El Servidor Squid (Cap40)

download El Servidor Squid (Cap40)

of 40

  • date post

    11-Jul-2015
  • Category

    Documents

  • view

    88
  • download

    0

Embed Size (px)

Transcript of El Servidor Squid (Cap40)

Captulo 40: Squid

SquidTabla de contenidos: 40.1. Qu es Squid? 40.2. Software requerido. 40.3. Configuracin bsica de un servidor squid. 40.3.1. Parmetros iniciales: 40.3.1.1. Parmetro http_port: Qu puerto utilizar para Squid? 40.3.1.2. Parmetro cache_mem. 40.3.1.3. Parmetro cache_dir: Cunto desea almacenar de Internet en el disco duro? 40.3.1.4. Parmetro ftp_user. 40.3.2. Controles de acceso: 40.3.2.1. Listas de control de acceso. 40.3.2.2. Reglas de Control de Acceso. 40.3.2.3. Aplicando Listas y Reglas de control de acceso. 40.3.2.3.1. Primer caso: Configurar Squid de acuerdo a los siguientes datos: 40.3.2.3.2. Segundo caso: Configurar Squid permitiendo slo el acceso a determinadas mquinas. Sujtese a los siguientes datos: 40.3.3. Otros parmetros: 40.3.3.1. Parmetro cache_mgr. 40.3.3.2. Parmetro cache_peer: caches padres y hermanos. 40.3.4. Cach con aceleracin. 40.3.5. Estableciendo el idioma por defecto. 40.3.6. Iniciando, reiniciando y aadiendo el servicio al arranque del sistema. 40.3.7. Depuracin de errores.

Sistema Operativo Linux 40.4. Recursos adicionales: 40.4.1. Documentacin instalada. 40.4.2. Sitios web tiles.

Captulo 40: Squid

Squid40.. Qu es Squid?Squid es un servicio Proxy Cache para el Web, diseado para correr en sistemas UNIX y Linux, es muy confiable, robusto y verstil, es un software libre (proviene de OSF) y es producto del esfuerzo desinterezado de muchos voluntarios. Squid soporta: Proxy Cach para HTTP, FTP, y otros URLs. Proxy para SSL. Jerarquas de cach. Cach para ICP, HTCP, CARP. Cach transparente. WCCP (Squid v2.3 and above). Control de acceso extensivo. Aceleracin de servidor http. SNMP. Cach de bsqueda de DNS.

Figura 40.1. Squid (el calamar). Nota: Squid no puede funcionar como proxy para servicios como SMTP, POP3, TELNET, SSH, etc.

Sistema Operativo Linux

40.. Software requeridoPara cumplimentar un servidor Proxy cach Squid estable, es necesario contar como mnimo con el siguiente software: Versin de squid igual o superior a 2.5.STABLE1. Versin de httpd igual o superior a 2.0.x.

Si durante la instalacin de Linux Fedora Core, instal completamente el software para un servidor web (en el rubro Servidores), entonces habr instalado lo siguiente: [[email protected] ~]# rpm -qa squid* squid-2.5.STABLE6-3 [[email protected] ~]# rpm -qa http* httpd-2.0.52-3 httpd-suexec-2.0.52-3 httpd-manual-2.0.52-3Nota: Para ubicar qu aplicaciones se instala en Linux Fedora Core 3, revise el Captulo 11. Conociendo algunas aplicaciones en Linux. Particularmente la seccin 11.4.2.

Tenga presente tambin si su sistema operativo actual tiene algn parche. De ser as actualice su sistema para no tener problemas ms adelante con cuestiones de seguridad. El ncleo de Fedora Core 3 es el siguiente: [[email protected] ~]# rpm -qa kernel* kernel-2.6.9-1.667 kernel-utils-2.4-13.1.39 Para configurar un servidor Proxy Cach Squid ser necesario usar IPTABLES, que permitir generar las reglas necesarias para el guin de Enmascaramiento de IP. La versin de Linux Fedora Core 3 es: [[email protected] ~]# rpm -qa iptables* iptables-1.2.11-3.1

4

Captulo 40: Squid En el caso de que no tenga instalado squid y httpd, entonces ejecute lo siguiente y se instalar todo lo necesario junto con sus dependencias: [[email protected] ~]# yum -y install squid httpd Y en caso de querer actualizar su kernel ejecute: [[email protected] ~]# yum -y install kernelNota: No es recomendable utilizar versiones de kernel(s) anteriores a la 2.4.21.

Sistema Operativo Linux

40.. Configuracin bsica de un servidor squidEl servicio Squid utiliza el archivo de configuracin squid.conf, este archivo est ubicado en /etc/squid/. Para hacer modificaciones a este archivo use su editor de texto preferido. Para tener una idea sobre el contenido de este archivo, a continuacin se presenta algunas partes del archivo /etc/squid/squid.conf por defecto:

Captulo 40: Squid

Sistema Operativo Linux

Captulo 40: Squid

Sistema Operativo Linux

0

Captulo 40: Squid

Sistema Operativo Linux

Captulo 40: Squid

Sistema Operativo Linux

4

Captulo 40: Squid

Sistema Operativo Linux

Captulo 40: Squid

Sistema Operativo Linux

Captulo 40: Squid

Sistema Operativo Linux

0

Captulo 40: Squid

Sistema Operativo Linux

Captulo 40: Squid

Sistema Operativo Linux

4

Captulo 40: Squid

Sistema Operativo Linux

Captulo 40: Squid

Sistema Operativo Linux

Captulo 40: Squid

En este archivo apreciar un gran nmero de parmetros, de los cuales se recomienda configurar los siguientes: http_port, cache_dir, Al menos una Lista de Control de Acceso, Al menos una Regla de Control de Acceso, httpd_accel_host, httpd_accel_port, httpd_accel_with_proxy.

40... Parmetros iniciales 40.... Parmetro http_port: Que puerto utilizar para Squid?El servidor Squid por defecto utilizar el puerto 3128 para atender los pedidos, sin embargo se puede configurar para que los pedidos se atiendan por otro puerto o que lo haga por varios puertos a la vez. Veamos algunos casos: Proxy Transparente: En el caso de un Proxy Transparente, es costumbre configurar el puerto 80. Tal vez esto traera problemas si se interacta tambin con un servidor web, que usa por defecto el mismo puerto. En este caso se recomienda o cambiar de puerto al servidor http o deshabilitarlo. Servicio de cach WWW: Algunos programas utilizados comnmente por los usuarios suelen traer por defecto el puerto 8080 para el servicio de proxy. Si se quiere aprovechar sto en nuestro favor se puede especificar que Squid escuche los pedidos en ese puerto tambin.

Sistema Operativo Linux Entonces configure el parmetro http_port as: #Default: # http_port 3128 http_port 3128 http_port 8080 Seguridad en la red: Si desea incrementar la seguridad, puede vincular el servicio a una direccin IP a la que slo se pueda acceder desde la red local. Considerando que el servidor utilizado posee una IP 192.168.1.243, puede hacerse lo siguiente: #Default: # http_port 3128 http_port 192.168.1.243:3128 http_port 192.168.1.243:8080

40.... Parmetro cache_memEl parmetro cache_mem establece la cantidad ideal de memoria para lo siguiente: Objetos en trnsito. Objetos Hot. Objetos negativamente almacenados en el cach.

Los datos de estos objetos se almacenan en bloques de 4 Kb. El parmetro cache_mem especfica un lmite mximo en el tamao total de bloques acomodados, donde los objetos en trnsito tienen mayor prioridad. Sin embargo los objetos Hot y aquellos negativamente almacenados en el cach podrn utilizar la memoria no utilizada hasta que sta sea requerida. De ser necesario, si un objeto en trnsito requiere mayor memoria a la cantidad de memoria especificada, Squid exceder lo que sea necesario para satisfacer la peticin. Por defecto se establecen 8 MB. Puede especificarse una cantidad mayor si as se considera necesario, dependiendo esto de los hbitos de los usuarios o necesidades establecidas por el administrador.

0

Captulo 40: Squid Si se posee un servidor con al menos 128 MB de RAM, establezca 16 MB como valor para este parmetro: cache_mem 16 MB

40.... Parmetro cache_dir: Cunto desea almacenar de Internet en el disco duro?Este parmetro se utiliza para establecer que tamao se desea que tenga el cach en el disco duro para Squid. Para entender esto un poco mejor, responda a esta pregunta: Cunto desea almacenar de Internet en el disco duro? Por defecto Squid utilizar un cache de 100 MB, de modo tal que encontrar la siguiente lnea: cache_dir ufs /var/spool/squid 100 16 256 Los nmeros 16 y 256 significan que el directorio del cach contendr 16 subdirectorios con 256 niveles cada uno. No modifique estos nmeros, no hay necesidad de hacerlo.Nota:

Mientrasmsgrandeeselcach,msobjetosdealmacenarnensteyporlotantose utilizarmenoselanchodebanda. Perosiestetamaoexcedealespaciorealdisponibleeneldiscoduro,Squidbloquear inevitablemente.

40...4. Parmetro ftp_userPara acceder a un servidor FTP configure la siguiente declaracin: ftp_user Al acceder a un servidor FTP de manera annima, por defecto Squid enviar como contrasea [email protected] Si se desea que el acceso annimo a los servidores FTP sea ms informativo, o bien si se desea acceder a servidores FTP que validan la autenticidad de la direccin de correo especificada como contrasea, puede especificarse la direccin de correo electrnico que uno considere pertinente. ftp_user [email protected]

Sistema Operativo Linux

40... Controles de accesoEs necesario establecer Listas de Control de Acceso que definan una red o bien ciertas mquinas en particular. A cada lista se le asignar una Regla de Control de Acceso que permitir o denegar el acceso al servicio Squid. Procedamos a entender como definir unas y otras.

40.... Listas de control de acceso.Regularmente una lista de control de acceso se establece siguiendo la siguiente sintaxis: acl [nombre de la lista] src [lo que compone a la lista] Si uno desea establecer una lista de control de acceso que defina una red sencilla en donde las mquinas tienen asignadas direcciones IP clase C (192.168.1.n) con mscara de sub-red: 255.255.255.0, entonces configure lo siguiente: acl mi_red_local src 192.168.1.0/255.255.255.0 Tambin puede definirse una Lista de Control de Acceso invocando un archivo localizado en cualquier parte del disco duro, y en el cual se en cuenta una lista de direcciones IP. Ejemplo: acl con_permiso src /etc/squid/con_permiso El archivo /etc/squid/con_permiso contendra las direcciones IP a las que se les permite el acceso. El archivo es algo parecido a lo siguiente: 192.168.1.21 192.168.1.25 192.168.1.31 192.168.1.45

40.... Reglas de Control de AccesoEstas reglas definen si se permite o no el acceso a Squid. Estas reglas se aplic