PfSense – “SquidGuard” URL filtrələmə

Salam, Əziz Dostlar. “PfSense” haqqında olan ilk məqaləmizdə funksionallığını artırmaq üçün bir çox paketlərdən istifadə edəcəyimizdən bəhs etmişdik. Sonuncu dəfə isə “Squid” qurduq və tənzimləmələrini həyata keçirdik. Bu məqaləmizdə isə “URL” filtrələmə üçün istifadə edəcəyimiz “SquidGuard” paketindən və tənzimləmələrindən bəhs edəcəyik. “SquidGuard” filtrələmə sahəsində bizə xeyli imkan təqdim etməkdədir.

Sistemimizdə qurulmuş olan paketlərə nəzər salaq. (System->Packages)

SquidGuard1

Gördüyümüz kimi “Squid3-dev” və “SquidGuard-squid3” paketləri qurulmuşdur. “Squid” tənzimləmələrimizi həyata keçirdiyimizə görə “SquidGuard“-a nəzər yetirək.

SquidGuard2

 

Bunun üçün “Services->Proxy filter” yolunu izləyirik.

SquidGuard3

İlk olaraq “General settings” bölümünə nəzər yetirək.  “SquidGuard“-ın işlək vəziyyətdə olması üçün “Enable” qutucuğu işarələnməlidir. Digər tərəfdən “SquidGuard” tənzimləmələrində edilən hər bir dəyişiklikdən sonra tətbiq olunması üçün “Apply” düyməsi kliklənməlidir.

İlkin tənzimləmələrdə də bu iki xüsusiyyəti sona saxlayırıq. İlk olaraq “LDAP options” bölümündən “Active Directory” ilə inteqrasiyanı təmin edə bilərik.

SquidGuard4

Loglama üçün “Logging options” bölümündən şəkildə göstərmiş olduğumuz hissələr işarələnməlidir.

Blacklist options” bölümü bizə kateqoriyalarda köməkci olacaq bir hissədi. İlk olaraq “Blacklist” qutucuğu işarələnir və “URL” sahəsinə “http://www.shallalist.de/Downloads/shallalist.tar.gz” keçidi əlavə olunur. Bu o deməkdir ki, “SquidGuard” bəzi səhifə kateqotiyalarını (hansı ki zərərli ola biləcək) göstərmiş olduğumuz keçiddən yükləyəcək. “Save” deyirik. Və yuxarıda göstərmiş olduğumuz şəkildə, “Enable” qutucuğunu işarələyib “Apply” düyməsini sıxırıq.

Onu da xatırladaq ki, “SquidGuard” default olaraq bütün trafiki bloklamaqdadır. “Common ACL” başlığı altından da bunun şahidi ola bilərik.

SquidGuard5

Gördüyümüz kimi  “Default access (all)deny olaraq işarələnmişdir. Filtrələmə zamanı bu bölmə ilə bir o qədər də işimiz olmayacaq. “Common ACL” başlığı altında bütün istifadəçilərə tətbiq olunacaq yalnız bir qayda mövcuddur. Ya Hərkəsə hər şeyi icazə verəcəyik və ya bloklayacağıq, ya da istədiyimiz kateqoriyaları tətbiq edəcəyik. Əslində bu qayda “deny” olaraq qala bilər. Çünki biz bütün istifadəçiləri “Group ACL” başlığı altında xüsusi qruplara ayırıb qayda tətbiq edəcəyik. Yəni burada olunacaq dəyişikliklər sadəcə Sizin tələblərinizdən asılıdır.

İstənilən istifadəçi kompüterində internet çıxışını test etsək nəticə aşağıdakı kimi olacaq.

SquidGuard6

Şəkildən də göründüyü kimi “default” qaydaya uyğun olaraq bütün trafik bloklanmışdır.

Mən default qayda üzərində heç bir dəyişiklik etmədən davam edəcəm. (Əslində yeni başlayanlar üçün SquidGuard bir az qarışıq mövzudur)

Qeyd: Bu məqalədə test üçün yalnız bir qayda yaradacağıq. Bu vəziyyətdə “SquidGuard” tənzimləmələri sadə görünə bilər. Ancaq qayda sayı artdıqca daha qarışıq vəziyyət alacaqdır. Buna görə də bütün qaydalarımıza mütləq “Description” (açıqlama) əlavə etməliyik ki, irəlidə qarışıqlıqla üzləşməyək .

İndi isə “General settings” bölümündə göstərdiyimiz keçiddən kateqoriyaları yükləyək.

Bunun üçün “Blacklist” başlığı altına keçirik. “Blacklist Update” başlığı qarşısında əlavə etdiyimiz keçid görünməkdədir. “Download” deyərək yükləməni başladırıq.

SquidGuard7

Blacklist update complete” bildirişi ilə yükləməmiz tamamlanmış olur. Artıq hazır kateqoriyalar əsasında qaydalar yaradaraq istifadəçilərə tətbiq edə bilərik.

İndi isə Öz tələblərimizə uyğun bir kateqoriya yaradaq. “Target categories” bölümü bunun üçün nəzərdə tutulmuşdur.

SquidGuard9

İlk əvvəl kateqoriyamıza ad təyin edirik. Bu kateqoyida bəzi istifadəçilərə qadağa tətbiq edəcəyimiz səhifələr toplanacağı üçün adını “Block_Sites” təyin etdik. “Domain List” sahəsində hansı domainlərin qadağa olunacağını aralarında boşluq buraxaraq daxil edirik.  “URL List” sahəsində də istəyə uyğun olaraq hər hansı bir və ya bir neçə  url göstərilə bilər. Şəkildən də göründüyü kimi biz “facebook, youtube və technet” səhifələrini bloklamaq istəyirik.

SquidGuard9.1

Regular Expression” sahəsində daxil edəcəyimiz sözlər istifadə olunan səhifələr bloklanacaq. Bizim seçimimizə görə “game, video və s.” sözlər istifadə olunmuşdur.

Redirect mode” xəta səhifəsinin yönləndirilməsi zamanı istifadə oluna bilər. Bu seçimə uyğun olaraq “Redirect” sahəsinə “url və ya mesaj” daxil olunmalıdır. “Description” bölümünə açıqlama əlavə edə bilərik. “Log” qutucuğunu işarələyərək loglamanı aktiv edirik. “Save” deyərək tənzimləmələrimizi yadda saxlayırıq.

Növbə yetdi bu qaydamızın tətbiq olunacağı istifadəçi qrupunu yaratmağa və qaydamızı tətbiq etməyə.

Group ACL” bölümünə daxil oluruq.

SquidGuard10

İstəyə uyğun olaraq ad təyin edirik. Biz “Deny_Group” seçdik.

Əgər bir neçə qaydamız varsa, bu qaydaların hansının daha üstün olduğunu “Order” seçimi ilə təyin edə bilərik.

Client (source)” bölümünə bu qrup altına yığacağımız istifadəçilərin IP ünvalarını daxil edirik. Şəkildən də göründüyü kimi Biz iki istifadəçimizə qadağa tətbiq edəcəyik.

Time” bölünüdə əvvəlcədən yaratmış olduğumuz zaman dilimlərindən seçim edə bilərik. Bu zaman dilimi qaydamızın tətbiq olunacağı zamandır. Yuxarı menudan “Times” bölümünə keçid edərək zaman aralıqlarımızı yarada bilərik. Əgər qaydamızın hər zaman aktiv olmağını istəyiriksə “none” seçimi ilə davam edirik.

Gəldik əsas məsələyə, “Target Rules“.

Target Rules List (click here)” düyməsini sıxaraq kateqoriyalarımızı görünən hala salırıq.

SquidGuard11

Blacklist” başlığı altında yüklədiyimiz kateqoriyalarla yanaşı, ən üstdə “Target categories” başlığı altında yaratmış olduğumuz “Block_Sites” kateqoriyası da görünməkdədir.

Sadəlik üçün Biz bu iki istifadəçiyə bütün internet trafikini açırıq, ancaq öz yaratdığımız kateqoriyanı “deny” işarələyərək qadağan edirik:

[Block_Sites] – deny

Default access [all] – allow

Bu seçimimizə əsasən IP ünvanlarını qeyd etdiyimiz bu iki istifadəçi üçün “facebook, youtube və technet” səhifələri, həmçinin tərkibində “game, video və s.” kəlimələr olan səhifələr qadağan olunmalıdır.

SquidGuard11.1

 

Do not allow IP-Addresses in URL” – qutucuğu istifadəçilərin browser üzərində IP ünvan istifadə etmələrini əngəlləyər.

Use SafeSearch engine” – böyüklər üçün olan səhifələrdən əsasən azyaşlıları qorumaq üçün qutucuq işərələnsə yaxşı olar.

Description” bölümünə açıqlama daxil edə bilərik. Loglama üçün isə “Log” qutucuğu işarələnməlidir.

Bu qaydalarla əlaqədar loglara yuxarı menudam “Log” başlığı altında baxa bilərik.

Save” deyərək qaydamızı yaratmış oluruq.

Qaydamızın tətbiq olunması üçün “General settings” bölümündən “Apply” düyməsi sıxılmalıdır.

Qadağa tətbiq etdiyimiz istifadəçi komputerində yoxlayaq.

SquidGuard12

Və gördüyümüz kimi qaydamıza əsasən technet.az səhifəsi bloklanmışdır. Və qadağa səhifəsində də hansı qayda və kateqoriya əsasında qadağan olunduğu göstərilməkdədir.

Bəs “facebook və youtube“? Nəzər salaq:

SquidGuard13

Bu günlük bu qədər, Əziz Dostlar. Gələcək məqalələrdə görüşmək ümidi ilə.

Səs: +40. Bəyənilsin Zəifdir

Müəllif: Röyal Əmrahov

Şərhlər ( 4 )

  1. Röyal bəy,

    Gözəl məqalələr üçün çox təşəkkürlər. Çox səlis və oxunaqlı yazılan məqalələrdəndir.

    Bu yaxınlarda sənin məqalələrinlə test üçün quracam, istifadəsində narahatçılıq olmasa, şirkətdə müəyyən bir bölmələrə tətbiq edəcəm.

    Təşəkkürlər.

    • Gözəl fikirlərinizə görə təşəkkürlər, Elvin bəy. Ümidvaram ki, heç bir narahatçılıq olmaz. Uğurlar Sizə. 

  2. Salam Röyal bəy,

    PfSense çox gözəl məhsuldur. Bu mövzuya aid silsilə məqalələrə görə təşəkkür edirəm!) Çox maraqlıdır)

Şərh yazın