servidor squid
-
Upload
hack3600 -
Category
Technology
-
view
9.312 -
download
0
Transcript of servidor squid
Compresin de archivos
Servidores
Proxy
Servidor Proxy Web
Se trata de un proxy para una aplicacin especfica: el acceso a la web. Aparte de la utilidad general de un proxy, proporciona una cache para las pginas web y los contenidos descargados, que es compartida por todos los equipos de la red, con la consiguiente mejora en los tiempos de acceso para consultas coincidentes. Al mismo tiempo libera la carga de los enlaces hacia Internet.
Funcionamiento
El cliente realiza una peticin (p.e. mediante un navegador web) de un recurso de Internet (una pgina web o cualquier otro archivo) especificado por una URL.
Cuando el proxy cach recibe la peticin, busca la URL resultante en su cach local. Si la encuentra, devuelve el documento inmediatamente, si no es as, lo captura del servidor remoto, lo devuelve al que lo pidi y guarda una copia en su cach para futuras peticiones.
Ejemplo
Un cliente de un ISP manda una peticin a Google la peticin llega en un inicio al servidor Proxy que tiene este ISP, no va directamente a la direccin IP del dominio de Google. Esta pgina concreta suele ser muy solicitada por un alto porcentaje de usuarios, por lo tanto el ISP la retiene en su Proxy por un cierto tiempo y crea una respuesta mucho menor en tiempo. Cuando el usuario crea una bsqueda el servidor Proxy ya no es utilizado y el ISP enva su peticin y el cliente recibe su respuesta ahora s desde Google.
Ventajas
Ahorro de Trfico
Velocidad en Tiempo de respuesta
Demanda a Usuarios
Filtrado de contenidos
Modificacin de contenidos
Desventajas
Las pginas mostradas pueden no estar actualizadas si stas han sido modificadas desde la ltima carga que realiz el proxy cach.
El hecho de acceder a Internet a travs de un Proxy, en vez de mediante conexin directa, impide realizar operaciones avanzadas a travs de algunos puertos o protocolos.
Almacenar las pginas y objetos que los usuarios solicitan puede suponer una violacin de la intimidad para algunas personas.
Proxies transparentes
Un proxy transparente combina un servidor proxy con NAT de manera que las conexiones son enrutadas dentro del proxy sin configuracin por parte del cliente, y habitualmente sin que el propio cliente conozca de su existencia
Squid
Squid
Squid es el software para servidor Proxy ms popular y extendido entre los sistemas operativos basados sobre UNIX.
Es muy confiable, robusto y verstil.
Al ser software libre, adems de estar disponible el cdigo fuente, est libre del pago de costosas licencias por uso o con restriccin a un uso con determinado nmero de usuarios.
Squid
Squid es un servidor Web Proxy con cach, lo que permite agilizar el acceso a Internet de manera considerable.
Para usar el servidor Proxy se debe configurar manualmente el navegador Web, o bien con un script de actualizacin automtica.
Squid
/etc/squid/squid.conf
http_port 3128
cache_mem 16 MB
cache_dir ufs /var/spool/squid 500 16 256
ftp_user [email protected]
cache_mgr [email protected]
maximum_object_size 4096 KB
prefer_direct off
Squid - ACL
Es necesario establecer Listas de Control de Acceso que definan una red o bien ciertas maquinas en particular.
A cada lista se le asignar una Regla de Control de Acceso que permitir o denegar el acceso a Squid.
acl [nombre de la lista] src [lo que compone a la lista]
Squid ACL
acl mynetwork src 192.168.27.0/255.255.255.0
http_access [deny o allow] [lista de control de acceso]
http_access allow mynetwork
http_access deny !safe_ports
http_access deny CONNECT !SSL_ports
Squid
Al menos una Lista de Control de Acceso
Al menos una Regla de Control de Acceso
Acelerar Web
httpd_accel_host
httpd_accel_port
httpd_accel_with_proxy
Squid
Proxy transparente, los navegadores no necesitan cambiar su configuracin.
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT to-port 3128
echo 1 > /proc/sys/net/ipv4/ip_forward
Squid
acl msn_messenger req_mime_type -i ^application/x-msn-messenger$
http_access deny msn_messenger
acl msn_url url_regex -i gateway.dll
acl msn_port port 1863
http_access deny msn_method msn_url
http_access deny msn_port
http_access deny CONNECT msn_port
Controles de Acceso
Es necesario establecer Listas de Control de Acceso que definan una red o un rango de direcciones IP en particular.
A cada lista se le asignar una Regla de Control de Acceso que permitir o denegar el acceso a Squid.
Lista de Control de acceso
acl [nombre de la lista] src [lo que compone a la lista]
Si se desea establecer una lista de controld e acceso que abarque toda una red 192.168.1.0/24.
acl miredlocal src 192.168.1.0/255.255.255.0
Creando una lista de control de acceso en un fichero
acl permitidos src /etc/squid/acl/permitidos
Lista de Control de acceso
El archivo /etc/squid/acl/permitidos contendra algo as:
192.168.1.1
192.168.1.2
192.168.1.3
192.168.1.4
192.168.1.5
url_regex
acl sitiosnegados url_regex "/etc/squid/sitiosnegados"
www.sitioporno.com
sitioindeseable.com
napster
sex
porn
mp3
xxx
adult
acl youtube url_regex -i youtube.com
Restringir por tiempo
acl time [abreviacin-da] [h1:m1-h2:m2]
S -> Domingo (Sunday)
M -> Lunes (Monday)
T -> Martes (Tuesday)
W -> Mircoles (Wednesday)
H -> Jueves (Thursday)
F -> Viernes (Friday)
A -> Sbado (Saturday)
acl dias time MTWHF 08:00-18:00
Restringir por extensin
acl extensiones urlpath_regex "/etc/squid/extensiones"
\.avi$
\.mp4$
\.mp3$
\.mp4$
\.mpg$
\.mpeg$
\.mov$
\.exe$
\.bat$
Tips
El parametro cache_mem debe ser 1/3 de la memoria RAM.
Cada vez que se modifique el archivo /etc/squid.conf o alguna ACL hay que recargar el servicio squid.
/etc/init.d/squid reload
Se recomiendo poner el spool del cache en otra particin
/dev/hda6 /var/spool/squid
Para ver si esta filtrando adecuadamente hay que ver los logs del squid en linea.
tail -f /var/log/squid/access.log