Planejamento e Implantação de Proxy WWW e FTP

Neander Larsen Brisola
Conectiva S.A. (http://www.conectiva.com.br) Suporte à Rede Conectiva de Serviços sup-rcs@conectiva.com.br

Marcio Malafaia Saliba
Conectiva S.A. (http://www.conectiva.com.br)

Índice
1. Objetivos da Solução............................................................................................................................................................ 5 2. Características Técnicas...................................................................................................................................................... 5 3. Clientes Potenciais ............................................................................................................................................................... 6 4. Cases e Cenários Típicos ..................................................................................................................................................... 7 5. Vantagens para o Cliente..................................................................................................................................................... 7 6. Operação e Administração da Solução .............................................................................................................................. 7 7. Atualizações dos Sistemas ................................................................................................................................................... 8 8. Gerenciamento da Solução.................................................................................................................................................. 8 9. Treinamento.......................................................................................................................................................................... 9 10. Soluções Relacionadas ....................................................................................................................................................... 9 11. Metodologia de Implantação........................................................................................................................................... 10 12. Requisitos de Tempo e Recursos Humanos ................................................................................................................... 11 13. Análise Técnica................................................................................................................................................................. 11 14. Implantação ...................................................................................................................................................................... 15 15. Documentação .................................................................................................................................................................. 39 16. Referências........................................................................................................................................................................ 40 Bibliografia ............................................................................................................................................................................. 41

3

4

por concentrar os acessos em um único ponto e redução do tráfego WWW e FTP pois muito do que é freqüentemente acessado fica no cache do servidor. • 2. e aspectos técnicos de planejamento e/ou implantação. Este documento é de uso interno da Conectiva S. Possibilitar acesso restrito a usuários e sites específicos. Criado por Neander Larsen Brisola. aspectos comerciais. disponibilizando mais recursos para atividades que exigem velocidade de acesso. 1. Solução baseada em software de reconhecida eficácia.br). assim.Informações Gerais Este documento descreve o Planejamento e Implantação de Proxy WWW e FTP. Características Técnicas O Planejamento e Implantação de Proxy WWW e FTP tem algumas características onde observamos: • Utiliza-se de um recurso chamado ACL (Access Control List) o qual possibilita que toda a URL(Universal Resource Location) que passe pelo Proxy seja monitorada bem como restringida caso necessário.A.br) e da Rede Conectiva de Serviços (RCS). gerando uma otimização do tempo de nagevação. As sugestões e críticas devem ser enviadas diretamente para a equipe de Suporte à RCS (mailto:sup-rcs@conectiva. feito por Márcio Malafaia Saliba e na documentação do site oficial do software de proxy utilizado no Planejamento e Implantação de Proxy WWW e FTP. no livro de Gerhard Mourani e no livro de Roberto Teixeira e Carlos Daniel Mercer e nas listas de discussão vide seção bibliografia. com base na versão anterior deste documento. com possibilidade de controle de horários permitidos para acesso.com. Objetivos da Solução O Planejamento e Implantação de Proxy WWW e FTP. bem como no LDP (Linux Documentation Project). diminuindo o congestionamento e aumentando a velocidade de navegação por parte dos clientes. A equipe de Suporte à RCS é responsável pelas atualizações deste documento. objetivos. (http://www.conectiva) Comentários sobre este documento devem ser enviados para a equipe de Suporte à RCS (mailto:sup-rcs@conectiva. Economia dos links Internet de longa distância. A solução de proxy e cache otimiza o tráfego originado da Internet. Este documento pode ser encontrado online no site da Diretoria de Serviços (http://dir-serv. Abaixo seguem alguns dos objetivos a que se destina a Planejamento e Implantação de Proxy WWW e FTP: • • Eficiência e segurança no gerenciamento do tráfego de informações entre pontos distintos ou com a Internet.com. apresentando seus conceitos básicos.com.conectiva.br). utilizado por uma infinidade de organizações e provedores Internet 5 • • . visa atender as necessidades de organizações que possuem ao menos uma conexão com a Internet. clientes potenciais. pode ser feito um controle do que é permitido acessar e quem faz o acesso.

ou individualmente a cada usuário ou grupo de usuários. e com a solução de proxy pode-se fazer a filtragem do que pode ser acessado pelos usuários da organização na Internet. tanto uma pequena ou média organização podem usar esta solução devido ao seu custo baixo e versatilidade como grandes organizações. Esta solução não atende somente ao item performance de rede. que simultaneamente pode proporcionar segurança. ou seja. utilizando-se da solução de firewall pode-se criar uma solução transparente e segura. Isto com certeza tornará a organização competitiva no mercado. Nas instituições de ensino é de grande importância. mas também na segurança. Com esta solução todos os funcionários da organização acessarão a Internet por meio do servidor de proxy e cache. podendo ser aplicadas a toda a corporação. A organização que tenha uma ligação com um determinado ISP (Internet Service Provider). Clientes Potenciais O Planejamento e Implantação de Proxy WWW e FTP. o funcionário acessa de casa a Internet e usa os recursos do cache como na organização. Ainda em instituições de ensino. como mostra a figura acima tendo a ilusão que estão acessando diretamente o servidor externo. que consiste de vários proxys interligados e distribuídos de forma hierárquica. destina-se ao uso em qualquer instituição que tenha conexões TCP/IP e que acesse os serviços WWW e FTP. Com esta configuração é possível ter um controle completo sobre os protocolos HTTP. Qualquer organização que tenha conexões HTTP e FTP como ferramenta de trabalho pode e deve usar o Planejamento e Implantação de Proxy WWW e FTP.espalhados ao redor do mundo. Pode-se utilizar esta solução de proxy juntamente com a solução de firewall que abranga filtros de pacotes de uma forma mais refinada. utilizando-se o mesmo servidor. como pode ser visto na figura acima. Com a falta de endereços IPs na Internet pode-se adotar a solução de Proxy para criar uma rede privada. ou seja. bem como reduzirá 6 . controle. e supervisão. Estas duas soluções podem estar na mesma máquina ou em máquinas separadas utilizando-se do conceito de DMZ. porque a solução permite o controle dos usuários de forma que em horários de aula em laboratório. Em organizações de grande porte pode ser feito ainda uma hierarquia de proxys. pode utilizar-se da solução de firewall para impedir o acesso de indivíduos vindos da Internet. esta característica pode ser explorada criando-se políticas de acesso à Internet. e que interligue suas filiais por meio dele. O resultado é um poderoso sistema de acesso a Internet. que tentem invadir sua rede corporativa. Organizações que forneçam acesso discado para seus funcionários. pode-se inibir o uso da Internet para fins maliciosos. acessado e o que é permitido fazer download. Esta solução abrange todas as categorias de organizações. o aluno não tenha acesso a serviços WWW e FTP. assim. também podem permitir que estes funcionários possam utilizar-se dos recursos de cache e proxy para acelerar a navagação na Internet. acessando sites de conteúdo pornográfico. FTP e GOPHER bem como aplicar políticas especiais sobre o que pode ser visto. • • Diminui custos com links utilizando-se do sistema de proxy para compartilhar um recurso para muitos. no seu computador de trabalho. 3.

sem abrir mão da qualidade e segurança. por técnicos altamente treinados e qualificados. Vantagens para o Cliente O Planejamento e Implantação de Proxy WWW e FTP baseia-se em recursos de free software que são utilizados por várias organizações do mundo todo. em alguns casos. Outra vantagem para o cliente seria o compartilhamento de recursos de uma conexão com a Internet. 4. Nesta mesma organização poderia-se com o uso desta solução manter a rede corporativa de forma privada ou seja ninguém na Internet teria acesso as máquinas da rede privada. Seguindo a idéia da necessidade de existir uma relação de todos os cases Conectiva. A Conectiva tem tido importante atuação no mercado corporativo. servidores e outros equipamentos de rede. um servidor proxy oferece um ganho de desempenho. por manter uma cópia dos sites frequentemente acessados no servidor facilitando o acesso para os usuários.br/cases/) da Conectiva. Primeiro. e uma lista de cases sobre esta e outras soluções pode ser encontrada no página de cases (http://www. encontra-se na maioria das organizações. pode trazer até a falência ou saída permanente da organização do mercado. Esta solução pode ser o diferencial entre sua organização e seu concorrente. isto com certeza é um diferencial e uma segurança maior. FTP. para vários usuários da organização. haja vista que algumas organizações como um Banco ou a Bolsa de Valores não podem pensar em ficar com seus serviços parados por algumas horas. e tudo que fosse acessado na Internet seria registrado para fins de controle de utilização.conectiva. Desta forma faz-se necessário a utilização de uma solução adequada para satisfazer este perfil. certamente este ponto é fundamental. e todos os usuários ou alguns que precisassem acessar a Internet.com. bem como o “Certificado de Qualidade na Prestação de Serviços”. e que tenha acesso a Internet. Cases e Cenários Típicos Um caso típico do uso do Planejamento e Implantação de Proxy WWW e FTP seria em uma organização que possua uma intranet. com a utilização do recurso de cache. previsão de atualização de links. Hoje em dia este perfil de utilização da Internet como ferramenta corporativa. O Planejamento e Implantação de Proxy WWW e FTP tem uma outra grande vantagem que é o pronto atendimento da equipe de suporte da Rede Conectiva de Serviços. Pode-se bloquear alguns dos protocolos mais utilizados na Internet tais como HTTP. seriam controlados por conteúdo (ex: páginas de conteúdo pornográfico). Estes documentos são essenciais como argumentos de venda em negociações com clientes. a consequência. 5. ou de temas impróprios para uso dentro da organização (ex: restringir qualquer um que tente entrar em sites que tenha expressões como Chat ou Sexo).substancialmente o custo com links de acesso mais rápido. 7 . é imprescindível que propostas comerciais e contratos contenham os termos de “Autorização para Divulgação do Case”. Esta solução providencia uma variedade de funções especiais para uma rede local. Os acessos feitos em sites na Internet seriam acessados mais rápido pelos usuários dos serviços WWW e FTP. muito menos alguns dias.

contudo possui algumas limitações. Gerenciamento da Solução O processo de gerenciamento. para que possíveis correções sejam efetuadas. solução 5. 7. baseados no Conectiva Linux. O conhecimento necessário para operar e administrar a solução. que pode gerar um relatório diário em formato html. Contudo está em desenvolvimento um módulo squid para a ferramenta linuxconf. (http://www. Operação e Administração da Solução O Planejamento e Implantação de Proxy WWW e FTP tem sua configuração baseada em um arquivo texto de forma centralizada. este utilitário é um script CGI (Common Gatway Interface) que gera um relatório de indicadores de funcionamento da solução de proxy e de como ela está configurada. e em breve o squid poderá ser configurado em sua totalidade pelo linuxconf. usando-se a opção de upgrade do comando rpm (-Uvh) ou através do utilitário apt-get. bem como encaminhar um e-mail ao administrador do sistema.com no Site de Anúncio de Atualizações da Conectiva (http://distro. o cliente deve ser informado sobre a possibilidade de que haja atualização. A forma de atualizar é feita. faz-se necessário o conhecimento prévio dos fundamentos de proxy e segurança em redes. Atualizações dos Sistemas A atualização do software da solução. Isso evita a necessidade de filtragem manual dos logs. este gerenciamento é possível através de um simples browser internet. deve ser obtida a partir do site da Conectiva S.cgi(cache manager). pode ocorrer quando surgir a necessidade de corrigir um bug. 8. Com base nesses registros. Mas lembrando que a atualização deve ser feita por uma pessoa apta para executar esta tarefa.A.3). O Planejamento e Implantação de Proxy WWW e FTP possui um mecanismo de gerenciamento que chama-se cachemgr. já é possível ter configurações parciais do squid. o administrador poderá encontrar informações sobre o mau funcionamento da solução. Na seção Metodologia de Implatação veremos todos os passos necessários para implantar e configurar de forma adequada o Planejamento e Implantação de Proxy WWW e FTP. a operação desta solução é de nível médio de dificuldade.br/atualizacoes/). pode-se implantar uma solução de estatística de conteúdo (Planejamento e Implantação de Estatística em Servidores de Conteúdo. Embora a atualização não seja freqüente. Para suprir as deficiências do item anterior. está diretamente ligado aos registros feitos pela própria solução no decorrer do seu uso. que a atualização pode ocasionar mudanças de alguns parâmetros no arquivo de configuração da solução.conectiva. 8 .conectiva. é detalhado na seção Treinamento deste documento. deverão ser feitos ajustes para manter o funcionamento da máquina onde a solução está instalada. ou quando for acrescentado novas funcionalidades para melhorá-la.6. Toda e qualquer atualização de software que venha a ser feita.com. Contudo deve-se observar. Em caso de ocorrer tais mudanças.

é recomendado se fazer os registros em um servidor de log remoto. criação de políticas de segurança. 10. desenvolvido para administrar a solução no cliente. roteamento e subredes). e nesta solução também é contemplado uma base de vários sites e domínios de conteúdo impróprio ou de incentivo a pirataria e invasões na Internet (Planejamento e Implantação de Controle de Acesso de Conteúdo. o uso correto dos seus recursos e procedência adequada em eventuais casos de emergência. Outra solução seria. Considerando que os logs são muito importantes para o gerenciamento da solução.cgi. por exemplo a solução de firewall (Planejamento e Implantação de Firewall. WWW e Email.2). É necessário. solução 5. solução 5.5). bem como sua manutenção. incluindo serviços tradicionais como Telnet.html) que a Conectiva oferece. e a utilização de softwares de detecção de intrusos (Planejamento e Auditoria de Segurança em Sistemas de Computação IDS. solução 5. mas de forma simples de gerenciar. (Planejamento e implantação de Estatísticas em Servidores de Conteúdo. Na seção de implantação veremos os passos necessários de como configurar e utilizar o cachemgr.conectiva/profissional/seguranca/firewall/index. 9. e outras soluções que envolvem Internet e segurança em redes. Conforme visto 9 . que fornece um relatório de qual site foi acessado por qual usuário e em que horário. Pré-requisitos: experiência a nível médio com sistemas UNIX e Linux. Caso o técnico designado não tenha os conhecimentos em segurança de redes necessários.3). • • Veja maiores informações sobre o treinamento Segurança de Redes(http://treinamento. o mesmo deverá ser submetido ao treinamento entitulado: Serviços de Rede e Segurança. Público-alvo: administradores envolvidos com a solução implantada. FTP. o técnico designado pelo cliente deverá ter conhecimentos dos aspectos de segurança. noções de segurança de redes. Veja o Treinamento abaixo que devem ser observado para o perfeito uso do Planejamento e Implantação de Proxy WWW e FTP.Pode-se adotar outra solução de gerenciamento com o propósito de controlar conteúdo que os usuários acessam. capacidade de administrar e operar um sistema Linux típico. Treinamento Para garantir a boa administração da solução. solução 2. Treinamento em Segurança • Objetivos: Demonstrar os conceitos de Firewall e ferramentas de segurança bem como fundamentos de proxy e sua implantação. O objetivo geral é passar ao técnico designado conhecimentos sobre o conceito de proxy. Este treinamento dará fundamentos necessários para a administração da solução. para o gerenciamento do Planejamento e Implantação de Proxy WWW e FTP. Soluções Relacionadas Existem algumas outras soluções que podem ser agregadas.4). ter conhecimentos de nível médio em TCP/IP (endereçamento.

11. Veja a lista de requisitos de software no item a seguir 13.1. SMTP (e-mail). Documentação da Implantação. E verificar se a solução vai ser instalada separada ou posta na DMZ (Zona Desmilitarizada. tais observações serão vistas. deve ser acrescentado uma partição extra para o cache. é usada por uma companhia que quer hospedar seus próprios serviços. Quando existe a necessidade de segurança da rede interna contra a rede externa (Internet).na seção de gerenciamento. 7. com relatórios de acessos. 6. Para definir quais tipo de discos vão ser utilizados. Inserir as ACLs (Access Control Lists). Através da análise de log é possível identificar-se quaisquer ajustes necessários que não estejam bem visíveis na prática.1 da solução 1. Fazer as configurações dos browsers nas máquinas clientes. designando-as endereços IP.1. 3. a solução torna-se muito mais poderosa quando é adicionada de um sistema de monitoramento constante. pelo fato de que a máquina será utilizada para hospedar a solução de proxy. Esse passo refere-se a (Instalação do Servidor Conectiva Linux. Nesta etapa. faz-se testes de acesso para verificar o funcionamento das ACLs a fim de eliminar falhas. Na 10 . a DMZ contem dispositivos acessíveis na Internet. este perfil se encaixará melhor com a solução de proxy. somente deverão ser instalados os pacotes básicos. FTP.1 Levantamento de Pré-Requisitos. Aplicações das políticas levantadas junto ao cliente. de acordo com as subredes com as quais elas estarão diretamente conectadas. deve-se levar algumas coisas em consideração. é necessário que tudo seja documentado. e servidores de DNS). Após a conclusão dos passos anteriores. 2. 4. Contudo. a Internet ou a DMZ. Aqui verificamos e instalamos os pacotes necessários para a solução. Instalação do(s) pacote(s) necessários. para que sejam configuradas as ACLs corretamente. Deve-se levar em consideração que esta etapa poderá ser feita no item anterior na instalação. Instalar o servidor com a opção Roteador e Firewall. Levantamento prévio junto ao cliente. Após a implantação das ACLs. 5. 8. Metodologia de Implantação Os seguintes métodos/passos são necessários para a implementação da solução: 1. seção pré-requisitos de hardware. seção Software. e o particionamento será manual. A solução de monitoramento. no item 13. tal como servidores Web (HTTP). a pessoas com acesso não autorizado. mantém o administrador informado sobre as condições da máquina que hospeda o proxy. faz-se necessário o uso da solução de Firewall. no item 14. no arquivo de configuração próprio da solução. Testes. porque é feito um controle de entrada e saída de pacotes aplicando-se regras ou filtros nos protolos que a solução suporta. solução 1. sobre o endereçamento de todas as máquinas que estarão envolvidas com a solução de uma ou outra maneira. onde referencia o particionamento do disco. faz-se a configuração lógica das interfaces de rede.1). sem expor sua rede privada. considerando-se a origem e destino dos pacotes. Configuração dos parâmetros da rede. Tipicamente. Instalação do sistema operacional. onde origem ou destino poderão ser a rede interna.

Caso as páginas sejam revisitadas. com algumas regras de firewall (Ver Planejamento e Implantação de Firewall. Requisitos de Tempo e Recursos Humanos Tabela 1. (cache_dir). Cronograma de Implementação da solução Tarefa Levantamentos de endereços/máscaras das redes envolvidas e políticas do acesso do cliente. as coisas serão mais fáceis para o próprio técnico em visitas futuras ao cliente.1 30 minutos 45 minutos 45 minutos 15 minutos Recurso Consult Baseado Técnico Consult Consult Técnico 13. Testes pós-instalação Documentação pós-instalação Tempo 2 horas e 30 minutos Baseado na solução 1. Os clientes então recuperam o arquivo diretamente do servidor. Com estes registros em mãos. o servidor as busca em seu cache. Referências de como utlizar este recurso ao final do documento no item 16 seção bibliografia de referência. Esta análise irá facilitar e fazer o próximo passo muito mais eficiente. antes de repassá-las ao cliente. redirecionando as requisições da porta 80 (http) para a porta do Squid 3128. o servidor espera as requisições dos clientes em uma porta pré-determinada (normalmente 3128). usando-se as ACLs. 12. Pode-se utilizar uma outra forma utilizando-se do recurso de proxy transparente.2).seção de documentação. Um servidor Proxy atua de uma forma bem simples. o software da solução deve ser ativado durante o boot. Quando um cliente faz uma requisição de um dos protocolos suportados pela solução ao servidor. Sendo um serviço no servidor. a qual abrange a maioria dos ítens que precisam ser documentados. este procura a informação requisitada e faz o download do que foi solicitado pelo browser cliente. Instalação do sistema operacional Verificação/instalação de pacotes Aplicação das políticas levantadas. solução 2. que serão configuradas no Proxy. para isto deve-se utilizar: /sbin/chkconfig squid on 11 . Veremos quais os requisitos da solução e o que precisa ser analisado. Estes arquivos são gravados (arquivados no disco do servidor) localmente em um diretório especificado no servidor. apenas atualiza-as se for necessário. Análise Técnica Nesta seção vamos levantar as questões técnicas que precisam ficar claras antes da implantação. você encontra uma ferramenta para este fim. Uma vez instalada a solução.

4 .Carga suportada pelo(s) disco(s) (throughput). se o cache está se tornando carregado. O tempo de acesso é um dos mais importantes a se considerar. é necessário ter uma idéia da carga que ela deverá suportar: o número do pico de requisições por minuto. Para decidir sobre a máquina que será usada.13. 3 .Isto vem na documentação do HD) O squid faz o balanço de carga de escrita de disco em múltiplos discos do cache. e pode ser usado para obter a carga do seu proxy. 2 . incrementarão a quantidade tempo de acesso aleatório de uma forma semi-linear.1. baseia-se nos ítens dispostos abaixo em ordem decrescente de importância: 1 . Portanto ter um disco rápido somente.Poder de Processamento. Na maioria dos sistemas operacionais. a performance será afetada. Estes tópicos acima não devem ser subprojetados. A chave para obter uma boa performance do cache. quanto menor for o tempo de busca melhor. é bem simples: requisições por segundo = 1000/tempo de busca (seek time . Levantamento de Pré-Requisitos A seguir temos uma lista dos ítens necessários para a instalação da solução. DISCO Existem várias coisas para se considerar quando for comprar os discos para o servidor. ou seja a medida que se adiciona mais discos. do contrário. a fórmula para encontrar o valor de buscas por segundo (e daí o nome requisições por segundo). não garante a perfomance.Quantia de sistema de memória. Antes de dar o primeiro passo da instalação verifique: • HARDWARE: O cache utiliza-se mais do hardware do que outros subsistemas. tem que fazer pelo menos uma busca por requisição (isto sem levarmos em conta cache de RAM do disco e tempo de atualização de inodes). você terá o tempo de busca por segundo bem menor. Se você tem somente um disco. o número de buscas aumenta e o tempo de resposta destas buscas diminui. se o disco não puder manipular uma grande quantia de dados. Exemplo usando mais discos segue na fórmula abaixo: requisições por segundo = 1000/(tempo de busca do disco/número de discos) 12 . e com suporte a alta carga de dados. então se você tem mais de um disco. Um cache com apenas um disco. anteriormente mencionamos a importância dos discos com um rápido tempo de busca aleatório (random-seek time).Tempo de busca do disco (seek time). Este número indica o número de objetos que serão baixados em um minuto pelos clientes (browsers). isto é o tempo médio que as cabeças do disco se movem de uma trilha aleatória para outra em milisegundos.

onde temos 3 discos e tendo todos eles com 12ms de tempo busca. então se você tem 1Gb de espaço em disco. você precisará de 48Mb de RAM. ou seja são enfileiradas. Quando ele inicia pode usar bastante processamento de CPU.000 objetos. então o ganho não será significativo. CPU O Squid geralmente não usa CPU intensamente. usa aproximadamente 75 bytes de RAM no índice. Para saber quantos objetos podem ser armazenados em disco de tamanho X.000 objetos requerem cerca de 6Mb de RAM. Pode-se incrementar a performance do HD. somente para o índice de objetos. enquanto recebe 7 requisições TCP por segundo. mas levanto em consideração o que vimos até este momento isto pode ser modificado conforme a necessidade. É importante notar que isto exclui a memória gasta com o sistema operacional. memória para objetos em trânsito e sobra de RAM para o cache do disco. O tamanho médio de um objeto na Internet é cerca de 13kb. enquanto trabalha o que está no cache. funciona praticamente desocupada. Uma máquina multiprocessada. o binário do Squid. acesso rápido a esta tabela é muito importante. geralmetne não reduz este tempo de espera: mais memória (para cache de dados) e mais discos trarão um efeito maior. que possuem velocidade semelhante a dos HDs SCSI. Estas seções de código não são processadas intensamente. esta é a maneira que o Squid usa para checar objetos que estão armazenados em arquivo. Além disto uma máquina multiprocessada. RAM O Squid mantém uma tabela de objetos na memória. Teoricamente temos o seguinte: requisições por segundo = 1000/(12/3) = 1000/4 = 250 requisições por segundo. Com 75 bytes de RAM por objeto. utilizando-se um software chamado Hdparm. HDs IDE com suporte a DMA (Acesso direto a memória). mas somente para HDs IDE. Existem atualmente. e uma CPU lenta pode demorar o acesso ao cache nos primeiros 5 minutos do início do squid. pode-se utilizar desta fórmula: Número de objetos = tamanho do HD em bytes / tamanho médio de objeto Para um HD de 8Gb pode-se armazenar cerca de 645.000 objetos. 80. você provavelmente armazenará por volta de 80. o Squid fica mais lento quando partes da tabela esta no swap. Uma máquina Pentium 133 geralmente. geralmente não incrementa velocidade dramaticamente: somente certas porções do código do squid utilizam-se de threads. • 13 .Considerando um exemplo. pois ele deve por novamente na memória a tabela de objetos. isto facilita o uso em soluções mais econômias para projetos menores. Se você tem 8Gb de disco. Cada objeto armazenado em disco. Podemos ter como uma base uma máquina como a descrita abaixo.

Deverá conhecer os protocolos básicos.i386. • Recursos humanos.1 no item 13. seja feita fora do horário de expediente da organização. É necessário no mínimo uma pessoa bem capacitada para fazer a implantação da solução.24r2-6cl.1 Levantamento de Pré-Requisitos.conf onde serão feitas as configurações necessárias para o funcionamento da solução. Devido ao fato de que o Planejamento e Implantação de Proxy WWW e FTP envolverá mudanças nos parâmetros de toda a rede. Juntamente com ele é instalado no diretório /etc/squid o arquivo squid.CPU: Pentium 200Mhz Memória RAM: 64Mb HD: 4 Gb Lembre-se que é bom utilizar um hardware com recursos além do necessário. Nas versões 6. SOFTWARE Os seguintes são os requisitos de software: • • • CD’s do Conectiva Linux 6. teremos três barramentos. Informações incompletas poderão fazer com que você tenha que interromper o trabalho e voltar outro dia. prevendo-se possíveis expansões no uso da solução. O perfil da pessoa a ser designada deverá ser no mínimo a de um técnico pleno. • Adaptador de rede.rpm. O técnico ou consultor deverá ter um bom nível de conhecimento sobre segurança de redes. Com a DMZ. Obtenha também as senhas de cada máquina caso você precise efetuar logins. a existência ou não da zona desmilitarizada. quais serviços a rede interna pode utilizar da Internet ou da DMZ. eles dependem de outro fator que é a arquitetura a ser usada. Basicamente.rpm. ter familiaridade com os conceitos de portas e endereçamento IP. Acesso às informações necessárias. Este técnico deverá conhecer na teoria e na prática o funcionamento de redes TCP/IP. solução 1. 14 • .0 ou superior do Conectiva Linux cada módulo do Linuxconf está em um pacote distinto. Você precisa ter uma lista de todas as máquinas da(s) rede(s) do cliente que farão uso ou que estarão num dos barramentos do proxy. • • Pacotes do Linuxconf. E sem a DMZ só iremos utilizar dois. ou seja.0 ou superior O pacote do sofware adotado na solução squid-2. Embora os adaptadores estejam dentro dos requisitos de hardware. logo três adaptadores. Este é o pacote do servidor de Proxy em sí. Cuidados com os cabos de força e conexões de rede: Verifique instalação do servidor. se o cliente já tiver sua rede em funcionamento.3. possivelmente será necessário que a implementação da solução. Garanta que no momento da implementação você terá em mãos as informações sobre a política de segurança da organização.3-09cl. linuxconf-squid-1.

3.3-9cl. Levante dados como os endereços IP’s. e a lista negra ou seja o que será proibido o acesso por meio do Planejamento e Implantação de Proxy WWW e FTP. deve-se verificar no site http://distro. A preparação conciste na instalação física das das placas de rede. 14.1. após a instalação do servidor e dos pacotes da solução. Após a implantação realizar os testes necessários. Procure saber se haverá qualquer máquina com menos restrições de acesso do que outras. a fim de que qualquer ajuste necessário. Faça um levantamento dos dados de todas as subredes e seus dados que existam no sistema do cliente.com. Partir para configuração do Gerenciamento de logs e mensagens para o Administrador. Recomenda-se um planejamento das ACLs com cuidado. Máquinas especiais. possa ser feito ainda no local. 15 . Umas das coisas que você deve ter em mãos. configuração e certificação de segurança da própria máquina do proxy. de uma forma clara e completa. máscaras. Uma observação deve ser feita. Preencher todos os campos do formulário da solução pós-instalação e fazer backup dos arquivos de configuração da solução.0 inclui o pacote do squid 2. 14. A política será formada pela lista de que sites e conteúdos que a organização vai conceder ou permitir. é a política de segurança do cliente. Esse processo começa com uma preparação do ambiente seguido da inserção das ACLs propriamente ditas. Atividades de Planejamento Antes de iniciar a implantação propriaments dita. para evitar paralisação no horário de trabalho dos usuários da organização.13. é necessária a análise sobre alguns ítens importantes.2. bem como a solução.br/atualizacoes/ se existem atualizações necessárias para fazer ao sistema operacional. bem como deixar cópia dos arquivos e da documentação com o cliente. O Conectiva Linux 6. DNS e rota padrão. Redes/máquinas existentes. estabelecer softwares de gerenciamento da solução. instalação do Conectiva Linux. para que determinados sites que devem ser acessados. não sejam proibidos por engano causando um transtorno e eventuais correções das ACLs. São eles: Política de segurança desejada. Procedimentos de Instalação e Configuração.conectiva. Implantação Aqui inicia-se o processo de instalação da solução. Liste os respectivos endereços destas máquinas que poderão acessar e que não serão cobertos pelas ACLs destinadas as redes as quais esta(s) máquina(s) pertencem. bem como ajustes no softwares de gerenciamento. Escolher o horário adequado para a instalação da solução.

a configuração é feita no browser. em uma máquina com 64MB de memória: cache_mem 32 MB cache_swap_low . pode-se colocar metade da memória para seu uso. Não será abordado aqui. protocolo para a comunicação de caches entre si. será explicada mais a frente. Por exemplo. Aqui serão descritas as configurações necessárias. maior é a reposição dos objetos (objetos antigos são retirados da 16 . A maioria destas opções estão comentadas. e apenas algumas são realmente necessárias. Procedimentos de Instalação A configuração no servidor deve ser feita no arquivo /etc/squid/squid. Por padrão. caso precise alterar este valor. Nos clientes. cache_swap_high . Configurando o Servidor O arquivo squid. se não for um serviço dedicado desta máquina. Quanto mais próxima a utilização da cache do máximo definido. Recomenda-se colocar 1/4 da quantidade de memória RAM de sua máquina neste campo. Ele leva muito tempo para ler algo do disco rígido. este arquivo possui várias opções para se configurar o servidor. Conforme dito anteriormente. descomente a linha e troque-o por alguma porta que não esteja sendo utilizada. Seção NETWORK OPTIONS http_port . o servidor utiliza 8 MB de memória. O default é 3128. por isso o faz diretamente da memória.O squid utiliza muita memória por razões de performance.Aqui define-se valores mínimo e máximo para a reposição de objetos na cache.conf Este arquivo contém todas as configurações do servidor Squid. Seção OPTIONS WHICH AFFECT THE CACHE SIZE cache_mem . 14.14. Provavelmente o processo do squid irá tornar-se 2 ou 3 vezes maior do que o exposto aqui.conf. Ex: http_port 3000 As opções restantes nesta seção do arquivo (icp_port. descomente a linha referente (retire o caracter “#” à frente da opção). htcp_port. Caso alguma opção precise ser modificada. Se a máquina roda apenas o squid.3. para objetos em trânsito.2. para se construir uma hierarquia.etc) referem-se ao protocolo ICP (Internet Cache Protocol).A porta na qual o Squid irá atender as requisições feitas a ele. em uma instalação típica.

caso queira-se utilizar um disco inteiro. Level-1 e Level-2 são respectivamente o número de sub-diretórios de primeiro e segundo nível que serão criados abaixo de ’Directory’. Se este é o caso. Pode-se especificar um mount-point aqui. Pode utilizar um cálculo para adaptar os diretórios. especifica o tamanho máximo dos arquivos a serem cacheados. o default usado é: /var/spool/squid. criando 16 sub-diretórios e 256 sub-diretórios abaixo destes últimos. O diretório deve existir e ter permissão de escrita pelo processo do Squid. conforme o espaço que vai se deixar para o cache. Os valores deste campo são medidos em percentagem. até 1000MB. Geralmente é do tipo "ufs". Se nenhuma linha ’cache_dir’ é especificada. Pode-se especificar múltiplas linhas cache_dir para dividir a cache entre diferentes partições do winchester. Ex: cache_dir ufs /var/cache 1000 16 256 Com isto.medido em bytes. Quaisquer objetos maiores do que este tamanho _não_ são salvos no disco. 5% poderiam ser centenas de MB. O default é 4MB. Uso: cache_dir Type Directory-Name Mbytes Level-1 Level-2 Type especifica o tipo de sistema de alocação que será usado. Directory é o diretório onde os arquivos da cache serão alocados. Os defaults são 16 para Level-1 e 256 para Level-2. dizemos para o squid utilizar o diretório /var/cache . Abaixo segue a fórmula: L1 = (tamanho cache_dir * 2) / tamanho médio de objeto / L2 / L2 17 .diretórios de cache no servidor. maximum_object_size 4096 KB Seção LOGFILE PATHNAMES AND CACHE DIRECTORIES cache_dir . O Squid não cria este diretório para você. cache_swap_low 90 cache_swap_high 95 maximum_object_size . Se você tem um espaço muito grande para a cache em seu winchester. pode-se setar estes números mais próximos.cache para a entrada de novos). com o default sendo 90% para cache_swap_low e 95% para cache_swap_high.

Pode-se utilizar algum outro programa. pode-se pedir usuário e senha ao usuário para poder navegar utilizando o Proxy. pois não há realmente utilidade para analisar estes dados. colocando: cache_store_log none .log cache_store_log . como mencionado o valor default é 256. Reporta quais objetos são retirados do cache. Para isto. É preferível copiá-lo para um diretório de arquivos binários (/usr/bin por exemplo). O default é /var/log/squid/access.log cache_store_log none pid_filename . altere o parâmetro para none: pid_filename none Seção OPTIONS FOR EXTERNAL SUPPORT PROGRAMS Nesta seção pode-se especificar vários programas externos que o squid precisa utilizar. O número 2 é usado como um valor de segurança para a projeção. tendo uma HD de 8Gb como seria a adaptação do diretório de primeiro nível: L1 = (8000000 * 2) / 10 / 256 / 256 cache_access_log . se quiser. Tamanho médio de objeto => Normalmente os objetos da Internet. Uma linha típica de configuração seria: 18 . O pacote do squid inclui um programa autenticador chamado ncsa_auth . O executável do ncsa_auth está no diretório /usr/lib/squid< versão >. Tamanho do cache_dir => Valor que será destinado para o diretório ou partição do cache. o qual utiliza arquivos de senhas no formato htpasswd do Apache (veja man 1 htpasswd). Apenas uma opção pode ser necessária alterar. O default é /var/log/squid/cache. autenthicate_program . O default é /var/log/squid/store.arquivo onde são guardadas informações gerais sobre o comportamento do cache. que é o autenthicate_program. Este serviço é feito pelo autenthicate_program (programa autenticador).log cache_log /var/log/squid/cache. tem 13Kb de tamanho médio.loga as atividades do gerenciador de alocação. Sendo L2 => diretórios de segundo nível. Todas as outras pode-se deixar comentadas que o squid irá utilizar seus padrões. Para desabilitar. Este log pode ser desabilitado. quais são salvos e por quanto tempo. maiores informações veja seção de Referências no fim deste documento. Um exemplo prático seria.é comum os administradores restringirem o acesso ao Proxy aos seus clientes.arquivo no qual será gerado log dos acessos ao servidor.arquivo que guarda o process-id do squid.log cache_access_log /var/log/squid/access.Sendo L1 => valor que será posto no diretório de primeiro nível.log cache_log .

Seção ACCESS CONTROLS Esta seção é uma das mais importantes do arquivo. Existem outras maneiras de utilizar a autenticação usando o PAM e os módulos para NIS e SMB. Seções OPTIONS FOR TUNING THE CACHE e TIMEOUTS Estas duas seções não precisam ser modificadas. alguns estão listados abaixo: acl acl acl acl acl acl nome nome nome nome nome nome src src dst srcdomain dstdomain time ip/netmask (endereços IP’s de clientes) ender. Se você utilizar o ncsa_auth (ou algum outro autenticador).255.com (IP) foo. o que vai acessar e quando poderá ser acessado.0. Pode-se alterar alguns valores de timeouts.1/255.2/netmask (intervalo de IP’s) ip/netmask (endereço IP de alguma URL) foo.autenthicate_program /usr/bin/ncsa_auth /etc/squid/squid_passwd O arquivo /etc/squid/squid_passwd deve ser criado com o comando htpasswd: #htpasswd -c /etc/squid/squid_passwd #htpasswd /etc/squid/squid_passwd Utilize htpasswd -c se o arquivo não existe e precisa ser criado.0. e somente htpasswd para atualizar o arquivo de senhas. Por default. porém raramente é necessário mexer nas outras opções.com (servidor de destino da URL) [dia-abrev.] [h1:m1-h2:m2] O squid define access lists padrões. o programa autenticador não é utilizado.255.1-ender.0 manager proto cache_object localhost src 127. ACLs(Access Control List) são detalhadas abaixo.0. Definindo uma access list: A forma geral de uma acl é : acl < nome> < tipo> Existem vários tipos de access lists.0. deve existir uma ACL do tipo proxy_auth para permitir ou não o acesso.255 SSL_ports port 443 563 19 . Aqui definimos a política de segurança do squid.0/0. ou seja.0.0. quem vai acessar. as quais estão abaixo: acl acl acl acl all src 0. eles encontram-se no diretório /usr/lib/squid.

0. não se preocupe .0) com o nome "all". descrito anteriormente.0. e o acesso é negado.0. 5. Vamos definir aqui também a access list referente ao controle de acesso dos usuários ao proxy: acl password proxy_auth REQUIRED Password é o nome da access list. O campo http_access é responsável por esta tarefa. Todas as outras portas são consideradas inseguras.1/255.POST). 4.é um protocolo apenas do Squid que retorna informação para o servidor de como o cache está configurado. acl acl acl acl acl acl SSL_ports port 443 563 Safe_ports port 80 21 443 563 70 210 1025-65535 Safe_ports port 280 # http-mgmt Safe_ports port 488 # gss-http Safe_ports port 591 # filemaker Safe_ports port 777 # multiling http Estas access lists contém as portas consideradas seguras para o proxy.0.0. 3. Pode-se também colocar um a um os nomes de usuários a ser procurados no arquivo squid_passwd.0. em vez do campo REQUIRED. acl localhost src 127.255. O método CONNECT é usado tanto para GET como para POST.0. O campo REQUIRED informa ao Squid para procurar o nome/senha do usuário com todos os nomes/senhas existentes no arquivo /etc/squid/squid_passwd. ou como está funcionando.acl acl acl acl acl acl Safe_ports port 80 21 443 563 70 210 1025-65535 Safe_ports port 280 # http-mgmt Safe_ports port 488 # gss-http Safe_ports port 591 # filemaker Safe_ports port 777 # multiling http CONNECT method CONNECT 1.0. acl all src 0.0/0.255. Configuração padrão do campo http_access: 20 . Poderia ser os protocolos FTP ou HTTP. a access list é do tipo proxy_auth (autenticação de usuários). neste caso o protocolo “cache_object”.0. Se você não conhece o protocolo “cache_object”. Agora que já temos as access lists.0/0. 2.0 : esta acl define todos os hosts da rede (0. acl CONNECT method CONNECT Esta ACL contém o método de acesso aos arquivos na rede (GET. acl manager proto cache_object : o campo “proto” nesta linha significa que a acl bloqueia um protocolo específico. e é nomeada com o mesmo nome.255 : esta acl define a máquina localhost. localhost. precisamos aplicá-las informando ao Squid se o acesso a elas será ou não permitido.0.

Outras portas também são bloqueadas. Por exemplo. Outra maneira de limitar o acesso é criar access lists contendo toda a rede da organização. por exemplo. deve-se adicionar as access lists necessárias. A regra 4 nega qualquer conexão que não seja referente às portas seguras. Para prevenir o relay de emails. 3) http_access deny !Safe_ports 4) http_access deny CONNECT !SSL_ports É perigoso permitir ao Squid conectar-se a certas portas. Podemos então. o Squid nega requisições quando o número da porta da URL for 25 (porta SMTP). isto não restringe nem um pouco o acesso ao seu proxy. Por padrão. sendo negado para qualquer outra máquina. Porém. isto é inundar os mailboxes com milhares de e-mails. 21 . Ao ser configurado. Assim.http_access http_access http_access http_access E mais abaixo: allow manager localhost deny manager deny !Safe_ports deny CONNECT !SSL_ports http_access deny all Descrição detalhada abaixo: 1) http_access allow manager localhost : dá acesso ao protocolo cache_object apenas para o próprio servidor (localhost). 2) http_access deny manager : nega o acesso ao protocolo cache_object para qualquer outra máquina. apenas os usuários que estão cadastrados no arquivo de senhas podem ter acesso ao proxy. é solicitado ao usuário. permite o acesso ao proxy a partir de qualquer máquina na Internet. que informe login e senha para acesso ao proxy. foi demonstrado que pode-se usar o Squid comorelay de SMTP (email). para possíveis ataques do tipo "flood". Se o cliente não tem senha. apenas insere-se uma regra a mais: http_access allow all logo abaixo da última regra (http_access deny all). e permitir acesso apenas para estas access lists. não consegue acessar nada via proxy. Relays de SMTP podem deixar brechas. Pelo contrário. o Squid nega quaisquer outras requisições. fora desta regra. Normalmente. A regra 3 informa ao Squid para negar o acesso a qualquer porta que não esteja na lista Safe_ports. Quando o cliente abre o navegador. permitindo o acesso ao proxy. inserir a regra referente ao controle dos usuários em vez desta última regra acima: http_access allow password Imediatamente antes da regra http_access deny all.

que irá receber emails se ocorrerem problemas com o proxy. o que for melhor. e vice-versa. (parte do texto que o usuário verá quando solicitado pelo seu login e senha). ele irá mudar seu efetivo UID/GID para o especificado abaixo. Geralmente se muda o UID/GID abaixo para nobody. é usado o valor de retorno de gethostbyname(). cache_mgr webmaster cache_effective_user e cache_effective_group : Se o usuário root inicializa o servidor proxy. (normalmente o próprio hostname do servidor Proxy).Se não há nenhuma linha "http_access" presente. Por este motivo. por questões de segurança. é conveniente ter uma entrada "deny all" ou "allow all" ao final de suas listas de acesso para evitar confusão. o default é o oposto da última linha na lista. . Se não for especificado. Se a última linha é "deny". Ex: proxy_auth_realm Servidor Squid em Conectiva Seção ADMINISTRATIVE PARAMETERS Esta seção é bem pequena. o default é conservar o corrente UID/GID do processo. então o acesso é permitido. visible_hostname proxy.Se nenhuma linha que possua "http_access" resolve a requisição. O default é "webmaster". especificando aqui o "hostname". Seção HTTPD-ACCELERATOR OPTIONS Se deseja-se rodar o Squid como acelerador web ou proxy transparente. Se o Squid não é iniciado como o usuário root. porém importante. Pode-se alterar para o nome da organização.A opção http_access tem um comportamento bem simples: . do servidor. cache_effective_user nobody cache_effective_group nobody visible_hostname : É possível apresentar um hostname "especial" em mensagens de erro e outras mensagens. deve-se alterar os valores das opções desta seção. o default é permitir a requisição. Há um tutorial de como configurar o squid para trabalhar como proxy transparente utilizando ipchains (deve-se inserir regras de 22 .conectiva Seção OPTIONS FOR THE CACHE REGISTRATION SERVICE Esta seção não precisa ser alterada na configuração do Squid. cache_mgr : Endereço de e-mail do gerenciador local da cache. proxy_auth_realm : especifica o nome que será reportado ao cliente para a autenticação do proxy.

255.unxsoft.cgi. pode-se copiar o cachemgr. Está disponível em: Transparent Proxy with Linux and Squid (http://www.0.0/0.0.255.cgi do diretório /usr/lib/squid para o diretório /home/httpd/cgi-bin.Editar o arquivo de configuração /etc/squid. é descomentar na seção MISCELLANEOUS. cachemgr_passwd SUA SENHA shutdown viço) cachemgr_passwd SUA SENHA info stats/objects cas dos objetos) cachemgr_passwd SUA SENHA all cursos) (Senha para dar desligaro ser(Senha para acessar estatíti(Senha para acessar todos os re- Caso a máquina seja destinada somente para o proxy. configuração do diretório de ícones e de arquivos de mensagens de erro do squid. isto porque não é o cliente que deve ser liberado para acesso e sim o servidor web deve ter este acesso. deve-se acrescentar uma ACL nova. como configurar as mensagens de erro de acesso que aparecem para os clientes.cgi para o diretório cgi-bin de um servidor web. e acessar as informações do servidor de proxy.0. abaixo segue: acl all src 0. que o pacote rpm do squid instala no diretório /usr/lib/squid. A configuração é da seguinte maneira: 1.1/255.com/transproxy-linux20-squid1.0. os seguintes ítens.O squid já possui uma configuração default. tudo via Web. Na seção CONTROLS. bem como parar ou iniciar o serviço.0. Nenhuma opção precisa ser modificada.html) Seção MISCELLANEOUS Como o próprio nome diz.firewall no kernel para o proxy transparente funcionar).255 acl SSL_ports port 443 563 acl Safe_ports port 80 21 443 563 70 210 1025-65535 acl Safe_ports port 280 # http-mgmt acl Safe_ports port 488 # gss-http acl Safe_ports port 591 # filemaker acl Safe_ports port 777 # multiling http 23 . Pode-se utilizar este programa para verificar as configurações feitas. ao gerenciador) acl localhost src 127. o funcionamento do proxy. 2. esta seção oferece opções extras.0. entre outras.conf 3. desta forma o squid verifica na ACL que servidor pode acessar as estatísticas. A opção cachemgr_passwd é interessante.Copiar o cachemgr. para que outras máquinas que são servidores web possam acessar. a única coisa que é preciso fazer caso o servidor web esteja na mesma máquina que o servidor de proxy.0 acl manager proto cache_object acl Nova_Regra src ip/netmask (Linha nova onde é definido quais máquinas vão ter acesso. Existe um programa CGI chamado cachemgr. além disto faz-se necessário a alteração nas configurações do proxy acrescentando ACLs. testes de DNS.

Embora não utilizemos estes recursos.1. function FindProxyForURL(url.4. Contém. Multicast é a capacidade de enviar um pacote IP para múltiplos destinatários ao mesmo tempo. pode enviar "digests" para os outros caches definidos em sua hierarquia. uma indicação se determinada URL está ou não na cache. Como é feito: O arquivo de configuração do proxy é feito em JavaScript. outra forma de configurar seria baixando um arquivo de auto-configuração.4. é interessante saber do que se tratam. em um formato comprimido. o servidor cache. Configuração Avançada Nesta seção veremos algumas funcionalidades de nível avançado da solução: 14. fica transparente do ponto de vista do usuário. E qualquer regra de acesso feita no proxy. O funcionamento é simples: quando uma requisição para uma URL é recebida de um cliente. É utilizado por exemplo em sistemas de vídeoconferência. os Browsers podem ter todas as opções configuradas de maneira manual. host) { 24 . Configuração Automática de Cache Como visto em sessões anteriores. O servidor cache pode então requisitar o objeto do cache mais próximo. Deve ser utilizado em conjunto com caches irmãos/pais (hierarquia de caches).acl CONNECT method CONNECT Na sequência alterar as seguintes linhas na mesma seção: http_access allow manager localhost http_access allow manager Nova_Regra (Linha nova onde é definido acesso para gerenciar "cache_objects". o arquivo precisa definir a função. onde há todas as informações referentes ao cache que deve ser utilizado. afim de descobrir se algum deles contém o objeto. caso não possua o arquivo requisitado. Cache Digest é um sumário dos componentes de um servidor de cache. Servidores proxy periodicamente trocam seus "digests" entre si. 14. apenas às máquinas da ACL Nova_Regra) http_access deny !Safe_ports http_access allow CONNECT !SSL_ports Seção DELAY POOL PARAMETERS Esta seção trata sobre Multicast e Cache Digest.

Se a máquina estiver desativada ou parada por qualquer razão que seja. onde temos: ret = FindProxyForURL(url. PROXY cache2.O nome do host é extraído da URL. Isto é somente para conveniência. Por exemplo: 25 . host) { return "PROXY cache. onde: • • URL .exepl } Salvando o Arquivo de Auto-configuração e Configurando o tipo MIME 1.exeplo:3128". O número da porta não é incluído neste parâmetro. todas as vezes que uma URL for requisitada.dominio.É o endereço da URL completo. function FindProxyURL(url. fazer conexão em um segundo proxy. uma mensagem de erro será retornada ao usuário.exeplo:3128.(O valor retornado) uma string descrevendo a configuração. caso o primeiro falhe e por fim se o segundo falhar tentar uma conexão direta. host). isto é a mesma string como "://" e o primeiro ":" ou "/" depois disto.exeplo na porta 3128.dominio. Isto pode ser extraído da URL quando necessário. O formato da string é definido abaixo: • Este exemplo abaixo. host) { return "PROXY cache1. caso isto esteja disponível.dominio. HOST . } Esta função será chamada pelo browser. function FindProxyURL(url. diz ao browser para conectar ao servidor cache chamado cache.pac".return DIRECT. } Pode-se ter a situação em que deseja-se.dominio. Deve-se salvar a função JavaScript em um arquivo com a extensão ". RET .

"clientes". é capaz de: • Faz controle por diferentes faixas de tempo (horas do dia (00:00-08:00 17:00-24:00). "alunos". "professores". não embutida em um arquivo HTML. rpm -i squidGuard-1.7. baseando-se na combinação de faixas de endereços ips. Permite especificar grupos de origem e destino. "empregados".4-15cl. Filtro com Squidguard Esta ferramenta em combinação com o Squid.pac". recurso de caracteres coringas (*-01-01 *-05-17 *-12-25).i386.rpm A seguir deve-se proceder com a instalação do pacote do SquidGuard. 2. simplificando o controle.i386.i386. vale lembrar que o Squid. dias da semana (sa).7-6cl. maiores detalhes podem ser encontrados em anexo neste documento na seção de referências no item Proxy Client Autoconfig File Format. Próximo. dividindo em categorias como "gerentes".rpm rpm -i db-devel-2.2..4. rpm -i db-2.7. 14. Controle baseado em ACLs. Existem várias funções que podem ser usadas.7-6cl. permite criação de conjuntos de quem tem ou não acesso baseado em endereços de origem/destino. lista de domínios. faixas (1999-04-01-1999-04-05).1. já deve estar previamente instalado.rpm 26 . na seção de tipos MIME: application/x-ns-proxy-autoconfig pac Use a tag AddType no servidor web.proxy. Possibilita redirecionamento pela combinação de expressões regulares e URLS. deve-se configurar seu servidor para mapear o arquivo ". datas (1999-0513). "visitantes". etc. Primeiro deve-se instalar os pacotes do DB um sistema de banco de dados embarcado. respeitando as suas respectivas dependências. faixas de endereços ip. lista de usuários.pac Observação 1: Você prcisa salvar a função JavaScript somente. lista de endereços. com isto é possível criar conjuntos de regras • • • Instalação: abaixo segue os passos para a instalação do SquidGuard. é um conjunto de ferramentas que providencia alta performance em suporte a bases de dados.

27 . todos no formato B-tree este formato otimiza as consultas a estes arquivos. h = Quinta. Esta configuração também informa ao SquidGuard onde deve por os arquivos de log.conf Para configurar o squidGuard afim de que atenda às suas necessidades no Conectiva Linux. possui uma configuração que envolve as duas ferramentas. Edite o arquivo: /etc/squid/squid. desta maneira as acls relativas a tempo tornam-se simplificadas. m = Segunda.Configuração: O squidGuard por ser uma ferramenta de bloqueio de sites WWW e que funciona em conjunto com o servidor proxy Squid. # # REGRAS DE TEMPO: # # abreviaturas para os dias de semana: # s = Domingo. w = Quarta. relativas ao path dos arquivos com as listas de sites.18:00 } Nesta seção é possível definir faixas de tempo onde o acesso será permitido. f = Sexta. tal configuração é abordada na sequência abaixo.conf Em seguida procure a linha "redirect_program none" esta linha por default está comentada. edite o arquivo squidGuard. a = Sábado time workhours { weekly mtwhf 08:00 .conf: # Arquivo de Configuração do SquidGuard # dbhome /usr/squidGuard/db dos com os blacklists logdir /usr/squidGuard/logs # diretório onde estão os bancos de da- # diretório onde ficam localizados os logs do S Nestas primeiras linhas ficam as configurações.18:00 date *-*-01 08:00 . Troque esta linha por: redirect_program /usr/bin/squidGuard -c /etc/squidGuard/squidGuard. t = Terça. URLs e domínios que serão usados para filtrar.

h=thu. De segunda a sexta. MM e DD podem ser um asterisco. "*"..] ou date YYYY. (sinônimos) "wed".] onde YYYY.Alguns exemplos de configuração de dias da semana. a=sat.. m=mon.DD [HH:MM-HH:MM . "mondays"..] [HH:MM-HH:MM] onde s=sun.MM.. t =tue. e dia da semana pode ser posto como os exemplos abaixo: "mon".. manhãs e noites: weekly mtwhf 00:00-08:00 weekly mtwhf 17:00-24:00 e para sábados e domingos: weekly as ou weekly saturday weekly sunday Hora do dia: weekly * HH:MM-HH:MM weekly * 00:00-08:00 weekly * 17:00-24:00 Máscaras para Data com restrições de tempo: date YYYY-MM-DD [HH:MM-HH:MM . (sinônimos) "tue". com opção de restrição por tempo para cada dia: weekly {smtwhfa} [HH:MM-HH:MM] ou weekly dayname [. "tuesdays".. f=fri. "tuesday". "monday". Para todo primeiro dia do ano: 28 . w=wed. etc.

org/config/#Rewritegroups" e "http://www. declaração de paths.bar.0/255.168.0.0 Nesta seção pode-se separar em grupos as máquinas da rede para um gerenciamento melhor. quebra de linhas longas. como mostrado no exemplo acima.0.0.0/24 192.1 10.foo.168.168.0 192.168.0.248.bar.248.org/config/#Regular expressions".01. podem ser adquiridas em "http://www. declarações de grupos origem e destino.2.no/@i s@://foo.1 192.1.foo.255. maiores informações sobre as expressões que podem ser utilizadas.0/24 192.01 Para maiores informações sobre declarações de nomes/rótulos.255.168.255. 29 .Também são usados: # # REGRAS DE REESCRITA: # rew dmz { s@://admin/@://admin.date *.0.0/24 10.squidguard.0.no/@://www. # # ENDEREÇOS DE ORIGEM: # src admin { ip user within } src classe_A { ip } src classe_C { ip } src default { ip } 10.255.0 root workhours 192.bar.squidguard.no/@i } Esta regra funciona semelhante ao comando "sed" para fazer reescrita.0. espaços de tempo.0/255.

# # CLASSES DESTINO: # dest good { # Coloque aqui as regras de endereços cujo acesso é necessário } dest local { # Coloque aqui os endereços cujo acesso deve ser permitido localmente no(s) servido } dest adult { domainlist urllist expressionlist } dest ads { domainlist urllist } dest aggressive { domainlist urllist } dest audio-video { domainlist urllist } dest drugs { domainlist urllist } dest gambling { domainlist urllist } dest hacking { domainlist urllist } porn/domains porn/urls porn/expressions ads/domains ads/urls aggressive/domains aggressive/urls audio-video/domains audio-video/urls drugs/domains drugs/urls gambling/domains gambling/urls hacking/domains hacking/urls 30 .

pode-se modificar este cgi (está em Perl). são posteriormente utilizados na acl default. Onde temos passagem permitida para tudo que for diferente destes grupos proibidos. que possuem os seguintes conteúdos: violento. também podemos observar que estes grupos de urls e dominios de destinos previamente cadastrados.conf . uma vez que o usuário tente acessar conteúdo proibido a função "redirect" faz com que o usuário receba um endereço diferente. para aparecerem outros dados referentes ao usuário que tentou acessar 31 . pornográficos. etc. pirataria. com seus dados e um aviso de proibição. insira o endereço do servidor onde hospedará o script squidGuard.dest violence { domainlist urllist } dest warez { domainlist urllist } violence/domains violence/urls warez/domains warez/urls #acl { # admin { # pass any # } # # foo-clients within workhours { # pass good !in-addr !adult any # } else { # pass any # } # # bar-clients { # pass local none # } ##} #acl { # default { # pass !adult !ads !aggressive !audio-video !drugs !gambling !hacking !violence !warez all # redirect http://<SEU-SERVIDOR>/cgi-bin/squidGuard. /etc/squidGuard/squidGuard.cgi?clientaddr=%a&clientnam # } # } Na seção acima dando continuidade a idéia de grupos.Descomente a linha "redirect" no final deste arquivo.cgi. drogas. Se quiser.

ocasionado por um cache só com muito tráfego. então usa-se a linha cache_peercom os seguintes campos nome do host. Configuração:A configuração de cache hierárquico será vista a seguir: Faz-se necessário ao Squid. o tipo de relacionamento usando parent. sibling. contudo esta configuração deveria ser feita nos caches filhos acrescentando esta linha também. multicast. Possui suporte a numerosos protocolos de intercomunicação de proxies. sendo utilizados em algumas circustâncias mais do que outros dependendo da ocasião./squid start ou [root@localhost]# service squid start 14. Economia poupando a largura de banda da Internet. e no servidor pai não deve-se esquecer de configurar quais serão os seus cache(s) filho(s). rode os comandos: [root@localhost]# cds [root@localhost]# . alguma informação básica sobre como falar com outra máquina. Uma linha exemplicando o cache_peer é mostrada abaixo: cache_peer domain. como pode ser 32 . conjunto de portas HTTP dos servidores de destino. Evita o gargalo na rede. esta linha faria com que tal servidor aceitasse requisições de servidores filhos. incluindo ICP (protocolo de Inter-Cache).example parent 3128 3130 default No caso desta configuração ser feita no servidor que deseja-se que atue no papel de cache pai.uma página proibida. Existe algumas vantagens em ter uma configuração hierárquica de caches: • • • • • • Reduzir a Latência da Rede.3. Evita duplicação de objetos no cache. Para iniciar o servidor squid. Aumenta a taxa de requisições. e assim por diante. HTCP (Hyper-Text Cache Protocol) e CARP (Cache Array Routing Protocol) e cada um deles possui qualidades e fraquezas específicas.4. Cache Hierárquico O squid é particularmente bom em comunicar-se com outros caches e proxies. Cache-Digests. Melhor aproveitamento dos HDs (Discos Rígidos) dos servidores cache.

este cache é usado. roundrobin. login.example 33 . e divide este tempo pelo valor atribuído a opção weight. default. no-delay. mas recuperados novamente em qualquer requisição subsequente. isto poderia acarretar em um disperdício de largura da banda. Existe outra função destas resquisições: se não existir resposta para uma requisição. vale lembrar que deve ser descomentada no arquivo inetd. weight.htm". ttl. então pode-se utilizar esta opção para que ele não use ICP.example !. porque dependendo do domínio a ser acessado. normalmente esta opção é utilizada com a opção default.domain.domain. primeiro aspecto seria de que uma vez que o objeto requisitado seja armazenado no cache filho a latência diminui.example parent 3128 3130 No quinto campo pode-se como no primeiro exemplo ter algumas opções: proxy-only. baseado nestes valores para cada cache terá um resultado. No caso de existir apenas uma maneira de sair para a Internet e ela não suportar ICP. proxy-only: Esta opção indica que dados recuperados desta máquina remota não serão armazenados localmente. nesta solução comentaremos alguns dos mais usuais. o cache que obtiver o menor resultado será usado.domain. closest-only. o Squid decidirá obter os dados do cache que responder mais rápido.example sibling 3128 3130 No caso do servidor(s) filho(s) teríamos a seguinte configuração: cache_peer father.observado abaixo: Configuração necessária para um servidor pai cujo nome é father. default: Esta opção configura o host. O tempo de resposta é mensurado e usado para decidir a que pai enviar a requisição HTTP. para ser o proxy que será o último recurso. onde explica a utilização de outros parâmetros. o cache é marcado como desligado ou inativo.net/latest/html/x2193. e para resolver o problema de saber se a máquina está ativa. Por default o Squid armazena objetos que foram requisitados de outros caches. o funcionamento é o seguinte o cache que terá o valor mais alto configurado será o que terá a preferência.mydomain.conf para que suporte a porta echo utilizando UDP. Caso a comunicação seja feita com um cache que não suporta ICP isto ocorrerá.domain. no-query: O Squid envia requisições ICP para todos os caches configurados. pode-se utilizar desta opção weight. multicast-responder. O uso desta opção implica em dois aspectos. Para maiores detalhes pode-se consultar a URL "http://squid-docs. Caso haja interesse em dar prioridade sempre a um cache específico. pois o Squid verifica o tempo que leva cada requisição ICP (em milisegundos). Selecionando por Domínio de Destino: Esta opção é bastante interessante. cache_peer_domain cache1. abaixo veremos um exemplo.example e com um filho son. no-netdb-exchange. pode-se utilizar a combinação das opções default e no-query.domain. pode-se no arquivo de configuração apontar a porta ICP para a porta echo de número 7. weight: Se mais de um servidor cache tiver um objeto (baseado no resultado de uma consulta ICP). pode-se direcionar para um determinado proxy fazer o atendimento da requisição. Se nenhum cache combina com a regra (isto é uma acl ou filtro de domínio).example parent 3128 3130 cache_peer son.sourceforge. e em caso de estar desligado ou inativo o cliente receberá uma mensagem de erro. no-query.domain.example: cache_peer father. segundo aspecto seria se o outro cache estiver no mesmo barramento ethernet.

example allow custNet cache_peer_access cache.1. sejam enviadas para um servidor cache especifico.0. A seguir será mostrado um outro recurso baseado em ACLs para fazer o redirecionamento.Neste exemplo vimos que se for o destino diferente do domínio que termine com "mydomain.0/0.0.domain. acl myNet src 10.example".mydomain. mas decidirá com que cache falar imediatamente.0 acl localmachines dstdomain intranet. Com a utilização do recurso de cache_peer_access.0.0.domain.0/255.0.example parent 3128 3130 acl all src 0. podemos ter por exemplo uma regra que todas as requisições feitas por uma faixa especifica de enderecos IP.mydomain.example".0/0.0/0.0 acl custNet src 10.0/255.example parent 3128 3130 cache_peer_access filtercache. terão que passar pelo proxy.0.example parent 3128 3130 cache_peer_access cache.example deny all Podemos ter um exemplo onde URLs suspeitas sejam enviadas a um cache que faça a filtragem acl suspect_url url_regex "/usr/local/squid/etc/suspect-url-list" acl all src 0.0.0 acl localmachines dstdomain intranet.255.example allow suspect_url # Todas as outras requisições vão direto cache_peer_access filtercache.0. apenas uma será considerada. podendo ser usado com fins de contabilização.example deny all A seguir veremos alguns mecanismos utilizados para que seja arbitrado o uso ou não do cache.0.255.mydomain. o Squid não verificará a tag never_direct.255.255.0/0.example never_direct allow all always_direct allow localmachines Vamos considerar uma requisição destinada a um servidor web "intranet.0 cache_peer filtercache.domain. Então uma vez que a tag always_direct for usada. isto foi feito usando o recurso cache_peer_domain melhorando a administração da hierarquia de proxies.domain.0.0. O comportamento pode ser visto no exemplo abaixo.example 34 .0 acl all src 0. o squid permitira que na máquina "intranet.0. o acesso será permitido diretamente sem passar pelo proxy.0.otherdomain.0. segue outro exemplo com a modificação da regra. e como as duas tags são consideradas acl-operators.mydommain. cache_peer cache. o Squid primeiro verificará a linha com alway_direct.0. todas as máquinas sem exceção. então utilize o cache1. Se uma combinação casa com uma tag always_direct encontrada. Selecionando com ACLs: O Squid pode fazer seleções de caches baseado no resultado das regras de uma ACL. abaixo um exemplo prático.domain. Uma outra possibilidade caso o always_direct fosse marcado com deny.domain. cache_peer cache.domain.0.example".0 cache_peer cache.otherdomain. conforme o domínio de destino usando always_direct e never_direct.example como proxy. As Tags Always_direct e Never_direct: O Squid verifica todas as tags always_direct antes de verificar qualquer tag never_direct.example parent 3128 3130 acl all src 0.0.

4. sem fazer uma nova consulta ao programa autenticador. authenticate_ttl 3600 Se habilitado esta opção a senha passada na autenticação do usuário. authenticate_program /usr/lib/squid/pam_auth Outras configurações que podem ser utilizadas em conjunto são vistas abaixo: authenticate_children 5 Esta opção é do número de processos autenticadores que serão criados. pode-se encontrar o arquivo pam_auth. authenticate_ip_ttl 0 Esta opção trata de um controle na associação da autenticação com um determinado ip. pode-se configurar o tempo de controle. Em caso de ser passado uma senha errada o programa de autenticação é novamente acionado. nenhum outro usuário poderá ser autenticado com mesmo usuário e senha em outra máquina. Normalmente utilizada para inibir o compartilhamento de usuário e senha entre usuários que fazem autenticação para acesso pelo proxy. no momento que isto ocorrer será fechada a conexão com os dois usuários e 35 .conf no ítem authenticate_program. a utilização do PAM (Pluggable Authentication Modules). é mantida por tantos segundos forem configurados no próprio cache o padrão é 3600. Autenticação Eficiente e Flexível Nesta nova forma de autenticação será abordado. durante 60 segundos após a autenticação originada de uma máquina. Dessa forma pode-se aumentar os processos conforme a necessidade o padrão é 5.4. 14. este caminho deve ser inserido no arquivo de configuração /etc/squid/squid.net/latest/html/x2268. que está no diretório /usr/lib/squid/pam_auth.never_direct allow all always_direct deny localmachines Outras informações podem ser adquiridas acessando a URL "http://squid-docs. Ou seja se for setado 0 não é feito nenhuma checagem. no entanto se for posto um valor por exemplo 60 (configurado em segundos).sourceforge. A seguir veremos os passos necessários para abilitarmos este método.htm" . Uma vez que o Squid foi instalado.

url de destino e mais.com. a primeira opção) da classe 1 (que é a segunda opção no ítem 36 . Uma acl-operator (delay_access) é usada para dividir requisições em pools. acl magic_words url_regex -i abracadabra delay_pools 1 delay_class 1 1 delay_parameters 1 16000/16000 delay_access 1 allow magic_words Neste exemplo foi demonstrado a limitação da velocidade de download por uma palavra na URL.conectiva. priorizando serviços mais necessários. Recomenda-se que para usuários dial-up.4. Na terceira linha é criado um delay pools(delay pool número 1. Este recurso pode proporcionar uma diferenciação no acesso. First Pool Class A primeira maneira de configurar leva em conta apenas um pool. que retorna true se a URL requisitada tem a palavra "abracadabra".br/atualizacoes/". No exemplo acima houve apenas um pool.WWW e FTP. acessando a URL "http://distro. O uso das acls. O uso de Delay Classes poderá assegurar que alguma largura de banda. A variável delay_pools. deve ser baixado o pacote de atualização para o Conectiva 6. Cada tipo de pool permite que se possa limitar a largura de banda de diferentes maneiras. Pode-se perceber que isto não impede a utilização de dois ou mais usuários. a flag -i. por isto a opção foi configurada para "1". Podendo classificar os downloads em segmentos. é usada para fazer a pesquisa utilizando o caso-insensitivo. mas dificulta o uso criando um sentimento de inibição pelo uso seguido das solicitações de autenticação. não utilize-se mais que 60 segundos e para usuários fixos valores maiores podem ser usados. e então alocar esses segmentos em uma certa quantia da largura de banda (em bytes por segundo). no exemplo abaixo o pool será usado para todas as URLs contendo a palavra "abracadabra". como o custo deste recurso é elevado pode-se utilizar esta solução a fim de otimizar e racionalizar o uso dos links da organização. e o link permanecerá descongestionado para o tráfego útil.0. Onde temos na primeira linha uma ACL padrão. Requisito: Neste ítem deve-se levar em consideração o requisito de software. bem como a divisão equalitária pelos usuários da rede. possui uma característica de controle de largura de banda. Existem mais de um tipo (ou classe) de pool. diz ao Squid quantos delay pools existirão. estará disponível para trabalhos relacionados a download.5. pode ser usado por endereços de origem. com o memso usuário e senha. para o squid O mecanismo utilizado pelo Squid é baseado em Delay Classes. Controle de Uso de Largura de Banda A solução Conectiva Proxy Server . este recurso é muito usado em locais onde a largura de banda é muito cara.ambos serão obrigados a fazer a autenticação novamente. 14.

5kbps para cada usuário. e arquivos de até 12500 bytes. e o Squid mantém esse valor agregado abaixo do que foi dado no valor máximo. Com isso os arquivos pequenos não serão afetados. 2500 bytes por segundo para cada usuário em arquivos de 2500 bytes. também para cada endereço ip existem um restore e max fazendo uma outra configuração. Então o valor de 100kbps convertido para bytes temos 12500 bytes por segundo. Na quarta linha. vale lembrar que este valor está em bytes. Third Pool Class Na última opção que disponhe o Delay Class Pool.0. separados por uma (/).0 delay_pools 1 delay_class 1 2 delay_parameters 1 12500/12500 2500/2500 delay_access 1 allow all Neste exemplo. transfira na velocidade de 16000 bytes por segundo (16000 * 8 = 128 kps).0. somente aqueles cujo tamanho comprometem a largura de banca. bem como por rede e tamanho igualitário de uso da largura de banda por usuário. Second Pool Class Nesta nova forma de configuração é possível. acl all src 0.0. com mais de uma rede. há como controlar o uso da largura de banda. que se tenha uma administração mais fácil e mais detalhada a nível de usuário. foi trocado a classe do delay de "1" para "2" permitindo especificar uma agregação entre uso da largura de banda e uso por usuário que está em uma determinada rede. O valor de restore é usado para configurar a velocidade de download.0 delay_pools 1 delay_class 1 3 #56000*8 configura o limite total até 448kbps #18750*8 configura o limite por rede até 150kbps #500*8 configura o limte por usuário até 4kbps 37 . Então no exemplo temos que quando forem baixados arquivos maiores de 16000 bytes (16kb).0. na opção delay_parameters permite que seja configurada a velocidade de cada pool. Foram acrescentadas novas cadeias de opções para a variável delay_parameters.0/0.0. a segunda opção possui dois valores: o restore e max.0. A primeira delay class é simples: as taxas de download de todas as conexões na classe são adicionadas juntas. onde além de ter a definição de restore e max para o link geral. que quando for do valor definido passe pelo processo de download mais lento.0. A primeira opção é o número do pool no caso "1".0/0.delay_class). sobre o aspecto de velocidade da taxa de download geral e tamanho de arquivo. Vale ressaltar que esta divisão de redes funciona somente para redes classe C. para fazer uma divisão por ips.0. Um exemplo prático será visto a seguir utilizando-se de um Third Pool Class. Pode-se ter um exemplo disso abaixo: acl all src 0. foram acrescentados uma 2. e o max é para definir o tamanho do arquivo. ou seja.

Levando em consideração que nem todas as máquinas usem a rede ao mesmo tempo. execute o seguinte comando: /sbin/chkconfig squid on Quando o serviço do Squid é inicializado. Testes Pós-Instalação Após configurado o arquivo squid. e por usuário. Neste exemplo foi assumido que haviam três faixas de endereços ips.d/squid start Para inicializar o squid. podemos inicializar o servidor.d/init. ou para cada rede. rodando o script do squid a partir do diretório /etc/rc.869 kbps por máquina. Sobrariam uma taxa de download. tanto para o geral. Com 3 faixas de 256 endereços ips cada.delay_parameters 1 56000/56000 18750/18750 500/500 delay_access 1 allow all Neste exemplo foi mudado a classe do delay para 3. com um acesso por volta de 0. cada vez que a máquina faz o processo de boot. e para cada usuário um restore de 500 bytes por segundo e o max para arquivos sem limite de tamanho. agora leva quatro argumentos: número do pool. taxa da largura de banda.d /etc/rc. Cada faixa precisa usar não mais que 1/3 de sua dispobilidade de largura de banda. Assumindo que o link da organização era de 512kpbs. taxa da de largura de banda por rede. de 448kpbs. Cada faixa de ips de classe C. e desejava-se deixar 64kps disponível para SMTP e outros protocolos. não fosse definido valor para o ítem max. os seguintes processos entram em execução: /usr/bin/squid (squid) -> servidor iniciado pelo root -> servidor com o UID/GID efetivo 38 .conf.5. haveriam uma média de 500 pc’s. você pode provavelmente alocar para cada máquina por volta de 4kbps (500 bytes por segundo). dividindo para cada rede um restore de 18750 e max de 18750 bytes. 14. bastaria simplesmente por "-1". ou usuário.d/init. deveriam utilizar aproximadamente 150kps. delay_parameters 1 56000/56000 18750/18750 500/-1 Neste caso para o pool "1" seria defina um restore de 56000 e max de 56000 bytes para o geral. Uma última observação se por exemplo. exeplo abaixo da linha. a variável delay_parameters.

A página acessada será carregada rapidamente.sh (. se for mantido o padrão será 3128./arquivos/proxy_doc. 15.. inserimos o par IP/Porta onde está configurado o proxy.conectiva. mantendo um registro das informações básicas da solução. Vamos colocar apenas para FTP e HTTP.com. 39 . todas as cópias devem conter as assinaturas do cliente e do técnico. Repita o procedimento em outra máquina da rede. este material deve ser deixado com o cliente e o técnico também deve levar uma cópia de igual teor. copiado em mídia eletrônica e impresso.sh). deve-se inserir os domínios ou intervalos de endereços IP/netmask. www.conf). Pode-se configurar endereços que não serão acessados via proxy. configurada com o proxy. devemos configurá-lo em: Editar -> Preferências -> Avançado -> Servidores Proxy -> Configuração manual do proxy Podemos usar Proxy para FTP. Backup de Configurações Para evitar perder as configurações. haja vista que a mesma já encontra-se no cache do servidor proxy.6. como dito anteriormente. Para isto. no caso o squid. deve-se observar qual a porta foi configurada anteriormente. isto também facilitará ao técnico em uma posterior visita. Documentação É importante deixar uma documentação para o cliente do que foi feito. Para o Netscape utilizar um servidor proxy. pode-se utilizar um disquete para fazer a cópia. Nos campos "Proxy FTP" e "Proxy HTTP". e gerar um formulário que deve ser preenchido pelo técnico. preparado para fazer a coleta das informações pós-instalação. sempre lembrando que estes arquivos devem ficar no diretório /etc/squid. no campo "Não utilizar proxy para:" Acesse alguma página na Internet. O servidor proxy deve guardar os arquivos de cache da página acessada abaixo do diretório /var/spool/squid (ou outro diretório que foi especificado na opção cache_dir do squid. como por exemplo servidores locais à rede do cliente.br por exemplo. Nesta ação.(unlinkd) (ncsa_auth) -> daemon que deleta arquivos da cache -> se for usado o programa autenticador Vamos utilizar o Netscape para testar o servidor Proxy. deve ser copiado de igual forma.conf e havendo um arquivo separado para as ACLs. Anexo na solução encontra-se um script proxy_doc. 14. faz-se necessário copiar o(s) arquivo(s) de configuração. Gopher e HTTP.

internet.netscape.conectiva/profissional/seguranca/firewall/index.0/relnotes/demo/ live.html) Página sobre a utilização de arquivos ".unxsoft. É importante também. 16.html) Treinamento em Segurança (em portugês) (http://treinamento. utilizando-se o usuário root. mediante contato com o Suporte da Conectiva.A execução do script deve ser feita.squid-cache.pac" para configuração automática: Proxy Client Autoconfig File Format (http://home. deixar claro em documento formal que.com/transproxylinux20-squid1. se o cliente fizer alterações na solução por sua própria conta.org) URL sobre servidores Proxy em geral: Proxy Servers (http://serverwatch. Referências URL do Squid: Squid Web Proxy Cache (http://www.iae.html) Página sobre a utilização do Squid como Proxy transparente: Transparent Proxy with Linux and Squid (http://www.com/eng/mozilla/2. O cliente precisa estar ciente de que o Planejamento e Implantação de Proxy WWW e FTP não garante a segurança abosoluta de seu sistema e a sua configuração pode sofrer modificações conforme a necessidade do cliente. deverá existir uma documentação contratual que fale sobre as garantias da solução.com/proxyservers.html) (http://trei http://home.nl/users/devet/squid/ HOWTO’s indicados para leitura: Firewall-HOWTO IPCHAINS-HOWTO IPMASQUERADE-HOWTO NET-3-HOWTO Networking-Overview-HOWTO 40 . o próprio cliente terá que arcar com os encargos provenientes destes serviços. e a solução tenha que ser reinstalada/reconfigurada. Além do formulário citado nos parágrafos acima.

i386.3.rp Links Relacionados ao SquidGuard http://www. Securing and Optimizing Linux: ReadHat Edition.org/ Listas de discussão sobre o Squid: http://www.html Bibliografia Roberto Teixeira e Carlos Mercer. .3-09clpode ser encontrado em: ftp://ftp.br/pub/conectiva/6.conectiva. 2000..O RPM do Squid versão 2. ISBN 0-9700330-0-1. Guia do Servidor. Gerhard Mourani.3-09cl.squidguard. 41 .3.squid-cache.org/mailing-lists.3.A. Versão 1. Open Docs Publishing.com.0/cd1/conectiva/RPMS/squid-2.. Conectiva S. ISBN 85-87118-29-3. 1999-2000.

42 .

Sign up to vote on this title
UsefulNot useful