Hallo,
zur optimalen Funktionalität eines Proxyservers mit WebContent Filtering Funktionalität benötige ich eine doppelte Installation von Squid.
Dieser sollte mit zwei unterschiedlichen Prozessen laufen.
Wie habe ich hier vorzugehen?
Grüsse
Mullfreak

Nur damit ich es verstehe: was soll das bringen? Was ist daran optimale Funktionalität?
- Installiere Squid,
- installiere Squidguard,
- stelle in der squid.conf ein, wieviel Child-Prozesse du willst

und gut ist.

Ich verstehe das Problem nicht ganz.

Gruß

Hi,
es geht um folgendes:
Ich benötige einen Proxyserver mit Domänenauthentifizierung über NTLM, gruppenbasiert, einen Redirector wie SquidGuard und einen WebContent-Filter wie Dansguardian mit Antivirusintegration.
Da DG keine NTLM-Authentifizierung versteht, kann ich folgende Konfiguration nicht erstellen:
Internet --> DG --> Squid --> Client.
Hierzu müsste sich DG am Squid authentifizieren. Dies ist lt. DG nicht möglich. Auf der Homepage von DG und auch hier im Forum gibt es gute Workarounds. Hier wird folgende Konfiguration dargestellt:
Internet --> Squid1 --> DG --> Squid2 --> Client.
Dazu muss ich zwei unterschiedliche Squidprozesse haben. Dies soll auch möglich sein, ich weiß nur nicht wie.
Beide Squids müssen unabhängig voneinander konfigurierbar sein.

Die oben genannten Komponenten funktionieren alle für sich selbst zum jetzigen Zeitpunkt.

Bin für jeden Rat dankbar.

Grüsse
Mullfreak

Hallo,

ok, jetzt weiß ich zumindest welcher Sinn dahinter "versteckt" ist ;)

Mit Dansguardian habe ich noch nicht gearbeitet, ich habe auch nur einen Squid laufen, kann dir also keine direkte Lösung anbieten. Vielleicht hilft dir es aber trotzdem: squidguard kann auch als Filter eingesetzt werden. Ob das ganze so umfangreich ist wie dann bei Dansguardian, weiß ich allerdings nicht.

Zum Thema 2 Squids laufen lassen habe ich folgendes gefunden:

http://www.squid-cache.org/mail-archive/squid-users/200403/1019.html
Oder einfach nach "instance" auf der Homepage suchen.

HTH
Columbo

Hallo,
den SquidGuard haben wir jetzt im Einsatz und das Ergebnis ist nicht zufriedenstellend. Erstens rutschen noch gewisse Seiten durchs Netz, die in der Blacklist nicht vorhanden sind und zweitens hab ich bisher nur eine Antivirenlösung mit Surfprotect realisiert und dieser bricht immer den Dateidownload ab so ca. nach 5-10MB.
Ich schau jetzt mal das ich mit der Beschreibung aus dem Link klar komme.
Beschreibung lautet wie folgt:

The easiest way is to install them with different prefix. Then make sure
all instances specify different
- ports (or IP addresses)
- cache_dir
- logs
- etc...

Wie kann ich nun mit verschiedenen Prefix installieren. Das geht ja dann nur wenn ich den Squid selbst kompiliere. Oder?

Grüsse
Mullfreak

Wenn du verschiedene prefixe haben willst, würde das nur über den Weg kompilieren gehen, richtig.

Du kannst aber auch mal versuchen (am Beispiel Debian) /etc/init.d/squid nach /etc/init.d/squid2 zu kopieren und darin einstellen, dass eine andere .pid und eine andere config genommen werden soll.

Du musst dann beim einen Squid einstellen, dass er auf einen parent zurückgreift. Wegen der Blacklists, die nicht vollständig sind: Du kannst auch auf die täglich aktualisierten Listen von der Squidguard zurückgreifen. Hast du schon die "expressionlist" ausprobiert?

Nach einer proxy-basierende Antivirenlösung habe ich bisher nicht gesehen. Ich setze hier auf Virenscanner die lokal am PC installiert sind. Der Proxy kann https-Anfragen nicht scannen. Damit ich "sicher" bin, muss ich also trotzdem am Client scannen. Da ich das eh muss, schenke ich mir die Prüfung am Proxy. Ich habe aber gelesen, dass dies mit clamav oder amavis gemacht werden kann.

Gruß

Hi,
danke für Deine Hilfe.
Ich probiere jetzt mal die einfachere Lösung und werde mir zwei verschiedene Verzeichnisse für die Squids anlegen.
Also dann in etwa so:
Squid1:
/etc/squid/squid.conf
/var/log/squid/...
/etc/init.d/squid
/var/lib/cache/squid ...
Squid2:
/etc/squid1/squid1.conf
/var/log/squid1/...
/etc/init.d/squid1
/var/lib/cache/squid1

Dansguardian kann in einem unstable debian Paket mit integriertem ClamAV installiert werden. Diesen hab ich schon getestet und er funktioniert wunderbar. Wie Du aber schon beschrieben hast, nicht bei SSL Verbindungen. Wir verwenden aber eh noch auf den Server zwei unterschiedliche Virenprogramme und auf den Clients zusätzlich nochmal ein Antivirenprogramm. Der Proxy AV dient lediglich zur Absicherung und zur Bewahrung unseres Sicherheitskonzeptes mit mehreren Antivirenprogrammen.

Grüsse
Mullfreak

Einen sid-Rechner in einer Produktivumgebung? Naja, deine Sache ;)

Nur noch eins ist mir aufgefallen: Du kannst noch den Link /etc/rc2.d (oder andere runlevels) kopieren, damit der zweite Squid auch automatisch gestartet wird.

Gruß

Was ist ein sid-Rechner???

Gemeint ist vermutlich ein Debian Sid (Unstable) System.

Dansguardian kann in einem unstable debian Paket mit integriertem ClamAV installiert werden.

An der instabilen Distribution findet die aktive Entwicklung von Debian statt. Diese Distribution wird hauptsächlich von Entwicklern und Leuten genutzt, die immer den aktuellen Stand der Entwicklung wollen.

Die instabile Distribution ist Sid.

Wie Tomek schon sagte, meinte ich Debian unstable.

Hi tomek,
ich verwende Debian 3.1 stable. Dies allerdings nur zum testen.
Als Produktivsystem wird SuSE verwendet. Dies entspricht auch der Firmenrichtlinie. Was ich allerdings für eine Version verwenden soll, weiß ich noch nicht. Ich denke es wird 9.1 Prof. werden.
Was meinst Du dazu???

Grüsse
Mullfreak

Hmm, was soll ich dazu meinen? Verstehe ich jetzt nicht ganz...

Ich benutze kein SUSE Linux und kann dir daher keine Version empfehlen. Wenn es sich aber um einen Einsatz im Unternehmen handelt, sollte man über eine Enterprise-Version nachdenken.

Ja genau, das hab ich schon gemeint. Wir sind noch am überlegen was für Version wir verwenden sollen. Also SuSE oder Debian oder Red Hat usw.

Mullfreak