Servidor Proxy con squid
Un servidor proxy es un software que realiza tareas de servidor intermediario. El caso m´as com´un es
utilizarlo para compartir internet en ´ambitos donde se posee una ´unica conexi´on a internet y varias
computadoras. El servidor proxy se conecta directamente a internet y por otra interfaz a la red interna,
de modo que todos los pedidos a internet de las computadoras pertenecientes a la LAN pasan a trav´es
del proxy y es ´este en realidad el que hace las conexiones hacia la web y luego entrega las respuestas
a los hosts correspondientes
Configuracion
La configuraci´on del servidor proxy SQUID se realiza en un ´unico archivo de texto plano generalmente
ubicado en /etc/squid/squid.conf. La sintaxis en este archivo debe comenzar en la primer columna,
sin dejar espacios.
3.3.1. Nombre del Host y Puerto
La primera configuraci´on b´asica debe ser el nombre y los puertos del host. Por defecto SQUID escucha
en el puerto 3128 y utiliza el 3130 para comunicarse mediante ICP (Internet Cache Protocol) con otras
caches.
visible_hostname mysquid
http_port 3128
icp_port 3130
3.3.2. Tama˜no de la memoria cach´e
Aqui se fija el el directorio y el espacio que se utilizar´a del disco rigido para almacenar las p´aginas.
Por defecto SQUID usar´a 100 MB, y lo almacenar´a por defecto en 16 subdirectorios de primer nivel
y en 256 subdirectorios de segundo nivel:
cache_dir ufs /var/cache/squid 100 16 256
3.3.3. Tiempo de vida de la cach´e
Podemos configurar el tiempo que los objetos permanecer´an almacenados en el servidor.
reference_age 1 month
33.3.4. Jerarqu´ıa de cach´e
La sintaxis para la consulta de caches es la siguiente:
cache_peer <ip-host> <tipo> <http_port> <icp_port> [opciones]
Aqu´ı se especifica la ip del host servidor, el tipo (si es padre o hermano, parent-sibling), en qu´e puerto
se realizar´an los pedidos y el di´alogo ICP. No necesariamente se deben especificar opciones. Las m´as
utilizadas son las siguientes:
default Si es un servidor padre que no dialoga mediante ICP y es utilizado como ´ultimo recurso.
proxy-only No almacena localmente ninguna respuesta.
no-query No utiliza ICP con ese servidor.
3.3.5. Control de acceso
Es necesario establecer listas de control de acceso (acl) que definan una red o bien ciertas m´aquinas
en particular. A cada acl se le asignar´a una regla de control de acceso (acr) que funcionar´a bloqueando o permitiendo el acceso a trav´es de squid. Comunmente las acl se definen y aplican (acr) de
la siguiente manera:
acl [nombre de la lista] src/dst [ips que componen la lista]
http_access allow/deny [nombre de la lista]
Para el siguiente ejemplo, la red 192.168.0.0/24 llamada LAN1 tendr´a permitido acceder al proxy:
acl LAN1 src 192.168.0.0/255.255.255.0
http_access allow LAN1
Adem´as de direcciones ip, en las acl es posible definir nombres de dominios y puertos utilizando
dstdomain y port de la siguiente manera:
acl educativas dstdomain edu.ar
acl diario dstdomain clarin.com
acl safeports port 443
http_access deny diario
http_access allow educativas
http_access allow safeports
Es importante tener en cuenta que las acl educativas y diario no hubiesen coincidido si se visitaban
sitios como fich.unl.edu.ar o deportes.clarin.com. Para bloquear tambi´en los subdominios se debe
utilizar el punto (.) como comod´ın antes del dominio:
acl educativas dstdomain .edu.ar
acl diario dstdomain .clarin.com
Existe una acl que debe estar configurada para que squid funcione:
acl all src 0.0.0.0/0.0.0.0
Esta acl, a diferencia de las dem´as debe tener obligatoriamente la etiqueta all
BIBLIOGRAFIA
No hay comentarios:
Publicar un comentario