Transparent Linux Bridge mit Squid Proxy, Dansguardian und ClamAV als Contentscanner unter CentOS 5 Autor: Sandro Matt - s.matt(at)arcade.ch 27. August 2009 Einleitung: Das Ziel dieser Installation ist eine transparente Linux Bridge mit Squid als Proxyserver sowie Dansguardian und ClamAV als Inhalts- und Virenscanner unter CentOS 5.
Inhalt 1. Voraussetzung:... 3 2. Der Grundgedanke:... 3 3 Installation... 4 3.1. Ablauf der Grundinstallation:... 4 3.2. Die weitere Installation:... 5 4. Squid Proxy Server Installation:... 5 5. ClamAV sowie freshclam Installation... 6 6. Dansguardian Installation... 8 7. Konfiguration der Bridge (brctl)... 9 8. Umleitung des Traffics (iptables, ebtables)... 10 9. Fragen und Antworten:... 11 10. Quellen und weitere Informationen:... 12 Proxy Bridge.Docx 2 27.08.2009
1. Voraussetzung: - Ausreichende Hardware gemessen an den Benutzern im LAN welche über den Proxy gehen Für 5 bis 10 Benutzer reicht ein Pentium 166MHz mit 128MB RAM aus. Eine schnelle Harddisk ist von Vorteil. (Nicht, dass die Daten von der Internetleitung schneller da wären als von der Harddisk.) Ich empfehle einen Intel ATOM Prozessor 1,6GHz oder schneller, 1GB RAM und eine schnelle SATA Disk. - CentOS Installation DVD - www.centos.org oder auf einem Mirror z.b. Switch Mirror - Zwei Linux kompatible Netzwerkkarten 2. Der Grundgedanke: Zum Einsatz kommt ein Linux Server welcher als transparente Bridge im eigenen Netzwerk fungiert. Die Bridge kann, ohne die Konfiguration im Netzwerk umzustellen, einfach dazwischen geklemmt werden und übernimmt von nun an die Weiterleitung des Verkehrs. In unserem Fall schnappt sich die Bridge Pakete an Port 80 (Web-Anfragen) gibt sie weiter an Dansguardian welcher im Schlepptau mit ClamAV den Inhalt auf Viren prüft. Falls die angeforderte Seite frei von Viren ist, übergibt Dansguardian die Anfrage an Squid welcher jene lokal speichert und für zukünftige Anfragen bereit hält um die Bandbreite zu schonen. Im Anschluss liefert Squid die angeforderte Seite an den Benutzer aus. Zum Einsatz kommen folgende Versionen / Programme:. CentOS 5.3 stable (www.centos.org) Squid Proxyserver Stable v. 2.6.STABLE21 (http://www.squid-cache.org/) ClamAV Stable v. 0.95.2 (http://www.clamav.net/) Dansguardian v. 2.10.1.1 (http://dansguardian.org/) Proxy Bridge.Docx 3 27.08.2009
3 Installation 3.1. Ablauf der Grundinstallation: Wir installieren CentOS 5.3 von der geladenen ersten DVD Ich gehe hier nicht weiter auf die grundlegende Installation von CentOS ein, aber gebe einige Hinweise am Rande: Partitionierung: Mindestens eine gesonderte Partiton für den Proxy Cache um Überlauf zu vermeiden. Beispiel: /boot 100MB swap 2048MB (2x RAM) / 20GB Auswahl der Installation: Bei der Frage ob es sich um einen Desktop Rechner handelt, oder ob wir einen File-Server oder Ähnliches wünschen, wählen wir nichts aus um die installierten Pakete so gering wie möglich zu halten. Die Pakete squid, vi editor, und make nicht vergessen. Dienste beim Systemstart: Beim ersten Bootvorgang erscheint die Systemkonfiguration. Hier Bestimme ich, dass squid und ntpd sicher bei jedem Bootvorgang gestartet werden. WICHTIG! Beim ersten Systemstart kann man auch SELinux ausschalten. Dies muss ausgeschaltet werden, da sonst der Squid Proxy nicht korrekt läuft. YUM-Konfiguration: Wir wählen einen lokalen CentOS Spiegel für den späteren Bezug von zusätzlichen Paketen welche nicht auf unserer CD enthalten sind. (in der Schweiz: mirror.switch.ch) Zusätzlich binden wir das Atomicorp Repository ein. wget -q -O - http://www.atomicorp.com/installers/atomic.sh sh (Weitere Infos: http://www.6010.ch/wordpress/?p=192) Update: Nach der Installation bringen wir CentOS 5.3 mal auf den neusten Stand. yum update erledigt dies schnell und zuverlässig. Proxy Bridge.Docx 4 27.08.2009
3.2. Die weitere Installation: Nachdem unser Server das erste mal in seine neue Umgebung gestartet hat, loggen wir uns ein und deaktivieren ein paar grundlegende Dinge: # yum remove lpr # yum remove portmap entfernt uns den Druck-Dienst sowie portmap welcher sich um Netzwerkfreigaben kümmert. Danach benötigen wir noch die libesmtp Library. Download von http://www.stafford.uklinux.net/libesmtp/libesmtp-1.0.4.tar.gz und danach mit #./configure # make # make install Und weiter wird noch die PCRE Library benötigt: #.yum install pcre # yum install pcre-devel 4. Squid Proxy Server Installation: Wir beginnen mit der Installation des Proxy Servers Squid. Die eigentliche Installation hat CentOS ja bereits erledigt. Aber folgende Eisntellungen müssen noch vorgenommen werden. Die relevante Konfigurationsdatei für Squid befindet sich unter /etc/squid/squid.conf Wir installieren die externe Konfigurationsdatei mit folgender Option: # wget http://www.6010.ch/test/squid.conf -O /etc/squid/squid.conf Proxy Bridge.Docx 5 27.08.2009
Folgendes Grundgerüst stellt die Konfiguration zur Verfügung: Proxy lauscht auf Port 8080 für Verkehr aus 192.168.0.0/255.255.0.0 http_port 8080 acl lan src 192.168.0.0/255.255.0.0 http_access allow lan Der Proxy erhält 256MB RAM für Cache Auslagerung cache_mem 256 MB Die Größe der zugesicherten Plattenkapazität beträgt 1000MB cache_dir ufs /cache 1000 16 256 Bitte die Werte nach Bedarf anpassen. Die Konfiguration beinhaltet zusätzlich einen Abschnitt für autorisierte Benutzer. Bitte nach der Konfiguration im Browser die IP des Proxys eingeben, den Port auf 8080 setzen und eine Überprüfung durchführen. 5. ClamAV sowie freshclam Installation Jetzt benötigen wir den Virenscanner und die aktuellen Definitionen. [root@proxy ~]# yum install clamav [root@proxy ~]# yum install clamd [root@proxy ~]# yum install clamav-devel Installiert automatisch die neuste Version des Antivirenscanners ClamAV und automatisch noch die ClamAV-db. Die zwei weiteren Pakete installieren den ClamAV Daemon und die Entwicklerbibliotheken, welche für die Installation von Dansguardian benötigt werden. Wir finden die Konfiguration unter /etc/clamd.conf sowie /etc/freshclam.conf Wir beziehen die externen Konfigurationsdateien und binden diese ins System ein: # wget http://www.6010.ch/test/clamd.conf -O /etc/clamd.conf # wget http://www.6010.ch/test/freshclam.conf -O /etc/freshclam.conf Jetzt ist es an der Zeit das erste mal den clamd zu starten und unsere Virendefinition zu holen was wir folgendermaßen machen: # service clamd start # freshclam Proxy Bridge.Docx 6 27.08.2009
Die erfolgreiche Abarbeitung sollte in etwa so aussehen: ClamAV update process started at Tue Aug 11 17:07:57 2009 main.cvd is up to date (version: 51, sigs: 545035, f-level: 42, builder: sven) Downloading daily-9677.cdiff [100%] daily.cld updated (version: 9677, sigs: 63969, f-level: 43, builder: ccordes) Database updated (609004 signatures) from db.local.clamav.net (IP: 212.71.0.71) Clamd successfully notified about the update. Die letzte Zeile sagt aus, dass unsere Virendefinition erfolgreich erneuert wurde. Des weiteren gibt der Update-Prozess eine Info an den Clamd ab, dass neue Virendefinitionen vorliegen. Jetzt stellen wir sicher, dass bei einem Systemstart der clamd wieder gestartet wird. # chkconfig clamd on Wir überprüfen ob der Scanner richtig arbeitet und besorgen uns ein Eicar-Testfile: # wget http://dansguardian.org/downloads/2/variants/avtest/danger/eicar.com.txt -O /tmp/eicar.com.txt # clamscan -v /tmp/eicar.com.txt Die Ausgabe sollte in etwa so lauten: [root@proxy tmp]# wget http://dansguardian.org/downloads/2/variants/avtest/danger/eicar.com.txt -O /tmp/eicar.com.txt --17:10:56-- http://dansguardian.org/downloads/2/variants/avtest/danger/eicar.com.txt Auflà sen des Rechnernamens »dansguardian.org«... 89.16.172.190, 2001:41c8:1:5847::2 Verbindungsaufbau mit dansguardian.org[89.16.172.190]:80... verbunden. HTTP-Anfrage gesendet, warte auf Antwort... 200 OK Là nge: 68 [text/plain] Speichere nach: »/tmp/eicar.com.txt«100%[================================================================>] 68 --.-K/s in 0s 17:10:56 (3,18 MB/s) - »/tmp/eicar.com.txt«gespeichert [68/68] [root@proxy tmp]# clamscan -v /tmp/eicar.com.txt Scanning /tmp/eicar.com.txt /tmp/eicar.com.txt: Eicar-Test-Signature FOUND ----------- SCAN SUMMARY ----------- Known viruses: 1118627 Engine version: 0.95.2 Scanned directories: 0 Scanned files: 1 Infected files: 1 Data scanned: 0.00 MB Data read: 0.00 MB (ratio 0.00:1) Time: 13.654 sec (0 m 13 s) Jetzt wo ClamAV läuft gehen wir zu Kapitel 6 über. Proxy Bridge.Docx 7 27.08.2009
6. Dansguardian Installation Wir beziehen die neuste Quelle für Dansguardian und übersetzen diese mit dem ClamD Support. # cd /usr/src # wget http://dansguardian.org/downloads/2/stable/dansguardian-2.10.1.1.tar.gz # tar -xzf dansguardian-2.10.1.1.tar.gz Wir konfigurieren das Paket und übersetzen es im Anschluss: # cd dansguardian-2.10.1.1 #./configure enable-clamd # make # make install Bei dem Installskript gibt es einen Fehler beim Anlegen der Logverzeichnisse diesen übergehen wir mit: # chown -R clamav:clamav /var/log/dansguardian/ Jetzt besorgen wir uns noch die zwei Konfigurationsdateien für Dansguardian: # wget http://www.6010.ch/test/dansguardian.conf -O /usr/local/etc/dansguardian/dansguardian.conf # wget http://www.6010.ch/test/clamdscan.conf -O /usr/local/etc/dansguardian/contentscanners/clamdscan.conf Jetzt ist es an der Zeit, das erste mal Dansguardian zu starten: # dansguardian Dansguardian nimmt Anfragen auf Port 3128 an und gibt sie im Anschluss an Squid weiter. Wir prüfen dies, indem wir in unserem Browser als Proxy den Host des Servers eintragen und als Port 3128. Wir beobachten die Log Dateien von Dansguardian unter /var/log/dansguardian/access.log # tail -f /var/log/dansguardian/access.log Die Ausgabe sollte in etwa so sein, wenn wir auf www.google.ch zugreifen: 2009.8.11 22:05:44-192.168.10.24 http://www.google.ch/url?sa=p&pref=ig&pval=1&q=/webhp%3frls%3dig *SCANNED* GET 230 0 1 302 - - 2009.8.11 22:05:44-192.168.10.24 http://www.google.ch/webhp?rls=ig *SCANNED* GET 7722-50 1 200 text/html - 2009.8.11 22:05:45-192.168.10.24 http://www.google.ch/extern_js/f/cgjkzricy2grmao4lswrma44bswrmby4diwrmbc4aywrmbg4bcwrmce4ieablcswjtjjiaeskzamoauskzanoais/ao73axq20s.js *SCANNED* GET 30560 0 1 200 text/javascript - Sollte alles bis hierhin erfolgreich verlaufen sein, steht unser Grundgerüst und wir können die Bridge konfigurieren. Hinweis: Per Default ist Dansguardian extrem hartnäckig. Hierzu bitte die Files unter /etc/dansguardian/exept* sowie banned* anpassen. except enthällt Informatinen was ausgenommen wird banned* enthält die Verbote Proxy Bridge.Docx 8 27.08.2009
7. Konfiguration der Bridge (brctl) Wir sind an dem Punkt, wo wir unseren Server in eine Bridge umfunktionieren. Hierzu benutzen wir brctl. Dieses Paket muss zuerst installiert werden. #yum install bridge-utils Wir gehen davon aus, dass unsere Netzwerkkarten eth0 und eth1 sind. Die Bridge erhält den Namen br0. Mit den folgenden Befehlen richten wir eine Bridge zwischen den beiden Netzwerk-Interfaces ein. ifconfig eth0 0.0.0.0 ifconfig eth0 up ifconfig eth1 0.0.0.0 ifconfig eth1 up brctl addbr br0 brctl addif br0 eth0 brctl addif br0 eth1 ifconfig br0 192.168.1.100 netmask 255.255.255.0 ifconfig br0 up route add default gw 192.168.1.1 #remove IP from eth0 #ensure the interface is up #remove IP from eth1 #ensure the interface is up #create br0 node #add eth0 to bridge br0 #add eth1 to bridge br0 #or relevant settings for your network #bring up interface #or relevant settings for your network Um die Einstellungen auch nach einem Reboot zu erhalten konfigurieren wir die drei ifcfg- Scripts. /etc/sysconfig/network-scripts/ifcfg-br0 /etc/sysconfig/network-scripts/ifcfg-eth0 /etc/sysconfig/network-scripts/ifcfg-eth1 :::::::::::::: ifcfg-br0 :::::::::::::: # Virtual Ethernet Bridge by Sandro Matt DEVICE=br0 BOOTPROTO=static BROADCAST=192.168.10.255 IPADDR=192.168.10.144 NETMASK=255.255.255.0 NETWORK=192.168.10.0 ONBOOT=yes TYPE=Bridge STP=yes IPV6INIT=no :::::::::::::: ifcfg-eth0 :::::::::::::: # Realtek Semiconductor Co., Ltd. RTL-8139/8139C/8139C+ DEVICE=eth0 HWADDR=00:50:FC:EE:20:CA ONBOOT=yes BRIDGE=br0 Proxy Bridge.Docx 9 27.08.2009
:::::::::::::: ifcfg-eth1 :::::::::::::: # Realtek Semiconductor Co., Ltd. RTL8101E/RTL8102E PCI Express Fast Ethernet controller DEVICE=eth1 HWADDR=00:1C:C0:9B:4E:97 ONBOOT=yes BRIDGE=br0 Nach einem Neustart sollte jetzt ein neues Netzwerkinterface namens br0 zur Verfügung stehen. 8. Umleitung des Traffics (iptables, ebtables) Da eine Bridge auf der OSI Schicht 2 arbeitet, bekommt iptables vorerst gar nichts von dem Verkehr mit. Wir benutzten ebtables um dort einzugreifen und Verkehr an Port 80 (--dport) an iptables zu leiten. ebtables muss zuerst installiert werden. Da dies nicht im Offiziellen YUM Repository aufgenommen wurde, installieren wir das Paket per RPMvon http://dag.wieers.com/rpm/packages/ebtables/. # cd /usr/local/src/ # wget http://dag.wieers.com/rpm/packages/ebtables/ebtables-2.0.8.2-1.el5.rf.i386.rpm und danach # rpm -i ebtables-2.0.8.2-1.el5.rf.i386.rpm Jetzt können wir den Traffic mit folgendem Befehl umleiten: # ebtables -t broute -A BROUTING -p IPv4 --ip-protocol 6 --ip-destination-port 80 -j redirect --redirect-target ACCEPT Dadurch sind alle Pakete an Port 80 für iptables zugänglich. iptables erfährt aber erst mit folgender Zeile was es damit tun soll: # iptables -t nat -A PREROUTING -i br0 -p tcp --dport 80 -j REDIRECT --to-port 3128 Jetzt sollte Verkehr an Port 80 welcher normalerweise ungesehen durch die Bridge geht an den lokalen Port 3128 wandern und überprüft werden. Proxy Bridge.Docx 10 27.08.2009
9. Fragen und Antworten: Frage: Wie starte ich die Programme automatisch beim booten? Antwort: Um all diese Programme und Konfigurationen bei jedem Reboot zu starten, habe ich ein Script geschrieben und starte dies im rc.local. #!/bin/sh # # Start Script fuer dansguardian und iptable Eintraege # (c) by Sandro Matt # #startet dansguardian /usr/local/sbin/dansguardian # schlaeft 5 sekunden sleep 5 # setzt die ebtables rule ebtables -t broute -A BROUTING -p IPv4 --ip-protocol 6 --ip-destination-port 80 -j redirect --redirect-target ACCEPT # setzt die iptables rule iptables -t nat -A PREROUTING -i br0 -p tcp --dport 80 -j REDIRECT --to-port 3128 Frage: Wie kontrolliere ich ob die Bridge schon Mac Adressen gelernt hat? Antwort: brctl showmacs br0 Frage: Ich erhalte im Browser: "Die angeforderte Webseite konnte nicht gefunden werden" Antwort: Dies kann mehrere Ursachen haben, gehe folgendermaßen vor: Prüfe ob du ausserhalb der Bridge die Seite erreichen kannst Prüfe ob ein DNS (Namensauflösung) Problem besteht (nslookup / dig) Überwache den lokalen Verkehr mit tcpdump um zu sehen, wo die Pakete landen ( # tcpdump -i br0 tcp port 80 ) Behalte die Übersicht von iptables im Auge, um zu sehen, wo deine Pakete hin gehen ( # iptables -t nat -vnl ) Kontrolliere ob die IP-Adressen, die Host Adressen die Gateway Adressen sowie die Nameserver korrekt sind Frage: Ich kann die Testviren von der Dansguardian Webseite speichern?! Was ist mit der Überprüfung? Antwort: Die Log Dateien hätten es euch verraten. Standardmäßig ist die Dansguardianseite von der Überprüfung ausgenommen siehe /etc/dansguardian/exceptionsitelist Proxy Bridge.Docx 11 27.08.2009
10. Quellen und weitere Informationen: Configuring a Transparent Proxy/Webcache in a Bridge using Squid and ebtables - Ariel Molina Rueda - Freshmeat.net Unsichtbarer Schutz mit Linux: Firewall auf Bridge-Ebene - Ralf Spenneberg - Linux Magazin Linux-Firewalls mit Iptables & Co. - Ralf Spenneberg - Addison Wesley Verlag Adam Palmer - http://www.adamsinfo.com/brctl-creating-a-network-bridge/ EBTables - http://ebtables.sourceforge.net/ IDEE und VORLAGE dieses Dokumentes: Stefan Bauer, http://www.plzk.de/ Howto Version 1.0 Dieses HOWTO wurde mit größter Sorgfalt erstellt. Trotzdem können Fehler nicht vollständig ausgeschlossen werden. Ich kann für fehlerhafte Angaben und deren Folgen weder eine juristische Verantwortung noch irgendeine Haftung übernehmen. Für Verbesserungsvorschläge und Hinweise auf Fehler bin ich dankbar. Proxy Bridge.Docx 12 27.08.2009