LINUX

SERVIDOR
SERVIDOR PROXY

SQUID
SQUID
SERVIDOR PROXY
SERVIDOR PROXY

um servidor que se encontra entre o nosso

"browser" e o servidor final a que pretendemos
aceder.

este intercepta o nosso pedido ao servidor final para

verificar se ele proprio pode fornecer essa
informao.

caso o no consiga ento efectua esse pedido ao

servidor final.
SERVIDOR PROXY
SERVIDOR PROXY

Quando temos uma rede de computadores e

desejamos fazer com que todos eles fiquem ligados
internet a mel!or opo " usar um servidor pro#$

%m primeiro lugar o pro#$ evita ter de atribuir

enderenos &' e#ternos a todos os computadores da
rede. %m vez disso podemos configurar a rede
interna na gama de endereos ()*.(+,.(-.-.*/ que
fica protegida do e#terior.

%m segundo lugar o servidor pro#$ faz cac!e de

dados local o que permite racionalizar o uso da lin!a
de comunica0es e mel!orar a velocidade de acesso
ao e#terior.
SERVIDOR PROXY
SERVIDOR PROXY

'or e#mplo quando algu"m pede uma pgina 1eb

que outro utilizador j viu ! pouco tempo o servidor
pro#$ j no necessita de ir buscar ao e#terior dado
que j possui uma c2pia guardada no disco local.

3ssim quando o primeiro utilizador pode ter demorado

vrios minutos at" ver a pgina o segundo utilizador
obt"m a mesma pgina numa questo de alguns
segundos. 4 mesmo se passa para todos os acessos
subsequentes at" o tempo de validade da c2pia em
cac!e e#pire.
SERVIDOR PROXY
SERVIDOR PROXY

4 servidor pro#$ deve ser configurado num

computador com acesso directo ao e#terior.'or
e#emplo quando temos uma rede local em que
apenas um dos computadores possui um modem ou
placa 56&7 devemos instalar o servio pro#$ nesse
computador

%m 8&9:; e#istem vrios programas que permitem

criar servidores pro#$.

4s mais usados so os 7quid e o pr2prio 3pac!e.

SERVIDOR PROXY
SERVIDOR PROXY

Quando os utilizadores da rede interna s2 pretendem

navegar pela 1eb < protocolos =>>' e ?>' @ e enviar ou
receber eAmail ento um servidor de pro#$ e um servidor
de eAmail resolvem integralmente o problema de
BconectividadeC com o e#terior.

'elo contrrio quando os utilizadores pretendem usar

outros tipos de software como por e#emplo os programas
de &5D e &DQ ento temos de usar outras solu0es
como o &'Amasquerading que do acesso aos outros
servios.

9o entanto mesmo quando se utiliza o &'Amasquerading

continua a ser muito vantajoso usar o servidor pro#$ por
causa da cac!e local.
SERVIDOR PROXY
SERVIDOR PROXY

4s seus prop2sitos soE

3umentar a velocidade de acesso a um grupo de

utilizadores isto porque ele armazena a informao por
estes requisitada.

?iltrar os pedidos de informao a determinados sites

por e#emplo uma empresa pode evitar o acesso dos
seus empregados a determinados sites <;;;@.

4 7%5F&645 '54;G
7Q:&6
7Q:&6

4 7quid " um dos servidores de pro#$ mais poderosos

que e#istem e por esse motivo " o pro#$ escol!ido por
grande parte dos &7'.

'ara al"m de uma cac!e local de alta performance

possui uma arquitectura !ierrquicaque l!e permite
reutilizar a cac!e de outros pro#$s.

'or e#emplo numa rede local o pr2prio pro#$ local

pode passar todos os pedidos e#ternos ao pro#$ do
&7' onde estamos ligados.
4 7%5F&645 '54;G
7Q:&6
7Q:&6

'or sua vez o &7' a que estamos ligados tamb"m vai

estar ligado a outros &7' em paHses diferentes. 'or
e#emplo pode estar ligado a um superA&7' nos %:3 a
outro em &nglaterra e a outro na 3leman!a.

'ara ma#imizar a performance o pro#$ do &7' nacional

pode redireccionar os pedidos destinados ao estrangeiro
para os servidores de pro#$ dos superA&7' que esto mais
pr2#imos do destino.

Dom esta t"cnica consegueAse reduzir imenso o trfico

total na internet com todos os benefHcios inerentesE uma
grande mel!oria na velocidade global da rede e custos de
e#plorao mais bai#os.
4 7%5F&645 '54;G
7Q:&6
7Q:&6
9o e#emplo da rede local a
probabilidade de algu"m j ter ido ler a
mesma pgina 1eb que n2s desejamos
ler " muito bai#a. 3gora quando estamos
a usar um pro#$ de um &7' com mil!ares
de utilizadores a probabilidade j " muito
grande.
4 7%5F&645 '54;G
7Q:&6
7Q:&6

4 7quid oferece alto desempen!o de cache para

servidores web mas tamb"m oferece grandes
vantagens em comparao com outros servidores
proxyE

A 5ealiza al"m da cache de objectos como arquivos de
?>' e pginas da web uma cache de procuras de
697. &sso quer dizer que ele guarda informa0es
sobre o mapeamento entre endereos &' e nomes de
mquinas da &nternet acelerando a procura de
mquinasI

Jant"m os objectos mais utilizados na mem2ria 53J

<cujo uso pode ser limitado pela configurao@I
4 7%5F&645 '54;G
7Q:&6
7Q:&6

4 7quid suporta 778 <acesso a pginas

criptografadas@ para segurana em transa0esI

'ode ser organizado em !ierarquias de servidores de

cache para uma mel!oria significativa de
desempen!oI

5esponde Ks requisi0es num Lnico processo de

acesso a disco.
&97>383MN4 64
7Q:&6
7Q:&6

4 servidor pro#$ 7quid consiste num programa

principal <squid@ e do seu pr2prio programa de
resoluo de nomes <dnsserver@. Quando o 7quid "
inicializado cria o processo do dnsserver diminuindo
o tempo de espera pela resposta do 697.

'ara instalar o 7quid temos de comear por editar o

seu fic!eiro de configuraoE
O.etc.squid.squid.confP.
&97>383MN4 64
7Q:&6
7Q:&6

%ste fic!eiro " relativamente comple#o e tem dezenas

de op0es mas ao longo de todo fic!eiro e#istem
comentrios que e#plicam o seu significado.

3s op0es mais importantes permitem definir os

portos usados pelo servio os domHnios internos os
domHnios e#ternos e ainda criar uma lista de 3D8 par
definir quem pode usa o servio e quem no pode.

'or omisso o 7quid fica configurado no porto Q(*,

mas a maior parte dos administradores costuma
preferir usar o porto ,-,- < !ttpRport ,-,- @.
&97>383MN4 64
7Q:&6
7Q:&6

'ara lanar o 7quid " necessrio comear por criar

sa directorias de swap usadas para guardar a cac!e
localE
S .usr.sbin.squid Tz
6epois disso podemos mandar iniciar o servioE
S .etc.rc.d.init.d.squid start
&97>383MN4 64
7Q:&6
7Q:&6
4 7quid al"m de estar disponivel na
distribuio de 5= est disponivel na
internet nomeadamente em
www.squidAcac!e.org onde pode ser feito
o download do pacote j compilado para
5= ou do source code.
&97>383MN4 64
7Q:&6
7Q:&6
3 necessidade de utilizao de
funcionalidades avanadas como a
gesto de banda obriga compilao do
source code para instala0es simples
recomendaAse a instalao do binrio
pr2prioE
#rpm ivh squid.[ver].rpm
&97>383MN4 64
7Q:&6
7Q:&6

'ara verificar se o servio ficou efectivamente a

funcionar podemos usar o comando Ops a#P. 7e
tudo tiver correcto vamos encontrar vrios processos
com os nomes OsquidP OdnsserverP e OunlinUdP.
'elo contrrio se !ouve algum problema estes
processos morrem passado algum tempo.

'ara detectar a causa desses problemas temos de

consultar as mensagens de erro no fic!eiro log
O.var.log.squid.cac!e.logP. 6epois ! que voltar a
editar o fic!eiro de configurao e tentar lanar
novamente o servio at" tudo estar correcto.
&97>383MN4 64
7Q:&6
7Q:&6

Driar um pro#$ transparente

3dicionar ao fic!eiro de firewallE
#Iptables t NAT A P!"#TIN$ i [NI%] p tcp
dport &' ( !)I!%T **to*port +,-&
&97>383MN4 64
7Q:&6
7Q:&6

6evemos ter muito cuidado com a segurana.

'ara isso " necessrio criar uma 3D8 que limita o acesso ao
pro#$ apenas aos enderenos da rede localE
S 9o fic!eiro .etc.squid.squid.conf
acl all src -.-.-.- . -.-.-.-
acl localnet src ()*.(+,.-.- . *VV.*VV.*VV.-
acl local!ost src (*W.-.-.( . *VV.*VV.*VV.*VV
!ttpRacess allow local!ost
!ttpRacess allow localnet
!ttpRacess den$ all
&97>383MN4 64
7Q:&6
7Q:&6

:ma forma ainda mais segura de impedir o acesso

ao pro#$ consiste em usar as regras da firewall
<Oipc!ainsP.OiptablesP @ para fec!ar totalmente o
acesso as portos do pro#$ a partir da rede e#terna.

'or fim quando a configurao final tiver bem

afinada no nos podemos esquecer de usar um
editor de runlevels par activar o servio 7quid no
arranque do sistema. 'or e#emplo podemos usar o
O.usr.sbin.nts$svP ou o painel controlo Ored!atA
configAservicesP.
&97>383MN4 64
7Q:&6
7Q:&6

:ma defenio importante da configurao do

squid " o espao que usar para cac!eI estas
defeni0es so como todas as outras
introduzidas no squid.conf

Dac!eRmem b$tes

Dac!eRdir >$pe 6irector$9ame mb$tes level(

level*
X&X8&4Y53?&3
8&9:; T Durso completo . ?D3
&nternet A !ttpE..www.conectiva.com