Agenda: 1- Introdução ao Proxy-Squid

2- Instalação e Configuração do Squid

3- Trabalhando no squid.conf

4- Trabalhando com Web-Cache

5- ACL Regra de Acesso, Filtro e Controle de Conteúdo

6- Log e Monitoramento de Acesso

7- Proxy Autenticado (Autenticação de usuários)

8- Proxy Transparente

9- Desafio Final (Construindo o Servidor do zero)

Servidor de Internet Proxy-Squid

­ Ambos funcionam como um intermediário  entre a LAN e a Internet

­ Filtrar o tráfego de entrada, saída e redirecionamento

Filtro de pacotes x servidor Proxy

­ Filtro de Pacotes * camada 3 ­ Rede

­ Filtro de Pacotes * camada 4 – Transporte

­ Servidor Proxy    * camada 7 ­ Aplicação

Filtro de pacotes x servidor Proxy

Otimizar a velocidade de conteúdo Web é amplamente usado em ambientes corporativos, tendo como vantagem fazer cache de conteúdo, Filtrar sites indesejados, controlar acesso e diminuir a utilização da banda de internet.

Objetivo do Proxy

Proxy refere­se a um software que atua como gateway de aplicação entre o cliente e o serviço a ser acessado, interpretando as requisições e repassando­as ao servidor de destino.

Servidor Web-Proxy

Muitas pessoas usam webProxy até mesmo sem saber, no mundo GNU/Linux o SQUID é o WebProxy mais comum.

As principais aplicações do SQUID são:

­ Web Caching

­ Acelerador de Conteúdo

­ Distribuidor de Conteúdo

Servidor Web-Proxy

O mais comum e mais conhecido por administradores de redes, Ele permite armazenar objetos web em cache local. otimizando  a largura de banda da Internet e controle de acesso.

Proxy Web-Caching

É um método antigo e muito utilizado por diversos websites para amenizar a carga nos seus servidores.

Conteúdo frequentemente acessado vai para o cache do squid e é servido para os clientes usando apenas uma fração da carga do servidor necessária.

Proxy Reverso

Muito  utilizado  por  provedores  de  Internet, utilizando  computadores  baratos  em  pontos estratégicos  para  dividir  a  carga  de  seus servidores locais.

Proxy Destribuidor de conteúdo

Existem duas formas de implementar o web­caching

A primeira  consiste em configurar todas as aplicações para acessar diretamente o servidor proxy Squid

A segunda redirecionamos todo a trafego da internet para o servidor proxy, conhecido como proxy Transparente.

Web-Proxy caching

Proxy Manual

NEX TECNOLOGIA

O cliente requisita Www.nextecnologia.com Ao servidor proxy

O proxy vai até nextecnologia.comE faz a requisição

Cliente

nextecnologia.com responde a requisição Ao proxy

proxy faz cache e entreganextecnologia.com ao cliente

PROXY

Proxy Transparente

NEX TECNOLOGIA

O cliente requisita Www.nextecnologia.com Roteador Padrão

O Firewall redireciona TODO o trafegoDa porta 80 para o proxy

Cliente

nextecnologia.com responde a requisição Ao proxy

proxy faz cache e entreganextecnologia.com ao cliente

PROXY

firewall

Velocidade de Acesso

Economia de recursos

Controle de Acesso

Recursos do Web-caching

 debian:

# aptitude install squid

# apt­get install squid

CentOs:

# yum install squid

Instalando o squid

# /etc/init.d/squid stop

# /etc/init.d/squid start

# /etc/init.d/squid restart

# /etc/init.d/ reload

Gerenciando serviços no squid

É  o  arquivo  único  de  configuração  do    squid,        este encontra­se no diretório /etc/squid 

Visualizando o conteúdo do arquivo

# cat /etc/squid/squid.conf

Abrindo o aquivo  

# vim /etc/squid/squid.conf 

O arquivo squid.conf

Diretivas básicas para o funcionamento 

# vim /etc/squid/squid.conf

1­  http_port 31282­  visible_hostname Curso_Proxy3­  acl all  src 0.0.0.0/0.0.0.04­  http_access deny all 

O arquivo squid.conf

O squid Trabalha com dois tipos de cache:

1­ Cache rápido, Feito usando parte da Memória RAM

2­ Cache mais lento, usando parte do HD, porém  maior.

O arquivo squid.conf

Diretiva  responsável  por  especificar  a  quantidade  de memória  RAM  a  ser  usando  pelo  squid.    O  valor utiliza MegaBayte como medida padrão.

# cache_mem 64 MB

Estrutura de cache

Quantidade  máxima  de  tamanho  dos  arquivos  que serão guardados no cache feito na memória RAM

   #maximum_object_size_memory 64 KB

Quantidade de memória  em Disco

   #maximum_object_size 512 MB

   #minimum_object_size 0 KB

Estrutura de cache

Porcentagem  que o squid ira começar a descartar os arquivos mais antigos no cache.

cache_swap_low 90

cache_swap_hing 95

Estrutura de cache

Diretiva para definir o tamanho de cache em disco propriamente dita.

   cache_dir ufs /var/spool/squid  512  16   256

/var/spool/squid  ­ diretório  onde será armazenado

512 ­  quantidade de espaço em HD

16 – quantidades de pastas

256 – quantidades de sub­pastas

Estrutura de cache

Estrutura de Logs

Registro de conexões HTTP   /var/log/squid/access.log

Informações do que foi armazenado   /var/log/squid/cache.log

Informações dos objetos (páginas,figuras,etc   /var/log/squid/store.log

Estrutura de log

Src: Filtro por rede ou endereço IP de origem

dst: Filtro por rede ou endereço IP de destino

Time: Filtro por data e dia da semana

url_regex: Filtro de uma string na url

dstdomain: Filtro de um domínio na  url

proxy_auth:Filtro de uma url

Arp: Filtro por MAC Address

Proto: Filtro por protocolo

Port: Filtro por porta

Filtro de Contúdo com ACLs

Exemplo de configuração

Acl rede_local src 192.168.0.0/24

http_accsses allow rede_local

acl  encosto arp 00:23:e4:04:3t:98

http_access deny encosto

acl porno_acl url_regex sexo

http_access deny porno_acl

Exemplo de configuração

Exemplo de configuração

Bloqueio de horário

acl fora_expediente time 20:00­06:00

http_access deny fora_expediente

acl almoço time 12:00­14:00

acl  orkut dst  www.orkut.com

http_access allow almoço orkut

Exemplo de configuração

Trabalhando com o conceito de BlackLists e WhiteLists,

  podemos bloquear uma palavra e desbloquear as exeções.

Exemplo:

acl blacklist url_regex linux

acl whitelist dstdomain .linuxfoundation.org  .linux.com

Agora, remova as regras anteriores e crie estas novas:

http_access deny minha­rede blacklist !whitelist

http_acess deny all

Teste essas novas regras e descreva o que aconteceu.

Blacklist and Whitelist

Comandos importantes

Verifique se a sintaxe do arquivo está correta:#squid -k parse

Gere os novos diretórios de cache:#squid -z

Releia o arquivo de configuração:#squid -k reconfigure

Proxy com autenticação

# apt­get install apache2­utils

# touch /etc/squid/squid_passwd

# htpasswd /etc/squid/squid_passwd  usuario

Proxy com autenticação

Camada extra de segurança para monitoramentos avançados.

 auth_param basic realm squid

 auth_param basic  program /usr/lib/squid/ncsa_auth              /etc/squid/passwd

 acl autenticados proxy_auth REQUIRED

 http_access allow autenticados

Proxy com autenticação

Relatórios Avançados

Sarg é um interpretador de logs para o squid criando páginas detalhando todo acesso passado pelo webproxy.

/etc/squid/sarg.conf

/var/www/squid­reports

Relatórios Avançado

Proxy Transparente

Força o usuário a usar o proxy e facilita a configuração do clientes na rede.

Ativando NAT no Firewall­iptables

# modprobe iptable_nat

# echo 1 > /proc/sys/net/ipv4/ip_forward

# iptables ­t nat ­A POSTROUTING ­o eth0 ­j MASQUERADE

Ativando o proxy transparente no Firewall­iptables

# iptables ­t nat ­A PREROUTING ­i eth1 ­p tcp –dport 80 ­j REDIRECT –to­port 3128

Proxy Tranparente

Proxy Transparente

FINAL

www.nextecnologia.com

www.facebook.com/nextecnologia

nexopennex@gmail.com

skype: paulo.plug

Servidor Proxy