Loading presentation...

Present Remotely

Send the link below via email or IM

Copy

Present to your audience

Start remote presentation

  • Invited audience members will follow you as you navigate and present
  • People invited to a presentation do not need a Prezi account
  • This link expires 10 minutes after you close the presentation
  • A maximum of 30 users can follow your presentation
  • Learn more about this feature in our knowledge base article

Do you really want to delete this prezi?

Neither you, nor the coeditors you shared it with will be able to recover it again.

DeleteCancel

Make your likes visible on Facebook?

Connect your Facebook account to Prezi and let your likes appear on your timeline.
You can change this under Settings & Account at any time.

No, thanks

PROXY SQUID

Recursos para el alumno
by

Jose Perez

on 3 February 2017

Comments (0)

Please log in to add your comment.

Report abuse

Transcript of PROXY SQUID

PROXY SQUID
REQUISITOS
Se necesita tener instalado al menos lo siguiente:
• squid-2.5.STABLE1
• httpd-2.0.x(Apache)
Por supuesto una máquina Linux
CONFIGURACIÓN DE SQUID
Otros parámetros
El parámetro
cache_mem
establece la cantidad ideal de memoria: Ejem: cache_mem 16 MB
DEFINICIÓN
Es el software para servidor Proxy (servidor que actúa como intermediario entre tu ordenador y otros servidores) más popular y extendido entre los sistemas operativos basados sobre UNIX®. Es muy confiable, robusto y versátil.
CARACTERÍSTICAS
Squid
puede
hacer Proxy y cache con los protocolos HTTP, FTP, Proxy de SSL, cache de consultas DNS y otras muchas más como filtración de contenido y control de acceso por IP y por usuario, etc...
PARÁMETROS
• http_port
• cache_mem
• ftp_user
• cache_dir
• Al menos una Lista de Control de Acceso
• Al menos una Regla de Control de Acceso
• httpd_accel_host
• httpd_accel_port
• httpd_accel_with_proxy
http_port
Squid por defecto utilizará el puerto 3128 para atender peticiones, sin embargo se puede especificar que lo haga en cualquier otro puerto o bien que lo haga en varios puertos a la vez.
En el caso de un
Proxy Transparente
, regularmente se utilizará el puerto 80 y se valdrá del re- direccionamiento de peticiones de modo tal que no habrá necesidad alguna de modificar la configuración de los navegadores Web para utilizar el servidor Proxy. bastará con utilizar como puerta de enlace al servidor.
Squid
no puede
funcionar como proxy para servicios como SMTP, POP3, TELNET, SSH, etc.
Si se requiere para algo distinto a lo anteriormente citado se requerirá o bien implementar enmascaramiento de IP a través de un NAT (Network Address Translation) o bien hacer uso de un servidor SOCKS
Squid utiliza el fichero de configuración localizado en /etc/squid/squid.conf, y podrá trabajar sobre este utilizando su editor de texto preferido. Existen un gran número de parámetros, de los cuales:
EJEM: http_port 3128
http_port 8080
ftp_user:
Al acceder a un servidor FTP de manera anónima, por defecto Squid enviará como contraseña Squid@. Si se desea acceder a servidores FTP que validan la autenticidad de la dirección de correo especificada como contraseña, puede especificarse la dirección de correo electrónico que uno considere pertinente. Ejem:
ftp_user proxy@su-dominio.net
por defecto: ftp_user Squid@
LISTAS DE CONTROL DE ACCESO I
Es necesario establecer Listas de Control de Acceso que definan una red o bien ciertas maquinas en particular. A cada lista se le asignará una Regla de Control de Acceso que permitirá o denegará el acceso a Squid.
una lista de control de acceso se establece siguiendo la siguiente sintaxis:
acl [nombre de la lista] src [lo que compone a la lista]
src
Origen de conexión
srcdomain
Dominio origen
dst
Destino de conexión
dstdomain
" destino

acl miredlocal src 192.168.1.0/255.255.255.0
LISTA QUE CONTIENE TODA MI RED LOCAL
LISTAS DE CONTROL DE ACCESO II
También puede definirse una Lista de Control de Acceso invocando un fichero localizado en cualquier parte del disco duro, y en el cual se en cuenta una lista de direcciones IP. Ejemplo:
acl permitidos src "/etc/squid/permitidos"
El fichero /etc/squid/permitidos contendría algo como siguiente:
192.168.1.1 192.168.1.2
192.168.1.3 192.168.1.15
192.168.1.16 192.168.1.20
REGLAS DE CONTROL DE ACCESO I
Definen si se permite o no el acceso a Squid. Se aplican a las Listas de Control de Acceso.
Deben colocarse en la sección de reglas de control de acceso definidas por el administrador, es decir, a partir de donde se localiza la siguiente leyenda:
#
# INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS
#
La
sintaxis básica
es la siguiente:
http_access [deny o allow] [lista de control de acceso]
En el siguiente ejemplo consideramos una regla que establece acceso permitido a Squid a la Lista
de Control de Acceso denominada permitidos:
http_access allow permitidos
REGLAS DE CONTROL DE ACCESO II
APLICAR LAS LISTAS Y REGLAS
Primero se define la
lista
o listas, ejem:
acl todalared src 192.168.1.0/255.255.255.0
A continuación procedemos a aplicar la
regla
de control de acceso:
http_access allow todalared
Instalación y configuración de Squid Proxy
Funciones:
Centralizar el tráfico entre ambas redes.
Acelerar el acceso a contenidos WEB mediante una caché.
Restringir cierto tipo de tráfico según una serie de reglas establecidas en su fichero de configuración.
Permitir el acceso a otras redes, como Internet, a servidores ubicados en una red privada.
Guardar un registro del tráfico de red.
BALANCEAR CARGA
BALANCEAR CARGA
La idea es probar el balanceo entre diversos proxys que están muy cercanos o directamente en el mismo lugar, de manera que el usuario tenga configurado su navegador apuntando a la dirección y puerto de uno de los proxys y las peticiones que este proxy gestione pueda encaminarlas directamente hacia su salida a Internet o pueda balancearlas con el resto de servidores proxy que formen parte de este sistema de balanceo

Así se puede conseguir incrementar el nivel de optimización del uso de datos públicos disponibles en las cachés de los proxys y repartir la carga por los proxys. También se consigue que si uno de los proxys pierde su conexión a Internet por problemas en el adsl, no se pierda la conectividad porque se obtiene a través de los otros proxys que forman parte de este sistema.
BALANCEAR CARGA
Activarlo en el proxy:
En el servidor en el que está el squid que queremos que pueda balancear entre su salida y la de otros proxys, modificamos el archivo /etc/squid/squid.conf y añadimos:
cache_peer 10.x.x.x parent 3128 3130 no-query round-robin
donde 10.x.x.x es la dirección IP del proxy que también queremos que forme parte del sistema. Se aconseja hacer las pruebas añadiendo, al principio, sólo un proxy y, posteriormente, ir añadiendo más si es necesario.
Permitir las peticiones, a los otros proxys:
En el caso de proxys federados, en los que se pide nombre de usuario y contraseña para utilizarlos, si no modificamos las reglas del squid nos encontraremos con peticiones repetidas de autenticación del usuario para utilizar los diferentes proxys que forman parte del sistema. Pero esto se resuelve de forma sencilla simplemente añadiendo una regla que permita las peticiones entre proxys sin pedir autenticación. A efectos prácticos, la autenticación del usuario sólo tiene lugar en el primer proxy y éste puede enviar las peticiones a los otros.

Para ello, en el servidor en el que está el squid que queremos que reciba las peticiones del servidor anterior, modificamos el archivo /etc/squid/squid.conf y le añadimos una Access control list (acl):
acl balanceo src 10.y.y.y/255.255.255.224
donde 10.y.y.y es la dirección IP del primer proxy
BALANCEAR CARGA
BALANCEAR CARGA
El siguiente paso es definir el permiso para que puedan tener lugar las peticiones entre proxys y que no se pida nombre de usuario en este segundo proxy. Para ello, añadimos una Proxy restriction:
http_access allow balanceo
teniendo en cuenta que hay que ponerla por encima de la existente que pide la autenticación de los usuarios para utilizar el proxy, que ya tenemos definida en el proxy:
http_access allow usuarios_autenticados
Probar mediante WEBMIN
http://www.squid-cache.org/Versions/v3/3.0/cfgman/cache_peer.html
http://www.visolve.com/uploads/resources/squid30.pdf
Un proxy inverso (reverse proxy) es un servidor proxy-caché "al revés". Es un servidor proxy que, en lugar de permitirles el acceso a Internet a usuarios internos, permite a usuarios de Internet acceder indirectamente a determinados servidores internos.
PROXY TRANSPARENTE Y PROXY INVERSO
Actúa como "representante" de una aplicación efectuando solicitudes en Internet en su lugar. De esta manera, cuando un usuario se conecta a Internet con una aplicación del cliente configurada para utilizar un servidor proxy, la aplicación primero se conectará con el servidor proxy y le dará la solicitud.
Hermano 1:
icp_port 3130
# puerto icp
cache_peer 172.16.112.131 parent 3128 3130 default
# definimos cache padre. Puerto proxy 3128 y puerto icp 3130
cache_peer 172.16.112.136 sibling 8081 3130 proxy-only
# definimos cache hermano. Puerto proxy 8081 y puerto icp 3130
icp_access allow all
# permitimos acceso icp
a todos
Padre:
icp_port 3130
# puerto icp
icp_access allow all
# permitimos acceso icp a todos
Squid permite crear jerarquías de cachés. Puede haber proxys-cachés padres y hermanos. Mediante dicha instrucción podemos especificar otros proxys en una jerarquía.

Sintáxis básica:
cache_peer servidor http_port XXX
Opciones
:
parent: para especificar cual es el padre en la jerarquía.
sibling: si se trabaja en paralelo (hermanos).
proxy-only: No se almacenan en cache objetos que ya están presentes en la cache del padre.
round-robin: Establace balanceo de carga entre ellos.
CACHE_PEER
Full transcript