Como Montar Um Servidor Proxy - Cache

UnderLinux
Como Montar um Servidor Proxy/Cache

Autoria de
11 de novembro de 2005
Este artigo mostra de maneira fácil e simplificada o passoa a passo para criação de um Servidor com Proxy feito pelo
squid.
Para implementarmos esta solução utilizei como base o Red Hat 9.0 ou mesmo o Conectiva 8.
Este artigo reúne de maneira simplificada os passos a seguir, para montagem de um Servidor com Proxy/Cachê.
Não estarei abordando a instalação do Sistema Operacional, estarei considerando o mesmo já instalado, apenas
colocarei algumas considerações importantes.
A instalação do Linux deve ser básica, e em modo personalizado. O sistema de particionamento deve ser o seguinte:
(Estamos considerando um H.D. de 20 Gb)
- swap – 512 Mb
- /boot – 75 Mb
- / - O restante do HD
Durante a instalação será pedido os IPs das interfaces de rede. Deixe a eth1 para o IP da internet e a eth0 o IP de sua
rede interna. Na eth1 defina o IP, o gateway, a máscara de sub-rede e os endereços de DNS do seu provedor. Já para
eth0 vamos colocar como IP, 192.168.0.1 e máscara de sub-rede 255.255.255.0, o restante deixaremos em branco.
Concluída a instalação do Sistema Operacional devemos plugar o cabo que vem da rede interna na interface eth0 (Utilize
o comando mii-tool para identificar se houve link nas mesmas) e o cabo que vem do seu roteador, ou mesmo medem,
na eth1.
Bom, agora teremos que colocar Internet no servidor, afim de atualizarmos alguns pacotes e baixarmos outros.
Devemos adicionar a rota padrão para o gateway, para isso utilizaremos o seguinte comando:
#route add –net default gw
Devemos agora, ativar o repasse de pacotes do kernel
Edite o arquivo sysctl.conf, que se encontra em: /etc/sysctl.conf
#vi /etc/sysctl.conf
Altere a linha net.ipv4.ip_forward = 0, para o valor 1, ficando assim: net.ipv4.ip_forward = 1.
Depois dessas alterações você terá que pingar para fora. Dê um ping www.underlinux.com.br, verifique se houve
respostas, caso contrário, cheque suas configurações DNS, no arquivo resolv.conf, que se encontra em /etc/resolv.conf.
Caso não esteja setado os endereços de DNS, edite o arquivo e adicione as seguintes linhas:
nameserver 200.xxx (DNS Primário ou pincipal)

nameserver 200.xxx (DNS Secundário ou alternativo)
Passaremos agora a baixar os aplicativos para construção do Servidor, os mesmos devem ser baixados da Interrnet afim
de termos os pacotes mais atualizados. Para isso, teremos que instalar o APT, software que irá nos auxiliar no
processo de instalação dos aplicativos.
Para o Red Hat 9.0, iremos baixar o APT da seguinte maneira:
#wget http://ftp.freshrpms.net/pub/freshrpms/redhat/9/apt/apt-0.5.5cnc6-fr1.i386.rpm
Após baixá-lo, iremos descompactar o arquivo.
#rpm –ivh apt-0.5.5cnc6-fr1.i386.rpm

(Estamos considerando que o pacote baixado é rpm).
Agora que o aplicativo APT encontra-se instalado, iremos atualizar a árvore de pacotes
#apt-get update
Vamos agora, fazer a instalação do aplicativo Squid, que é responsável pelo funcionamento do Proxy/Cache.
http://www.underlinux.com.br Powered by Joomla! Gerado em: 26 July, 2006, 14:22

UnderLinux
#apt-get install squid

(Qualquer outra instalação de pacotes, pode ser feita seguindo esse procedimento, apenas substituindo o squid, pelo
aplicativo a ser instalado).
Vamos agora acessar o diretório do squid, para realizarmos as configurações necessárias

O arquivo de configuração do squid, squid.conf, encontra-se no diretório /etc/squid.
Acesse esse diretório. Dentro dele vamos criar outro para colocarmos as blacklists. (Conjunto de palavras que serão
recusadas para o squid).
Crie um diretório chamado bloqueados.
# mkdir bloqueados
Dentro desse diretório, iremos criar os seguintes arquivos, block.txt, unblock.txt

Para criar os arquivos, dê o seguinte comando:
#touch block.txt
#touch unbloc.txt
No arquivo block.txt serão adicionadas todas as palavras proibidas de serem acessadas. Já no arquivo unblock.txt,
serão adicionadas as exceções.
Agora passaremos para a configuração do squid propriamente dito.
O squid.conf é um arquivo que vem com muitos comentários em inglês, portanto iremos limpar o squid.conf, afim de
melhor compreendermos e trabalharmos com as regras do mesmo.
Antes da limpeza, faça uma cópia de segurança do squid.conf.
#cp squid.conf squid.conf.defaults
O comando para limpeza do squid.conf é o seguinte:
#egrep -v "^#|^$" squid.conf.defaults > squid.conf
Feito isso, vamos editar o squid.conf

Faça as mudanças no mesmo assim como segue o exemplo abaixo.
#Porta utilizada pelo squid

http_port 3128
#Nome do seu servidor (sem espaços)
visible_hostname nameserver.seudominio.com.br
#Memória utilizada para objetos em trânsito – Não mexer
cache_mem 64 MB
#Não altetar as linhas abaixo
maximum_object_size_in_memory 10 MB
maximum_object_size 10 MB
minimum_object_size 0 KB
cache_swap_low 90
cache_swap_high 95
#Local onde sera armazenado o cache do squid
#O valor 1000 indica a quantidade em Mb que o cachê do squid #irá utilizar. Como podem ver, criamos 6 partições de
cachê com 3Gb cada uma. Você adapta pro tamanho do seu HD.
cache_dir ufs /var/spool/squid/cache1 3000 16 256

#Local onde sera guardado os logs do squid

cache_access_log /var/log/squid/access.log
#Converte as mensagens geradas pelo squid par o Português
error_directory /usr/share/squid/errors/Portuguese
refresh_pattern ^ftp: 15 20% 2280
UnderLinux
refresh_pattern ^gopher: 15 0% 2280

refresh_pattern . 15 20% 2280
acl all src 0.0.0.0/0.0.0.0

acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl SSL_ports port 443 563
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 901 # SWAT
acl purge method PURGE
acl CONNECT method CONNECT
http_access allow manager localhost

http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
#Definiremos aqui as regras para bloqueio dos sites pelas #palavras adicionadas no arquivo block.txt
acl blockedsites url_regex -i "/etc/squid/bloqueados/block.txt"
acl unblockedsites url_regex -i "/etc/squid/bloqueados/unblock.txt"
http_access deny blockedsites !unblockedsites
#Aqui você irá definir o IP da sua rede interna

acl redelocal src 192.168.0.0/24
http_access allow redelocal
http_access allow localhost
# Bloqueia navegacao. So libera pra faixa definida na "acl redelocal".

http_access deny all
# Proxy Transparente
httpd_accel_host virtual
httpd_accel_port 80
httpd_accel_with_proxy on
httpd_accel_uses_host_header on
--------------
Vale lembrar que os arquivos block.txt e unblock.txt devem ter conteúdo antes de inicializar o squid. No arquivo
block.txt coloque as palavras bloqueadas: sexo, pornô e etc. Já no arquivo unblock.txt você irá adicionar as exceções,
como por exemplo sexoesaude.
Vamos agora iniciar o squid, se tudo estiver configurado cerretamente, irá aparecer um OK, após o seguinte comando:
# service squid start
Bom, o proxy está pronto, não esquece de habilitar o squid na inicialização, caso você não saiba como, adicione a
seguinte linha no firewall que iremos criar.
#service squid start
Para criarmos o firewall, iremos criar um diretório dentro de etc, chamado firewall, e dentro do mesmo criaremos um
arquivo com o mesmo nome.
UnderLinux
Dentro do diretório firewall, dê o seguinte comando:
#touch firewall
Agora iremos adicionar os módulos do kernel que deverão ser carregados na inicialização. Esses módulos serão adicionados
dentro do arquivo firewall.
Dê um vi firewall e coloque as seguintes linhas:
#! /bin/bash
echo " INICIANDO FIREWALL "
# Ativa modulos
# -------------------------------------------------------
/sbin/modprobe iptable_nat
/sbin/modprobe ip_conntrack
/sbin/modprobe ip_conntrack_ftp
/sbin/modprobe ip_nat_ftp
/sbin/modprobe ipt_LOG
/sbin/modprobe ipt_REJECT
/sbin/modprobe ipt_MASQUERADE
echo "Carga dos Modulos OK!"
# Zera regras
# -------------------------------------------------------
/sbin/iptables -F
/sbin/iptables -X
/sbin/iptables -F -t nat
/sbin/iptables -X -t nat
/sbin/iptables -F -t mangle
/sbin/iptables -X -t mangle
echo "Flush das regras OK!"
# Proxy Transparente
# -------------------------------------------------------
# Nessa linha iremos mascarar os pacotes de saída para internet.
/sbin/iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
# Nessa regra iremos redirecionar todo tráfego da porta 80 da eth0 para a porta 3128 do squid.
/sbin/iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128
echo "Carga do Proxy Transparente OK!"
Salve o arquivo e dê permissão de execução para o mesmo, com o seguinte comando:
#chmod +x firewall
Agora teremos colocar a chamada a esse arquivo no arquivo rc.local, par ser inicializado junto com o sistema. O arquivo
rc.local encontrase em /etc/rc.d/rc.local
Acesse o mesmo (vi rc.local) e coloque a chamada para o firewall:
#/etc/firewall/firewall
(É a localização do nosso arquivo)
Após esse procedimento, reboot o servidor. Aguarde seu reinicio observando os processos, afim de verificar se não houve
nenhuma falha.
Proto!! Seu servidor com Cachê/Proxy está pronto.
As máquinas da rede interna devem ser configuradas da seguinte forma:
Endereço IP: 192.168.0.2 até 192.168.0.254

Máscara de Sub-rede 255.255.255.0
Gateway: será o IP da interface eth0 (rede interna) 192.168.0.1
DNS: Os DNS do seu provedor.
Quaisquer dúvidas, ou possíveis erros, por favor, postem no site.

UnderLinux
Flávio Augusto Batistela

Idioma

Como Montar Um Servidor Proxy - Cache

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Como Montar Um Servidor Proxy - Cache

Enviado por

Direitos autorais:

Formatos disponíveis

UnderLinux

Como Montar um Servidor Proxy/Cache

#route add &ndash;net default gw

Devemos agora, ativar o repasse de pacotes do kernel

Edite o arquivo sysctl.conf, que se encontra em: /etc/sysctl.conf

Altere a linha net.ipv4.ip_forward = 0, para o valor 1, ficando assim: net.ipv4.ip_forward = 1.

nameserver 200.xxx (DNS Primário ou pincipal)

Para o Red Hat 9.0, iremos baixar o APT da seguinte maneira:

Após baixá-lo, iremos descompactar o arquivo.

#rpm &ndash;ivh apt-0.5.5cnc6-fr1.i386.rpm

http://www.underlinux.com.br Powered by Joomla! Gerado em: 26 July, 2006, 14:22

#apt-get install squid

Vamos agora acessar o diretório do squid, para realizarmos as configurações necessárias

Crie um diretório chamado bloqueados.

Dentro desse diretório, iremos criar os seguintes arquivos, block.txt, unblock.txt

Agora passaremos para a configuração do squid propriamente dito.

#cp squid.conf squid.conf.defaults

O comando para limpeza do squid.conf é o seguinte:

#egrep -v "^#|^$" squid.conf.defaults > squid.conf

Feito isso, vamos editar o squid.conf

#Porta utilizada pelo squid

cache_dir ufs /var/spool/squid/cache1 3000 16 256

#Local onde sera guardado os logs do squid

refresh_pattern ^gopher: 15 0% 2280

acl all src 0.0.0.0/0.0.0.0

http_access allow manager localhost

#Aqui você irá definir o IP da sua rede interna

http_access allow localhost

# Bloqueia navegacao. So libera pra faixa definida na "acl redelocal".

# service squid start

#service squid start

Dentro do diretório firewall, dê o seguinte comando:

echo " INICIANDO FIREWALL "

Salve o arquivo e dê permissão de execução para o mesmo, com o seguinte comando:

As máquinas da rede interna devem ser configuradas da seguinte forma:

Endereço IP: 192.168.0.2 até 192.168.0.254

Quaisquer dúvidas, ou possíveis erros, por favor, postem no site.

Flávio Augusto Batistela

http://www.underlinux.com.br Powered by Joomla! Gerado em: 26 July, 2006, 14:22

Você também pode gostar

#route add –net default gw

#rpm –ivh apt-0.5.5cnc6-fr1.i386.rpm