proxy
DESCRIPTION
instlacion de proxyTRANSCRIPT
Squid Proxy Server
En este artculo se explica qu es un servidor HTTP o FTP proxy es y, a continuacin, se explica cmo Webmin se puede utilizar para configurar el servidor proxy Squid popular.
Contenido
1 Introduccin al uso de proxy y calamar 2 El mdulo Squid Proxy Server 3 Cambio de los puertos proxy y direcciones 4 Adicin de directorios de cach 5 Edicin de opciones de almacenamiento en cach y delegacin 6 Introduccin acceder a las listas de control 7 Creacin y edicin de ACL 8 Crear y editar las restricciones de proxy 9 Configuracin de la autenticacin del proxyIntroduccin al uso de proxy y Squid
Un servidor proxy HTTP es bsicamente un programa que acepte las peticiones de los clientes para las direcciones URL, les va a buscar en nombre del cliente, y devuelve los resultados al cliente. La representacin se utilizan en las redes donde los clientes no tienen acceso directo a Internet, pero todava tendr que ser capaz de ver las pginas web. Un proxy tambin se utiliza para el almacenamiento en cach comnmente solicitado pginas de modo que si ms de un cliente quiere ver la misma pgina que slo tiene que descargar una vez.
Muchas empresas y organizaciones tienen sus firewalls configurados para bloquear todo el trfico entrante y saliente por los sistemas de redes LAN internas. Esto se puede hacer por razones de seguridad, o para limitar lo que los empleados pueden acceder a travs de Internet. Porque ser capaz de ver las pginas web es muy til, un proxy se suele configurar de modo tal que los sitios web se puede acceder a travs de l.
Las grandes organizaciones y proveedores de Internet con muchos PC clientes con el acceso a Internet tambin pueden querer ejecutar un servidor proxy para reducir la carga en sus redes. Porque una de las principales tareas de un proxy es el almacenamiento en cach pginas solicitadas por los clientes, cualquier pgina pidi ms de una vez ser devuelto de la cach en lugar de ser inverosmil desde el servidor de origen. Por esta razn, los sistemas de los clientes a menudo se configuran u obligados a utilizar un proxy cach para acceder a la web.
Un proxy es til slo si los exploradores cliente estn configurados para usarlo en lugar de conectarse a sitios web directamente. Afortunadamente, todos los navegadores web en la existencia, y casi todos los programas que descargan archivos a travs de HTTP para diversos fines, puede ser configurado para usar un proxy. Esto les dice que hacer una conexin especial proxy HTTP al servidor proxy en lugar, especificando la direccin URL completa para descargar.
La representacin no son slo para HTTP - tambin pueden apoyar FTP y protocolo Gopher peticiones de los clientes, los cuales el servicio haciendo una conexin FTP o Gopher al servidor solicitado real. Incluso conexiones SSL cifrados pueden ser manejados por un proxy, a pesar de que no puede descifrar la solicitud. En su lugar, el proxy simplemente reenva todos los datos desde el cliente al servidor de destino y viceversa.
Squid es el servidor proxy ms popular para sistemas Unix / Linux. Es de cdigo abierto y est disponible gratuitamente para su descarga desde www.squid-cache.org, y se incluye como un paquete estndar con todas las distribuciones de Linux y muchos otros sistemas operativos. Squid soporta tanto conexiones proxy, caching y HTTP aceleracin, y tiene un gran nmero de opciones de configuracin para controlar el comportamiento de estas caractersticas.
Squid lee su configuracin desde el squid.conf archivo de texto, por lo general se encuentra en o bajo el directorio / etc. Este archivo se compone de una serie de directivas, una por lnea, cada uno de los cuales tiene un nombre y un valor. Cada directiva establece alguna opcin, como el puerto TCP para escuchar o un directorio para almacenar los archivos en cach en. Mdulo Squid de Webmin edita este archivo directamente, ignorando cualquier comentario o directivas que no entiende.
Muchas versiones de Squid se han lanzado en los ltimos aos, cada uno de los cuales ha apoyado diferentes directivas de configuracin o asignado diferentes significados a las mismas directivas. Esto significa que un archivo squid.conf de la versin 2.0 puede no ser compatible con Squid 2.5 - y uno de Squid 2.5 sin duda no va a funcionar con la versin 2.0. Afortunadamente, Webmin sabe que las directivas de cada soportes de liberacin y slo permite la edicin de los que se sabe que la versin de funcionamiento de calamar.
Pginas web almacenadas en cach se almacenan en archivos en una estructura de directorios de varios niveles para un mayor rendimiento del sistema de archivos. Squid se pueden configurar para utilizar varios directorios de cach por separado, por lo que se puede propagar archivos a travs de diferentes discos para mejorar el rendimiento. Cada vez que una pgina cacheable se solicita que se almacena en un archivo, de modo que cuando llega una solicitud posterior para la misma pgina el archivo se puede leer y los datos sirve a partir de ella. Debido a que algunas pginas web cambian con el tiempo (o incluso se generan de forma dinmica), Calamar comprueba los de ltima modificacin y expiracin fechas de pginas web para que pueda borrar datos de la cach cuando no est actualizado.
El programa real que maneja las solicitudes del cliente es un proceso de servidor permanentemente corriendo llamado calamar. Tambin puede empezar varios otros subprocesos para tareas tales como bsquedas de DNS o la autenticacin del cliente, pero todo el procesamiento real protocolo HTTP est hecho en el proceso maestro nico. A diferencia de otros servidores similares, tales como Apache o Sendmail, Squid no se inicia o utiliza subprocesos para manejar las solicitudes de cliente.
Squid pueden compilarse en todos los sabores de Unix que Webmin soporta, y trabaja de manera casi idntica en todos ellos. Esto significa que la interfaz de usuario del mdulo Webmin es los mismos sistemas operativos en todo, as, con la excepcin de las rutas predeterminadas que utiliza para los programas de calamar y archivos de configuracin.
El mdulo Squid Proxy Server
Si desea crear o configurar Squid desde Webmin, usted tendr que usar el mdulo Squid Proxy Server, que se encuentra bajo la categora Servidores. Cuando se hace clic en su icono en, aparecer debajo de la pgina se muestra en la pantalla, en el supuesto de que Squid est instalado y configurado correctamente. Como puede ver, la pgina principal se compone slo de una tabla de iconos, cada uno de los cuales se puede hacer clic en para que aparezca un formulario para editar los ajustes en esa categora.
La pgina principal del mdulo Squid
Si no ha configurado o iniciado Calamares en su sistema antes, el directorio de cach ha probablemente no ha creado todava. El mdulo detectar esto y mostrar un mensaje como * Su Directorio de cach de Squid / var / spool / squid no se ha inicializado * encima de la tabla de iconos. Para inicializar la cach, siga estos pasos:
1. Si no est satisfecho con el directorio de cach en pantalla, ahora es el momento de cambiarlo. Siga las instrucciones del * Adicin de directorios de cach * seccin para definir sus propios directorios antes de continuar.
2. En el como usuario Unix campo introduzca el nombre del usuario que ser el propietario de los archivos de cach y que el proceso de daemon se ejecutar como. Normalmente, este ser un usuario calamar especial creada con el propsito (y el campo ser por defecto calamares si existe un usuario tal), pero, de hecho, cualquier usuario va a hacer. Recomiendo el uso de los Usuarios y mdulo de Grupos (cubierto en el captulo 4) para crear un calamar llamado usuario cuyo directorio principal es el directorio de cach si es necesario sin embargo.
3. Haga clic en la Inicializar cach botn. La configuracin de Squid se actualizar para utilizar su nombre de usuario elegido, y el comando de calamar -z se ejecutarn para configurar los directorios de cach. Toda la salida que produce se mostrar de modo que usted puede ver cmo la inicializacin est progresando.
4. Cuando el proceso se haya completado, volver a la pgina principal del mdulo y el mensaje de error debera haber desaparecido.
Si Squid no est instalado en absoluto en el sistema (o instalado en una ubicacin diferente a la que Webmin espera), un mensaje de error como el calamar /etc/squid.conf archivo de configuracin no existe aparecer en la pgina principal en lugar de la tabla de iconos. Si realmente lo tiene instalado, lea el * Configuracin del mdulo Squid Proxy Server * seccin para obtener instrucciones sobre cmo cambiar las rutas del mdulo utiliza. Por otro lado, si realmente no est instalado debe utilizar el mdulo de paquetes de software (cubierta en SoftwarePackages) para instalar el paquete de calamar desde el CD de distribucin de Linux o sitio web.Si no existe tal paquete para su sistema operativo, tendr que descargar, compilar e instalar la ltima versin de Squid de www.squid-cache.org. Siempre y cuando usted tiene un compilador instalado en el sistema, este es un proceso relativamente simple sin dependencias.
Una vez instalado el servidor, si quieres hacer uso de ella en el largo plazo, usted debe hacer arreglos para que se inici en el arranque, usando el mdulo Bootup y cierre del sistema (que el captulo 9 se explica cmo utilizar). Todos los paquetes de Linux incluyen una secuencia de comandos de accin de arranque para Squid, aunque puede ser desactivado por defecto por lo tanto requiere que usted permita en ese mdulo. De lo contrario, tendr que crear una accin que se ejecuta un comando como
/ Usr / local, / squid / bin / squid -Sy
, Asumiendo que usted ha calamar instalado en / usr / local / squid.
Una vez Squid ha sido instalado e inicializado, puede empezar a utilizar este mdulo. Cuando Squid correr, cada pgina tiene dos enlaces en la parte superior - Aplicar cambios que obliga a la configuracin actual que volver a leer, y la parada del calamar, que apaga el servidor proxy. Si el servidor no se est ejecutando, esos vnculos se reemplazan con * Inicio Squid * en lugar, que como su nombre indica intentos para iniciarlo. Si an no est en ejecucin, es probable que desee comenzar ahora.
Debido a que cada versin de Squid ha introducido nuevas directivas de configuracin, interfaz de usuario de este mdulo aparecer de forma diferente dependiendo de la versin de Squid que detecta en su sistema. Todas las instrucciones de este captulo estn escritas para Squid 2.4, ya que es actualmente la versin ms utilizada. Si est ejecutando una versin anterior o posterior, diferentes campos pueden aparecer en los formularios o tener ms o menos opciones. Por ejemplo, cada nueva versin ha introducido diferentes tipos de ACL, y la autenticacin se ha manejado de tres maneras diferentes a travs de la historia del programa. Sin embargo, los conceptos bsicos siempre han sido los mismos.
Cuando se utiliza este mdulo, asegrese de que su navegador est configurado para no utilizar el proxy Squid para acceder al servidor Webmin. De lo contrario se corre el riesgo de cortar su propio acceso al mdulo si usted comete un error de configuracin o apagar el proceso del servidor. Todos los navegadores que pueden usar un proxy tienen un campo para la inclusin de los ejrcitos para conectarse a directamente, en la que puede introducir el nombre de host de su servidor Webmin.
Cambio de los puertos proxy y direcciones
Por defecto, Squid escucha las peticiones de proxy en el puerto TCP 3128 en todas las direcciones IP de su sistema. Debido a que este no es el puerto habitual que los proxies se ejecutan en (8000 y 8080 parece ser el ms comn), es posible que desee cambiar. Usted tambin puede editar la direccin de escucha para que slo los clientes de la red interna se pueden conectar, si el sistema tiene ms de una interfaz de red.
Para especificar los puertos que utiliza Squid, siga estos pasos:
1. En la pgina principal del mdulo, haga clic en los Puertos y Redes icono para que aparezca la forma que se muestra en la Figura 44-2.
2. En la direccin del proxy y puertos tabla, seleccione la * lista detallada en la opcin *. En la siguiente tabla, cada fila define un puerto de escucha y, opcionalmente, una direccin de unirse a. Cualquier puertos y direcciones existentes sern listados, seguido de una sola fila en blanco para agregar uno nuevo. En el primer campo vaco en el puerto de la columna, introduzca un nmero de puerto como 8000 o 8080. En la columna de direccin de * la * Nombre de host / IP, o bien seleccione Todo para aceptar conexiones en cualquiera de las interfaces de su sistema, o la segunda opcin para introducir una direccin IP en el cuadro de texto adyacente. Utilizando esta tabla, Squid puede ser configurado para escuchar en tantos puertos como quieras. Sin embargo, debido a que slo una fila en blanco aparece en un momento en que tendr que guardar y volver a abrir el formulario para agregar ms de un nuevo puerto.
3. ICP es un protocolo utilizado por Squid para comunicarse con otros servidores proxy en un clster. Para escuchar en un puerto distinto al predeterminado de 3130 para la ICP, rellene el puerto ICP campo. Esto generalmente no es necesario, sin embargo, ya que slo los otros poderes nunca utilizan este protocolo.
4. Squid normalmente aceptar conexiones PCI en cualquier direccin IP. Para cambiar esto, seleccione el segundo botn en el campo de direccin * UDP entrante * e introduzca una de interfaz IP de su sistema en su campo de texto. Esto puede ser til si todos los otros poderes que su servidor podra querer comunicarse con son en una sola LAN interna.
5. Haga clic en el Guardar botn en la parte inferior de la pgina para actualizar el archivo de configuracin con la nueva configuracin, haga clic en el * Aplicar cambios * enlace en la pgina principal para activarlos.
La forma de los puertos y la creacin de redes
Directorios de cach Agregando
En su configuracin habitual defecto, Squid utiliza un nico directorio para almacenar pginas en cach. A lo sumo 100 MB de datos sern almacenados en este directorio, que no es probable que sea suficiente si servir un gran nmero de clientes activos. Si el sistema tiene ms de un disco duro, tiene sentido para ampliar la memoria cach en varios discos para mejorar el rendimiento. Esto se puede hacer mediante la especificacin de varios directorios, cada una con su tamao mximo.
En un sistema que est dedicada a la ejecucin de un servidor proxy, el importe mximo de cach en cada directorio debe ser alrededor del 90% del espacio disponible. No es prudente para configurar o permitir Squid para utilizar todo el espacio libre en disco, el rendimiento de la mayor cantidad de sistemas de archivos sufren reducen cuando casi lleno. Adems, el espacio de disco puede ser usado por los archivos de registro y datos de usuario tambin. Si Squid se llena todo el disco duro, se pueden producir problemas debido a que otros programas no pueden crear archivos temporales o escribir a los registros.
Para aadir un nuevo directorio de cach y especificar el tamao mximo de la existente, siga estos pasos:
1. Haga clic en el Opciones de cach icono en la pgina principal del mdulo para que aparezca la forma que se muestra en la siguiente imagen.
2. En los directorios de cach de campo, seleccione el Listado opcin. Si por defecto se eligi antes, Squid se han estado utilizando el directorio de cach predeterminado compilado en una sola muestra en parntesis. Si desea seguir utilizando este directorio, se debe introducir de forma explcita en la tabla. El tamao por defecto es de 100 MB, y utiliza 16 1er nivel y 256 directorios 2do nivel. Cada fila de la tabla especifica un nico directorio de cach. Cualquier directorios existentes (aparte del defecto) se enumerarn para que pueda editarlos, seguido de una sola fila en blanco. Cada fila tiene campos en las siguientes columnas:
Directorio La ruta completa del directorio de cach de nivel superior, como por ejemplo / var / spool / squid o / disk2 / cache. Este directorio debe existir y ser posedo por el uso que Squid se ejecuta como (generalmente llamado calamar) - el mdulo no lo crear para usted.
Escriba el tipo de almacenamiento utilizado en el directorio. Siempre debe seleccionar UFS aqu.
Tamao (MB) La cantidad mxima de datos que contendr, en megabytes. Una vez que se alcanza este lmite, los archivos ms antiguos de la ONU solicitadas sern sustituidos por otros nuevos.
1er nivel dirs El nmero de subdirectorios que se crearn en el directorio de cach. El valor por defecto de 16 es por lo general muy bien, pero es posible que desee aumentar esta muy grandes cachs.
Segundo nivel dirs El nmero de subdirectorios que se crearn en cada directorio de primer nivel. Usted slo debe ingresar 256 menos que su cach va a ser muy grande.
Opciones Deja este campo en blanco - slo se utiliza para otros tipos de directorios. Si usted se est preguntando por qu Squid necesita crear dos niveles de subdirectorios en cada directorio de cach, la razn es el bajo rendimiento de muchos sistemas de ficheros cuando un directorio contiene un gran nmero de archivos. Debido a que cada pgina HTML en cach nica o la imagen se almacena en un archivo separado, el nmero de archivos en un sistema de proxy ocupado puede ser enorme. Difundir ellos a travs de mltiples directorios resuelve este problema.
1. Despus de aadir un directorio, haga clic en el Guardar botn en la parte inferior de la pgina. Si desea agregar ms de una que tendr que hacer clic en el Opciones de cach icono de nuevo para volver a visualizar la tabla con una nueva fila vaca.
2. Cuando haya terminado de definir los directorios, volver a la pgina principal del mdulo. Si uno nuevo se ha aadido, un mensaje de error como sus directorios cache Squid no han sido inicializados se mostrar. Haga clic en la Inicializar cach botn para que Squid crear todos los sub-directorios en los nuevos directorios de cach. El servidor se cerrar durante el proceso, y
re-inicia cuando se ha completado.
1. Despus de la inicializacin se ha completado, haga clic en el Apply Changes enlace en cualquier pgina para empezar a utilizar sus nuevos directorios.
La forma de opciones de cach
Opciones de almacenamiento en cach de Edicin y de proxy
Squid tiene numerosos parmetros que limitan el tamao de los objetos almacenados en cach, el tamao de las solicitudes de los clientes y los tipos de pginas en cach. Pueden ser utilizados para detener el servidor almacenar archivos grandes (como imgenes ISO descargados), para limitar el tamao de los archivos que los clientes pueden cargar o descargar, y para evitar que la cach de pginas que cambian con frecuencia (como los generados por scripts CGI ). Los valores por defecto por lo general funciona bien sin embargo, con la posible excepcin del tamao mximo de carga que est a slo 1 MB.
Para editar las opciones de almacenamiento en cach, siga estos pasos:
1. Haga clic en el Opciones de cach icono en la pgina principal para mostrar de forma demostracin arriba de nuevo.
2. Para establecer el tamao mximo de los archivos subidos #, seleccione la segunda opcin en el mximo cuerpo de la solicitud de tamao de campo, introduzca un nmero en el cuadro de texto y seleccione algunas unidades en el men. 10 100 MB debera ser ms que suficiente para cualquier persona.
3. Para detener la descarga de archivos grandes clientes, rellene el * cuerpo respuesta tamao * El campo mximo de la misma manera. Esto puede ser utilizado por prevenir el abuso de la red por los clientes la descarga de grandes pelculas o archivos ISO, pero a menudo puede ser subvertido por la descarga de un archivo grande en pedazos.
4. Si desea establecer un lmite superior en el archivo que una pgina se puede almacenar en la memoria cach, rellene el mximo tiempo de cach de campo en lugar de dejarlo ajustado por defecto. De lo contrario, los datos se almacenan en cach durante un mximo de un ao, o hasta que la fecha de caducidad fijado por el servidor de origen.
5. Adems de los archivos de cach descargado, Squid se acordar de mensajes de error de servidores y devolverlos a los clientes que solicitan la misma pgina. Puede cambiar la cantidad de tiempo que los errores se almacenan en cach para introduciendo un nmero y seleccin de unidades en el tiempo de cach de solicitudes con error de campo. Si por defecto se elige, los errores se almacenan en cach durante 5 minutos. Incluso esto puede ser molesto mucho tiempo si usted acaba de fijo un error en un sitio web sin embargo.
6. Squid cach las respuestas a las bsquedas por nombre para reducir la cantidad de actividad DNS, independientemente de los jefes de equipo que el suministro de los servidores DNS. Si por defecto se selecciona en el campo * El tiempo de cach de bsqueda * DNS, las respuestas sern recordados durante 6 horas. Si esto parece mucho para usted, seleccione el segundo botn y entrar en su propio tiempo de cach en su lugar.
7. Los no hacer las URL de cach de ACL campo se pueden usar para prevenir completamente el almacenamiento en cach para ciertas URLs, servidores web o clientes. Cualquier solicitud que coincide con una de las ACL controladas en este campo no se almacena en cach, y por lo tanto siempre se fue a buscar directamente. Puede utilizar esta funcin para bloquear el almacenamiento en cach de las pginas generadas dinmicamente mediante la creacin de una ruta de URL Regexp ACL para .cgi o cgi-bin y seleccionando aqu. Vea la * El uso de listas de control de acceso * seccin para ms detalles sobre cmo funcionan las ACL y se pueden definir.
8. Hit the Guardar botn en la parte inferior de la pgina para volver al men principal. Debido a que algunas de las opciones de almacenamiento en cach adicionales en el formulario de la memoria y el uso del disco, haga clic en el uso de la memoria icono para mostrarlo.
9. Para limitar la cantidad de memoria que Squid utilizar, rellene el lmite de uso de memoria de campo. Tenga en cuenta que este lmite slo se efecta el mximo de memoria utilizada para el almacenamiento en trnsito y los archivos de acceso frecuente, y las respuestas negativas. Debido Squid utiliza la memoria para otros fines, sin duda consumir ms de lo que introduzca aqu. Si por defecto se selecciona, un lmite de 8 MB se har cumplir, que es probablemente demasiado bajo para un servidor ocupado.
10. Para evitar que el almacenamiento en cach de archivos de gran tamao, rellene el * tamao del objeto en cach mxima * campo. El valor predeterminado es de slo 4 MB, as que si usted tiene un montn de espacio en disco que sin duda debe ser incrementado.
11. Hit the Guardar botn en la parte inferior del formulario y luego las Aplicar cambios enlace en la pgina principal para activar todos sus nuevos ajustes.
Introduccin acceder a las listas de control
ACL (listas de control de acceso) son posiblemente caracterstica ms poderosa de Squid. Una ACL es simplemente una prueba que se aplica a una solicitud de cliente para ver si coincide o no. Luego, en base a las ACL que cada solicitud partidos se puede optar por bloquear, impedir el almacenamiento en cach, la fuerza en una piscina de demora, o entregarlos a otra servidor proxy. Existen muchos tipos diferentes de ACL - por ejemplo, un tipo comprueba la direccin IP de un cliente, otros partidos se solicita la URL, mientras que otras comprobar el puerto de destino, nombre de host del servidor web, el usuario autenticado y as sucesivamente.
El uso ms comn de ACL est bloqueando conexiones de clientes fuera de su red. Si ejecuta un servidor proxy que est conectado y accesible desde Internet, los ejrcitos fuera de su red local no se debe permitir a usarlo. Usuarios maliciosos suelen utilizar otros servidores proxy para el blanqueo de conexiones utilizadas para la piratera, el envo de spam o acceder a sitios web que no se debe permitir a.
Debido a que la peticin especial de proxy CONNECT se puede utilizar para conectarse a cualquier puerto, una ACL se utiliza a menudo para bloquear su uso para cualquier puerto que no sean 443 (el valor predeterminado SSL). Esto evita que los usuarios utilicen el proxy para conectarse a servidores que no sean servidores web, tales como AIM, ICQ o MSN. Del mismo modo, una ACL se puede configurar para bloquear las peticiones normales HTTP a puertos como 22, 23 y 25 que se utilizan normalmente para SSH, Telnet y SMTP.
Slo definir una ACL en la configuracin de Squid en realidad no hacer nada - debe ser aplicado de alguna manera a tener ningn efecto. En esta seccin se explica cmo utilizarlos para controlar que se pide al servidor estn permitidos o denegados. Otras secciones se explica cmo se relacionan con el almacenamiento en cach y el acceso a otros servidores.
Cuando se recibe una solicitud, Squid primero determina qu ACL que coincide. A continuacin, compara esta lista de partidos con una lista de restricciones de proxy, cada una de las cuales contiene una o ms ACL y una accin a realizar (ya sea Permitir o Denegar). Tan pronto como una restriccin se encuentra que coincide con las ACL para la solicitud, su accin determina si se permite o se deniega la solicitud. Si no hay restricciones coinciden, se aplica lo contrario de la ltima accin de la lista. Por esta razn, la accin final en la mayora de las configuraciones de calamar es Permitir todo o Denegar todo.
Peticiones ICP de otros proxies tambin se comprueban para ver qu ACL coinciden, y se comparan con una lista de restricciones ICP similar pero diferente para ver si se permitir o no. Vea la Conexin a otros servidores proxy ms adelante para una explicacin ms compleja de lo que es la PIC y cuando se utiliza.
La configuracin tpica Squid defecto incluye varias ACL y restricciones de proxy. Por razones de seguridad, todos los pedidos desde cualquier lugar se les niega de forma predeterminada. Esto significa que usted tendr que cambiar la lista de restricciones antes de que nadie puede usar su poder. Siga leyendo para averiguar cmo.
Para ver las listas de ACL definidas, restricciones de proxy y restricciones ICP, haga clic en el control de acceso de icono en la pgina principal del mdulo. Como la imagen de abajo muestra, una tabla de ACL mostrando sus nombres, tipos y partidos se muestra a la izquierda. A la derecha se encuentran las tablas de representacin y restricciones ICP que muestran sus acciones y las ACL que coincidan. Las tablas de restriccin tienen flechas arriba y abajo junto a cada entrada para moverlos en la lista, debido a que sus asuntos de orden.
La pgina de listas de control de acceso
Antes los clientes pueden utilizar su poder tendr que configurarlo para permitir el acceso desde algunas direcciones. Los pasos para hacer esto son:
1. En la pgina de control de acceso, seleccione Direccin del cliente en el men debajo de la lista de ACL existentes. Al hacer clic en el Crear nueva ACL botn, un formulario para introducir direcciones coincidentes aparecern.
2. En el nombre de ACL campo introduzca un nombre corto como yournetwork.3. En el campo vaco bajo Desde IP introduzca la direccin IP inicial en el rango para permitir, por ejemplo, 192.168.1.1.
4. Si el campo bajo Para IP introduzca la direccin termina en la gama, como 192.168.1.100. Slo los clientes que se encuentran dentro de este rango coincidirn con la ACL. No introduce nada en la mscara de red de campo.
5. Alternativamente, puede especificar una red IP mediante la introduccin de la direccin de red en el De IP campo y la mscara de red (como 255.255.255.0) en la mscara de red de campo. Para introducir ms de uno, tendr que guardar y re-editar esta ACL para que aparezcan nuevos campos en blanco.
6. Haga clic en el Save botn para aadir el ACL y volver a la pgina de control de acceso en la que se incluir la nueva ACL.
7. Haga clic en Agregar restriccin de proxy por debajo de la restricciones de proxy mesa.
8. En el formulario que aparece, seleccione Permitir desde la accin de campo.
9. En el Partido ACL lista, seleccione su nueva yournetwork ACL.
10. Haga clic en el Guardar botn en esta forma para volver a la pgina de control de acceso de nuevo. La nueva restriccin se muestra en la parte inferior de la tabla, muy probablemente por debajo del Denegar todo de entrada.
11. Haga clic en la flecha hacia arriba al lado de su nueva restriccin para moverlo arriba Denegar todo. Esto le dice a Squid para permitir conexiones desde la red, y negar todos los dems.
12. Por ltimo, haga clic en el Aplicar cambios enlazan en la parte superior de la pgina. El proxy de ahora se podr utilizar por los clientes de la red interna, pero nadie ms!
Estas instrucciones se supone que usted est comenzando con la configuracin por defecto Squid. Si el proxy ya se ha configurado para permitir el acceso desde cualquier lugar (cambiando el negar toda restriccin a Permitir todo), debe cambiar de nuevo de nuevo para bloquear a clientes de fuera de la red. Para obtener ms informacin sobre los tipos de ACL disponibles y cmo utilizarlos, lea las siguientes dos secciones.
Creacin y edicin de ACL
Antes de que pueda bloquear o permitir las solicitudes de alguna direccin, a algn servidor o para alguna pgina usted tendr que crear una ACL apropiada. Los pasos bsicos para hacer esto son:
1. Seleccione el tipo de ACL para crear en el men desplegable debajo de las listas de control de acceso * * mesa y haga clic en el botn Crear nueva ACL *.
2. En el formulario que aparece, introduzca un nombre para la nueva ACL en el nombre de ACL campo. Si hay ms de uno tiene el mismo nombre, ser tratada como emparejado si alguna ACL con ese nombre coincide. El nombre debe consistir slo letras y nmeros, sin espacios ni caracteres especiales.
3. Rellene el resto de la forma como se explica en la siguiente tabla.
4. En la URL Fracaso campo, introduzca una URL completa que los clientes que se les niega por esta ACL sern redirigidos a. Esto le permite definir las pginas de error personalizado que se mostrar en lugar de las respuestas calamar defecto.
5. Haga clic en el Guardar botn en la parte inferior del formulario.
Una vez que una ACL se ha creado puede editarlo haciendo clic sobre su nombre en la lista, el cambio de los campos y haga clic en Guardar. O su puede eliminar (si no est en uso por alguna restriccin proxy o ICP) con el Borrar botn. Como de costumbre, la Apply Changes enlace debe ser utilizado para activar los cambios que se realicen.
Squid tiene un increble nmero de tipos de ACL, aunque no todos estn disponibles en todas las versiones del servidor. La siguiente tabla muestra los que se pueden crear para Squid 2.4, y explica lo que hacen y lo que los campos en el formulario de creacin de una ACL de cada medio Tipo:
Muchos tipos de ACL son inapropiados para ciertas situaciones. Por ejemplo, si un cliente enva una solicitud CONNECT la ruta URL no est disponible, y por lo tanto una ruta URL Regexp ACL no funcionar. En casos como este la ACL se asume automticamente que no coincida.
Restricciones Creacin y edicin de proxy
Una vez que haya creado algunos ACLs, que se pueden poner en uso mediante la creacin, edicin y moverse restricciones de proxy. Squid comparar cada peticin a todas las restricciones definidas en orden, parando cuando encuentra uno que coincida. La accin fijado para que la restriccin determina entonces si se permite o se deniega la solicitud. Este sistema de tratamiento combinado con el poder de ACL le permite establecer algunas reglas de control de acceso increblemente complejas - por ejemplo, usted podra negar todo acceso a los sitios con temblor en la direccin URL 09 a.m.-5 p.m. lunes a viernes, a excepcin de determinado cliente direcciones.
Para crear una restriccin proxy, siga estos pasos:
1. Haga clic en el control de acceso de icono en la pgina principal del mdulo para que aparezca la pgina que se muestra en la imagen anterior.
2. Haga clic en la restriccin de proxy Agregar a continuacin la lista de las restricciones existentes para ir al formulario de creacin.
3. A partir de la accin de campo seleccione Permitir o Denegar en funcin de si desea peticiones coincidentes para ser procesados o no.
4. El Partido ACL lista se puede utilizar para seleccionar varias ACL que si todos coinciden desencadenar la accin. Del mismo modo, la no coinciden con ACL campo puede utilizarse para seleccionar ACL que no deben coincidir para que la accin se desencadena. Es perfectamente vlido para hacer selecciones de ambas listas para indicar que la accin debe ser activado slo si todas las ACL en el partido de la izquierda y si los de la derecha no lo hacen. En su configuracin por defecto Squid tiene una ACL llamada todo que coincide con todas las peticiones. Puede ser til para crear restricciones que permiten o niegan todos, uno de los cuales por lo general existe por defecto.
5. Haga clic en el Save botn para crear la nueva restriccin y volver a la pgina de control de acceso.
6. Usa las flechas junto a l en la restricciones de proxy mesa para moverlo a la ubicacin correcta. Si su lista termina con una Denegar todo de entrada, tendr que mover de la parte inferior para que tenga algn efecto. Si la lista tiene una entrada que permite a todos los clientes de su red y que acaba de agregar una restriccin de negar el acceso a algunos sitios, usted tendr que pasar por encima de que Permitir la entrada, as como para que pueda ser utilizado.
7. Cuando haya terminado de crear y posicionamiento restricciones, golpear las Aplicar cambios enlazan en la parte superior de la
pgina para hacerlos activa.
Despus de una restriccin de proxy se ha creado se puede editar haciendo clic en el enlace en la Accin columna para su fila en la tabla. Con ello se abre un formulario de edicin idntica a la utilizada para la creacin de la restriccin, pero con Guardar y Eliminar botones en la parte inferior. El primero guardar los cambios que realice en la accin o ACL a juego, mientras que el segundo ser eliminar la restriccin por completo. Una vez ms, la Apply Changes enlace debe ser utilizado despus de actualizar o eliminar una restriccin para realizar el cambio activo. Si por alguna razn se elimina todas las restricciones de proxy, Squid permitir que todas las peticiones de todos los clientes, lo que probablemente no es una buena idea.
Tambin en la pgina de control de acceso es una mesa para la edicin y creacin de restricciones que se aplican a las peticiones ICP. A medida que el * Conexin a otros servidores proxy * seccin explica, ICP es un protocolo utilizado por proxies Squid en un grupo o jerarqua para determinar qu direcciones URL de otros servidores han almacenado en cach. Usted puede agregar a y editar entradas de la restricciones ICP mesa exactamente de la misma manera que lo hara para las restricciones de proxy. Si realmente est ejecutando un conjunto de servidores proxy, puede tener sentido para bloquear las solicitudes ICP de fuentes distintas a la propia red. En caso contrario, la configuracin predeterminada que permite que todos los paquetes ICP est bien.
Configuracin de la autenticacin de proxy
A pesar de que es posible configurar Squid para permitir el acceso slo desde determinadas direcciones IP, es posible que desee para obligar a los clientes a autenticarse con el proxy tambin. Esto podra tener sentido si se quiere dar slo ciertas personas el acceso a la web, y no puede utilizar la validacin de direcciones IP debido a la utilizacin de direcciones asignadas dinmicamente en la red. Tambin es til para mantener un registro de quin ha solicitado lo que a travs del proxy, como nombres de usuario se registran en los registros de Squid.
Todos los navegadores y programas que pueden hacer uso de un proxy tambin admiten la autenticacin proxy. Los navegadores se abrir una ventana de inicio de sesin para introducir un nombre de usuario y contrasea que se enviar al proxy la primera vez que lo solicite, y enviar automticamente la misma informacin para todas las solicitudes posteriores. Otros programas (como wget o rpm) requieren el nombre de usuario y contrasea que se especifica en la lnea de comandos.
Cada inicio de sesin y la contrasea recibida por Squid se pasa a un programa de autenticacin externo que aprueba o niega. Normalmente este programa comprueba contra un usuario separadas archivo, pero es posible escribir sus propios programas que utilizan todo tipo de mtodos de validacin de usuarios - por ejemplo, podran ser vistos en una base de datos o un servidor LDAP, o el usuario Unix lista. Webmin viene con un sencillo programa que lee los usuarios desde un archivo de texto en el mismo formato que se utiliza por Apache, y este mdulo le permite editar los usuarios en un archivo de este tipo.
Los pasos para activar la autenticacin para su proxy Squid son:
1. En la pgina principal del mdulo, haga clic en el control de acceso icono para que aparezca la forma que se muestra en la Figura 44-4.
2. Seleccionar autenticacin externos en el men debajo de la tabla de ACL y golpear la nueva ACL Crear botn.
3. En el formulario que aparece, introduzca auth para el nombre de ACL y seleccione Todos los usuarios en el usuarios de autenticacin externo campo. A continuacin, pulse el botn Guardar.
4. Haga clic en la restriccin de proxy Agregar debajo de la tabla restricciones de proxy.
5. Seleccione Denegar en la accin de campo y elegir su nueva autenticacin ACL de la No coincidir ACL lista. Esto bloquear cualquier solicitud de proxy que no estn autenticados, lo que obliga a los clientes a entrar. La seleccin de Permitir y luego elegir auth del Partido ACLs campo puede ser utilizado para un propsito ligeramente diferente. Esto crea una restriccin proxy que permite el acceso a todos los clientes autenticados, que se pueden colocar a la fuerza a clientes fuera de su red que entrar, mientras que no requiere que para aquellos dentro de la red.
6. Haga clic en el Save botn para volver a la pgina de control de acceso de nuevo.
7. Utilice la flecha hacia arriba al lado de la nueva restriccin para moverlo por encima de cualquier entrada en la tabla que permite todo el acceso de su propia red. Si est por debajo de esta entrada, los clientes de la red podrn utilizar el proxy sin necesidad de entrar en absoluto. Por supuesto, esto puede ser lo que quieras en algunos casos.
8. Haga clic en el Programas de autenticacin icono nuevo en la pgina principal.
9. Desde el programa de autenticacin de campo, seleccione Webmin predeterminado. Esto le dice al mdulo para utilizar la sencilla autenticador archivo de texto que viene con el mdulo de modo que usted no tiene que escribir el suyo propio. Por supuesto, usted puede especificar su propio programa personalizado seleccionando el botn del ltimo radio y entrar en la ruta de acceso completa a un guin con algunos parmetros en el cuadro de texto adyacente. Este programa debe leer continuamente lneas que contienen un nombre de usuario y contrasea (separados por un espacio) como entrada, y para cada salida, ya sea la lnea OK o ERR para el xito o el fracaso, respectivamente. Squid ejecutar varias instancias del programa como procesos daemon permanentes cuando se inicia.
10. La ventana de inicio de sesin que aparece en los navegadores incluye una descripcin del servidor proxy que el usuario inicia sesin en. Por defecto, este es Squid servidor web proxy-caching, pero usted puede entrar a su propia (como Ejemplo Corporacin Proxy) rellenando el campo de dominio de autenticacin de proxy.
11. Normalmente, Squid cach inicios de sesin vlidos durante una hora para evitar llamar en el programa de autenticacin para cada solicitud individual. Esto significa que los cambios de contrasea pueden tardar hasta una hora para entrar en vigor, lo que puede resultar confuso. Para reducir este lmite, a costa de una mayor carga del sistema y un poco ms lento el proceso de peticiones, edite la hora de almacenar en cach las contraseas para el campo.
12. Pulse el botn Guardar y luego haga clic en Aplicar cambios en la pgina principal.
Ahora que la autenticacin est activada, cualquier intento de utilizar el proxy desde un navegador web har que una ventana de inicio de sesin que aparezca. Porque no hay usuarios vlidos se han definido todava, no se aceptarn los inicios de sesin, que no es particularmente til! Para crear algunos usuarios para la autenticacin, siga estos pasos:
1. Haga clic en el icono de la autenticacin del proxy en la pgina principal del mdulo para que aparezca un cuadro sinptico con los usuarios de proxy. Al principio, esto estar vaca.
2. Haga clic en la opcin Agregar un nuevo usuario de proxy enlace de arriba o por debajo de la mesa para mostrar el formulario de creacin de usuarios. Configuracin del registro 595
3. Introduzca un nombre de inicio de sesin en el campo de nombre de usuario y una contrasea para el usuario en el campo Contrasea.
4. Para desactivar temporalmente este usuario sin borrar l, cambiar el Habilitado? a No.
5. Pulse el botn Crear para agregar el usuario y luego haga clic en el vnculo Aplicar cambios. Este ltimo paso es necesario despus de la creacin de un usuario para que los cambios surtan efecto, como el programa de autenticacin de calamar de Webmin slo lee el archivo de usuario cuando primero comenz.
Un usuario puede editar haciendo clic en su nombre en la lista de usuarios de proxy, cambiar el nombre de usuario, contrasea, o el estado habilitado, y golpeando el Save botn. Tambin puede eliminar completamente un usuario con el Borrar botn en su forma de edicin. Una vez ms, Aplicar cambios hay que hacer clic para hacer las modificaciones o supresiones activo. Squid tambin cach de contraseas vlidas (como se explic anteriormente) para reducir la carga en el programa de autenticacin, por lo que un cambio de contrasea puede tomar algn tiempo para surtir efecto.
Funcin de gestin de usuarios del mdulo slo funcionar si elige Webmin por defecto en el programa de autenticacin de campo o si su propio programa personalizado toma la ruta completa a un estilo de Apache usuarios archivo como parmetro. Si su programa valida los usuarios contra alguna otra base de datos o servidor, o si el mdulo no puede averiguar qu archivo contiene los usuarios del sistema, la autenticacin proxy no aparece el icono. A veces es posible que desee permitir que los usuarios normales de UNIX para iniciar sesin en su programa con la misma contrasea que utilizan para telnet y FTP. A pesar de que es posible escribir un programa que hace la autenticacin de proxy contra la base de datos de usuario de UNIX, hay otra solucin de la configuracin del mdulo para agregar, borrar y actualizar los usuarios de proxy cada vez que se crea un usuario UNIX, removido o cambiado de nombre. Esto es muy til para mantener los nombres de usuario y contraseas en sincronizacin sin necesidad de permitir el acceso a cada usuario de UNIX. Una vez que ha configurado la autenticacin normal como se ha explicado anteriormente, la sincronizacin puede activarse siguiendo estos pasos:
1. En la pgina principal del mdulo, haga clic en el enlace del mdulo de configuracin en la esquina superior izquierda.
2. Como sus nombres indican, la Crear usuarios de proxy al crear usuarios del sistema, los usuarios de proxy Actualizar al actualizar los usuarios del sistema y eliminar usuarios de proxy al eliminar campos usuarios del sistema de control de la creacin automtica, modificacin y cancelacin de los usuarios proxy cuando sucede lo mismo a un usuario de UNIX. Para cada uno, puede seleccionar S o No. Usted probablemente debera activar la sincronizacin de actualizaciones y supresiones, pero deja fuera para creaciones para que pueda controlar de forma explcita quin tiene acceso al proxy.
3. Pulse el botn Guardar en la parte inferior de la forma de activar la nueva configuracin. A partir de ahora, las acciones realizadas en Usuarios y grupos mdulo de Webmin tambin afectar a la lista de usuarios de calamar en las maneras en que usted ha elegido. Adicin de un usuario en la lnea de comandos con useradd o cambiar una contrasea con el comando passwd, sin embargo, no.