Proxy Squid Parte 2

1.1. Objetivos

• Squid como gerenciador de banda

• Autenticação no Squid

• Proxy Transparente

Proxy Squid Parte 2 - 4

1.2. Squid como gerenciador de banda

Podemos usar o Squid para gerenciar banda também! O Squid pode definir o quanto cada usuário pode usar e com isso manter uma parte do link livre para os demais. Para isso ele utiliza um recurso chamado "delay pools". Imagine, por exemplo, que você tem um link de 2 megabit para uma rede com 40 usuários.

Se cada um puder baixar o que quiser, é bem provável que a rede ficará saturada em determinados horários implicando em uma navegação lenta para o resto dos usuários. Você pode evitar isso limitando a banda que cada usuário pode usar e a banda total, que todos os usuários somados poderão usar simultaneamente.

É recomendável, neste caso, que o servidor proxy (que combina todos os acessos via http) consuma um pouco menos que o total de banda disponível, de forma a sempre deixar um pouco reservado para outros protocolos.

Um link de 2 megabit (2 x 1024 kbits) corresponde a 262144 bytes por segundo.

Como que fiz essa conta?

(2 x 1024 x 1024) / 8 = 262144 bytes por segundo 1 byte = 8 bits

Nas regras do Squid, sempre usamos bytes, por isso lembre-se de fazer a conversão, dividindo o valor em kbits por 8 e multiplicando por 1024 para ter o valor em bytes. Podemos, por exemplo, limitar a banda total usada pelo Squid a 229376 bytes por segundo, deixando 256 kbits do link livres para outros protocolos e limitar cada usuário a no máximo 32768 bytes por segundo, que correspondem a 256 kbits.

Dica importante: Você deve acompanhar o uso do link e ir ajustando o valor conforme a utilização.

Proxy Squid Parte 2 - 5

Neste caso, no arquivo de configuração ficaria:

acl MyNetwork src 192.168.200.0/24
delay_pools 1
delay_class 1 2
delay_parameters 1 229376/229376 32768/32768
delay_access 1 allow MyNetwork
http_access allow localhost
http_access allow MyNetwork
http_access deny all

A acl "MyNetwork" está agora condicionada a três novas regras, que aplicam o uso do limite de banda.

O acesso continua sendo permitido, mas agora dentro das condições especificadas na linha "delay_parameters 1 229376/229376 32768/32768", onde vão (respectivamente) os valores com a banda total disponível para o Squid e a banda disponível para cada usuário.

Veja que nessa regra limitamos a banda apenas para a acl "MyNetwork" e não para o "localhost". Isso significa que você continua conseguindo fazer downloads na velocidade máxima permitida pelo link ao acessar a partir do próprio servidor; a regra se aplica apenas às máquinas clientes.

É possível também criar regras de exceção para endereços IP específicos, que poderão fazer downloads sem passar pelo filtro.

Proxy Squid Parte 2 - 6

Nesse caso, podemos criar uma acl contendo o endereço IP da máquina cliente que deve ter o acesso liberado usando o parâmetro "src" e a colocamos antes da regra que limita a velocidade, como em:

acl patrao src 192.168.200.2
http_access allow patrao
acl MyNetwork src 192.168.200.0/24
delay_pools 1
delay_class 1 2
delay_parameters 1 229376/229376 32768/32768
delay_access 1 allow MyNetwork
http_access allow localhost
http_access allow MyNetwork
http_access deny all

Esta regra de exceção pode der usada também em conjunto com as demais regras de restrição de acesso que vimos anteriormente. Basta que a acl com o IP liberado seja colocada antes das acls com as restrições de acesso!

acl patrao src 192.168.200.2

http_access allow patrao
acl MyNetwork src 192.168.200.0/24
acl International dstdomain .com
acl Amazon dstdomain .amazon.com
http_access allow MyNetwork Amazon
http_access deny MyNetwork International
http_access allow localhost
http_access allow MyNetwork
http_access deny all

Proxy Squid Parte 2 - 7

Continuando, sempre que fizer alterações na configuração, você pode aplicar as  mudanças usando o comando:

# /etc/init.d/squid reload

O parâmetro "reload" permite que o Squid continue respondendo aos clientes e aplique a nova configuração apenas às novas requisições.

1.3. Autenticação no Squid

Quando o servidor de Proxy web Squid é configurado, podemos utilizar um recurso muito interessante que é a autenticação, ela torna o tratamento de logs mais prático. Vale lembrar que essa é uma das configurações que não funcionam em um proxy transparente.

Podemos especificar um autenticador externo de acesso ao cache do Proxy, recurso muito útil pois podemos utilizar um servidor LDap por exemplo. Devemos informar ao Squid quem é o programa externo responsável pela tarefa. Iremos usar o formato ncsa_auth, por fazer parte da base do próprio Squid.

Descomente a linha abaixo e deixe-a igual a seguinte:

# auth_param basic program /uncomment and complete this line\

Por:

auth_param basic program /usr/lib/squid/ncsa_auth /etc/squid/passwd

Proxy Squid Parte 2 - 8

É possível alterar o número de processos filhos (padrão é 5). O valor é baixo para dificultar o uso de programas de força bruta que tentam por meio de ataques com dicionários descobrir a senha do usuário:

auth_param basic children 5

O tempo de expiração da senha também pode ser alterado, o padrão é uma hora:

authenticate_ttl 1 hour

Definindo um ACL para ativar o recurso de autenticação:

acl password proxy_auth REQUIRED

Devemos dar permissão a essa ACL antes de qualquer outra:

http_access allow password
 

Devemos ter uma ACL final estratégica negando, qualquer possibilidade que não se enquadre nas ACL's anteriores. 
Essa diretiva já vem por padrão:
 
http_access deny all

Cadastre um usuário para testar a autenticação. Esse utilitário faz parte do pacote apache2-utils, caso não esteja instalado, instale-o:

# htpasswd -c /etc/squid/passwd usuario

Proxy Squid Parte 2 - 9

Descomentado a linha abaixo, pode-se personalizar a mensagem de autenticação do Squid:

auth_param basic realm Squid proxy-caching web server

Após toda a configuração, podemos reiniciar o serviço do Squid:

# /etc/init.d/squid restart

1.4. Proxy transparente

Usar um proxy transparante tem como vantagem garantir que os clientes realmente utilizarão o proxy além de que facilita muita a vida do administrador de redes que não terá que ir mais máquina por máquina para configurar o navegador do cliente com as configurações do proxy.

Para colocar o proxy transparente em funcionamento será necessário criar uma regra de firewall para o servidor proxy fique escutando todas as conexões na porta 80 e fazer uma pequena alteração no arquivo de configuração do Squid. Uma observação importante é que o servidor proxy será o gateway da rede e você já deverá deixar a conexão compartilhada via NAT (isso será visto na aula de firewall).

Regra do firewall:

{/terminal}
# iptables -t nat – A PREROUTING -i eth0 -p tcp –dport 80 -j REDIRECT –toport 3128

eth0 é a interface de rede local
Proxy Squid Parte 2 - 10
No arquivo /etc/squid/squid.conf:
Altere a linha:

 
#http_port 3128

para

http_port 3128 transparent

Desvantagens de squid proxy transparente:

 • Não será possível usar o sistema de autenticação do Squid; Atende apenas tráfego na porta 80, outros protocolos serão usados sem passar pelo proxy.