11.6. HTTP/FTP-Proxy

Ein HTTP/FTP-Proxy agiert als Vermittler bei HTTP- und FTP-Verbindungen. Er erfüllt zwei Rollen:

Zwischenspeichern: Kopien kürzlich heruntergeladener Dokumente werden lokal gespeichert, wodurch mehrfaches Herunterladen vermieden wird.
Filter-Server: falls die Benutzung des Proxy vorgeschrieben ist (und ausgehende Verbindungen gesperrt werden, wenn sie nicht über den Proxy laufen), kann der Proxy bestimmen, ob die Anfrage erlaubt wird oder nicht.

Falcot Corp. hat Squid als ihren Proxy-Server ausgewählt.

11.6.1. Installieren

Das Debian-Paket squid3 enthält nur den modularen (zwischenspeichernden) Proxy. Das Paket squidguard muss zusätzlich installiert werden, um ihn zu einem Filter-Server zu machen. Zusätzlich stellt squid-cgi eine Anfrage- und Verwaltungsschnittstelle für einen Squid-Proxy bereit.

Vor dem Installieren sollte sichergestellt werden, dass das System seinen eigenen vollständigen Namen feststellen kann: der Befehl hostname -f muss einen vollqualifizierten Namen (einschließlich einer Domain) ergeben. Anderenfalls sollte die Datei /etc/hosts so editiert werden, dass sie den vollständigen Namen des Systems (zum Beispiel arrakis.falcot.com) enthält. Der vollständige Rechnername sollte vom Netz-Administrator bestätigt werden, um mögliche Namenskonflikte zu vermeiden.

11.6.2. Einen Cache konfigurieren

Das Aktivieren der Zwischenspeicherung des Servers geschieht einfach dadurch, dass die Konfigurationsdatei /etc/squid3/squid.conf editiert und es so Rechnern des lokalen Netzwerks ermöglicht wird, Anfragen durch den Proxy zu leiten. Das folgende Beispiel zeigt die von den Falcot Corp. Administratoren vorgenommenen Veränderungen:

Beispiel 11.25. Die Datei /etc/squid3/squid.conf (Auszüge)

# GEBEN SIE HIER IHRE EIGENEN REGELN EIN, UM ZUGRIFF VON ALLEN CLIENTS ZU ERMÖGLICHEN

# Beispiel-Regel, um Zugriff von Ihren lokalen Netzwerken zu ermöglichen.
# Passen Sie sie an, so dass sie Ihre (internen) Netzwerke auflistet, von
# denen aus das Browsen erlaubt sein soll.
acl our_networks src 192.168.1.0/24 192.168.2.0/24
http_access allow our_networks
http_access allow localhost
# Und schließlich verweigern Sie alle sonstigen Zugriffe auf diesen Proxy
http_access deny all

11.6.3. Einen Filter konfigurieren

squid selbst führt die Filterung nicht durch; dieser Arbeitsgang wird an squidGuard delegiert. Ersteres muss dann so konfiguriert werden, dass es mit letzterem zusammenarbeitet. Hierzu wird folgende Anweisung zur Datei /etc/squid3/squid.conf hinzugefügt:

url_rewrite_program /usr/bin/squidGuard -c /etc/squid3/squidGuard.conf

Das CGI-Programm /usr/lib/cgi-bin/squidGuard.cgi muss ebenfalls installiert werden, wobei die Datei /usr/share/doc/squidguard/examples/squidGuard.cgi.gz als Ausgangspunkt dient. In diesem Skript müssen die Variablen $proxy und $proxymaster angepasst werden (der Name des Proxy und die E-Mail-Adresse des Administrators). Die Variablen $image und $redirect sollten auf bestehende Abbilder zeigen, die die Ablehnung einer Anfrage darstellen.

Der Filter wird mit dem Befehl service squid3 reload aktiviert. Da das Paket squidguard jedoch nicht standardmäßig Filterungen durchführt, ist es Aufgabe des Administrators, die Richtlinien festzulegen. Dies kann durch Erstellen der Datei /etc/squid3/squidGuard.conf geschehen (evt. mit Hilfe von /etc/squidguard/squidGuard.conf.default als Vorlage).

Die aktive Datenbank muss nach jeder Änderung der Konfigurationsdatei squidGuard (oder einer der Domain- beziehungsweise URL-Listen, die sich auf sie beziehen) mit dem Befehl update-squidguard aktualisiert werden. Die Syntax der Konfigurationsdatei ist auf der folgenden Website dokumentiert:

→ http://www.squidguard.org/Doc/configure.html