UF3-NF2. Implantació servidors intermediaris

De Wiki IES Marianao. Departament Informàtica
La revisió el 17:52, 28 gen 2012 per Alex (Discussió | contribucions) (Autenticació)

Dreceres ràpides: navegació, cerca

tornar M11_-_Seguretat_i_alta_disponibilitat#UF3_-_Tallafocs_i_servidors_intermediaris

SQUID

http://www.squid-cache.org/

Squid logo.gif

Squid és un proxy web caché per als principals protocols associats al web HTTP, HTTPS, FTP, SSL, DNS.

A més inclou tècniques de filtre a nivell d'aplicació (control d'accés).

Fitxer de configuració base sense comentaris Fitxer:Squid.conf

Instal·lació

Squid treballa per defecte sobre el port 3128 tcp, tot i que també s'utilitza el port 8080, més genèric per a proxys

La instal·lació per defecte denega l'accés a través del servidor intermediar, per començar a treballar el primer que cal fer és canviar 

http_access deny all --> http_access allow all

Els dos fitxers més importants són

Configuració 

/etc/squid3/squid.conf

Registre (Log) d'accés al servei 

/var/log/squid/access.log

$sudo tail -f /var/log/squid/access.log

En aquest és poden veure missatges del tipus:

TCP_DENIED/403 TCP_MISS/302 TCP_MISS/200 TCP_MISS/204 TCP_NEGATIVE_HIT/204 TCP_HIT/200 TCP_MEMHIT/200

En general

  • DENIED: Accés denegat
  • HIT: Petició en caché, retorna la còpia del servidor
  • MISS: Petició no trobada, accedeix directament a la font


Directori de Caché 

/var/spool/squid3/

Respecte a la caché és interessant la reflexió que realitzen els propis desenvolupadors de l'aplicació respecte a les proves de funcionament

TEST CACHÉ “As you can see, pressing reload in Netscape (and some other browsers) doesn't simply re-fetch the page, it forces the cache not to serve the cached page. Many people doing tests of how the cache increases performance simply press reload, and believe that there has been no change in speed. The cache is, in fact, re-downloading the page from the origin server, so a speed increase is impossible. “

http://www.deckle.co.za/squid-users-guide/Browser_Configuration

Funcionament i comprovació

Comanda per comprovar la configuració 

#squid3 -k parse


En alguns casos per manteniment cal netejar la caché 


/etc/init.d/squid3 stop
rm -Rf /var/spool/squid3/*
squid3 -z                  --> Crear directoris swap
/etc/init.d/squid3 start


Eines addicionals

http://www.squid-cache.org/Scripts/

El programa Calamaris (disponible als repositoris) per exemple permet generar informes d'ús de la caché.

A la web hi ha exemples del report http://cord.de/tools/squid/calamaris/ 

cat /var/log/squid3/access.log | calamaris [-F html]


Configuració

Autenticació

http://wiki.squid-cache.org/Features/Authentication

Squid permet requerir autenticació dels usuaris per accedir al servei a través de múltiples sistemes d'autenticació: MySQL, LDAP, PAM, RADIUS...

Un dels més senzills és el propi de l'aplicació, NCSA mòdul propi d'squid (Apache)

Primer cal crear els usuaris 

$sudo htpasswd -c /etc/squid3/passwds autoritzats
$sudo htpasswd /etc/squid3/passwds altres


Després activar-la a la configuració 

auth_param basic program /usr/lib/squid3/ncsa_auth /etc/squid3/passwds           -> Pop up navegador
acl usuaris proxy_auth REQUIRED             --> qualsevol
http_access allow usuaris
acl senserestringir proxy_auth dirigents               --> usuari concret
acl restringits proxy_auth treballadors
acl whitelist dstdomain .google.com
http_access allow senserestringir
http_access allow restringits whitelist
http_access deny all


Control d'accés

http://www.deckle.co.za/squid-users-guide/Access_Control_and_Access_Control_Operators


Crear llistes d'accés en general a través de la directiva acl

Donar permisos a les llistes, en general a través de la directiva http_access (aquests s'anomenen operadors acl i són específics del protocol). Les peticions HTTP es validen contra la llista d'operadors http_access

http://www.squid-cache.org/Doc/config/http_access/

S'avaluen per ordre

Denegar per defecte al final

Llistes d'accés

http://www.squid-cache.org/Doc/config/acl/

acl nom tipus parametres acl nom tipus “fitxer” Tipus poden ser: src, dst, time, srcdomain... Observar les indicacions al costat de les opcions [fast] [low] indiquen com afecten al temps de resposta del proxy Adreces i dominis acl server src 192.168.200.2 acl informatica src 192.168.200.0/24 acl aula1 src 192.168.200.64/26

acl tothom src 192.168.200.0/24 192.168.0.0/24

acl marianao dstdomain .institutmarianao.com

acl microsoft dstdomain .microsoft.com

Temps

Els dies en anglés: M T W H F A S

acl horarilaboral time MTWHF 08:00-23:00

acl diesfesta time AS

acl mati time 07:00-12:00

Usuaris

acl usuaris proxy_auth REQUIRED --> qualsevol

acl senserestringir proxy_auth dirigents --> usuari concret

acl restringits proxy_auth treballadors

Protocols

Només els gestionats per squid

acl tots proto HTTP FTP SSL

acl protocolHTTP proto HTTP

acl protocolFTP proto FTP

Mètodes HTTP

acl metodesHTTP method GET POST

Filtre MAC (Només *NIX)

acl macserver arp 00:00:0C:01:01:01

URL's

Usen expressions regulars, $ indica final de text

Opció -i case-insensitive

acl urlJocs url_regex [-i] juegos

acl multimedia urlpath_regex \.mp3$ \.mpg$ \.wav$

acl instaladores urlpath_regex \.exe$ \.rar$ \.zip$ \.iso$

Navegadors

acl IE browser MSIE

acl firefox browser Mozilla

Tipus mime

Usen expressions regulars, ^ indica negació

acl No req_mime_type ^application/x-msn-messenger$

Obtingut de «https://mediawiki.institutmarianao.cat/index.php?title=UF3-NF2._Implantació_servidors_intermediaris&oldid=1107»