Servidor de Proxy com Squid

Proxy - Squid

Prof. Incio Alves

Instituto Federal de Educao, Cincia e Tecnologia do Cear - IFCE
Departamento de Telemtica
Curso Tcnico em Informtica

Maracana / 2013

Prof. Incio Alves

Servidores - Aula 21

1 / 18

Roteiro

1 Configurando um Servidor de Proxy com SQUID

SQUID

Prof. Incio Alves

Servidores - Aula 21

2 / 18

Squid I
Proxy
Um proxy permite que a conexo de internet seja

compartilhada entre diversos micros.

A diferena entre um NAT, que no NAT o servidor

simplesmente repassa os pacotes enquanto num proxy o

servidor analisa o contedo e pode armazenar
informaes para uso posterior.
Com base nessa anlise, o proxy pode liberar ou bloquear

solicitaes (por exemplo, barrando certos contedos ou

URLs)
Um proxy pode ainda solicitar autenticao antes de

liberar acesso. Com esta autenticao, diferentes nveis

de bloqueios podem ser implementados.
Prof. Incio Alves

Servidores - Aula 21

3 / 18

Outras vantagens de um proxy I

Vantagens
possvel restringir o acesso com base em login/senha,

horrio, contedo do site, rede/ip de origem, contedo da

URL etc.
Funciona como um cache de pgina guardando as

pginas j visitadas pelos usurios. Assim, se outro

usurio da rede resolve acessar a mesusma pgina esta
ser entregue quase que instataneamente sem uma nova
consulta ao servidor da pgina.

Vantagens

Prof. Incio Alves

Servidores - Aula 21

4 / 18

Outras vantagens de um proxy II

Mesmo com pginas dinmicas que mudam a cada visita,

imagens, banners, animaes so imutveis. Com estes

arquivos armazenados, o proxy carrega apenas o que
mudou na pgina sem precisar fazer o download dos
arquivos novamente.
Podemos armazenar logs de conexo para anlise

posterior bem como para gerao de relatrios e grficos.

Prof. Incio Alves

Servidores - Aula 21

5 / 18

Instalando o Squid I

O squid composto de um nico pacote, para instal-lo no

Debian/Ubuntu use o apt-get:

Instalao
apt-get install squid3

Configuraes
As configuraes do squid so feitas no arquivos
/etc/squid3/squid.conf

Prof. Incio Alves

Servidores - Aula 21

6 / 18

Configurando o Squid I
Configuraes
O arquivo de configurao original /etc/squid3/squid.conf
possui centenas de opes j previamente configuradas.
Vamos renomear este arquivo para
/etc/squid3/squid.conf.orig
e criar um novo arquivo vazio
touch /etc/squid3/squid.conf
e insira o seguinte contedo

Prof. Incio Alves

Servidores - Aula 21

7 / 18

Configurando o Squid II

Contedo do arquivo
http_port 3128
visible_hostname gdh
acl all src 0.0.0.0/0.0.0.0
http_access allow all

Reinicie o servio
service squid3 restart

Prof. Incio Alves

Servidores - Aula 21

8 / 18

Configurando o browser

Prof. Incio Alves

Servidores - Aula 21

9 / 18

Configurando o browser

Prof. Incio Alves

Servidores - Aula 21

10 / 18

Observaes Importantes I
Sobre a configurao
As linhas acima so suficientes para que o servio

funcione
Com esta configurao, apenas estamos dizendo ao squid

para repassar as requisies. Logo, em nada difere de

configurar um NAT.
Para opes omitidas, o squid utiliza as opes padro

(default)
Do ponto de vista da segurana da rede, no temos

qualquer segurana utilizando esta configurao.

Quando voc reiniciar o servio, o SQUID ir avisar sobre

as falhas de segurana.

Prof. Incio Alves

Servidores - Aula 21

11 / 18

Observaes Importantes II
Dissecando as opes
http_port 3128: A porta onde o servidor Squid vai ficar
disponvel. A porta 3128 o default, mas muitos
administradores preferem utilizar a porta 8080, que soa mais
familiar a muitos usurios.
visible_hostname gdh: O nome do servidor, o mesmo que foi
definido na configurao da rede. Ao usar os modelos desse
captulo, no se esquea de substituir o gdh pelo nome
correto do seu servidor, como informado pelo comando
hostname.
acl all src 0.0.0.0/0.0.0.0: Esta linha cria uma acl chamada all
que engloba todos os endereos IP.
http_access allow all: Esta linha permite que os membros da
acl all acessem o proxy.

Prof. Incio Alves

Servidores - Aula 21

12 / 18

Observaes Importantes III

Prof. Incio Alves

Servidores - Aula 21

13 / 18

Melhorando a configurao I
http_port 3128
visible_hostname debian
#
acl localhost src 127.0.0.1/32
acl redelocal src 172.30.0.0/24
#
http_access allow localhost
http_access deny !redelocal
#
acl SSLPorts port 443 563
acl SafePorts port 80 # Web
acl SafePorts port 443 # SSL
acl SafePorts port 563
acl SafePorts port 1025-65535 # Portas altas
#
Prof. Incio Alves

Servidores - Aula 21

14 / 18

Melhorando a configurao II

http_access deny !SafePorts

#
http_access deny all

Prof. Incio Alves

Servidores - Aula 21

15 / 18

Simplificando a configurao I
http_port 3128
visible_hostname debian
#
acl localhost src 127.0.0.1/32
acl redelocal src 172.30.0.0/24
#
http_access allow localhost
http_access deny !redelocal
#
acl SSLPorts port 443 563
acl SafePorts port 80 443 563 1025-65535
#
http_access deny !SafePorts
#
http_access deny all
Prof. Incio Alves

Servidores - Aula 21

16 / 18

Proxy Autentidado I
http_port 3128
visible_hostname debian
#
acl localhost src 127.0.0.1/32
acl redelocal src 172.30.0.0/24
#
auth_param basic realm IFCE-Proxy
auth_param basic program /usr/lib/squid3/ncsa_auth
/etc/squid3/squidpasswd
acl autenticados proxy_auth REQUIRED
http_access allow autenticados
#
http_access allow localhost
http_access deny !redelocal
#
Prof. Incio Alves

Servidores - Aula 21

17 / 18

Proxy Autentidado II

acl SSLPorts port 443 563

acl SafePorts port 80 443 563 1025-65535
#
http_access deny all

Prof. Incio Alves

Servidores - Aula 21

18 / 18