Toggle sidebar

Proxy Server (offizielles Paket)

  • Ab sofort steht euch hier im Forum die neue Add-on Verwaltung zur Verfügung – eine zentrale Plattform für alles rund um Erweiterungen und Add-ons für den DSM.

    Damit haben wir einen Ort, an dem Lösungen von Nutzern mit der Community geteilt werden können. Über die Team Funktion können Projekte auch gemeinsam gepflegt werden.

    Was die Add-on Verwaltung kann und wie es funktioniert findet Ihr hier

    Hier geht es zu den Add-ons

Status
Für weitere Antworten geschlossen.
I

inkaman

Benutzer
Registriert
20. Apr. 2009
Beiträge
208
Reaktionspunkte
14
Punkte
18
Hallo zusammen,

habe mir mal den Proxyserver installiert zumal letztlich wegen dem Update ich eh resetten und wieder alle Pakete nachinstallieren musste.
Schön ist es das es nun ein offizielles Proxy Paket gibt. Nachteil ist das ich vorher mit dem squid Proxy welchen ich mir installiert hatte
Wort & URL Listen benutzt habe und diese kann man leider so nicht importieren bzw. wäre sehr umständlich.

Damit die Listen doch funktionieren, habe mich mal dran gesetzt und die squid config etwas angepasst und unter
/volume1/@appstore/ProxyServer/squid/etc/squid.conf folgendes oben eingetragen:

Code: 
#-------------------------------- Begin eigner Einstellungen ------------------------------
#
# *.txt Listen mit eigenen URLS und Wörtern verbieten (hier: urls.txt & name.txt) z.B. 
# unter dem <Gemeinsamen Ordner> /volume1/proxy 
#------------------------------------------------------------------------------------------
acl urlliste dstdomain "/volume1/proxy/urls.txt"
acl wortliste url_regex "/volume1/proxy/name.txt"
#------------------------------------------------------------------------------------------
# Eigene Fehlermeldug unter /volume1/@appstore/ProxyServer/squid/share/errors/templates 
# mit erstellen der Datei namens z.B. "ERR_NO_PORNO". 
#------------------------------------------------------------------------------------------
deny_info ERR_NO_PORNO urlliste 
deny_info ERR_NO_PORNO wortliste
#------------------------------------------------------------------------------------------
# Verbieten von Inhalt aus urlliste & wortliste
http_access deny urlliste 
http_access deny wortliste
#------------------------------------------------------------------------------------------
# IP Adressen (Kids PC´s) die Verbindung zum www nur in gewissem Zeitraum erlauben ;-)
acl clients src 192.168.1.2
acl clients src 192.168.1.3
acl clients src 192.168.1.4
acl www-zeit time MTWHFAS 15:00-20:00
http_access allow clients www-zeit
http_access deny clients
#
# Mögliche Tage zum verbieten:
#S    	Sunday
#M	Monday
#T	Tuesday
#W	Wednesday
#H	Thrusday
#F	Friday
#A	Saturday
#
#----------------------------------- Ende eigner Einstellungen ----------------------------

Mit Putty und den Befehlen ..

Rich (BBCode): 
cd /volume1/@appstore/ProxyServer/scripts
./shutdown.sh

./start.sh

.. werden die Änderungen sofort aktiviert. Damit klappen meine Listen unter dem Gemeinsamen Ordner
Proxy hier /volume1/proxy/urls.txt und /volume1/proxy/name.txt wieder :D

Der Part ..

Code: 
deny_info ERR_NO_PORNO urlliste 
deny_info ERR_NO_PORNO wortliste

.. ist dazu da, eigene Fehlerseite zu erstellen und kann natürlich unter
/volume1/@appstore/ProxyServer/squid/share/errors/templates/ERR_NO_PORNOangelegt werden. Dazu kopiert man sich einen Inhalt einer der anderen Dateien und fügt den in der ERR_NO_PORNO Datei ein. Nun kann diese mit einem HTML Editor beliebig verändert werden.

Zuzüglich einem Zeitraum in der Kids maximal im www rumturnen können.
Hier sollte die IP und der Zeitraum angepasste werden, falls jemand vor hat das
so zu übernehmen.

Um https Seiten zu erlauben, sucht in der squid.conf nach
Vorher:
Code: 
http_access deny CONNECT_syno !SSL_ports_syno
Nachher:
Code: 
http_access allow CONNECT_syno !SSL_ports_syno
So bin ich zufrieden. Wäre nur schön wenn das irgendwann mal da einfließen würde
auch Listen Pfade in dem Proxy Server angeben zu können. Zumindest kann ich so
wieder etwas ruhiger schlafen wenn die Kids im www unterwegs sind und man nicht
vor Ort ist.

Gruß - inkaman
 
Zuletzt bearbeitet:
Hallo, das hört sich nach ganz großem Kino an! :) Siehst Du eine Möglichkeit - z.B. per Cron Job 1x täglich - eine Blacklist (z.B. von dort; enthält Domains und URLs) herunterzuladen, zu entpacken und unter /volume1/proxy/urls.txt oder in anderer geeigneter Weise in das offizielle Paket zu bringen?

Edit1: Ich sehe, dass das entpackte Archiv unter der o.g. Adresse in zig/hunderten von Unterverzeichnissen angelegt ist. Da müsste man also nicht nur per Cron Job, wget und tar das Archiv zeitgesteuert herunterladen und auspacken, sondern auch noch die Tonnen von URLs (und Domains) aneinanderhängen. Ich habe leider keine Ahnung, ob/wie das funktioniert.

Edit2: Meine aclsyno.conf sieht so aus:
Rich (BBCode): 
acl syno_1 dstdomain "/volume1/proxy/BL/adv/domains"
acl syno_2 dstdomain "/volume1/proxy/BL/adv/urls"
acl syno_3 src 10.0.0.0/8 172.16.0.0/12 192.168.0.0/16 fc00::/7 fe80::/10
BL steht für blacklist und darunter gibt es z.B. einen Ordner adv, unter dem wiederum 2 Dateien (domains und urls) liegen:
Hier ein (Test-)auszug von domains:
Rich (BBCode): 
www.facebook.com
facebook.com
000freexxx.com
004.frnl.de
01sexe.com
01viral.com
039068a.dialer-select.com
Urls sieht ähnlich aus, nur dass es eben URLs statt Domänen sind.

Das funktioniert auch! :) Allerdings wundert es mich, dass im DSM unter Proxy Server immer noch die alten 2 "deny" Regeln zu sehen sind (bei mir ".heise.de" und ".golem.de" - nur als Platzhalter zum manuellen Editieren (ssh). Ich frage mich, wo die gespeichert sind? Wie auch immer - man sollte wohl das WebGUI (DSM) des Proxy Servers besser nicht mehr anfassen (zumindest nicht, was die Regeln angeht), wenn man hier manuell (via ssh) Hand angelegt hat.

Wie oben schon geschrieben, wäre ich dankbar um ein paar (Skript-)Tipps, wie ich die unter dem o.g. Link verfügbare Liste auspacke und sinnvoll in 2 "deny" Regeln (1x Domänen und 1x URLs) verpacke. Danke!
 
Zuletzt bearbeitet:
Hallo,

installier Dir doch von der Paketquelle http://www.cphub.net den Cronjob editor
Damit sollte es gehen. Selbst hab ich das aber noch nicht versucht.

Den Proxy Server kann man aber weiterhin über die Gui mit IPs, Domains oder URLs befüllen, da die Einträge
hier in anderen Dateien eingepflegt werden. Die Dateien werden dann über die config mit include nur hinzugeladen.

Beispielscripte sind auf der Seite so wie ich das sehe schon vorhanden. Die muss man dann allerdings noch anpassen. Hab ich auch noch nicht gemacht.

Gruß - inkaman
 
Hallo Inkaman, vielen Dank, sehr hilfreich...

Wir möchten den existierenden Squid-Proxy unseres LANs (der noch auf einem Mac mini läuft) nun auch auf unsere Synology umziehen.
Wir brauchen aber genau wie Du Änderungen an/in der squid.conf.

Wird die squid.conf evtl. einmal von einem Update überschrieben und die Änderungen gehen damit flöten?
Wie ist denn die offizielle Vorgehensweise (inkludieren? wo?) bei Synology Paketen, um Überschreiben zu verhindern?
 
Hallo,

ich habe bisher noch kein Update des Proxy Servers durchgeführt da es ja bisher noch keinen offizielles Paket gab.

Einerseits kann ich mir schlecht vorstellen das die squid.conf einfach überschrieben wird, da ja da normalerweise bei
einem normalen Linux System alle Einstellungen eingetragen werden und man dann bei jedem Update ein Überschreiben
der eigenen Einstellungen befürchten müsste. Andererseits werden mittels einem "include" Aufruf weitere Einstellungen
in die squid.conf geladen das bei einem Update es durchaus zu befürchten ist das die squid.conf erneuert wird. Wie
sonst soll man Anpassungen oder Erweiterungen dort eintragen ohne zumindest diverse Textzeilen zu verändern.

Genau wird man das allerdings erst wissen wenn das erste Update durchgelaufen ist. Um dem vorzubeugen, würde ich die
squid.conf einfach nach den eigenen Einstellungen irgendwo sichern. Nur für den Fall der Fälle.

Was meinst Du denn genau mit offizielle Vorgehensweise?

Gruß - inkaman
 
Nein das ist hier nicht so. Aber wie schon erwähnt wird es die Zeit zeigen. Sollte Dich aber nicht davon abhalten schon mal alles einzurichten und am Ende die squid.conf zu sichern.
Vermutlich sind die Updates eh nur für die Gui. Über die habe ich eh keine Daten (URLS, Domains etc.) eingetragen. Mir reicht meine Anpassung in der squid.conf und den *.txt Dateien völlig.

Ganz kann man das eh nicht verhindern das Kinder Sachen zu Gesicht bekommen die eigendlich nicht für Kinderaugen bestimmt sind. Und wenn nicht zu Hause dann bei Freunden.


Gruß - inkaman
 
Hallo,

der Proxy funktioniert soweit gut (würde mir für OSX Updates eine einstellbare Größe bis 5GB wünschen).
Wenn ich jedoch den Proxy am iPhone aktiviere kann ich keine internen https mehr aufrufen, ist das ein Fehler im iOS oder des Proxy´s? a Mac funktioniert´s …
 
Hi, demnach hast Du den o.a. Part also das hier angewendet, richtig?

Um https Seiten zu erlauben, sucht in der squid.conf nach
Vorher:
Code: 
http_access deny CONNECT_syno !SSL_ports_syno
Nachher:
Code: 
http_access allow CONNECT_syno !SSL_ports_syno

Und das funktioniert mit Deinem IPhone nicht?
Ich weiß ja jetzt nicht was genau für ein Iphone Du hast aber da gab es schon mehrfach Probleme mit den Proxyeinstellungen im iOS.
Hab mal danach gegoogelt und das hier gefunden. Klick Betrifft wohl nicht nur Iphone.
Da kann ich aber nicht weiterhelfen.

Gruß - inkaman
 
So jetzt hab ich selbst noch ein Problem. Nachem nun mein Proxy manuell im Browser bestens funktioniert wollte ich mal die Einstellung "Automatische Web Proxy-Einstellung" versuchen und habe es sogleich umgestellt.
2014-12-05_07-52-31.jpg

Im Browser eingepflegt ignoriert aber die wpad.dat Datei komplett die bisher in der squid.conf hinterlegten Einstellungen. Soll das so sein? Kann ich mir nicht vorstellen. Nebenbei heißen diese Dateien doch normalerweise *.pac. Wo ist denn hier schon wieder der Hund begraben?

Inhalt bisher:

Rich (BBCode): 
function FindProxyForURL(url, host) 
{
     return "PROXY 192.168.1.11:3128;DIRECT";
}
 
Zuletzt bearbeitet:
inkaman schrieb:
So jetzt hab ich selbst noch ein Problem. Nachem nun mein Proxy manuell im Browser bestens funktioniert wollte ich mal die Einstellung "Automatische Web Proxy-Einstellung" versuchen und habe es sogleich umgestellt.
Anhang anzeigen 20681

Im Browser eingepflegt ignoriert aber die wpad.dat Datei komplett die bisher in der squid.conf hinterlegten Einstellungen. Soll das so sein? Kann ich mir nicht vorstellen. Nebenbei heißen diese Dateien doch normalerweise *.pac. Wo ist denn hier schon wieder der Hund begraben?

Inhalt bisher:

Rich (BBCode): 
function FindProxyForURL(url, host) 
{
     return "PROXY 192.168.1.11:3128;DIRECT";
}
Zum Vergrößern anklicken....

Dinge die ich bisher herausfinden konnte: (Autodiscovery Protocol)
1. Da ich ja nun auch DHCP einsetze, muss hier auch diesem wohl bekannt gegeben werden das es eine wpad.dat Datei gibt.
2. Die Clients die die WPAD.dat Datei nutzen sollen, müssen von dem DHCP auch eine IP erhalten haben und von daher im gleichen Netz liegen.
 
Hallo und sorry, dass ich diesen älteren Thread noch einmal auskrame. Kann mir bitte jemand sagen, ob das mit dem offiziellen Synology Proxy Server nun besser mit den Blacklists etc. funktioniert oder ist da immer noch Handarbeit angesagt? Ich hätte gerne, dass der Synology Proxy Server regelmäßig die Blacklists aus dem Internet aktualisiert. Mir geht es weniger um die Sperrung von ganzen Seiten, sondern mehr darum, den Traffic zu reduzieren, welcher durch sinnlose Ads hervorgerufen wird. Ginge das überhaupt mit dem Proxy Server? Danke!

PS:
Wenn ich mit dem Handy/Tablet unterwegs bin, wähle ich mich via VPN in meinem Heimnetz ein, um 1. sicher in öffentlichen WLANs zu surfen und 2. um den Traffic (s.o.) zu reduzieren. Daher (Punkt 2) mein Interesse am Proxy Server. Der VPN Server (anderes Thema) funktioniert prima.

PPS:
Habe mir Webmin (3rd Party) installiert, aber es gibt für die Armada-Architektur (meine DS214se) leider offenbar kein Webmin-Modul zur Verwaltung des Squid. Würde mir das überhaupt etwas bringen, oder hat "Squid" mit dem offiziellen Synology Proxy Server nichts zu tun?
 
Ich bin auch gerade am rumprobieren des Proxy Server.
Meine DS213 hängt an einer FB, wobei die FB die komplette netzwerk verwaltung übernimmt und nicht die DS.
Wenn ich nun ein wpad.dat script verwendee scheint es zu funktionieren, denn mein FF fragt nach einer Proxyauthentifizierung.
Nehme ich nun korrekterweise an das die generelle funktion nun klappt?

Wenn ich nun eine Zugriffskontrolle verwenden will, wie gehe ich da nun vor? Wenn ich nun zB heise.de sperren will, so hole ich mir über ping die IP adresse und gebe diese dann als Ziel-IP ein, und als Ziel-hostname nehme ich www.heise.de proxy.JPG (Den Punkt im Bildschirm wird automatisch hinzugefügt.)
Ich komme aber dennoch auf die Seite drauf, weiß jemand wieso?
 
Sry, da muss ich kurz nachhaken:
Code: 
http_access deny CONNECT_syno !SSL_ports_syno
bedeutet doch, dass CONNECT zu allen Ports ausser 443 nicht zugelassen wird. Ob portbasierte Regeln im Proxy überhaupt einen Nutzen stiften sei mal dahin gestellt.

Zum Verhalten von ios-devices kann ich berichten, dass diese nur dann einen vorgegebenen Proxy nutzen, wenn dieser den Traffic auch zulässt. Ansonsten wird immer eine Direktverbindung aufgebaut.

Übrigens wird die squid.conf bei der Sicherung des Paketes über Synology Backup mitgesichert.
 
Status
Für weitere Antworten geschlossen.
NAS-Central - Ihr Partner für NAS Lösungen
NAS-Central - The Home of NAS
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat 

Hosted by netcup
IT Lösungen mit NAS Servern
IT Firma Trier
Fotograf Trier
   
Oben Unten