Squid und Dante Installation für Linux

From JonDonym Wiki
Revision as of 13:00, 22 March 2013 by Kn (Talk | contribs)
Jump to: navigation, search

En2.png De2.png   <- zurück | Übersicht | weiter ->

Contents

Installation des Squid-Proxies (nur für Exit Mixe)

Der Squid-Proxy kann mit dem Paketmanager der verwendeten Distribution installiert werden. Es ist NICHT squid3 zu installieren, sondern die letzte, stabile Version der Reihe 2.7. Für Testzwecke kann außerdem lynx isntalliert werden.

RedHat: yum install squid lynx

Nach der Installation ist der Squid erst einmal wieder zu stoppen und ein Backup der Original-Konfiguration anzulegen.

/etc/init.d/squid stop
cd /etc/squid
mv squid.conf squid.conf.orig

Konfiguration ersetzen

Die Konfiguration ist durch eine optimierte Konfigurationsdatei zu ersetzen und außerdem sollte die JonDonym Blockliste installiert werden. Die beiden nötigen Dateien finden sie im Unterverzeichnis misc/Linux der Sourcen. Es liegen zwei unterschiedliche Konfigurationen für kostenfreie und Premium-Exit-Mixe vor. Wählen sie die passende Konfiguration aus. Das Beispiel nutzt die Konfiguration für kostenfreie Dienste.

cd /home/mix/stable/misc/Linux
cp -f squid.conf.free /etc/squid/squid.conf
cp squid-block.acl /etc/squid/squid-block.acl
touch /etc/squid/squid-block.acl.local

Lokale Blockliste

Für Ergänzungen der Blockliste speziell für ihren Exit-Mix nutzen sie bitte die Datei /etc/squid/squid-block.acl.local. Diese Datei wird bie Updates nicht überschrieben. Sie wird in der squid.conf eingelesen und muss zumindest als leere Datei vorhanden sein. Eine leere Datei kann mit dem Befehl touch angelegt werden. Wenn Surfer die nur auf ihrer Kaskade blockierten Webseiten aufrufen, erhalten sie eine spezielle Fehlermeldung. Es wird darauf hingewiesen, dass diese Websites über andere Kaskaden erreichbar sind.

Squid Fehlermeldungen

Die von JonDos GmbH bereitgestellte Squid-Konfiguration ersetzt die Default-Fehlermeldungen von Squid durch speziell für JonDonym angepasste HTML-Seiten. Diese HTML-Seiten sind in den Mix-Sourcen enthalten, im Unterverzeichnis misc/squid-messages. Es ist notwendig, diese Fehlermeldungen zu nutzen. Wenn die Mix-Sourcen nicht im Verzeichnis /home/mix/stable liegen, ist die Squid-Konfiguration anzupassen. Die Variable error_directory in der squid.conf ist anzupassen.

error_directory /home/mix/stable/misc/squid-messages

Squid starten

Für High-Traffic Kaskaden ist es empfehlenswert, die max. offenen Filedescriptoren für Squid beim Start zu erhöhen. In der Datei /etc/default/squid kann der Wert angepasst werden:

SQUID_MAXFD=1024

Danach sind die Cache-Verzeichnisse neu anzulegen....

squid -z -d -3

... der Squid-Proxy kann gestartet werden...

invoke-rc.d squid start

... und ein kleiner Test, ob er funktioniert.

http_proxy=http://127.0.0.1:3128; lynx http://www.anonymous-proxy-servers.net

Update der JonDonym Blockliste

Von Zeit zu Zeit wird die Blockliste aktualisiert. Betreiber von Webdiensten bitten JonDonym bei mehrfachem Missbrauch des Dienstes, den Zugriff auf ihre Webseite zu unterbinden. Sie werden über die Mix-Operator Mailingliste über Aktualisierungen informiert.

cd /home/mix/stable
svn update
cp -f misc/Linux/squid-block.acl /etc/squid/squid-block.acl
invoke-rc.d squid reload


Installation des DNS-Servers bind9 (nur für Exit-Mixe)

Wir empfehlen für alle Exit-Mix-Server den DNS-Server bind9 zu installieren. Vor der Installation von bind9 sollte das Paket resolvconf installiert werden. Dann werden die DNS-Einstellungen des System beim Start von bind9 automatisch angepasst.

# aptitude install resolvconf
#aptitude install bind9

bind9 kann DNSSEC nutzen und hohe Sicherheit bei der DNS-Namensauflösung bieten. Wir haben eine entsprechende Konfiguration für bind9 Version >= 9.7 vorbereitet. Für Linux-Server enthalten die Mix-Sourcen im Unterverzeichnis misc/Linux vorbereitete Konfigurationsdateien für bind9. Die beiden Dateien named.conf.options und named.conf.keys sind nach /etc/bind zu kopieren, die Hauptkonfiguration named.conf ist anzupassen und anschließend ist der DNS-Server neu zu starten.

Die beiden zusätzliche Konfigurationdateien sind in der Hauptkonfiguration named.conf zu laden:

include "/etc/bind/named.conf.options";
include "/etc/bind/named.conf.keys";

Anschließen ist der Nameserver neu zu starten:

invoke-rc.d bind9 restart

Zum Prüfen der Konfiguration können sie das Programm dig aus dem Paket dnsutils nutzen. Die Domains isc.org oder wikileaks.de sind signiert und können für einen Test der DNSSEC Validierung genutzt werden.

# dig +dnssec isc.org
; <<>> DiG 9.7.2-P3 <<>> +dnssec isc.org
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 22729
;; flags: qr rd ra ad; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 1
...
;; Query time: 17 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)

Wichtig ist, dass das Flag ad gesetzt wurde. Es zeigt an, dass die Adresse mit DNSSEC validiert wurde. Außerdem sollte man prüfen, dass auch wirklich der eigene DNS-Server angefragt wurde (SERVER: 127.0.0.1#53).

Upgrade bind9 for Debian 5.0 Lenny

Debian 5.0 Lenny enthält eine ältere Version von bind9, die nicht kompatibel mit der vorbereiteten Konfiguration ist. Wir empfehlen ein Update auf die in den Backports vorhandene Version 9.7.x. Um die Backports zu nutzen, ist das Repository in /etc/apt/sources.lst einzufügen:

deb http://backports.debian.org/debian-backports lenny-backports main

Dann kann die neue Version inklusive Abhängigkeiten installiert werden:

apt-get update
aptitude -t lenny-backports install bind9 dnsutils

Abschließend muss in der Datei /etc/apt/preferences noch festgelegt werden, das Security-Updates für das Paket bind9 ebenfalls aus den Backports zu beziehen sind:

Package: *
Pin: release a=lenny-backports
Pin-Priority: 200

Installation des Dante SOCKS Proxies (nur für Premium-Exit-Mixe)

Der Dante SOCKS Proxy kann ebenfalls mit dem Paketmanager der Distribution installiert werden.

RedHat: yum install dante-server

Wir empfehlen, die Danted Konfiguration zu nutzen, die von der JonDos GmbH bereitgestellt wird. Das Template danted.conf.template finden sie im Mixquellcode im Unterverzeichnis misc/Linux. Es enthält auch die JonDonym Blockliste. In der Zeile 9 des Templates ist die Variable [% extIP %] durch die externe IP-Adresse des Servers zu ersetzen. Man kann einen beliebigen Editor dafür nutzen, beispielsweise pico.

cd /home/mix/stable/misc/Linux
pico danted.conf.template
cp -f danted.conf.template /etc/danted.conf
invoke-rc.d danted restart

Update der JonDonym Blockliste

Gelegentlich gibt es Updates für die JonDonym-Blockliste. Sie werden darüber über die Mix-Operator Mailingliste informiert. Checken Sie den neuesten Quellcode des Mixes (stable) aus und aktualisieren Sie Ihre danted.conf. Hinweis: Sie müssen den Template-String [% extIP %] wiederum mit Ihrer externen IP-Adresse ersetzen.

cd /home/mix/stable
svn update
cd misc/Linux
pico danted.conf.template
cp -f danted.conf.template /etc/danted.conf
invoke-rc.d danted restart
Personal tools