Configurando um proxy transparente


Uma garantia de que os usuários realmente vão usar o proxy e, ao mesmo tempo, uma grande economia de trabalho e dor de cabeça para você é o recurso de proxy transparente. Ele permite configurar o Squid e o firewall de forma que o
servidor proxy fique escutando todas as conexões na porta 80. Mesmo que alguém tente desabilitar o proxy manualmente nas configurações do navegador, ele continuará sendo usado. Outra vantagem é que este recurso permite usar o proxy sem precisar
configurar manualmente o endereço em cada estação. Basta usar o endereço IP do servidor rodando o proxy como gateway da rede.

Lembre-se de que, para usar o proxy transparente, você já deve estar compartilhando a conexão no servidor via NAT, como vimos anteriormente. O proxy transparente apenas fará com que o proxy intercepte os acessos na porta 80, obrigando tudo a passar
pelas suas regras de controle de acesso, log, autenticação e cache, diferente de um proxy tradicional, onde você não ativa o compartilhamento via NAT, fazendo com que o proxy seja a única porta de saída da rede.

Para ativar o proxy transparente, rode o comando abaixo. Ele direciona as requisições recebidas na porta 80 para o Squid:

# iptables -t nat -A PREROUTING -i eth0 -p tcp –dport 80 -j \
REDIRECT –to-port 3128

O “eth0” no comando indica a placa da rede local, onde o proxy recebe as requisições dos outros micros da rede e o “3128” indica a porta usada pelo Squid. Adicione o comando junto com os 4 comandos que compartilham a conexão no final do arquivo
“/etc/rc.local” ou ao seu script de firewall para que ele seja executado durante o boot.

Finalmente, você precisa ativar o suporte ao modo transparente dentro do arquivo “/etc/squid/squid.conf” e reiniciar o serviço.

Se você está usando uma versão recente, do Squid 2.6 em diante, a configuração é mais simples. Basta substituir a linha “http_port 3128” no início do arquivo por:

http_port 3128 transparent

Ou seja, na verdade você precisa apenas adicionar o “transparent” para que o Squid passe a entender as requisições redirecionadas pela regra do firewall.

No caso das versões mais antigas, anteriores à 2.6 (como a usada no Debian Sarge e no Ubuntu 5.10), é necessário adicionar as quatro linhas abaixo, no final do arquivo “/etc/squid/squid.conf” (nesse caso, sem alterar a linha “http_port 3128”):

httpd_accel_host virtual
httpd_accel_port 80
httpd_accel_with_proxy on
httpd_accel_uses_host_header on

Em qualquer um dos dois casos, você precisa reiniciar o serviço para que a alteração entre em vigor:

# /etc/init.d/squid restart

Em caso de dúvida sobre qual versão do Squid está instalada, use o comando “squid -v”, que além de reportar a versão, informa todas as opções que foram usadas durante a compilação:

# squid -v

Squid Cache: Version 2.6.STABLE2

configure options: ‘–prefix=/usr’ ‘–exec_prefix=/usr’ ‘–bindir=/usr/sbin’ ‘–sbindir=/usr/sbin’ ‘–libexecdir=/usr/lib/squid’ ‘–sysconfdir=/etc/squid’ ‘–localstatedir=/var/spool/squid’ ‘–datadir=/usr/share/squid’
‘–enable-async-io’ ‘–with-pthreads’ ‘–enable-storeio=ufs,aufs,diskd,null’ ‘–enable-linux-netfilter’ ‘–enable-linux-proxy’ ‘–enable-arp-acl’ ‘–enable-epoll’ ‘–enable-removal-policies=lru,heap’ ‘–enable-snmp’ ‘–enable-delay-pools’ ‘–enable-htcp’
‘–enable-cache-digests’ ‘–enable-underscores’ ‘–enable-referer-log’ ‘–enable-useragent-log’ ‘–enable-auth=basic,digest,ntlm’ ‘–enable-carp’ ‘–with-large-files’ ‘i386-debian-linux’ ‘build_alias=i386-debian-linux’ ‘host_alias=i386-debian-linux’
‘target_alias=i386-debian-linux’

Em resumo, ao usar o proxy transparente você vai ter a conexão compartilhada via NAT no servidor e configurará os clientes para acessar através dela, colocando o servidor como gateway da rede. Ao ativar o proxy, a configuração dos clientes continua
igual, a única diferença é que agora (graças à nova regra do Iptables) todo o tráfego da porta 80 passará, obrigatoriamente, pelo servidor Squid. Isso permite que você se beneficie do log dos acessos e do cache feito pelo proxy, sem ter que se sujeitar às
desvantagens de usar um proxy, como ter que configurar manualmente cada estação.

Uma observação importante é que esta configuração de proxy transparente não funciona em conjunto com o sistema de autenticação incluso no Squid. Ao usar o proxy transparente a autenticação deixa de funcionar, fazendo com que você precise
escolher entre as duas coisas.

Outra limitação importante do uso do proxy transparente é que ele atende apenas ao tráfego da porta 80. Como a conexão é compartilhada via NAT, todo o tráfego de outros protocolos (incluindo páginas em HTTPS, que são acessadas através da porta 443) é
encaminhado diretamente, sem passar pelo proxy. Ou seja, embora seja uma forma simples de implementar um sistema de cache e algumas restrições de acesso, o uso do proxy transparente está longe de ser uma solução ideal.

Em situações onde você realmente precisa ter controle sobre o tráfego da rede, a única opção acaba sendo utilizar um proxy “normal”, sem NAT. Uma solução para reduzir seu trabalho de administração nesse caso é implantar um sistema de configuração
automática de proxy nos clientes.

Sobre o Autor

Redes Sociais:

Deixe seu comentário

X