Servidores proxy

Nilson Duarte

Conceito
O objetivo principal de um servidor proxy possibilitar que mquinas de uma rede privada possam acessar uma rede pblica, como a Internet, sem que para isto tenham uma ligao direta com esta

Algumas funes
Proxy caching - Visto que todas as solicitaes de pginas efetuadas pelas mquinas da rede privada sero feitas atravs dele, muito til armazenar localmente as pginas que foram solicitadas, permitindo que os prximos acessos, efetuados por quais quer mquinas da rede, possam ser otimizados.

Algumas funes
Traduo de Endereos de Rede. Muitos servidores proxy so distribudos com a funo de NAT. A NAT permite que o endereo de rede interno de uma empresa seja ocultado da Internet. A empresa representada na Internet como um endereo de IP no relacionado com os endereos de IP internos.

Diferena entre Filtro e proxy

Os 2 servios so colocados no permetro da rede; Ambos funcionam como um intermedirio entre uma LAN e a

Internet;

Ambos possuem a capacidade de filtrar o trfego transmitido para Ambos utilizam regras para determinar se certos tipos de trfego

dentro e para fora da rede;

tero autorizao para passar pelo servidor ou se sero descartados.

A diferena que:

O filtro atua nas camadas 3(rede) e 4(transporte). O proxy atua na camada 7(aplicao).

O Squid

um servidor gratuito e funciona em cdigo aberto para Unix e Linux. Ele permite que os administradores implementem um servio de proxy caching para Web, acrescentem controles de acesso (regras), e armazenem at mesmo consultas de DNS.

Instalando o S.O

Compartilhando a internet
Configurao da placa de rede # cd /etc/network Vim interfaces auto eth0 iface eth0 inet dhcp auto eth1 iface eth1 inet static address 192.168.0.X (onde X o IP que voc escolheu para o servidor) netmask 255.255.255.0 # vim /etc/rc.local echo 1 > /proc/sys/net/ipv4/ip_forward iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE # vim /etc/resolv.conf nameserver xxx.xxx.xxx.xxx

Instalao
# apt-get install squid "/etc/squid/squid.conf"

- adicione
http_port 3128 porta onde o servidor esta disponvel visible_hostname gdh Nome do servidor acl all src 0.0.0.0/0.0.0.0 qualquer um da rede pode usar o proxy http_access allow all todos os endereos liberados # /etc/init.d/squid restart # service squid restart

Rebuscando a configurao
http_port 3128 visible_hostname gdh acl all src 0.0.0.0/0.0.0.0 acl manager proto cache_object acl localhost src 127.0.0.1/255.255.255.255 acl SSL_ports port 443 563 acl Safe_ports port 21 80 443 563 70 210 280 488 59 777 901 1025-65535 acl purge method PURGE acl CONNECT method CONNECT http_access allow manager localhost http_access deny manager http_access allow purge localhost http_access deny purge http_access deny !Safe_ports http_access deny CONNECT !SSL_ports acl redelocal src 192.168.1.0/24 http_access allow localhost http_access allow redelocal http_access deny all clientes vindo da internet no usaro o proxy

Resolvendo alguns problemas

- Conectividade Social CEF
acl site dstdomain siteproblematico.com always_direct allow site acl redelocal http_access http_access http_access src 192.168.1.0/24 allow localhost allow redelocal deny all

Bloqueando sites
acl bloqueados url_regex -i "/etc/squid/bloqueados" http_access deny bloqueados Ou acl permitidos url_regex -i "/etc/squid/permitidos" http_access allow permitidos http_access deny all acl redelocal http_access http_access http_access src 192.168.1.0/24 allow localhost allow redelocal deny all

Resultado ...

"/usr/share/squid/errors/English"

Liberando certos horrios

acl almoco time 12:00-14:00 http_access allow almoco Ou acl almoco time 12:00-14:00 acl orkut dstdomain orkut.com www.orkut.com www.orkut.com.br http_access allow orkut almoco http_access deny orkut acl bloqueados url_regex -i "/etc/squid/bloqueados" http_access deny bloqueados

Se autenticando
# apt-get install apache2-utils # touch /etc/squid/squid_passwd cria o arquivo # htpasswd /etc/squid/squid_passwd gdh

auth_param basic realm Squid auth_param basic program /usr/lib/squid/ncsa_auth /etc/squid/squid_passwd acl autenticados proxy_auth REQUIRED http_access allow autenticados acl redelocal src 192.168.1.0/24 http_access allow localhost http_access allow redelocal http_access deny all

Proxy transparente
Uma garantia de que os usurios realmente vo usar o proxy o recurso de proxy transparente. Ele permite configurar o Squid e o firewall de forma que o servidor proxy fique escutando todas as conexes na porta 80. Mesmo que algum tente desabilitar o proxy manualmente nas configuraes do navegador, ele continuar sendo usado. Outra vantagem que este recurso permite usar o proxy sem precisar configurar manualmente o endereo em cada estao. Basta usar o endereo IP do servidor rodando o proxy como gateway da rede.
# iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j \ REDIRECT --to-port 3128

http_port 3128 transparent squid v2.6

httpd_accel_host virtual httpd_accel_port 80 httpd_accel_with_proxy on httpd_accel_uses_host_header on

Sarg
# apt-get install sarg # sarg

Webmin

#/etc/apt/sources.list ## Repositrio Debian Sarge para instalao do Webmin deb http://download.webmin.com/download/repository sarge contrib # apt-get update #apt-get install webmin