11.6. Proxy HTTP/FTP

Un servidor intermediari, o «proxy» en anglès, HTTP/FTP actua com a intermediari per a les connexions HTTP i/o FTP. El seu paper és doble:

Memòria cau: els documents descarregats recentment es desen localment, la qual cosa evita descàrregues repetides.
Servidor de filtratge: si l'ús del servidor intermediari és obligatori (i les connexions de sortida estan bloquejades llevat que passin pel servidor intermediari), llavors el servidor intermediari pot determinar si s'ha de concedir la sol·licitud o no.

Falcot Corp ha seleccionat Squid com a servidor intermediari.

11.6.1. Instal·lació

El paquet Debian squid només conté el servidor intermediari modular (per emmagatzematge o caché). Convertir-lo en un servidor de filtratge requereix instal·lar el paquet addicional squidguard. A més, squid-cgi proporciona una interfície de consulta i administració per a un servidor intermediari Squid.

Abans de la instal·lació, s'ha de tenir cura de comprovar que el sistema pot identificar el seu propi nom complet: l'ordre hostname -f ha de retornar un nom plenament qualificat (incloent un domini). Si no ho fa, llavors el fitxer /etc/hosts hauria de ser editat per contenir el nom complet del sistema (per exemple, arrakis.falcot.com). El nom oficial de l'ordinador s'hauria de validar amb l'administrador de la xarxa per tal d'evitar possibles conflictes de noms.

11.6.2. Configuració d'una caché

Habilitar la característica del servidor caché o d'emmagatzematge en memòria cau és una qüestió senzilla d'editar el fitxer de configuració /etc/squid/squid.conf i permetre que les màquines de la xarxa local executin consultes a través del servidor intermediari. L'exemple següent mostra les modificacions fetes pels administradors de Falcot Corp:

Exemple 11.22. El fitxer /etc/squid/squid.conf (extractes)

# INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS
#
include /etc/squid/conf.d/*

# Example rule allowing access from your local networks.
# Adapt localnet in the ACL section to list your (internal) IP networks
# from where browsing should be allowed

acl our_networks src 192.168.1.0/24 192.168.2.0/24
http_access allow our_networks
http_access allow localhost
# And finally deny all other access to this proxy
http_access deny all

11.6.3. Configuració d'un filtre

squid en si mateix no realitza filtratge; aquesta acció es delega a squidGuard. El primer s'ha de configurar per interaccionar amb el segon. Això implica afegir la següent directiva al fitxer /etc/squid/squid.conf:

url_rewrite_program /usr/bin/squidGuard -c /etc/squid/squidGuard.conf

El programa CGI /usr/lib/cgi-bin/squidGuard.cgi també s'ha d'instal·lar, utilitzant /usr/share/doc/squidguard/examples/squidGuard.cgi com a punt de partida. Les modificacions requerides a aquest script són les variables $proxy i $proxymaster (el nom del servidor intermediari i el correu electrònic de contacte de l'administrador, respectivament). Les variables $image i $redirect han d'apuntar a imatges existents que representen el rebuig d'una consulta.

El filtre s'habilita amb l'ordre systemctl reload squid. No obstant això, atès que des del paquet squidguard no es filtra per defecte, és tasca de l'administrador definir la política. Això es pot fer creant el fitxer /etc/squid/squidGuard.conf (usant /etc/squidguard/squidGuard.conf.default com a plantilla si calgués).

La base de dades de treball s'ha de regenerar amb update-squidguard després de cada canvi del fitxer de configuració d'squidGuard (o d'una de les llistes de dominis o URL que esmenta). La sintaxi del fitxer de configuració està documentada en el següent lloc web:

→ http://www.squidguard.org/Doc/configure.html