Squid und Dante Installation für Linux

From JonDonym Wiki
Jump to: navigation, search

En2.png De2.png   <- zurück | Übersicht | weiter ->

Contents

Installation des Squid3-Proxy (nur für Exit Mixe)

Der Squid-Proxy kann mit dem Paketmanager der verwendeten Distribution installiert werden. Es ist NICHT "squid" zu installieren, sondern die letzte, stabile Version "squid3". Für Testzwecke kann außerdem lynx isntalliert werden.

RedHat: yum install squid3 lynx

Nach der Installation ist der Squid erst einmal wieder zu stoppen und ein Backup der Original-Konfiguration anzulegen.

/etc/init.d/squid3 stop
cd /etc/squid3
mv squid.conf squid.conf.orig

Konfiguration ersetzen: Die default Konfiguration ist durch eine optimierte Konfigurationsdatei zu ersetzen und außerdem sollte die JonDonym Blockliste installiert werden. Die beiden nötigen Dateien finden sie im Unterverzeichnis misc/Linux der Sourcen. Es liegen zwei unterschiedliche Konfigurationen für kostenfreie und Premium-Exit-Mixe vor. Wählen sie die passende Konfiguration aus. Das Beispiel nutzt die Konfiguration für kostenfreie Dienste.

cd /home/mix/stable/misc/Linux
cp -f squid3.conf.free /etc/squid3/squid.conf
cp squid3-block.acl /etc/squid3/squid3-block.acl
touch /etc/squid3/squid-block.acl.local

Feste IP-Adresse für Exit Traffic: Wenn der Server mehrere IP-Adressen nutzt, ist in der Squid-Konfiguration eine feste IP-Adresse für den Exit-Traffic zu konfigurieren. Anderenfalls werden Nutzer Probleme mit der Mix-Kasakde haben, wenn sie Webseiten mit Überrpüfung der IP-Adresse haben (z.B. einige Foren). In der Squid-Konfiguration sind folgende Zeile passen und 123.123.123.123 durch die gewählte IPv4-Adresse zu ersetzen und 2000::1 durch die IPv6-Adresse:

tcp_outgoing_address 123.123.123.123 !to_ipv6
tcp_outgoing_address 2000::1 to_ipv6

Squid Fehlermeldungen: Die von JonDos GmbH bereitgestellte Squid3-Konfiguration ersetzt die Default-Fehlermeldungen von Squid durch speziell für JonDonym angepasste HTML-Seiten. Diese HTML-Seiten sind in den Mix-Sourcen enthalten, im Unterverzeichnis misc/squid-messages. Es ist notwendig, diese Fehlermeldungen zu nutzen. Wenn die Mix-Sourcen nicht im Verzeichnis /home/mix/stable liegen, ist die Squid-Konfiguration anzupassen. Die Variable error_directory in der squid.conf ist anzupassen.

error_directory /home/mix/stable/misc/squid-messages

Lokale Blockliste: Für Ergänzungen der Blockliste speziell für ihren Exit-Mix nutzen sie bitte die Datei /etc/squid/squid-block.acl.local. Diese Datei wird bie Updates nicht überschrieben. Sie wird in der squid.conf eingelesen und muss zumindest als leere Datei vorhanden sein. Eine leere Datei kann mit dem Befehl touch angelegt werden. Wenn Surfer die nur auf ihrer Kaskade blockierten Webseiten aufrufen, erhalten sie eine spezielle Fehlermeldung. Es wird darauf hingewiesen, dass diese Websites über andere Kaskaden erreichbar sind.

Squid3 startten: Dann kann der Squid3-Proxy wieder gestartet werden:

invoke-rc.d squid3 start

... und ein kleiner Test, ob er funktioniert.

http_proxy=http://127.0.0.1:3128; lynx http://www.anonymous-proxy-servers.net

Update der JonDonym Blockliste

Von Zeit zu Zeit wird die Blockliste aktualisiert. Betreiber von Webdiensten bitten JonDonym bei mehrfachem Missbrauch des Dienstes, den Zugriff auf ihre Webseite zu unterbinden. Sie werden über die Mix-Operator Mailingliste über Aktualisierungen informiert.

cd /home/mix/stable
svn update
cp -f misc/Linux/squid3-block.acl /etc/squid3/squid3-block.acl
invoke-rc.d squid reload


Installation des DNS-Servers bind9 (nur für Exit-Mixe)

Wir empfehlen für alle Exit-Mix-Server den DNS-Server bind9 zu installieren. Vor der Installation von bind9 sollte das Paket resolvconf installiert werden. Dann werden die DNS-Einstellungen des System beim Start von bind9 automatisch angepasst.

# aptitude install resolvconf
#aptitude install bind9

bind9 kann DNSSEC nutzen und hohe Sicherheit bei der DNS-Namensauflösung bieten. Wir haben eine entsprechende Konfiguration für bind9 Version >= 9.7 vorbereitet. Für Linux-Server enthalten die Mix-Sourcen im Unterverzeichnis misc/Linux vorbereitete Konfigurationsdateien für bind9. Die beiden Dateien named.conf.options und named.conf.keys sind nach /etc/bind zu kopieren, die Hauptkonfiguration named.conf ist anzupassen und anschließend ist der DNS-Server neu zu starten.

Die beiden zusätzliche Konfigurationdateien sind in der Hauptkonfiguration named.conf zu laden:

include "/etc/bind/named.conf.options";
include "/etc/bind/named.conf.keys";

Anschließen ist der Nameserver neu zu starten:

invoke-rc.d bind9 restart

Zum Prüfen der Konfiguration können sie das Programm dig aus dem Paket dnsutils nutzen. Die Domains isc.org oder wikileaks.de sind signiert und können für einen Test der DNSSEC Validierung genutzt werden.

# dig +dnssec isc.org
; <<>> DiG 9.7.2-P3 <<>> +dnssec isc.org
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 22729
;; flags: qr rd ra ad; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 1
...
;; Query time: 17 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)

Wichtig ist, dass das Flag ad gesetzt wurde. Es zeigt an, dass die Adresse mit DNSSEC validiert wurde. Außerdem sollte man prüfen, dass auch wirklich der eigene DNS-Server angefragt wurde (SERVER: 127.0.0.1#53).

Installation des Dante SOCKS Proxies (nur für Premium-Exit-Mixe)

Der Dante SOCKS Proxy kann ebenfalls mit dem Paketmanager der Distribution installiert werden.

RedHat: yum install dante-server

Wir empfehlen, die Danted Konfiguration zu nutzen, die von der JonDos GmbH bereitgestellt wird. Das Template danted.conf.template finden sie im Mixquellcode im Unterverzeichnis misc/Linux. Es enthält auch die JonDonym Blockliste. In der Zeile 9 des Templates ist die Variable [% extIP %] durch die externe IP-Adresse des Servers zu ersetzen. Man kann einen beliebigen Editor dafür nutzen, beispielsweise pico.

cd /home/mix/stable/misc/Linux
pico danted.conf.template
cp -f danted.conf.template /etc/danted.conf
invoke-rc.d danted restart

Update der JonDonym Blockliste

Gelegentlich gibt es Updates für die JonDonym-Blockliste. Sie werden darüber über die Mix-Operator Mailingliste informiert. Checken Sie den neuesten Quellcode des Mixes (stable) aus und aktualisieren Sie Ihre danted.conf. Hinweis: Sie müssen den Template-String [% extIP %] wiederum mit Ihrer externen IP-Adresse ersetzen.

cd /home/mix/stable
svn update
cd misc/Linux
pico danted.conf.template
cp -f danted.conf.template /etc/danted.conf
invoke-rc.d danted restart
Personal tools