ziproxy & Squid

Version 2.7.2 ist in den Paketquellen für Ubuntu 10.04 enthalten:

sudo apt-get install ziproxy

Falls nichts geloggt wird, syslog-ng prüfen und eventuell in /var/log/ Verzeichnis ziproxy anlegen und Benutzer ziproxy schreibrechte gewähren.

sudo mkdir /var/log/ziproxy
sudo chown ziproxy /var/log/ziproxy

http://ziproxy.sourceforge.net/

Über das PAM-Modul kann sich prinzipiell jeder Systembenutzer am Proxy anmelden. Im Code unten wird die squid.conf vorbereitet für pam-auth und der zweite Cache eingerichtet (Ziproxy). Die cache_peer Direktive ruft ziproxy auf localhost port 3128. never_direct bewirkt, das Squid nur über Ziproxy die Daten bezieht. Ist ziproxy down, wird squid den Request nicht verabeiten können und antwortet mit einer Fehlerseite.

auth_param basic program /usr/lib/squid/pam_auth
auth_param basic children 5
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 2 hours
auth_param basic casesensitive off

acl checkpw proxy_auth REQUIRED
http_access allow checkpw all

cache_peer localhost parent 3128 7 no-query default
never_direct allow all

Unter Ubuntu 14.04 ist Squid 3 in den Paketquellen enthalten. Das pam_auth Modul nennt sich jetzt basic_auth_pam

Domain(s) nicht cachen

In diesem Anwendungsbeispiel wird Squid auch genutzt um auf das Intranet zugreifen zu können. Praktisch, weil man sich mit dem PAM-Modul authentifiziert hat. Im VHOST des Apache-Servers auf dem Entwicklungsserver erlaubt man den Zugriff nur über die IP-Adresse des Proxy-Servers. Ein Caching wäre nicht sinnvoll beim Entwickeln, deswehen wird für die Zieldomain eine ACL erstellt um einen direkten Zugriff (ohne cache) zu erlauben:

acl INTRANET dstdomain intranet.example.com
always_direct allow INTRANET

Squid-Logfiles beobachten

Wenn man sich in Echtzeit anschauen möchte was Squid tut, kann man squidview verwenden.

http://www.squid-cache.org/ Squid Authentifizierung

SSH-Zugang verweigern

Man kann auch einen Benutzer anlegen, der sich nicht per SSH am System anmelden kann - jedoch am Proxy. Wenn man einen neuen Nutzer anlegt mit useradd verwendet man dann die Option

useradd BENUTZER --shell /bin/false
Cookies helfen bei der Bereitstellung von Inhalten. Durch die Nutzung dieser Seiten erklären Sie sich damit einverstanden, dass Cookies auf Ihrem Rechner gespeichert werden. Weitere Information
  • linux/ziproxy.txt
  • Zuletzt geändert: 2018/04/30 20:26
  • von haiko