11.6. Proxy HTTP/FTP

Un proxy FTP/HTTP agisce come intermediario per connessioni HTTP o FTP. Il ruolo è duplice:

Cache: i documenti scaricati di recente sono copiati localmente, cosa che previene scaricamenti multipli.
Server di filtraggio: se l'utilizzo del proxy è obbligato (e le connessioni in uscita sono bloccate a meno che non transitino per il proxy) allora il proxy può determinare quando soddisfare o negare una richiesta.

La Falcot Corporation ha scelto Squid come server proxy.

11.6.1. Installazione

Il pacchetto squid3 di Debian contiene solo il proxy modulare (con funzione di cache). Trasformarlo in un server per il filtraggio richiede l'installazione del pacchetto addizionale squidguard. In aggiunta squid-cgi fornisce un interfaccia di consultazione ed amministrazione per il proxy Squid.

Prima dell'installazione bisogna accertarsi di controllare che il sistema possa identificarsi con il proprio nome completo: hostname -f deve restituire un nome pienamente qualificato (che include il dominio). Se così non è allora il file /etc/hosts dev'essere modificato per contenere il nome completo del sistema (per esempio, arrakis.falcot.com). Il nome ufficiale del computer dev'essere verificato con l'amministratore di rete per evitare potenziali conflitti di nome.

11.6.2. Configurare una cache

Abilitare la funzionalità di cache è una semplice questione di modifica del file di configurazione /etc/squid3/squid.conf e consente alle macchine nella rete locale di eseguire richieste attraverso il proxy. L'esempio seguente indica le modifiche eseguite dagli amministratori della Falcot Corporation:

Esempio 11.25. Il file /etc/squid3/squid.conf (estratti)

# INSERIRE QUI LE PROPRIE REGOLE PER CONSENTIRE L'ACCESSO AI PROPRI CLIENT

# Regola d'esempio che consente l'accesso dalla propria rete locale.
# Adattarla per elencare tutti gli IP delle reti (interne) per le quali si
# desidera autorizzare la navigazione
acl our_networks src 192.168.1.0/24 192.168.2.0/24
http_access allow our_networks
http_access allow localhost
# Infine, negare tutti gli altri accessi a questo proxy
http_access deny all

11.6.3. Configurare un filtro

squid non esegue direttamente il filtraggio; questa azione è delegata a squidGuard. Il primo deve essere configurato per interagire con quest'ultimo. Questo richiede l'aggiunta delle seguenti direttive al file /etc/squid3/squid.conf:

url_rewrite_program /usr/bin/squidGuard -c /etc/squid3/squidGuard.conf

Il programma CGI /usr/lib/cgi-bin/squidGuard.cgi deve a sua volta essere installato utilizzando /usr/share/doc/squidguard/examples/squidGuard.cgi.gz come punto di partenza. Le modifiche richieste a questo script riguardano le variabili $proxy e $proxymaster (il nome del proxy ed il contatto email dell'amministratore). Le variabili $image e $redirect dovrebbero puntare ad immagini esistenti che rappresentano il rifiuto di una richiesta.

Il filtro viene abilitato con il comando service squid3 reload. Tuttavia, poiché il pacchetto squidguard non filtra nulla per impostazione predefinita, è compito dell'amministratore definire le regole. Questo può essere fatto creando il file /etc/squid3/squidGuard.conf (usando /etc/squidguard/squidGuard.conf.default come modello se necessario).

Il database di produzione dev'essere rigenerato con update-squidguard dopo ogni modifica del file di configurazione di squidGuard (oppure di una delle liste di domini o URL che menziona). La sintassi del file di configurazione è documentata nel sito web:

→ http://www.squidguard.org/Doc/configure.html