1. Servidores
Proxy

2. Servidor Proxy Web
 Se trata de un proxy para una aplicación
específica: el acceso a la web. Aparte de la
utilidad general de un proxy, proporciona una
cache para las páginas web y los contenidos
descargados, que es compartida por todos los
equipos de la red, con la consiguiente mejora en
los tiempos de acceso para consultas coincidentes.
Al mismo tiempo libera la carga de los enlaces
hacia Internet.

3. Funcionamiento
 El cliente realiza una petición (p.e. mediante un navegador
web) de un recurso de Internet (una página web o cualquier
otro archivo) especificado por una URL.
 Cuando el proxy caché recibe la petición, busca la URL
resultante en su caché local. Si la encuentra, devuelve el
documento inmediatamente, si no es así, lo captura del
servidor remoto, lo devuelve al que lo pidió y guarda una
copia en su caché para futuras peticiones.

4. Ejemplo
 Un cliente de un ISP manda una petición a Google la petición
llega en un inicio al servidor Proxy que tiene este ISP, no va
directamente a la dirección IP del dominio de Google. Esta
página concreta suele ser muy solicitada por un alto porcentaje
de usuarios, por lo tanto el ISP la retiene en su Proxy por un
cierto tiempo y crea una respuesta mucho menor en tiempo.
Cuando el usuario crea una búsqueda el servidor Proxy ya no es
utilizado y el ISP envía su petición y el cliente recibe su
respuesta ahora sí desde Google.

5. Ventajas
 Ahorro de Tráfico
 Velocidad en Tiempo de respuesta
 Demanda a Usuarios
 Filtrado de contenidos
 Modificación de contenidos

6. Desventajas
 Las páginas mostradas pueden no estar actualizadas si éstas
han sido modificadas desde la última carga que realizó el
proxy caché.
 El hecho de acceder a Internet a través de un Proxy, en vez
de mediante conexión directa, impide realizar operaciones
avanzadas a través de algunos puertos o protocolos.
 Almacenar las páginas y objetos que los usuarios solicitan
puede suponer una violación de la intimidad para algunas
personas.

7. Proxies transparentes
 Un proxy transparente combina un servidor proxy
con NAT de manera que las conexiones son
enrutadas dentro del proxy sin configuración por
parte del cliente, y habitualmente sin que el propio
cliente conozca de su existencia

8. Squid

9. Squid
 Squid es el software para servidor Proxy más
popular y extendido entre los sistemas operativos
basados sobre UNIX.
 Es muy confiable, robusto y versátil.
 Al ser software libre, además de estar disponible el
código fuente, está libre del pago de costosas
licencias por uso o con restricción a un uso con
determinado número de usuarios.

10. Squid
 Squid es un servidor Web Proxy con caché, lo que
permite agilizar el acceso a Internet de manera
considerable.
 Para usar el servidor Proxy se debe configurar
manualmente el navegador Web, o bien con un
script de actualización automática.

11. Squid
 /etc/squid/squid.conf
 http_port 3128
 cache_mem 16 MB
 cache_dir ufs /var/spool/squid 500 16 256
 ftp_user proxy@su-dominio.net
 cache_mgr joseperez@midominio.net
 maximum_object_size 4096 KB
 prefer_direct off

12. Squid - ACL
 Es necesario establecer Listas de Control de
Acceso que definan una red o bien ciertas
maquinas en particular.
 A cada lista se le asignará una Regla de Control de
Acceso que permitirá o denegará el acceso a Squid.
 acl [nombre de la lista] src [lo que compone a la lista]

13. Squid ACL
 acl mynetwork src 192.168.27.0/255.255.255.0
 http_access [deny o allow] [lista de control de
acceso]
 http_access allow mynetwork
 http_access deny !safe_ports
 http_access deny CONNECT !SSL_ports

14. Squid
 Al menos una Lista de Control de Acceso
 Al menos una Regla de Control de Acceso
 Acelerar Web
 httpd_accel_host
 httpd_accel_port
 httpd_accel_with_proxy

15. Squid
 Proxy transparente, los navegadores no necesitan
cambiar su configuración.
 iptables -t nat -A PREROUTING -i eth0 -p tcp
--dport 80 -j REDIRECT –to-port 3128
 echo 1 > /proc/sys/net/ipv4/ip_forward

16. Squid
 acl msn_messenger req_mime_type -i ^application/
x-msn-messenger$
 http_access deny msn_messenger
 acl msn_url url_regex -i gateway.dll
 acl msn_port port 1863
 http_access deny msn_method msn_url
 http_access deny msn_port
 http_access deny CONNECT msn_port

17. Controles de Acceso
 Es necesario establecer Listas de Control de
Acceso que definan una red o un rango de
direcciones IP en particular.
 A cada lista se le asignará una Regla de Control de
Acceso que permitirá o denegará el acceso a Squid.

18. Lista de Control de acceso
 acl [nombre de la lista] src [lo que compone a la lista]
 Si se desea establecer una lista de controld e acceso que
abarque toda una red 192.168.1.0/24.
acl miredlocal src 192.168.1.0/255.255.255.0
 Creando una lista de control de acceso en un fichero
acl permitidos src “/etc/squid/acl/permitidos”

19. Lista de Control de acceso
 El archivo “/etc/squid/acl/permitidos” contendría
algo así:
192.168.1.1
192.168.1.2
192.168.1.3
192.168.1.4
192.168.1.5

20. url_regex
 acl sitiosnegados url_regex "/etc/squid/sitiosnegados"
www.sitioporno.com
sitioindeseable.com
napster
sex
porn
mp3
xxx
adult
 acl youtube url_regex -i youtube.com

21. Restringir por tiempo
 acl <nombre> time [abreviación-día] [h1:m1-h2:m2]
S -> Domingo (Sunday)
M -> Lunes (Monday)
T -> Martes (Tuesday)
W -> Miércoles (Wednesday)
H -> Jueves (Thursday)
F -> Viernes (Friday)
A -> Sábado (Saturday)
 acl dias time MTWHF 08:00-18:00

22. Restringir por extensión
 acl extensiones urlpath_regex "/etc/squid/extensiones"
.avi$
.mp4$
.mp3$
.mp4$
.mpg$
.mpeg$
.mov$
.exe$
.bat$

23. Tips
 El parametro cache_mem debe ser 1/3 de la memoria RAM.
 Cada vez que se modifique el archivo /etc/squid.conf o alguna
ACL hay que recargar el servicio squid.
 /etc/init.d/squid reload
 Se recomiendo poner el spool del cache en otra partición
 /dev/hda6 /var/spool/squid
 Para ver si esta filtrando adecuadamente hay que ver los logs
del squid en linea.
 tail ­f /var/log/squid/access.log