squidguard 1.5-beta mit 'DNS Blacklist'-Schalter

Anregungen & Feature Requests
Post Reply
User avatar
FischerM
Community Developer
Community Developer
Posts: 603
Joined: November 2nd, 2011, 12:28 pm

squidguard 1.5-beta mit 'DNS Blacklist'-Schalter

Post by FischerM » January 21st, 2017, 10:58 pm

Ahmt,

beim Stöbern, wo ev. noch Schaden angerichtet werden könnte ( ;) ), stieß ich durch Zufall auf den "!dnsbl"-Schalter vom 'squidguard':
Blocking against dns based blacklists

Attention: This feature requires squidGuard 1.5 or later or the dnsbl patch for squidGuard 1.4 provided by INL - http://www.inl.fr/.
If you want to use external dns based blacklists such as black.uribl.com for blocking you can use !dnsbl to dynamically check domain names against such services
Nachdem die 1.5-beta hier schon seit fast einem Jahr problemlos läuft, habe ich sie letztens für das 'next'-Build komplett neu gebaut und musste die "!dnsbl"-Option dann heute einfach mal testen. Die Implementierung war simpel, ein paar zusätzliche Zeilen in der 'urlfilter.cgi' und in den Sprachdateien reichten. Läuft.

Die DNS-Anfragen und die Zugriffszeiten gehen wie angekündigt damit natürlich etwas in die Höhe:
Be aware that this will raise several DNS requests every time squidGuard receives a request to filter. SquidGuard will not cache any DNS result, so make sure your DNS server does, and measure the performance impact before using this feature in production.
'unbound' gleicht das aber ganz gut aus:
Unbound is a validating, recursive, and caching DNS resolver.
Was mich wundert, wieso wurde das bisher nicht eingebaut, gibts da ev. Gründe dafür und hätte jemand außer mir Interesse, das mal zu testen?

Viele Grüße,
Matthias

5p9
Mentor
Mentor
Posts: 1677
Joined: May 1st, 2011, 3:27 pm

Re: squidguard 1.5-beta mit 'DNS Blacklist'-Schalter

Post by 5p9 » January 23rd, 2017, 7:45 am

Hi,

hört sich ja recht interessant an. Ist das eine Alternative zu: viewtopic.php?t=11144

VG, 5p9

User avatar
FischerM
Community Developer
Community Developer
Posts: 603
Joined: November 2nd, 2011, 12:28 pm

Re: squidguard 1.5-beta mit 'DNS Blacklist'-Schalter

Post by FischerM » January 23rd, 2017, 6:13 pm

Ahmt,

die Überlegung kam mir auch - das kann ich aber leider (noch) nicht beurteilen. Der neu übersetzte 'squidGuard' läuft erst seit zwei Tagen.

Ich weiß z.B. nicht genau - wäre noch zu testen oder herauszukriegen - wie umfangreich die "Blacklisten" von black.uribl.com sind und wie aktuell die sind.

Das Ganze ist außerdem nicht sehr transparent. Ich sehe zwar, dass DNS-mäßig was passiert (mehr Anfragen, wie angekündigt), aber im squidGuard-Protokoll tauchte bis jetzt kein zusätzlicher Eintrag auf, an dem ich z.B. sehen konnte, dass die (externen!) Listen von black.uribl.com in irgendeiner Form "gegriffen" haben. Oder ich treibe mich auf den falschen Seiten rum, wo eh nix geblockt wird. ;)

Es sollte immerhin mit relativ geringem Aufwand möglich sein, alternative Listen einzubinden. Ich habe erstmal nur den '!dnsbl'-Parameter per Anhakeln durch die GUI in die 'squidguard.conf' reingesetzt. Ist eine andere Blacklist als black.uribl.com gewünscht, setzt man die passende URL einfach hinter den !dnsbl-Eintrag - dann wird durch die Blacklist dieser anderen Seite gefiltert. Dies müsste per Textfeld oder Auswahlliste auch über die GUI machbar sein. Aber was da dann genau passiert - oder auch nicht - ist mir noch nicht so ganz klar.

Geschwindigkeitsverluste sind immerhin so gut wie nicht spürbar, das Caching vom 'unbound' federt wohl ziemlich viel ab.

Ich teste weiter...

Viele Grüße,
Matthias

User avatar
FischerM
Community Developer
Community Developer
Posts: 603
Joined: November 2nd, 2011, 12:28 pm

Re: squidguard 1.5-beta mit 'DNS Blacklist'-Schalter

Post by FischerM » January 29th, 2017, 12:11 pm

Hi,

nachdem vor zwei Tagen ein abendlicher (Teil-)Ausfall, kommentiert von zeitnahem, lautstarkem Protest aus der töchterlichen Etage auftrat, der nur durch einen 'squidGuard'-Neustart behoben werden konnte, habe ich die Option erstmal auf "Under review" gesetzt.

Ein merkwürdiger Effekt: Web-Seiten bauten sich garnicht oder nur noch teilweise auf, Mail etc. lief weiterhin. Keinerlei Eintrag in den (squid-, squidclamav-, squidGuard-, unbound-, Kernel-)Logs, nix zu sehen, nur 'privoxy' moserte wegen "DNS-failures" rum. Hm. Aha.

So ganz ausgereift scheint ist diese Option also noch nicht zu sein - vor allem stört mich, dass ich nix in den Logs gefunden habe. Wie gesagt: die Option liegt erstmal auf Eis, will sagen, wurde deaktiviert.

Hat ev. noch jemand getestet? Rückmeldungen? ::)

Gruß,
Matthias

User avatar
gocart
Posts: 408
Joined: December 16th, 2013, 4:43 pm
Location: Germany

Re: squidguard 1.5-beta mit 'DNS Blacklist'-Schalter

Post by gocart » January 29th, 2017, 2:25 pm

Hallo ihr beiden,

ich bin bin von SquidGuard wieder abgekommen. Seit unboud im IPFire ist habe ich mir dafür DNS-Blacklists gebaut:

Code: Select all

local-zone: "101com.com" redirect
local-data: "101com.com A 127.0.0.1"
Bzw. gibts die auch fertig zum runter laden wie die Adblock EasyList
Damit wird die Seite auch dann geblockt wenn Squid gar nicht genutzt wird. Um ehrlich zu sein habe ich überhaupt mit Unbound deswegen überhaupt angefangen. :)

Grüße, gocart

User avatar
FischerM
Community Developer
Community Developer
Posts: 603
Joined: November 2nd, 2011, 12:28 pm

Re: squidguard 1.5-beta mit 'DNS Blacklist'-Schalter

Post by FischerM » January 29th, 2017, 4:10 pm

Hallo, Du Einer, ;)

Yep, das geht natürlich auch ähnlich mit 'unbound'.

Die 'Easylist' und ein paar andere stecken hier im 'privoxy'. Den 'squid' könnte ich da auch weglassen, den braucht aber der 'squidclamav'.

Hätte mich allerdings mal gereizt, zu sehen, wie das der 'squidGuard' macht.
Zumindest der erste Versuch war bisher leider nicht überzeugend.

Gruß,
Matthias

User avatar
gocart
Posts: 408
Joined: December 16th, 2013, 4:43 pm
Location: Germany

Re: squidguard 1.5-beta mit 'DNS Blacklist'-Schalter

Post by gocart » January 29th, 2017, 6:09 pm

Hallo Matthias,

ich hab mir mal dein Privoxy Paket aus deinem Branch hochgefädelt. :o Wenn ich dich richtig verstanden habe kann ich da die Easylist einbauen ?! Wenn ja macht das plötzlich Sinn das Teil! Wie bau ich die ein ? ;) (Das Paket ist schon gebaut )

Grüßle, gocart

User avatar
FischerM
Community Developer
Community Developer
Posts: 603
Joined: November 2nd, 2011, 12:28 pm

Re: squidguard 1.5-beta mit 'DNS Blacklist'-Schalter

Post by FischerM » January 29th, 2017, 6:33 pm

Ahmt,

Guckst du hier.

Gruß,
Matthias

User avatar
gocart
Posts: 408
Joined: December 16th, 2013, 4:43 pm
Location: Germany

Re: squidguard 1.5-beta mit 'DNS Blacklist'-Schalter

Post by gocart » January 29th, 2017, 6:51 pm

Oh.... ich sehe du hast alle netten Sachen schon griffbereit... FanBoy, Easylist, Malwaredomains,Easyprivacy... schick schick schick... :) Hätt ich das ehr gewusst. :D Jetzt muss ich nur noch wissen wie das Funktioniert. Geht das ohne Squid? Hat das Ding ein Konfig-WebIF? Wie läuft die Kommunikation ? Portumleitung oder Unix Socket ?

Grüße, gocart

User avatar
FischerM
Community Developer
Community Developer
Posts: 603
Joined: November 2nd, 2011, 12:28 pm

Re: squidguard 1.5-beta mit 'DNS Blacklist'-Schalter

Post by FischerM » January 29th, 2017, 7:29 pm

Ahmt,

Ja - ...[ich] habe alle netten Sachen schon griffbereit... O0

Da steht - hoffe ich - alles, was Du wissen musst.

Das Skript hatte ich mal ins Forum gesetzt, aber die Resonanz bezüglich dieser Erweiterung hielt sich in Grenzen, deshalb habe ich es erstmal "reifen" lassen.

Läuft hier sehr problemlos und tut, was es soll.

Das ursprüngliche Skript wurde seit dem damaligen Posting ganz leicht überarbeitet, ich habe es vorhin neu hochgeladen und die Checksumme aktualisiert.

Hm. Welche Frage zuerst? ;)

Ohne 'squid' habe ich 'privoxy' noch nie eingesetzt - soll aber funktionieren. Vereinfacht ausgedrückt, läßt man den 'squid' weg und bringt dem jeweiligen Browser bei, zuerst bei 'privoxy' zu fragen. Aber die genaue Konfiguration habe ich jetzt nicht zur Hand, habe ich noch nie gemacht.

WebIf habe ich im Hinterkopf, aber noch nicht realisiert. Würde ich über den 'privoxy'-Eintrag in der 'squid'-GUI machen wollen (z.B. eine eigene 'privoxy'-GUI dahinterlegen), aber bisher noch keine Zeit dafür gehabt.

Kommunikation zwischen 'squid' und 'privoxy'? Schau dir die letzten 'squid.conf'-Zeilen und die '/etc/privoxy/config' (gut kommentiert!) an - ist mehr oder weniger selbsterklärend. 'Privoxy' arbeitet quasi als vorgelagerter Proxy zum 'squid'.
Meine Empfehlung: unbedingt die 'privoxy'-Dokumentation durchlesen!

Gruß,
Matthias

User avatar
FischerM
Community Developer
Community Developer
Posts: 603
Joined: November 2nd, 2011, 12:28 pm

Re: squidguard 1.5-beta mit 'DNS Blacklist'-Schalter

Post by FischerM » March 18th, 2017, 9:57 pm

Ahmt,

@gocart:
Wo es mir in anderem Zusammenhang gerade in den Sinn kommt: hast du das 'privoxy'-Skript zwischendurch mal getestet?

Erfahrungen?

Viele Grüße,
Matthias

Post Reply

Who is online

Users browsing this forum: No registered users and 1 guest