PieroV » Informatica ‒ Pagina 85

Squid come proxy trasparente

Piero 09/07/2010 10:52

Ecco una guida su come usare il server proxy/cache in modalità trasparente con controllo di clamav e dansguardian.

Articolo rilasciato sotto licenza GNU FDL 1.3.

Le interfacce di rete usate sono eth0 come interfaccia per la rete esterna. In questo caso ha IP statico (10.0.2.15) ma può avere anche IP dinamico. La rete tra le macchine che devono essere dietro il proxy è eth1 e ha indirizzo IP statico (192.168.56.10). Se qualcuno ha confidenza con virtualbox si accorgerà che quisti sono i suoi tipici IP.

Per la guida userò debian ma qualunque distro andrà bene, basta cambiare il gestore di pacchetti.

Installiamo squid, clamav e dansguardian.

apt-get install squid clamav clamav-daemon clamav-freshclam dansguardian

Per prima cosa configuriamo squid.

Il file di configurazione l’ho preso da FaberLibertatis.org.

Spostiamo il file di configurazione originale con mv /etc/squid/squid.conf /etc/squid/squid.conf.default e ora facciamone uno noi salvandolo su /etc/squid/squid.conf

# File: squid.conf
# Autore originale Stefano Sasso (ste A dscnet PUNTO org)
# File preso da http://faberlibertatis.org/wiki/Squid_Mini_HOWTO

# TAG: http_port : la posta in cui squid resta in ascolto
http_port 192.168.56.10:3128 transparent # Cambiare col vostro IP

# TAG: visible_hostname : il nome host che verrà visto
visible_hostname proxy.miodominio.com

# TAG: cache_mgr : l'email dell'amministratore della cache
cache_mgr root@miodominio.com

# ACL: access control list : non deve tenere in cache le pagine dinamiche
acl CGI urlpath_regex cgi-bin ?
acl ASP urlpath_regex asp ?
acl PHP urlpath_regex php ?
acl JSP urlpath_regex jsp ?
no_cache deny CGI ASP PHP JSP

# TAG: cache_mem : la ram utilizzata dalla cache; per avere prestazioni ottimali
# dovrebbe essere 1/4 della ram del sistema
cache_mem 128 MB

# TAG: cache_dir : la directory dove deve venir memorizzata la cache
# il primo numero si riferisce alla dimensione della cache in Mb
cache_dir ufs /var/spool/squid 500 16 256

# TAG: cache_access_log : il file di log per gli accessi
cache_access_log /var/log/squid/access.log

# TAG: cache_log : i log della cache
cache_log /var/log/squid/cache.log

# TAG: cache_store_log : i log di storage
cache_store_log /var/log/squid/store.log

# TAG: emulate_httpd_log : scrive i log in una forma più leggibile
emulate_httpd_log on

# TAG: mime_table : il file di configurazione per i tipi MIME
mime_table /usr/share/squid/mime.conf

# TAG: dns_nameservers : i/il nostro/i DNS
dns_nameservers 127.0.0.1 192.168.0.14 192.168.0.196

# ACL generali
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.0/255.255.255.0
acl SSL_ports port 443 563
acl Safe_ports 80 81 21 443 563 70 210 1025-65535
acl CONNECT method CONNECT

# ACL per l'accesso alla cache dalla/e nostra/e rete/i
acl mynet1 src 192.168.0.0/255.255.255.0 # Cambiatela con la vostra rete/netmask
#acl mynet2 src 10.0.0.0/255.0.0.0  #Eventuali altre reti
#acl mynet3 src 192.168.10.0/255.255.255.0

# Le regole per l'accesso alla cache e a internet
http_access allow localhost
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow mynet1
#http_access allow mynet2
#http_access allow mynet3
# Ora neghiamo tutto ciò che non è concesso esplicitamente
http_access deny all

icp_access allow localhost
icp_access allow mynet1
#icp_access allow mynet2
#icp_access allow mynet3
icp_access deny all
miss_access allow localhost
miss_access allow mynet1
#miss_access allow mynet2
#miss_access allow mynet3
miss_access deny all

# squid.conf END

ClamAV è già a posto, invece dansguardian ha bisogno di quattro modifiche. … [Leggi il resto]

Informatica
#iptables #Proxy #Squid #Dans Guardian #ClamAV #Linux

Come fare uno screenshot su Linux senza dover intervenire

Piero 08/07/2010 20:19

Può essere necessario a volte dover fare uno screenshot senza dover dare l’ok al computer.

Sembra una cavolata ma in realtà tipo l’utility di gnome gnome-screenshot non te lo lascia fare.

Basta usare imagemagick così: import -window root mio_file.ext con al posto di ext per esempio png o jpg perché il programma vi riconosce da solo in base all’esntensione il formato.

Se si vuole aggiungere un ritardo, basta usare per esempio il comando sleep: sleep 5; import -window root immagine.png

Informatica
#Grafica #X.Org #Screenshot #ImageMagick #Automatizzazione #Linux

Dottk Updater v1.0

Piero 28/06/2010 16:55

Ho creato uno script che permette di usare Dot Tk come un servizio di dns per IP dinamici (come DynDNS e No-Ip).

Gli unici requisiti che ha lo script è che si usi il Dot Tk Free DNS Service e che ci sia almeno un dominio di tipo A.

Lo script esegue il login al my.dot.tk, quindi va nella pagina dei siti, cerca il link per modificare il dominio interessato, quindi controlla se l’indirizzo IP del campo A omonimo al dominio - o di tutti i campi A a proprio gusto - è uguale all’indirizzo IP in uso che ricava da una pagina web. In caso di esito negativo, lo sostituisce e poi salva. Per fare il tutto ho dovuto usare l’analisi dell’HTML della pagina.

È scritto in Python e rilasciato secondo licenza GNU GPLv2.

È molto semplice da usare, soprattutto per Linux visto che ogni distribuzione praticamente include python.

Occorre scaricare il file dottk_updater_v1.0.py e modificare l’ultima riga con email di registrazione a dot tk, password di dot tk, e il dominio che si vuole aggiornare con un qualsiasi editor di testo semplice o meglio ancora con un editor apposta per python. … [Leggi il resto]

Informatica, Progetti, Altri Progetti
#Python #DHCP #HTML Parser #Dot.Tk

Blocchiamo Facebook dal router

Piero 27/06/2010 09:33

Aggiornamento (4/7/2010): sono stati aggiornati gli indirizzi IP perché sembra che il blocco non funzioni del tutto.

Facebook è un social network che sta andando molto di moda.

Ci sono molti facebook-dipendenti e se una cosa la dice faccia di libro (lo so che sarebbe libro di faccia) allora è verita.

Perfetto. Se non siamo dipendenti, blocchiamolo dal router!

È necessario avere l’accesso a un terminale su router (esempio telnet o ssh) e che il router sia basato su linux quindi abbia iptables.

Troviamo tutti gli indirizzi ip di facebook con il comando host:

$ host facebook.com
facebook.com has address 69.63.189.16
facebook.com has address 69.63.181.11
facebook.com has address 69.63.181.12
facebook.com has address 69.63.189.11
facebook.com mail is handled by 10 mx.snc1.tfbnw.net.
facebook.com mail is handled by 10 mx.sf2p.tfbnw.net.

$ host www.facebook.com
www.facebook.com has address 66.220.147.44

$ host it.facebook.com
it.facebook.com is an alias for www.facebook.com.
www.facebook.com has address 66.220.147.11

Eccoli qui. Ora possiamo bloccarli, ecco come fare (da root del router):

iptables -I FORWARD -d 69.63.181.11 -j DROP
iptables -I FORWARD -d 69.63.181.12 -j DROP
iptables -I FORWARD -d 69.63.187.17 -j DROP
iptables -I FORWARD -d 69.63.187.19 -j DROP
iptables -I FORWARD -d 69.63.184.142 -j DROP
iptables -I FORWARD -d 69.63.189.11 -j DROP
iptables -I FORWARD -d 69.63.189.16 -j DROP
iptables -I FORWARD -d 69.63.189.34 -j DROP
iptables -I FORWARD -d 66.220.146.25 -j DROP
iptables -I FORWARD -d 66.220.147.2 -j DROP
iptables -I FORWARD -d 66.220.147.11 -j DROP
iptables -I FORWARD -d 66.220.147.21 -j DROP
iptables -I FORWARD -d 66.220.147.22 -j DROP
iptables -I FORWARD -d 66.220.147.33 -j DROP
iptables -I FORWARD -d 66.220.147.44 -j DROP
iptables -I FORWARD -d 66.220.153.19 -j DROP

Ecco fatto. … [Leggi il resto]

Informatica
#Router #Facebook #iptables #Firewall

Nuovo firmware per WII

Piero 27/06/2010 08:41

Ho appena scoperto andando per forum di un nuovo firmware per wii, il 4.3

In realtà è solo un anti-pirateria e dello shop, perciò non aggiorno.

Anzi, io sono già al 4.2 e quando uscirà un gioco col 4.3 riuscirò magari a evitare i brick col save mii free.

Una raccomandazione: se avete anche voi la consolle bianchiccia (o nera se fate quelli che se la tirano con l’edizione limitata) non aggiornate.

Informatica
#Aggiornamento #Firmware #Wii #Waninkoko #Brick