Configuración Squid Proxy
Páginas: 7 (1652 palabras)
Publicado: 25 de octubre de 2012
LINUCA: Proxy transparente en red local con Squid
$LOGOIMAGE
LINUCA - Asociación Usuarios GNU/Linux de Cantabria
Proxy transparente en red local con Squid (51943 lecturas)
Por David MartÃ−n, tasio (http://tasio.net/) Creado el 03/01/2004 13:36 modificado el 03/01/2004 13:36
En ocasiones puede resultar interesante contar con un proxy dentro de la red que agilice el acceso ainformación ahorrando el máximo ancho de banda posible y aumentando la velocidad de carga de webs que visitamos con frecuencia, o por ejemplo, si contamos con varias máquinas. Un proxy transparente nos va a proporcionar muchas ventajas y, gracias a las avanzadas posibilidades de squid, más bien pocos inconvenientes: • Listas de acceso complejas para modificar a nuestro gusto los permisos • Caché'inteligente' para imágenes y demás objetos que no es necesario descargar continuamente. ♦ Asimismo, posibilidad de no cachear contenido dinámico (php, asp, cgi-bin) ♦ Limites para el tamaño de objeto, para no cachear objetos excesivamente grandes como isos o mp3, o para no permitir su descarga, útil en entornos de trabajo. • Posibilidad de conectarlo a su vez a otro proxy • Al ser transparente (almenos para los usuarios de la red), no será necesario configurar absolutamente nada en éstos. Para este caso, fundamento el artÃ−culo en Debian GNU/Linux (Sid), utilizando iptables y squid para el proxy, y con una máquina actuando de puerta de enlace entre la red local e Internet. Deberemos contar con sendos paquetes antes de nada:
apt-get install squid iptables
Por descontado, en nuestrokernel deberÃ−a haber soporte para netfilter/iptables. Antes de poner las reglas de filtrado, echemos un vistazo a las opciones del/etc/squid.conf que nos va a interesar modificar para que el proxy actúe como transparente. Antes de nada: Las "listas de acceso" o ACL son un tipo especial de expresiones condicionales mediante las cuales se configura gran parte del sistema, luego es importanteconocerlas. Están formadas por 3 elementos:
acl nombre_de_la_regla método_de_actuación expresión_coincidente
El nombre de la regla es una expresión arbitraria. El método de actuación puede ser:
src dst myip
1/4
Dirección de orÃ−gen. La expresión coincidente puede ser una dirección IP, o un conjunto de direcciones (siempre en formato CIDR), nunca un host. Dirección de destino, conel mismo formato que la anterior Se evalúa en función de la dirección ip por la que le llegue al squid la petición. Se trata de su dirección IP.
LINUCA: Proxy transparente en red local con Squid
$LOGOIMAGE
srcdomain dstdomain srcdom_regex y dstdom_regex time url_regex urlpath_regex method maxconn rep_mime_type
Evalúa el nombre del host del que procede la petición. Evalúa eldestino de la petición a partir de su host. Evalúa los nombres de dominio de orÃ−gen o destino, pudiéndose utilizar expresiones regulares POSIX para encontrar coincidencias. Evalúa en función de tiempo Regla muy útil. Evalúa toda la dirección que el cliente solicite, empezando desde http://.. incluÃ−do. Se utilizarán expresiones regulares. Igual que la anterior, sólo que se empieza aevaluar a partir del primer / que se encuentre por detrás del nombre de dominio. Método con el que se trate de obtener el contenido. Los más usuales son GET, POST, CONNECT y, en algunos casos, PUT. Esto se utiliza para detectar cuándo un cliente ha alcanzado un máximo de conexiones, que especificaremos en su expresión coincidente con un número entero positivo. Se utiliza para evaluar en funcióndel tipo de dato que el cliente solicite, pudiendo ser algo como application/x-javascript o application/x-msdos-program. Consultar /etc/mime.types para ver una lista.
Nótese que las expresiones son sensibles a mayúsculas. Si queremos que no lo sean, deberemos anteponerles el parámetro -i Hay más tipos de ACLs, pero no merece la pena comentarlas aquÃ−, debido a su falta de utilidad para...
$LOGOIMAGE
LINUCA - Asociación Usuarios GNU/Linux de Cantabria
Proxy transparente en red local con Squid (51943 lecturas)
Por David MartÃ−n, tasio (http://tasio.net/) Creado el 03/01/2004 13:36 modificado el 03/01/2004 13:36
En ocasiones puede resultar interesante contar con un proxy dentro de la red que agilice el acceso ainformación ahorrando el máximo ancho de banda posible y aumentando la velocidad de carga de webs que visitamos con frecuencia, o por ejemplo, si contamos con varias máquinas. Un proxy transparente nos va a proporcionar muchas ventajas y, gracias a las avanzadas posibilidades de squid, más bien pocos inconvenientes: • Listas de acceso complejas para modificar a nuestro gusto los permisos • Caché'inteligente' para imágenes y demás objetos que no es necesario descargar continuamente. ♦ Asimismo, posibilidad de no cachear contenido dinámico (php, asp, cgi-bin) ♦ Limites para el tamaño de objeto, para no cachear objetos excesivamente grandes como isos o mp3, o para no permitir su descarga, útil en entornos de trabajo. • Posibilidad de conectarlo a su vez a otro proxy • Al ser transparente (almenos para los usuarios de la red), no será necesario configurar absolutamente nada en éstos. Para este caso, fundamento el artÃ−culo en Debian GNU/Linux (Sid), utilizando iptables y squid para el proxy, y con una máquina actuando de puerta de enlace entre la red local e Internet. Deberemos contar con sendos paquetes antes de nada:
apt-get install squid iptables
Por descontado, en nuestrokernel deberÃ−a haber soporte para netfilter/iptables. Antes de poner las reglas de filtrado, echemos un vistazo a las opciones del/etc/squid.conf que nos va a interesar modificar para que el proxy actúe como transparente. Antes de nada: Las "listas de acceso" o ACL son un tipo especial de expresiones condicionales mediante las cuales se configura gran parte del sistema, luego es importanteconocerlas. Están formadas por 3 elementos:
acl nombre_de_la_regla método_de_actuación expresión_coincidente
El nombre de la regla es una expresión arbitraria. El método de actuación puede ser:
src dst myip
1/4
Dirección de orÃ−gen. La expresión coincidente puede ser una dirección IP, o un conjunto de direcciones (siempre en formato CIDR), nunca un host. Dirección de destino, conel mismo formato que la anterior Se evalúa en función de la dirección ip por la que le llegue al squid la petición. Se trata de su dirección IP.
LINUCA: Proxy transparente en red local con Squid
$LOGOIMAGE
srcdomain dstdomain srcdom_regex y dstdom_regex time url_regex urlpath_regex method maxconn rep_mime_type
Evalúa el nombre del host del que procede la petición. Evalúa eldestino de la petición a partir de su host. Evalúa los nombres de dominio de orÃ−gen o destino, pudiéndose utilizar expresiones regulares POSIX para encontrar coincidencias. Evalúa en función de tiempo Regla muy útil. Evalúa toda la dirección que el cliente solicite, empezando desde http://.. incluÃ−do. Se utilizarán expresiones regulares. Igual que la anterior, sólo que se empieza aevaluar a partir del primer / que se encuentre por detrás del nombre de dominio. Método con el que se trate de obtener el contenido. Los más usuales son GET, POST, CONNECT y, en algunos casos, PUT. Esto se utiliza para detectar cuándo un cliente ha alcanzado un máximo de conexiones, que especificaremos en su expresión coincidente con un número entero positivo. Se utiliza para evaluar en funcióndel tipo de dato que el cliente solicite, pudiendo ser algo como application/x-javascript o application/x-msdos-program. Consultar /etc/mime.types para ver una lista.
Nótese que las expresiones son sensibles a mayúsculas. Si queremos que no lo sean, deberemos anteponerles el parámetro -i Hay más tipos de ACLs, pero no merece la pena comentarlas aquÃ−, debido a su falta de utilidad para...
Leer documento completo
Regístrate para leer el documento completo.