Squid por proxy

Un proxy configurado para pasar por otro proxy, ¡genial!

Tras algo mas de 6 meses sin tocar servidores proxy hoy he roto este silencio, y con los conocimientos un poco oxidados, ¡que rapido se olvidan las cosas!

¿Que me ha llevado a romper el silencio? ¡pues laservidora de la rimaia!

En la rimaia me ha venido un chico pidiéndome ayuda en configurar el proxy, como es una de las cosas que está en la TODO list, he decidido montar un servidor proxy que vaya a buscar la salida a internet por el proxy de guifi.net.
Para ello he usado squid.

# apt-get install squid

La instalación de squid ya te deja una configuración por defecto necesaria para hacer funcionar el servidor proxy mandando las conexiones por la gateway. Marco en negrita las que he añadido o modificado:

acl all src all
acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32
acl our_networks src 192.168.0.0/24
acl localnet src 10.0.0.0/8 # RFC1918 possible internal network
acl localnet src 172.16.0.0/12 # RFC1918 possible internal network
acl localnet src 192.168.0.0/16 # RFC1918 possible internal network
acl localnet src 127.0.0.1/255.255.255.255
acl SSL_ports port 443 # https
acl SSL_ports port 563 # snews
acl SSL_ports port 873 # rsync
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 631 # cups
acl Safe_ports port 873 # rsync
acl Safe_ports port 901 # SWAT
acl purge method PURGE
acl CONNECT method CONNECT
http_access allow manager localhost
http_access allow our_networks
http_access allow localnet
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost
http_access deny all
icp_access allow localnet
icp_access deny all
http_port 3128 transparent
cache_peer ipproxy parent puertoproxy 0 proxy-only no-query no-digest default login=usuarioproxy:passwordproxy
cache_peer ipproxy parent puertoproxy 0 proxy-only no-query no-digest login=usuarioproxy:passwordproxy
hierarchy_stoplist cgi-bin ?
maximum_object_size_in_memory 50 KB
access_log /var/log/squid/access.log squid
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|?) 0 0% 0
refresh_pattern (Release|Package(.gz)*)$ 0 20% 2880
refresh_pattern . 0 20% 4320
acl shoutcast rep_header X-HTTP09-First-Line ^ICY.[0-9]
upgrade_http0.9 deny shoutcast
acl apache rep_header Server ^Apache
broken_vary_encoding allow apache
extension_methods REPORT MERGE MKACTIVITY CHECKOUT
nonhierarchical_direct off
prefer_direct off
never_direct allow all
hosts_file /etc/hosts
coredump_dir /var/spool/squid

luego un:

# /etc/init.d/squid restart

y para facilitar la configuración de los clientes vamos a crear un fichero proxy.pac con este contenido:

# vi /var/www/proxy.pac
function FindProxyForURL(url, host) {
return “PROXY ipdelservidorproxy:3128; DIRECT”;
}

Y en un navegador de cualquier equipo de la red, en Edita > Herramientas > Avanzado > Red > Parámetros > URL de la configuración automática del servidor proxy:

http://ipdelservidorproxy/proxy.pac

Y ya podemos navegar libremente sin preocuparnos por nada.

Además la inclusión de un proxy permitirá una mayor velocidad en la carga de las páginas web, ya que los ficheros menores de 50k ya no irá a buscarlos a internet, sino los servirá el propio servidor proxy y reduciremos un poco nuestro tráfico :)

Ahora sólo falta montar un servidor de nombres de dominio para poder resolver el server por el nombre en lugar de la ip :D

configuració extreta de noguer.bloc.cat