Eigentlich ganz simpel. Ich habe einen Squid Proxy erstellt und möchte den Zugriff auf bestimmte Dateitypen wie z.B. den Download von Mp3’s, Avi’s etc. verbieten. Durch die Access Control Lists die Squid verwendet, funktioniert dies sehr einfach.
Als erstes legen wir uns eine Datei an, in der wir die entsprechenden Dateitypen eintragen.
vi /etc/squid3/forbidden_filetypes.acl
Ich habe diese im Format:
\.[Aa][Vv][Ii]$ \.[Mm][Pp]3$
bei mir eingetragen. Speichern und fertig.
Nun öffnen wir die squid Config
vi /etc/squid3/squid.conf
Im Bereich der ACL’s fügen wir folgende Zeile hinzu:
acl forbidden_filetypes urlpath_regex "/etc/squid3/forbidden_filetypes.acl"
Damit wird eine Regel „forbidden_filetypes“ angelegt. Nun muss dieser Regel noch eine Aktion hinzugefügt werden (Zeile hinzufügen):
http_access deny forbidden_filetypes
Wenn man eine gesonderte Fehlermeldung für diese Regel anzeigen möchte kann man dafür eine neue Fehlerseite angeben: (Zeile hinzufügen)
deny_info ERR_BLOCKED_FILETYPE forbidden_filetypes
Nun muss man noch eine HTML Datei anlegen unter /usr/share/squid3/errors + gewünschter Sprache mit dem Namen: ERR_BLOCKED_FILETYPE
Anschließend noch die Config speichern und Squid neustarten. Das wars.
/etc/init.d/squid3 restart
Hallo Constey,
danke für das Howto, aber was machen, wenn man alle Dateitypen(bzw. Downloads) sperren und nur bestimmte freigeben möchte (z.B. PDF)?
Hast du dazu eine Idee?
Gruß
Marcel
Hi Marcel,
das wird prinzipiell schwierig, da squid ja nicht zwischen Download und normalen Surfen unterscheidet.
Was funktionieren würde wäre etwas wie:
acl whitelist urlpath_regex -i „/etc/squid/extra/filetypes“
http_access deny all !whitelist
Allerdings müsstest du sicherstellen, dass du in der Whitelist auch alle „normalen“ Dateitypen wie .html, .aspx, .png usw… freischalten. Da ist das Risiko etwas falsch zu blocken vermutlich höher als via eine Blacklist.
Alternativ könntest du noch die Dateigröße beschränken, das habe ich hier gefunden: http://www.mail-archive.com/squid-users@squid-cache.org/msg52281.html
Gruß
Constey