Mini-Prá cticás SAD - Squid

Mini-Prá cticás SAD - Squid En esta mini-práctica que espero tengáis lista en menos de una hora vamos a instalar y probar varias configuraciones del software Squid, un proxy web cache GNU que podemos encontrar en los repositorios de la mayoría de las distribuciones Linux (también tiene versiones para Windows). Instalación Instalad el paquete squid3 con apt-get. Si buscáis en el repositorio de vuestra distribución es probable que encontréis también el paquete squid, que es la versión anterior de Squid (v2.x). Primera prueba Una vez instalado, se iniciará el servicio proxy automáticamente. Para probarlo, desde la máquina real configurad un navegador para que use nuestro proxy. La IP será la de la máquina Linux donde hayamos instalado el proxy, mientras que el puerto será el 3128 que trae por defecto (los puertos típicos para los proxies son el 1080, 3128 y 8080, además de los normales de los servidores HTTP en el caso de los proxies transparentes). Una vez configurado el proxy, probad a cargar la página de Google. Como el proxy viene con la configuración por defecto, que es denegar todo lo que le llegue, os debería salir una página diciendo que la petición ha sido denegada. El fichero squid.conf El fichero de configuración de Squid lo podemos encontrar en /etc/squid3/squid.conf. Echadle un vistazo con un editor de texto. Como veréis, intentar encontrar la configuración entre tanto comentario es prácticamente imposible (de hecho, hay 30 líneas con opciones reales de configuración y 5669 entre comentarios y líneas en blanco). Si bien los comentarios vienen bien como guía de configuración, vamos a eliminarlos para poder trabajar de manera más adecuada con el fichero de configuración. Haced una copia del fichero, por si nos lo cargamos. Con el siguiente comando podemos obtener las líneas que no son comentarios ni líneas en blanco: cat /etc/squid3/squid.conf grep -v '^\#' awk NF Probad a relanzar el servicio de Squid para comprobar que todavía nos hemos cargado nada: /etc/init.d/squid3 restart Si todo funciona correctamente, seguimos adelante configurando Squid. Si no, restaurar la copia que habíais hecho (la habíais hecho, verdad?) y probad de nuevo.

Configurando Squid http://tuxjm.net/docs/manual_de_instalacion_de_servidor_proxy_web_con_ubuntu_server_ y_squid/html-multiples/ch03s03.html Configurando el acceso Para empezar, tenemos que configurar nuestro proxy para que nos permita el acceso desde nuestra máquina real. Para ello, usaremos la orden de configuración acl. Abrid el fichero original de configuración, preferiblemente con un editor de texto en modo gráfico que nos permita hacer búsquedas ya que vamos a usarlo como manual. Buscad el texto TAG: acl. Alternativamente, podéis encontrar la misma información en este enlace: http://www.squid-cache.org/doc/config/. Aquí explica la sintaxis de esta orden y al final de la explicación, vienen varios ejemplos de uso. La configuración por defecto restringe todo el acceso a localhost. Tenemos que configurar el acceso para los ordenadores de nuestra red local. Para ello, escribiremos esta orden (en el fichero real de configuración) después de las acl de localhost: acl localnet src 192.168.137.1/32 sustituyendo la IP 192.168.137.1 por la IP de vuestra máquina real. Con esto añadiremos nuestra máquina real a la lista de acceso localnet, a la que ahora permitiremos el uso del proxy. Aquí hemos configurado únicamente una dirección IP. Lo normal es permitir el acceso a las diferentes subredes que tengan permiso para usar el proxy. La siguiente sección en la que debemos configurar algo es TAG: http_access. Aquí, se abre o se cierra el acceso a las diferentes listas que hayamos configurado. Si os fijáis, en el fichero la última línea es http_access deny all. Eso significa que la política por defecto es denegar todo y deberemos permitir el acceso específicamente a los equipos deseados. Como ya tenemos configurada la lista localnet, nos bastará con añadir esta línea encima del deny all: http_access allow localnet Guardad y reiniciad el servicio y comprobad que ahora sí podéis conectaros a Google (o a cualquier otra página) a través del proxy. Configurando la caché Estamos usando ya un la caché del proxy? Comprobadlo. Cargad en vuestro navegador con el proxy configurado una página gorda con muchas fotos. Una vez terminada de cargar, cerrad la página y limpiad la caché del navegador. Volved a cargar la página. Más rápido? Debería... El proxy usa automáticamente una porción de la memoria RAM para hacer de caché. Sin embargo, aún no está configurada la caché en disco, necesaria si el tráfico va a ser medianamente grande. Comprobad que la caché que se usa es exclusivamente de RAM limpiando la caché del navegador, reiniciando el proxy y volviendo a cargar la página. Debería tardar tanto como la primera vez.

Para configurar la cantidad de memoria RAM que usaremos para el proxy, podemos añadir el parámetro cache_mem al fichero squid.conf. Por ejemplo, con esta línea configuraríamos el proxy para que usara 64 MB de RAM: cache_mem 64 MB Para configurar la caché de disco, tenemos que añadir una línea (o varias, ya que se pueden usar varios directorios, generalmente en varios discos diferentes) con cache_dir. La configuración de ejemplo, que viene comentada, es la siguiente: cache_dir ufs /var/spool/squid3 100 16 256 El parámetro ufs indica uno de los sistemas de almacenamiento que usa Squid. Después especificamos el directorio (por defecto /var/spool/squid3), el tamaño máximo en MB (en el ejemplo, 100 MB, que es muy poco espacio) y los niveles de directorios que se pueden crear dentro. El directorio que vayamos a usar debe tener como propietario el usuario especial proxy y como permisos 755. Comprobadlo haciendo ls -l /var/spool. Configurad el fichero squid.conf para que use 64 MB de caché RAM y 1 GB de disco duro en el directorio por defecto. A continuación, parad el servicio ya que tenemos que crear la estructura de directorios de caché. Para ello, con squid3 parado, escribid: squid3 -z Se crearán 16 directorios dentro de /var/spool/squid3 y 256 directorios dentro de cada uno de ellos. Arrancad de nuevo el servidor proxy y probad a cargar una página en vuestro navegador (limpiando la caché del navegador antes, como siempre). Si le echáis un vistazo al directorio de caché, veréis que habrá crecido de tamaño ya que ahora sí que se han guardado ficheros en la caché de disco. Si es la primera página que cargáis, debería estar todo en el directorio 00 y dentro en el 00. Por ejemplo: cat /var/spool/squid3/00/00/00000000 os debería devolver el contenido de uno de estos ficheros de caché. Para comprobar que la caché de disco es efectiva, reiniciad el servidor proxy y volved a cargar la misma página en vuestro navegador. Configurando el filtro de contenidos http://tuxjm.net/docs/manual_de_instalacion_de_servidor_proxy_web_con_ubuntu_server_ y_squid/html-multiples/ch04s03.html Para filtrar a qué páginas o a que tipo de contenidos se puede acceder a través del proxy, tenemos que configurar una acl en la que se especifique qué se quiere filtrar y posteriormente crear una regla http_access para definir si permitimos o denegamos el acceso. Vamos a empezar con un ejemplo facilito. Para filtrar direcciones web, usamos el parámetro dstdomain (dominio de destino) en la regla acl. Así la siguiente regla:

acl filtro_deportes dstdomain.marca.com.as.com nos creará una lista que contiene los dominios que acaben en *.marca.com y *.as.com. Una vez creada la acl, añadimos esta línea http_access más abajo: http_access deny filtro_deportes Atención! Recordad como funcionan las listas de control de acceso. En el momento en el que se active la primera regla ya dejan de comprobarse el resto. Por lo tanto, si añadimos esta línea debajo de la que ya añadimos anteriormente (http_access allow localnet) no nos servirá de nada, ya que al acceder desde nuestra máquina real se activará esta regla y ya se permitirá todo el acceso. Tenemos dos opciones para que funcione. Añadirla antes de la que permite el acceso a nuestra red local o fusionar ambas órdenes en una sola: http_access allow localnet!filtro_deportes O sea, permitir el acceso a la red local siempre y cuando no se intente acceder a alguna de las direcciones especificadas en nuestro filtro. Ficheros de ACL También podemos escribir los filtros en un fichero aparte y leerlo desde el fichero de configuración. Cread un fichero filtro_descargas.acl con el siguiente contenido:.filesonic.com.megaupload.com.uploadking.com y añadid la siguiente línea al fichero squid.conf: acl filtro_descargas dstdomain /etc/squid3/filtro_descargas.acl Añadid la acl a la línea http_access detrás del filtro anterior y comprobad que nos filtra esos tres sitios web que hemos puesto en el fichero. Filtros de URL Además de por el nombre de dominio, podemos filtrar por prácticamente cualquier cosa que aparezca en la dirección URL. Podemos, por ejemplo, filtrar las páginas o los archivos que tengan una cierta extensión o filtrar todas las direcciones que contengan la subcadena porn (esto incluye una búsqueda de Google, ya que la búsqueda se pasa como parámetro en la URL). Esto lo hacemos mediante el parámetro url_regex a la hora de crear las acl. Como os podréis imaginar, regex se refiere a expresiones regulares (je, je). Dos ejemplos. El primero nos filtra las direcciones que acaben en.mp3: acl filtro_mp3 url_regex -i \.mp3$

El segundo, nos filtra cualquier URL que contenga la palabra clave porn : acl filtro_porno url_regex -i porn Por si no os acordáis, la opción [-i] en una expresión regular se usa para que no distinga entre minúsculas y mayúsculas. Añadid estas dos acl al filtro http_access y comprobad que, efectivamente, se están filtrando esas URLs (si no encontráis ningún MP3 gratuito que os podáis bajar, podéis usar la siguiente URL: http://www.geico.com/public/audio/somebodyswatchingme.mp3). Subidme el archivo squid.conf a la plataforma. Por fin se acabó este infierno. :D