Advanced Proxy

Pierwszym dodatkiem dla IPCopa, który chciałbym Wam polecić to Advanced Proxy, znacznie rozszerzający możliwości wbudowanego serwera proxy. Dzięki niemu zyskujemy takie funkcje jak:

1. Autoryzacja użytkowników

Mamy do dyspozycji pięć rodzai autoryzacji tj. lokalną (zakładamy konta dla każdego użytkownika, który aby uzyskać dostęp do internetu przez proxy musi się zalogować), identd (do autoryzacji potrzebny jest daemon lub usługa po stronie klienta, ident daemon jest dostępny pod Linux’em, by używać tej metody pod Windows’em, należy ściągnąć np. tego klienta), LDAP (autoryzacja odbywa się poprzez usługę katalogową, może to być Active Directory (gdzie serwer działa pod kontrolą Windows 2000 lub 2003), Novel eDirectory (NetWare 5.x i 6.x), LDAP v2 i v3 (OpenLDAP); można zdefiniować którzy użytkownicy/grupy mają mieć dostęp a którzy nie), autoryzacja Windows (metoda ta wykorzystuje istniejącą domenę do autoryzacji, kontrolerem domeny może być Windows NT, 2000 lub 2003 oraz Samba 2.x lub 3.x Server działający w trybie kontrolera domeny), Radius (oczywiście do autoryzacji wykorzystywany jest serwer RADIUS).

2. Kontrola portów

Możemy zdefiniować, które porty będą dozwolone, osobno dla zwykłych połączeń i połączeń zabezpieczonych SSL.

3. Restrykcje

Mamy możliwość określenia, w jakich dniach i w których godzinach użytkownicy mogą korzystać z proxy, ponadto można ustawić limity transferu (max download i upload), zdefiniować przeglądarki (lub niektóre popularne programy internetowe np. Google Earth czy GetRight), których można używać, jest także filtr typów MIME. Nie brakuje także możliwości określenia, które komputery nie podlegają ograniczeniom, a które nie mają całkowicie dostępu, można to zrobić po adresach IP lub MAC. Niestety nie możemy zdefiniowania, które ograniczenia chcemy zdjąć dla danego komputera, musimy zdjąć wszystkie.

4. Logi

Mamy możliwość włączenia dziennika logów, który pozwoli na rejestrowanie komputerów które mają dostęp do internetu, będziemy mogli zobaczyć np. kto na jakie strony www wchodzi 😀

5. Classroom Extensions

Jest to ciekawe rozszerzenie AdvProxy, które przy standardowej instalacji się nie instaluje (patrz niżej Instalacja), a daje nam możliwość stworzenia kilku grup komputerów (na podstawie pojedynczych IP, zakresów IP, adresów podsieci, adresów MAC), którym można dowolnie zezwalać i zabraniać dostępu do stron, z poziomu przeglądarki www, nie logując się przy tym do panelu administracyjnego IPCop’a, ma ono własny mechanizm zarządzania i autoryzacji (hasło oraz zdefiniowane komputery, z których można zarządzać). Po odłączeniu komputery w grupie otrzymują komunikat Access Denied, przy czym jest możliwość stworzenia osobnego komunikatu, który będzie się pojawiał, wystarczy dodać plik o nazwie ERR_ACCESS_DISABLED do /usr/lib/squid/advproxy/errors/language/<Język> lub /usr/lib/squid/advproxy/errors.ipcop/language/<Język>, katalog zależy od ustawienia „Error messages design”. Treść pliku powinna mieć postać html, przykładowy plik znajduje się w paczce z advproxy w katalogu errors.

6. Inne, w tym: zaawansowana kontrola cache’u, definiowanie języka i wyglądu komunikatów błędów (można je także edytować).

Instalacja

W skrócie tylko napiszę jak zainstalować: wystarczy wgrać plik z advproxy na serwer np. przez SSH, polecam program WinSCP, następnie rozpakowujemy archiwum tar –xzf ipcop-advproxy-nr_wersji.tar.gz i instalujemy poleceniem ipcop-advproxy/install lub jeżeli chcemy zainstalować z dodatkiem Classroom ipcop-advproxy/install cre

Dodatek można pobrać ze strony autora: http://www.advproxy.net, dostępny jest też tam obszerny manual, dlatego nie będę w tym wpisie koncentrował się na sposobach konfiguracji Advproxy, gdyż tam jest to bardzo dobrze wyjaśnione. Na w/w stronie znajdują się jeszcze inne ciekawe dodatki o których napiszę kolejnym razem.

Filtrowanie po adresach MAC

Dzięki zastosowaniu Advproxy, można w bardzo łatwy sposób uzyskać filtr MAC, dzięki któremu tylko te komputery będą miały dostęp do stron www, których adres MAC będzie na liście. W tym celu wystarczy ustawić w Time restrictions, access na block, zaznaczyć wszystkie dni tygodnia od godziny 00:00 do 24:00, a następnie w Unrestricted MAC wpisać te adresy których właściciele mogą korzystać z internetu. Oczywiście proxy musi być włączone na interfejsie zielonym oraz działać w trybie przeźroczystym (Transparent on Green), co sprawi, że wszyscy będą korzystali z proxy automatycznie (bez dodatkowej konfiguracji przeglądarek po stronie klienta). Gdy danego adresu nie będzie na liście w przeglądarce użytkownik otrzyma komunikat o dostępie zabronionym, komunikat ten możemy dowolnie edytować wystarczy zmienić plik ERR_ACCESS_DENIED znajdujący się w /usr/lib/squid/advproxy/errors/language/<Język> lub /usr/lib/squid/advproxy/errors.ipcop/language/<Język>, katalog zależy od ustawienia „Error messages design”. Myślę, że sposób ten może się przydać tym z Was, którzy nie chcą lub nie mogą korzystać z dodatkowych autoryzacji, ani z interfejsu niebieskiego IPCopa, który ma wbudowany filtr MAC. Filtrowanie może także odbywać się na podstawie adresów IP, tylko taki adres można łatwo zmienić jeżeli użytkownicy mają konta o uprawnieniach administratora na swoich komputerach, a adres MAC też oczywiście można zmienić, ale trzeba znać MAC komputera który ma dostęp i przeciętny użytkownik będzie miał z tym większy problem 🙂 Rozwiązanie te ma pewne wady, po pierwsze nie będzie można korzystać z restrykcji (patrz pkt. 3), gdyż wszystkie komputery będą na liście maszyn które nie są nimi objęte, po drugie, filtr dotyczy stron www (i usług korzystających z proxy), więc np. poczta e-mail przez Outlooka może działać! chodź z mojego punktu widzenia to niekoniecznie musi być wadą.

To by było na tyle w temacie Advanced Proxy, po więcej odsyłam do manual’a 😉