Product SiteDocumentation Site

11.6. HTTP/FTP-Proxy

Ein HTTP/FTP-Proxy agiert als Vermittler bei HTTP- und FTP-Verbindungen. Er erfüllt zwei Rollen:
Falcot Corp. hat Squid als ihren Proxy-Server ausgewählt.

11.6.1. Installieren

Das Debian-Paket squid enthält nur den modularen (zwischenspeichernden) Proxy. Das Paket squidguard muss zusätzlich installiert werden, um ihn zu einem Filter-Server zu machen. Zusätzlich stellt squid-cgi eine Anfrage- und Verwaltungsschnittstelle für einen Squid-Proxy bereit.
Vor dem Installieren sollte sichergestellt werden, dass das System seinen eigenen vollständigen Namen feststellen kann: der Befehl hostname -f muss einen vollqualifizierten Namen (einschließlich einer Domain) ergeben. Anderenfalls sollte die Datei /etc/hosts so editiert werden, dass sie den vollständigen Namen des Systems (zum Beispiel arrakis.falcot.com) enthält. Der vollständige Rechnername sollte vom Netz-Administrator bestätigt werden, um mögliche Namenskonflikte zu vermeiden.

11.6.2. Einen Cache konfigurieren

Das Aktivieren der Zwischenspeicherung des Servers geschieht einfach dadurch, dass die Konfigurationsdatei /etc/squid/squid.conf editiert und es so Rechnern des lokalen Netzwerks ermöglicht wird, Anfragen durch den Proxy zu leiten. Das folgende Beispiel zeigt die von den Falcot Corp. Administratoren vorgenommenen Veränderungen:

Beispiel 11.29. Die Datei /etc/squid/squid.conf (Auszüge)

# GEBEN SIE HIER IHRE EIGENEN REGELN EIN, UM ZUGRIFF VON ALLEN CLIENTS ZU ERMÖGLICHEN

# Beispiel-Regel, um Zugriff von Ihren lokalen Netzwerken zu ermöglichen.
# Passen Sie sie an, so dass sie Ihre (internen) Netzwerke auflistet, von
# denen aus das Browsen erlaubt sein soll.
acl our_networks src 192.168.1.0/24 192.168.2.0/24
http_access allow our_networks
http_access allow localhost
# Und schließlich verweigern Sie alle sonstigen Zugriffe auf diesen Proxy
http_access deny all

11.6.3. Einen Filter konfigurieren

squid selbst führt die Filterung nicht durch; dieser Arbeitsgang wird an squidGuard delegiert. Ersteres muss dann so konfiguriert werden, dass es mit letzterem zusammenarbeitet. Hierzu wird folgende Anweisung zur Datei /etc/squid/squid.conf hinzugefügt:
redirect_program /usr/bin/squidGuard -c /etc/squid/squidGuard.conf
Das CGI-Programm /usr/lib/cgi-bin/squidGuard.cgi muss ebenfalls installiert werden, wobei die Datei /usr/share/doc/squidguard/examples/squidGuard.cgi.gz als Ausgangspunkt dient. In diesem Skript müssen die Variablen $proxy und $proxymaster angepasst werden (der Name des Proxy und die E-Mail-Adresse des Administrators). Die Variablen $image und $redirect sollten auf bestehende Abbilder zeigen, die die Ablehnung einer Anfrage darstellen.
Der Filter wird mit dem Befehl /etc/init.d/squid reload aktiviert. Da das Paket squidguard jedoch nicht standardmäßig Filterungen durchführt, ist es Aufgabe des Administrators, die Richtlinien festzulegen. Dies kann durch Erstellen der Datei /etc/squid/squidGuard.conf geschehen (evt. mit Hilfe von /etc/squidguard/squidGuard.conf.default als Vorlage).
Die aktive Datenbank muss nach jeder Änderung der Konfigurationsdatei squidGuard (oder einer der Domain- beziehungsweise URL-Listen, die sich auf sie beziehen) mit dem Befehl update-squidguard aktualisiert werden. Die Syntax der Konfigurationsdatei ist auf der folgenden Website dokumentiert: