SQUID, HTTP проксі-сервер

Squid - це проксі-сервер і система кешування, яка дозволяє контролювати та моніторити вхідний і вихідний інтернет-трафік в мережі. Основна функція Squid - це обслуговування запитів від клієнтів (зазвичай веб-браузерів) та пересилання їх до віддалених серверів. При цьому Squid може кешувати (зберігати тимчасово) відповіді на запити, що дозволяє прискорити доступ до ресурсів і зменшити обсяг вихідного трафіку.

Всі дії я буду проводити на вже встановленому дистрибутиві Ubuntu 22.04
версія Squid 5.7.

Встановлення пакета squid та додаткових пакетів.

sudo apt install squid apache2-utils vim -y

Перейдемо до директорії з файлами конфігурації

cd /etc/squid
# переіменуємо основний файл конфігурації
mv squid.conf{,.back} 
# ця команда переіменує файл squid.conf в squid.con.back

# створимо чистий файл конфігурації
touch squid.conf
# створимо файл з іменами та хешами
touch passwd

Базова конфігурація, відкриваємо файл squid.conf

# вкажемо порт який будемо використовувавти (стандартний 3128)
http_port 3128
# журнал доступу
access_log /var/log/squid/access.log

# кешувння в файлову систему
cache_dir ufs /var/spool/squid 100 16 256
# кешування в оперативну пам'ять
cache_mem 256 MB
# вказуємо максимальний розмір обьекту кешування
maximum_object_size 32 MB

# створимо правила доступу
acl localnet src 172.16.100.0/24

# авторизація на сервері
auth_param basic program /usr/lib/squid/basic_ncsa_auth /etc/squid/passwd
auth_param basic children 5
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 2 hours
acl auth_users proxy_auth REQUIRED

# надамо доступ тільки із мережі localnet та тільки авторизованим
http_access allow localnet auth_users
# все інше заборонемо
http_access deny all

Розберемося з кешуванням
Що таке кешування, як вище було сказано це - тимчасове зберігання відповіді на запити, що дозволяє прискорити доступ до ресурсів і зменшити обсяг вихідного трафіку.

Директиви кешування в squid:
cache_dir - ця директива вказує на кешування в файлову систему, вона має наступні параметри:

• ufs (Unix File System) - цей параметр вказує що ми будемо кешувати в файлову систему Unix.

• /var/spool/squid - це шлях зберігання кешу

• 100 - це максимальна кількість каталогів в кеші. Кеш розділений на каталоги для полегшення операцій зберігання та пошуку.

• 16 - це кількість рівнів підкаталогів у каталозі. Висока кількість рівнів може полегшити пошук у великих кешах.

• 256 - це максимальний розмір кешу одного каталогу в мегабайтах.

cache_mem - ця директива вказує на кешування в оперативну пам’ять, вона має наступний параметр:

• 256 MB - це максимальний розмір оперативної пам’яті який може використовуватися для тимчасового зберігання кешу.

maximum_object_size - ця директива визначає максимальний розмір об'єкта який дозволено кешувати та зберігати в файловій системі, директива ніяк не впливає на максимальний розмір об’єктів які можуть кешуватися в оперативну пам’ять, вона має наступний параметр:

• 32 MB - це максимальний розмір об'єкта який squid зможе кешувати та зберігати в пам’яті файлової системи.

ACL (Access Control List або Список Контролю Доступу),
це механізм який дозволяє вам налаштовувати правила для контролю доступу до ресурсів чи функціоналу на основі різних умов.
В нашому випадку ми використовуємо для вказання мережі із якої дозволено доступ acl localnet src 172.16.100.0/24 та вказання надаємо доступ тільки авторизованим користувачам acl auth_users proxy_auth REQUIRED, розберемо цю директиву на доступі із мережі:

• acl - оголошення що будемо використовувати список доступу.

• localnet - назва списку доступу

• src - тип списку доступу

• 172.16.100.0/24 - аргумент за яким здійснюється доступ

Авторизація
- це процес визначення та перевірки ідентичності користувачів, які намагаються отримати доступ до ресурсів через проксі-сервер. Squid підтримує різні методи авторизації, і одним із найпоширеніших є базова HTTP-авторизація та авторизація через ідентифікатори користувача (ідентифікатори клієнта).

В нашому випадку ми використовуємо ідентифікатори користувача - це його IP адреса та HTTP-авторизацію. З ідентифікатора користувача все просто ми вже визначили в списках доступу (acl) що дозволимо підключатися тільки із мережі localnet, розберімось з HTTP-авторизацією, за це в нашій конфігурації відповідають наступні рядки:

# авторизація на сервері
auth_param basic program /usr/lib/squid/basic_ncsa_auth /etc/squid/passwd
auth_param basic children 5
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 2 hours

auth_param - це директива яка вказує що буде проводитися аутентифікація користувача, вона визначає параметри аутентифікації:

• basic - параметр вказує на те що буде проведена базова HTTP-авторизація

• program - параметри вказує що буде використовуватися зовнішня програма для аутентифікації.

  • /usr/lib/squid/basic_ncsa_auth - програма для проведення базової HTTP-авторизації

• /etc/squid/passwd - параметри який передаємо в програму авторизації, в нашому випадку це файл в якому будуть зберігатися імена та хеш користувачів.

• children - параметри яким ми вказуємо скільки дочірніх процесів буде використано для обробки запитів авторизації, в нашому випадку це 5.

• realm - параметри який визначає текст, який відображається у вікні запиту на введення імені користувача та пароля, в нашому випадку це `Squid proxy-caching web server`.

• credentialsttl - параметр вказує, протягом якого часу Squid може вважати авторизацію дійсну без необхідності повторної аутентифікації, в нашому випадку `2 hours` - 2 години.

Надання та заборона доступу

В Squid, контроль доступу визначає, яким користувачам та яким джерелам дозволяється чи забороняється використовувати проксі-сервер. Для цього використовується директива http_access, за замовчуванням доступ заборонено всім. Вище ми з Вами розглядали списки доступу (acl) в яких визначено що доступу надаємо тільки користувачам які підключаються із мережі localnet та тільки користувачам які авторизувалися. В наші конфігурації надання та заборона доступу визначені в наступних рядках:

# надамо доступ тільки із мережі localnet та тільки авторизованим
http_access allow localnet auth_users
# все інше заборонемо
http_access deny all

http_access - це директива яка дозволяє чи забороняє доступ за вказаними умовами

• allow - дозволити доступ наступним спискам доступу (acl):

  • localnet - користувачам із мережі 172.16.100.0/24

  • auth_users - користувачам які пройшли авторизацію

• deny - заборонити доступ

  • all - параметр яки визначений та забороняє доступ всім.

Базову конфігурацію самого серверу ми закінчили зберігаємо файл squid.conf, перезавантажуємо squid:

systemctl restart squid

Залишилося створити користувачів для доступу на наш сервер, виконаємо наступну команду:

# додамо користувача
htpasswd /etc/squid/passwd proxyuser

htpasswd - це інструмент командного рядка, який використовується для створення та управління файлами паролів для аутентифікації HTTP.

• /etc/squid/passwd - файл в якому зберігаються імена та хеш користувачів.

• proxyuser - ім’я користувача.

# виконавши команду ми повинні вказати паролль для користувача
root@your-node:~# htpasswd /etc/squid/passwd proxyuser
# пароль користувача
New password:
# повторіть пароль користувача
Re-type new password:

На цьому ми закінчили налаштування нашого проксі-сервера. Коротко про те що ми зробили:

• Встановили на Ubuntu 22.04 проксі сервер Squid 5.7

• Налаштували файл конфігурації:

  • Включили кешування

  • Налаштували ідентифікацію користувачів за мережею

  • Налаштували базову HTTP-авторизацію користувачів

Дякую за увагу, залишайте свої питання в коментарях буду радий відповісти.

Наступного разу ми об’єднаємо HTTP проксі-сервер та політики маршрутизації (таблицю маршрутизації) із попередньої статті.