Základy konfigurace proxyserveru

Supportní databáze (tsaupe_proxy)
Platí pro

SuSE Linux: Od verze 8.0

Dotaz:

Chcete pro svou lokální síť nakonfigurovat přístup k Internetu.

Vedle nastavení maškarády a směrování, které najdete popsané v článku ISDN brána privátních síti od SuSE Linuxu 8.0, máte možnost také konfigurovat proxyserver.

Proxyserver má tu výhodu, že žádný paket z Internetu není přenášen přímo do interní sítěhat. TCP pakety jsou nejdřív zpracovány proxyserverem a až pak posílány do interní sítě. Navíc máte větší možnosti v konfiguraci přístupu na Internet pro jednotlivé uživatele např. nutnost prokázat se před připojením heslem.
Při přístupu na Internet se bude používat proxy cache. Služby jako RealAudio, News a vidoekonference nebudou podporovány. Pokud se má přes internetovou bránu uskutečňovat přenost emailů pomocí SMTP přes, je nutné nastavit MTA (Mail Transfer Agents).

Uvědomte si, že proxyserver je jen tak bezpečný, jak jej nakonfigurujete. Svůj příslup na Internet byste měli zabezpečit firewallem.
V souboru /etc/sysconfig/personal-firewall zadejte:
	REJECT_ALL_INCOMING_CONNECTIONS=< Zarizeni >
< Zarizeni > nahraďte příslušným rozhraním ISDN nebo DSL připojením, tj. ippp0 nebo ppp0.
Více informací najdete v článku: Nastavení firewallun

Postup:

V SuSE Linux je možné použít profesionální verze proxyserverů squid a wwwoffle. Zde uvedený postup je týká programu squid.

nainstalujte balík squid.

Konfigurace programu squid se nachází v souboru:
	/etc/squid/squid.conf

Před spuštěním proxyserveru musíte nejdřív provést jeho nastavení. Aby klienti mohli přistupovat na proxyserver, musíte nastavit proměnné: acl a http_access. Z bezpečnostních důvodů by měla být vhodně nastavena také proměnná: http_port.

Vyhledejte v souboru squid.conf řádky:

	acl all src 0.0.0.0/0.0.0.0
	acl manager proto cache_object
	acl localhost src 127.0.0.1/255.255.255.255
a změňte je asi takto:
        acl all src 0.0.0.0/0.0.0.0
        acl manager proto cache_object
        acl localhost src 127.0.0.1/255.255.255.255
	acl SSL_ports port 443 563
	acl Safe_ports port 80 21 443 563 70 210 280 488 591 777 1025-65535
	acl CONNECT method CONNECT
        acl allowed_hosts src 192.168.10.0/255.255.255.0
Uvědomte si, že řádka: acl allowed_hosts src 192.168.10.0/255.255.255.0 je adresa sítě a masky a měla by bát nastavena podle nastavení vaší sítě.

Pak změňte řádky:

	http_access allow localhost
	http_access deny all
na:
	http_access allow manager localhost
	http_access deny manager
	http_access allow localhost
	http_access deny !Safe_ports
	http_access deny CONNECT !SSL_ports
	http_access allow allowed_hosts
	http_access deny all
Aby mohla k proxyserveru přistupovat i brána, nastavte: http_access allow localhost.

Pak musíte změnit ještě řádku:
	# http_port 3128
na:
	http_port < ip-nach intern > :3128
.
Přidejte do proměnné < ip-nach intern > IP adresu síťové karty, která je připojená na interní síť. Např. pro 192.168.0.1 bude pak proměnná vypadat takto:
        http_port 192.168.0.1:3128

Proxyserver spustíte jako uživatel root příkazem: rcsquid start. Pokud chcete, aby byl proxyserver spouštěn automaticky při startu systému, nastavte spouštění pomocí programu YaST2 > Systém > Editor úrovní běhu.

Nezapomeňte přístup k proxyserveru nastavit na jednotlivých klientech. Internetové prohlížeče budou potřebovat ve své konfiguraci zadat IP adresu proxyserveru a port, na kterém naslouchá. Číslo portu najdete v souboru squid.conf v proměnné http_port.

Squid umožňuje řadu dalších nastavení.
Pokud např. budete chtít, aby určíté URL nebylo přístupné pro všechny uživatele proxyserveru, musíte logování upravit následujícím způsobem:
	cache_access_log /dev/null
	cache_log /dev/null
	cache_store_log none


Na nastavení proxyserveru se nevztahuje bezplatná instalační podpora.
Klíčová slova: PROXY, SQUID, WWWOFFLE, GATEWAY

Kategorie: Internet

SDB-tsaupe_proxy, Copyright SuSE Linux AG, Nürnberg, Germany - Verze: 28. Jan 2003
SuSE Linux AG - Poslední změnu: 07. Feb 2003 provedl tsaupe (sdb_gen 1.40.0)