So erstellen Sie einen HTTP-Proxy mit Squid unter CentOS 7/8
Web-Proxys gibt es schon seit geraumer Zeit und werden von Millionen von Benutzern auf der ganzen Welt verwendet. Sie dienen einem breiten Spektrum von Zwecken, am beliebtesten ist die Online-Anonymität, aber es gibt auch andere Möglichkeiten, wie Sie Web-Proxys nutzen können. Hier sind ein paar Ideen:
- Online-Anonymität
- Verbessern Sie die Online-Sicherheit
- Ladezeiten verbessern
- Blockieren Sie böswilligen Datenverkehr
- Protokollieren Sie Ihre Online-Aktivitäten
- Um regionale Beschränkungen zu umgehen
- In einigen Fällen kann die Bandbreitennutzung reduziert werden
So funktioniert der Proxyserver
Der Proxyserver ist ein Computer, der als Vermittler zwischen dem Client und anderen Servern dient, von denen der Client Ressourcen anfordern kann. Ein einfaches Beispiel hierfür ist: Wenn ein Client Online-Anfragen stellt (z. B. eine Webseite öffnen möchte), verbindet er sich zunächst mit dem Proxyserver.
Der Proxyserver überprüft dann seinen lokalen Festplattencache und wenn die Daten dort gefunden werden können, gibt er die Daten an den Client zurück. Wenn sie nicht zwischengespeichert sind, stellt er die Anfrage im Namen des Clients unter Verwendung der Proxy-IP-Adresse (anders als die). Clients) und geben die Daten dann an den Client zurück. Der Proxyserver versucht, die neuen Daten zwischenzuspeichern und sie für zukünftige Anfragen an denselben Server zu verwenden.
Was ist Squid Proxy?
Squid ist ein Web-Proxy, der meine zahlreichen Organisationen nutzt. Es wird häufig als Caching-Proxy verwendet, um die Antwortzeiten zu verbessern und die Bandbreitennutzung zu reduzieren.
Für den Zweck dieses Artikels werde ich Squid auf einem Linode CentOS 7 VPS installieren und es als HTTP-Proxyserver verwenden.
So installieren Sie Squid unter CentOS 7/8
Bevor wir beginnen, sollten Sie wissen, dass für Squid keine Mindestanforderungen gelten, die Menge an RAM-Nutzung jedoch variieren kann, je nachdem, welche Clients über den Proxyserver im Internet surfen.
Squid ist im Basis-Repository enthalten und daher ist die Installation einfach und unkompliziert. Stellen Sie jedoch vor der Installation sicher, dass Ihre Pakete auf dem neuesten Stand sind, indem Sie es ausführen.
yum -y update
Fahren Sie mit der Installation von Squid fort, starten und aktivieren Sie es beim Systemstart mit den folgenden Befehlen.
yum -y install squid
systemctl start squid
systemctl enable squid
Zu diesem Zeitpunkt sollte Ihr Squid-Web-Proxy bereits ausgeführt werden und Sie können den Status des Dienstes mit überprüfen.
systemctl status squid
Beispielausgabe
● squid.service - Squid caching proxy
Loaded: loaded (/usr/lib/systemd/system/squid.service; enabled; vendor preset: disabled)
Active: active (running) since Thu 2018-09-20 10:07:23 UTC; 5min ago
Main PID: 2005 (squid)
CGroup: /system.slice/squid.service
├─2005 /usr/sbin/squid -f /etc/squid/squid.conf
├─2007 (squid-1) -f /etc/squid/squid.conf
└─2008 (logfile-daemon) /var/log/squid/access.log
Sep 20 10:07:23 tecmint systemd[1]: Starting Squid caching proxy...
Sep 20 10:07:23 tecmint squid[2005]: Squid Parent: will start 1 kids
Sep 20 10:07:23 tecmint squid[2005]: Squid Parent: (squid-1) process 2007 started
Sep 20 10:07:23 tecmint systemd[1]: Started Squid caching proxy.
Hier sind einige wichtige Dateispeicherorte, die Sie kennen sollten:
- Squid-Konfigurationsdatei: /etc/squid/squid.conf
- Squid-Zugriffsprotokoll: /var/log/squid/access.log
- Squid-Cache-Protokoll: /var/log/squid/cache.log
Eine minimale squid.conf
-Konfigurationsdatei (ohne Kommentare darin) sieht so aus:
acl localnet src 10.0.0.0/8 # RFC1918 possible internal network
acl localnet src 172.16.0.0/12 # RFC1918 possible internal network
acl localnet src 192.168.0.0/16 # RFC1918 possible internal network
acl localnet src fc00::/7 # RFC 4193 local private network range
acl localnet src fe80::/10 # RFC 4291 link-local (directly plugged) machines
acl SSL_ports port 443
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost manager
http_access deny manager
http_access allow localnet
http_access allow localhost
http_access deny all
http_port 3128
coredump_dir /var/spool/squid
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern . 0 20% 4320
Squid als HTTP-Proxy konfigurieren
Hier zeigen wir Ihnen, wie Sie Squid als HTTP-Proxy konfigurieren und zur Authentifizierung nur die Client-IP-Adresse verwenden.
Fügen Sie Squid-ACLs hinzu
Wenn Sie zulassen möchten, dass die IP-Adresse über Ihren neuen Proxyserver auf das Internet zugreift, müssen Sie der Konfigurationsdatei eine neue Zeile ACL (Zugriffskontrollliste) hinzufügen .
vim /etc/squid/squid.conf
Die Zeile, die Sie hinzufügen sollten, lautet:
acl localnet src XX.XX.XX.XX
Dabei ist XX.XX.XX.XX die tatsächliche Client-IP-Adresse, die Sie hinzufügen möchten. Die Zeile sollte am Anfang der Datei hinzugefügt werden, in der die ACLs definiert sind. Es empfiehlt sich, neben ACL einen Kommentar hinzuzufügen, der beschreibt, wer diese IP-Adresse verwendet.
Es ist wichtig zu beachten, dass Sie die öffentliche IP-Adresse des Clients hinzufügen sollten, wenn sich Squid außerhalb Ihres lokalen Netzwerks befindet.
Sie müssen Squid neu starten, damit die neuen Änderungen wirksam werden.
systemctl restart squid
Öffnen Sie Squid-Proxy-Ports
Wie Sie vielleicht in der Konfigurationsdatei gesehen haben, sind nur bestimmte Ports für die Verbindung zugelassen. Sie können weitere hinzufügen, indem Sie die Konfigurationsdatei bearbeiten.
acl Safe_ports port XXX
Dabei ist XXX der tatsächliche Port, den Sie laden möchten. Auch hier ist es eine gute Idee, daneben einen Kommentar zu hinterlassen, der beschreibt, wofür der Port verwendet werden soll.
Damit die Änderungen wirksam werden, müssen Sie Squid noch einmal neu starten.
systemctl restart squid
Squid-Proxy-Client-Authentifizierung
Sie möchten höchstwahrscheinlich, dass sich Ihre Benutzer authentifizieren, bevor sie den Proxy verwenden. Zu diesem Zweck können Sie die grundlegende HTTP-Authentifizierung aktivieren. Die Konfiguration ist einfach und schnell.
Zunächst müssen httpd-tools installiert sein.
yum -y install httpd-tools
Nun erstellen wir eine Datei, in der später der Benutzername für die Authentifizierung gespeichert wird. Squid wird mit dem Benutzer „squid“ ausgeführt, daher sollte die Datei diesem Benutzer gehören.
touch /etc/squid/passwd
chown squid: /etc/squid/passwd
Jetzt erstellen wir einen neuen Benutzer mit dem Namen „Proxyclient“ und richten sein Passwort ein.
htpasswd /etc/squid/passwd proxyclient
New password:
Re-type new password:
Adding password for user proxyclient
Um nun die Authentifizierung zu konfigurieren, öffnen Sie die Konfigurationsdatei.
vim /etc/squid/squid.conf
Fügen Sie nach den Ports-ACLs die folgenden Zeilen hinzu:
auth_param basic program /usr/lib64/squid/basic_ncsa_auth /etc/squid/passwd
auth_param basic children 5
auth_param basic realm Squid Basic Authentication
auth_param basic credentialsttl 2 hours
acl auth_users proxy_auth REQUIRED
http_access allow auth_users
Speichern Sie die Datei und starten Sie Squid neu, damit die neuen Änderungen wirksam werden:
systemctl restart squid
Blockieren Sie Websites auf Squid Proxy
Abschließend erstellen wir noch eine letzte ACL, die uns dabei hilft, unerwünschte Websites zu blockieren. Erstellen Sie zunächst die Datei, in der die Websites auf der schwarzen Liste gespeichert werden.
touch /etc/squid/blacklisted_sites.acl
Sie können einige Domains hinzufügen, die Sie blockieren möchten. Zum Beispiel:
.badsite1.com
.badsite2.com
Der vorangehende Punkt weist Squid an, alle Verweise auf diese Websites zu blockieren, einschließlich www.badsite1, subsite.badsite1.com usw.
Öffnen Sie nun die Konfigurationsdatei von Squid.
vim /etc/squid/squid.conf
Fügen Sie direkt nach den Ports-ACLs die folgenden zwei Zeilen hinzu:
acl bad_urls dstdomain "/etc/squid/blacklisted_sites.acl"
http_access deny bad_urls
Speichern Sie nun die Datei und starten Sie Squid neu:
systemctl restart squid
Sobald alles richtig konfiguriert ist, können Sie jetzt Ihren lokalen Client-Browser oder die Netzwerkeinstellungen Ihres Betriebssystems für die Verwendung Ihres Squid-HTTP-Proxys konfigurieren.
Abschluss
In diesem Tutorial haben Sie gelernt, wie Sie selbst einen Squid-HTTP-Proxyserver installieren, sichern und konfigurieren. Mit den Informationen, die Sie gerade erhalten haben, können Sie nun einige grundlegende Filter für den eingehenden und ausgehenden Datenverkehr über Squid hinzufügen.
Wenn Sie noch einen Schritt weiter gehen möchten, können Sie Squid sogar so konfigurieren, dass einige Websites während der Arbeitszeit blockiert werden, um Ablenkungen zu vermeiden. Wenn Sie Fragen oder Kommentare haben, posten Sie diese bitte im Kommentarbereich unten.