Curso Proxy Squid

  • View
    81

  • Download
    3

Embed Size (px)

Text of Curso Proxy Squid

Servidor de Internet Proxy-Squid Agenda:1- Introduo ao Proxy-Squid 2- Instalao e Configurao do Squid 3- Trabalhando no squid.conf 4- Trabalhando com Web-Cache 5- ACL Regra de Acesso, Filtro e Controle de Contedo 6- Log e Monitoramento de Acesso 7- Proxy Autenticado (Autenticao de usurios) 8- Proxy Transparente 9- Desafio Final (Construindo o Servidor do zero)

Filtro de pacotes x servidor Proxy

Ambosfuncionamcomoumintermedirioentrea LANeaInternet Filtrarotrfegodeentrada,sadaeredirecionamento

Filtro de pacotes x servidor Proxy

FiltrodePacotes*camada3Rede FiltrodePacotes*camada4Transporte ServidorProxy*camada7Aplicao

Objetivo do ProxyOtimizaravelocidadedecontedoWebamplamente usadoemambientescorporativos,tendocomo vantagemfazercachedecontedo,Filtrarsites indesejados,controlaracessoediminuirautilizao dabandadeinternet.

Servidor Web-ProxyProxyrefereseaumsoftwarequeatuacomogateway deaplicaoentreoclienteeoservioaser acessado,interpretandoasrequisieserepassando asaoservidordedestino.

Servidor Web-ProxyMuitaspessoasusamwebProxyatmesmosemsaber, nomundoGNU/LinuxoSQUIDoWebProxymais comum. AsprincipaisaplicaesdoSQUIDso: WebCaching AceleradordeContedo DistribuidordeContedo

Proxy Web-CachingOmaiscomumemaisconhecidopor administradoresderedes,Elepermite armazenarobjetoswebemcachelocal. otimizandoalarguradebandadaInternet econtroledeacesso.

Proxy Reversoummtodoantigoemuitoutilizadopor diversoswebsitesparaamenizaracarganos seusservidores. Contedofrequentementeacessadovaiparao cachedosquideservidoparaosclientes usandoapenasumafraodacargado servidornecessria.

Proxy Destribuidor de contedoMuito utilizado por provedores de Internet, utilizando computadores baratos em pontos estratgicos para dividir a carga de seus servidoreslocais.

Web-Proxy cachingExistemduasformasdeimplementaro webcaching Aprimeiraconsisteemconfigurartodas asaplicaesparaacessardiretamenteo servidorproxySquid Asegundaredirecionamostodoatrafego dainternetparaoservidorproxy, conhecidocomoproxyTransparente.

Proxy Manualnextecnologia.com responde a requisio Ao proxy proxy faz cache e entrega nextecnologia.com ao cliente

PROXYO proxy vai at nextecnologia.com E faz a requisio

NEX TECNOLOGIA

Cliente

O cliente requisita Www.nextecnologia.com Ao servidor proxy

Proxy Transparentenextecnologia.com responde a requisio Ao proxy proxy faz cache e entrega nextecnologia.com ao cliente

PROXY

NEX TECNOLOGIA

O Firewall redireciona TODO o trafego Da porta 80 para o proxy

firewallCliente O cliente requisita Www.nextecnologia.com Roteador Padro

Recursos do Web-cachingVelocidadedeAcesso Economiaderecursos ControledeAcesso

Instalando o squiddebian: #aptitudeinstallsquid #aptgetinstallsquid CentOs: #yuminstallsquid

Gerenciando servios no squid#/etc/init.d/squidstop #/etc/init.d/squidstart #/etc/init.d/squidrestart #/etc/init.d/reload

O arquivo squid.conf o arquivo nico de configurao do squid, este encontrasenodiretrio/etc/squid Visualizandoocontedodoarquivo #cat/etc/squid/squid.conf Abrindooaquivo #vim/etc/squid/squid.conf

O arquivo squid.confDiretivasbsicasparaofuncionamento #vim/etc/squid/squid.conf 1http_port3128 2visible_hostnameCurso_Proxy 3aclallsrc0.0.0.0/0.0.0.0 4http_accessdenyall

O arquivo squid.confOsquidTrabalhacomdoistiposdecache: 1Cacherpido,FeitousandopartedaMemriaRAM 2Cachemaislento,usandopartedoHD,porm maior.

Estrutura de cacheDiretiva responsvel por especificar a quantidade de memria RAM a ser usando pelo squid. O valor utilizaMegaBaytecomomedidapadro. #cache_mem64MB

Estrutura de cacheQuantidade mxima de tamanho dos arquivos que seroguardadosnocachefeitonamemriaRAM #maximum_object_size_memory64KB QuantidadedememriaemDisco #maximum_object_size512MB #minimum_object_size0KB

Estrutura de cachePorcentagemqueosquidiracomeara descartarosarquivosmaisantigosnocache. cache_swap_low90 cache_swap_hing95

Estrutura de cacheDiretivaparadefinirotamanhodecacheemdisco propriamentedita. cache_dirufs/var/spool/squid51216256 /var/spool/squiddiretrioondeserarmazenado 512quantidadedeespaoemHD 16quantidadesdepastas 256quantidadesdesubpastas

Estrutura Estruturade deLogs logRegistrodeconexesHTTP /var/log/squid/access.log Informaesdoquefoiarmazenado /var/log/squid/cache.log Informaesdosobjetos(pginas,figuras,etc /var/log/squid/store.log

Filtro de Contdo com ACLsSrc:FiltroporredeouendereoIPdeorigem dst:FiltroporredeouendereoIPdedestino Time:Filtropordataediadasemana url_regex:Filtrodeumastringnaurl dstdomain:Filtrodeumdomnionaurl proxy_auth:Filtrodeumaurl Arp:FiltroporMACAddress Proto:Filtroporprotocolo Port:Filtroporporta

Exemplo de configuraoAclrede_localsrc192.168.0.0/24 http_accssesallowrede_local aclencostoarp00:23:e4:04:3t:98 http_accessdenyencosto aclporno_aclurl_regexsexo http_accessdenyporno_acl

Exemplo de configurao Exemplo de configuraoBloqueiodehorrio aclfora_expedientetime20:0006:00 http_accessdenyfora_expediente aclalmootime12:0014:00 aclorkutdstwww.orkut.com http_accessallowalmooorkut

Blacklist and WhitelistTrabalhandocomoconceitodeBlackListseWhiteLists, podemosbloquearumapalavraedesbloquearasexees. Exemplo: aclblacklisturl_regexlinux aclwhitelistdstdomain.linuxfoundation.org.linux.com Agora,removaasregrasanterioresecrieestasnovas: http_accessdenyminharedeblacklist!whitelist http_acessdenyall Testeessasnovasregrasedescrevaoqueaconteceu.

Comandos importantesVerifique se a sintaxe do arquivo est correta: #squid -k parse Gere os novos diretrios de cache: #squid -z Releia o arquivo de configurao: #squid -k reconfigure

Proxy com autenticao Proxy com autenticao#aptgetinstallapache2utils #touch/etc/squid/squid_passwd #htpasswd/etc/squid/squid_passwdusuario

Proxy com autenticaoCamadaextradeseguranaparamonitoramentos avanados.auth_parambasicrealmsquid auth_parambasicprogram/usr/lib/squid/ncsa_auth /etc/squid/passwd aclautenticadosproxy_authREQUIRED http_accessallowautenticados

Relatrios Avanados Relatrios AvanadoSarguminterpretadordelogsparaosquidcriando pginasdetalhandotodoacessopassadopelo webproxy. /etc/squid/sarg.conf /var/www/squidreports

Proxy Transparente Proxy TranparenteForaousurioausaroproxyefacilitaa configuraodoclientesnarede.AtivandoNATnoFirewalliptables #modprobeiptable_nat #echo1>/proc/sys/net/ipv4/ip_forward #iptablestnatAPOSTROUTINGoeth0j MASQUERADE AtivandooproxytransparentenoFirewalliptables #iptablestnatAPREROUTINGieth1ptcp dport80jREDIRECTtoport3128

Proxy Transparente Servidor Proxy

FINAL www.nextecnologia.com www.facebook.com/nextecnologia nexopennex@gmail.com skype:paulo.plug