Proxy szerver alapvető beállítása

Terméktámogatási adatbázis (tsaupe_proxy)
Következőkre vonatkozik

SuSE Linux: Verziók a következő dátum óta: 8.0

Szituáció

Szeretnénk beállítani egy internet kapcsolatot a helyi hálózat számára.

A maszkolással és útválasztással kapcsolatban olvassuk el az alábbi cikket, természetesen egy proxy szervert is beállíthatunk az útvonalválasztó gépen.

A proxy szerver előnye az, hogy nem engedélyez közvetlen hozzáférést a helyi hálózatba semmiféle csomagnak az internet irányából. A TCP csomagokat maga a proxy dolgozza fel és az eredményeket hozzáférhetővé teszi a helyi hálózat számára. A proxy ezen felül lehetővé teszi a jogosultságok és a naplózás részletes beállítását is.
A gyorstárazó proxyk, melyeket e sorokban ismertetünk, általában az Internet elérését web böngészőn keresztül biztosítják. Az olyan szolgáltatások, mint a Real Audio, News vagy videókonderencia, nem támogatottak. Ha szeretnénk az SMTP és az útválasztó gép közötti e-mail forgalmat irányítani, egy levéltovábbítót (Mail Transfer Agent - MTA) is be kell állítanunk.

A biztonság érdekében legalább egy személyes tűzfalat is kell használnunk az útválasztó gép megvédéséhez az Internetről érkező nem kívánt látogatók ellen.
Ehhez szúrjuk be a következő sort az /etc/sysconfig/personal-firewall fájlba:
	REJECT_ALL_INCOMING_CONNECTIONS=< kimenő_eszköz >
< kimenő_eszköz > lehet ippp0 vagy ppp0t, esetleg eth0, a kapcsolattól függően (ISDN vagy ADSL).
További információkért olvassuk el az alábbi cikket: Tűzfal aktiválása

Eljárás

A SuSE Linux magyar kiadása a squid és wwwoffle proxy szervereket is tartalmazza. A következő instrukciók a squid beállítására vonatkoznak.

Telepítsük a squid csomagot az alábbi csoportból:

	Hálózat/Szerver
A squid beállítófájlját az alábbi helyen találjuk:
	/etc/squid/squid.conf

A legtöbb beállítás alaphelyzetben hagyható. A klienstől történő elérés engedélyezéséhez csupán az acl and http_access szekció bejegyzéseit kell megváltoztatnunk. További biztonság érdekében a http_port beállításain is igazítanunk kell.

Ehhez keressünk rá a következő bejegyzésekre a squid.conf fájlban:

	acl all src 0.0.0.0/0.0.0.0
	acl manager proto cache_object
	acl localhost src 127.0.0.1/255.255.255.255
és változtassuk meg erre:
        acl all src 0.0.0.0/0.0.0.0
        acl manager proto cache_object
        acl localhost src 127.0.0.1/255.255.255.255
	acl SSL_ports port 443 563
	acl Safe_ports port 80 21 443 563 70 210 280 488 591 777 1025-65535
	acl CONNECT method CONNECT
        acl allowed_hosts src 192.168.10.0/255.255.255.0
Az acl allowed_hosts src 192.168.10.0/255.255.255.0 sornál mind a 192.168.10.0 hálózati címet, mind a 255.255.255.0 hálózati maszkot saját hálózatunknak megfelelően kell beállítanunk.

Ezután változtassuk meg a bejegyzéseket ennél a pontnál:

	http_access allow localhost
	http_access deny all
erre:
	http_access allow manager localhost
	http_access deny manager
	http_access allow localhost
	http_access deny !Safe_ports
	http_access deny CONNECT !SSL_ports
	http_access allow allowed_hosts
	http_access deny all
A proxy szerver útválasztó gépről történő eléréséhez hagyjuk meg a http_access allow localhost bejegyzést a beállításokban.

Végezetül változtassuk meg az alábbi bejegyzést:
	# http_port 3128
erre:
	http_port < ip-belső > :3128

Helyettesítsük be az < ip-belső > bejegyzést a helyi hálózathoz csatlakozó hálózati kártya IP címével. Ha feltételezzük, hogy ez 192.168.0.1, a bejegyzés így fog kinézni:
        http_port 192.168.0.1:3128

A proxy szerver most már elindítható root-ként az rcsquid start paranccsal. Ha szeretnénk azt, hogy a proxy szerver automatikusan elinduljon minden egyes rendszerindításkor, állítsuk be azt a YaST2 futási szint szerkesztőjében.

Ne feledjük beállítani a kliens webböngészőjét a proxy szerveren keresztüli internet eléréshez. Ehhez adjuk meg a squid.conf fájl http_port bejegyzésében található IP címet és kapuszámot a böngésző proxy beállításainál.

Az alkalmazási területtől függően lehetséges hogy meg kell változtatnunk továnni alapértelmezett paramétereket is.
Például ha szeretnénk az összes URL-t és a meglátogatott http oldalakat naplózni. A naplózási funkció letiltásához végezzük el a következő módosításokat:
	cache_access_log /dev/null
	cache_log /dev/null
	cache_store_log none
A rendszerkézikönyv A Squid proxy szerver fejezete részletesebben is tárgyalja a paramétereket.

Vegyük figyelembe, hogy a proxy szerver beállítása és üzemeltetése túllép telepítési terméktámogatásunk keretein.
Kulcsszavak: PROXY, SQUID, WWWOFFLE, GATEWAY, SZERVER, BEáLLíTáS

Kategóriák:

SDB-tsaupe_proxy, Copyright SuSE Linux AG, Nürnberg, Germany - Verzió: 03. Mar 2003
SuSE Linux AG - Utoljára frissítve: 27. May 2003 feladó: comp (sdb_gen 1.40.0)