Product SiteDocumentation Site

11.6. Proxy HTTP/FTP

Um proxy HTTP/FTP atua como um intermediário para conexões HTTP e/ou FTP. Seu papel é duplo:
Falcot Corp selecionou o Squid como seu servidor de proxy.

11.6.1. Instalando

O pacote Debian squid3 contém apenas o proxy (e cache) modular. Fazer dele um servidor de filtragem requer a instalação do pacote adicional squidguard. Adicionalmente, o squid-cgi provê uma interface de consulta e administração para o proxy Squid.
Antes da instalação, deve-se tomar o cuidado de checar que o sistema pode identificar seu próprio nome completo: o hostname -f tem que retornar um nome completo qualificado (incluindo o domínio). Se não, então o arquivo /etc/hosts deve ser editado para conter o nome completo do sistema (por exemplo, arrakis.falcot.com). O nome oficial do computador deve ser validado pelo administrador de rede para que sejam evitados potenciais conflitos de nome.

11.6.2. Configurando um Cache

Habilitar o recurso de cache no servidor é uma simples questão de editar o arquivo de configuração /etc/squid3/squid.conf e permitir que máquinas da rede local executem consultas através do proxy. Os exemplos a seguir mostram as modificações feitas pelos administradores da Falcot Corp:

Exemplo 11.25. O arquivo /etc/squid3/squid.conf (trecho)

# INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS

# Example rule allowing access from your local networks. Adapt
# to list your (internal) IP networks from where browsing should
# be allowed
acl our_networks src 192.168.1.0/24 192.168.2.0/24
http_access allow our_networks
http_access allow localhost
# And finally deny all other access to this proxy
http_access deny all

11.6.3. Configurando um Filtro

O squid sozinho não faz a filtragem; essa ação é delegada ao squidGuard. O primeiro tem então que ser configurado para interagir com o último. Isso envolve a adição da seguinte diretiva ao arquivo /etc/squid3/squid.conf:
url_rewrite_program /usr/bin/squidGuard -c /etc/squid3/squidGuard.conf
O programa CGI /usr/lib/cgi-bin/squidGuard.cgi também precisa estar instalado, usando /usr/share/doc/squidguard/examples/squidGuard.cgi.gz como ponto de partida. As modificações necessárias para esse script são as variáveis $proxy e $proxymaster (o nome do proxy e o email de contato do administrador, respectivamente). As variáveis $image e $redirect devem apontar para imagens existentes que representam a rejeição de uma consulta.
O filtro é habilitado com o comando service squid3 reload. Contudo, como o pacote squidguard não faz filtragem por padrão, é tarefa do administrador definir a política. Isso pode ser feito criando o arquivo /etc/squid3/squidGuard.conf (usando o /etc/squidguard/squidGuard.conf.default como modelo se necessário).
O banco de dados em uso tem que ser regenerado com update-squidguard após cada alteração feita no arquivo de configuração squidGuard (ou em uma das listas de domínios ou URLs que ele menciona). A sintaxe do arquivo de configuração é documentada no seguinte site web: