11.6. Proxy HTTP/FTP

Un proxy FTP/HTTP agisce come intermediario per connessioni HTTP o FTP. Il ruolo è duplice:

Cache: i documenti scaricati di recente sono copiati localmente, cosa che previene scaricamenti multipli.
Server di filtraggio: se l'utilizzo del proxy è obbligato (e le connessioni in uscita sono bloccate a meno che non transitino per il proxy) allora il proxy può determinare quando soddisfare o negare una richiesta.

La Falcot Corporation ha scelto Squid come server proxy.

11.6.1. Installazione

Il pacchetto squid di Debian contiene solo il proxy modulare (con funzione di cache). Trasformarlo in un server per il filtraggio richiede l'installazione del pacchetto addizionale squidguard. Inoltre, squid-cgi fornisce un'interfaccia di interrogazione ed amministrazione per un proxy Squid.

Prima dell'installazione bisogna accertarsi di controllare che il sistema possa identificarsi con il proprio nome completo: hostname -f deve restituire un nome pienamente qualificato (che include il dominio). Se così non è allora il file /etc/hosts dev'essere modificato per contenere il nome completo del sistema (per esempio, arrakis.falcot.com). Il nome ufficiale del computer dev'essere verificato con l'amministratore di rete per evitare potenziali conflitti di nome.

11.6.2. Configurare una cache

Per abilitare la funzione di cache del server è sufficiente modificare il file di configurazione /etc/squid/squid.conf e consentire alle macchine della rete locale di eseguire interrogazioni attraverso il proxy. Il seguente esempio mostra le modifiche apportate dagli amministratori di Falcot Corp:

Esempio 11.22. Il file /etc/squid/squid.conf (elementi)

# INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS
#
include /etc/squid/conf.d/*

# Example rule allowing access from your local networks.
# Adapt localnet in the ACL section to list your (internal) IP networks
# from where browsing should be allowed

acl our_networks src 192.168.1.0/24 192.168.2.0/24
http_access allow our_networks
http_access allow localhost
# And finally deny all other access to this proxy
http_access deny all

11.6.3. Configurare un filtro

squid non esegue il filtraggio; questa azione è delegata a squidGuard. Il primo deve essere configurato per interagire con il secondo. Ciò comporta l'aggiunta della seguente direttiva al file /etc/squid/squid.conf:

url_rewrite_program /usr/bin/squidGuard -c /etc/squid/squidGuard.conf

È necessario installare anche il programma CGI /usr/lib/cgi-bin/squidGuard.cgi, utilizzando /usr/share/doc/squidguard/examples/squidGuard.cgi come punto di partenza. Le modifiche richieste a questo script sono le variabili $proxy e $proxymaster (rispettivamente il nome del proxy e l'email di contatto dell'amministratore). Le variabili $image e $redirect devono puntare ad immagini esistenti che rappresentano il rifiuto di una interrogazione.

Il filtro viene abilitato con il comando systemctl reload squid. Tuttavia, per impostazione predefinita, il pacchetto squidguard non esegue alcun filtro ed è compito dell'amministratore definire le regole. Questo può essere fatto creando il file /etc/squid/squidGuard.conf (usando, se necessario, /etc/squidguard/squidGuard.conf.default come modello).

Il database di produzione dev'essere rigenerato con update-squidguard dopo ogni modifica del file di configurazione di squidGuard (oppure di una delle liste di domini o URL che menziona). La sintassi del file di configurazione è documentata nel sito web:

→ http://www.squidguard.org/Doc/configure.html