Escolar Documentos
Profissional Documentos
Cultura Documentos
Squid Proxy
Dezembro de 2010
Funcionamento
Squid atua como um agente, recebendo pedidos dos clientes e repassando
estes para os servidores na Internet
Armazena uma cópia em disco do conteúdo transferido e faz uso
desta cópia em pedidos subsequentes para um mesmo conteúdo
Disco rı́gido
Velocidade de acesso – SAS ou SATA (taxa até 6Gb/s)
Espaço de armazenamento – Ex: dez usuários com consumo médio
diário de 10Mb irá consumir um espaço no cache de 1 Gb em apenas
10 dias
Memória RAM
Squid guarda em memória a tabela com os objetos armazenados no
cache
Obter tais informações no swap em disco resulta em uma maior demora
Poder de processamento
Squid quando usado somente como cache, sem controle de acesso, não
exige muito CPU
Ferramentas de relatórios de acesso consomem intensivamente o CPU
Instalação
2 # Nome da maquina
3 visible_hostname webproxy.empresa.com.br
4 # Ouvira nas portas 3128
5 http_port 3128
6 # Local onde armazenara o cache (tamanhoMb Level1_dir Level2_dir)
7 cache_dir ufs /var/spool/squid3 4000 16 256
8 # tamanho maximo de um unico objeto no cache em disco
9 maximum_object_size 16384 KB
10 # Registro de acessos
11 access_log /var/log/squid3/access.log squid
12 # Inclua a linha abaixo antes de 'http_acess deny all' ja' presente no
arquivo padrao
13 http_access allow localnet
http://www.squid-cache.org/Doc/config/acl/
Prof. Emerson R. de Mello (IFSC) Projeto e Configuração de Firewalls Dezembro de 2010 8 / 30
ACL – Exemplo 1
Nota
Faça uma cópia de segurança do arquivo squid.conf antes de iniciar este
exemplo.
22 # INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS
Arquivo texto deve conter uma URL ou uma palavra por linha
bloqueados.txt liberados.txt
38 megaupload.com 41 .uol.com.br
39 sexo 42 www.folha.com.br
40 batepapo 43 www.g1.com.br
/etc/squid3/squid.conf
MSN Messenger
59 acl msn urlpath_regex -i gateway.dll
60 acl msnd dstdomain messenger.msn.com gateway.messenger.hotmail.com
61 acl msn1 req_mime_type application/x-msn-messenger
Método Descrição
LDAP Lightweight Directory Access Protocol
NCSA Arquivo com usuário e senha no formato do NCSA
MSNT Domı́nio Windows NT
PAM Módulos PAM do Unix
SMB Servidor SMB (Windows ou Samba)
http://wiki.squid-cache.org/ConfigExamples/#Authentication
Configuração no squid.conf
NOTA
Se optar por usar o SARG em uma empresa/universidade é imprescindı́vel
que os usuários sejam avisados que o acesso deles a web está sendo
monitorado
Executando o sarg
110 sarg [-f arquivo-conf] [-d dd/mm/yyyy-dd/mm/yyyy] [-o dir-destino]
111 #!/bin/bash
112 SAIDA=/var/www/relatorio
113 SARG=`which sarg`
114 if [ $# -ne 1 ]; then
115 echo -e "Sintaxe errada.\n Informe d para diario e s para semanal"
116 echo "Exemplo: $0 d"
117 exit 1
118 fi
119 case $1 in
120 d)
121 DIR=$SAIDA/diario
122 PERIODO=$(date --date "1 day ago" +%d/%m/%Y)
123 PERIODO=$PERIODO-$PERIODO
124 ;;
125 s)
126 DIR=$SAIDA/semanal
127 HOJE=$(date --date "1 day ago" +%d/%m/%Y)
128 PERIODO=$(date --date "1 week ago" +%d/%m/%Y)`echo "-$HOJE"`
129 ;;
130 esac
NOTA
Os relatórios são compostos de muitos arquivos html e mantê-los por
grandes perı́odos pode esgotar o espaço em disco ou ainda o número de
inodes da partição. (Para verificar inodes: df -i)
Prof. Emerson R. de Mello (IFSC) Projeto e Configuração de Firewalls Dezembro de 2010 20 / 30
Controle de acesso ao relatório do SARG
1
http://oss.oetiker.ch/rrdtool
Prof. Emerson R. de Mello (IFSC) Projeto e Configuração de Firewalls Dezembro de 2010 22 / 30
Munin – Configuração
Master
155 apt-get install munin apache2
156 # Arquivo: /etc/munin/apache2.conf
157 # Trocar a linha Allow from localhost 127.0.0.0/8 ::1 por
158 Allow from all
159 # Arquivo: /etc/munin/munin.conf
160 # Trocar a linha: [localhost.localdomain] por
161 [nome-da-tua-maquina]
162 # Acrescentar as seguintes linhas para cada maquina que deseje
monitorar
163 [nome-da-outra-maquina]
164 address 192.168.1.10 # Coloque o IP da maquina node
165 use_node_name yes
Node
166 apt-get install munin-node
167 # Arquivo: /etc/munin/munin-node
168 # Permitindo que a maquina master (192.168.1.1) acesse o munin
169 allow ^192\.168\.1\.1$
/var 60% ocupado não é tão preocupante (Em junho houve uma
intervenção do administrador)