Agenda: 1- Introdução ao Proxy-Squid
2- Instalação e Configuração do Squid
3- Trabalhando no squid.conf
4- Trabalhando com Web-Cache
5- ACL Regra de Acesso, Filtro e Controle de Conteúdo
6- Log e Monitoramento de Acesso
7- Proxy Autenticado (Autenticação de usuários)
8- Proxy Transparente
9- Desafio Final (Construindo o Servidor do zero)
Servidor de Internet Proxy-Squid
Ambos funcionam como um intermediário entre a LAN e a Internet
Filtrar o tráfego de entrada, saída e redirecionamento
Filtro de pacotes x servidor Proxy
Filtro de Pacotes * camada 3 Rede
Filtro de Pacotes * camada 4 – Transporte
Servidor Proxy * camada 7 Aplicação
Filtro de pacotes x servidor Proxy
Otimizar a velocidade de conteúdo Web é amplamente usado em ambientes corporativos, tendo como vantagem fazer cache de conteúdo, Filtrar sites indesejados, controlar acesso e diminuir a utilização da banda de internet.
Objetivo do Proxy
Proxy referese a um software que atua como gateway de aplicação entre o cliente e o serviço a ser acessado, interpretando as requisições e repassandoas ao servidor de destino.
Servidor Web-Proxy
Muitas pessoas usam webProxy até mesmo sem saber, no mundo GNU/Linux o SQUID é o WebProxy mais comum.
As principais aplicações do SQUID são:
Web Caching
Acelerador de Conteúdo
Distribuidor de Conteúdo
Servidor Web-Proxy
O mais comum e mais conhecido por administradores de redes, Ele permite armazenar objetos web em cache local. otimizando a largura de banda da Internet e controle de acesso.
Proxy Web-Caching
É um método antigo e muito utilizado por diversos websites para amenizar a carga nos seus servidores.
Conteúdo frequentemente acessado vai para o cache do squid e é servido para os clientes usando apenas uma fração da carga do servidor necessária.
Proxy Reverso
Muito utilizado por provedores de Internet, utilizando computadores baratos em pontos estratégicos para dividir a carga de seus servidores locais.
Proxy Destribuidor de conteúdo
Existem duas formas de implementar o webcaching
A primeira consiste em configurar todas as aplicações para acessar diretamente o servidor proxy Squid
A segunda redirecionamos todo a trafego da internet para o servidor proxy, conhecido como proxy Transparente.
Web-Proxy caching
Proxy Manual
NEX TECNOLOGIA
O cliente requisita Www.nextecnologia.com Ao servidor proxy
O proxy vai até nextecnologia.comE faz a requisição
Cliente
nextecnologia.com responde a requisição Ao proxy
proxy faz cache e entreganextecnologia.com ao cliente
PROXY
Proxy Transparente
NEX TECNOLOGIA
O cliente requisita Www.nextecnologia.com Roteador Padrão
O Firewall redireciona TODO o trafegoDa porta 80 para o proxy
Cliente
nextecnologia.com responde a requisição Ao proxy
proxy faz cache e entreganextecnologia.com ao cliente
PROXY
firewall
Velocidade de Acesso
Economia de recursos
Controle de Acesso
Recursos do Web-caching
debian:
# aptitude install squid
# aptget install squid
CentOs:
# yum install squid
Instalando o squid
# /etc/init.d/squid stop
# /etc/init.d/squid start
# /etc/init.d/squid restart
# /etc/init.d/ reload
Gerenciando serviços no squid
É o arquivo único de configuração do squid, este encontrase no diretório /etc/squid
Visualizando o conteúdo do arquivo
# cat /etc/squid/squid.conf
Abrindo o aquivo
# vim /etc/squid/squid.conf
O arquivo squid.conf
Diretivas básicas para o funcionamento
# vim /etc/squid/squid.conf
1 http_port 31282 visible_hostname Curso_Proxy3 acl all src 0.0.0.0/0.0.0.04 http_access deny all
O arquivo squid.conf
O squid Trabalha com dois tipos de cache:
1 Cache rápido, Feito usando parte da Memória RAM
2 Cache mais lento, usando parte do HD, porém maior.
O arquivo squid.conf
Diretiva responsável por especificar a quantidade de memória RAM a ser usando pelo squid. O valor utiliza MegaBayte como medida padrão.
# cache_mem 64 MB
Estrutura de cache
Quantidade máxima de tamanho dos arquivos que serão guardados no cache feito na memória RAM
#maximum_object_size_memory 64 KB
Quantidade de memória em Disco
#maximum_object_size 512 MB
#minimum_object_size 0 KB
Estrutura de cache
Porcentagem que o squid ira começar a descartar os arquivos mais antigos no cache.
cache_swap_low 90
cache_swap_hing 95
Estrutura de cache
Diretiva para definir o tamanho de cache em disco propriamente dita.
cache_dir ufs /var/spool/squid 512 16 256
/var/spool/squid diretório onde será armazenado
512 quantidade de espaço em HD
16 – quantidades de pastas
256 – quantidades de subpastas
Estrutura de cache
Estrutura de Logs
Registro de conexões HTTP /var/log/squid/access.log
Informações do que foi armazenado /var/log/squid/cache.log
Informações dos objetos (páginas,figuras,etc /var/log/squid/store.log
Estrutura de log
Src: Filtro por rede ou endereço IP de origem
dst: Filtro por rede ou endereço IP de destino
Time: Filtro por data e dia da semana
url_regex: Filtro de uma string na url
dstdomain: Filtro de um domínio na url
proxy_auth:Filtro de uma url
Arp: Filtro por MAC Address
Proto: Filtro por protocolo
Port: Filtro por porta
Filtro de Contúdo com ACLs
Exemplo de configuração
Acl rede_local src 192.168.0.0/24
http_accsses allow rede_local
acl encosto arp 00:23:e4:04:3t:98
http_access deny encosto
acl porno_acl url_regex sexo
http_access deny porno_acl
Exemplo de configuração
Exemplo de configuração
Bloqueio de horário
acl fora_expediente time 20:0006:00
http_access deny fora_expediente
acl almoço time 12:0014:00
acl orkut dst www.orkut.com
http_access allow almoço orkut
Exemplo de configuração
Trabalhando com o conceito de BlackLists e WhiteLists,
podemos bloquear uma palavra e desbloquear as exeções.
Exemplo:
acl blacklist url_regex linux
acl whitelist dstdomain .linuxfoundation.org .linux.com
Agora, remova as regras anteriores e crie estas novas:
http_access deny minharede blacklist !whitelist
http_acess deny all
Teste essas novas regras e descreva o que aconteceu.
Blacklist and Whitelist
Comandos importantes
Verifique se a sintaxe do arquivo está correta:#squid -k parse
Gere os novos diretórios de cache:#squid -z
Releia o arquivo de configuração:#squid -k reconfigure
Proxy com autenticação
# aptget install apache2utils
# touch /etc/squid/squid_passwd
# htpasswd /etc/squid/squid_passwd usuario
Proxy com autenticação
Camada extra de segurança para monitoramentos avançados.
auth_param basic realm squid
auth_param basic program /usr/lib/squid/ncsa_auth /etc/squid/passwd
acl autenticados proxy_auth REQUIRED
http_access allow autenticados
Proxy com autenticação
Relatórios Avançados
Sarg é um interpretador de logs para o squid criando páginas detalhando todo acesso passado pelo webproxy.
/etc/squid/sarg.conf
/var/www/squidreports
Relatórios Avançado
Proxy Transparente
Força o usuário a usar o proxy e facilita a configuração do clientes na rede.
Ativando NAT no Firewalliptables
# modprobe iptable_nat
# echo 1 > /proc/sys/net/ipv4/ip_forward
# iptables t nat A POSTROUTING o eth0 j MASQUERADE
Ativando o proxy transparente no Firewalliptables
# iptables t nat A PREROUTING i eth1 p tcp –dport 80 j REDIRECT –toport 3128
Proxy Tranparente
Proxy Transparente
FINAL
www.nextecnologia.com
www.facebook.com/nextecnologia
skype: paulo.plug
Servidor Proxy
Top Related