Squid3 Proxy Server einrichten

Installationsbeispiel für Squid3 Proxy Version 3.4.8 unter Debian.

1. Squid3 Proxy installieren

apt-get update && apt-get install squid3

2. Standart Config sichern

cp /etc/squid3/squid.conf /etc/squid3/squid.conf.old

3. Config leeren und öffnen

> /etc/squid3/squid.conf && nano /etc/squid3/squid.conf

Den letzten Befehl nur beim ersten Mal ausführen, da ja die Config jedesmal geleert wird!
Ansonsten sollte man die Datei ganz normal öffnen!

nano /etc/squid3/squid.conf

4. Folgendes einfügen!


##Minimale Squid3 Config

#Standartregeln (sollten unverändert bleiben)
https_access allow localhost

#Benutzer1
acl myvpn src 10.0.0.0/24
acl whitelist dstdomain "/etc/squid3/whitelist"
https_access allow myvpn whitelist

#Benutzer2
acl homenet src 192.168.0.0/24
acl homenet src fd00::/64
https_access allow homenet

#Alle anderen verbieten
https_access deny all

#Port bzw. nur auf eine IP:Port lauschen
#https_port [1.2.3.4]:3128
#https_port [127.0.0.1]:3128
#https_port [::1]:3128
https_port 3128

#Port bzw. nur auf eine IP:Port lauschen bei Transparenten Proxy
#https_port [1.2.3.4]:3128 transparent
#https_port 3128 transparent

#Externe IPv4 angeben, nur bei mehreren IPs!
#Oder besser gleich auf eine IP lauschen!
#tcp_outgoing_address [IP]

#access_log /var/log/squid3/access.log squid
via off
forwarded_for off

Der Localhost hat laut acl Zugriff über den Proxyserver ins Internet.
Die Regeln für Benutzer1 und 2 bedeuten dass jeder aus dem Netz 10.0.0.0/24, 192.168.0.0/24 und fd00::/64 über den Porxyserver ins Internet gehen darf.
Benutzer1 dürfen nur Domains, welche auch in der “whitelist” Datei eingetragen sind, an surfen. In die Datei einfach die gewünschten Domain untereinander eintragen.

Squid3 whitelist

Z.B:

.domain1.de
.domain2.com
.sub.domain.net

usw.
Wichtig ist der Punkt vor der Domain. Er bedeutet dass auch Subdomains mit einbezogen werden.

Alle anderen werden geweigert. Hier sollte man noch Anpassungen vornehmen. Die Regeln können auch komplett weggelassen werden, sodass nur noch der Localhost Zugriff hat.

Squid3 kann auch auf mehreren Ports lauschen. Man kann auch ein Port mit “transparent” einstellen und einen Port ohne, diese müssen nur unterschiedlich sein.

forwarded_for off schaltet das Mitsenden der Client IP ab, sodass beim Empfänger nur die Server IP sichtbar ist.
via off schaltet das Mitsenden des Versions String im HTTP_VIA Header ab.

Squid3 Externe IP Adresse

Wenn man auf eine spezielle IP lauscht, dann wird die auch als ausgehende IP benutzt. Macht Sinn bei Servern mit mehreren IPs.

Lässt man die Config so, hat man bei IPv4 und IPv6 Servern einen wunderbaren DualStack Zugriff ins Internet.
Mit einen Proxy auf einem Vserver lassen sich gut die teilweise schlechten Routen, von so manchen ISP, umgehen.

Anschließend startet man noch den Proxy neu. Nicht reloaden!

Check Also

OpenVPN im DualStack Betrieb

Wie man OpenVPN im DualStack IPv4/IPv6 parallel betreibt Mit der OpenVPN Version 2.4 und höher ...

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Lars Pilawski hat 4,74 von 5 Sternen 969 Bewertungen auf ProvenExpert.com