CONFIGURACION DEL SERVIDOR PROXY SQUID

INTRODUCCIN
Un servidor Proxy HTTP, es bsicamente un programa que acepta peticiones de clientes para las URL, obtiene, y
devuelve los resultados al cliente. Los Proxys se utilizan en redes en la que los clientes no tienen acceso directo a
nternet, pero tienen que ser capaces de ver pginas !eb y para la memoria cac"# de las pginas com$nmente
solicitadas, de manera que si ms de un cliente quiere ver la misma pgina, s%lo tiene que ser una vez descargada.
&uc"as empresas y organizaciones tienen sus corta'uegos con'igurado para bloquear todas las entradas y
salidas del tr'ico en los sistemas internos L(). *sto puede "acerse por razones de seguridad, o para limitar lo que los
empleados puedan tener acceso al nternet. +ebido a la posibilidad de ver pginas !eb es muy $til, un Proxy es a
menudo establecido de manera que los sitios !eb se pueden acceder a trav#s de #l.
Las grandes organizaciones y proveedores de servicios de nternet con muc"os ordenadores cliente, pueden
querer acceder a la !eb e,ecutando un servidor Proxy para reducir la carga sobre sus redes. Una de las principales
tareas de un servidor Proxy es el cac"# de las pginas solicitadas por los clientes, cualquier pgina solicitada ms de
una vez ser devuelta de la memoria cac"# en lugar de descargarse del servidor originario. Por esta raz%n, a menudo se
recomienda que los clientes usen un Proxy para acceder a la !eb.
Un Proxy es $til solamente si el los navegadores de los clientes estn con'igurados para utilizarlo en lugar de
conectarse a sitios !eb directamente. ('ortunadamente, cada navegador en existencia y casi todos los programas
permiten descargar arc"ivos a trav#s de HTTP para diversos 'ines pueden ser con'igurado para usar un Proxy.
Los Proxys no son s%lo para HTTP - tambi#n pueden apoyar solicitudes de los clientes con protocolo .op"er y
/TP. ncluso las conexiones encriptadas 00L puede ser mane,ado por un Proxy, a pesar de que no puede desencriptar la
solicitud. *n cambio, el Proxy simplemente env1a todos los datos del cliente para el servidor de destino y viceversa.
0quid es el Proxy ms popular servidor para sistemas Unix. *s libre y est disponible para su descarga desde
222.squid-cac"e.org, y se incluye como paquete estndar con todas las distribuciones de Linux y muc"os otros
sistemas operativos. 0quid soporta Proxy, cac"ing y aceleraci%n HTTP, y tiene un gran n$mero de opciones de
con'iguraci%n para controlar el comportamiento de estas caracter1sticas.
0quid lee su con'iguraci%n desde el arc"ivo de texto squid.conf, por lo general se encuentra en o ba,o el
directorio /etc. *ste arc"ivo consta de una serie de directivas, uno por l1nea, cada una de las cuales tiene un nombre y
valor. 3ada directiva establece algunas opciones, como el puerto T3P para escuc"ar un directorio o para almacenar en
cac"# los arc"ivos. en !ebmin el m%dulo 0quid edita este arc"ivo directamente, "aciendo caso omiso de cualquier
comentario o directivas que no entiende.
&uc"as versiones de 0quid "an sido liberadas a lo largo de los a4os, cada una de las cuales "a apoyado
di'erentes directivas de con'iguraci%n o asignado di'erentes signi'icados a las mismas directivas. *sto signi'ica que un
arc"ivo squid.con' de la versi%n 5.6 pueden no ser compatibles con 0quid 5.7 - y uno de 0quid 5.7 ciertamente no
'uncionar con la versi%n 5.6. ('ortunadamente, !ebmin sabe cules directivas apoya cada despac"o y s%lo permite la
edici%n de esos que se sabe que el 'uncionamiento seg$n la versi%n.
Pginas !eb almacenadas en cac"# se almacenan en arc"ivos multi-nivel de estructura de directorios de
'ic"eros para aumentar el rendimiento. 0quid puede ser con'igurado para utilizar m$ltiples cac"# directorios separados,
de modo que usted puede propagar 'ic"eros a trav#s de distintos discos para me,orar el rendimiento. 3ada vez que una
pgina es cac"eable le pide que se almacene en un arc"ivo, de modo que cuando una solicitud posterior para la misma
pgina llega el arc"ivo se puede leer los datos y sirve de ella. +ebido a que algunas pginas !eb cambian con el tiempo
8o incluso son generadas dinmicamente9, 0quid mantiene un registro de la $ltima modi'icaci%n y 'ec"as de vencimiento
de pginas !eb para que pueda borrar los datos de la cac"# cuando se est 'uera de 'ec"a.
*l programa que actualmente mane,a las peticiones de clientes tiene que ser un servidor que est# 'uncionando
permanentemente procesando llamados. Tambi#n puede tener otros sub-procesos para tareas como b$squedas +)0 o
la autenticaci%n del cliente, pero todo el procesamiento del protocolo HTTP se "ace en el $nico proceso maestro. (
di'erencia de otros servidores como (pac"e o 0endmail, 0quid no arranca sub-procesos para mane,ar las peticiones del
cliente.
0quid pueden ser compilado en todas las distribuciones de Unix, !ebmin apoya y traba,a casi id#ntica en todas
ellas. *sto signi'ica que el m%dulo !ebmin de la inter'az de usuario es el mismo a trav#s de los sistemas operativos, a
excepci%n de las rutas por de'ecto que utiliza para el 0quid programas y 'ic"eros de con'iguraci%n.
EL MDULO DEL SERVIDOR PROXY SQUID
0i desea establecer o "asta con'igurar 0quid desde !ebmin, tendr que utilizar el m%dulo 0quid Proxy 0erver,
que se encuentra ba,o la categor1a 0ervidores. 3uando se "ace clic en el icono, la se muestra en la pgina la captura de
la pantalla a continuaci%n, en el supuesto de que 0quid est# instalado y con'igurado correctamente. 3omo puede ver, la
pgina principal se compone s%lo de una tabla de iconos, cada una de las cuales se puede "acer clic en para abrir un
'ormulario para editar la con'iguraci%n de esa categor1a.
Webmin mdulo Squid Proxy Server
0i no "a con'igurado o iniciado antes 0quid en su sistema, el cac"# de directorio probablemente no "a sido
establecido a$n. *l m%dulo de detecci%n de este y mostrara un mensa,e como *Su cach Squid directorio
/var/spool/ squid no se ha inicializado* por encima de la mesa de iconos. Para inicializar la memoria
cac"#, siga estos pasos:
;. 0i no ests contento con el directorio cac"# que aparece, a"ora es el momento de cambiarlo. 0iga las
instrucciones en la secci%n adici%n de directorios cac"# para de'inir sus propios directorios antes de continuar.
5. *n el Unix escriba el nombre del usuario como campo que ser el due4o del cac"# de arc"ivos y el proceso se
e,ecutar como demonio. )ormalmente esto ser un usuario 0quid creado para el prop%sito 8y en el campo por
de'ecto para los 0quids en caso de que dic"o usuario existe9, pero de "ec"o cualquier usuario. <o recomiendo el
uso del m%dulo usuarios y grupos para crear un usuario llamado del 0quid, cuyo directorio "ome es el directorio
de cac"# si es necesario.
3. Haga clic en el bot%n niciar 3ac"e. La con'iguraci%n de 0quid se actualizarn para utilizar su nombre de usuario
elegido, y el comando squid-z se llevar a cabo para establecer el cac"# de directorios. Toda la salida que
produce se mostrar de modo que usted pueda ver c%mo la inicializaci%n se est progresando.
=. 3uando el proceso "aya 'inalizado, el regrese al m%dulo de la pgina principal y el mensa,e de error deber1a
"aber desaparecido.
0i 0quid no se instala, en su sistema 8o est instalado en una ubicaci%n distinta a la que se espera !ebmin9, un
mensa,e de error como >The Squid fichero de configuracin /etc/squid.conf no existe* aparecer en
la pgina principal en lugar de la el cuadro de iconos. 0i realmente tiene instalado, lea la *Configurar el servidor
mdulo Squid rox!* secci%n para obtener instrucciones sobre c%mo cambiar los caminos de usos del m%dulo. Por
otra parte, si realmente no est instalado debe usar el m%dulo de paquetes de so't2are para instalar el paquete 0quid de
su distribuci%n Linux 3+ o pgina !eb.
0i no existe tal paquete de su sistema operativo, tendr que descargar, compilar e instalar la $ltima versi%n de 0quid
de 222.squid-cac"e.org. 3omo siempre disponga de un compilador instalado en su sistema, este es un proceso
relativamente simple, sin dependencias.
Una vez que se instala el servidor, tendr que crear una acci%n que se e,ecuta como un comando
*/usr/local/squid/"in/squid-S! *, suponiendo que usted tiene 0quid instalado en /usr/local/squid.
0quid Una vez se "a instalado e inicializado, puede empezar a utilizar este m%dulo. 3uando 0quid esta en
'uncionamiento, cada pgina tiene dos enlaces en la parte superior - #plicar los cam"ios que 'uerza la
con'iguraci%n actual a ser re-le1da, y Stop Squid que apaga el servidor Proxy. 0i el servidor no est 'uncionando, esos
v1nculos se sustituyen con *$nicio* en su lugar, que como su nombre indica intenta iniciar.
+ebido a que cada versi%n de 0quid "a introducido nuevas directrices de con'iguraci%n, este m%dulo de inter'az de
usuario aparecer di'erente dependiendo de la versi%n de 0quid que detecta en su sistema. Todas las instrucciones de
este cap1tulo se "an escrito para 0quid 5,= ya que es actualmente la ms ampliamente implementado versi%n. 0i usted
est e,ecutando una liberaci%n posterior, los distintos campos pueden aparecer en los 'ormularios o tienen ms o menos
opciones. Por e,emplo, cada nueva versi%n "a introducido di'erentes tipos de (3L, autenticaci%n y "a sido tratado en tres
'ormas di'erentes a trav#s de la "istoria del programa. 0in embargo, los conceptos bsicos "an sido siempre la misma.
3uando se est utilizando este m%dulo, aseg$rese de que el navegador est con'igurado para no utilizar el Proxy
0quid para acceder a su servidor !ebmin. +e lo contrario se corre el riesgo de cortar su propio acceso al m%dulo si
"aces un error de con'iguraci%n o apagar el servidor. Todos los navegadores que puede utilizar un Proxy tienen un
mbito de inclusi%n en la lista de "osts para conectar directamente, en el que puede escribir el nombre de "ost de su
servidor !ebmin.
CAMBIAR DIRECCIONES DE PUERTOS EN EL PROXY
Por de'ecto, la escuc"a de peticiones del Proxy 0quid es en el puerto T3P ?;5@ para todas las direcciones P de
su sistema. +ebido a que este no es el puerto "abitual asignado se e,ecutan en 8@666 y @6@6 parece ser el ms com$n9,
es posible que lo desee cambiar. Usted tambi#n puede editar la direcci%n de escuc"a de modo que s%lo los clientes en
su red interna se pueden conectar, si su sistema tiene ms de una inter'ase de red.
Para especi'icar los puertos que usa 0quid, siga estos pasos:
;. *n el m%dulo principal de la pgina, "aga clic en el icono puertos y conexi%n en red para abrir el 'ormulario.
5. *n el Proxy direcciones y puertos, seleccione continuaci%n la opci%n (. *n la tabla siguiente, cada 'ila de'ine un
puerto de escuc"a y, opcionalmente, una direcci%n de obligar a "acerlo. Todos los puertos existentes y
direcciones aparecen en la lista, seguida de una sola 'ila en blanco para a4adir una nueva. *n el primer campo
vac1o en la columna Puerto, introduzca un n$mero de puerto como el @666 o @6@6. *n el nombre de la columna
direcci%n P, bien seleccionar a aceptar todas las conexiones en cualquiera de sus inter'aces del sistema, o la
segunda opci%n para ingresar una direcci%n P en el cuadro de texto adyacente. *l uso de este cuadro, 0quid
puede ser con'igurado para escuc"ar en el mayor n$mero de puertos que lo desee. 0in embargo, debido a que
s%lo una l1nea en blanco aparece en un momento tendr que guardar y volver a abrir la 'orma de a4adir ms de
un nuevo puerto.
?. 3P es un protocolo utilizado por 0quid para comunicarse con otros agentes en un grupo. Para escuc"ar en un
puerto que no sea la predeterminada de ?;?6 para el 3P, rellene el puerto 3P campo. *sto no es necesario en
general, sin embargo, otros Proxys usan este protocolo.
=. 0quid normalmente aceptar conexiones 3P en cualquier direcci%n P. Para cambiar esto, seleccione el segundo
bot%n en la U+P Pr%ximos campo de direcci%n y entrar en uno de sus inter'az del sistema de Ps en su campo de
texto. *sto puede ser $til si todos los dems Proxys que su servidor pueda desea comunicarse con estn en una
sola L() interna.
7. Haga clic en el bot%n .uardar en la parte in'erior de la pgina para actualizar el arc"ivo de con'iguraci%n con la
nueva con'iguraci%n, a continuaci%n, "aga clic en (plicar los cambios enlace a la pgina principal para activarlos.
Los puertos y ! "or#! $re!$%&' (e re(es
AGREGANDO DIRECTORIOS CAC)*
*n su con'iguraci%n por de'ecto de costumbre, 0quid utiliza un solo directorio para almacenar pginas en cac"#.
*n la mayor1a de ;66 &A de datos se almacenan en este directorio, que no es probable que sea su'iciente si act$a un
gran n$mero de clientes activos. 0i su sistema tiene ms de un disco duro, tiene sentido para di'undir la memoria cac"# a
trav#s de m$ltiples discos para me,orar el rendimiento. *sto puede "acerse mediante la especi'icaci%n de varios
directorios, cada una con su propio tama4o mximo.
*n un sistema que se dedica a e,ecutar un servidor Proxy, el importe mximo de cac"# en cada directorio debe
ser aproximadamente el B6C del espacio disponible. *s imprudente o con'igurar 0quid para permitir utilizar todo el
espacio libre en disco, ya que muc"os sistemas de 'ic"eros su'ren menor rendimiento. Por otra parte, el espacio en disco
puede ser utilizado por los arc"ivos de registro y datos del usuario. 0i 0quid llena todo el disco duro, los problemas
pueden ocurrir debido a otros programas no son capaces de crear arc"ivos temporales o escribir registros.
Para a4adir un nuevo directorio de memoria cac"# y especi'icar el tama4o mximo de la ya existente, siga estos
pasos:
;. Haga clic en el icono Dpciones de cac"# en el m%dulo de la pgina principal de educar a la 'orma en que la
captura de pantalla a continuaci%n.
5. *n el campo de cac"# directorios, seleccione la opci%n de publicaci%n. 0i 'ue elegido por de'ecto antes, 0quid se
"an estado utilizando el $nico compilado en cac"# por de'ecto en el directorio que aparece entre par#ntesis. 0i
desea seguir utilizando este directorio, debe ser expl1citamente incluido en el cuadro. *l tama4o predeterminado
es de ;66 &A, y utiliza ;E ; F y 5 F nivel de 57E directorios. 3ada 'ila de la tabla se especi'ica un $nico directorio
de memoria cac"#. Todos los directorios existentes 8aparte de por de'ecto9 se enumeran de manera que se
puede editar, seguida de una sola 'ila en blanco. 3ada 'ila tiene campos en las siguientes columnas:
+irectorio de la ruta completa al ms alto nivel directorio de memoria cac"#, por e,emplo,
/var/spool/squid/ o dis%&/cache. *ste directorio debe existir y ser propiedad de la utilizaci%n que se
e,ecuta como 0quid 8generalmente llamado 0quid9 - el m%dulo no lo va a crear para usted.
*l tipo de almacenamiento de tipo de las utilizadas en el directorio. 0iempre debe seleccionar U/0 aqu1.
Tama4o 8&A9 La mxima cantidad de datos que contendr, en megabytes. Una vez se alcanza este l1mite, la
ms antigua-pidi% a los arc"ivos sern sustituidos por otros nuevos.
;er nivel dirs *l n$mero de subdirectorios que se crear ba,o el directorio de memoria cac"#. *l valor
predeterminado de ;E es por lo general bien, pero es posible que desee aumentar este caso de grandes
ali,os.
5 G nivel dirs *l n$mero de subdirectorios que sern creados en virtud de cada una de primer nivel de
directorio. Usted debe entrar s%lo 57E menos que su cac"# va a ser muy grandes.
Dpciones +e,e este campo en blanco - s%lo se utiliza para otros tipos de directorios. 0i se preguntan por qu#
0quid tiene que crear dos niveles en virtud de los subdirectorios de cada directorio de memoria cac"#, la
raz%n es el ba,o rendimiento de muc"os sistemas de 'ic"eros cuando un directorio contiene una gran
cantidad de arc"ivos. +ado que cada pgina HT&L en cac"# o la imagen se almacena en un arc"ivo
separado, el n$mero de arc"ivos en un sistema ocupado Proxy puede ser enorme. +i'undir a trav#s de varios
directorios resuelve este problema.
?. +espu#s de a4adir un directorio, "aga clic en el bot%n .uardar en la parte in'erior de la pgina. 0i desea a4adir
ms de uno tendr que "acer clic en el icono Dpciones de cac"# de nuevo para volver a mostrar la tabla con una
nueva 'ila vac1a.
=. 3uando "aya terminado de de'inir los directorios, regreso al m%dulo de la pgina principal. 0i uno nuevo se "a
a4adido, un mensa,e de error al igual que su cac"e 0quid directorios no "an sido inicializadas se mostrar. Haga
clic en el bot%n niciar 3ac"e 0quid para tener crear todas las sub-directorios en los nuevos directorios de cac"#.
*l servidor se apaga durante el proceso, y volver a comenzar cuando se "a completado.
7. +espu#s de la inicializaci%n est completa, "aga clic en (plicar cambios el v1nculo en cualquier pgina para
empezar a utilizar sus nuevos directorios.
L!s op$%o'es (e $!$+, (e "or#!
EDICIN DE OPCIONES CAC)ING PROXY
0quid tiene numerosos a,ustes que limitan el tama4o de cac"# de ob,etos, el tama4o de las peticiones de los
clientes y los tipos de pginas de cac"#. 0e pueden utilizar para detener el servidor de almacenamiento de enormes
arc"ivos 8como descargar imgenes 0D9, para limitar el tama4o de los arc"ivos que los clientes pueden cargar o
descargar, y para evitar la cac"# de pginas que cambian con 'recuencia 8como los generados por los scripts 3.9. Los
valores por de'ecto por lo general 'uncionan bien, sin embargo, con la posible excepci%n del tama4o de subida mxima
que s%lo es ; &A.
Para editar las opciones de almacenamiento en cac"#, siga estos pasos:
;. Haga clic en el icono Dpciones de cac"# de la pgina principal para mostrar el 'ormulario para mostrar una vez
ms por encima.
5. Para de'inir el tama4o mximo de arc"ivos que "a subido, seleccionar la segunda opci%n en la mxima solicitud
tama4o corporal sobre el terreno, introducir un n$mero en el cuadro de texto y seleccionar algunas unidades en
el men$.
?. &A deber1a ser ms que su'iciente para cualquiera.
=. Para detener la descarga de clientes arc"ivos de gran tama4o, a llenar la mxima respuesta tama4o corporal
sobre el terreno de la misma manera. *sto podr1a ser usado por impedir el uso indebido de su red de clientes la
descarga de grandes pel1culas o arc"ivos 0D, pero a menudo puede ser subvertido por la descarga de un
arc"ivo grande en trozos.
7. 0i desea establecer un l1mite superior en el arc"ivo de una pgina que puede ser almacenada en la cac"#,
rellene el tiempo mximo de cac"# de campo en vez de de,ar que los predeterminados. +e lo contrario los datos
se almacenan en cac"# para un mximo de un a4o, o "asta que expire la 'ec"a 'i,ada por el servidor de origen.
E. (s1 como la memoria cac"# los arc"ivos descargados, 0quid recordarn los mensa,es de error de servidores y
devolverlos a los clientes que soliciten la misma pgina. Puede cambiar la cantidad de tiempo que los errores se
guardan en cac"# por introducir un n$mero y la selecci%n de unidades de la solicitud *rror cac"# tiempo sobre el
terreno. 0i se elige por de'ecto, los errores se almacenan en cac"# durante 7 minutos. ncluso esto puede ser
molesto muc"o si usted acaba de 'i,arse un error en un sitio !eb aunque.
H. 0quid cac"ea de las respuestas a las b$squedas de "ost para reducir la cantidad de +)0 actividad,
independientemente de la TTL0 que el suministro de servidores +)0. 0i est seleccionado por de'ecto en la
cac"# de +)0 looIup tiempo sobre el terreno, las respuestas ser recordado por E "oras. 0i esto parece muc"o
para usted, seleccione el segundo bot%n y escriba su propia cac"# tiempo su lugar.
@. *l )o cac"# URL para (3Ls campo puede ser usado para prevenir completamente la memoria cac"# para
ciertos URL, servidores !eb o clientes. Toda solicitud que coincide con una de las (3Ls comprobado en este
mbito nunca sern cac"#, y, por tanto, siempre ser descargue directamente. Puede utilizar esta 'unci%n para
bloquear el cac"ing de pginas generadas dinmicamente mediante la creaci%n de una ruta de URL para
R*.*JP (3L. 3gi o cgi-bin y seleccionando aqu1. K#ase el Uso de listas de control de acceso secci%n para ms
detalles sobre c%mo (3Ls traba,o y puede ser de'inido.
B. Pulse el bot%n .uardar en la parte in'erior de la pgina, para volver al men$ principal. +ado que algunas
opciones adicionales se deposita en la memoria y el uso de disco, "aga clic en el icono Uso de la memoria para
mostrar que.
;6. Para limitar la cantidad de memoria que va a utilizar 0quid, rellene el uso de memoria l1mite de campo. Tenga en
cuenta que este l1mite s%lo e'ectos el mximo de memoria utilizada para el almacenamiento en trnsito y con
'recuencia acceder a los arc"ivos, y las respuestas negativas. Porque 0quid utiliza la memoria para otros 'ines,
sin duda, consumen ms de lo que entre aqu1. 0i se selecciona por de'ecto, un l1mite de @ &A a ser aplicada, que
es probablemente demasiado ba,a para un servidor ocupado.
;;. Para evitar el almacenamiento en cac"# de arc"ivos grandes, llenar en el mximo tama4o de cac"# ob,eto sobre
el terreno. *l valor por de'ecto es s%lo de = &A, as1 que si usted tiene un mont%n de espacio en disco que
deber1a ser aumentado.
;5. Pulse el bot%n .uardar en la parte in'erior del 'ormulario y luego la (plicar cambios enlace en la pgina principal
de activar todos los de su nueva con'iguraci%n.
INTRODUCCIN A LAS LISTAS DE CONTROL DE ACCESO
(3Ls 8listas de control de acceso9 son posiblemente 0quid ms potente caracter1stica. Un (3L es simplemente
una prueba que se aplica a petici%n de un cliente para ver si #ste coincide o no. Luego, sobre la base de la (3L que
coincide con cada solicitud se puede optar por bloquear, impedir que la memoria cac"#, la 'uerza que un retraso en la
piscina, o entregarlos a otro servidor Proxy. &uc"os tipos di'erentes de (3L existe - por e,emplo, un tipo comprueba una
direcci%n P del cliente, coincide con la otra URL que se solicita, mientras que otros comprobar el puerto de destino,
nombre de "ost del servidor !eb, el usuario autenticado y as1 sucesivamente.
*l uso ms com$n de (3Ls est bloqueando las conexiones de clientes 'uera de su red. 0i e,ecuta un servidor
Proxy, lo que est conectado y accesible desde nternet, "osts 'uera de tu red local no debe permitirse que la utilicen.
&alintencionado de personas suelen utilizar otros poderes para el blanqueo de conexiones utilizados para la pirater1a, el
env1o de spam o acceder a sitios !eb que no debe permitirse.
+ebido a que el representante especial 3D))*3T solicitud puede ser utilizado para conectar a cualquier puerto,
una lista (3L se utiliza a menudo para bloquear su uso para cualquier puerto que no sea ==? 8el 00L por de'ecto9. *sto
de,a de usuarios a trav#s de su servidor Proxy para conectarse a servidores que no sean servidores !eb, tales como
(&, 3L o &0). +el mismo modo, una lista de control de acceso puede con'igurarse para bloquear las normales
peticiones HTTP como a los puertos 55, 5? y 57 que se utilizan normalmente para ss", telnet y 0&TP.
0%lo la de'inici%n de una lista de control de acceso a la con'iguraci%n de 0quid en realidad no "acer nada - que
debe ser aplicado de alguna manera a tener e'ecto alguno. *n esta secci%n se explica c%mo usarlos para controlar el que
se pide a su servidor son autorizados o rec"azados. Dtras secciones explican c%mo se relacionan con la memoria cac"#
y el acceso a otros servidores.
3uando se recibe una solicitud, 0quid primero determina que se "alla en consonancia con (3Ls. ( continuaci%n,
se compara esta lista de partidos en contra de una lista de restricciones del Proxy, cada uno de los cuales contiene uno o
varios (3Ls una acci%n y llevar a cabo 8ya sea Permitir o +enegar9. Tan pronto como una restricci%n se comprueba que
coincide con la (3L para la solicitud, su acci%n determina si la petici%n se acepta o niega. *n caso de que no coincidan
con las restricciones, lo contrario de la $ltima acci%n en la lista se aplica. Por esta raz%n, el acto 'inal en la mayor1a de
con'iguraciones de 0quid es Permitir o +enegar todas.
3P solicitudes presentadas por los dems apoderados se "a comprobado tambi#n que a ver que coinciden con
(3Ls, y comparado 'rente a una similar pero di'erente lista de 3P restricciones para ver si se les permitir o no. K#ase la
3onexi%n a otros apoderados secci%n ms tarde por una explicaci%n ms comple,a de lo que es 3P y cuando se utiliza.
La t1pica con'iguraci%n por de'ecto de 0quid incluye varios (3Ls y las restricciones del Proxy. Por razones de
seguridad, todos los pedidos desde cualquier lugar se les niega por de'ecto. *sto signi'ica que usted tendr que cambiar
la lista de restricciones antes de que nadie pueda usar su poder. 0iga leyendo para averiguar c%mo.
Para ver las listas de (3Ls de'inidas, las restricciones del Proxy y el 3P restricciones, "aga clic en el icono de
control de acceso en el m%dulo de la pgina principal. 3omo la imagen que aparece a continuaci%n muestra una tabla de
(3Ls mostrando sus nombres, tipos, y los partidos se muestra a la izquierda. ( la derec"a estn los cuadros de Proxy y
P3 restricciones mostrando sus acciones y las (3Ls que coinciden. La restricci%n cuadros "an 'lec"as arriba y aba,o
,unto a cada entrada para moverlos a la lista, porque su 'in.
L!s %st!s (e $o'tro (e !$$eso
(ntes los clientes pueden usar su Proxy tendrs que con'igurarlo para permitir el acceso de algunas direcciones. Las
medidas en este sentido son las siguientes:
;. *l control de acceso a la pgina, seleccione 3liente +irecci%n del men$ a continuaci%n la lista de las (3Ls. (l
"acer clic en 3rear nuevo el bot%n (3L, un 'ormulario para entrar en direcciones coincidentes aparecer.
5. *n el campo )ombre de (3L, introduzca un nombre corto, como tu red.
?. *n el campo vac1o ba,o +esde el P introduzca la direcci%n P a partir de la gama de permitir, como ;B5.;E@.;.;.
=. 0i el campo a la propiedad intelectual en virtud de entrar en la direcci%n que termina en la gama, como
;B5.;E@.;.;66. 0%lo los clientes que entran dentro de esta gama de coincidir con el (3L. )o introduzca nada en
el campo de mscara de red.
7. (lternativamente, puede especi'icar una red P mediante la introducci%n de la direcci%n de red en el mbito de la
propiedad intelectual, y la mscara de red 8como 577.577.577.69 en el campo de mscara de red. Para introducir
ms de uno, usted tendr que guardar y volver a editar esta lista de control de acceso de 'orma que los nuevos
campos aparecen en blanco.
E. Haga clic en el bot%n .uardar para a4adir la lista de control de acceso y volver a la pgina de control de acceso
que en su nueva lista de control de acceso sern enumerados.
H. Haga clic en (4adir Proxy restricci%n por deba,o de la mesa Proxy restricciones.
@. *n el 'ormulario que aparece, seleccione Permitir a partir de la acci%n sobre el terreno.
B. *n el &atc" (3Ls lista, seleccione su nuevo yournet2orI (3L.
;6. Haga clic en el bot%n .uardar en esta 'orma para volver a la pgina de control de acceso de nuevo. La nueva
restricci%n se mostrar en la parte in'erior de la tabla, muy probablemente por deba,o de la +enegar todas las
entradas.
;;. Haga clic en la 'lec"a "acia arriba al lado de su nueva restricci%n a pasar por encima de todos los +enegar. *sto
le dice 0quid para permitir las conexiones de su red, y negar todos los dems.
;5. Por $ltimo, "aga clic en el v1nculo (plicar cambios en la parte superior de la pgina. *l Proxy ser utilizable por
los clientes en su red interna, pero nadie msM
*stas instrucciones asumen que usted est comenzando con la con'iguraci%n por de'ecto de 0quid. 0i el Proxy ya se
"a con'igurado para permitir el acceso desde cualquier lugar 8por el cambio de denegar todas las restricciones para
permitir a todos9, debe volver a cambiarlo de nuevo para bloquear clientes de 'uera de su red. Para obtener ms
in'ormaci%n sobre los tipos de (3L disponibles y c%mo utilizarlos, lea las siguientes dos secciones.
CREACIN Y EDICIN DE ACLS
(ntes de que pueda bloquear o permitir las solicitudes de algunos direcci%n, en cierta servidor o por alguna pgina
que tendr que crear un (3L. Los pasos bsicos para "acer esto son los siguientes:
1. 0eleccione el tipo de (3L para crear desde el men$ desplegable que aparece deba,o de la listas de control de
acceso tabla y "aga clic en el bot%n * Crear una nueva lista de control de acceso *.
5. *n el 'ormulario que aparece, introduzca un nombre para su nueva (3L (3L en el campo de nombre. 0i ms de
uno tiene el mismo nombre, ser tratado como corresponde en caso de cualquier (3L con ese nombre partidos.
*l nombre debe consistir $nicamente de letras y n$meros, sin espacios o caracteres especiales.
?. 3omplete el resto de la 'orma como se explica en el siguiente cuadro.
=. *l incumplimiento en el campo URL, introduzca una URL completa que los clientes que se les niega de esta (3L
ser redirigida. *sto le permite de'inir pginas de error personalizado que se mostrar en lugar del de'ault 0quid
respuestas.
7. Haga clic en el bot%n .uardar en la parte in'erior del 'ormulario.
Una vez que una (3L se "a creado puede editar "aciendo clic sobre su nombre en la lista, el cambio de los campos
y "aga clic en .uardar. D su puede eliminarla 8en caso de que no est en uso por parte de algunos Proxy o restricci%n
3P9 con el bot%n N*liminarN. 3omo de costumbre, el v1nculo (plicar cambios deben ser utilizados para activar los
cambios que se realicen.
0quid tiene un asombroso n$mero de (3L tipos, aunque no todos estn disponibles en todas las versiones del
servidor. *n el cuadro siguiente 'igura una lista de los que puede crear para 0quid 5,=, y explica lo que "acen y lo que los
mbitos en el 'ormulario de creaci%n de una lista (3L para cada tipo de media:
&uc"os tipos de (3L no son adecuados para determinadas situaciones. Por e,emplo, si un cliente env1a una petici%n
3D))*3T la ruta de URL no est disponible, y, por tanto, una ruta de URL R*.*JP (3L no 'uncionar. *n casos como
este es la (3L no supone automticamente a la altura.
CREACIN Y EDICIN RESTRICCIONES DEL PROXY
Una vez que "aya creado algunos (3Ls, que pueden ponerse en uso mediante la creaci%n, edici%n y se
desplazan en torno a las restricciones del Proxy. 0quid comparar cada una de las solicitudes a todas las restricciones
de'inidas en 'in, parando cuando se encuentra uno que se a,uste. La acci%n con,unto para que la restricci%n entonces
determine si la petici%n se acepta o niega. *ste sistema de procesamiento combinado con el poder de (3Ls le permite
establecer algunos incre1blemente comple,as reglas de control de acceso - por e,emplo, puede negar el acceso a todos
los sitios con temblor en la URL entre B (& y 7 P& de lunes a viernes, excepto para determinados clientes direcciones.
Para crear un Proxy restricci%n, siga estos pasos:
;. Haga clic en el icono de control de acceso en el m%dulo de la pgina principal para abrir la pgina se muestra en
la captura de pantalla anterior.
5. Haga clic en (4adir Proxy restricci%n a continuaci%n la lista de las restricciones existentes para ir al 'ormulario de
creaci%n.
?. +esde el campo de acci%n seleccione Permitir o +enegar en 'unci%n de si desea se pongan en venta las
solicitudes para ser procesado o no.
=. *l &atc" (3Ls lista puede ser usado para seleccionar varios (3Ls que si todos son 'iel a desencadenar la
acci%n. +el mismo modo, la no coinciden (3Ls campo puede ser usado para seleccionar (3Ls que no coinciden
con los de la acci%n para ser activado. *s per'ectamente vlido para "acer las selecciones de ambas listas para
indicar que la acci%n debe ser activado s%lo si todas las (3Ls a la izquierda y si coinciden con los de la derec"a
no lo "acen. *n su con'iguraci%n por de'ecto de 0quid tiene un (3L llamado a todos los partidos que todas las
solicitudes. Puede ser $til para crear restricciones que permitir o negar a todo el mundo, uno de los cuales por lo
general existe por de'ecto.
7. Haga clic en el bot%n .uardar para crear la nueva restricci%n y volver a la pgina de control de acceso.
E. Utiliza las 'lec"as ,unto a ella en la mesa Proxy restricciones para moverlo al lugar correcto. 0i su lista termina
con un +enegar todas las entradas, tendr que desplazarse 'uera de la parte in'erior para que tenga e'ecto
alguno. 0i la lista tiene una entrada que permite a todos los clientes de su red y que usted acaba de a4adirse una
restricci%n a denegar el acceso a algunos sitios, usted tendr que pasar por encima de lo que permiten la entrada
y para que pueda ser utilizado.
H. 3uando "aya acabado la creaci%n y posicionamiento de las restricciones, pulse el v1nculo (plicar cambios en la
parte superior de la pgina para que sean activos.
+espu#s de un Proxy restricci%n se "a creado puede editar "aciendo clic en el v1nculo que aparece en la columna
(cci%n para su 'ila en la tabla. *sto traer una edici%n de 'orma id#ntica a la utilizada para la creaci%n de la restricci%n,
pero con .uardar y *liminar botones en la parte in'erior. *l primero se guardar cualquier cambio que "agas en la acci%n
o se pongan en venta (3Ls, mientras que el segundo se eliminar la restricci%n por completo. Una vez ms, el v1nculo
(plicar cambios deben ser utilizados con posterioridad a la actualizaci%n o la supresi%n de una restricci%n para "acer el
cambio activo. 0i por alguna raz%n suprimir todas las restricciones del Proxy, 0quid permitir a todas las peticiones de
todos los clientes, que probablemente no es una buena idea.
Tambi#n en la pgina de control de acceso es un cuadro para la edici%n y la creaci%n de las restricciones que se
aplican a las solicitudes del P3 *# medida que la Conexin a otros apoderados* secci%n se explica, el P3
es un protocolo utilizado por proxys 0quid en un grupo o ,erarqu1a a 'in de determinar qu# otros servidores URL "an
cac"#. Puede agregar y editar las entradas en el P3 restricciones mesa exactamente de la misma 'orma que las
restricciones de Proxy. 0i realmente est e,ecutando un cl$ster de servidores Proxy, puede tener sentido para bloquear el
P3 solicitudes de otras 'uentes distintas de su propia red. 0i no es as1, la con'iguraci%n por de'ecto que permite a todos
los paquetes P3 est bien.
CONFIGURACIN DE AUTENTICACIN DEL PROXY
(unque es posible con'igurar 0quid para permitir el acceso s%lo a determinadas direcciones P, puede que quiera
a la 'uerza a los clientes a autenticar el Proxy tambi#n. *sto podr1a tener sentido si se quiere dar s%lo ciertas personas el
acceso a la !eb, y no puede utilizar la direcci%n P de validaci%n debido al uso de direcciones asignadas dinmicamente
en su red. Tambi#n es $til para seguir la pista de que lo que "a solicitado a trav#s del Proxy, como nombres de usuario
se registran en los registros de 0quid.
Todos los navegadores y programas que pueden "acer uso de un Proxy tambi#n apoyo Proxy de autenticaci%n.
)avegadores aparecer una ventana de acceso para ingresar un nombre de usuario y contrase4a que se enviar a los
Proxy la primera vez que les pide, y automticamente enviar la misma in'ormaci%n para todas las solicitudes posteriores.
Dtros programas 8como 2get o rpm9, exigen el nombre de usuario y contrase4a que se especi'ica en la l1nea de
comandos.
3ada nombre de usuario y contrase4a recibidos por 0quid se pasa a un programa de autenticaci%n externa, ya
sea que lo aprueba o lo niega. )ormalmente este programa los controles contra los usuarios de un arc"ivo, pero es
posible escribir sus propios programas que utilizan todo tipo de m#todos de validaci%n de los usuarios - por e,emplo,
podr1an ser consultados en una base de datos, o un servidor L+(P, o el usuario de Unix lista. !ebmin !ebmin viene con
un sencillo programa que lee los usuarios de un arc"ivo de texto con el mismo 'ormato que es utilizado por (pac"e, y
este m%dulo les permite a los usuarios editar dic"o arc"ivo.
*ntre las medidas que a su vez, para su autenticaci%n Proxy 0quid son las siguientes:
;. *n el m%dulo principal de la pgina, "aga clic en el icono de control de acceso para abrir el 'ormulario.
2. 0eleccione #uth en el men$ deba,o de la mesa de (3L y pulse 3rear el nuevo bot%n (3L.
?. *n el 'ormulario que aparece, introduzca aut" para el (3L nombre y seleccione Todos los usuarios en el exterior
aut" usuarios sobre el terreno. +espu#s "aga clic en el bot%n .uardar.
=. Haga clic en (gregar restricci%n por deba,o de Proxy Proxy restricciones mesa.
7. 0eleccione +enegar en el mbito de acci%n, y elegir su nueva autorizaci%n de la (3L no se corresponden con la
lista (3L. *sto bloquear cualquier Proxy peticiones que no estn autenticadas, lo que obliga a los clientes de
acceso. 0elecci%n Permitir y, a continuaci%n, la elecci%n de autoridades de la &atc" (3Ls campo puede ser
usado para un prop%sito ligeramente di'erente. *sto crea un servidor Proxy que permite restringir el acceso a
todos los clientes autenticados, que puede ser colocado a la 'uerza clientes 'uera de su red para acceder a su
cuenta mientras que no se requieren para aquellos dentro de la red.
6. Haga clic en el bot%n '(uardar' para regresar a la pgina de control de acceso de nuevo.
H. Utilice la 'lec"a "acia arriba ,unto a la nueva restricci%n a pasar por encima de cualquier entrada en la tabla que
permite el acceso de todos a su propia red. 0i es por deba,o de esa entrada, los clientes de la red ser capaz de
usar el Proxy sin necesidad de conectarse a todos. Por supuesto, esto puede ser lo que quieres en algunos
casos.
@. Kolver a la pgina principal, "aga clic en el icono de programas de autenti'icaci%n.
B. +esde el programa de autenticaci%n de campo !ebmin seleccionar por de'ecto. *sto le dice al m%dulo de utilizar
el simple arc"ivo de texto autenticador que viene con el m%dulo de modo que usted no tiene que escribir el suyo
propio. Por supuesto, usted puede especi'icar su propio programa personalizado de selecci%n del $ltimo bot%n y
entrar en la ruta completa a un script con algunos parmetros en el cuadro de texto adyacente. *ste programa
debe leer continuamente las l1neas que contengan un nombre de usuario y una contrase4a 8separados por un
espacio9 como entrada y salida para cada l1nea o bien el DO o *RR para el #xito o el 'racaso, respectivamente.
0quid se e,ecute varias instancias del programa, ya que los procesos permanentes demonio cuando se inici%.
;6. La ventana de acceso que aparece en los navegadores incluye una descripci%n del servidor Proxy, lo que el
usuario est accediendo a. Por de'ecto, esto es 0quid Proxy-cac"# del servidor !eb, pero puede introducir sus
propios 8como *,emplo 3orporaci%n Proxy9 rellenando el Proxy de autenticaci%n sobre el terreno.
;;. )ormalmente, se cac"e 0quid de acceso vlido durante ; "ora para evitar que se pongan en el programa de
autenticaci%n por cada solicitud. *sto signi'ica que la contrase4a cambios pueden tardar "asta una "ora en surtir
e'ecto, que puede ser con'uso. Para reducir este l1mite a costa de una mayor carga del sistema y un poco ms
lento petici%n de procesamiento, editar el tiempo de cac"# de contrase4as para el campo.
;5. Haga clic en el bot%n .uardar y, a continuaci%n, "aga clic en (plicar cambios a la pgina principal.
("ora que la autenticaci%n est "abilitada, cualquier intento de utilizar su poder de un navegador !eb causar una
ventana de acceso a aparecer. +ado que los usuarios no vlidos se "an de'inido a$n de acceso no sern aceptadas, lo
cual no es particularmente $tilM Para crear algunos usuarios para la autenticaci%n, siga estos pasos:
;. Haga clic en el icono del Proxy de autenticaci%n en el m%dulo de la pgina principal para que aparezca un cuadro
con Proxy los usuarios. *n un primer momento, este campo aparecer vac1o.
5. Haga clic en el bot%n (gregar un nuevo Proxy los usuarios enlace de arriba o por deba,o de la mesa para mostrar
el 'ormulario de creaci%n de usuario.
?. ntroduzca un nombre de inicio de sesi%n en el campo nombre de usuario y una contrase4a para el usuario en el
campo 3ontrase4a. )DT( - *l nombre de usuario debe ser introducido en min$sculasM
=. Para desactivar temporalmente este usuario sin borrar #l, el cambio (ctivadoP 3ampo a )o.
7. Pulse el bot%n 3rear para a4adir el usuario y, a continuaci%n, "aga clic en el v1nculo (plicar cambios. *ste $ltimo
paso es necesario despu#s de la creaci%n de un usuario para que los cambios surtan e'ecto, como !ebmin
0quid autenticaci%n del programa s%lo lee el arc"ivo de usuario cuando empec#.
Un usuario puede editar "aciendo clic en su nombre en la lista de usuarios Proxy, cambiar el nombre de usuario,
contrase4a o permitido la situaci%n y golpear el bot%n .uardar. Tambi#n puede eliminar completamente un usuario con el
bot%n ')liminar' en su edici%n de 'orma. Una vez ms, (plicar cambios "ay que "acer clic para "acer las
modi'icaciones o supresiones activa. (simismo, se cac"e 0quid contrase4as vlidas 8como se "a explicado
anteriormente9 para reducir la carga sobre el programa de autenticaci%n, por lo que un cambio de contrase4a puede
tomar alg$n tiempo para surtir e'ecto.
*l m%dulo de gesti%n de usuario de la caracter1stica s%lo 'uncionar si elige !ebmin por de'ecto en el programa de
autenticaci%n de campo, o si su propio programa toma la ruta completa a un estilo de (pac"e usuarios arc"ivo como
parmetro. 0i su programa valida usuarios contra alg$n otro servidor o base de datos, o si el m%dulo no puede averiguar
qu# 'ic"ero contiene los usuarios de mando, el Proxy de autenticaci%n icono no aparecer.
( veces puede que desee permitir que los usuarios "abituales de Unix para acceder a su programa con la misma
contrase4a que utilizan para telnet y 'tp. ( pesar de que es posible escribir un programa que "ace de Proxy de
autenticaci%n contra la base de datos de usuarios de Unix, existe otra soluci%n - con'igurar el m%dulo para a4adir, borrar
y actualizar Proxy los usuarios de Unix cuando un usuario es creado, eliminado o renombrado. *sto es muy $til para
mantener los nombres de usuario y contrase4as en sincronizaci%n sin necesidad de conceder el acceso a cada usuario
de Unix. Una vez que "aya establecido la autenticaci%n normal como se "a explicado anteriormente, la sincronizaci%n
puede ser activada por los siguientes pasos:
;. *n el m%dulo principal de la pgina, "aga clic en el v1nculo del m%dulo de con'iguraci%n en la esquina superior
izquierda.
5. 3omo sus nombres indican, los usuarios 3rear Proxy al crear usuarios de la red, actualizaci%n de Proxy los
usuarios al actualizar los usuarios del sistema y *liminar Proxy los usuarios al eliminar usuarios del sistema de
control de los campos de creaci%n automtica, modi'icaci%n y supresi%n de Proxy los usuarios cuando lo mismo
sucede con un usuario de Unix. Para cada uno puede seleccionar 01 o )o. Recomiendo de in'lexi%n en la
sincronizaci%n de actualizaciones y supresiones, pero de,ando 'uera de las creaciones de manera que puede
"acerla el control que le da acceso al Proxy.
?. Pulse el bot%n .uardar en la parte in'erior del 'ormulario para activar la nueva con'iguraci%n. ( partir de a"ora,
las acciones realizadas en la !ebmin usuarios y grupos m%dulo tambi#n el e'ecto 0quid lista de usuarios en las
maneras en que usted "a elegido. 0in embargo, la adici%n de un usuario a la l1nea de comandos con useradd o
cambiar una contrase4a con el comando pass2d no.
Ker Users (nd .roups para obtener ms detalles sobre la 'orma de sincronizaci%n con otros m%dulos de las obras y
c%mo activarlo.
CONFIGURACIN DEL REGISTRO
0quid escribe a cada uno de los arc"ivos de registro, uno para el registro de las solicitudes de acceso de cliente,
una cac"# de eventos y otro para in'ormaci%n de depuraci%n. La ms $til es el arc"ivo de registro de acceso, que pueden
ser analizados por un programa como !ebalizer para generar in'ormes sobre los clientes, pidi% a las URL y los usuarios
individuales. *l registro est "abilitado de 'orma predeterminada a caminos compilados en 0quid y, por tanto, depende
de su sistema operativo, pero se puede cambiar los destinos para los arc"ivos de registro y algunos detalles del 'ormato
de registro de acceso.
Para con'igurar c%mo y d%nde se escriben los registros, siga estas instrucciones:
;. Haga clic en el icono de registro en el m%dulo de la pgina principal, que previsiblemente le llevar al registro.
2. Para cambiar la ubicaci%n del cliente de acceso del arc"ivo de registro, editar el contenido del arc"ivo de registro
de acceso sobre el terreno. 0i se selecciona por de'ecto, el camino compilado en 0quid se utilizar 8que puede
ser /usr/local/squid/log/access.log o /var/log/squid/ access.log9.
3. Para cambiar la ubicaci%n de la memoria cac"# de almacenamiento de registro, editar el arc"ivo de registro de
almacenamiento sobre el terreno. *l valor por de'ecto es siempre la store.log en el mismo directorio que el
arc"ivo access.log.
=. Para cambiar el camino que el debug log est escrito a manera de editar el arc"ivo de registro de depuraci%n
sobre el terreno. Una vez ms, el valor por de'ecto es cac"e.log en el mismo directorio que access.log.
7. 0quid normalmente utiliza su propio 'ormato personalizado para el registro de acceso. Para 'orzar el uso del
'ormato utilizado por (pac"e en lugar de ello, cambiar el uso "ttpd 'ormato de registroP 3ampo a 01. *ste 'ormato
puede ser necesario para la trans'ormaci%n de algunas aplicaciones, pero no registra toda la in'ormaci%n que la
opci%n por de'ecto "ace.
E. Para escribir 0quid "an resuelto cliente nombres de "ost para el registro de acceso en lugar de s%lo las
direcciones P, seleccione 01 en el Registro de nombres de "ost completoP 3ampo. *sto evita la necesidad de
resolverlos ms tarde, cuando la generaci%n de in'ormes, pero se ralentizar el servidor debido al tiempo que
invertir b$squedas +)0 puede tomar.
H. *l ident o R/3B?; protocolo puede ser usado para encontrar el nombre del usuario de Unix que est "aciendo
una conexi%n con el Proxy de algunos "ost remoto. Lamentablemente, es a menudo discapacitados y no apoya a
otros sistemas operativos, por lo que es de uso limitado. 0in embargo, puede con'igurar 0quid R/3B?; para
incluir la in'ormaci%n a los usuarios el acceso a su arc"ivo de registro de la selecci%n de algunas de las (3Ls en
el R/3B?; ident Realizar b$squedas de (3Ls sobre el terreno. dealmente, usted debe crear un cliente especial
+irecci%n (3L que coincide con s%lo Unix "osts con el demonio ident en su red y seleccionar s%lo. 0i lo "ace
permitir b$squedas usuario remoto, el tiempo de ident R/3B?; campo puede ser usado para 'i,ar una cantidad
mxima de tiempo que va a 0quid esperar una respuesta de un cliente. 0i se selecciona por de'ecto el servidor
esperar como mximo ;6 segundos para una respuesta antes de darse por vencido 8pero que a$n permite la
solicitud9.
@. Haga clic en el bot%n .uardar en la parte in'erior de la pgina para registrar los cambios introducidos en este
'ormulario, y luego el v1nculo (plicar cambios a activarlos.
&uc"os paquetes de Linux 0quid incluyen un arc"ivo de con'iguraci%n para el programa logrotate para tener los
arc"ivos de registro rotar, comprimido y eventualmente suprimido cuando se convierten en demasiado vie,os. 0i cambia
los caminos a los arc"ivos de registro siguiendo las instrucciones descritas anteriormente, la rotaci%n ya no ser
realizada y los logs pueden consumir sin l1mites y la cantidad de espacio en disco. *n un sistema ocupado, esto podr1a
dar lugar a una escasez de espacio en el registro de 'ic"eros que se evitar1an si la rotaci%n se encuentra en vigor.
CONEXIN A OTROS PROXYS
*n lugar de recuperar pidi% directamente las pginas !eb, 0quid se puede con'igurar para conectarse a otro
servidor Proxy en lugar y algunas o todas las peticiones a #l. *sta 'unci%n es $til si su organizaci%n tiene un poder para
cada departamento y un maestro para la cac"# de toda la red, y quiere tener todos los poderes departamento de
consulta para el maestro pide que no pueden servir de sus propios escondites. Tambi#n puede ser necesario si su
proveedor de acceso a nternet se e,ecuta un servidor Proxy y que desea con'igurar 0quid para su red dom#stica como
as1, y a$n as1 "acer uso de la cac"# del 0P.
(l "acer uso de (3Ls para categorizar las solicitudes, puede con'igurar 0quid que transmita s%lo algunas
peticiones a otro Proxy, mientras que el resto de manipulaci%n con normalidad. Por e,emplo, su Proxy puede mane,ar
siempre las peticiones de pginas !eb en su red local, pero sigue con inter#s todo lo dems a un maestro Proxy cac"#
del sistema.
Para con'igurar su servidor para "acer uso de otro Proxy para las solicitudes salvo las dirigidas a una determinada
red o dominio, siga estos pasos:
;. *n el m%dulo principal de la pgina, "aga clic en el icono de control de acceso.
5. 3rear un servidor !eb de "ost o +irecci%n !eb 0erver (3L que coincide con los servidores !eb del servidor
Proxy que debe buscar directamente. Llame a la lista de control de acceso directo, por e,emplo.
?. Kolver a la pgina principal y "az clic en el icono Dtros cac"#s para abrir una pgina que contiene una lista de
otros conocidos servidores Proxy 8si lo "ubiere9, y una 'orma de opciones de con'iguraci%n que controlan cuando
se utilizan.
=. Haga clic en N(4adir otro cac"# para ir a la cac"# de acogida creaci%n.
7. *n el nombre del campo, introduzca el nombre de "ost completo del capitn cac"# del servidor, tales como
bigproxy.example.com. )o s%lo tiene que introducir bigproxy, como 0quid a veces tiene di'icultad para resolver
los no-can%nico nombres +)0.
E. +esde el men$ seleccione Tipo padre, que le dice a 0quid que este otro Proxy se encuentra en un nivel ms alto
8y, por tanto, tiene ms pginas en cac"#9 que los suyos.
H. *n el campo Proxy puerto entrar un n$mero de puerto que el otro Proxy est a la escuc"a, como el @6@6.
@. *n el campo puerto P3 entrar en el puerto que utiliza el Proxy para el P3 solicitudes, que suelen ser ?;?6. 0i no
sabe o el capitn del Proxy no es compatible con P3, de todos modos entrar ?;?6.
B. Pulse el bot%n .uardar en la parte in'erior de la pgina para volver a la lista de otros escondites.
;6. *n el 'ormulario que aparece al 'inal de esa pgina es una secci%n titulada (3Ls a buscar directamente, que es
en realidad una lista (3L cuadro similar al Proxy restricciones cuadro se explica en la 3reaci%n y edici%n de la
secci%n Proxy restricciones. 0in embargo, en lugar de permitir o denegar las solicitudes que determina cules
son obtenidos directamente y que se remiten a otra cac"#. Utilice el bot%n (gregar para buscar (3Ls enlace
directamente a la primera a4ada una entrada para permitir que su lista de control de acceso directo y, a
continuaci%n, uno a negar todas las (3L. *sto le dice 0quid directamente a buscar las pginas locales de los
servidores !eb, pero pasa todos los dems peticiones al Proxy elegido.
;;. Por $ltimo, "az clic en (plicar cambios en la parte superior de la pgina para tener 0quid empezar a utilizar el
otro servidor Proxy.
0i s%lo quieres tener tu Proxy adelante todas las peticiones a otro, independientemente de su destino, paso por
encima de ;6 puede ser omitido por completo. *sto 'unciona porque 0quid utilizar los otros Proxy con'igurado por
de'ecto si no (3Ls se "an creado a 'uerza de obtenci%n directa de determinadas solicitudes.
*n una gran red con muc"os clientes, un solo sistema que e,ecute 0quid puede no ser capaz de mantener el
volumen con las peticiones de los clientes. Por e,emplo, una gran compa41a con cientos de empleados en
'uncionamiento todos los navegadores !eb o un 0P que "a creado un Proxy para los clientes podr1a poner una enorme
carga en un solo servidor 0quid. Una soluci%n ser1a actualizar a una versi%n ms potente mquina - otra ser1a la de
instalar 0quid en m$ltiples sistemas de propagaci%n y el Proxy de carga entre ellos.
*sto es t1picamente realizada por la creaci%n de un registro de direcciones +)0 para cada sistema de Proxy, todos
con el mismo nombre 8como proxy.example.com9, pero di'erentes direcciones P. *ntonces, cuando un cliente busca la
direcci%n P para proxy.example.com que volver todas las direcciones, y elegir uno al azar de manera e'ectiva a conectar.
Dtra alternativa es instalar una capa cuatro interruptor que puede re-direccionar el tr'ico "acia la misma direcci%n P a
di'erentes destinos, tales como m$ltiples servidores Proxy. *sto es ms cara 8cuatro conmutadores de capa no es
barata9, pero ms 'iable, porque un servidor puede ser detectado y que no se utilicen.
0in embargo, "ay un problema con el uso de varios servidores - cada uno mantiene su propia cac"#, de modo que si
dos clientes solicitar la misma pgina !eb a partir de dos distintos poderes ser descargado dos vecesM *sto niega la
mayor parte de los bene'icios de la e,ecuci%n de un cac"ing Proxy.
('ortunadamente, 0quid tiene caracter1sticas que resolver este problema. Puede ser con'igurado para contactar con
otros escondites en el mismo grupo para cada solicitud, y preguntarles si ya tienen la pgina en cac"#. 0i es as1, se
recuperar de los dems en lugar de Proxy de los originarios !eb. +ebido a que todos los agentes en una organizaci%n
suelen ser conectado a trav#s de una red rpida, es muc"o ms e'iciente. *l protocolo utilizado para este inter-cac"e de
comunicaci%n se llama P3, y s%lo es usado por 0quid.
Para con'igurar dos o ms apoderados para "ablar unos con otros con el P3, los pasos a seguir en cada sistema
son los siguientes:
;. *n el m%dulo principal de la pgina, "aga clic en el icono Dtros cac"#s.
5. Haga clic en N(4adir otro cac"# para abrir el cac"# de acogida creaci%n.
?. *n el nombre del campo introduzca el nombre de "ost completo de uno de los otros escondites.
=. +esde el men$ seleccione Tipo "ermano, lo que indica que el cac"# de otros est en el mismo QnivelR como
#ste.
7. *n el puerto del Proxy, escriba el puerto HTTP que el otro escuc"a en Proxy.
E. *n el puerto P3, escriba el n$mero de puerto que el Proxy otros usos para el P3 8generalmente ?;?69.
H. Pulse el bot%n .uardar para a4adir el otro Proxy y volver a la lista otros escondites.
@. Repita los pasos 5 a H para cada uno de los otros "osts del cl$ster.
B. Por $ltimo, "aga clic en (plicar cambios en la parte superior de la pgina.
*l resultado 'inal deber1a ser que cada Proxy en el grupo dispone de entradas para todos los dems poderes, por lo
que sabe ponerse en contacto con ellos para las solicitudes no en su propio cac"#.. 0in embargo, puede establecer
(3Ls a 'in de evitar el uso de P3 y la 'uerza directa de obtenci%n de ciertas solicitudes, tal y como se puede cuando
presenten solicitudes para un maestro cac"#.
LIMPIANDO EL CAC)E
( veces puede ser necesario eliminar todos los arc"ivos en su cac"e 0quid, tal vez para liberar espacio en disco o la
'uerza de volver a la carga de las pginas de sus servidores !eb originarios. *sto puede "acerse 'cilmente utilizando
!ebmin siguiendo estos pasos:
;. *n el m%dulo principal de la pgina, "aga clic en Aorrar el y Reconstruir 3ac"# icono. Una pgina de
con'irmaci%n preguntando si est seguro de que realmente se mostrar en su navegador.
2. Para seguir adelante, impact% el **orrar la cach ! reconstruir* bot%n. +ebido a que el servidor se
detendr durante el proceso de liquidaci%n, no se debe "acer cuando el poder est en uso.
?. Una pgina que muestra el progreso de !ebmin, ya que se apaga 0quid, se eliminan todos los arc"ivos de
cac"#, re-inicializa los directorios y, por $ltimo, re-inicia 0quid se mostrar. *ste proceso puede tardar bastante
tiempo si usted tiene un gran cac"# o est usando un sistema de 'ic"eros que es lento para borrar arc"ivos
8como U/0 en 0olaris9.
CONFIGURACIN DE UN PROXY TRANSPARENTE
Un Proxy transparente es uno que los clientes conectarse a sin ser conscientes de que, debido al uso de las
reglas del 'ire2all que re-conexiones directas en el puerto @6 para el sistema de Proxy. La venta,a de esta con'iguraci%n
es que usted no tiene que con'igurar manualmente todos los clientes !eb para utilizar el Proxy -, sino que ser
conectado a #l sin su conocimiento. Tambi#n signi'ica que los usuarios no pueden obtener en todo el cac"# y evitar as1
sus reglas de control de acceso por no con'igurar en sus navegadores.
Transparent Proxy tiene algunas partes de aba,o aunque. )o es posible capturar automticamente /TP o HTTP0
conexiones, o aquellos a los sitios !eb en los puertos que no sean @6. t Tambi#n es incompatible con el Proxy de
autenticaci%n, como los clientes no pueden decir la di'erencia entre la petici%n del Proxy para acceder a su cuenta y que
de un sitio !eb. ( pesar de autenticaci%n puede aparecer a traba,ar, realmente no.
La mayor1a de las redes tienen un router que conecta a una L() interna a la nternet. Para Proxy transparente
para el traba,o, este router debe estar con'igurado para re-direccionar los paquetes salientes por el puerto @6 para el
Proxy 0quid y el puerto de acogida en lugar. *n una peque4a red, el Proxy puede incluso ser e,ecutados en el mismo
router de acogida. ptables 'ire2all que viene con Linux pueden realizar dos tipos de re-direcci%n con ayuda de
dispositivos especiales +)(T 8+estination )et2orI (ddress Translation9 las normas en la tabla nat.
+ebido a que la mayor1a de los traba,os es en realidad el "ec"o de que las reglas del 'ire2all re-direccionar los
paquetes salientes, las instrucciones para con'igurar todo lo que son en la Linux/ire2all en la pgina 3on'iguraci%n de un
Proxy transparente secci%n. 0in embargo, se escriben para los usuarios de Linux que "an instalado Ptables. 0i su router
est corriendo un sistema operativo distinto 8o es un router dedicado, como un "ec"o por 3isco9, los pasos para la
creaci%n de reglas de corta'uegos, evidentemente, no se aplicar. Los de la 0quid Proxy 0erver m%dulo son los mismos
sin importar qu# tipo de corta'uegos que se est#n e,ecutando bien.
VER LA CAC)* GERENTE ESTAD-STICAS
*l 0quid so't2are viene con un simple programa llamado 3. cac"emgr.cgi que puede conectarse al Proxy y solicitar
estad1sticas sobre la utilizaci%n de memoria, la cac"# y pierde "its y cac"# +)0 looIup. ( pesar de que normalmente se
instala para ser e,ecutado desde un servidor !eb como (pac"e, puede acceder a ella desde dentro de este m%dulo de
!ebmin siguiendo estos sencillos pasos:
;. *n la pgina principal, "aga clic en el 3ac"e &anager de *stad1stica de icono para abrir el programa del
'ormulario de acceso.
5. +e,e el campo 3ac"e (n'itri%n con,unto a local"ost, a menos que se quiere conectar a otro servidor Proxy. La
mayor1a de (3Ls por de'ecto se "an establecido para negar la cac"# de acceso de administrador en cualquier
lugar, excepto aunque local"ost.
?. *n el campo 3ac"e Puerto, introduzca el n$mero de puerto T3P del servidor Proxy que est a la escuc"a, como
el @6@6.
=. *l (dministrador de nombre y contrase4a campos puede de,arse vac1a si no se "a 0quid con'igurados para
requerir autenticaci%n para recuperar las estad1sticas, que no suele ser el caso.
7. Pulse el bot%n 3ontinuar para acceder a su cuenta, y una pgina lista todos los diversos tipos de estad1sticas
disponibles aparecer. Haga clic sobre cualquiera de los enlaces para visualizar la in'ormaci%n detallada.
E. 3uando "aya acabado de ver las estad1sticas de cac"#, "aga clic en Kolver al 1ndice del calamar en la parte
in'erior de la pgina para volver al m%dulo del men$ principal.
Porque por de'ecto 0quid acepta sin ninguna solicitud de autenticaci%n mediante el protocolo cac"eSob,ect especial
de local"ost, que nadie puede acceder a su sistema a trav#s de telnet o 00H podr1a e,ecutar su propia versi%n de
cac"emgr.cgi para ver estas estad1sticas. ( pesar de que la in'ormaci%n disponible no es especialmente sensible, puede
que desee con'igurar 0quid para solicitar un nombre de usuario y contrase4a, se presentarn para acceder a #l.
*sto puede "acerse mediante la creaci%n de autenticaci%n externa y luego editar el gerente Permitir por de'ecto
local"ost Proxy restricci%n a 'in de que las nuevas autoridades (3L es seleccionado en el &atc" (3Ls columna tambi#n.
D me,or a$n puede crear otro exterior (ut" (3L que tiene s%lo unos pocos usuarios que estn autorizados a ver las
estad1sticas enumeradas, y que para asignar el Proxy en lugar de restricci%n. *sto es a$n ms seguro, porque evita el
problema de todos los telnet o 00H usuario que tambi#n tiene un Proxy de acceso normal poder acceder a las
estad1sticas.
ANALI.ANDO LOS REGISTROS DE SQUID
3alamaris es un simple programa en Perl que puede generar un in'orme de sus arc"ivos de registro de 0quid. 0i
lo tienes instalado, el 3alamaris > > niciar sesi%n (nlisis icono aparecer en el m%dulo de la pgina principal. 0i no,
tendr que descargar e instalar de 'orma separada, ya que no est incluido en 0quid. (lgunas distribuciones de Linux
tienen un paquete separado de ella, que puede instalarse 'cilmente utilizando el m%dulo de paquetes de so't2are. 0i no,
el programa puede ser descargado desde "ttp:TTcalamaris.cord.deT, compilado e instalado.
(l "acer clic sobre el icono desencadena la generaci%n de un in'orme de todos sus registros de acceso de 0quid.
Por de'ecto, s%lo la $ltima 76666 entradas son procesados para evitar la excesiva carga sobre el sistema - sin embargo,
esto se puede a,ustar en el m%dulo de con'iguraci%n de pgina 8como se explica en la 3on'iguraci%n del 0quid Proxy
0erver m%dulo de secci%n9. 3uando el in'orme est completo, #ste ser mostrado en su navegador como una sola
pgina HT&L. *n la parte superior estn los enlaces a las tablas ms aba,o en la pgina, que contiene res$menes, tales
como las solicitudes de acogida, de dominio de destino y de cac"e a'ectados.
ncluso si usted "a permitido la rotaci%n de los registros en su sistema peri%dicamente para renombrar y
comprimir los registros de 0quid, el m%dulo se incluye todav1a los datos comprimidos en el in'orme. 0e busca todos los
arc"ivos de registro en el directorio cuyos nombres comienzan con access.log 8como access.log.65.gz9 y comprime-si es
necesario antes de alimentar a 3alamaris. *l ms reciente arc"ivos son siempre procesados primera aunque, por lo que
cualquier registro de l1neas l1mite en vigor corta edad entradas en lugar de las ms nuevas.
*l !ebalizer (nlisis LD./L* m%dulo 8en el cap1tulo ?B9 tambi#n puede utilizarse para generar in'ormes ms
impresionantes de los registros de calamares, que contiene gr'icos y gr'icos circulares. *l m%dulo puede incluso volver
a crear un in'orme sobre el calendario 8como todos los d1as9 y se "an dirigido por escrito a un directorio para verlo ms
adelante.
MDULO DE CONTROL DE ACCESO
Puede ser muy $til para dar a alguien el derec"o a con'igurar 0quid sin de,ar da4o o cambiar cualquier otra cosa
en el sistema. *sto puede "acerse en !ebmin mediante la creaci%n de un !ebmin los usuarios con acceso al m%dulo y
luego la restricci%n de lo que #l puede "acer con ella. 3ap1tulo 75 explica la idea general que subyace a este tipo de
control de acceso con ms detalle, mientras que esta secci%n se re'iere a restringir el acceso a 0quid el m%dulo en
particular.
(lgunos de atenci%n cuando es necesario restringir un usuario de este tipo aunque, seg$n algunas
caracter1sticas del m%dulo puede ser utilizado para modi'icar arc"ivos o e,ecutar comandos con privilegios de root. Por
e,emplo, no es una buena idea de,ar que un poco de con'ianza usuario cambiar el cac"# de directorios, como el
establecimiento T o T etc como un ali,o podr1a da4ar los arc"ivos en el sistema. 3aracter1sticas como Proxy y lista de
control de acceso de usuario de edici%n son bastante seguros aunque, y son probablemente los ms $tiles para permitir
un sub-administrador de usar.
Para crear un usuario que s%lo puede con'igurar 0quid, los pasos a seguir son los siguientes:
;. *n el m%dulo de !ebmin usuarios, crear un usuario o grupo con acceso a este m%dulo.
5. Haga clic en 0quid Proxy 0erver al lado del nombre del usuario en la lista en la pgina principal para abrir el
'ormulario de control de acceso.
?. UPuede cambiar la con'iguraci%n del m%dulo de edici%nP 3ampo a n, por lo que no puede modi'icar los caminos
a los comandos o el arc"ivo de con'iguraci%n de 0quid.
=. *n las pginas de con'iguraci%n permitido lista, seleccione los iconos que m%dulo debe ser visible para el
usuario. Tala, 3ac"e Dpciones y programas de ayuda y no debe ser elegido, como las pginas contienen
opciones potencialmente peligrosas.
7. Porque 0quid puede leer (3Ls valores de los arc"ivos separados y este m%dulo permite a los usuarios editar el
contenido de estos arc"ivos (3L, usted debe limitar el directorio en el que se pueden crear. Para ello, introduce
un directorio que pertenecen s%lo a la !ebmin usuario en el directorio ra1z de (3L arc"ivos sobre el terreno,
tales como T "ome T ,oe. +e,ando a lo establecido T es una mala idea, ya que esto puede permitir al usuario editar
cualquier arc"ivo en su sistema como root.
E. Para evitar que el usuario de cerrar 0quid, el cambio se puede iniciar y parar 0quidP 3ampo a )o. Vl todav1a
ser capaz de aplicar los cambios sin embargo, y probablemente vuelva a con'igurar el servidor por lo que es no-
utilizable.
H. Pulse el bot%n N.uardarN para activar las restricciones.
CONFIGURAR MDULO DEL SERVIDOR SQUID PROXY
(l igual que la mayor1a de los m%dulos, #ste tiene varios a,ustes que usted puede editar para con'igurar la
inter'az de usuario y los caminos que utiliza para 0quid programas y 'ic"eros de con'iguraci%n. *llos pueden acceder
"aciendo clic en el v1nculo del m%dulo de con'iguraci%n en la pgina principal, y la 'orma en que aparece la inter'az de
usuario son los campos enumerados en las opciones con'igurables, mientras que los relacionados con el programa de
caminos se encuentran ba,o la con'iguraci%n del sistema.
+ebido a que el m%dulo por de'ecto de las rutas coincide con los utilizados por el paquete de 0quid para su
distribuci%n de Linux o sistema operativo 8si es que "ay uno9, los campos en el segundo grupo por lo general no
necesitan ser modi'icadas. 0in embargo, si usted no est usando el paquete suministrado 0quid porque usted se "a
compilado e instalado el programa desde el c%digo 'uente, estas rutas de acceso tendrn que ser cambiado.