Proxy
Content
Squid Proxy Server
En este artículo se explica qué es un servidor HTTP o FTP proxy es y, a continuación, se
explica cómo Webmin se puede utilizar para configurar el servidor proxy Squid popular.
Contenido
1 Introducción al uso de proxy y calamar
2 El módulo Squid Proxy Server
3 Cambio de los puertos proxy y direcciones
4 Adición de directorios de caché
5 Edición de opciones de almacenamiento en caché y delegación
6 Introducción acceder a las listas de control
7 Creación y edición de ACL
8 Crear y editar las restricciones de proxy
9 Configuración de la autenticación del proxy
Introducción al uso de proxy y Squid
Un servidor proxy HTTP es básicamente un programa que acepte las peticiones de los
clientes para las direcciones URL, les va a buscar en nombre del cliente, y devuelve los
resultados al cliente. La representación se utilizan en las redes donde los clientes no
tienen acceso directo a Internet, pero todavía tendrá que ser capaz de ver las páginas
web. Un proxy también se utiliza para el almacenamiento en caché comúnmente
solicitado páginas de modo que si más de un cliente quiere ver la misma página que sólo
tiene que descargar una vez.
Muchas empresas y organizaciones tienen sus firewalls configurados para bloquear todo
el tráfico entrante y saliente por los sistemas de redes LAN internas. Esto se puede hacer
por razones de seguridad, o para limitar lo que los empleados pueden acceder a través
de Internet. Porque ser capaz de ver las páginas web es muy útil, un proxy se suele
configurar de modo tal que los sitios web se puede acceder a través de él.
Las grandes organizaciones y proveedores de Internet con muchos PC clientes con el
acceso a Internet también pueden querer ejecutar un servidor proxy para reducir la carga
en sus redes. Porque una de las principales tareas de un proxy es el almacenamiento en
caché páginas solicitadas por los clientes, cualquier página pidió más de una vez será
devuelto de la caché en lugar de ser inverosímil desde el servidor de origen. Por esta
razón, los sistemas de los clientes a menudo se configuran u obligados a utilizar un
proxy caché para acceder a la web.
Un proxy es útil sólo si los exploradores cliente están configurados para usarlo en lugar
de conectarse a sitios web directamente. Afortunadamente, todos los navegadores web
en la existencia, y casi todos los programas que descargan archivos a través de HTTP
para diversos fines, puede ser configurado para usar un proxy. Esto les dice que hacer
una conexión especial proxy HTTP al servidor proxy en lugar, especificando la
dirección URL completa para descargar.
La representación no son sólo para HTTP - también pueden apoyar FTP y protocolo
Gopher peticiones de los clientes, los cuales el servicio haciendo una conexión FTP o
Gopher al servidor solicitado real. Incluso conexiones SSL cifrados pueden ser
manejados por un proxy, a pesar de que no puede descifrar la solicitud. En su lugar, el
proxy simplemente reenvía todos los datos desde el cliente al servidor de destino y
viceversa.
Squid es el servidor proxy más popular para sistemas Unix / Linux. Es de código abierto
y está disponible gratuitamente para su descarga desde www.squid-cache.org, y se
incluye como un paquete estándar con todas las distribuciones de Linux y muchos otros
sistemas operativos. Squid soporta tanto conexiones proxy, caching y HTTP
aceleración, y tiene un gran número de opciones de configuración para controlar el
comportamiento de estas características.
Squid lee su configuración desde el squid.conf archivo de texto, por lo general se
encuentra en o bajo el directorio / etc. Este archivo se compone de una serie de
directivas, una por línea, cada uno de los cuales tiene un nombre y un valor. Cada
directiva establece alguna opción, como el puerto TCP para escuchar o un directorio
para almacenar los archivos en caché en. Módulo Squid de Webmin edita este archivo
directamente, ignorando cualquier comentario o directivas que no entiende.
Muchas versiones de Squid se han lanzado en los últimos años, cada uno de los cuales
ha apoyado diferentes directivas de configuración o asignado diferentes significados a
las mismas directivas. Esto significa que un archivo squid.conf de la versión 2.0 puede
no ser compatible con Squid 2.5 - y uno de Squid 2.5 sin duda no va a funcionar con la
versión 2.0. Afortunadamente, Webmin sabe que las directivas de cada soportes de
liberación y sólo permite la edición de los que se sabe que la versión de funcionamiento
de calamar.
Páginas web almacenadas en caché se almacenan en archivos en una estructura de
directorios de varios niveles para un mayor rendimiento del sistema de archivos. Squid
se pueden configurar para utilizar varios directorios de caché por separado, por lo que se
puede propagar archivos a través de diferentes discos para mejorar el rendimiento. Cada
vez que una página cacheable se solicita que se almacena en un archivo, de modo que
cuando llega una solicitud posterior para la misma página el archivo se puede leer y los
datos sirve a partir de ella. Debido a que algunas páginas web cambian con el tiempo (o
incluso se generan de forma dinámica), Calamar comprueba los de última modificación
y expiración fechas de páginas web para que pueda borrar datos de la caché cuando no
está actualizado.
El programa real que maneja las solicitudes del cliente es un proceso de servidor
permanentemente corriendo llamado calamar. También puede empezar varios otros
subprocesos para tareas tales como búsquedas de DNS o la autenticación del cliente,
pero todo el procesamiento real protocolo HTTP está hecho en el proceso maestro
único. A diferencia de otros servidores similares, tales como Apache o Sendmail, Squid
no se inicia o utiliza subprocesos para manejar las solicitudes de cliente.
Squid pueden compilarse en todos los sabores de Unix que Webmin soporta, y trabaja
de manera casi idéntica en todos ellos. Esto significa que la interfaz de usuario del
módulo Webmin es los mismos sistemas operativos en todo, así, con la excepción de las
rutas predeterminadas que utiliza para los programas de calamar y archivos de
configuración.
El módulo Squid Proxy Server
Si desea crear o configurar Squid desde Webmin, usted tendrá que usar el módulo Squid
Proxy Server, que se encuentra bajo la categoría Servidores. Cuando se hace clic en su
icono en, aparecerá debajo de la página se muestra en la pantalla, en el supuesto de que
Squid está instalado y configurado correctamente. Como puede ver, la página principal
se compone sólo de una tabla de iconos, cada uno de los cuales se puede hacer clic en
para que aparezca un formulario para editar los ajustes en esa categoría.
La página principal del módulo Squid
Si no ha configurado o iniciado Calamares en su sistema antes, el directorio de caché ha
probablemente no ha creado todavía. El módulo detectará esto y mostrar un mensaje
como * Su Directorio de caché de Squid / var / spool / squid no se ha inicializado *
encima de la tabla de iconos. Para inicializar la caché, siga estos pasos:
1. Si no está satisfecho con el directorio de caché en pantalla, ahora es el momento
de cambiarlo. Siga las instrucciones del * Adición de directorios de caché *
sección para definir sus propios directorios antes de continuar.
2. En el como usuario Unix campo introduzca el nombre del usuario que será el
propietario de los archivos de caché y que el proceso de daemon se ejecutará
como. Normalmente, este será un usuario calamar especial creada con el
propósito (y el campo será por defecto calamares si existe un usuario tal), pero,
de hecho, cualquier usuario va a hacer. Recomiendo el uso de los Usuarios y
módulo de Grupos (cubierto en el capítulo 4) para crear un calamar llamado
usuario cuyo directorio principal es el directorio de caché si es necesario sin
embargo.
3. Haga clic en la Inicializar caché botón. La configuración de Squid se
actualizará para utilizar su nombre de usuario elegido, y el comando de
calamar -z se ejecutarán para configurar los directorios de caché. Toda la
salida que produce se mostrará de modo que usted puede ver cómo la
inicialización está progresando.
4. Cuando el proceso se haya completado, volver a la página principal del módulo
y el mensaje de error debería haber desaparecido.
Si Squid no está instalado en absoluto en el sistema (o instalado en una ubicación
diferente a la que Webmin espera), un mensaje de error como el calamar
/etc/squid.conf archivo de configuración no existe aparecerá en la página principal en
lugar de la tabla de iconos. Si realmente lo tiene instalado, lea el * Configuración del
módulo Squid Proxy Server * sección para obtener instrucciones sobre cómo cambiar
las rutas del módulo utiliza. Por otro lado, si realmente no está instalado debe utilizar el
módulo de paquetes de software (cubierta en SoftwarePackages) para instalar el paquete
de calamar desde el CD de distribución de Linux o sitio web.
Si no existe tal paquete para su sistema operativo, tendrá que descargar, compilar e
instalar la última versión de Squid de www.squid-cache.org. Siempre y cuando usted
tiene un compilador instalado en el sistema, este es un proceso relativamente simple sin
dependencias.
Una vez instalado el servidor, si quieres hacer uso de ella en el largo plazo, usted debe
hacer arreglos para que se inició en el arranque, usando el módulo Bootup y cierre del
sistema (que el capítulo 9 se explica cómo utilizar). Todos los paquetes de Linux
incluyen una secuencia de comandos de acción de arranque para Squid, aunque puede
ser desactivado por defecto por lo tanto requiere que usted permita en ese módulo. De lo
contrario, tendrá que crear una acción que se ejecuta un comando como
/ Usr / local, / squid / bin / squid
-Sy
, Asumiendo que usted ha calamar instalado en / usr / local / squid.
Una vez Squid ha sido instalado e inicializado, puede empezar a utilizar este módulo.
Cuando Squid correr, cada página tiene dos enlaces en la parte superior - Aplicar
cambios que obliga a la configuración actual que volver a leer, y la parada del
calamar, que apaga el servidor proxy. Si el servidor no se está ejecutando, esos vínculos
se reemplazan con * Inicio Squid * en lugar, que como su nombre indica intentos para
iniciarlo. Si aún no está en ejecución, es probable que desee comenzar ahora.
Debido a que cada versión de Squid ha introducido nuevas directivas de configuración,
interfaz de usuario de este módulo aparecerá de forma diferente dependiendo de la
versión de Squid que detecta en su sistema. Todas las instrucciones de este capítulo
están escritas para Squid 2.4, ya que es actualmente la versión más utilizada. Si está
ejecutando una versión anterior o posterior, diferentes campos pueden aparecer en los
formularios o tener más o menos opciones. Por ejemplo, cada nueva versión ha
introducido diferentes tipos de ACL, y la autenticación se ha manejado de tres maneras
diferentes a través de la historia del programa. Sin embargo, los conceptos básicos
siempre han sido los mismos.
Cuando se utiliza este módulo, asegúrese de que su navegador está configurado para no
utilizar el proxy Squid para acceder al servidor Webmin. De lo contrario se corre el
riesgo de cortar su propio acceso al módulo si usted comete un error de configuración o
apagar el proceso del servidor. Todos los navegadores que pueden usar un proxy tienen
un campo para la inclusión de los ejércitos para conectarse a directamente, en la que
puede introducir el nombre de host de su servidor Webmin.
Cambio de los puertos proxy y direcciones
Por defecto, Squid escucha las peticiones de proxy en el puerto TCP 3128 en todas las
direcciones IP de su sistema. Debido a que este no es el puerto habitual que los proxies
se ejecutan en (8000 y 8080 parece ser el más común), es posible que desee cambiar.
Usted también puede editar la dirección de escucha para que sólo los clientes de la red
interna se pueden conectar, si el sistema tiene más de una interfaz de red.
Para especificar los puertos que utiliza Squid, siga estos pasos:
1. En la página principal del módulo, haga clic en los Puertos y Redes icono para
que aparezca la forma que se muestra en la Figura 44-2.
2. En la dirección del proxy y puertos tabla, seleccione la * lista detallada en la
opción *. En la siguiente tabla, cada fila define un puerto de escucha y,
opcionalmente, una dirección de unirse a. Cualquier puertos y direcciones
existentes serán listados, seguido de una sola fila en blanco para agregar uno
nuevo. En el primer campo vacío en el puerto de la columna, introduzca un
número de puerto como 8000 o 8080. En la columna de dirección de * la *
Nombre de host / IP, o bien seleccione Todo para aceptar conexiones en
cualquiera de las interfaces de su sistema, o la segunda opción para introducir
una dirección IP en el cuadro de texto adyacente. Utilizando esta tabla, Squid
puede ser configurado para escuchar en tantos puertos como quieras. Sin
embargo, debido a que sólo una fila en blanco aparece en un momento en que
tendrá que guardar y volver a abrir el formulario para agregar más de un nuevo
puerto.
3. ICP es un protocolo utilizado por Squid para comunicarse con otros servidores
proxy en un clúster. Para escuchar en un puerto distinto al predeterminado de
3130 para la ICP, rellene el puerto ICP campo. Esto generalmente no es
necesario, sin embargo, ya que sólo los otros poderes nunca utilizan este
protocolo.
4. Squid normalmente aceptar conexiones PCI en cualquier dirección IP. Para
cambiar esto, seleccione el segundo botón en el campo de dirección * UDP
entrante * e introduzca una de interfaz IP de su sistema en su campo de texto.
Esto puede ser útil si todos los otros poderes que su servidor podría querer
comunicarse con son en una sola LAN interna.
5. Haga clic en el Guardar botón en la parte inferior de la página para actualizar el
archivo de configuración con la nueva configuración, haga clic en el * Aplicar
cambios * enlace en la página principal para activarlos.
La forma de los puertos y la creación de redes
Directorios de caché Agregando
En su configuración habitual defecto, Squid utiliza un único directorio para almacenar
páginas en caché. A lo sumo 100 MB de datos serán almacenados en este directorio, que
no es probable que sea suficiente si servir un gran número de clientes activos. Si el
sistema tiene más de un disco duro, tiene sentido para ampliar la memoria caché en
varios discos para mejorar el rendimiento. Esto se puede hacer mediante la
especificación de varios directorios, cada una con su tamaño máximo.
En un sistema que está dedicada a la ejecución de un servidor proxy, el importe máximo
de caché en cada directorio debe ser alrededor del 90% del espacio disponible. No es
prudente para configurar o permitir Squid para utilizar todo el espacio libre en disco, el
rendimiento de la mayor cantidad de sistemas de archivos sufren reducen cuando casi
lleno. Además, el espacio de disco puede ser usado por los archivos de registro y datos
de usuario también. Si Squid se llena todo el disco duro, se pueden producir problemas
debido a que otros programas no pueden crear archivos temporales o escribir a los
registros.
Para añadir un nuevo directorio de caché y especificar el tamaño máximo de la
existente, siga estos pasos:
1. Haga clic en el Opciones de caché icono en la página principal del módulo para
que aparezca la forma que se muestra en la siguiente imagen.
2. En los directorios de caché de campo, seleccione el Listado opción. Si por
defecto se eligió antes, Squid se han estado utilizando el directorio de caché
predeterminado compilado en una sola muestra en paréntesis. Si desea seguir
utilizando este directorio, se debe introducir de forma explícita en la tabla. El
tamaño por defecto es de 100 MB, y utiliza 16 1er nivel y 256 directorios 2do
nivel. Cada fila de la tabla especifica un único directorio de caché. Cualquier
directorios existentes (aparte del defecto) se enumerarán para que pueda
editarlos, seguido de una sola fila en blanco. Cada fila tiene campos en las
siguientes columnas:
o
Directorio La ruta completa del directorio de caché de nivel superior,
como por ejemplo / var / spool / squid o / disk2 / cache. Este directorio
debe existir y ser poseído por el uso que Squid se ejecuta como
(generalmente llamado calamar) - el módulo no lo creará para usted.
o
Escriba el tipo de almacenamiento utilizado en el directorio. Siempre
debe seleccionar UFS aquí.
o
Tamaño (MB) La cantidad máxima de datos que contendrá, en
megabytes. Una vez que se alcanza este límite, los archivos más antiguos
de la ONU solicitadas serán sustituidos por otros nuevos.
o
1er nivel dirs El número de subdirectorios que se crearán en el directorio
de caché. El valor por defecto de 16 es por lo general muy bien, pero es
posible que desee aumentar esta muy grandes cachés.
o
Segundo nivel dirs El número de subdirectorios que se crearán en cada
directorio de primer nivel. Usted sólo debe ingresar 256 menos que su
caché va a ser muy grande.
o
Opciones Deja este campo en blanco - sólo se utiliza para otros tipos de
directorios. Si usted se está preguntando por qué Squid necesita crear dos
niveles de subdirectorios en cada directorio de caché, la razón es el bajo
rendimiento de muchos sistemas de ficheros cuando un directorio
contiene un gran número de archivos. Debido a que cada página HTML
en caché única o la imagen se almacena en un archivo separado, el
número de archivos en un sistema de proxy ocupado puede ser enorme.
Difundir ellos a través de múltiples directorios resuelve este problema.
1. Después de añadir un directorio, haga clic en el Guardar botón en la parte
inferior de la página. Si desea agregar más de una que tendrá que hacer clic en el
Opciones de caché icono de nuevo para volver a visualizar la tabla con una
nueva fila vacía.
2. Cuando haya terminado de definir los directorios, volver a la página principal
del módulo. Si uno nuevo se ha añadido, un mensaje de error como sus
directorios cache Squid no han sido inicializados se mostrará. Haga clic en la
Inicializar caché botón para que Squid crear todos los sub-directorios en los
nuevos directorios de caché. El servidor se cerrará durante el proceso, y
re-inicia cuando se ha completado.
1. Después de la inicialización se ha completado, haga clic en el Apply Changes
enlace en cualquier página para empezar a utilizar sus nuevos directorios.
La forma de opciones de caché
Opciones de almacenamiento en caché de Edición y de proxy
Squid tiene numerosos parámetros que limitan el tamaño de los objetos almacenados en
caché, el tamaño de las solicitudes de los clientes y los tipos de páginas en caché.
Pueden ser utilizados para detener el servidor almacenar archivos grandes (como
imágenes ISO descargados), para limitar el tamaño de los archivos que los clientes
pueden cargar o descargar, y para evitar que la caché de páginas que cambian con
frecuencia (como los generados por scripts CGI ). Los valores por defecto por lo general
funciona bien sin embargo, con la posible excepción del tamaño máximo de carga que
está a sólo 1 MB.
Para editar las opciones de almacenamiento en caché, siga estos pasos:
1. Haga clic en el Opciones de caché icono en la página principal para mostrar de
forma demostración arriba de nuevo.
2. Para establecer el tamaño máximo de los archivos subidos #, seleccione la
segunda opción en el máximo cuerpo de la solicitud de tamaño de campo,
introduzca un número en el cuadro de texto y seleccione algunas unidades en el
menú. 10 ó 100 MB debería ser más que suficiente para cualquier persona.
3. Para detener la descarga de archivos grandes clientes, rellene el * cuerpo
respuesta tamaño * El campo máximo de la misma manera. Esto puede ser
utilizado por prevenir el abuso de la red por los clientes la descarga de grandes
películas o archivos ISO, pero a menudo puede ser subvertido por la descarga de
un archivo grande en pedazos.
4. Si desea establecer un límite superior en el archivo que una página se puede
almacenar en la memoria caché, rellene el máximo tiempo de caché de campo
en lugar de dejarlo ajustado por defecto. De lo contrario, los datos se almacenan
en caché durante un máximo de un año, o hasta que la fecha de caducidad fijado
por el servidor de origen.
5. Además de los archivos de caché descargado, Squid se acordará de mensajes de
error de servidores y devolverlos a los clientes que solicitan la misma página.
Puede cambiar la cantidad de tiempo que los errores se almacenan en caché para
introduciendo un número y selección de unidades en el tiempo de caché de
solicitudes con error de campo. Si por defecto se elige, los errores se
almacenan en caché durante 5 minutos. Incluso esto puede ser molesto mucho
tiempo si usted acaba de fijo un error en un sitio web sin embargo.
6. Squid caché las respuestas a las búsquedas por nombre para reducir la cantidad
de actividad DNS, independientemente de los jefes de equipo que el suministro
de los servidores DNS. Si por defecto se selecciona en el campo * El tiempo de
caché de búsqueda * DNS, las respuestas serán recordados durante 6 horas. Si
esto parece mucho para usted, seleccione el segundo botón y entrar en su propio
tiempo de caché en su lugar.
7. Los no hacer las URL de caché de ACL campo se pueden usar para prevenir
completamente el almacenamiento en caché para ciertas URLs, servidores web o
clientes. Cualquier solicitud que coincide con una de las ACL controladas en
este campo no se almacena en caché, y por lo tanto siempre se fue a buscar
directamente. Puede utilizar esta función para bloquear el almacenamiento en
caché de las páginas generadas dinámicamente mediante la creación de una ruta
de URL Regexp ACL para .cgi o cgi-bin y seleccionando aquí. Vea la * El uso
de listas de control de acceso * sección para más detalles sobre cómo funcionan
las ACL y se pueden definir.
8. Hit the Guardar botón en la parte inferior de la página para volver al menú
principal. Debido a que algunas de las opciones de almacenamiento en caché
adicionales en el formulario de la memoria y el uso del disco, haga clic en el uso
de la memoria icono para mostrarlo.
9. Para limitar la cantidad de memoria que Squid utilizará, rellene el límite de uso
de memoria de campo. Tenga en cuenta que este límite sólo se efectúa el
máximo de memoria utilizada para el almacenamiento en tránsito y los archivos
de acceso frecuente, y las respuestas negativas. Debido Squid utiliza la memoria
para otros fines, sin duda consumir más de lo que introduzca aquí. Si por
defecto se selecciona, un límite de 8 MB se hará cumplir, que es probablemente
demasiado bajo para un servidor ocupado.
10. Para evitar que el almacenamiento en caché de archivos de gran tamaño, rellene
el * tamaño del objeto en caché máxima * campo. El valor predeterminado es de
sólo 4 MB, así que si usted tiene un montón de espacio en disco que sin duda
debe ser incrementado.
11. Hit the Guardar botón en la parte inferior del formulario y luego las Aplicar
cambios enlace en la página principal para activar todos sus nuevos ajustes.
Introducción acceder a las listas de control
ACL (listas de control de acceso) son posiblemente característica más poderosa de
Squid. Una ACL es simplemente una prueba que se aplica a una solicitud de cliente para
ver si coincide o no. Luego, en base a las ACL que cada solicitud partidos se puede
optar por bloquear, impedir el almacenamiento en caché, la fuerza en una piscina de
demora, o entregarlos a otra servidor proxy. Existen muchos tipos diferentes de ACL por ejemplo, un tipo comprueba la dirección IP de un cliente, otros partidos se solicita la
URL, mientras que otras comprobar el puerto de destino, nombre de host del servidor
web, el usuario autenticado y así sucesivamente.
El uso más común de ACL está bloqueando conexiones de clientes fuera de su red. Si
ejecuta un servidor proxy que está conectado y accesible desde Internet, los ejércitos
fuera de su red local no se debe permitir a usarlo. Usuarios maliciosos suelen utilizar
otros servidores proxy para el blanqueo de conexiones utilizadas para la piratería, el
envío de spam o acceder a sitios web que no se debe permitir a.
Debido a que la petición especial de proxy CONNECT se puede utilizar para conectarse
a cualquier puerto, una ACL se utiliza a menudo para bloquear su uso para cualquier
puerto que no sean 443 (el valor predeterminado SSL). Esto evita que los usuarios
utilicen el proxy para conectarse a servidores que no sean servidores web, tales como
AIM, ICQ o MSN. Del mismo modo, una ACL se puede configurar para bloquear las
peticiones normales HTTP a puertos como 22, 23 y 25 que se utilizan normalmente para
SSH, Telnet y SMTP.
Sólo definir una ACL en la configuración de Squid en realidad no hacer nada - debe ser
aplicado de alguna manera a tener ningún efecto. En esta sección se explica cómo
utilizarlos para controlar que se pide al servidor están permitidos o denegados. Otras
secciones se explica cómo se relacionan con el almacenamiento en caché y el acceso a
otros servidores.
Cuando se recibe una solicitud, Squid primero determina qué ACL que coincide. A
continuación, compara esta lista de partidos con una lista de restricciones de proxy, cada
una de las cuales contiene una o más ACL y una acción a realizar (ya sea Permitir o
Denegar). Tan pronto como una restricción se encuentra que coincide con las ACL para
la solicitud, su acción determina si se permite o se deniega la solicitud. Si no hay
restricciones coinciden, se aplica lo contrario de la última acción de la lista. Por esta
razón, la acción final en la mayoría de las configuraciones de calamar es Permitir todo
o Denegar todo.
Peticiones ICP de otros proxies también se comprueban para ver qué ACL coinciden, y
se comparan con una lista de restricciones ICP similar pero diferente para ver si se
permitirá o no. Vea la Conexión a otros servidores proxy más adelante para una
explicación más compleja de lo que es la PIC y cuando se utiliza.
La configuración típica Squid defecto incluye varias ACL y restricciones de proxy. Por
razones de seguridad, todos los pedidos desde cualquier lugar se les niega de forma
predeterminada. Esto significa que usted tendrá que cambiar la lista de restricciones
antes de que nadie puede usar su poder. Siga leyendo para averiguar cómo.
Para ver las listas de ACL definidas, restricciones de proxy y restricciones ICP, haga clic
en el control de acceso de icono en la página principal del módulo. Como la imagen de
abajo muestra, una tabla de ACL mostrando sus nombres, tipos y partidos se muestra a
la izquierda. A la derecha se encuentran las tablas de representación y restricciones ICP
que muestran sus acciones y las ACL que coincidan. Las tablas de restricción tienen
flechas arriba y abajo junto a cada entrada para moverlos en la lista, debido a que sus
asuntos de orden.
La página de listas de control de acceso
Antes los clientes pueden utilizar su poder tendrá que configurarlo para permitir el
acceso desde algunas direcciones. Los pasos para hacer esto son:
1. En la página de control de acceso, seleccione Dirección del cliente en el menú
debajo de la lista de ACL existentes. Al hacer clic en el Crear nueva ACL
botón, un formulario para introducir direcciones coincidentes aparecerán.
2. En el nombre de ACL campo introduzca un nombre corto como yournetwork.
3. En el campo vacío bajo Desde IP introduzca la dirección IP inicial en el rango
para permitir, por ejemplo, 192.168.1.1.
4. Si el campo bajo Para IP introduzca la dirección termina en la gama, como
192.168.1.100. Sólo los clientes que se encuentran dentro de este rango
coincidirán con la ACL. No introduce nada en la máscara de red de campo.
5. Alternativamente, puede especificar una red IP mediante la introducción de la
dirección de red en el De IP campo y la máscara de red (como 255.255.255.0)
en la máscara de red de campo. Para introducir más de uno, tendrá que guardar
y re-editar esta ACL para que aparezcan nuevos campos en blanco.
6. Haga clic en el Save botón para añadir el ACL y volver a la página de control de
acceso en la que se incluirá la nueva ACL.
7. Haga clic en Agregar restricción de proxy por debajo de la restricciones de
proxy mesa.
8. En el formulario que aparece, seleccione Permitir desde la acción de campo.
9. En el Partido ACL lista, seleccione su nueva yournetwork ACL.
10. Haga clic en el Guardar botón en esta forma para volver a la página de control
de acceso de nuevo. La nueva restricción se muestra en la parte inferior de la
tabla, muy probablemente por debajo del Denegar todo de entrada.
11. Haga clic en la flecha hacia arriba al lado de su nueva restricción para moverlo
arriba Denegar todo. Esto le dice a Squid para permitir conexiones desde la red,
y negar todos los demás.
12. Por último, haga clic en el Aplicar cambios enlazan en la parte superior de la
página. El proxy de ahora se podrá utilizar por los clientes de la red interna, pero
nadie más!
Estas instrucciones se supone que usted está comenzando con la configuración por
defecto Squid. Si el proxy ya se ha configurado para permitir el acceso desde cualquier
lugar (cambiando el negar toda restricción a Permitir todo), debe cambiar de nuevo de
nuevo para bloquear a clientes de fuera de la red. Para obtener más información sobre
los tipos de ACL disponibles y cómo utilizarlos, lea las siguientes dos secciones.
Creación y edición de ACL
Antes de que pueda bloquear o permitir las solicitudes de alguna dirección, a algún
servidor o para alguna página usted tendrá que crear una ACL apropiada. Los pasos
básicos para hacer esto son:
1. Seleccione el tipo de ACL para crear en el menú desplegable debajo de las listas
de control de acceso * * mesa y haga clic en el botón Crear nueva ACL *.
2. En el formulario que aparece, introduzca un nombre para la nueva ACL en el
nombre de ACL campo. Si hay más de uno tiene el mismo nombre, será tratada
como emparejado si alguna ACL con ese nombre coincide. El nombre debe
consistir sólo letras y números, sin espacios ni caracteres especiales.
3. Rellene el resto de la forma como se explica en la siguiente tabla.
4. En la URL Fracaso campo, introduzca una URL completa que los clientes que
se les niega por esta ACL serán redirigidos a. Esto le permite definir las páginas
de error personalizado que se mostrará en lugar de las respuestas calamar
defecto.
5. Haga clic en el Guardar botón en la parte inferior del formulario.
Una vez que una ACL se ha creado puede editarlo haciendo clic sobre su nombre en la
lista, el cambio de los campos y haga clic en Guardar. O su puede eliminar (si no está
en uso por alguna restricción proxy o ICP) con el Borrar botón. Como de costumbre, la
Apply Changes enlace debe ser utilizado para activar los cambios que se realicen.
Squid tiene un increíble número de tipos de ACL, aunque no todos están disponibles en
todas las versiones del servidor. La siguiente tabla muestra los que se pueden crear para
Squid 2.4, y explica lo que hacen y lo que los campos en el formulario de creación de
una ACL de cada medio Tipo:
Muchos tipos de ACL son inapropiados para ciertas situaciones. Por ejemplo, si un
cliente envía una solicitud CONNECT la ruta URL no está disponible, y por lo tanto
una ruta URL Regexp ACL no funcionará. En casos como este la ACL se asume
automáticamente que no coincida.
Restricciones Creación y edición de proxy
Una vez que haya creado algunos ACLs, que se pueden poner en uso mediante la
creación, edición y moverse restricciones de proxy. Squid comparará cada petición a
todas las restricciones definidas en orden, parando cuando encuentra uno que coincida.
La acción fijado para que la restricción determina entonces si se permite o se deniega la
solicitud. Este sistema de tratamiento combinado con el poder de ACL le permite
establecer algunas reglas de control de acceso increíblemente complejas - por ejemplo,
usted podría negar todo acceso a los sitios con temblor en la dirección URL 09 a.m.-5
p.m. lunes a viernes, a excepción de determinado cliente direcciones.
Para crear una restricción proxy, siga estos pasos:
1. Haga clic en el control de acceso de icono en la página principal del módulo
para que aparezca la página que se muestra en la imagen anterior.
2. Haga clic en la restricción de proxy Agregar a continuación la lista de las
restricciones existentes para ir al formulario de creación.
3. A partir de la acción de campo seleccione Permitir o Denegar en función de si
desea peticiones coincidentes para ser procesados o no.
4. El Partido ACL lista se puede utilizar para seleccionar varias ACL que si todos
coinciden desencadenará la acción. Del mismo modo, la no coinciden con ACL
campo puede utilizarse para seleccionar ACL que no deben coincidir para que la
acción se desencadena. Es perfectamente válido para hacer selecciones de ambas
listas para indicar que la acción debe ser activado sólo si todas las ACL en el
partido de la izquierda y si los de la derecha no lo hacen. En su configuración
por defecto Squid tiene una ACL llamada todo que coincide con todas las
peticiones. Puede ser útil para crear restricciones que permiten o niegan todos,
uno de los cuales por lo general existe por defecto.
5. Haga clic en el Save botón para crear la nueva restricción y volver a la página de
control de acceso.
6. Usa las flechas junto a él en la restricciones de proxy mesa para moverlo a la
ubicación correcta. Si su lista termina con una Denegar todo de entrada, tendrá
que mover de la parte inferior para que tenga algún efecto. Si la lista tiene una
entrada que permite a todos los clientes de su red y que acaba de agregar una
restricción de negar el acceso a algunos sitios, usted tendrá que pasar por encima
de que Permitir la entrada, así como para que pueda ser utilizado.
7. Cuando haya terminado de crear y posicionamiento restricciones, golpear las
Aplicar cambios enlazan en la parte superior de la
página para hacerlos activa.
Después de una restricción de proxy se ha creado se puede editar haciendo clic en el
enlace en la Acción columna para su fila en la tabla. Con ello se abre un formulario de
edición idéntica a la utilizada para la creación de la restricción, pero con Guardar y
Eliminar botones en la parte inferior. El primero guardar los cambios que realice en la
acción o ACL a juego, mientras que el segundo será eliminar la restricción por
completo. Una vez más, la Apply Changes enlace debe ser utilizado después de
actualizar o eliminar una restricción para realizar el cambio activo. Si por alguna razón
se elimina todas las restricciones de proxy, Squid permitirá que todas las peticiones de
todos los clientes, lo que probablemente no es una buena idea.
También en la página de control de acceso es una mesa para la edición y creación de
restricciones que se aplican a las peticiones ICP. A medida que el * Conexión a otros
servidores proxy * sección explica, ICP es un protocolo utilizado por proxies Squid en
un grupo o jerarquía para determinar qué direcciones URL de otros servidores han
almacenado en caché. Usted puede agregar a y editar entradas de la restricciones ICP
mesa exactamente de la misma manera que lo haría para las restricciones de proxy. Si
realmente está ejecutando un conjunto de servidores proxy, puede tener sentido para
bloquear las solicitudes ICP de fuentes distintas a la propia red. En caso contrario, la
configuración predeterminada que permite que todos los paquetes ICP está bien.
Configuración de la autenticación de proxy
A pesar de que es posible configurar Squid para permitir el acceso sólo desde
determinadas direcciones IP, es posible que desee para obligar a los clientes a
autenticarse con el proxy también. Esto podría tener sentido si se quiere dar sólo ciertas
personas el acceso a la web, y no puede utilizar la validación de direcciones IP debido a
la utilización de direcciones asignadas dinámicamente en la red. También es útil para
mantener un registro de quién ha solicitado lo que a través del proxy, como nombres de
usuario se registran en los registros de Squid.
Todos los navegadores y programas que pueden hacer uso de un proxy también admiten
la autenticación proxy. Los navegadores se abrirá una ventana de inicio de sesión para
introducir un nombre de usuario y contraseña que se enviará al proxy la primera vez que
lo solicite, y enviar automáticamente la misma información para todas las solicitudes
posteriores. Otros programas (como wget o rpm) requieren el nombre de usuario y
contraseña que se especifica en la línea de comandos.
Cada inicio de sesión y la contraseña recibida por Squid se pasa a un programa de
autenticación externo que aprueba o niega. Normalmente este programa comprueba
contra un usuario separadas archivo, pero es posible escribir sus propios programas que
utilizan todo tipo de métodos de validación de usuarios - por ejemplo, podrían ser vistos
en una base de datos o un servidor LDAP, o el usuario Unix lista. Webmin viene con un
sencillo programa que lee los usuarios desde un archivo de texto en el mismo formato
que se utiliza por Apache, y este módulo le permite editar los usuarios en un archivo de
este tipo.
Los pasos para activar la autenticación para su proxy Squid son:
1. En la página principal del módulo, haga clic en el control de acceso icono para
que aparezca la forma que se muestra en la Figura 44-4.
2. Seleccionar autenticación externos en el menú debajo de la tabla de ACL y
golpear la nueva ACL Crear botón.
3. En el formulario que aparece, introduzca auth para el nombre de ACL y
seleccione Todos los usuarios en el usuarios de autenticación externo campo.
A continuación, pulse el botón Guardar.
4. Haga clic en la restricción de proxy Agregar debajo de la tabla restricciones de
proxy.
5. Seleccione Denegar en la acción de campo y elegir su nueva autenticación
ACL de la No coincidir ACL lista. Esto bloqueará cualquier solicitud de proxy
que no están autenticados, lo que obliga a los clientes a entrar.
La selección de Permitir y luego elegir auth del Partido ACLs campo puede
ser utilizado para un propósito ligeramente diferente. Esto crea una restricción
proxy que permite el acceso a todos los clientes autenticados, que se pueden
colocar a la fuerza a clientes fuera de su red que entrar, mientras que no requiere
que para aquellos dentro de la red.
6. Haga clic en el Save botón para volver a la página de control de acceso de
nuevo.
7. Utilice la flecha hacia arriba al lado de la nueva restricción para moverlo por
encima de cualquier entrada en la tabla que permite todo el acceso de su propia
red. Si está por debajo de esta entrada, los clientes de la red podrán utilizar el
proxy sin necesidad de entrar en absoluto. Por supuesto, esto puede ser lo que
quieras en algunos casos.
8. Haga clic en el Programas de autenticación icono nuevo en la página
principal.
9. Desde el programa de autenticación de campo, seleccione Webmin
predeterminado. Esto le dice al módulo para utilizar la sencilla autenticador
archivo de texto que viene con el módulo de modo que usted no tiene que
escribir el suyo propio. Por supuesto, usted puede especificar su propio
programa personalizado seleccionando el botón del último radio y entrar en la
ruta de acceso completa a un guión con algunos parámetros en el cuadro de texto
adyacente. Este programa debe leer continuamente líneas que contienen un
nombre de usuario y contraseña (separados por un espacio) como entrada, y para
cada salida, ya sea la línea OK o ERR para el éxito o el fracaso,
respectivamente. Squid ejecutar varias instancias del programa como procesos
daemon permanentes cuando se inicia.
10. La ventana de inicio de sesión que aparece en los navegadores incluye una
descripción del servidor proxy que el usuario inicia sesión en. Por defecto, este
es Squid servidor web proxy-caching, pero usted puede entrar a su propia (como
Ejemplo Corporación Proxy) rellenando el campo de dominio de autenticación
de proxy.
11. Normalmente, Squid caché inicios de sesión válidos durante una hora para evitar
llamar en el programa de autenticación para cada solicitud individual. Esto
significa que los cambios de contraseña pueden tardar hasta una hora para entrar
en vigor, lo que puede resultar confuso. Para reducir este límite, a costa de una
mayor carga del sistema y un poco más lento el proceso de peticiones, edite la
hora de almacenar en caché las contraseñas para el campo.
12. Pulse el botón Guardar y luego haga clic en Aplicar cambios en la página
principal.
Ahora que la autenticación está activada, cualquier intento de utilizar el proxy desde un
navegador web hará que una ventana de inicio de sesión que aparezca. Porque no hay
usuarios válidos se han definido todavía, no se aceptarán los inicios de sesión, que no es
particularmente útil! Para crear algunos usuarios para la autenticación, siga estos pasos:
1. Haga clic en el icono de la autenticación del proxy en la página principal del
módulo para que aparezca un cuadro sinóptico con los usuarios de proxy. Al
principio, esto estará vacía.
2. Haga clic en la opción Agregar un nuevo usuario de proxy enlace de arriba o por
debajo de la mesa para mostrar el formulario de creación de usuarios.
Configuración del registro 595
3. Introduzca un nombre de inicio de sesión en el campo de nombre de usuario y
una contraseña para el usuario en el campo Contraseña.
4. Para desactivar temporalmente este usuario sin borrar él, cambiar el Habilitado?
a No.
5. Pulse el botón Crear para agregar el usuario y luego haga clic en el vínculo
Aplicar cambios. Este último paso es necesario después de la creación de un
usuario para que los cambios surtan efecto, como el programa de autenticación
de calamar de Webmin sólo lee el archivo de usuario cuando primero comenzó.
Un usuario puede editar haciendo clic en su nombre en la lista de usuarios de proxy,
cambiar el nombre de usuario, contraseña, o el estado habilitado, y golpeando el Save
botón. También puede eliminar completamente un usuario con el Borrar botón en su
forma de edición. Una vez más, Aplicar cambios hay que hacer clic para hacer las
modificaciones o supresiones activo. Squid también caché de contraseñas válidas (como
se explicó anteriormente) para reducir la carga en el programa de autenticación, por lo
que un cambio de contraseña puede tomar algún tiempo para surtir efecto.
Función de gestión de usuarios del módulo sólo funcionará si elige Webmin por
defecto en el programa de autenticación de campo o si su propio programa
personalizado toma la ruta completa a un estilo de Apache usuarios archivo como
parámetro. Si su programa valida los usuarios contra alguna otra base de datos o
servidor, o si el módulo no puede averiguar qué archivo contiene los usuarios del
sistema, la autenticación proxy no aparece el icono. A veces es posible que desee
permitir que los usuarios normales de UNIX para iniciar sesión en su programa con la
misma contraseña que utilizan para telnet y FTP. A pesar de que es posible escribir un
programa que hace la autenticación de proxy contra la base de datos de usuario de
UNIX, hay otra solución de la configuración del módulo para agregar, borrar y
actualizar los usuarios de proxy cada vez que se crea un usuario UNIX, removido o
cambiado de nombre. Esto es muy útil para mantener los nombres de usuario y
contraseñas en sincronización sin necesidad de permitir el acceso a cada usuario de
UNIX. Una vez que ha configurado la autenticación normal como se ha explicado
anteriormente, la sincronización puede activarse siguiendo estos pasos:
1. En la página principal del módulo, haga clic en el enlace del módulo de
configuración en la esquina superior izquierda.
2. Como sus nombres indican, la Crear usuarios de proxy al crear usuarios del
sistema, los usuarios de proxy Actualizar al actualizar los usuarios del sistema y
eliminar usuarios de proxy al eliminar campos usuarios del sistema de control de
la creación automática, modificación y cancelación de los usuarios proxy cuando
sucede lo mismo a un usuario de UNIX. Para cada uno, puede seleccionar Sí o
No. Usted probablemente debería activar la sincronización de actualizaciones y
supresiones, pero deja fuera para creaciones para que pueda controlar de forma
explícita quién tiene acceso al proxy.
3. Pulse el botón Guardar en la parte inferior de la forma de activar la nueva
configuración. A partir de ahora, las acciones realizadas en Usuarios y grupos
módulo de Webmin también afectará a la lista de usuarios de calamar en las
maneras en que usted ha elegido. Adición de un usuario en la línea de comandos
con useradd o cambiar una contraseña con el comando passwd, sin embargo, no.
En este artículo se explica qué es un servidor HTTP o FTP proxy es y, a continuación, se
explica cómo Webmin se puede utilizar para configurar el servidor proxy Squid popular.
Contenido
1 Introducción al uso de proxy y calamar
2 El módulo Squid Proxy Server
3 Cambio de los puertos proxy y direcciones
4 Adición de directorios de caché
5 Edición de opciones de almacenamiento en caché y delegación
6 Introducción acceder a las listas de control
7 Creación y edición de ACL
8 Crear y editar las restricciones de proxy
9 Configuración de la autenticación del proxy
Introducción al uso de proxy y Squid
Un servidor proxy HTTP es básicamente un programa que acepte las peticiones de los
clientes para las direcciones URL, les va a buscar en nombre del cliente, y devuelve los
resultados al cliente. La representación se utilizan en las redes donde los clientes no
tienen acceso directo a Internet, pero todavía tendrá que ser capaz de ver las páginas
web. Un proxy también se utiliza para el almacenamiento en caché comúnmente
solicitado páginas de modo que si más de un cliente quiere ver la misma página que sólo
tiene que descargar una vez.
Muchas empresas y organizaciones tienen sus firewalls configurados para bloquear todo
el tráfico entrante y saliente por los sistemas de redes LAN internas. Esto se puede hacer
por razones de seguridad, o para limitar lo que los empleados pueden acceder a través
de Internet. Porque ser capaz de ver las páginas web es muy útil, un proxy se suele
configurar de modo tal que los sitios web se puede acceder a través de él.
Las grandes organizaciones y proveedores de Internet con muchos PC clientes con el
acceso a Internet también pueden querer ejecutar un servidor proxy para reducir la carga
en sus redes. Porque una de las principales tareas de un proxy es el almacenamiento en
caché páginas solicitadas por los clientes, cualquier página pidió más de una vez será
devuelto de la caché en lugar de ser inverosímil desde el servidor de origen. Por esta
razón, los sistemas de los clientes a menudo se configuran u obligados a utilizar un
proxy caché para acceder a la web.
Un proxy es útil sólo si los exploradores cliente están configurados para usarlo en lugar
de conectarse a sitios web directamente. Afortunadamente, todos los navegadores web
en la existencia, y casi todos los programas que descargan archivos a través de HTTP
para diversos fines, puede ser configurado para usar un proxy. Esto les dice que hacer
una conexión especial proxy HTTP al servidor proxy en lugar, especificando la
dirección URL completa para descargar.
La representación no son sólo para HTTP - también pueden apoyar FTP y protocolo
Gopher peticiones de los clientes, los cuales el servicio haciendo una conexión FTP o
Gopher al servidor solicitado real. Incluso conexiones SSL cifrados pueden ser
manejados por un proxy, a pesar de que no puede descifrar la solicitud. En su lugar, el
proxy simplemente reenvía todos los datos desde el cliente al servidor de destino y
viceversa.
Squid es el servidor proxy más popular para sistemas Unix / Linux. Es de código abierto
y está disponible gratuitamente para su descarga desde www.squid-cache.org, y se
incluye como un paquete estándar con todas las distribuciones de Linux y muchos otros
sistemas operativos. Squid soporta tanto conexiones proxy, caching y HTTP
aceleración, y tiene un gran número de opciones de configuración para controlar el
comportamiento de estas características.
Squid lee su configuración desde el squid.conf archivo de texto, por lo general se
encuentra en o bajo el directorio / etc. Este archivo se compone de una serie de
directivas, una por línea, cada uno de los cuales tiene un nombre y un valor. Cada
directiva establece alguna opción, como el puerto TCP para escuchar o un directorio
para almacenar los archivos en caché en. Módulo Squid de Webmin edita este archivo
directamente, ignorando cualquier comentario o directivas que no entiende.
Muchas versiones de Squid se han lanzado en los últimos años, cada uno de los cuales
ha apoyado diferentes directivas de configuración o asignado diferentes significados a
las mismas directivas. Esto significa que un archivo squid.conf de la versión 2.0 puede
no ser compatible con Squid 2.5 - y uno de Squid 2.5 sin duda no va a funcionar con la
versión 2.0. Afortunadamente, Webmin sabe que las directivas de cada soportes de
liberación y sólo permite la edición de los que se sabe que la versión de funcionamiento
de calamar.
Páginas web almacenadas en caché se almacenan en archivos en una estructura de
directorios de varios niveles para un mayor rendimiento del sistema de archivos. Squid
se pueden configurar para utilizar varios directorios de caché por separado, por lo que se
puede propagar archivos a través de diferentes discos para mejorar el rendimiento. Cada
vez que una página cacheable se solicita que se almacena en un archivo, de modo que
cuando llega una solicitud posterior para la misma página el archivo se puede leer y los
datos sirve a partir de ella. Debido a que algunas páginas web cambian con el tiempo (o
incluso se generan de forma dinámica), Calamar comprueba los de última modificación
y expiración fechas de páginas web para que pueda borrar datos de la caché cuando no
está actualizado.
El programa real que maneja las solicitudes del cliente es un proceso de servidor
permanentemente corriendo llamado calamar. También puede empezar varios otros
subprocesos para tareas tales como búsquedas de DNS o la autenticación del cliente,
pero todo el procesamiento real protocolo HTTP está hecho en el proceso maestro
único. A diferencia de otros servidores similares, tales como Apache o Sendmail, Squid
no se inicia o utiliza subprocesos para manejar las solicitudes de cliente.
Squid pueden compilarse en todos los sabores de Unix que Webmin soporta, y trabaja
de manera casi idéntica en todos ellos. Esto significa que la interfaz de usuario del
módulo Webmin es los mismos sistemas operativos en todo, así, con la excepción de las
rutas predeterminadas que utiliza para los programas de calamar y archivos de
configuración.
El módulo Squid Proxy Server
Si desea crear o configurar Squid desde Webmin, usted tendrá que usar el módulo Squid
Proxy Server, que se encuentra bajo la categoría Servidores. Cuando se hace clic en su
icono en, aparecerá debajo de la página se muestra en la pantalla, en el supuesto de que
Squid está instalado y configurado correctamente. Como puede ver, la página principal
se compone sólo de una tabla de iconos, cada uno de los cuales se puede hacer clic en
para que aparezca un formulario para editar los ajustes en esa categoría.
La página principal del módulo Squid
Si no ha configurado o iniciado Calamares en su sistema antes, el directorio de caché ha
probablemente no ha creado todavía. El módulo detectará esto y mostrar un mensaje
como * Su Directorio de caché de Squid / var / spool / squid no se ha inicializado *
encima de la tabla de iconos. Para inicializar la caché, siga estos pasos:
1. Si no está satisfecho con el directorio de caché en pantalla, ahora es el momento
de cambiarlo. Siga las instrucciones del * Adición de directorios de caché *
sección para definir sus propios directorios antes de continuar.
2. En el como usuario Unix campo introduzca el nombre del usuario que será el
propietario de los archivos de caché y que el proceso de daemon se ejecutará
como. Normalmente, este será un usuario calamar especial creada con el
propósito (y el campo será por defecto calamares si existe un usuario tal), pero,
de hecho, cualquier usuario va a hacer. Recomiendo el uso de los Usuarios y
módulo de Grupos (cubierto en el capítulo 4) para crear un calamar llamado
usuario cuyo directorio principal es el directorio de caché si es necesario sin
embargo.
3. Haga clic en la Inicializar caché botón. La configuración de Squid se
actualizará para utilizar su nombre de usuario elegido, y el comando de
calamar -z se ejecutarán para configurar los directorios de caché. Toda la
salida que produce se mostrará de modo que usted puede ver cómo la
inicialización está progresando.
4. Cuando el proceso se haya completado, volver a la página principal del módulo
y el mensaje de error debería haber desaparecido.
Si Squid no está instalado en absoluto en el sistema (o instalado en una ubicación
diferente a la que Webmin espera), un mensaje de error como el calamar
/etc/squid.conf archivo de configuración no existe aparecerá en la página principal en
lugar de la tabla de iconos. Si realmente lo tiene instalado, lea el * Configuración del
módulo Squid Proxy Server * sección para obtener instrucciones sobre cómo cambiar
las rutas del módulo utiliza. Por otro lado, si realmente no está instalado debe utilizar el
módulo de paquetes de software (cubierta en SoftwarePackages) para instalar el paquete
de calamar desde el CD de distribución de Linux o sitio web.
Si no existe tal paquete para su sistema operativo, tendrá que descargar, compilar e
instalar la última versión de Squid de www.squid-cache.org. Siempre y cuando usted
tiene un compilador instalado en el sistema, este es un proceso relativamente simple sin
dependencias.
Una vez instalado el servidor, si quieres hacer uso de ella en el largo plazo, usted debe
hacer arreglos para que se inició en el arranque, usando el módulo Bootup y cierre del
sistema (que el capítulo 9 se explica cómo utilizar). Todos los paquetes de Linux
incluyen una secuencia de comandos de acción de arranque para Squid, aunque puede
ser desactivado por defecto por lo tanto requiere que usted permita en ese módulo. De lo
contrario, tendrá que crear una acción que se ejecuta un comando como
/ Usr / local, / squid / bin / squid
-Sy
, Asumiendo que usted ha calamar instalado en / usr / local / squid.
Una vez Squid ha sido instalado e inicializado, puede empezar a utilizar este módulo.
Cuando Squid correr, cada página tiene dos enlaces en la parte superior - Aplicar
cambios que obliga a la configuración actual que volver a leer, y la parada del
calamar, que apaga el servidor proxy. Si el servidor no se está ejecutando, esos vínculos
se reemplazan con * Inicio Squid * en lugar, que como su nombre indica intentos para
iniciarlo. Si aún no está en ejecución, es probable que desee comenzar ahora.
Debido a que cada versión de Squid ha introducido nuevas directivas de configuración,
interfaz de usuario de este módulo aparecerá de forma diferente dependiendo de la
versión de Squid que detecta en su sistema. Todas las instrucciones de este capítulo
están escritas para Squid 2.4, ya que es actualmente la versión más utilizada. Si está
ejecutando una versión anterior o posterior, diferentes campos pueden aparecer en los
formularios o tener más o menos opciones. Por ejemplo, cada nueva versión ha
introducido diferentes tipos de ACL, y la autenticación se ha manejado de tres maneras
diferentes a través de la historia del programa. Sin embargo, los conceptos básicos
siempre han sido los mismos.
Cuando se utiliza este módulo, asegúrese de que su navegador está configurado para no
utilizar el proxy Squid para acceder al servidor Webmin. De lo contrario se corre el
riesgo de cortar su propio acceso al módulo si usted comete un error de configuración o
apagar el proceso del servidor. Todos los navegadores que pueden usar un proxy tienen
un campo para la inclusión de los ejércitos para conectarse a directamente, en la que
puede introducir el nombre de host de su servidor Webmin.
Cambio de los puertos proxy y direcciones
Por defecto, Squid escucha las peticiones de proxy en el puerto TCP 3128 en todas las
direcciones IP de su sistema. Debido a que este no es el puerto habitual que los proxies
se ejecutan en (8000 y 8080 parece ser el más común), es posible que desee cambiar.
Usted también puede editar la dirección de escucha para que sólo los clientes de la red
interna se pueden conectar, si el sistema tiene más de una interfaz de red.
Para especificar los puertos que utiliza Squid, siga estos pasos:
1. En la página principal del módulo, haga clic en los Puertos y Redes icono para
que aparezca la forma que se muestra en la Figura 44-2.
2. En la dirección del proxy y puertos tabla, seleccione la * lista detallada en la
opción *. En la siguiente tabla, cada fila define un puerto de escucha y,
opcionalmente, una dirección de unirse a. Cualquier puertos y direcciones
existentes serán listados, seguido de una sola fila en blanco para agregar uno
nuevo. En el primer campo vacío en el puerto de la columna, introduzca un
número de puerto como 8000 o 8080. En la columna de dirección de * la *
Nombre de host / IP, o bien seleccione Todo para aceptar conexiones en
cualquiera de las interfaces de su sistema, o la segunda opción para introducir
una dirección IP en el cuadro de texto adyacente. Utilizando esta tabla, Squid
puede ser configurado para escuchar en tantos puertos como quieras. Sin
embargo, debido a que sólo una fila en blanco aparece en un momento en que
tendrá que guardar y volver a abrir el formulario para agregar más de un nuevo
puerto.
3. ICP es un protocolo utilizado por Squid para comunicarse con otros servidores
proxy en un clúster. Para escuchar en un puerto distinto al predeterminado de
3130 para la ICP, rellene el puerto ICP campo. Esto generalmente no es
necesario, sin embargo, ya que sólo los otros poderes nunca utilizan este
protocolo.
4. Squid normalmente aceptar conexiones PCI en cualquier dirección IP. Para
cambiar esto, seleccione el segundo botón en el campo de dirección * UDP
entrante * e introduzca una de interfaz IP de su sistema en su campo de texto.
Esto puede ser útil si todos los otros poderes que su servidor podría querer
comunicarse con son en una sola LAN interna.
5. Haga clic en el Guardar botón en la parte inferior de la página para actualizar el
archivo de configuración con la nueva configuración, haga clic en el * Aplicar
cambios * enlace en la página principal para activarlos.
La forma de los puertos y la creación de redes
Directorios de caché Agregando
En su configuración habitual defecto, Squid utiliza un único directorio para almacenar
páginas en caché. A lo sumo 100 MB de datos serán almacenados en este directorio, que
no es probable que sea suficiente si servir un gran número de clientes activos. Si el
sistema tiene más de un disco duro, tiene sentido para ampliar la memoria caché en
varios discos para mejorar el rendimiento. Esto se puede hacer mediante la
especificación de varios directorios, cada una con su tamaño máximo.
En un sistema que está dedicada a la ejecución de un servidor proxy, el importe máximo
de caché en cada directorio debe ser alrededor del 90% del espacio disponible. No es
prudente para configurar o permitir Squid para utilizar todo el espacio libre en disco, el
rendimiento de la mayor cantidad de sistemas de archivos sufren reducen cuando casi
lleno. Además, el espacio de disco puede ser usado por los archivos de registro y datos
de usuario también. Si Squid se llena todo el disco duro, se pueden producir problemas
debido a que otros programas no pueden crear archivos temporales o escribir a los
registros.
Para añadir un nuevo directorio de caché y especificar el tamaño máximo de la
existente, siga estos pasos:
1. Haga clic en el Opciones de caché icono en la página principal del módulo para
que aparezca la forma que se muestra en la siguiente imagen.
2. En los directorios de caché de campo, seleccione el Listado opción. Si por
defecto se eligió antes, Squid se han estado utilizando el directorio de caché
predeterminado compilado en una sola muestra en paréntesis. Si desea seguir
utilizando este directorio, se debe introducir de forma explícita en la tabla. El
tamaño por defecto es de 100 MB, y utiliza 16 1er nivel y 256 directorios 2do
nivel. Cada fila de la tabla especifica un único directorio de caché. Cualquier
directorios existentes (aparte del defecto) se enumerarán para que pueda
editarlos, seguido de una sola fila en blanco. Cada fila tiene campos en las
siguientes columnas:
o
Directorio La ruta completa del directorio de caché de nivel superior,
como por ejemplo / var / spool / squid o / disk2 / cache. Este directorio
debe existir y ser poseído por el uso que Squid se ejecuta como
(generalmente llamado calamar) - el módulo no lo creará para usted.
o
Escriba el tipo de almacenamiento utilizado en el directorio. Siempre
debe seleccionar UFS aquí.
o
Tamaño (MB) La cantidad máxima de datos que contendrá, en
megabytes. Una vez que se alcanza este límite, los archivos más antiguos
de la ONU solicitadas serán sustituidos por otros nuevos.
o
1er nivel dirs El número de subdirectorios que se crearán en el directorio
de caché. El valor por defecto de 16 es por lo general muy bien, pero es
posible que desee aumentar esta muy grandes cachés.
o
Segundo nivel dirs El número de subdirectorios que se crearán en cada
directorio de primer nivel. Usted sólo debe ingresar 256 menos que su
caché va a ser muy grande.
o
Opciones Deja este campo en blanco - sólo se utiliza para otros tipos de
directorios. Si usted se está preguntando por qué Squid necesita crear dos
niveles de subdirectorios en cada directorio de caché, la razón es el bajo
rendimiento de muchos sistemas de ficheros cuando un directorio
contiene un gran número de archivos. Debido a que cada página HTML
en caché única o la imagen se almacena en un archivo separado, el
número de archivos en un sistema de proxy ocupado puede ser enorme.
Difundir ellos a través de múltiples directorios resuelve este problema.
1. Después de añadir un directorio, haga clic en el Guardar botón en la parte
inferior de la página. Si desea agregar más de una que tendrá que hacer clic en el
Opciones de caché icono de nuevo para volver a visualizar la tabla con una
nueva fila vacía.
2. Cuando haya terminado de definir los directorios, volver a la página principal
del módulo. Si uno nuevo se ha añadido, un mensaje de error como sus
directorios cache Squid no han sido inicializados se mostrará. Haga clic en la
Inicializar caché botón para que Squid crear todos los sub-directorios en los
nuevos directorios de caché. El servidor se cerrará durante el proceso, y
re-inicia cuando se ha completado.
1. Después de la inicialización se ha completado, haga clic en el Apply Changes
enlace en cualquier página para empezar a utilizar sus nuevos directorios.
La forma de opciones de caché
Opciones de almacenamiento en caché de Edición y de proxy
Squid tiene numerosos parámetros que limitan el tamaño de los objetos almacenados en
caché, el tamaño de las solicitudes de los clientes y los tipos de páginas en caché.
Pueden ser utilizados para detener el servidor almacenar archivos grandes (como
imágenes ISO descargados), para limitar el tamaño de los archivos que los clientes
pueden cargar o descargar, y para evitar que la caché de páginas que cambian con
frecuencia (como los generados por scripts CGI ). Los valores por defecto por lo general
funciona bien sin embargo, con la posible excepción del tamaño máximo de carga que
está a sólo 1 MB.
Para editar las opciones de almacenamiento en caché, siga estos pasos:
1. Haga clic en el Opciones de caché icono en la página principal para mostrar de
forma demostración arriba de nuevo.
2. Para establecer el tamaño máximo de los archivos subidos #, seleccione la
segunda opción en el máximo cuerpo de la solicitud de tamaño de campo,
introduzca un número en el cuadro de texto y seleccione algunas unidades en el
menú. 10 ó 100 MB debería ser más que suficiente para cualquier persona.
3. Para detener la descarga de archivos grandes clientes, rellene el * cuerpo
respuesta tamaño * El campo máximo de la misma manera. Esto puede ser
utilizado por prevenir el abuso de la red por los clientes la descarga de grandes
películas o archivos ISO, pero a menudo puede ser subvertido por la descarga de
un archivo grande en pedazos.
4. Si desea establecer un límite superior en el archivo que una página se puede
almacenar en la memoria caché, rellene el máximo tiempo de caché de campo
en lugar de dejarlo ajustado por defecto. De lo contrario, los datos se almacenan
en caché durante un máximo de un año, o hasta que la fecha de caducidad fijado
por el servidor de origen.
5. Además de los archivos de caché descargado, Squid se acordará de mensajes de
error de servidores y devolverlos a los clientes que solicitan la misma página.
Puede cambiar la cantidad de tiempo que los errores se almacenan en caché para
introduciendo un número y selección de unidades en el tiempo de caché de
solicitudes con error de campo. Si por defecto se elige, los errores se
almacenan en caché durante 5 minutos. Incluso esto puede ser molesto mucho
tiempo si usted acaba de fijo un error en un sitio web sin embargo.
6. Squid caché las respuestas a las búsquedas por nombre para reducir la cantidad
de actividad DNS, independientemente de los jefes de equipo que el suministro
de los servidores DNS. Si por defecto se selecciona en el campo * El tiempo de
caché de búsqueda * DNS, las respuestas serán recordados durante 6 horas. Si
esto parece mucho para usted, seleccione el segundo botón y entrar en su propio
tiempo de caché en su lugar.
7. Los no hacer las URL de caché de ACL campo se pueden usar para prevenir
completamente el almacenamiento en caché para ciertas URLs, servidores web o
clientes. Cualquier solicitud que coincide con una de las ACL controladas en
este campo no se almacena en caché, y por lo tanto siempre se fue a buscar
directamente. Puede utilizar esta función para bloquear el almacenamiento en
caché de las páginas generadas dinámicamente mediante la creación de una ruta
de URL Regexp ACL para .cgi o cgi-bin y seleccionando aquí. Vea la * El uso
de listas de control de acceso * sección para más detalles sobre cómo funcionan
las ACL y se pueden definir.
8. Hit the Guardar botón en la parte inferior de la página para volver al menú
principal. Debido a que algunas de las opciones de almacenamiento en caché
adicionales en el formulario de la memoria y el uso del disco, haga clic en el uso
de la memoria icono para mostrarlo.
9. Para limitar la cantidad de memoria que Squid utilizará, rellene el límite de uso
de memoria de campo. Tenga en cuenta que este límite sólo se efectúa el
máximo de memoria utilizada para el almacenamiento en tránsito y los archivos
de acceso frecuente, y las respuestas negativas. Debido Squid utiliza la memoria
para otros fines, sin duda consumir más de lo que introduzca aquí. Si por
defecto se selecciona, un límite de 8 MB se hará cumplir, que es probablemente
demasiado bajo para un servidor ocupado.
10. Para evitar que el almacenamiento en caché de archivos de gran tamaño, rellene
el * tamaño del objeto en caché máxima * campo. El valor predeterminado es de
sólo 4 MB, así que si usted tiene un montón de espacio en disco que sin duda
debe ser incrementado.
11. Hit the Guardar botón en la parte inferior del formulario y luego las Aplicar
cambios enlace en la página principal para activar todos sus nuevos ajustes.
Introducción acceder a las listas de control
ACL (listas de control de acceso) son posiblemente característica más poderosa de
Squid. Una ACL es simplemente una prueba que se aplica a una solicitud de cliente para
ver si coincide o no. Luego, en base a las ACL que cada solicitud partidos se puede
optar por bloquear, impedir el almacenamiento en caché, la fuerza en una piscina de
demora, o entregarlos a otra servidor proxy. Existen muchos tipos diferentes de ACL por ejemplo, un tipo comprueba la dirección IP de un cliente, otros partidos se solicita la
URL, mientras que otras comprobar el puerto de destino, nombre de host del servidor
web, el usuario autenticado y así sucesivamente.
El uso más común de ACL está bloqueando conexiones de clientes fuera de su red. Si
ejecuta un servidor proxy que está conectado y accesible desde Internet, los ejércitos
fuera de su red local no se debe permitir a usarlo. Usuarios maliciosos suelen utilizar
otros servidores proxy para el blanqueo de conexiones utilizadas para la piratería, el
envío de spam o acceder a sitios web que no se debe permitir a.
Debido a que la petición especial de proxy CONNECT se puede utilizar para conectarse
a cualquier puerto, una ACL se utiliza a menudo para bloquear su uso para cualquier
puerto que no sean 443 (el valor predeterminado SSL). Esto evita que los usuarios
utilicen el proxy para conectarse a servidores que no sean servidores web, tales como
AIM, ICQ o MSN. Del mismo modo, una ACL se puede configurar para bloquear las
peticiones normales HTTP a puertos como 22, 23 y 25 que se utilizan normalmente para
SSH, Telnet y SMTP.
Sólo definir una ACL en la configuración de Squid en realidad no hacer nada - debe ser
aplicado de alguna manera a tener ningún efecto. En esta sección se explica cómo
utilizarlos para controlar que se pide al servidor están permitidos o denegados. Otras
secciones se explica cómo se relacionan con el almacenamiento en caché y el acceso a
otros servidores.
Cuando se recibe una solicitud, Squid primero determina qué ACL que coincide. A
continuación, compara esta lista de partidos con una lista de restricciones de proxy, cada
una de las cuales contiene una o más ACL y una acción a realizar (ya sea Permitir o
Denegar). Tan pronto como una restricción se encuentra que coincide con las ACL para
la solicitud, su acción determina si se permite o se deniega la solicitud. Si no hay
restricciones coinciden, se aplica lo contrario de la última acción de la lista. Por esta
razón, la acción final en la mayoría de las configuraciones de calamar es Permitir todo
o Denegar todo.
Peticiones ICP de otros proxies también se comprueban para ver qué ACL coinciden, y
se comparan con una lista de restricciones ICP similar pero diferente para ver si se
permitirá o no. Vea la Conexión a otros servidores proxy más adelante para una
explicación más compleja de lo que es la PIC y cuando se utiliza.
La configuración típica Squid defecto incluye varias ACL y restricciones de proxy. Por
razones de seguridad, todos los pedidos desde cualquier lugar se les niega de forma
predeterminada. Esto significa que usted tendrá que cambiar la lista de restricciones
antes de que nadie puede usar su poder. Siga leyendo para averiguar cómo.
Para ver las listas de ACL definidas, restricciones de proxy y restricciones ICP, haga clic
en el control de acceso de icono en la página principal del módulo. Como la imagen de
abajo muestra, una tabla de ACL mostrando sus nombres, tipos y partidos se muestra a
la izquierda. A la derecha se encuentran las tablas de representación y restricciones ICP
que muestran sus acciones y las ACL que coincidan. Las tablas de restricción tienen
flechas arriba y abajo junto a cada entrada para moverlos en la lista, debido a que sus
asuntos de orden.
La página de listas de control de acceso
Antes los clientes pueden utilizar su poder tendrá que configurarlo para permitir el
acceso desde algunas direcciones. Los pasos para hacer esto son:
1. En la página de control de acceso, seleccione Dirección del cliente en el menú
debajo de la lista de ACL existentes. Al hacer clic en el Crear nueva ACL
botón, un formulario para introducir direcciones coincidentes aparecerán.
2. En el nombre de ACL campo introduzca un nombre corto como yournetwork.
3. En el campo vacío bajo Desde IP introduzca la dirección IP inicial en el rango
para permitir, por ejemplo, 192.168.1.1.
4. Si el campo bajo Para IP introduzca la dirección termina en la gama, como
192.168.1.100. Sólo los clientes que se encuentran dentro de este rango
coincidirán con la ACL. No introduce nada en la máscara de red de campo.
5. Alternativamente, puede especificar una red IP mediante la introducción de la
dirección de red en el De IP campo y la máscara de red (como 255.255.255.0)
en la máscara de red de campo. Para introducir más de uno, tendrá que guardar
y re-editar esta ACL para que aparezcan nuevos campos en blanco.
6. Haga clic en el Save botón para añadir el ACL y volver a la página de control de
acceso en la que se incluirá la nueva ACL.
7. Haga clic en Agregar restricción de proxy por debajo de la restricciones de
proxy mesa.
8. En el formulario que aparece, seleccione Permitir desde la acción de campo.
9. En el Partido ACL lista, seleccione su nueva yournetwork ACL.
10. Haga clic en el Guardar botón en esta forma para volver a la página de control
de acceso de nuevo. La nueva restricción se muestra en la parte inferior de la
tabla, muy probablemente por debajo del Denegar todo de entrada.
11. Haga clic en la flecha hacia arriba al lado de su nueva restricción para moverlo
arriba Denegar todo. Esto le dice a Squid para permitir conexiones desde la red,
y negar todos los demás.
12. Por último, haga clic en el Aplicar cambios enlazan en la parte superior de la
página. El proxy de ahora se podrá utilizar por los clientes de la red interna, pero
nadie más!
Estas instrucciones se supone que usted está comenzando con la configuración por
defecto Squid. Si el proxy ya se ha configurado para permitir el acceso desde cualquier
lugar (cambiando el negar toda restricción a Permitir todo), debe cambiar de nuevo de
nuevo para bloquear a clientes de fuera de la red. Para obtener más información sobre
los tipos de ACL disponibles y cómo utilizarlos, lea las siguientes dos secciones.
Creación y edición de ACL
Antes de que pueda bloquear o permitir las solicitudes de alguna dirección, a algún
servidor o para alguna página usted tendrá que crear una ACL apropiada. Los pasos
básicos para hacer esto son:
1. Seleccione el tipo de ACL para crear en el menú desplegable debajo de las listas
de control de acceso * * mesa y haga clic en el botón Crear nueva ACL *.
2. En el formulario que aparece, introduzca un nombre para la nueva ACL en el
nombre de ACL campo. Si hay más de uno tiene el mismo nombre, será tratada
como emparejado si alguna ACL con ese nombre coincide. El nombre debe
consistir sólo letras y números, sin espacios ni caracteres especiales.
3. Rellene el resto de la forma como se explica en la siguiente tabla.
4. En la URL Fracaso campo, introduzca una URL completa que los clientes que
se les niega por esta ACL serán redirigidos a. Esto le permite definir las páginas
de error personalizado que se mostrará en lugar de las respuestas calamar
defecto.
5. Haga clic en el Guardar botón en la parte inferior del formulario.
Una vez que una ACL se ha creado puede editarlo haciendo clic sobre su nombre en la
lista, el cambio de los campos y haga clic en Guardar. O su puede eliminar (si no está
en uso por alguna restricción proxy o ICP) con el Borrar botón. Como de costumbre, la
Apply Changes enlace debe ser utilizado para activar los cambios que se realicen.
Squid tiene un increíble número de tipos de ACL, aunque no todos están disponibles en
todas las versiones del servidor. La siguiente tabla muestra los que se pueden crear para
Squid 2.4, y explica lo que hacen y lo que los campos en el formulario de creación de
una ACL de cada medio Tipo:
Muchos tipos de ACL son inapropiados para ciertas situaciones. Por ejemplo, si un
cliente envía una solicitud CONNECT la ruta URL no está disponible, y por lo tanto
una ruta URL Regexp ACL no funcionará. En casos como este la ACL se asume
automáticamente que no coincida.
Restricciones Creación y edición de proxy
Una vez que haya creado algunos ACLs, que se pueden poner en uso mediante la
creación, edición y moverse restricciones de proxy. Squid comparará cada petición a
todas las restricciones definidas en orden, parando cuando encuentra uno que coincida.
La acción fijado para que la restricción determina entonces si se permite o se deniega la
solicitud. Este sistema de tratamiento combinado con el poder de ACL le permite
establecer algunas reglas de control de acceso increíblemente complejas - por ejemplo,
usted podría negar todo acceso a los sitios con temblor en la dirección URL 09 a.m.-5
p.m. lunes a viernes, a excepción de determinado cliente direcciones.
Para crear una restricción proxy, siga estos pasos:
1. Haga clic en el control de acceso de icono en la página principal del módulo
para que aparezca la página que se muestra en la imagen anterior.
2. Haga clic en la restricción de proxy Agregar a continuación la lista de las
restricciones existentes para ir al formulario de creación.
3. A partir de la acción de campo seleccione Permitir o Denegar en función de si
desea peticiones coincidentes para ser procesados o no.
4. El Partido ACL lista se puede utilizar para seleccionar varias ACL que si todos
coinciden desencadenará la acción. Del mismo modo, la no coinciden con ACL
campo puede utilizarse para seleccionar ACL que no deben coincidir para que la
acción se desencadena. Es perfectamente válido para hacer selecciones de ambas
listas para indicar que la acción debe ser activado sólo si todas las ACL en el
partido de la izquierda y si los de la derecha no lo hacen. En su configuración
por defecto Squid tiene una ACL llamada todo que coincide con todas las
peticiones. Puede ser útil para crear restricciones que permiten o niegan todos,
uno de los cuales por lo general existe por defecto.
5. Haga clic en el Save botón para crear la nueva restricción y volver a la página de
control de acceso.
6. Usa las flechas junto a él en la restricciones de proxy mesa para moverlo a la
ubicación correcta. Si su lista termina con una Denegar todo de entrada, tendrá
que mover de la parte inferior para que tenga algún efecto. Si la lista tiene una
entrada que permite a todos los clientes de su red y que acaba de agregar una
restricción de negar el acceso a algunos sitios, usted tendrá que pasar por encima
de que Permitir la entrada, así como para que pueda ser utilizado.
7. Cuando haya terminado de crear y posicionamiento restricciones, golpear las
Aplicar cambios enlazan en la parte superior de la
página para hacerlos activa.
Después de una restricción de proxy se ha creado se puede editar haciendo clic en el
enlace en la Acción columna para su fila en la tabla. Con ello se abre un formulario de
edición idéntica a la utilizada para la creación de la restricción, pero con Guardar y
Eliminar botones en la parte inferior. El primero guardar los cambios que realice en la
acción o ACL a juego, mientras que el segundo será eliminar la restricción por
completo. Una vez más, la Apply Changes enlace debe ser utilizado después de
actualizar o eliminar una restricción para realizar el cambio activo. Si por alguna razón
se elimina todas las restricciones de proxy, Squid permitirá que todas las peticiones de
todos los clientes, lo que probablemente no es una buena idea.
También en la página de control de acceso es una mesa para la edición y creación de
restricciones que se aplican a las peticiones ICP. A medida que el * Conexión a otros
servidores proxy * sección explica, ICP es un protocolo utilizado por proxies Squid en
un grupo o jerarquía para determinar qué direcciones URL de otros servidores han
almacenado en caché. Usted puede agregar a y editar entradas de la restricciones ICP
mesa exactamente de la misma manera que lo haría para las restricciones de proxy. Si
realmente está ejecutando un conjunto de servidores proxy, puede tener sentido para
bloquear las solicitudes ICP de fuentes distintas a la propia red. En caso contrario, la
configuración predeterminada que permite que todos los paquetes ICP está bien.
Configuración de la autenticación de proxy
A pesar de que es posible configurar Squid para permitir el acceso sólo desde
determinadas direcciones IP, es posible que desee para obligar a los clientes a
autenticarse con el proxy también. Esto podría tener sentido si se quiere dar sólo ciertas
personas el acceso a la web, y no puede utilizar la validación de direcciones IP debido a
la utilización de direcciones asignadas dinámicamente en la red. También es útil para
mantener un registro de quién ha solicitado lo que a través del proxy, como nombres de
usuario se registran en los registros de Squid.
Todos los navegadores y programas que pueden hacer uso de un proxy también admiten
la autenticación proxy. Los navegadores se abrirá una ventana de inicio de sesión para
introducir un nombre de usuario y contraseña que se enviará al proxy la primera vez que
lo solicite, y enviar automáticamente la misma información para todas las solicitudes
posteriores. Otros programas (como wget o rpm) requieren el nombre de usuario y
contraseña que se especifica en la línea de comandos.
Cada inicio de sesión y la contraseña recibida por Squid se pasa a un programa de
autenticación externo que aprueba o niega. Normalmente este programa comprueba
contra un usuario separadas archivo, pero es posible escribir sus propios programas que
utilizan todo tipo de métodos de validación de usuarios - por ejemplo, podrían ser vistos
en una base de datos o un servidor LDAP, o el usuario Unix lista. Webmin viene con un
sencillo programa que lee los usuarios desde un archivo de texto en el mismo formato
que se utiliza por Apache, y este módulo le permite editar los usuarios en un archivo de
este tipo.
Los pasos para activar la autenticación para su proxy Squid son:
1. En la página principal del módulo, haga clic en el control de acceso icono para
que aparezca la forma que se muestra en la Figura 44-4.
2. Seleccionar autenticación externos en el menú debajo de la tabla de ACL y
golpear la nueva ACL Crear botón.
3. En el formulario que aparece, introduzca auth para el nombre de ACL y
seleccione Todos los usuarios en el usuarios de autenticación externo campo.
A continuación, pulse el botón Guardar.
4. Haga clic en la restricción de proxy Agregar debajo de la tabla restricciones de
proxy.
5. Seleccione Denegar en la acción de campo y elegir su nueva autenticación
ACL de la No coincidir ACL lista. Esto bloqueará cualquier solicitud de proxy
que no están autenticados, lo que obliga a los clientes a entrar.
La selección de Permitir y luego elegir auth del Partido ACLs campo puede
ser utilizado para un propósito ligeramente diferente. Esto crea una restricción
proxy que permite el acceso a todos los clientes autenticados, que se pueden
colocar a la fuerza a clientes fuera de su red que entrar, mientras que no requiere
que para aquellos dentro de la red.
6. Haga clic en el Save botón para volver a la página de control de acceso de
nuevo.
7. Utilice la flecha hacia arriba al lado de la nueva restricción para moverlo por
encima de cualquier entrada en la tabla que permite todo el acceso de su propia
red. Si está por debajo de esta entrada, los clientes de la red podrán utilizar el
proxy sin necesidad de entrar en absoluto. Por supuesto, esto puede ser lo que
quieras en algunos casos.
8. Haga clic en el Programas de autenticación icono nuevo en la página
principal.
9. Desde el programa de autenticación de campo, seleccione Webmin
predeterminado. Esto le dice al módulo para utilizar la sencilla autenticador
archivo de texto que viene con el módulo de modo que usted no tiene que
escribir el suyo propio. Por supuesto, usted puede especificar su propio
programa personalizado seleccionando el botón del último radio y entrar en la
ruta de acceso completa a un guión con algunos parámetros en el cuadro de texto
adyacente. Este programa debe leer continuamente líneas que contienen un
nombre de usuario y contraseña (separados por un espacio) como entrada, y para
cada salida, ya sea la línea OK o ERR para el éxito o el fracaso,
respectivamente. Squid ejecutar varias instancias del programa como procesos
daemon permanentes cuando se inicia.
10. La ventana de inicio de sesión que aparece en los navegadores incluye una
descripción del servidor proxy que el usuario inicia sesión en. Por defecto, este
es Squid servidor web proxy-caching, pero usted puede entrar a su propia (como
Ejemplo Corporación Proxy) rellenando el campo de dominio de autenticación
de proxy.
11. Normalmente, Squid caché inicios de sesión válidos durante una hora para evitar
llamar en el programa de autenticación para cada solicitud individual. Esto
significa que los cambios de contraseña pueden tardar hasta una hora para entrar
en vigor, lo que puede resultar confuso. Para reducir este límite, a costa de una
mayor carga del sistema y un poco más lento el proceso de peticiones, edite la
hora de almacenar en caché las contraseñas para el campo.
12. Pulse el botón Guardar y luego haga clic en Aplicar cambios en la página
principal.
Ahora que la autenticación está activada, cualquier intento de utilizar el proxy desde un
navegador web hará que una ventana de inicio de sesión que aparezca. Porque no hay
usuarios válidos se han definido todavía, no se aceptarán los inicios de sesión, que no es
particularmente útil! Para crear algunos usuarios para la autenticación, siga estos pasos:
1. Haga clic en el icono de la autenticación del proxy en la página principal del
módulo para que aparezca un cuadro sinóptico con los usuarios de proxy. Al
principio, esto estará vacía.
2. Haga clic en la opción Agregar un nuevo usuario de proxy enlace de arriba o por
debajo de la mesa para mostrar el formulario de creación de usuarios.
Configuración del registro 595
3. Introduzca un nombre de inicio de sesión en el campo de nombre de usuario y
una contraseña para el usuario en el campo Contraseña.
4. Para desactivar temporalmente este usuario sin borrar él, cambiar el Habilitado?
a No.
5. Pulse el botón Crear para agregar el usuario y luego haga clic en el vínculo
Aplicar cambios. Este último paso es necesario después de la creación de un
usuario para que los cambios surtan efecto, como el programa de autenticación
de calamar de Webmin sólo lee el archivo de usuario cuando primero comenzó.
Un usuario puede editar haciendo clic en su nombre en la lista de usuarios de proxy,
cambiar el nombre de usuario, contraseña, o el estado habilitado, y golpeando el Save
botón. También puede eliminar completamente un usuario con el Borrar botón en su
forma de edición. Una vez más, Aplicar cambios hay que hacer clic para hacer las
modificaciones o supresiones activo. Squid también caché de contraseñas válidas (como
se explicó anteriormente) para reducir la carga en el programa de autenticación, por lo
que un cambio de contraseña puede tomar algún tiempo para surtir efecto.
Función de gestión de usuarios del módulo sólo funcionará si elige Webmin por
defecto en el programa de autenticación de campo o si su propio programa
personalizado toma la ruta completa a un estilo de Apache usuarios archivo como
parámetro. Si su programa valida los usuarios contra alguna otra base de datos o
servidor, o si el módulo no puede averiguar qué archivo contiene los usuarios del
sistema, la autenticación proxy no aparece el icono. A veces es posible que desee
permitir que los usuarios normales de UNIX para iniciar sesión en su programa con la
misma contraseña que utilizan para telnet y FTP. A pesar de que es posible escribir un
programa que hace la autenticación de proxy contra la base de datos de usuario de
UNIX, hay otra solución de la configuración del módulo para agregar, borrar y
actualizar los usuarios de proxy cada vez que se crea un usuario UNIX, removido o
cambiado de nombre. Esto es muy útil para mantener los nombres de usuario y
contraseñas en sincronización sin necesidad de permitir el acceso a cada usuario de
UNIX. Una vez que ha configurado la autenticación normal como se ha explicado
anteriormente, la sincronización puede activarse siguiendo estos pasos:
1. En la página principal del módulo, haga clic en el enlace del módulo de
configuración en la esquina superior izquierda.
2. Como sus nombres indican, la Crear usuarios de proxy al crear usuarios del
sistema, los usuarios de proxy Actualizar al actualizar los usuarios del sistema y
eliminar usuarios de proxy al eliminar campos usuarios del sistema de control de
la creación automática, modificación y cancelación de los usuarios proxy cuando
sucede lo mismo a un usuario de UNIX. Para cada uno, puede seleccionar Sí o
No. Usted probablemente debería activar la sincronización de actualizaciones y
supresiones, pero deja fuera para creaciones para que pueda controlar de forma
explícita quién tiene acceso al proxy.
3. Pulse el botón Guardar en la parte inferior de la forma de activar la nueva
configuración. A partir de ahora, las acciones realizadas en Usuarios y grupos
módulo de Webmin también afectará a la lista de usuarios de calamar en las
maneras en que usted ha elegido. Adición de un usuario en la línea de comandos
con useradd o cambiar una contraseña con el comando passwd, sin embargo, no.
