Diferència entre revisions de la pàgina «UF3-NF2. Implantació servidors intermediaris»
(→Introducció) |
(→Autenticació) |
||
| Línia 109: | Línia 109: | ||
| + | Després activar-la a la configuració | ||
| − | |||
| − | acl usuaris proxy_auth REQUIRED | + | <pre> |
| + | auth_param basic program /usr/lib/squid3/ncsa_auth /etc/squid3/passwds -> Pop up navegador | ||
| + | |||
| + | acl usuaris proxy_auth REQUIRED --> qualsevol | ||
http_access allow usuaris | http_access allow usuaris | ||
| − | acl senserestringir proxy_auth dirigents --> usuari concret | + | acl senserestringir proxy_auth dirigents --> usuari concret |
acl restringits proxy_auth treballadors | acl restringits proxy_auth treballadors | ||
| − | acl whitelist dstdomain | + | acl whitelist dstdomain .google.com |
http_access allow senserestringir | http_access allow senserestringir | ||
| Línia 127: | Línia 130: | ||
http_access deny all | http_access deny all | ||
| + | </pre> | ||
Revisió del 17:19, 28 gen 2012
tornar M11_-_Seguretat_i_alta_disponibilitat#UF3_-_Tallafocs_i_servidors_intermediaris
Contingut
SQUID
Squid és un proxy web caché per als principals protocols associats al web HTTP, HTTPS, FTP, SSL, DNS.
A més inclou tècniques de filtre a nivell d'aplicació (control d'accés).
Fitxer de configuració base sense comentaris Fitxer:Squid.conf
Instal·lació
Squid treballa per defecte sobre el port 3128 tcp, tot i que també s'utilitza el port 8080, més genèric per a proxys
La instal·lació per defecte denega l'accés a través del servidor intermediar, per començar a treballar el primer que cal fer és canviar
http_access deny all --> http_access allow all
Els dos fitxers més importants són
Configuració
/etc/squid3/squid.conf
Registre (Log) d'accés al servei
/var/log/squid/access.log $sudo tail -f /var/log/squid/access.log
En aquest és poden veure missatges del tipus:
TCP_DENIED/403 TCP_MISS/302 TCP_MISS/200 TCP_MISS/204 TCP_NEGATIVE_HIT/204 TCP_HIT/200 TCP_MEMHIT/200
En general
- DENIED: Accés denegat
- HIT: Petició en caché, retorna la còpia del servidor
- MISS: Petició no trobada, accedeix directament a la font
Directori de Caché
/var/spool/squid3/
Respecte a la caché és interessant la reflexió que realitzen els propis desenvolupadors de l'aplicació respecte a les proves de funcionament
TEST CACHÉ “As you can see, pressing reload in Netscape (and some other browsers) doesn't simply re-fetch the page, it forces the cache not to serve the cached page. Many people doing tests of how the cache increases performance simply press reload, and believe that there has been no change in speed. The cache is, in fact, re-downloading the page from the origin server, so a speed increase is impossible. “
http://www.deckle.co.za/squid-users-guide/Browser_Configuration
Funcionament i comprovació
Comanda per comprovar la configuració
#squid3 -k parse
En alguns casos per manteniment cal netejar la caché
/etc/init.d/squid3 stop rm -Rf /var/spool/squid3/* squid3 -z --> Crear directoris swap /etc/init.d/squid3 start
Eines addicionals
http://www.squid-cache.org/Scripts/
El programa Calamaris (disponible als repositoris) per exemple permet generar informes d'ús de la caché.
A la web hi ha exemples del report http://cord.de/tools/squid/calamaris/
cat /var/log/squid3/access.log | calamaris [-F html]
Configuració
Autenticació
http://wiki.squid-cache.org/Features/Authentication
Squid permet requerir autenticació dels usuaris per accedir al servei a través de múltiples sistemes d'autenticació: MySQL, LDAP, PAM, RADIUS...
Un dels més senzills és el propi de l'aplicació, NCSA mòdul propi d'squid (Apache)
Primer cal crear els usuaris
$sudo htpasswd -c /etc/squid3/passwds autoritzats $sudo htpasswd /etc/squid3/passwds altres
Després activar-la a la configuració
auth_param basic program /usr/lib/squid3/ncsa_auth /etc/squid3/passwds -> Pop up navegador acl usuaris proxy_auth REQUIRED --> qualsevol http_access allow usuaris acl senserestringir proxy_auth dirigents --> usuari concret acl restringits proxy_auth treballadors acl whitelist dstdomain .google.com http_access allow senserestringir http_access allow restringits whitelist http_access deny all
