Kusprayitna Blogs

Hidup untuk berbagi ilmu :: IT Linux Windows Database Oracle PHP OpenSource

Pengaturan squid untuk hotspot UII

Posted by kusprayitna on March 29th, 2010

Instalasi cache server Squid di hotspot UII tidak berbeda dengan pengaturan squid pada umumnya.

Ini adalah fitur squid yang diinginkan:

  1. Hanya untuk cache saja
  2. Sebelum diinstall baracuda webfilter, squid dimanfaatkan untuk filtering

Konfigurasi squid yaitu :

acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443
acl Safe_ports port 80          # http
acl Safe_ports port 21          # ftp
acl Safe_ports port 443         # https
acl Safe_ports port 70          # gopher
acl Safe_ports port 210         # wais
acl Safe_ports port 1025-65535  # unregistered ports
acl Safe_ports port 280         # http-mgmt
acl Safe_ports port 488         # gss-http
acl Safe_ports port 591         # filemaker
acl Safe_ports port 777         # multiling http
acl CONNECT method CONNECT
http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
acl mywhitelist dstdom_regex -i "/etc/squid/whitelist.conf"
http_access allow mywhitelist
acl mywhitelistfile urlpath_regex -i "/etc/squid/whitelistfile.conf"
http_access allow mywhitelistfile
acl mycasino dstdom_regex -i "/etc/squid/casinosite.conf"
http_access deny mycasino
deny_info ERR_CASINO mycasino
acl mywarez dstdom_regex -i "/etc/squid/hacksite.conf"
http_access deny mywarez
deny_info ERR_HACK mywarez
acl myporn dstdom_regex -i "/etc/squid/pornsite.conf"
http_access deny myporn
deny_info ERR_PORNO myporn
acl mymallware dstdom_regex -i "/etc/squid/mallwaresite.conf"
http_access deny mymallware
deny_info ERR_MALLWARE mymallware
acl mybanner url_regex -i "/etc/squid/banner.conf"
http_access deny mybanner
deny_info ERR_BANNER mybanner

acl myfiles urlpath_regex -i "/etc/squid/badfiles.conf"
http_access deny myfiles
deny_info ERR_FILES myfiles
acl mylan src 192.168.0.0/24 192.168.1.0/24 192.168.2.0/24 192.168.3.0/24 192.168.4.0/24
http_access allow mylan
acl mycache src 192.168.110.0/24
http_access allow mycache
http_access allow localhost
http_access deny all
icp_access allow all
http_port 3128 transparent
hierarchy_stoplist cgi-bin ?
cache_mem 128 MB
maximum_object_size_in_memory 32 KB
cache_dir ufs /var/spool/squid 30000 16 256
maximum_object_size 8000 KB
access_log /var/log/squid/access.log squid
cache_log none
cache_store_log none
logfile_rotate 7
acl QUERY urlpath_regex cgi-bin \?
cache deny QUERY
refresh_pattern ^ftp:           1440    20%     10080
refresh_pattern ^gopher:        1440    0%      1440
refresh_pattern .               0       20%     4320
acl apache rep_header Server ^Apache
broken_vary_encoding allow apache
cache_mgr kusprayitna
mail_from squid_hotspot@uii.ac.id
httpd_suppress_version_string on
visible_hostname cache_hotspot.uii.ac.id
error_directory /usr/share/squid/errors/UII
coredump_dir /var/spool/squid

Manajemen filtering konten yaitu :

  1. Whitelist, digunakan untuk menangani pengecualian website yang boleh diakses . Terdiri dari dua jenis yaitu website dan URL
  2. Website yag diblok yaitu yang berkategori Casino, Warez, Porno dan Mallware
  3. File yang di blok yaitu file dengan extentsi .exe, akan tetapi kalau mencari di google file .exe tetap boleh
  4. Blok banner, mengikuti logika di AdBlock Plus add on yang ada di firefox.

# cat whitelist.conf
avg.com
grisoft.com
microsoft.com
uii.ac.id
adobe.com
shack

# cat whitelistfile.conf
smadav81.exe

# cat pornsite.conf
playboy.com
pornhub.com
japanpornsite.com
naughty.com
pichunter.com
porn.com
tiava.com
pornpaysites.net
xnxx.com
worldsex.com
rabbitsreviews.com
mikespornsitereviews.com
whatpornsite.com
xtube.com
persiankitty.com
paypornlist.net
youporn.com
adultreviews.com
89.com
pornsites.com
thebestporn.com
pornsitejunkie.com
xxx
sex.com

# cat mallwaresite.conf
0catch.com
247realmedia.com
adbureau.net
adgardener.com
adjuggler.com
adjuggler.net
adskape.ru
adtech.de
adtech.fr
advance.net
advertising.com
advertserve.com
asklots.com
axelsfun.com
bidsystem.com
bigmir.net
crwdcntrl.net
dynamic.dol.ru
erasercash.com
ezboard.com
hittail.com
hotwords.com.br
hpg.com.br
imgis.com
liveadvert.com
mochiads.com
richrelevance.com
g.ak.nbci.com
hotbar.com
3322.org
8866.org
a013.com
banner-count.com
exmasters.com
filter.oridianppc.com
internetserviceteam.com
miva.com
movcab.yi.org
p0rt2.com
pochta.ru
seekmo.com
smtp.ru
x0.nl
click-new-download.com
112.2o7.net
122.2o7.net
15x.net
51yes.com
adisn.com
alexametrics.com
axf8.net
bravenet.com
ccbill.com
checkm8.com
click.alertsweb.com
clickability.com
clickbank.net
clickintext.net
clickshield.net
clicktale.net
clickzs.com
cnzz.com
cqcounter.com
directtrack.com
extreme-dm.com
falkag.net
fastclick.net
gcion.com
gostats.com
hitbox.com
hopfeed.com
hotlog.ru
imrworldwide.com
insightexpressai.com
intellitxt.com
iperceptions.com
ivwbox.de
l2m.net
links.channelintelligence.com
liveperson.net
masterstats.com
maxserving.com
metriweb.be
misstrends.com
mycomputer.com
mystat-in.net
mylongtail.com
netlog.com
offermatica.com
omtrdc.net
openclick.com
opentracker.net
openx.net
openx.org
origin.channelintelligence.com
outster.com
overture.com
paycount.com
paypopup.com
rdr.channelintelligence.com
realtracker.com
ru4.com
sexcounter.com
sitemeter.com
sitestat.com
sitestats.com
sitetracker.com
smarttargetting.com
spylog.com
statcounter.com
superstats.com
toolbar.com
tradedoubler.com
trackalyzer.com
tribalfusion.com
vizu.com
x-traceur.com
xiti.com
zedo.com
blueseek.com
everesttech.net
gemius.pl
linkbucks.com
list.ru
mybeliefs.info
popunder.ru
primosearch.com
wegoodentertainment.info
wemfbox.ch
zango.com

# cat hacksite.conf
warez
crack
hack

# cat banner.conf
^http://img.ads.kompas.com/banner
^http://ads.
^http://ads1.
^http://ads2.
^http://ads3.
^http://ads4.
^http://ads5.
^http://ads6.

Ini adalah pengecualiannya:

Sebagai contoh dengan nama domain menhandung kata hack akan terblokir, akan tetapi website http://imageshacke.com/ ikut terblock, maka ini diperlukan untuk dimasukkan dalam pengecualian.

Demikian juga file update untuk antivirus AVG dan update windows dari microsoft.com walaupun exe boleh di download juga.

# cat whitelist.conf
avg.com
grisoft.com
microsoft.com
uii.ac.id
adobe.com
shack
software.yahoo.com

# cat whitelistfile.conf
smadav81.exe

Tahapan terakhir setup squid ini yaitu membuat error file yang sudah disesuaikan dengan pesan kesalaan saat filtering konten.

Folder pesan kesalahan ada di /usr/share/squid/errors/UII yang sebelumnya semua pesan kesalahan di /usr/share/squid/errors/English sudah disalin.

Buat pesan kesalahan dengan nama file (huruf tebal):
deny_info ERR_CASINO mycasino

deny_info ERR_HACK mywarez

deny_info ERR_PORNO myporn

deny_info ERR_MALLWARE mymallware

deny_info ERR_FILES myfiles

kelima file diatas diedit atau dicontoh dari file ERR_ACCESS_DENIED,  sebab pesan kesalahan yang diharapkan yaitu ketika membuka website yang dilarang akan diarahkan/diredirec ke halaman larangan dengan pesan yang sudah disesuaikan.

deny_info ERR_BANNER mybanner

Berbeda dengan pesan untuk banner, banner ini adalah iklan, sehingga apabila website misalnya kompas.com yang banyak berisi berita ketika dibuka diharapkan beritanya tudak muncul, sehingga pesan kesalahannya harus tidak ada atau kosong.

Untuk itu isi file ERR_BANNER yaitu :

# cat ERR_BANNER
<!-- Generated %T by %h (%s) -->

apabila hanya berisi kosongan maka akan muncul footer squidnya, untuk menghilangkan footer squid perlu ditulis seperti error message diatas.

7 Responses to “Pengaturan squid untuk hotspot UII”

  1. rantsa Says:

    bukannya dengan menggabungkan squidguard dengan squid udah lngsng ada database url yg negatif ya? jadi g perlu nulis satu2 alamat url negatif yg ingin di blok

  2. kusprayitna Says:

    Salam rantsa
    benar di squidguard sudah ada free database ur yang bisa dipakai.
    http://www.squidguard.org/blacklists.html
    Alhamdulillah ini sekarang disini sudah pakai baracuda webfilter.
    Makasih

  3. access_denied Says:

    deny_info bisa jalan di windows xp gak??

  4. Henry Hertz Hobbit Says:

    MyLongTail.com is now going through a redirector at IP address 216.240.187.175 that redirects to multiple parkers and can be removed. Make sure you do not block all of ChannelIntelligence.com - Content.ChannelIntelligence.com is used to provide real content. Actually, those are trackers. But Click.AlertsWeb.com was used to redirect to low order malware. I was trying to see if somebody other than the false parker Ruler-Domains.com was using it.

    Au Revoir

  5. sumodirjo Says:

    Ndak melakukan blocking di level DNS pak? buat blackhole dengan BIND atau dnsmasq?

  6. kusprayitna Says:

    Salam Sumodirjo
    Kita tidak bloking di level DNS sebab karena dengan pengguna dari berbagai disiplin ilmu maka harus lebih selektif sesuai pengguna.
    Saya akhirnya pakai squidGuard menggantikan baracuda webfilter, sebab dengan baracuda ketika mencapai koneksi diatas 350 sering macet, dan Alhamdulillah sudah 2 bulanan memakai squidGuard tidak ada masalah.
    Makasih

  7. farid Says:

    askkum
    pa saya mau nanya di bagian confg yang

    "acl mycache src 192.168.110.0/24
    http_access allow mycache"

    itu buat nyimpen cache di server squidnya ya

    soalnya saya lagi belajar nih pak 🙂

    trimakasih

Leave a Reply

XHTML: You can use these tags: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>