nano /etc/squid/getblocklist.sh
#!/bin/bash # git clone https://github.com/zapret-info/z-i.git curl -s -X GET -L https://raw.githubusercontent.com/zapret-info/z-i/master/dump.csv > /etc/squid/blocklist.csv URL_LIST=`cat /etc/squid/blocklist.csv | csvtool -t ';' col 2 - | sed -e '/^[0-9\.]*$/d' -e '/^[0-9\.a-z-]*$/!d' | \ sed -e 's/^.*\.\([a-z0-9\-]\{2,63\}\.[a-z0-9\-]\{2,63\}\)$/\1/' | sort | uniq 2>/dev/null`; cat /dev/null > /etc/squid/eais.list 2>/dev/null; for URL in $URL_LIST; do echo $URL | sed -e 's/\./\\\./g' -e 's/^/^http(s)?:\\\/\\\/([a-zA-Z0-9]+\\.)?/g' -e 's/$/.*$/g' >> /etc/squid/eais.list 2>/dev/null; done; /usr/sbin/squid3 -k reconfigure
crontab -e
1 2 * * * /bin/bash /etc/squid/getblocklist.sh
nano /etc/squid/squid.conf
######################################################## # ОСНОВНЫЕ НАСТРОЙКИ SQUID ######################################################## # Отключение проверки имён хостов check_hostnames off # Определение локальных сетей (RFC 1918 и др.) acl localnet src 0.0.0.1-0.255.255.255 # "this" network (LAN) acl localnet src 10.0.0.0/8 # RFC 1918 private acl localnet src 100.64.0.0/10 # RFC 6598 CGN acl localnet src 169.254.0.0/16 # RFC 3927 link-local acl localnet src 172.16.0.0/12 # RFC 1918 private acl localnet src 192.168.0.0/16 # RFC 1918 private acl localnet src fc00::/7 # RFC 4193 private acl localnet src fe80::/10 # RFC 4291 link-local # ACL для блокируемых/специальных ресурсов acl russia_block_list url_regex "/etc/squid/eais.list" acl onion_list url_regex -i .*://.*\.onion\/.* # ACL для разделения HTTP/HTTPS .i2p acl i2p_http url_regex -i ^http://.*\.i2p(/.*)?$ acl i2p_https url_regex -i ^https://.*\.i2p(/.*)?$ ######################################################## # НАСТРОЙКА PEER-СЕРВЕРОВ (UPSTREAM PROXIES) ######################################################## # HTTP .i2p → порт 4444 cache_peer 192.168.1.131 parent 4444 4444 no-digest \ protocol=http \ name=i2p_http_peer \ connect-timeout=15 \ request-timeout=60 \ dead-peer-timeout=30 \ round-robin # HTTPS .i2p → порт 4445 cache_peer 192.168.1.131 parent 4445 4445 no-digest \ protocol=https \ name=i2p_https_peer \ connect-timeout=15 \ request-timeout=60 \ dead-peer-timeout=30 \ round-robin # privoxy peer (порт 8118) cache_peer 192.168.1.131 parent 8118 8118 no-digest \ protocol=http \ name=privoxy_peer \ connect-timeout=15 \ request-timeout=60 \ dead-peer-timeout=30 \ round-robin ######################################################## # ПРАВИЛА ДОСТУПА К PEER-СЕРВЕРАМ ######################################################## cache_peer_access i2p_http_peer allow i2p_http cache_peer_access i2p_https_peer allow i2p_https cache_peer_access privoxy_peer allow onion_list cache_peer_access privoxy_peer allow russia_block_list ######################################################## # ПРАВИЛА НАПРАВЛЕНИЯ ЗАПРОСОВ ######################################################## # never_direct: всегда использовать peer для указанных ACL never_direct allow i2p_http never_direct allow i2p_https never_direct allow onion_list never_direct allow russia_block_list never_direct deny localnet # always_direct: никогда не использовать peer для указанных ACL always_direct deny i2p_http always_direct deny i2p_https always_direct deny onion_list always_direct deny russia_block_list always_direct allow localnet ######################################################## # HTTP-ДОСТУП И БЕЗОПАСНОСТЬ ######################################################## # Разрешить доступ из локальных сетей http_access allow localnet # Файл hosts для разрешения имён hosts_file /etc/squid/hosts # Порты для безопасных соединений acl SSL_ports port 443 acl Safe_ports port 80 # http acl Safe_ports port 21 # ftp acl Safe_ports port 443 # https acl Safe_ports port 70 # gopher acl Safe_ports port 210 # wais acl Safe_ports port 1025-65535 # unregistered acl Safe_ports port 280 # http-mgmt acl Safe_ports port 488 # gss-http acl Safe_ports port 591 # filemaker acl Safe_ports port 777 # multiling http acl CONNECT method CONNECT # Запретить доступ к небезопасным портам http_access deny !Safe_ports # Запретить CONNECT к небезопасным SSL-портам http_access deny CONNECT !SSL_ports # Доступ для менеджера (только локально) http_access allow localhost manager http_access deny manager # Включить дополнительные конфиги include /etc/squid/conf.d/* # Разрешить локальный доступ http_access allow localhost # Запретить всё остальное http_access deny all ######################################################## # ПОРТ И ДИРЕКТОРИИ ######################################################## # Основной HTTP-порт прокси http_port 3128 # Директория для coredump coredump_dir /var/spool/squid ######################################################## # НАСТРОЙКИ КЭШИРОВАНИЯ ######################################################## refresh_pattern ^ftp: 1440 20% 10080 refresh_pattern ^gopher: 1440 0% 1440 refresh_pattern -i (/cgi-bin/|\?) 0 0% 0 refresh_pattern . 0 20% 4320 ######################################################## # ДОПОЛНИТЕЛЬНЫЕ НАСТРОЙКИ (ОПЦИОНАЛЬНО) ######################################################## # Уровень отладки (раскомментировать при необходимости) # debug_options ALL,1 33,2 # Логирование доступа (стандартный формат) access_log /var/log/squid/access.log # Логирование кэша cache_log /var/log/squid/cache.log # Размер кэша (пример: 10 ГБ) # cache_dir ufs /var/spool/squid 10240 16 256 # Максимальный размер объекта в кэше (например, 100 МБ) # maximum_object_size 102400 KB # DNS-серверы (если требуется) # dns_nameservers 8.8.8.8 1.1.1.1 # dns_timeout 15 seconds
$ cat /etc/squid/squid.conf | grep "^[^#;]"
acl redirect url_regex czx.to http_access deny redirect deny_info http://video.czx.to redirect