P
PosteameloMuseo de Posts de Taringa!
Explorar Archivo
InicioLinuxSquid - El servidor Proxy y Cache por excelencia

Squid - El servidor Proxy y Cache por excelencia

Linux2/3/2013
#Linux#Servidor#proxy#cache#squid




Cuando navegamos a través de un proxy, cada petición que hace nuestro navegador se delega al servidor proxy y es este el que se descarga la pagina o el elemento web que se ha solicitado y se lo pasa a nuestro navegador. Por tanto es un intermediario entre los usuarios y la web. Al estar en medio de ese trafico puede realizar dos funciones muy importantes: controlar los accesos (permitir o denegar segun se disponga en sus normas); y ademas hacer cacheo de elementos (paginas web, imagenes, iconos que una vez se piden se guardan en la memoria del proxy), con lo que si se solicita un elemento que ya se ha pedido en lugar de volver a bajarselo de internet, lo sirve el propio proxy. Con esta técnica de cache nos podemos ahorrar desde un 20 a un 40% de trafico de internet.

Squid es un servidor con años y mucha solera, presente en el mundo Unix y Linux. Dispone de un sistema de reglas complejo para el control de la navegacion, y lo que es mas, un protocolo propio ICP, para intercomunicar proxyes.

Squid es capaz de cooperar con otros servidores Squid y formar jerarquías de proxys. También es posible configurar el Squid como un servidor de proxy inverso.
¿Qué es eso? un acelerador de HTTP. Sirver para webs con muchos accesos, en los que se suele poner una maquina delante del servidor web con un squid inverso para servir las paginas y el contenido de la web mas rápidamente.

Tengo una red local y quiero configurar el proxy para que los usuarios de la red local pasen por el proxy. Ademas con eso podre registrar sus accesos, Como lo hacemos?

Si no cambiamos nada, el proxy escucha por defecto en el puerto tcp 3128
El fichero de configuración de squid es: squid.conf

Editamos el fichero y añadimos una regla (junto al resto de reglas definidas):
...
acl Safe_ports port 280
acl Safe_ports port 488
acl Safe_ports port 591
acl Safe_ports port 777
acl CONNECT method CONNECT
acl Mi.Red.Local src 192.168.100.0/24

Bien. ya tenemos una regla creada. Pero no hay ahora que aplicarla... un poco más abajo, podemos añadirla, tengan cuidado el orden en el que pongamos la regla es crucial, ya que jugando con el orden se aplicaran unas reglas u otras:

#Recommended minimum configuration:
#
# Only allow cachemgr access from localhost
http_access allow manager localhost
http_access deny manager
# Deny requests to unknown ports
http_access deny !Safe_ports
# Deny CONNECT to other than SSL ports
http_access deny CONNECT !SSL_ports
#
# INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS
#
# And finally deny all other access to this proxy
http_access allow localhost
http_access allow Mi.Red.Local
http_access deny all



Listo! añadiendo esa regla nuestra red local ya tendra permiso para utilizar el proxy.Fijemonos en la s reglas que le rodean. Antes de llegar a la regla de nuestra red local, denegamos cualquier puerto web distinto (simbolo !) a los definidos en las acl de arriba; lo mismo se hace con los puertos SSL, el proxy sòlo servira páginas con puerto seguro que hayamos definido (443 por ejemplo).
Si desde la red local quieren acceder a una web de un banco que esta en puerto SSL (por ejemplo 8084), habrá que añadir ese puerto en la ACL. Asimismo, la última regla es "deny all", esto es, cualquier otra cosa se deniega (Es imprescindible hacerlo porque es muy peligroso permitir usar el proxy a cualquiera., ya que pueden usar nuestro proxy para ataques o para hacer SPAM. De todas formas, también se puede cerrar el puerto del proxy por firewall).

Y como configuramos el navegador? especificamos el servidor proxy, y el puerto sera el 3128 por defecto.
Cuando al proxy le llega una petición, se comprueba en orden cada regla hasta que alguna sea aplicable, y cuando se aplique ya no se miran mas reglas.





* Restricciones:




Para ilustrar las restricciones, Supongamos lo siguiente:

Soy una gerente malvada de una empresa, quiero que mis empleados solo usen internet a determinadas horas,
que no puedan descargarse mp3 o videos avi, que no puedan acceder a la web de marca ni a la de poringa.net.
Eso si: desde mi equipo quiero hacer lo que se me canta...
Como lo podrían hacer?



Todo eso se puede restringir con Squid. Hay muchos tipos de reglas incluidas, unas muy potentes que permiten usar expresiones regulares.


Limitación horaria








acl name time [lista_dias] [hora_inicio:minuto-hora_final:minuto]
dondelista_dias: MTH (osea: S - Sunday M - Monday T - Tuesday W - Wednesday H - Thursday F - Friday A - Saturday)

Por ejemplo:
acl RestringirPorHoras time 9:00-10:00

Y si añadimos la regla:


http_access deny !RestringirPorHoras
http_access allow Mi.Red.Local
http_access deny all



Ya esta! denegamos el acceso a horas distintas de el margen: 9:00-10:00

Si aplicamos esta regla cerraremos el acceso a poringa y wigoos.com.ar
acl dominiosMalos dstdomain poringa.net wigoos.com.ar

Y si aplicamos esta podremos denegar el acceso a ficheros .mp3 y .avi
acl denegarURL url_regex -i .mp3$ .avi$

Aplicandolas:

http_access deny !RestringirPorHoras
http_access deny denegarURL
http_access deny dominiosMalos
http_access allow Mi.Red.Local
http_access deny all



Pero por supuesto, hay una persona (la malvada gerente ) al que no hay que restringirle nada, y eso lo hacemos asi:

acl IPGerente src 192.168.100.3/32

Y aplicamos

http_access allow IPGerente
http_access deny !RestringirPorHoras
http_access deny denegarURL
http_access deny dominiosMalos
http_access allow Mi.Red.Local
http_access deny all



Voila! jugando con el orden de las reglas, cuando la gerente use el proxy jamas se le aplicaran las reglas restrictivas, ya que hemos metido una regla que le permite salir y esta ENCIMA de las retricciones. Se "matchea" esa regla y las demas no se miran. No entiendes esto? Sería así

http_access allow all
http_access allow IPGerente
http_access deny !RestringirPorHoras
http_access deny denegarURL
http_access deny dominiosChungos
http_access allow Mi.Red.Local
http_access deny all



Si al principio del todo ponemos allow all, por muchas reglas que metamos despues, siempre se aplicara la primera regla y las demas no se miraran.

¿Y si se quiere limitar el tamaño de archivos que se descargan los usuarios?
Ahí tenemos un problema, de momento parece que Squid lo puede hacer. Si que tiene una directiva de gestion de cache para limitar el tamaño de ficheros que se guardan en la cache, pero no es eso lo que interesa.

¿Queres más?
El proxy-cache squid esta muy documentado y no sera dificil que encontres ayuda. Esta es la documentación oficial:
http://squid-docs.sourceforge.net/latest/html/book1.html



* Autenticación, usuario y password para navegar:



Squid incorpora un mecanismo para que los usuarios tengan que identificarse cada vez que abran el explorer y quieran navegar. La forma más simple es usando la autenticación simple con usuario/passwd sacados de un fichero de texto. Para ello debemos activar la directiva: authenticate_program

authenticate_program /usr/lib/squid/ncsa_auth /etc/squid/passwd

Ahora hay que añadir una ACL para activar esta opción. Una vez más, jugando con el orden de las reglas podremos aplicarlo a unos si y a otros no. La ACL se definiría así.


acl password-navega proxy_auth REQUIRED


Y la aplicariamos así.

http_access allow password-navega
http_access deny !RestringirPorHoras
http_access deny denegarURL
http_access deny dominiosChungos
http_access allow Mi.Red.Local
http_access deny all



La gran ventaja que tenemos aquí es que se puede modificar el sistema de autentificación, hasta el punto de conseguir que la autentificacion se haga contra el PDC o servidor principal de dominio de una red windows. Que ventaja tiene eso? obviamente que los usuarios no tengan un password para cada cosa. Es complejo, pero se puede hacer con winbind y samba.

nota: usando este sistema, en los logs veremos el nombre de usuario para cada petición.


* Proxy transparente:



Podemos usar un proxy en la red local, pero siempre habrá usuarios malvados que se desconfiguren el proxy del navegador.Para que nadie se tenga que preocupar de configurar el proxy en su navegador, podemos usar la técnica del proxy-transparent. Esto va unido al sistema de firewall, y hacemos que todas las peticiones al puerto 80 se redirigan al puerto del proxy.
Además de eso, en el proxy debemos añadir estas lineas de configuración:

## Proxy transparent
httpd_accel_host virtual
httpd_accel_port 80 443 8080 19720 19721 10000
httpd_accel_with_proxy on
httpd_accel_uses_host_header on
httpd_accel_single_host off


Esto puede variar de un linux a otro, en redhat ira bien. Este tema también esta muy documentado.
Tiene una pega: no se puede hacer proxy transparente de conexiones SSL.


* Mi proxy no funciona



Ok, es posible, pero hay que aprender a depurar los servidores. El proxy squid genera logs como muchos otros programas, y podemos echarle un vistazo:

/var/log/messages (o /var/log/syslog dependiendo del Linux)

y ademas:
/var/log/squid/access.log (aqui vemos los accesos y sobre este fichero se puede aplicar el analisis de log y generar informes de navegación)

/var/log/squid/cache.log (log de cache de objetos)







Datos archivados del Taringa! original
74puntos
0visitas
0comentarios
Actividad nueva en Posteamelo
0puntos
1visitas
0comentarios
Dar puntos:

Dejá tu comentario

0/2000

Autor del Post

N
NechuZ🇦🇷
Usuario
Puntos0
Posts105
Ver perfil →
PosteameloArchivo Histórico de Taringa! (2004-2017). Preservando la inteligencia colectiva de la internet hispanohablante.

LEGAL

CONTACTO

18 de Septiembre 455, Casilla 52

Chillán, Región de Ñuble, Chile

Solo correo postal

© 2026 Posteamelo.com. No afiliado con Taringa! ni sus sucesores.

Contenido preservado con fines históricos y culturales.