Servidor de Internet Proxy-Squid Agenda:

1- Introduo ao Proxy-Squid 2- Instalao e Configurao do Squid 3- Trabalhando no squid.conf 4- Trabalhando com Web-Cache 5- ACL Regra de Acesso, Filtro e Controle de Contedo 6- Log e Monitoramento de Acesso 7- Proxy Autenticado (Autenticao de usurios) 8- Proxy Transparente 9- Desafio Final (Construindo o Servidor do zero)

Filtro de pacotes x servidor Proxy

Ambosfuncionamcomoumintermedirioentrea LANeaInternet Filtrarotrfegodeentrada,sadaeredirecionamento

Filtro de pacotes x servidor Proxy

FiltrodePacotes*camada3Rede FiltrodePacotes*camada4Transporte ServidorProxy*camada7Aplicao

Objetivo do Proxy
OtimizaravelocidadedecontedoWebamplamente usadoemambientescorporativos,tendocomo vantagemfazercachedecontedo,Filtrarsites indesejados,controlaracessoediminuirautilizao dabandadeinternet.

Servidor Web-Proxy
Proxyrefereseaumsoftwarequeatuacomogateway deaplicaoentreoclienteeoservioaser acessado,interpretandoasrequisieserepassando asaoservidordedestino.

Servidor Web-Proxy
MuitaspessoasusamwebProxyatmesmosemsaber, nomundoGNU/LinuxoSQUIDoWebProxymais comum. AsprincipaisaplicaesdoSQUIDso: WebCaching AceleradordeContedo DistribuidordeContedo

Proxy Web-Caching
Omaiscomumemaisconhecidopor administradoresderedes,Elepermite armazenarobjetoswebemcachelocal. otimizandoalarguradebandadaInternet econtroledeacesso.

Proxy Reverso
ummtodoantigoemuitoutilizadopor diversoswebsitesparaamenizaracarganos seusservidores. Contedofrequentementeacessadovaiparao cachedosquideservidoparaosclientes usandoapenasumafraodacargado servidornecessria.

Proxy Destribuidor de contedo

Muito utilizado por provedores de Internet, utilizando computadores baratos em pontos estratgicos para dividir a carga de seus servidoreslocais.

Web-Proxy caching
Existemduasformasdeimplementaro webcaching Aprimeiraconsisteemconfigurartodas asaplicaesparaacessardiretamenteo servidorproxySquid Asegundaredirecionamostodoatrafego dainternetparaoservidorproxy, conhecidocomoproxyTransparente.

Proxy Manual
nextecnologia.com responde a requisio Ao proxy proxy faz cache e entrega nextecnologia.com ao cliente

PROXY
O proxy vai at nextecnologia.com E faz a requisio

NEX TECNOLOGIA

Cliente

O cliente requisita Www.nextecnologia.com Ao servidor proxy

Proxy Transparente
nextecnologia.com responde a requisio Ao proxy proxy faz cache e entrega nextecnologia.com ao cliente

PROXY

NEX TECNOLOGIA

O Firewall redireciona TODO o trafego Da porta 80 para o proxy

firewall
Cliente O cliente requisita Www.nextecnologia.com Roteador Padro

Recursos do Web-caching
VelocidadedeAcesso Economiaderecursos ControledeAcesso

Instalando o squid
debian: #aptitudeinstallsquid #aptgetinstallsquid CentOs: #yuminstallsquid

Gerenciando servios no squid

#/etc/init.d/squidstop #/etc/init.d/squidstart #/etc/init.d/squidrestart #/etc/init.d/reload

O arquivo squid.conf
o arquivo nico de configurao do squid, este encontrasenodiretrio/etc/squid Visualizandoocontedodoarquivo #cat/etc/squid/squid.conf Abrindooaquivo #vim/etc/squid/squid.conf

O arquivo squid.conf
Diretivasbsicasparaofuncionamento #vim/etc/squid/squid.conf 1http_port3128 2visible_hostnameCurso_Proxy 3aclallsrc0.0.0.0/0.0.0.0 4http_accessdenyall

O arquivo squid.conf
OsquidTrabalhacomdoistiposdecache: 1Cacherpido,FeitousandopartedaMemriaRAM 2Cachemaislento,usandopartedoHD,porm maior.

Estrutura de cache
Diretiva responsvel por especificar a quantidade de memria RAM a ser usando pelo squid. O valor utilizaMegaBaytecomomedidapadro. #cache_mem64MB

Estrutura de cache
Quantidade mxima de tamanho dos arquivos que seroguardadosnocachefeitonamemriaRAM #maximum_object_size_memory64KB QuantidadedememriaemDisco #maximum_object_size512MB #minimum_object_size0KB

Estrutura de cache
Porcentagemqueosquidiracomeara descartarosarquivosmaisantigosnocache. cache_swap_low90 cache_swap_hing95

Estrutura de cache
Diretivaparadefinirotamanhodecacheemdisco propriamentedita. cache_dirufs/var/spool/squid51216256 /var/spool/squiddiretrioondeserarmazenado 512quantidadedeespaoemHD 16quantidadesdepastas 256quantidadesdesubpastas

Estrutura Estruturade deLogs log

RegistrodeconexesHTTP /var/log/squid/access.log Informaesdoquefoiarmazenado /var/log/squid/cache.log Informaesdosobjetos(pginas,figuras,etc /var/log/squid/store.log

Filtro de Contdo com ACLs

Src:FiltroporredeouendereoIPdeorigem dst:FiltroporredeouendereoIPdedestino Time:Filtropordataediadasemana url_regex:Filtrodeumastringnaurl dstdomain:Filtrodeumdomnionaurl proxy_auth:Filtrodeumaurl Arp:FiltroporMACAddress Proto:Filtroporprotocolo Port:Filtroporporta

Exemplo de configurao
Aclrede_localsrc192.168.0.0/24 http_accssesallowrede_local aclencostoarp00:23:e4:04:3t:98 http_accessdenyencosto aclporno_aclurl_regexsexo http_accessdenyporno_acl

Exemplo de configurao Exemplo de configurao

Bloqueiodehorrio aclfora_expedientetime20:0006:00 http_accessdenyfora_expediente aclalmootime12:0014:00 aclorkutdstwww.orkut.com http_accessallowalmooorkut

Blacklist and Whitelist

TrabalhandocomoconceitodeBlackListseWhiteLists, podemosbloquearumapalavraedesbloquearasexees. Exemplo: aclblacklisturl_regexlinux aclwhitelistdstdomain.linuxfoundation.org.linux.com Agora,removaasregrasanterioresecrieestasnovas: http_accessdenyminharedeblacklist!whitelist http_acessdenyall Testeessasnovasregrasedescrevaoqueaconteceu.

Comandos importantes
Verifique se a sintaxe do arquivo est correta: #squid -k parse Gere os novos diretrios de cache: #squid -z Releia o arquivo de configurao: #squid -k reconfigure

Proxy com autenticao Proxy com autenticao

#aptgetinstallapache2utils #touch/etc/squid/squid_passwd #htpasswd/etc/squid/squid_passwdusuario

Proxy com autenticao

Camadaextradeseguranaparamonitoramentos avanados.
auth_parambasicrealmsquid auth_parambasicprogram/usr/lib/squid/ncsa_auth /etc/squid/passwd aclautenticadosproxy_authREQUIRED http_accessallowautenticados

Relatrios Avanados Relatrios Avanado

Sarguminterpretadordelogsparaosquidcriando pginasdetalhandotodoacessopassadopelo webproxy. /etc/squid/sarg.conf /var/www/squidreports

Proxy Transparente Proxy Tranparente

Foraousurioausaroproxyefacilitaa configuraodoclientesnarede.
AtivandoNATnoFirewalliptables #modprobeiptable_nat #echo1>/proc/sys/net/ipv4/ip_forward #iptablestnatAPOSTROUTINGoeth0j MASQUERADE AtivandooproxytransparentenoFirewalliptables #iptablestnatAPREROUTINGieth1ptcp dport80jREDIRECTtoport3128

Proxy Transparente Servidor Proxy

FINAL www.nextecnologia.com www.facebook.com/nextecnologia nexopennex@gmail.com skype:paulo.plug