Názory k článku SQUID - Kešující proxy server (2)

Nemohl by autor zverejnit regexpy pro filtrovani pornografie? Rad bych pouzil podobne reseni a inspirace rozhodne neuskodi.
Kazdopadne filtrovani podle URL se mi zda v nekterych ohledech problematicke. Existuje spousta URL ktera projdou .
Nezna nekdo univerzalnejsi filtr?

Jirko, ja na tohle pouzivam http://www.squidguard.org, ma i vlastni databazi generovanou robotem, ale bez problemu si ji muze upravit (funguje jak filtrovani na url, domeny i "expressny").

Ja pouzivam pro filrovani squidguard http://www.squidguard.org. Take se da pouzit dansguardian http://www.dansguardian.org, ktery filtruje podle obsahu dokumentu.

Nechal som sa inspirovat vasimi listami o "squidGuard"-e ale mam problem:
kompilacia a instalovanie prebehne uspesne a ked ho spustim bez konfiguracneho suboru aj bezi, ale ked ho sputim s konf. suborom (zdroj konf. s originalnej stranky autora) program mi zahlasi chybu:
Unknown error 134522712
Segmentation fault
Pristupove prava (user/group)mam nastavene ako aj pre squida. Uz si tym neviem dat radi. Vedel by si mi pomoct?

Uz jsem to dlouho neupdatoval. Nicmene i neuplny seznam dokaze prohlizeni pornografie detem pekne zneprijemnit ;-)

regexi ^http://[^/]*porn.*
regexi ^http://[^/]*xxx.*
regexi ^http://[^/]*warez.*
regexi ^http://[^/]*sex.*
regexi ^http://[^/]*perver[sz].*
regexi ^http://[^/]*hardcore.*
regexi ^http://[^/]*bestiality.*
regexi ^http://[^/]*adult.*
regexi ^http://[^/]*fuck.*
regexi ^http://[^/]*pussy.*
regexi ^http://[^/]*slut.*
regexi ^http://[^/]*erotic.*
regexi ^http://[^/]*lol*ita.*
regexi ^http://[^/]*movie.*
regexi ^http://[^/]*olduvsen.cz.*
regexi ^http://[^/]*themanswebsite.com.*

Pro nase potreby to bohate staci - kdyz nekoho "pristihnem", seznam doplnime.

Pokud ale, jak nekdo radi nize, tohle vsechno dela squidguard, tim lepe ;-)

Filtrovani je v kazdem pripade odsouzenihodne. A to i kdyz je vedeno tzv. dobrou myslenkou. Neni ovsem nikde dano co to jsou ty tzv. dobre myslenky a tak zalezi na kazdem, jak si to vylozi a bohuzel to vede az tak daleko, ze takto se nekdo snazi odstrihnoun deti od internetu. Zvlast v pripade pornografie, ktera je naprosto neskodna. A to ze drogy nefiltrujete vam nevadi? A kdyz je budete filtrovat zajistite tak, ze neodfiltrujete i stranky s osvetlujici problematikou? U erotiky je to stejne tak. Fasismus vam nevadi? Jste pekni kokoti a s timhle pristupem jdete do prdele!

Nemusis se bat, jde filtrovat more veci, takze te mohu ubezpecit, ze stranky propagujici drogy taktez neni problem filtrovet.

K otazce osvety - pochybuji, ze stranky vysvetlujici solidne tuto problematiku budou umisteny na serveru, ktery je zameren na to, aby vydelal prave na tom fenomenu.

Pokud clovek pracuje v IT oddeleni, ktery ti dava prikazy, ze mas filtrovat internet, tak jejich narizeni musim plnit (a nebo nemusis a muzet jit jinam). Asi nechapes to, ze timto se muze snazit zamestnavatel eliminovat vetsi naklady souvisejici s tim, ze jeho zamestnanci nebou pracovat, ale budou serfovat na strankach, ktery jsou nevhodne. To, co je nevhodne vsak urcuje zase jenom zamestnavatel. A pokud se jedna o skolstvi - kolstvi jako system slouzi k vzdelavani a ne k uspokojovani potreb zaku/studentu, kteri nez aby si hledali referaty, tak se budou koukat na Pecka, stahovat videa atd......

Filtrovani rozhodne neni odsouzenihodne. Jinak k filtrovani by se melo snazit pouzivat i obsahova metadata ve strankach. Viz PICS http://www.w3.org/PICS/

Myslim si ze v pripade transparentniho proxy by nemela byt filtrovana ani reklama (natoz porno). Nikdy nevite jakou uplne nevinnou stranku se vam povede trefit nejakym tim regularnim vyrazem.<BR>
Podle mych zkusenosti se stejne erotika na internetu hleda dost spatne ... vetsina je placena.

Mas chabe skusenosti...

Kratkou, ale vystiznou poznamku o chabych zkusenostech mohu jen potvrdit. Tim, ze jsem na SQUIDu zakazal retezce typu sex, porn, lolita apod., se vyrazne zvysila propustnost linky. Samozrejme zakazat vsechny adresy se nikdy nepodari, ale vhodnou kombinaci filtru a redirectoru lze navstevnost techto mist vyrazne omezit. Navic jsou tato mista zdrojem samo se instalujicich vytacecu tel. linek, trojanu atd.

Raci nechte odfiltruji uplne nevinnou stranku, nez aby se deti (treba i nechte) divaly na pornografii. O tom jestli je pornografie neskodna, nebo neni se snad nemusime bavit. To resi nas pravni system!
Navic misto odfiltrovane stranky se zobrazi stranka s moji adresou a pokyny jak me kontaktovat, abych pripadne odfiltrovani nevinnych stranek napravil.

Mate nekdo zkusenosti s instalaci antiviru pro squid ?

Nekdy ke konci roku by melo vyjit AVG 7.0, ktere podle Grisoftu ma byt i pro linux. Teoreticky by se dalo nastavit i tak, aby to prohlizelo cache, atd. Pockej na konec roku a uvidis.

%s/opsn/volb
(opsna => volba atd...)

Nedavno jsem si nainstaloval squid na router pro malou sit. Nastavil jsem ho jako transparentni, vsechno krasne funguje. Ale ve chvili, kdy je plne zatizena linka (nekdo stahuje) trva nacitani stranek neuveritelne dlouho. Pokud nepouziju proxy, deli se traffic regulerne. Nekdo mi radil pouzit CBQ + SFQ, o coz jsem se neuspesne pokusil, nejak nemam napad, jak do pravidel zahrnout proxy. Vse, co jsem zatim vyzkousel nemelo vetsi efekt a ve chvili, kdy zacne nekdo stahovat, se jedna webova stranka nacita treba 5 minut. Nevi nekdo, jak to resit? Taky mi pripadne, ze tento "drobny detail" mel byt zminen v clanku. Domnivam se, ze pokud bych pouzil proxy server na jinem pocitaci nez na routeru, fungovalo by to bez problemu, to je vsak pro mne v tomto pripade zcela nevhodne reseni.

Toto je velky problem. Bud muzete nastavit QoS jeste pred squidem (ale pak pro uzivatele nebude zadna vyhoda tahat nakesovany dokument), nebo muzete pouzit squiduv vlastni QoS (Delay pools). Pak ale sikovny uzivatel muze snadno ziskat "dvojnasobnou" rychlost tim, ze vytizi svou pridelenou kapacitu ve squidu i mimo squid najednou.

Par podrobnosti o Delay pools je tady (ve slovencine):

http://www.linuxzone.cz/index.phtml?ids=4&idc=87

a nebo v originalni dokumentaci:

http://squid.visolve.com/squid24s1/delaypool.htm

Pozor - podpora Delay-pools nemusi byt ve vasi ditribuci do squidu zakompilovana -> rekompilace

Slo o transparentni proxy, tudiz obejit squida je dost problem. S delay pools jsem si dost dlouho hral a nechova se to moc pekne, uzivatele na to hodne nadavali. Rozhodne je oznaceni delay pools jako QoS silne odvazne ;-).

Tohle by asi bylo na delsi, ale jeslize mate (a mate!) moznost ve filtrech CBQ nastavovat pravidla podle libovolneho pole hlavicky, tak jedno z poli je i velikost. Pro to, aby bylo mozno spravne ladit pomery rychlosti, je treba si uvedomit, ze ovladate pouze odchozi pakety, tj. pri stahovani potvrzenky nebo zadosti. A kdyz prave tento "kanalek" priskrtite (tedy male pakety jdouci z Vasi site), omezite tim rychlost stahovani. A vedle pak muzete dat druhe pravidlo pro male pakety z Vaseho extreniho rozhrani, tedy pozadavky z sqid. Opacne zase velke pakety jsou typicke pro upload. Pomer rychlosti velke:male jsme u nas nastavovali 10:1. Tedy: chci-li, aby mi do firmy tekla data maximalni rychlosti 20Kbps, nastavim male pakety na 2Kbps a predpokladam, ze takto "ukapavajici" potvrzenky pribrzdi server na druhe strane. Naopak odchod nastavim pro velke pakety na 20Kbps a tim si zarucim, ze nikdo ode mne nedostane data rychleji. Toto deleni lze pochopitelne kombinovat s dalsim filtrovanim dle adresy ci portu, takze snadno oddelime svet site a squid, ale i jednotlive aplikace, pokud jsme schopni urcit jejich porty.

Docela dobry redirektor na blokovani reklamy:
http://phroggy.com/bannerfilter/

PS. Ostatne soudim, ze pevna velikost fontu na web stranka je prasarna.

i kdyz to nema se squidem co spolecneho tak by me celkem zajimalo jak na fw v iptablech nastavit/odfiltrovat kazza a podobne utility ...

staci sledovat traffic a uvidis kde co lieta
je dost userov co im je jedno aku urobia zataz a
stahuju co to da, takym treba klepnut po prstoch shaperom ;)

Jo jo... můžeš nebo může někdo podrobněji napsat jak to udělat? .. nejsem linux guru.. :)) Dik

Presmeroval jsem veskere pozadavky na port 80 na proxy podle clanku (iptables -t nat -A PREROUTING -p tcp --dport 80 -s vnitrni_sit -i
! vnejsi_interfejs -j REDIRECT --to-port squiduv_port) ... bohuzel mi vsak prestala fungovat autorizace pres ncsa_auth. Uzivatele mohou pristoupit na Internet bez nutnosti autorizace :-( Nevite nekdo kde by mohl byt problem? Priznavam se bez muceni ... v dokumentaci jsem moc nepatral ....

to protoze to squid v transparentnim rezimu neumi :-)