Cr\u00e9dito: Carlos E. Morimoto <\/p>\n
O problema com o modelo de configura\u00e7\u00e3o minimalista que acabamos de ver \u00e9 que com apenas estas quatro linhas o proxy ficar\u00e1 muito aberto. Se voc\u00ea deixar o servidor proxy ativo no pr\u00f3prio servidor que compartilha a conex\u00e3o e n\u00e3o houver nenhum firewall ativo, qualquer um na internet poderia usar o seu proxy, o que naturalmente n\u00e3o \u00e9 desejado. O proxy deve ficar ativo apenas para a rede local. <\/p>\n
Vamos gerar, ent\u00e3o, um arquivo mais completo, permitindo que apenas os micros da rede local possam usar o proxy e definindo mais algumas pol\u00edticas de seguran\u00e7a. Neste segundo exemplo j\u00e1 aproveitei algumas linhas do arquivo original, criando regras que permitem o acesso a apenas algumas portas espec\u00edficas e n\u00e3o mais a qualquer coisa, como na configura\u00e7\u00e3o anterior:<\/p>\n
http_port 3128
\nvisible_hostname gdh
\nacl all src 0.0.0.0\/0.0.0.0
\nacl manager proto cache_object
\nacl localhost src 127.0.0.1\/255.255.255.255
\nacl SSL_ports port 443 563
\nacl Safe_ports port 80 # http
\nacl Safe_ports port 21 # ftp
\nacl Safe_ports port 443 563 # https, snews
\nacl Safe_ports port 70 # gopher
\nacl Safe_ports port 210 # wais
\nacl Safe_ports port 280 # http-mgmt
\nacl Safe_ports port 488 # gss-http
\nacl Safe_ports port 591 # filemaker
\nacl Safe_ports port 777 # multiling http
\nacl Safe_ports port 901 # swat
\nacl Safe_ports port 1025-65535 # portas altas
\nacl purge method PURGE
\nacl CONNECT method CONNECT
\nhttp_access allow manager localhost
\nhttp_access deny manager
\nhttp_access allow purge localhost
\nhttp_access deny purge
\nhttp_access deny !Safe_ports
\nhttp_access deny CONNECT !SSL_ports
\nacl redelocal src 192.168.1.0\/24
\nhttp_access allow localhost
\nhttp_access allow redelocal
\nhttp_access deny all
\nAs acl’s “SSL_ports” e a “Safe_ports” s\u00e3o as respons\u00e1veis por limitar as portas que podem ser usadas atrav\u00e9s do proxy. Neste exemplo, usei a configura\u00e7\u00e3o-modelo indicada na documenta\u00e7\u00e3o do Squid, que prev\u00ea o uso de diversos protocolos conhecidos e tamb\u00e9m o uso de portas altas, acima da 1024. Ela \u00e9 t\u00e3o extensa porque cada porta \u00e9 especificada em uma linha diferente. Podemos simplificar isso agrupando as portas na mesma linha, o que resulta em um arquivo de configura\u00e7\u00e3o muito menor, mas que faz exatamente a mesma coisa:<\/p>\n
http_port 3128
\nvisible_hostname gdh
\nacl all src 0.0.0.0\/0.0.0.0
\nacl manager proto cache_object
\nacl localhost src 127.0.0.1\/255.255.255.255
\nacl SSL_ports port 443 563
\nacl Safe_ports port 21 80 443 563 70 210 280 488 59 777 901 1025-65535
\nacl purge method PURGE
\nacl CONNECT method CONNECT
\nhttp_access allow manager localhost
\nhttp_access deny manager
\nhttp_access allow purge localhost
\nhttp_access deny purge
\nhttp_access deny !Safe_ports
\nhttp_access deny CONNECT !SSL_ports
\nacl redelocal src 192.168.1.0\/24
\nhttp_access allow localhost
\nhttp_access allow redelocal
\nhttp_access deny all
\nVeja que em ambos os exemplos adicionei duas novas acl’s. A acl “localhost” cont\u00e9m o endere\u00e7o 127.0.0.1, que voc\u00ea utiliza ao usar o proxy localmente (ao navegar usando o pr\u00f3prio servidor), e a acl “rede local”, que inclui os demais micros da rede local. Substitua o “192.168.1.0\/24” pela faixa de endere\u00e7os IP e a m\u00e1scara de sub-rede usada na sua rede local (o 24 equivale \u00e0 mascara 255.255.255.0).
\nDepois de criadas as duas pol\u00edticas de acesso, v\u00e3o duas linhas no final do arquivo que especificam que os micros que se enquadrarem nelas poder\u00e3o usar o proxy:
\nhttp_access allow localhost
\nhttp_access allow redelocal
\nLembra-se da acl “all”, que cont\u00e9m todo mundo? Vamos us\u00e1-la para especificar que os clientes que n\u00e3o se enquadrarem nas duas regras acima (ou seja, clientes n\u00e3o-autorizados, vindos da Internet) n\u00e3o poder\u00e3o usar o proxy:
\nhttp_access deny all
\nEsta linha deve ir no final do arquivo, depois das outras duas. A ordem \u00e9 importante, pois o Squid interpreta as regras na ordem em que s\u00e3o colocadas no arquivo. Se voc\u00ea permite que o micro X acesse o proxy, ele acessa, mesmo que uma regra mais abaixo diga que n\u00e3o.
\nSe voc\u00ea adicionasse algo como:
\nacl redelocal src 192.168.1.0\/24
\nhttp_access allow redelocal
\nhttp_access deny redelocal
\n… os micros da rede local continuariam acessando, pois a regra que permite vem antes da que pro\u00edbe.
\nExistem alguns casos de sites que n\u00e3o funcionam bem quando acessados atrav\u00e9s de proxies, um exemplo comum \u00e9 o “Conectividade Social”, da Caixa. Normalmente nesses casos o problema est\u00e1 em algum recurso fora do padr\u00e3o usado pelo sistema do site e n\u00e3o no servidor proxy propriamente dito, mas, de qualquer forma, voc\u00ea pode solucionar o problema de forma muito simples orientando o servidor proxy a repassar as requisi\u00e7\u00f5es destinadas ao site diretamente. <\/p>\n
Para isso, adicionamos uma ACL na configura\u00e7\u00e3o, especificando a URL do site e usando a op\u00e7\u00e3o “always_direct”:
\nacl site dstdomain siteproblematico.com
\nalways_direct allow site
\nEsta regra deve vir antes da regra que libera os acessos provenientes da rede local, como em:
\nacl site dstdomain siteproblematico.com
\nalways_direct allow site
\nacl redelocal src 192.168.1.0\/24
\nhttp_access allow localhost
\nhttp_access allow redelocal
\nhttp_access deny all
\nDepois de configurar o arquivo, n\u00e3o se esque\u00e7a de reiniciar o servi\u00e7o para que a configura\u00e7\u00e3o entre em vigor:
\n# \/etc\/init.d\/squid restart
\nNesse ponto o seu proxy j\u00e1 est\u00e1 completamente funcional. Voc\u00ea pode come\u00e7ar a configurar os navegadores nos PCs da rede local para utiliz\u00e1-lo e acompanhar o desempenho da rede. Agora que j\u00e1 vimos o arroz com feij\u00e3o, vamos aos detalhes mais avan\u00e7ados da configura\u00e7\u00e3o:<\/p>\n","protected":false},"excerpt":{"rendered":"
Cr\u00e9dito: Carlos E. Morimoto O problema com o modelo de configura\u00e7\u00e3o minimalista que acabamos de ver \u00e9 que com apenas estas quatro linhas o proxy ficar\u00e1 muito aberto. Se voc\u00ea deixar o servidor proxy ativo no pr\u00f3prio servidor que compartilha a conex\u00e3o e n\u00e3o houver…<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":[],"categories":[2],"tags":[],"_links":{"self":[{"href":"https:\/\/blog.abratel.com.br\/index.php?rest_route=\/wp\/v2\/posts\/50"}],"collection":[{"href":"https:\/\/blog.abratel.com.br\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/blog.abratel.com.br\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/blog.abratel.com.br\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/blog.abratel.com.br\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=50"}],"version-history":[{"count":0,"href":"https:\/\/blog.abratel.com.br\/index.php?rest_route=\/wp\/v2\/posts\/50\/revisions"}],"wp:attachment":[{"href":"https:\/\/blog.abratel.com.br\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=50"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/blog.abratel.com.br\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=50"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/blog.abratel.com.br\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=50"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}