Proxy

Paulo Manoel Mafra Senai - Florianopolis

paulo.mafra@sc.senai.br

Proxy p. 1/10

Proxy
` Internet Principal objetivo: Filtrar e controlar o acesso a

Funciona em nvel de aplicao Pode ser usado como mecanismo auxiliar de segurana
Permite o controle do que acessado, agindo como um atravessador

Pode ser usado para fazer cache local de pginas web

Usado quando a largura de banda do link de Internet no grande Aumenta a velocidade de acesso a determinadas pginas Exige bastante memria do servidor, dependendo do tamanho da rede pode ser invivel

Proxy p. 2/10

Proxy
Usado em conjunto com o rewall da rede Pode ser usado como gateway para acesso Internet a partir de outra rede Baseado em regras que denem:
O que pode ser acessado O que no pode ser acessado

As regras so denidas em ACLs (Access Control List) So denidas as permisses para as ACLs criadas A ltragem feita com base em:
Contedo (expresses regulares) Endereos/ nomes

Proxy p. 3/10

Proxy
Instalao e congurao Instalao: apt-get install squid3 Arquivo de congurao /etc/squid3/squid.conf Criar uma ACL (sites bloqueados) para especicar sites que devem ser bloqueados
acl sites_bloqueados url_regex "/etc/squid3/bloqueados" | | | |_> arquivo com os sites | | |_> tipo de acl | |_> nome da acl |_> definic ao da acl

Criar uma ACL para a rede local e outra para o administrador

acl rede src 192.168.0.0/24 acl administrador src 192.168.0.2

Proxy p. 4/10

Proxy
Congurao Aplicando o controle baseado nas ACLs especicadas
# O administrador tem acesso a tudo http_access allow administrador | | |_> nome da acl | |_> permite/nega |_> comando de permiss ao # Aplica o bloqueio dos sites cadastrados em bloqueados http_access deny sites_bloqueados # A ACL rede pode acessar a internet, exceto os sites bloqueados http_access allow rede # Se n ao se encaixa em nenhuma das ACLs acima, n ao acessa a Internet http_access deny all

A ordem das regras faz diferena!

Proxy p. 5/10

Proxy
Denindo um cache Geralmente se usa um disco rpido para armazenamento do cache Denindo o cache /etc/squid3/squid.conf
cache_dir ufs /cache/ 7000 16 256 | | | | | |_> n umero de diret orios do segundo n vel | | | | |_> n umero de diret orios do primeiro n vel | | | |_> tamanho do cache 7GB | | |_> diret orio do cache | |_> formato de armazenamento do squid |_> define cache

Criar o cache com o comando squid -z

Proxy p. 6/10

Proxy
Sequncia de passos: Habilitar o IP forwarding no servidor Habilitar o NAT no servidor Instalar e congurar o squid Recarregar as regras do squid squid3 -k recongure Congurar a mquina do cliente para usar o proxy Executar testes Arquivos de log /var/log/squid3/access.log,
/var/log/squid3/cache.log

Proxy p. 7/10

Proxy
Algumas opes de congurao (/etc/squid3/squid.conf)
# define um enderec o de destino acl aclname dst ip-address/netmask # define um conjunto de urls (ou palavras) dentro de um arquivo acl aclname url_regex -i "/etc/squid3/arquivo" # filtra por nome na url acl aclname urlpath_regex -i \.gif$ # define um hor ario para a acl ser v alida (nos dias MTWHF) acl aclname time MTWHF 09:00-18:00 # define portas de destino acl aclname port 80 22 0-1024 # define um n umero m aximo de conex oes por usu ario acl aclname maxconn number

Proxy p. 8/10

Exerccios
1. Congurar um servidor proxy na mquina virtual, seguindo o cenrio usado nas ltimas aulas 2. Congurar regras para que as mquinas da rede interna de 09:00 s 18:00 podero acessar a Internet, as demais mquinas ou qualquer mquina fora deste horrio no podero acessar 3. Incluir na congurao uma lista de formatos no permitidos (.exe, .doc, .docx, etc) 4. Incluir na congurao um diretrio para o squid fazer cache das pginas

Proxy p. 9/10

Referncias
http://www.vivaolinux.com.br/artigo/Squid-passo-a-passo-para-iniciantes http://www.marceloeiras.com.br/linux/tutorial/squid/squid.htm http://blog.cesar.augustus.nom.br/instalando-o-servidor-squid-no-linux.html http://www.squid-cache.org/Doc/ http://www.webalizer.com/

Proxy p. 10/10