Tutorial Servidor Proxy com Squid baseado em Linux
Acadêmicos : Felipe Zottis e Cleber Pivetta
Servidor Proxy
Um servidor Proxy possui a finalidade de possibilitar que máquinas
contidas em uma determinada rede possam obter acesso a uma rede pública.
Normalmente este servidor é instalado em um computador que possui acesso
direto à internet, sendo assim toda solicitação externa a rede deve ser feita a
esta máquina. De modo geral, um servidor proxy realiza solicitações em nome
de outras máquinas da rede.
Outras funcionalidades podem ser acopladas ao proxy, tais como
caching de páginas da internet. Com isto, as requisições à sites já visitados por
máquinas de uma rede são feitas mais rapidamente.
Um servidor proxy também pode implementar o NAT (Network Address
Translation - Tradução de Endereços de Rede). A NAT permite que o endereço
de rede interno de uma empresa seja ocultado da Internet. A empresa é
representada na Internet como um endereço de IP não relacionado com os
endereços de IP internos.
Uma das principais funcionalidades do proxy é impedir o acesso
indevido à páginas da internet, geralmente por empresas ou instituições
públicas. É possível barrar o acesso do usuário a sites inadequados ou que
não sejam de interesse de uma instuição, por exemplo chats, jogos, sexo entre
outros.
Todo o tráfego de dentro da empresa destinado à Internet é enviado
para o servidor proxy. Este atribui a cada pacote um outro endereço de IP
antes de transmití-lo pela Internet. Quando o pacote de resposta chega, o
servidor proxy o envia ao servidor apropriado da empresa que havia feito o
pedido. Este procedimento protege os endereços verdadeiros da rede interna
da Internet, dificultando o ataque de um hacker ao sistema, já que o endereço
do sistema protegido não é conhecido e não fica diretamente acessível a partir
da Internet.
Sobre o Squid
O Squid é um proxy-cache de alta performance para clientes web,
suportando protocolos FTP, gopher e HTTP. O Squid mantém meta dados e
especialmente objetos armazenados na RAM, cacheia buscas de DNS e
implementa cache negativo de requisições falhas.
Ele suporta SSL, listas de acesso complexas e logging completo. Por
utilizar o Internet Cache Protocol, o Squid pode ser configurado para trabalhar
de forma hierárquica ou mista para melhor aproveitamento da banda.
Podemos dizer que o Squid consiste em um programa principal – squid um sistema de busca de resolução de nomes – dnsserver – e alguns
programas adicionais para reescrever requisições, fazer autenticação e
gerenciar ferramentas de clientes. Podemos executar o Squid nas principais
plataformas do mercado, como GNU/Linux, Unixes e Windows.
Procedimento para instalação do Servidor Proxy Squid
Para a realização deste tutorial, fora utilizado a sistema operacional
Linux, sendo a versão 9.0 do Fedora.
Como este experimento fora realizado na rede interna da Universidade
Estadual do Oeste do Paraná, é necessário realizar a exportação do proxy
utilizado pela faculdade, para que assim seja possível realizar o download do
pacote de instalação do Squid.
→ export http_proxy=htpp://proxy.unioeste.br:8080
Para realizar a instalação de determinados programas, o Linux permite
que o pacote de instalação destes sejam obtidos por download através do
comando:
→ yum install squid
O Squid será então instalado no diretório /etc/squid. Após isto, é
necessário editar o arquivo squid.conf, localizado dentro do diretório de
instalação. Porém, é necessário realizar alterações na permissão de gravação
do arquivo squid.conf, pois este é protegido. No linux é possível realizar esta
alteração da seguinte forma:
→ chmod 777 squid.conf
O comando chmod modifica as pemissões de acessos à um
determinado arquivo. O número 777 garante os acessos de leitura e gravação
para root e usuários.
Realizado este passo, já é possível editar o arquivo squid.conf, porém é
recomendável realizar um backup do arquivo original. Sendo assim, deve-se
renomear o arquivo squid.conf para squid_backup.conf. Após isto, já é possível
trabalhar em um arquivo squid.conf novo. Então:
→ vi squid.conf
Este comando abrirá este arquivo para edição, porém como o mesmo
não existe (pois o original foi renomeado) um novo será criado. As seguintes
linhas devem ser incluídas dentro deste arquivo:
# porta padrão do squid
http_port 3128
visible_hostname localhost
#definir sites bloqueados
acl blockedsites url_regex -i “/etc/squid/sites_bloqueados/block.txt”
#definir sites permitidos
acl unblockedsites url_regex -i “/etc/squid/sites_desbloqueados/unblock.txt”
acl all src 0.0.0.0/0.0.0.0
#proxy pai do squid
cache_peer proxy.unioeste.br parent 8080 3128 proxy-only
#negar acesso HTTP à variável blockedsites e permitir à variável
unblockedsites
http_access deny blockedsites !unblockedsites
http_access allow all
Após isto, deve-se alterar as configurações padrão do navegador de
internet utilizado na máquina, neste exemplo o firefox. Em configurações
avançadas de rede, deve-se selecionar para obter uma configuração manual
de proxy e então redirecionar o protocolo HTTP para localhost (o nome definido
em visible_hostname) e porta 3128 (padrão do Squid).
No Squid também é possível impedir acessos à sites com conteúdo
indevido. Note que em:
#definir sites bloqueados
acl blockedsites url_regex -i “/etc/squid/sites_bloqueados/block.txt”
#definir sites permitidos
acl unblockedsites url_regex -i “/etc/squid/sites_desbloqueados/unblock.txt”
É definido um caminho para uma lista de sites bloqueados e permitidos.
Sendo assim, deve-se criar um arquivo do tipo .txt dentro de uma pasta
definida sites_bloqueados, contendo uma lista de sites bloqueados, por
exemplo:
www.google.com
www.uol.com
www.orkut.com
orkut
pornografia
Note que é possível bloquear os acessos apenas pelo intermédio de
palavras chaves, vide orkut e pornografia.
Feitos todos estes passos, é possível agora colocar em funcionamento o
servidor Squid. Dentro do diretório /etc/init.d deve-se entrar com o seguinte
comando:
→ squid start
Funcionalidades Extras
•
Restringir acesso por horário
É possível restringir os acessos à internet por horários
programados. Deve- se inserir os seguintes comandos:
#Horários
acl expediente time MTWHF 9:00 – 18:00
acl final_de_semana time SA 8:00 – 13:00
Onde :
S: Domingo
M: Segunda-Feira
T: Terça-feira
W: Quarta-feira
H: Quinta-feira
F: Sexta-feira
A : Sábado
Exemplo:
Controlar o acesso do computador 192.168.1.71 das 9:00 às
12:00 e das 13:30 às 18:00 de segunda a sexta-feira:
acl microip71 src 192.168.0.71/255.255.255.255
acl manhamicroip71 time M T W H F 9:00-12:00
acl tardemicroip71 time M T W H F 13:30-18:00
Pra LIBERAR acesso:
http_access allow microip71 manhamicroip71
http_access allow microip71 tardemicroip71
pra PROIBIR acesso:
http_access deny microip71 manhamicroip71
http_access deny microip71 tardemicroip71
Exemplo: Pra liberar somente no horário de almoço, todos os dias das
12 as 13:30 e após o expediente às 18:00hs:
acl microip71 src 192.168.0.71/255.255.255.255
acl manhamicroip71 time M T W H F 12:00-13:30
acl tardemicroip71 time M T W H F 18:00-24:00
http_access allow microip71 manhamicroip71
http_access allow microip71 tardemicroip71
• Limitar o número de conexões por usuário
É possível restringir o número de sessões que um determinado
usuário pode requisitar de uma única vez. O recurso máximo de
conexões pode ser atribuído da seguinte forma:
#Máximo de conexões
acl CONEXOES maxconn 5
http_access deny CONEXOES rede_interna
• Gerar Relatórios de acesso
O Squid emite um log de acessos à internet que pode ser
transformado em relatórios com o uso da ferramenta SARG. Para tanto,
sua instalação e configuração é necessária:
→ wget http://web.onda.com.br/orso/sarg-1.4.tar.gz
→ tar zxvf sarg-1.4.tar.gz
→ cd sarg-1.4/
→ ./configure
→ make
→ make install
Configurando o SARG:
Por padrão o SARG é instalado em /usr/local/sarg .Nesse diretório
encontra-se o arquivo sarg.conf. As seguintes opções são
recomendadas:
# indica o arquivo de log do squid
→ access_log /var/log/squid/access.log
→ title “Relatório de uso da Internet”
→ temporary_dir /tmp
# Onde será gerado o relatório
→ output_dir /var/www/squid-reports
→ resolve_ip no
# Se estiver usando autenticação por usuário deve-se colocar yes
→ user_ip yes
→ topuser_sort_field BYTES reverse
→ topsites_num 100
→ max_elapsed 28800000
Em seguida, para gerar um relatório deve-se emitir o comando
→ sarg
Figura 01: Relatório emitido pelo SARG
• Autenticando usuários
É um recurso bem interessante para controle pessoal de usuários,
pois permite que ACLs individuais sejam criadas gerando assim LOGs
de qualidade e precisão superiores. O ncsa_auth é a alternativa mais
simples, pois está disponível junto com o Squid e pode ser
implementado rapidamente.
→ Procure pela TAG: authenticate_program
insira os seguintes comandos:
auth_param basic program /usr/lib/squid/ncsa_auth /etc/squid/
auth_param basic children 5
auth_param basic realm Digite seu Login
Para tanto, cada usuário necessitará uma senha de acesso.
Deve-se criar o arquivo que conterá todas as senhas dos usuários:
→ touch /etc/squid/passwd
Para adicionar novos usuários deve-se emitir:
→ htpasswd /etc/squid/passwd NOVO_USUARIO
Dependendo da distribuição do Squid, o ncsa_auth pode estar em
vários lugares diferentes.
Comandos úteis para o Squid
Reiniciando a cache do Squid:
→ squid -z
Reiniciando as configurações do Squid:
→ squid -k reconfigure
Parar o serviço do Squid:
→ squid stop
Reiniciar o serviço do Squid:
→ squid restart
Verificar status do Squid, se está rodando ou não:
→ squid status
Para carregar o Squid junto com a inicialização do Linux:
→ chkconfig squid on
Dicas De Squid:
•
Edite o arquivo /etc/squid.conf e leia atentamente os comentários, pois
neles existem explicações pra configurações possíveis...
•
Squid para de analizar as regras na primeira que for atentida, quando
precisar de alguma excessão de regra, por exemplo liberar um IP para
não passar pelas regras, esta deverá se colocada antes da que proibe.
Download

Tutorial Servidor Proxy com Squid