UF3-NF2. Implantació servidors intermediaris

De Wiki IES Marianao. Departament Informàtica
La revisió el 17:19, 28 gen 2012 per Alex (Discussió | contribucions) (Autenticació)

Dreceres ràpides: navegació, cerca

tornar M11_-_Seguretat_i_alta_disponibilitat#UF3_-_Tallafocs_i_servidors_intermediaris

SQUID

http://www.squid-cache.org/

Squid logo.gif

Squid és un proxy web caché per als principals protocols associats al web HTTP, HTTPS, FTP, SSL, DNS.

A més inclou tècniques de filtre a nivell d'aplicació (control d'accés).

Fitxer de configuració base sense comentaris Fitxer:Squid.conf

Instal·lació

Squid treballa per defecte sobre el port 3128 tcp, tot i que també s'utilitza el port 8080, més genèric per a proxys

La instal·lació per defecte denega l'accés a través del servidor intermediar, per començar a treballar el primer que cal fer és canviar 

http_access deny all --> http_access allow all

Els dos fitxers més importants són

Configuració 

/etc/squid3/squid.conf

Registre (Log) d'accés al servei 

/var/log/squid/access.log

$sudo tail -f /var/log/squid/access.log

En aquest és poden veure missatges del tipus:

TCP_DENIED/403 TCP_MISS/302 TCP_MISS/200 TCP_MISS/204 TCP_NEGATIVE_HIT/204 TCP_HIT/200 TCP_MEMHIT/200

En general

  • DENIED: Accés denegat
  • HIT: Petició en caché, retorna la còpia del servidor
  • MISS: Petició no trobada, accedeix directament a la font


Directori de Caché 

/var/spool/squid3/

Respecte a la caché és interessant la reflexió que realitzen els propis desenvolupadors de l'aplicació respecte a les proves de funcionament

TEST CACHÉ “As you can see, pressing reload in Netscape (and some other browsers) doesn't simply re-fetch the page, it forces the cache not to serve the cached page. Many people doing tests of how the cache increases performance simply press reload, and believe that there has been no change in speed. The cache is, in fact, re-downloading the page from the origin server, so a speed increase is impossible. “

http://www.deckle.co.za/squid-users-guide/Browser_Configuration

Funcionament i comprovació

Comanda per comprovar la configuració 

#squid3 -k parse


En alguns casos per manteniment cal netejar la caché 


/etc/init.d/squid3 stop
rm -Rf /var/spool/squid3/*
squid3 -z                  --> Crear directoris swap
/etc/init.d/squid3 start


Eines addicionals

http://www.squid-cache.org/Scripts/

El programa Calamaris (disponible als repositoris) per exemple permet generar informes d'ús de la caché.

A la web hi ha exemples del report http://cord.de/tools/squid/calamaris/ 

cat /var/log/squid3/access.log | calamaris [-F html]


Configuració

Autenticació

http://wiki.squid-cache.org/Features/Authentication

Squid permet requerir autenticació dels usuaris per accedir al servei a través de múltiples sistemes d'autenticació: MySQL, LDAP, PAM, RADIUS...

Un dels més senzills és el propi de l'aplicació, NCSA mòdul propi d'squid (Apache)

Primer cal crear els usuaris 

$sudo htpasswd -c /etc/squid3/passwds autoritzats
$sudo htpasswd /etc/squid3/passwds altres


Després activar-la a la configuració 


auth_param basic program /usr/lib/squid3/ncsa_auth /etc/squid3/passwds           -> Pop up navegador

acl usuaris proxy_auth REQUIRED             --> qualsevol

http_access allow usuaris

acl senserestringir proxy_auth dirigents               --> usuari concret

acl restringits proxy_auth treballadors

acl whitelist dstdomain .google.com

http_access allow senserestringir

http_access allow restringits whitelist

http_access deny all
Obtingut de «https://mediawiki.institutmarianao.cat/index.php?title=UF3-NF2._Implantació_servidors_intermediaris&oldid=1105»