48505 Letture

Bloccare siti con Squid: ecco come impedire l'accesso ai siti Internet in modo sicuro e centralizzato

Per fare in modo che Squid operi come un proxy trasparente, è necessario tornare ancora una volta al prompt di Ubuntu Server e digitare quanto segue:

sudo nano /etc/squid3/squid.conf

Con la combinazione di tasti CTRL+W si potrà andare alla ricerca della stringa http_port 3128.
Alla fine di tale linea bisognerà aggiungere il parametro transparent:

Al solito, le combinazioni di tasti CTRL+O e CTRL+X permetteranno di salvare e chiudere il file di configurazione.

La modifica successiva può essere apportata digitando il comando seguente:
sudo nano /etc/rc.local


All'interno del file rc.local è indispensabile che figuri quanto segue:

iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
exit 0


Le combinazioni di tasti CTRL+O e CTRL+X permetteranno di salvare e chiudere il file di configurazione.

Infine, bisognerà digitare il comando seguente:

sudo nano /etc/sysctl.conf

Con la combinazione di tasti CTRL+W si potrà andare alla ricerca della stringa Net.ipv4.ip_forward.
Una volta individuata bisognerà togliere il segno # (il cancelletto) che la precede. Analoga operazione dovrà essere effettuata sulla successiva Net.ipv6.conf.all.forwarding.

Ancora una volta, CTRL+O e CTRL+X permetteranno di salvare e chiudere il file di configurazione.

È giunto il momento di riavviare la macchina Linux con il comando sudo reboot.

Installazione del server DHCP

Per fare in modo che i client possano connettersi direttamente alla macchina Ubuntu Server equipaggiata col proxy Squid, senza la necessità di impostare manualmente gli IP corretti, si potrà accedere nuovamente al pannello di amministrazione di Webmin (http://192.168.1.100:10000) quindi selezionare la voce DHCP Server dalla sezione Un-used Modules.

Qui, bisognerà poi cliccare su Click here in modo tale da richiedere il download e l'installazione automatica del server DHCP.

Ad installazione avvenuta, sempre da DHCP Server, è necessario cliccare sul link DHCP module configuration e togliere il numero "3" da tutti i percorsi ottenendo quanto in figura:

Dal menù principale del DHCP Server, è quindi necessario cliccare sul link Add a new subnet:

In corrispondenza di Subnet description va indicato lan, 10.0.2.0 nel campo Network address, 10.0.2.101 e 10.0.2.255 in Address ranges, 255.255.255.0 come Subnet mask.

Dopo aver fatto clic sul pulsante Create, si dovrà cliccare sull'icona 10.0.2.0:

Cliccando sul pulsante Edit client options si potranno specificare i server DNS da comunicare dinamicamente ai client via a via connessi (DNS servers).

Cliccando su Save ed ancora su Save bisognerà infine cliccare sul pulsante Edit Client Options in basso.
Qui bisognerà eliminare l'indicazione example.org ed i server DNS preimpostati (vanno selezionare le opzioni Default).
È tutto pronto! Suggeriamo di effettuare un reboot della macchina Linux.


Tutte le macchine della rete locale connesse sulla seconda interfaccia (10.0.2.x), dovrebbero così ricevere un IP dal server DHCP di Ubuntu.
In Windows, è possibile servirsi dei comandi ipconfig /release e ipconfig /renew dal prompt per richiedere un nuovo indirizzo IP.
Digitando ipconfig /all è possibile verificare se Ubuntu Server ha fornito un IP ed i server DNS da utilizzare:

Il comando TRACERT www.google.it ben evidenzia come le richieste di connessione transitino attraverso il proxy server Squid (IP 10.0.2.100) e solo successivamente passino attraverso il router ADSL (IP 192.168.1.1):

Da qualunque macchina connessa alla rete locale, usando un qualsiasi browser, ogniqualvolta si proverà a connettersi con Facebook si riceverà il messaggio seguente:

Agendo sulle ACL di Squid, sempre dal pannello di amministrazione web, sarà possibile aggiungere una vasta schiera di regole. Si potranno bloccare siti web basandosi sull'indirizzo mnemonico, sull'IP oppure, addirittura, impedire l'uso di specifici browser dalla rete locale (Browser Regexp). Basterà indicare il corrispondente user agent o parte di esso.

  1. Avatar
    baddy
    26/04/2014 16.49.12
    Problema! dopo l'installazione, in webmin non compare sotto il menu server la voce squid proxy server....
    Come fare?
  2. Avatar
    nullo
    07/06/2013 11.13.20
    Nessuno sà aiutarmi ? :(
  3. Avatar
    nullo
    05/06/2013 11.41.40
    Ho un problema..... non riesco a navigare dal client..... dando ipconfig infatti non mi "prende" come Gateway predefinito il proxy (10.0.2.100).....
Bloccare siti con Squid: ecco come impedire l'accesso ai siti Internet in modo sicuro e centralizzato - IlSoftware.it - pag. 5