11.6. Proxy HTTP/FTP

Un proxy HTTP/FTP funciona como intermediaro para conexiones HTTP y/o FTP. Su rol es doble:

Actuar como caché: los documentos que han sido descargados recientemente son copiados localmente para evitar múltiples descargas.
Servidor de filtro: si el uso del proxy es obligatorio (y se bloquean las conexiones salientes a menos que sean a través del proxy), entonces el proxy puede determinar si se permite o no el pedido.

Falcot Corp eligió a Squid como su servidor proxy.

11.6.1. Instalación

El paquete Debian squidsolo contiene el proxy modular (almacenamiento en caché). Convertirlo en un servidor de filtrado requiere instalar el paquete adicionalsquidguard . Además,squid-cgi proporciona una interfaz de consulta y administración para un proxy Squid.

Antes de instalarlo, debe asegurarse que el sistema pueda identificar su propio nombre completo: hostname f debe devolver el nombre completamente calificado (incluyendo el dominio). Si no lo hace, entonces debe editar el archivo /etc/hosts para que contenga el nombre completo del sistema (por ejemplo, arrakis.falcot.com). El nombre oficial del equipo debe ser validado con el administrador de la red para evitar posibles conflictos de nombre.

11.6.2. Configuración de un caché

Activar la funcionalidad de servidor de caché es tan simple como editar el archivo de configuración /etc/squid/squid.conf y permitir que las máquinas en la red local realicen consultas a través del proxy. El siguiente ejemplo muestra las modificaciones realizadas por los administradores de Falcot Corp:

Ejemplo 11.22. El archivo /etc/squid/squid.conf (extractos)

# AGREGUE SUS PROPIAS REGLAS AQUÍ PARA PERMITIR ACCESO DE SUS CLIENTES
#
include /etc/squid/conf.d/*

# Regla de ejemplo que permite acceso desde su red local. Adapte
# red local en la sección ACL para incluir sus redes IP (internas)
# desde las que se debe permitir navegar

acl our_networks src 192.168.1.0/24 192.168.2.0/24
http_access allow our_networks
http_access allow localhost
# Finalmente, negar todo otro acceso a este proxy
http_access deny all

11.6.3. Configuración de un filtro

squid por sí mismo no realiza el filtrado; esta acción es delegada a squidGuard. Debe configurar el primero para que interactúe con este último. Esto incluye agregar la siguiente directiva en el archivo /etc/squid/squid.conf:

url_rewrite_program /usr/bin/squidGuard -c /etc/squid/squidGuard.conf

También necesita instalar el programa CGI /usr/lib/cgi-bin/squidGuard.cgi utilizando /usr/share/doc/squidguard/examples/squidGuard.cgi.gz como punto de partida. Las modificaciones necesarias a este script son las variables $proxy y $proxymaster (el nombre del proxy y el correo de contacto del administrador, respectivamente). Las variables $image y $redirect deben apuntar a imágenes existentes que representen el rechazo de una consulta.

Debe ejecutar service squid reload para activar el filtro. Sin embargo, debido a que el paquete squidguard no realiza ningún filtrado de forma predeterminada, corresponde al administrador definir una política. Esto se puede hacer creando el archivo /etc/squid/squidGuard.conf (utilizando la plantilla /etc/squidguard/squidGuard.conf.default si lo desea).

The working database must be regenerated with update-squidguard after each change of the squidGuard configuration file (or one of the lists of domains or URLs it mentions). The configuration file syntax is documented on the following website:

→ https://web.archive.org/web/20220813010658/http://www.squidguard.org/Doc/configure.html