Idiomes

Inici de sessió d'usuari

IniciBlogslluis.dalmau's blog


Com Es Fa un proxy amb squid estil guifi.net


creat: Dv, 28/10/2005 - 08:54 — lluis.dalmau - actualitzat: 19/06/2006 - 9:35pm

Partim de que tenim una màquina amb un Linux, concretament aquesta és: 

Pentium II a 333 MHz amb 32 MB de RAM i 8 GB de disc

no és cap joia però quan dius que ho pots fer amb una màquina reciclada surt el què surt :)

Com que la màquina no va molt sobrada decideixo posar-hi: 

Debian sarge netinstal

i fer-hi només la instal·lació del mínim de paquets possibles: 

he escollit només servidor web

també hi he afegit: 

apt-get install nomdelpaquet

concretament: 

webmin-core squid webmin-squid

Fins aquí tenim un Linux amb l'squid, per fer de proxy, i amb el webmin, per poder fer la
configuració de l'squid i el què ens faci falta, en un entorn web i/o a distància.

El primer que he fet a sigut dir-li al webmin que no em limiti entrar a webmin des de l'adreça 127.0.0.1, així hi podré entrar des de casa i fer-ho quan em calgui o tingui temps (a més aquest ferro no té un navegador tipus firefox i m'és més còmode fer-ho des d'un altre màquina més lleugera):

instal·lo lynx per poder navegar des de cònsola (segur que es pot fer també tocant l'squid.conf, però està bé conèixer el lynx: 

apt-get install lynx

engego el navegador: 

lynx https://127.0.0.1:10000

accepto el certificat, la galeta, entro com a root, vaig a:

Webmin, Configuració de Webmin, Port i adreces i canvio allò que diu només l'adreça ... per totes les adreces, deso i surto

[image:3160]

A partir d'aquí tot ho farem amb l'ajuda del Webmin des d'una altra màquina.

Comencem per actualitzar-lo:

Webmin / Configuració del webmin / Actualització de webmin

[image:3159]

Durant la instal·lació i engegada de Debian hem obtingut una IP, màscara, ... des d'un servidor de DHCP millor que ho deixem configurat manualment i amb una IP fixa:

Xarxa / Configuració de xarxa / Interfícies de xarxa / interfícies activadas a l'engegar / eth0

Anem per la configuració de l'Squid:

Servidors / Servidor Proxy Squid

- Programes d'autenticació

[image:3155]

- Control d'accés

[image:3151]

Cal afegir crear una nova ACL

. selecciona Autenticació externa i Crea nova ACL

[image:3152]

. a l'apartat de Restriccions del Proxy hi hem d'afegir una nova restricció:

cliquem Afegeix restricció de proxy

[image:3156]

. l'ordre com estan posades les restriccions és important , ara hi ha el 'Denega all' abans del 'Permet usuaris_autenticats' canviem l'ordre amb la fletxa

[image:3153]

Cal que apliquis els canvis que hagis fet perquè siguin efectius.

- Autenticació proxy

[image:3157]

És aquí on podrem entrar el nom i contrasenya dels usuaris del proxy

Les altes, baixes i canvis de contrasenya dels usuaris dels proxys llistats a guifi.net es poden gestionar directament a la pàgina usuaris del proxy en qüestió i amb un cron passar la relació d'usuaris de cada proxy o dels federats a les màquines que faci falta.

Fins aquí tenim en funcionament el proxy però per saber quin ús s'està fent del proxy podem instal·lar sarg: 

apt-get install sarg

feta la instal·lació podem anar al webmin i configurar-lo:

Servidors / Generador d'Informes de l'Anàlisi de Squid

segurament ens caldrà configurar el mòdul per indicar on és el fitxer sarg.conf, també haurem de definir d'on ha de fer l'informe, on l'ha de desar i cada quan volem que ens el faci.

Si ens convé, podem fer la instal·lació i configuració del webalizer seguint els mateixos passos.

Comentaris

Opcions de visualització de comentaris

Selecciona la vostra manera preferida de visualitzar els comentaris i feu clic en "Desa la configuració" per activar els canvis.
Dv, 28/10/2005 - 13:16 — rroca

Usuaris des de l'aplicació, o proxys federats.

L'aplicació de guifi.net permet generar un arxiu amb els usuaris de manera que no cal crear-los des del webmin, i així els usuaris es poden directament canviar la password, etc.
Per exemple:
http://guifi.net/ca/node/1705/view/users

Això es fa instal·lant un cron que agafa la informació de la base de dades de l'aplicació i genera un arxiu "passwd" si hi han hagut canvis.D'aquesta manera està permanentment sincronitzat.
Addicionalment, si es vol "federar" proxis, és a dir, que un mateix proxy a part dels seus usuaris, també tingui definits els d'altres "germans" per al cas de que per exmeple si un no funciona, els usuaris puguin fer servir l'altre, donant així alternatives en cas de fallos.

Dv, 28/10/2005 - 14:53 — sangonera (no verificat)

E mule

i si em conecto a través d'aquest proxy puc usar els p2p ?

Gràcies

Dv, 28/10/2005 - 15:19 — rroca

depèn

Es pot configurar l'emule perquè funcioni pel proxy. Ara bé, el proxy es pot configurar perquè impedeixi el tràfic del'emule.
Això entenc que és una explicació de com crear proxys amb usuaris genèrica. Si es vol deixar fer emule o no serà una decissió que hauran de pendre els seus administradors.

Dv, 28/10/2005 - 15:49 — robert

i per bloquejar-ho ?

Hola !!

Sóc jo. que no m'havia identificat i veig que surt 'sangonera'.

Jo volia posar un proxy però no vull que els usuaris puguin fotre-li canya al emule, ni al p2p i no se com capar-ho.

Com puc fer-ho ?

Salut !
Robert

Dv, 28/10/2005 - 19:47 — rroca

Posa una ACL

  1. Des de l'administració de l'squid amb el webmin, ves a "Control d'accés" (ACL).
  2. Després crea una nova ACL del tipus "port de la URL"
  3. Hi poses p.e. aquesta llista de ports: 2323 4242 4243 4661-4672 4773 6344-6388 7700-7800
  4. Després ves a "afegeix restricció de proxy (a la dreta) i hi poses aquesta ACL com a "Denega" i la pujes amunt fins allà on vulguis. Si la poses a dalt de tot ningú podrà fer servir aquests ports.
Dv, 28/10/2005 - 21:15 — robert

Ok provaré.

Val.

Lo de les llistes ho he vist ( crec que al blog del lluis o algo així ) i he vist que es pot fer per hores i mes coses... però jo creia que no era suficient tancant els ports, ja que hi ha programes com p.e. l'emule que pots canviar el port pel qual treballa, llavors com reacciona l'Squid ? l'emule deu seguir funcionant, oi ? a menos que deixi com a unic port de treball el 80,, 25, 110 i tal... però en faltarien un futimé MSN, IRC, ... no se com fer-ho.

Algú em va comentar que amb el iptables es podien denegar els paquets de l'emule no per port sinó per 'firma' però no tinc ni idea de que es això. en sabeu res ?

Salut !
Robert

Dv, 28/10/2005 - 16:19 — lluis.dalmau

cron descarrega fitxer usuaris proxy

d'on es pot obtenir el fitxer passwd amb els usuaris d'un proxy concret ? o d'un de federat ?

entenc que el federat és exactament igual que qualsevol dels no federats però que el fitxer és la suma de tots els usuaris donats d'alta a tots ells

aquest fitxer el descarregues amb wget, oi ? i el deses a on tinguis definit a l'squid, per exemple, /etc/usr/passwd

Dll, 30/10/2006 - 08:17 — ramon.amblas

No em demana usuari/password

En un ordinador vell que he reciclat hi he instal·lat una Ubuntu 6.06.1 Server per provar.

Accedeixo al servidor (192.168.0.5) desde un client a través del Webmin.
He configurat l'Squid segons les indicacions anteriors.
He creat una ACL i un usuari.
He afegit l'acl a la llista de restriccions, just abans de denega tot
Em donava un error al engegar i li he posat visible_hostname nom_de_la_maquina a /etc/squid/squid.conf
Al client li trec la porta d'enllaç i dic al navegador que surti pel proxy (192.168.0.5) pel port habitual.

Doncs bé, em deixa passar tranquilament, sense demanar usuari/password. :-(

Què faig malament ?

Dll, 30/10/2006 - 09:52 — rroca

vols dir?

Amb ubuntu no sé però....
Això només podria ser que hi hagi una altra ACL abans que el deixi sortir-...
O que realment no el faci servir.
Has mirat si al /var/log/squid/acces.log es veuen les traces de per on va?

Dll, 30/10/2006 - 16:35 — ramon.amblas

Arreglat ;-)

He repassat la llista o ordre de les ACL, he posat com 'acceptar' la que interessava a dalt de tot, etc.

Al final era una xorrada, com normalment sol passar, resulta que havia creat una entrada tipus Adreces client ACL (la primera opció que dona al afegir) en lloc de Autenticació externa ACL

Ara ho entent, per això m'obligava a entre-hi una ip i màscara de xarxa ;-)

El que no acabo d'entendre és perque m'ho deixava passar, havia d'haver-se disparat el Denega - all

Dll, 30/10/2006 - 09:58 — lluis.dalmau

Posant en marxa l'squid

Això del visible_hostname cal posar-lo, com ja ho has fet, sinó no et deixa engegar l'squid

Les restriccions del proxy s'executen, per ordre, de dalt a baix, és qüestió de posar-les ordenades segons els què ens interessi que passi.

Dll, 30/10/2006 - 16:37 — ramon.amblas

Ja està :-)

A les llistes de control d'accés havia creat una entrada tipus Adreces client ACL (la primera opció que dona al afegir) en lloc de Autenticació externa ACL

Ho he descobert mirant-me les captures de pantalla de la recepte del Lluís Dalmau, gràcies ;-)

Dll, 25/06/2007 - 12:02 — ecabre

Amb Ubuntu

Els paquets webmin-core i webmin-squid no existeixen al repositori. S'ha de fer el següent (comprovar que sigui l'última versió del programa):
wget http://downloads.sourceforge.net/webadmin/webmin_1.350_all.deb
dpkg --install webmin_1.350_all.deb

Dc, 25/03/2009 - 16:05 — erhacker22 (no verificat)

Nous Manuals

Aqui deixo uns manuals que me currat avui de l'instalació de l'Apache, Squid i WebMin pas a pas amb screenshots.

http://erhacker22.es/index.php?option=com_content&view=article&id=102:pd...

http://www.megaupload.com/?d=TWKTON8J

http://erhacker22.es/index.php?option=com_content&view=article&id=101:tu...

http://www.megaupload.com/?d=NWZ8RY4I