configurar servidor proxy

Click here to load reader

  • date post

    09-Feb-2016
  • Category

    Documents

  • view

    234
  • download

    0

Embed Size (px)

description

guía configuracion proxy

Transcript of configurar servidor proxy

ServidoresProxyServidor Proxy WebSe trata de un proxy para una aplicacin especfica: el acceso a la web. Aparte de la utilidad general de un proxy, proporciona una cache para las pginas web y los contenidos descargados, que es compartida por todos los equipos de la red, con la consiguiente mejora en los tiempos de acceso para consultas coincidentes. Al mismo tiempo libera la carga de los enlaces hacia Internet.FuncionamientoEl cliente realiza una peticin (p.e. mediante un navegador web) de un recurso de Internet (una pgina web o cualquier otro archivo) especificado por una URL.Cuando el proxy cach recibe la peticin, busca la URL resultante en su cach local. Si la encuentra, devuelve el documento inmediatamente, si no es as, lo captura del servidor remoto, lo devuelve al que lo pidi y guarda una copia en su cach para futuras peticiones.Ejemplo Un cliente de un ISP manda una peticin a Google la peticin llega en un inicio al servidor Proxy que tiene este ISP, no va directamente a la direccin IP del dominio de Google. Esta pgina concreta suele ser muy solicitada por un alto porcentaje de usuarios, por lo tanto el ISP la retiene en su Proxy por un cierto tiempo y crea una respuesta mucho menor en tiempo. Cuando el usuario crea una bsqueda el servidor Proxy ya no es utilizado y el ISP enva su peticin y el cliente recibe su respuesta ahora s desde Google. VentajasAhorro de TrficoVelocidad en Tiempo de respuestaDemanda a UsuariosFiltrado de contenidosModificacin de contenidos

DesventajasLas pginas mostradas pueden no estar actualizadas si stas han sido modificadas desde la ltima carga que realiz el proxy cach.El hecho de acceder a Internet a travs de un Proxy, en vez de mediante conexin directa, impide realizar operaciones avanzadas a travs de algunos puertos o protocolos.Almacenar las pginas y objetos que los usuarios solicitan puede suponer una violacin de la intimidad para algunas personas.Proxies transparentesUn proxy transparente combina un servidor proxy con NAT de manera que las conexiones son enrutadas dentro del proxy sin configuracin por parte del cliente, y habitualmente sin que el propio cliente conozca de su existenciaSquid

SquidSquid es el software para servidor Proxy ms popular y extendido entre los sistemas operativos basados sobre UNIX. Es muy confiable, robusto y verstil. Al ser software libre, adems de estar disponible el cdigo fuente, est libre del pago de costosas licencias por uso o con restriccin a un uso con determinado nmero de usuarios.SquidSquid es un servidor Web Proxy con cach, lo que permite agilizar el acceso a Internet de manera considerable.Para usar el servidor Proxy se debe configurar manualmente el navegador Web, o bien con un script de actualizacin automtica. Squid/etc/squid/squid.confhttp_port 3128cache_mem 16 MBcache_dir ufs /var/spool/squid 500 16 256ftp_user [email protected]_mgr [email protected]_object_size 4096 KBprefer_direct offSquid - ACLEs necesario establecer Listas de Control de Acceso que definan una red o bien ciertas maquinas en particular.A cada lista se le asignar una Regla de Control de Acceso que permitir o denegar el acceso a Squid.

acl [nombre de la lista] src [lo que compone a la lista]Squid ACLacl mynetwork src 192.168.27.0/255.255.255.0http_access [deny o allow] [lista de control de acceso]http_access allow mynetworkhttp_access deny !safe_portshttp_access deny CONNECT !SSL_portsSquidAl menos una Lista de Control de AccesoAl menos una Regla de Control de AccesoAcelerar Webhttpd_accel_hosthttpd_accel_porthttpd_accel_with_proxySquidProxy transparente, los navegadores no necesitan cambiar su configuracin.

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT to-port 3128

echo 1 > /proc/sys/net/ipv4/ip_forwardSquidacl msn_messenger req_mime_type -i ^application/x-msn-messenger$http_access deny msn_messengeracl msn_url url_regex -i gateway.dllacl msn_port port 1863http_access deny msn_method msn_urlhttp_access deny msn_porthttp_access deny CONNECT msn_port Controles de AccesoEs necesario establecer Listas de Control de Acceso que definan una red o un rango de direcciones IP en particular. A cada lista se le asignar una Regla de Control de Acceso que permitir o denegar el acceso a Squid.Lista de Control de accesoacl [nombre de la lista] src [lo que compone a la lista]Si se desea establecer una lista de controld e acceso que abarque toda una red 192.168.1.0/24. acl miredlocal src 192.168.1.0/255.255.255.0 Creando una lista de control de acceso en un fichero acl permitidos src /etc/squid/acl/permitidosLista de Control de accesoEl archivo /etc/squid/acl/permitidos contendra algo as: 192.168.1.1 192.168.1.2 192.168.1.3 192.168.1.4 192.168.1.5url_regexacl sitiosnegados url_regex "/etc/squid/sitiosnegados" www.sitioporno.com sitioindeseable.com napster sex porn mp3 xxx adult

acl youtube url_regex -i youtube.com

Restringir por tiempoacl time [abreviacin-da] [h1:m1-h2:m2]S -> Domingo (Sunday)M -> Lunes (Monday)T -> Martes (Tuesday)W -> Mircoles (Wednesday)H -> Jueves (Thursday)F -> Viernes (Friday)A -> Sbado (Saturday)

acl dias time MTWHF 08:00-18:00

Restringir por extensinacl extensiones urlpath_regex "/etc/squid/extensiones" \.avi$ \.mp4$ \.mp3$ \.mp4$ \.mpg$ \.mpeg$ \.mov$ \.exe$ \.bat$TipsEl parametro cache_mem debe ser 1/3 de la memoria RAM.Cada vez que se modifique el archivo /etc/squid.conf o alguna ACL hay que recargar el servicio squid./etc/init.d/squid reloadSe recomiendo poner el spool del cache en otra particin/dev/hda6 /var/spool/squidPara ver si esta filtrando adecuadamente hay que ver los logs del squid en linea.tail -f /var/log/squid/access.log