Linux Network Servers

Proxy Squid

www.4linux.com.br

-2

Sumrio
Proxy Squid Parte 1.................................................................................................................... 3
1.1. Objetivos ........................................................................................................................ 4
1.2. Introduo ...................................................................................................................... 4
1.2.1. Proxy Manual ........................................................................................................................ 5
1.2.2. Proxy Transparente .............................................................................................................. 5

1.3. O que uma ACL? .......................................................................................................... 6

1.3.1. Tipos de ACL ......................................................................................................................... 6

1.4. Squid como cache ........................................................................................................ 10

1.4.1. Cache em disco ................................................................................................................... 11

1.5. Configurando um cliente manualmente........................................................................14

1.5.1. Testando os filtros .............................................................................................................. 17

1.6. Criando Blacklists e Whitelists ..................................................................................... 20

1.6.1. Testando os filtros .............................................................................................................. 21

1.7. Proxy com autenticao ............................................................................................... 26

ndice de tabelas
ndice de Figuras

Proxy Squid Parte 1 - 3

Proxy Squid Parte 1

Proxy Squid Parte 1 - 4

1.1. Objetivos
Funes do Squid: Cache / Filtro de contedo;
O que um ACL?
Instalao do Squid;
Configurao da estrutura do Cache em disco e memria RAM;
Configurao de um exemplo de filtro de contedo;
Proxy com autenticao;

1.2. Introduo
Nesta aula, iremos observar algumas particularidades do Proxy web Squid,
uma soluo Open Source amplamente utilizada no mercado como: acelerador e filtro
de contedo Web.
Imagine que os seus usurios necessitem acessar com frequncia um site de
notcias. A cada requisio, o navegador Web resolve o DNS deste site, faz a
requisio ao servidor Web encontrado e traz o contedo at o usurio.

Agora, imagine que 500 clientes esto acessando este site. Desperdcio de
banda, no acha?

As solues Web Proxy foram desenvolvidas justamente para contornar este

problema. Imagine o mesmo cenrio acima, s que desta vez, ao invs de consultar o
site, o navegador consulta o "Web Proxy" previamente configurado, e ento o
servidor "proxy" faz a consulta ao site, s que antes de entregar a requisio ao
cliente, o servidor "proxy" armazena o contedo do site em um diretrio num disco
rgido e, quando um segundo cliente acessar o mesmo site, o servidor "proxy" verifica
se o contedo esta armazenado em "cache".

Proxy Squid Parte 1 - 5

Em caso positivo, o servidor entrega o contedo do "cache", acelerando a
navegao e economizando banda. Alm disso, o "Web Proxy" tambm pode agir
como filtro de contedo, verificando se desejvel que aquele contedo seja
acessvel para aquele usurio, endereo IP ou Mac Address, e ento libera ou nega o
acesso de acordo com o especificado nas ACL's (Access Control List), item que
veremos mais adiante.
O Web Proxy pode trabalhar de dois modos: manual ou transparente.

1.2.1. Proxy Manual

Em um proxy manual, o navegador sabe que necessrio fazer uma

requisio ao servidor "proxy", ento temos uma srie de funes que o "browser"
pode solicitar, como forar a atualizao do "cache", verificar se as credenciais de
autenticao foram fornecidas previamente, ou seja, o cliente sabe que deve falar
com um "proxy" e far a requisio direto a este. Alm disso, o servidor, por sua vez,
possui o nmero IP do cliente que fez aquela requisio, o que possibilita criar regras
especficas e controle de logs mais apurados.

1.2.2. Proxy Transparente

Em um proxy transparente no h necessidade de configurarmos o "browser".

O cliente far sua requisio ao "gateway" padro daquela rede e ento, com uma
regra de "firewall" previamente configurada, o "gateway" far o redirecionamento
para o proxy, que por sua vez realizar seu trabalho.
A maior vantagem deste modelo que no temos a necessidade de
configurarmos os navegadores Web manualmente, o que seria justificvel em uma
rede onde no temos o poder de manipular o computador dos usurios, como um
provedor de internet, por exemplo.

Proxy Squid Parte 1 - 6

Em compensao, perderemos a flexibilidade dos logs e autenticao, j que o
navegador web no sabe que est passando por um proxy e tambm teremos que
fazer "NAT" para acessos a sites que utilizam "HTTPS", j que o "Squid" no sabe
lidar com este tipo de contedo quando est trabalhando de forma transparente.

1.3. O que uma ACL?

ACL, ou Access Control List, como o prprio nome diz uma maneira de criar
listas de acesso no Squid.
Com elas podemos criar uma regra dizendo que a ACL de nome "MyNetwork"
engloba todos os endereos originados em 192.168.200.0/24, ou seja, uma ACL que
"casa" com a rede inteira.

1.3.1. Tipos de ACL

Basicamente, as ACL's disponveis no Squid para utilizao na maioria dos

casos podem ser agrupadas na seguinte lista:
ACL's de origem
ACL's de destino
ACL's de horrio

E sua utilizao acontece da seguinte forma:

acl <nome da acl> <tipo da acl> <padro da acl>

Proxy Squid Parte 1 - 7

ACL's de origem so utilizadas para controlar todo e qualquer acesso que
tenha como origem um determinado padro. Essa origem, geralmente um endereo
de host ou endereo de rede.
Tambm pode ser configurado um domnio, mas tenha em mente que, neste
caso, necessrio que seu servidor Proxy esteja completamente hbil a resolver
estes endereos.

acl MyNetwork src 192.168.200.0/24

acl gateway src 192.168.200.1

ACL's de destino so mais comuns e popularmente utilizadas para criar

padres que casem com determinados endereos de rede, endereos de domnio,
partes de um domnio e tambm por expresses regulares. Vamos dar uma olhada na
construo dessas ACL's.

acl Servers dst 192.168.200.2 192.168.200.3

acl 4linux dstdomain .dexter.com.br
acl Brasil dstdomain .com.br

Proxy Squid Parte 1 - 8

ACL's de horrio so muito teis, quando queremos, por exemplo, permitir
acesso a sites de relacionamento durante o horrio de almoo ou fora do horrio de
expediente.

acl almoco time 13:00-14:00

acl parte_manha time 08:00-12:59

Outro formato:
acl parte_manha time MTWHF 08:00-12:59

Abreviao

Dia da semana

domingo

segunda-feira

tera-feira

quarta-feira

quinta-feira

sexta-feira

sbado

Proxy Squid Parte 1 - 9

LEMBRETE Tipos de ACL

src Filtro por rede ou endereo IP;
time Filtro por hora e dia da semana;
urlpath_regex filtro de complemento de uma "url";
url_regex Filtro de uma "string" na "url";
dstdomain Filtro de uma "url";
proxy_auth Filtro por usurios autenticados;
arp Filtro por "MAC Address";
maxconn Filtro por conexes;
proto Filtro por protocolos;
port Filtro por porta.

Para saber quais so e como utiliz-las, acesse:

http://wiki.squid-cache.org/SquidFaq/SquidAcl#head021f45033c4ee1b1fc5bdd4f5c49ddcd08f45bd1

Para instalar o squid, execute o comando abaixo:

# aptitude install squid

Para administrar o squid, necessrio saber onde encontram-se determinados

arquivos:
/etc/squid/squid.conf - Arquivo de configurao
/var/log/squid/*- Arquivos de log do squid.
/var/spool/squid - Diretrio que contm o cache do squid

Proxy Squid Parte 1 - 10

Faa backup do arquivo de configurao original:
# cp /etc/squid/squid.conf /etc/squid/squid.conf.backup

# vim /etc/squid/squid.conf

Para que o squid oua apenas uma rede, troque o valor do parmetro
"http_port 3128" para:
http_port 192.168.200.1:3128

1.4. Squid como cache

Imagine que os seus usurios necessitam acessar com frequncia um site. A

cada requisio, o DNS deste site resolvido, faz a requisio ao servidor Web
encontrado, traz o contedo at o usurio.
Agora, imagine que 300 clientes esto acessando este site... As solues Web
Proxy foram desenvolvidas justamente para contornar este problema.
O servidor Proxy faz a consulta ao site, s que, antes de entregar a requisio
ao cliente, o servidor Proxy armazena o contedo do site em um diretrio do disco
rgido e, quando um segundo cliente acessar o mesmo site, o servidor Proxy verifica
se o contedo est armazenado em cache. Isso acelera e economiza banda!

Proxy Squid Parte 1 - 11

1.4.1. Cache em disco

cache_dir <tipo> <diretrio> <espao> <L1> <L2> <opes>

tipo: Para a maioria dos casos, o padro ufs o ideal. Os tipos diskd e aufs
so utilizados para IO assncrono. O cache em disco pode ser desabilitado
definindo o tipo como null (se suportado).
diretrio: Especifica o caminho onde os objetos sero armazenados. Caso o
cache no seja desejado, defina o caminho como /dev/null.
espao: Especfica o tamanho mximo para o cache em disco. Se atingir o
espao mximo, os objetivos sero repostos.
L1 e L2: L1 corresponde ao nmero de subdiretrios criados a partir do
diretrio de spool (cache) representado por <diretrio> e L2 ao nmero de
subdiretrios criados abaixo de L1.

Iremos especificar 500MB de cache, com 16 diretrios e 256 subdiretrios:

cache_dir ufs /var/spool/squid 500 16 256

/var/spool/squid indica o diretrio no qual o Squid armazena os arquivos do

cache; O 500 indica a quantidade de espao no HD (em MB) que ser usada para o
cache.
Voc pode aumentar o valor se voc tiver mais espao no disco e quiser que o
Squid armazene os arquivos baixados por mais tempo. Os nmeros 16 e 256 indicam
a quantidade de subdiretrios que sero criados dentro do diretrio.

Proxy Squid Parte 1 - 12

Definindo o cache que ser armazenado em memria:
cache_mem 32 MB

Voc pode reservar 16 ou 32 ou 64 MB para o cache em um servidor no

dedicado, que atende a apenas alguns computadores (como o servidor de uma
pequena rede local) e at 1/3 da memria RAM total em um servidor proxy dedicado.
Para que o cache na memria armazene arquivos de at 128 KB, por exemplo,
adicione a linha:
maximum_object_size_in_memory 128 KB

Se voc quiser que o cache armazene arquivos de at 256 MB, por exemplo,
as linhas ficariam:
maximum_object_size 256 MB
minimum_object_size 0 KB

Por padro, sempre que o cache atingir 95% de uso, sero descartados
arquivos antigos at que a porcentagem volte para um nmero abaixo de 90%:
cache_swap_low 90
cache_swap_high 95

Agora, iremos parar o squid, verificar a sintaxe do arquivo de configurao,

gerar o cache e ento reiniciaremos o squid.
# squid -z
# invoke-rc.d squid start

Proxy Squid Parte 1 - 13

Dica: Toda vez que voc mudar as ACL's voc deve executar os comandos:
# squid -k parse
# squid -k reconfigure

Procure uma linha semelhante a esta:

# INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM

YOUR CLIENTS

Agora, depois desta linha, crie uma acl com a rede de origem, uma acl para
domnios .com e uma acl para o domnio globo.com:

acl RedeDexter src 192.168.200.0/24

acl Internacional dstdomain .com
acl Globo dstdomain .globo.com

Procure uma string chamada http_access deny all e coloque o seguinte

contedo, antes desta regra:

http_access allow RedeDexter Globo

http_access deny RedeDexter International
http_access allow RedeDexter
http_access deny all

Proxy Squid Parte 1 - 14

A varivel http_access deny all garante que s sero aceitos acessos cujo
contedo seja equivalente uma das ACLS acima.

# /etc/init.d/squid restart

1.5. Configurando um cliente manualmente

Proxy Squid Parte 1 - 15

Proxy Squid Parte 1 - 16

Proxy Squid Parte 1 - 17

1.5.1. Testando os filtros

Tente acessar agora os seguintes endereos:

http://www.google.com
http://www.google.com.br
http://www.globo.com

Proxy Squid Parte 1 - 18

Proxy Squid Parte 1 - 19

Proxy Squid Parte 1 - 20

1.6. Criando Blacklists e Whitelists

O conceito de Blacklist e Whitelist muito simples:
Blacklist - Uma lista de palavras que eu quero negar.
Whitelist - Uma lista de domnios que eu quero liberar, mas que casam com a
blacklist.
Para exemplificar o uso de blacklists e whitelists, vamos criar duas ACL's, uma
negando qualquer url que contenha a palavra Linux, e outra liberando os sites
www.linux.com e www.4linux.com.br.

Proxy Squid Parte 1 - 21

# vim /etc/squid/squid.conf
acl RedeDexter src 192.168.200.0/24
acl Internacional dstdomain .com
acl Globo dstdomain .globo.com
acl blacklist url_regex linux
acl whitelist dstdomain www.linux.com www.4linux.com.br
http_access allow localhost
http_access allow RedeDexter whitelist
http_access deny RedeDexter blacklist
http_access allow RedeDexter Globo
http_access deny RedeDexter Internacional
http_access allow RedeDexter
http_access deny all

# /etc/init.d/squid restart

1.6.1. Testando os filtros

Tente acessar agora os seguintes endereos:

http://www.4linux.com.br
http://www.linux.com
http://www.br-linux.org
http://www.vivaolinux.com.br

Proxy Squid Parte 1 - 22

Proxy Squid Parte 1 - 23

Proxy Squid Parte 1 - 24

Proxy Squid Parte 1 - 25

Proxy Squid Parte 1 - 26

1.7. Proxy com autenticao

Autenticao NCSA
O "Squid" possui um mecanismo de autenticao que pode trabalhar de
diversas maneiras, e uma delas, a NCSA, utiliza o mesmo mecanismo de autenticao
do servidor Web Apache.
Vamos configurar esse modelo de autenticao e criar uma ACL que exija
autenticao tambm.
Vamos configurar a autenticao do Squid, adicionado o contedo abaixo no
incio do arquivo /etc/squid/squid.conf:

# vim /etc/squid/squid.conf

Descomente a linha abaixo:

# auth_param basic program /uncomment and complete this line\

E a deixe assim:
auth_param basic program /usr/lib/squid/ncsa_auth /etc/squid/passwd

A tendncia usar um valor alto para dificultar o uso de programas de fora

bruta que tentam por meio de ataques com dicionrios descobrir a senha do usurio:
auth_param basic children 5

Proxy Squid Parte 1 - 27

O tempo de expirao da senha tambm pode ser alterado, o padro uma
hora:
authenticate_ttl 1 hour

Definindo um ACL para ativar o recurso de autenticao:

acl password proxy_auth REQUIRED

Devemos dar permisso a essa ACL antes de qualquer outra:

http_access deny !password

Cadastre um usurio para testar a autenticao.

Esse utilitrio faz parte do pacote apache2-utils, caso no esteja instalado,

instale-o:
# htpasswd -c /etc/squid/passwd mandarkglory

Obs.: Para cadastrar um segundo usurio retirar a flag -c.

Aps toda a configurao, podemos reiniciar o servio do Squid:

# /etc/init.d/squid restart

Proxy Squid Parte 1 - 28

Na prxima aula iremos ver como fazer autenticao usando a base de

dados do OpenLDAP!