|
Guia: Compartilhando a conexão e configurando o SquidCarlos E. Morimoto 20/11/2006 Configurando um servidor proxy com o Squid
Ao compartilhar via NAT, os micros da rede acessam a internet diretamente, sem restrições. O servidor apenas repassa as requisições recebidas, como um garoto de recados. O proxy é como um burocrata que não se limita a repassar as requisições: ele analisa todo o tráfego de dados, separando o que pode ou não pode passar e guardando informações para uso posterior. Compartilhar a conexão via NAT é mais simples do que usar um proxy como o Squid sob vários aspectos. Você compartilha a conexão no servidor, configura os clientes para o utilizarem como gateway e pronto. Ao usar um proxy, além da configuração da rede, é necessário configurar o navegador e cada outro programa que for acessar a internet em cada cliente para usar o proxy. Esta é uma tarefa tediosa e que acaba dando bastante dor de cabeça a longo prazo, pois toda vez que um micro novo for colocado na rede ou for preciso reinstalar o sistema, será preciso fazer a configuração novamente. A configuração do proxy muda de navegador para navegador. No Firefox, por exemplo, você a encontra em "Editar > Preferências > Geral > Proxy". No IE, a configuração está em "Opções da Internet > Opções > Configurações da Lan > Usar um servidor Proxy".
Além do navegador, outros programas podem ser configurados para trabalhar através do proxy: clientes de ICQ e MSN e até programas P2P. As vantagens de usar um proxy são basicamente três: 1- É possível impor restrições de acesso com base no horário, login, endereço IP da máquina e outras informações e bloquear páginas com conteúdo indesejado. 2- O proxy funciona como um cache de páginas e arquivos, armazenando informações já acessadas. Quando alguém acessa uma página que já foi carregada, o proxy envia os dados que guardou no cache, sem precisar acessar a mesma página repetidamente. Isso acaba economizando bastante banda, tornando o acesso mais rápido, sem precisar investir em uma conexão mais rápida. Hoje em dia os sites costumam usar páginas dinâmicas, onde o conteúdo muda a cada visita, mas, mesmo nestes casos, o proxy dá uma ajuda, pois embora o html seja diferente a cada visita, e realmente precise ser baixado de novo, muitos componentes da página, como ilustrações, banners e animações em flash, podem ser aproveitados do cache, diminuindo o tempo total de carregamento.
Dependendo da configuração, o proxy pode apenas acelerar o acesso às páginas ou servir como um verdadeiro cache de arquivos, armazenando atualizações do Windows Update, downloads diversos e pacotes instalados através do apt-get, por exemplo. Ao invés de ter que baixar o Service Pack XYZ do Windows XP ou o OpenOffice nos 10 micros da rede, você vai precisar baixar apenas no primeiro, pois os outros 9 vão baixar a partir do cache do Squid. 3- Uma terceira vantagem de usar um proxy é que ele loga todos os acessos. Você pode visualizar os acessos posteriormente usando o Sarg, assim você sabe quem acessou quais páginas e em que horários. Além de tudo, o Squid é "dedo-duro" ;). Mesmo assim, você pode estar achando que as vantagens não vão compensar o trabalho de sair configurando micro por micro, programa por programa para usar o proxy, e que é mais fácil simplesmente compartilhar via NAT. Mas existe a possibilidade de juntar as vantagens das duas formas de compartilhamento, configurando um proxy transparente como veremos adiante. Ao usar um proxy transparente, você tem basicamente uma conexão compartilhada via NAT, com a mesma configuração básica nos clientes. O proxy entra na história como um adicional. Uma regra de firewall envia as requisições recebidas na porta 80 do servidor para o proxy, que se encarrega de responder aos clientes. Toda a navegação passa a ser feita automaticamente através do proxy (incluindo o cache dos arquivos do Windows update, downloads diversos e os pacotes instalados através do apt-get), sem que você precise fazer nenhuma configuração adicional nos clientes :).
O Kurumin inclui um script de instalação e configuração de proxy, disponível juntamente com meus outros scripts no painel de configuração de servidores. O script permite instalar o proxy, estabelecer algumas restrições de acesso e ativar o proxy transparente de forma simples. Neste tópico veremos como configurar o Squid "no muque" e criar regras elaboradas de restrição de acesso em qualquer distribuição.
Instalando o Squid
# apt-get install squid Toda a configuração do Squid é feita em um único arquivo, o "/etc/squid/squid.conf". Caso você esteja usando uma versão antiga do Squid, como a incluída no Debian Woody, por exemplo, o arquivo pode ser o "/etc/squid.conf". Apesar da mudança na localização do arquivo de configuração, as opções descritas aqui vão funcionar sem maiores problemas. O arquivo original, instalado junto com o pacote, é realmente enorme, contém comentários e exemplos para quase todas as opções disponíveis. Ele pode ser uma leitura interessante se você já tem uma boa familiaridade com o Squid e quer aprender mais sobre cada opção. Mas, de início, é melhor começar com um arquivo de configuração mais simples, apenas com as opções mais usadas. Em geral, cada distribuição inclui uma ferramenta diferente para a configuração do proxy, como o ícone mágico que incluí no Kurumin. Uma das mais usadas é o Webmin, disponível em várias distribuições. A função destas ferramentas é disponibilizar as opções através de uma interface gráfica e gerar o arquivo de configuração com base nas opções escolhidas. Em alguns casos estas ferramentas ajudam bastante. Mas como elas mudam de distribuição para distribuição, acaba sendo mais produtivo aprender a trabalhar direto no arquivo de configuração, que, afinal, não é tão complicado assim. Comece renomeando o arquivo padrão: # mv /etc/squid/squid.conf /etc/squid/squid.conf.velho ... e crie um novo arquivo "/etc/squid/squid.conf", com apenas as quatro linhas abaixo:
http_port
3128 Estas linhas são o suficiente para que o Squid "funcione". Como você percebeu, aquele arquivo de configuração gigante tem mais uma função informativa, citando e explicando as centenas de opções disponíveis. Não se esqueça de substituir o "kurumin" na opção "visible_hostname" pelo nome correto do seu servidor, como informado pelo comando "hostname". As quatro linhas dizem o seguinte: http_port 3128: A porta onde o servidor Squid vai ficar disponível. A porta 3128 é o default. visible_hostname kurumin: O nome do servidor, o mesmo que foi definido na configuração da rede. acl all src 0.0.0.0/0.0.0.0 e http_access allow all: Estas duas linhas criam uma acl (uma política de acesso) chamada "all" (todos), incluindo todos os endereços IP possíveis. Ela permite que qualquer um dentro desta lista use o proxy, ou seja, permite que qualquer um use o proxy, sem limitações. Para testar a configuração, reinicie o servidor Squid com o comando: # /etc/init.d/squid restart Se estiver no Slackware, o comando será: # /etc/rc.d/rc.squid restart Configure um navegador (no próprio servidor) para usar o proxy, através do endereço 127.0.0.1 (o localhost), porta 3128, e teste a conexão. Se tudo estiver ok, você conseguirá acessar o proxy também através dos outros micros da rede local, basta configurar os navegadores para usarem o proxy, fornecendo o endereço do servidor na rede local.
Criando uma configuração básica
Vamos gerar, então, um arquivo mais completo, permitindo que apenas os micros da rede local possam usar o proxy e definindo mais algumas políticas de segurança. Neste segundo exemplo já aproveitei algumas linhas do arquivo original, criando regras que permitem o acesso a apenas algumas portas e não a qualquer coisa, como na configuração anterior:
http_port
3128
acl
all src 0.0.0.0/0.0.0.0
http_access
allow manager localhost
acl
redelocal src 192.168.1.0/24 http_access deny all Veja que agora criei duas novas acl's. A acl "localhost" contém o endereço 127.0.0.1, que você utiliza ao usar o proxy localmente (ao navegar usando o próprio servidor), e a acl "rede local", que inclui os demais micros da rede local. Substitua o "192.168.1.0/24" pela a faixa de endereços IP e a máscara de sub-rede usada na sua rede local (o 24 equivale à mascara 255.255.255.0). Depois de criadas as duas políticas de acesso, vão duas linhas no final do arquivo que especificam que os micros que se enquadrarem nelas poderão usar o proxy:
http_access
allow localhost Lembra-se da acl "all", que contém todo mundo? Vamos usá-la para especificar que quem não se enquadrar nas duas regras acima (ou seja, micros não-autorizados, da internet) não poderá usar o proxy: http_access deny all Esta linha deve ir no final do arquivo, depois das outras duas. A ordem é importante, pois o Squid interpreta as regras na ordem em que são colocadas no arquivo. Se você permite que o micro X acesse o proxy, ele acessa, mesmo que uma regra mais abaixo diga que não. Se você adicionasse algo como:
acl
redelocal src 192.168.1.0/24 ... os micros da rede local continuariam acessando, pois a regra que permite vem antes da que proíbe.
Configurando o cache de páginas e arquivos
1- Cache rápido, feito usando parte da memória RAM
do servidor. O cache na memória RAM é ideal para armazenar arquivos pequenos, como páginas .html e imagens, que serão entregues instantaneamente para os clientes. O cache no HD é usado para armazenar arquivos maiores, como downloads, arquivos do Windows update e pacotes baixados pelo apt-get. O cache na memória RAM é sempre relativamente pequeno. Em um servidor não-dedicado (ou seja, uma máquina que é usada para fazer outras coisas, mas roda também o proxy), você vai reservar algo como 32 ou 64 MB de RAM para o cache, a fim de evitar que o cache do Squid ocupe toda a memória RAM, deixando o micro lento. Se você tiver uma rede maior e preferir deixar um micro dedicado apenas para o Squid, então o cache pode ter até 1/3 da memória RAM do servidor. Não caia no erro de reservar quase toda a RAM para o cache, pois além do cache o sistema vai precisar de memória para fazer outras coisas. Em um servidor com 1 GB de RAM você pode reservar uma percentagem um pouco maior, como 1/2 da memória total. O cache no HD pode ser mais generoso, afinal a idéia é que ele guarde todo tipo de arquivos, principalmente os downloads grandes, que demoram para ser baixados. A única limitação neste caso é o espaço livre no HD. A configuração do cache é feita adicionando mais algumas linhas no arquivo de configuração: 1- A configuração da quantidade de memória RAM dedicada ao cache é feita adicionando a opção "cache_mem", que contém a quantidade de memória que será dedicada ao cache. Para reservar 64 MB, por exemplo, a linha ficaria: cache_mem 64 MB 2- Abaixo vai mais uma linha, que determina o tamanho máximo dos arquivos que serão guardados no cache feito na memória RAM (o resto vai para o cache feito no HD). O cache na memória é muito mais rápido, mas como a quantidade de RAM é muito limitada, é melhor deixá-la disponível para páginas web, figuras e arquivos pequenos em geral. Para que o cache na memória armazene arquivos de até 64 KB, por exemplo, adicione a linha: maximum_object_size_in_memory 64 KB 3- Em seguida vem a configuração do cache em disco, que armazenará o grosso dos arquivos. Por default, o máximo são downloads de 16 MB e o mínimo é zero, o que faz com que mesmo imagens e arquivos pequenos sejam armazenados no cache. Quase sempre é mais rápido ler a partir do cache do que baixar de novo da web, mesmo que o arquivo seja pequeno. Se você faz download de arquivos grandes e deseja que eles fiquem armazenados no cache, aumente o valor da opção "maximum_object_size". Isso é especialmente útil para quem precisa baixar muitos arquivos através do apt-get ou Windows update em muitos micros da rede. Se você quiser que o cache armazene arquivos de até 512 MB, por exemplo, as linhas ficariam:
maximum_object_size
512 MB Você pode definir ainda a percentagem de uso do cache que fará o Squid começar a descartar os arquivos mais antigos. Por padrão, sempre que o cache atingir 95% de uso, serão descartados arquivos antigos até que a percentagem volte para um número abaixo de 90%:
cache_swap_low
90 4- Depois vem a configuração do tamanho do cache em disco propriamente dita, que é composta por quatro valores. O primeiro, (/var/spool/squid) indica a pasta onde o Squid armazena os arquivos do cache. Você pode querer alterar para uma pasta em uma partição separada, por exemplo. O "2048" indica a quantidade de espaço no HD (em MB) que será usada para o cache. Aumente o valor se você tem muito espaço no HD do servidor e quer que o Squid guarde os downloads por muito tempo. Finalmente, os números 16 256 indicam a quantidade de subpastas que serão criadas dentro do diretório. Por padrão, temos 16 pastas com 256 subpastas cada uma. O número "ideal" de pastas e subpastas para um melhor desempenho varia de acordo com o sistema de arquivos usado, mas esta configuração padrão é adequada para a maioria das situações: cache_dir ufs /var/spool/squid 2048 16 256 5- Você pode definir ainda o arquivo onde são guardados os logs de acesso do Squid. Por padrão, o Squid guarda o log de acesso no arquivo "/var/log/squid/access.log". Este arquivo é usado pelo Sarg para gerar as páginas com as estatísticas de acesso. cache_access_log /var/log/squid/access.log 6- Mais uma configuração que você pode querer alterar é o padrão de atualização do cache. Estas três linhas precisam sempre ser usadas em conjunto, ou seja, você pode alterá-las, mas sempre as três precisam estar presentes no arquivo. Eliminando um, o Squid ignora as outras duas e usa o default. Os números indicam o intervalo (em minutos) que o Squid irá aguardar antes de verificar se um item do cache (uma página, por exemplo) foi atualizado, para cada um dos três protocolos. O primeiro número (o 15) indica que o Squid verificará (a cada acesso) se as páginas e arquivos com mais de 15 minutos foram atualizados. Ele faz uma verificação rápida, checando o tamanho do arquivo, o que é rápido. Se o arquivo não mudou, ele continua fornecendo aos clientes o arquivo que está no cache, economizando banda da conexão O terceiro número (o 2280, equivalente a dois dias) indica o tempo máximo, depois do qual o objeto é sempre verificado. Além do http e ftp, o Squid suporta o protocolo gopher, que era muito usado nos primórdios da internet para localizar documentos de texto, mas perdeu a relevância hoje em dia:
refresh_pattern
^ftp: 15 20% 2280 Depois de adicionar estas configurações todas, o nosso arquivo de configuração já ficará bem maior:
http_port
3128
cache_mem
32 MB
acl
all src 0.0.0.0/0.0.0.0
http_access
allow manager localhost
acl
redelocal src 192.168.1.0/24 http_access deny all Aqui já temos uma configuração mais completa, incluindo um conjunto de regras de segurança (para que o proxy seja usado apenas a partir da rede local) e a configuração do cache. Esta é uma configuração adequada para uso em uma rede doméstica ou pequeno escritório. Em uma rede maior, você provavelmente iria querer adicionar algumas limitações de acesso, limitando o acesso a algumas páginas, criando um sistema de autenticação ou limitando o uso com base no horário, entre outras possibilidades. 
|
