

Listing 4

No place like localhost

 

Nun müssen Sie Ihren Clients noch beibringen, dass sie den soeben eingerichteten anonymisierenden Proxy-Server verwenden. Unter Firefox öffnen Sie die Einstellungen ( »Bearbeiten | Einstellungen« ), wählen das Menü »Erweitert« und dort den Reiter »Netzwerk« aus. Dort angelangt können Sie über »Einstellungen ...« den Proxy-Server angeben. Verwenden Sie die IP-Adresse Ihres Proxies und als Port den Squid-Standard 3128.

Zunächst sollten Sie sicherstellen, dass Ihr Proxy-Server die Internetzugriffe nicht protokolliert. Was nützt die ganze Anonymisierung, wenn Ihr eigenes System trotzdem wieder alles aufzeichnet? Darüber hinaus sollten Sie sicherstellen, dass der Squid-Proxy Ihre interne IP-Adresse nicht nach außen versendet; darüber könnten Sie (mit ein paar Kniffen) dann doch wieder erkannt werden. Fügen Sie daher die Zeilen aus Listing 5 der Datei »/etc/squid3/squid.conf« hinzu. Per Default sollte der Squid zwar keinen X-Forwarded-For-Header erzeugen und auch kein »access.log« schreiben, aber sicher ist sicher.

Listing 5

Squid-Ergänzungen

 

Debugging

Da alle Logs deaktiviert sind, kann das Finden eines Fehlers zur Qual werden. Um Ihre Umgebung zu kontrollieren und auftretende Fehler aufzuspüren, müssen Sie das Logging aktivieren. Mittels »squid3 -k parse« prüft Squid die Konfiguration. Werden hier keine Fehler angezeigt, können Sie zur weiteren Fehlersuche das Logging aktivieren. Ändern Sie hierfür die Zeile »cache_access_log none« auf »cache_access_log /var/log/squid3/access.log« . Nach einem Neustart schreibt Squid alle Zugriffe in die angegebene Datei.

Um das Logging von Privoxy zu aktivieren, müssen Sie in allen Konfigurationsdateien den Parameter »debug« mit einem Wert größer als 1 setzen. Bei dem Wert 1 werden alle Zugriffe in der entsprechenden Datei protokolliert (zum Beispiel bei »config-1 /var/log/privoxy/logfile-1.log« ). Vergessen Sie nicht, das Logging nach der Fehlersuche wieder zu deaktivieren, da Ihre Anonymisierung sonst bereits bei Ihrem eigenen System aufhört.

comments powered by Disqus
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Ausgabe /2023