Proxy servery

Ladislav Blicha, xblicha@fi.muni.cz

Obsah

• Čo je proxy server
• HTTP hlavičky
• Squid
• Inštalácia
• Konfigurácia
• Riadenie prístupu pomocou ACL
• Autentizácia
• Logovanie
• Transparentné proxy
• Špecializované proxy servery
• Odkazy

Čo je proxy server

Proxy server je špeciálny typ servera, ktorý sa umiestňuje medzi klienta a servery, s ktorými komunikuje. Proxy server sa tvári voči klientovi ako server a voči serveru ako klient. Výhodou je, že proxy server pozná požiadavku klienta a vie mu doručiť odpoveď, aj keď klient samotný nemôže alebo nevie priamo komunikovať so vzdialeným serverom. Proxy server disponuje cache pamäťou, v ktorej si ukladá odpovede serverov na požiadavky klienta. Ak proxy server nájde požadovanú odpoveď v cache, vie odpovedať klientovi rýchlejšie, ako keby musel odpoveď opäť získať. Čo má za následok rýchlejšie získanie požadovanej informácie a taktiež zmenšenie provozu na sieti. Veľkosť cache je však obmedzená. Aby sa do cache mohli ukladať ďalšie údaje, musí sa z nej niečo odstrániť. Na to existuje niekoľko algoritmov, napr. odstránie najmenej používaných údajov.

HTTP hlavičky

HTTP hlavičky dávajú veľa možností regulovať to, ako bude cache zachádzať objektami. HTTP hlavičky sú posielané serverom pred samotnou HTML stránkou. Typická hlavička odpovede HTTP 1.1 vyzerá asi takto:

HTTP/1.1 200 OK
Date: Fri, 30 Oct 1998 13:19:41 GMT
Server: Apache/1.3.3 (Unix)
Cache-Control: max-age=3600, must-revalidate
Expires: Fri, 30 Oct 1998 14:19:41 GMT
Last-Modified: Mon, 29 Jun 1998 02:28:12 GMT
ETag: "3e86-410-3596fbbc"
Content-Length: 1040
Content-Type: text/html

• Pragma: no-cache - objekt nebude cacheovateľný, ale nemusí to byť vždy pravda
• Expires: - hovorí ako dlho má byť objekt čerstvý
• Cache-Control - definuje, ako má cache so stránkami zachádzať. Mezi zaujímavé Cache-Control hlavičky odpovedí patrí:
• max-age=[sekundy] - špecifikujú maximálnú časovú dobu, po ktorú bude objekt považovaný za čerstvý
• public - označuje odpoveď ako cacheovatelnú, aj keď normálne bola necacheovateľná. Napríklad pri autentizovaných stránkach.
• no-cache - núti cache poslať vždy žiadosť na validáciu na pôvodný server ešte pred tým, ako použije uloženú kópiu.
• must-revalidate - cache sa musí podrobiť všetkým informáciám o čerstvosti objektu, ktoré sú zadané.

Squid

Možnosti využitia proxy servera si predstavíme na populárnom a kvalitnom open-source proxy serveri pre cachovanie WWW stránok. Jeho meno je Squid (http://www.squid-cache.org). Pred inštaláciou Squida si treba uvedomiť, že prevažná časť činnosti proxy servera spočíva v uchovávaní objektov v pamäti a na disku. Čím viac budete mať pamäte, tým rýchlejší bude Váš proxy server. Ak sa údaje budú uchovávať na disku, rýchlosť diskov rapídne ovplyvní výkon proxy servera.

Inštalácia

Z adresy www.squid-cache.org si stiahneme stabilnú 2.5 verziu. Aktuálne squid-2.5STABLE9. Rozbalíme a standardne zkompilujeme

        % ./configure --prefix=/usr/local/squid
        % make all
        % make install

Konfigurácia

Ešte predtým ako sa pustíme do samotnej konfigurácie, je dobré pridať do /etc/passwd usera squid (useradd -d /usr/local/squid -s /bin/false squid), ak to za nás automaticky neurobil baličkovací nástroj. Ďalšou dôležitou vecou je, aby uživateľ squid mal prístup do adresára, kde sa nachádza cache.

Hlavným konfiguračným súborom je squid.conf, väčšinou umiestnený v adresári /etc/squid, alebo /usr/local/squid/etc. Určite oceníte veľa dobrých komentárov, ktoré však prispievajú k úctihodnej veľkosti konfiguračného súboru. Všetky voľby sú nastavené na rozumné defaultné hodnoty a zakomentované. Pri zmene netreba zabúdat riadok odkomentovať.

Po nainštalovaní Squida treba vytvoriť adresárovú štruktúru, v ktorej Squid uchováva obsah svojej cache. Niektoré distribúcie vytvoria túto štruktúru automaticky pri inštalácii alebo prvom spustení. Ak to však nie je váš prípad alebo ste Squid kompilovali zo zdrojových textov, musíte to spraviť ručne. Jedná sa o jednoduchý príkaz: /usr/local/squid/sbin/squid -z

Teraz si uvedieme ďalšie užitočné parametre:

• Spustenie Squida: /usr/local/squid/sbin/squid
• Zastavenie Squida: /usr/local/squid/sbin/squid -k shutdown
• Opätovné načítanie konfiguračných súborov: /usr/local/squid/sbin/squid -k reconfigure

• http_port 3128 - port, na ktorom Squid prijíma požiadavky klientov. Tento port je nevyhnutný pre činnosť Squida.
• cache_dir ufs /var/spool/squid 100 16 256 - nastavenie adresára s cacheovanými objektmi
• cache_mem 8 MB - veľkosť pamäte používaná na najviac používané objekty
• cache_peer cache.fi.muni.cz parent 3128 3130 - nastavenie rodičovského cachovacieho servera
• cache_effective_user squid cache_effective_group squid - práva pod ktorými squid beží
• auth_param basic program ... - nastavenie externého programu na autentizáciu uživateľa (LDAP, SMB, PAM, ... )

Riadenie prístupu pomocou ACL

Na kontrolu prístupu slúžia v nastavení Squida zoznamy na kontrolu prístupu (ACL - Access Control Lists).

Každý ACL sa skladá najmenej zo štyroch častí:

acl meno typ hodnota
acl meno typ "súbor"

• acl all src 0.0.0.0/0.0.0.0 - definuje ACL založené na zdrojovej IP adrese a maske
• acl localhost src 127.0.0.1/255.255.255.255
• acl aclname dst 192.168.0.0/255.255.255.0 - definuje ACL pre zadanú cieľovú IP adresu s maskou
• acl aclname srcdomain .fi.muni.cz - definuje ACL pre zadanú časť domény v zdrojovej adrese
• acl aclname dstdomain .fi.muni.cz - definuje ACL pre zadanú časť domény v cieľovej adresy
• acl aclname proto HTTP FTP - definuje ACL pre typ protokolu
• acl aclname port 80 70 21 - definuje ACL pre cieľový port alebo viacero cieľových portov
• acl aclname method GET POST - definuje ACL pre metódu protokolu HTTP

Autentizácia

O autentizácii sme sa už zmienili pri direktíve auth_param a teraz to trošku rozvedieme. Squid podporuje autentizáciu cez LDAP, PAM, SMB, NCSA, MSNT, SASL..., takže je len na nás, čo si vyberieme. Ďalej si musíme vytvoriť pomocou acl skupinu uživatelov, ktorá ma byť autentizovaná, alebo parametrom REQUIRED vynútime autentizáciu pre každého. Napríklad takto:

acl password proxy_auth REQUIRED
http_access allow password

Logovanie

Squid využíva prevažne tieto tri logovacie súbory:

• access.log - logovací súbor so záznamami každej požiadavky
• cache.log - logovací súbor so všeobecnými informáciami o správaní sa cache
• store.log - logovací súbor obsahujúci záznamy o objektoch, čase vloženia do cache, čase odstránenia a podobne

Transparentné proxy

Pre používanie proxy servera je nevyhnutné si v prehliadači nastaviť adresu a port, na ktorom proxy server počúva. Môžeme tomu však zabrániť používaním transparentného proxy servera, čo v preklade znamená asi toľko, že všetky HTTP požiadavky smerujúce von zo siete budú z portu 80 presmerované na port, na ktorom beží náš proxy server.

iptables -t nat -A PREROUTING -p tcp --dport 80 -s vnitrni_sit -i ! eth0 -j REDIRECT --to-port 3128

Ak by sme chceli squid používať ako transparentný, musíme pridať(pozmeniť) nasledujúce riadky v konfiguračnom súbore.

httpd_accel_host virtual
httpd_accel_port 80
httpd_accel_with_proxy on
httpd_accel_uses_host_header on

Špecializované proxy servery

Privoxy - je HTTP proxy server, ktorý spravuje cookies, kontroluje obsah webových stránok, odstraňuje z nich reklamy a rôzne bannery a potlačuje tvorbu vyskakovacích okien.

Junkbusters - ďalší z proxy serverov, ktoré blokujú v HTTP komunikácii reklamné bannery a neautorizované cookies

SOCKS5 - Socks5 je protokol na realizáciu proxy v transportnej vrstve. SOCKS proxy servery fungujú pre ľubovoľné služby za predpokladu, že aplikácia podporuje tento typ proxy servera.

Proxy servery pre iné protokoly

• ftp-gw - proxy pre ftp
• tn-gw - proxy pre telnet
• x-gw -- proxy pre X server

Odkazy

• SQUID článok z www.root.cz
• SQUID homepage
• Príručka systémového administrátora
• SQUID configuration manual