Servery

Proxy

Proxy, nebo-li zástupný server, zprostředkovává firmě přístup k webovým stránkám na Internetu. Uživatelé mají nastaveno používání proxy serveru v síťové konfiguraci; na Internet by se přímo dostat neměli (pro jistotu ošetřit na firewallu).

Nastavení stanic

Proxy server naslouchá na portu 3128. Na stanicích tedy nastavíme v internetových prohlížečích používání proxy. Zadáme IP adresu proxy serveru, a to pro všechny služby (http, https, ftp...).

Nastavení firewallu

Je vhodné povolit na firewallu webové porty směrem ven jen pro stroj s proxy. Pro všechny ostatní stanice v síti můžeme komunikaci na těchto portech zakázat. Zajímají nás hlavně porty 80(http) a 443(https), případně 21(ftp). Stanice v síti tak budou donuceny používat proxy - ven se napřímo přes firewall už nedostanou.

Nastavení Squida přes Webmin

přihlášení do Webmina

K nastavení proxy Squid použijeme webové rozhraní Webmin, naslouchajcí na portu 10000. Spustíme prohlížeč a do adresního řádku zadáme:

 https://stroj-s-proxy:10000/

„stroj-s-proxy“ nahradíme jménem, nebo IP adresou počítače, kde proxy běží.

sekce Squid

Nezapomeňte, že provedené změny v konfiguraci se projeví až po kliknutí na "Apply Changes" (Použít změny).

V menu Webmina najdeme položku Squid proxy server. V sekci squida máme položku Access Control (Kontrola přístupu). Po kliknutí vidíme stránku s několika záložkami nahoře.

První záložka je Access control lists (ACL) (česky Seznam kontroly přístupu). Druhá Proxy restrictions (Proxy omezení).

Nastavování funguje obecně tak, že si v ACL vytvoříme obecné pravidlo, kterému dáme nějaký příhodný název. Potom v Proxy restrictions přidáme nové omezení, kde použijeme vytvořené pravidlo a sdělíme, zda to, co naplňuje se má zakázat (Deny), nebo povolit (Allow).

V základním nastavení tu už řada omezení je. Na ně raději nesaháme :o) Svoje pravidla přidáme za ně.

Všimněte si, že poslední omezení (záložka Restrictions) je all a vše zakazuje. To je obecná politika Proxy - co není povoleno, je zakázáno.

ACL (Access Control List)

Pod tabulkou vidíme dvě tlačítka. Pravé slouží k výběru typu ACL. Jak vidíme, typů ACL je hodně :o) Levým tlačítkem vyvoláme zobrazení formuláře pro zadání ACL vybranéh typu.

povolení lokální sítě

je príma příklad na úvod. V ACL si pojmenujeme lokální síť a v restrictions ji povolíme.

Nejdříve seznamu za tlačítkem Create new ACL vybereme položku Client Address a pak klikneme na to první tlačítko Create.... Objeví se formulář. V něm vyplníme:

 ACL Name: local_net (například)
 From IP: 192.168.1.0 (prostě naši síť)
 To IP: necháme prázdné (chceme celou síť)
 Netmask: 255.255.255.0 (prostě masku naší sítě)
 Failure URL: necháme prázdné
 Store ACL in file: vybereme Squid configuration
 Just use existing contents of file?: Nefajfkujeme
 Save - kliknout :o)

Tak nám přibyla nová položka v přístupových seznamech. Nyní nastavíme omezení:

Druhá záložka nahoře "Proxy restriction“. Kliknout na odkaz "Add proxy restriction".

 Action: Allow
 Match ACLs: local_net
 Save

Pravidlo nám přibylo, ale až za „deny all“, takže by se neuplatnilo a musíme ho posunout výš pomocí šipky v řádku vpravo. Nad pravidlo deny all.

V tuto chvíli by počítače z lokální sítě měly mít přístup zcela otevřený.

Jemnější nastavování

Pro jemnější nastavení nabízí Squid řadu možností. Záleží jen na vašem důvtipu, fantazii a touhách vedení firmy.

Pamatujme si, že:

1.ACL je vždy pojmenování atomického problému.

2.Restrikce je možné vytvořit jako kombinaci více ACL.

Například můžeme chtít omezit browzdání po webu jen na dobu kolem oběda. Vedení firmy, ale omezovat nesmíme. Nastavíme tedy několik ACL pro šéfy jako Client Address:

 vedeni	Client Address	192.168.1.54
 vedeni	Client Address	192.168.1.76
 vedeni	Client Address	192.168.1.109

a jedno ACL jako časové:

 kolem_obeda	Date and Time	11:00 to 13:00

Tím to máme připravené a můžeme vytvořit omezení (restriction):

 Allow		vedeni
 Allow		kolem_obeda local_net

Tj. v restrikcích v levém sloupci vybereme local_net a kolem_obeda. Tedy povolíme kolem oběda vše z lokální sítě (pravidla platí současně - konjunkce). Na závěr pravidlo „deny all“ se už postará o zbytek - mimo oběd se ven nedostaneš, pokud nejsi z vedení. Další možnosti

Externí filtry pro Squid

Squid dovede spolupracovat s internetovými blacklisty webů nevhodného obsahu (porno, warez). Tento blacklist si můžete doplňovat sami, dle zjištěných skutečností v logu Squida.

Určitě by se mohl hodit antivirový filtr, který rozumí scanování webů (kupř NOD32 od Esetu).

Statistiky - Sarg

Sarg je nadstavba ke Squidu, která vytváří z logu statistiky, kdo kdy kam chodí, kolik se toho stahuje, kdo je nejaktivnější. Na serverch od nás najdete přístup ke statistikám Sarg na jedné z adres:

 http://stroj-s-proxy/sguid-reports
 http://stroj-s-proxy/sarg

Sledování dle uživatelů

Místo IP adres, můžeme nastavit pravidla podle uživatelů. Potřebujeme k tomu ale nějakou databázi s jmény/hesly. Můžeme využít databázi přihlašovacích údajů v linuxovém stroji (např, je-li tu už mail server), nebo si databázi vytvoříme, případně můžeme využít existující databáze LDAP ap.

Uživatelé se pak na web dostanou jen po přihlášení v internetovém prohlížeči.

Další výhodou je lepší přehlednost ve statistikách Sarg. Jména se čtou lépe než IP adresy.