Este modulo do IPCOP é o responsável pelas configurações de proxy, utilizando o squid como aplicativo de proxy este modulo apresenta para o usuário administrador do sistema uma maneira simples, prática e rápida de configurar um proxy para a intranet da empresa.
Com o minimo de conhecimento possível qualquer pessoa vai poder administrar este proxy, fazendo as configurações necessárias e deixando-o pronto pra funcionar em questão de minutos, disponibilizando a internet pra a empresa.
Vamos aprender neste tutorial como configura-lo para trabalhar com autenticação transparente em um rede de domínio Windows Server 2003 e habilitar a interação do mesmo com o bloqueio de sites, controle de donwloads, controle de navegadores e muito mais funcionalidades que esta solução proporciona (informando que todos os dados inseridos são meramente ilustrativos).
Para começar na tela abaixo visualizamos que o plugin Advanced Proxy adiconado ao IPCOP tem uma funcionalidade muito interessante, ele nos avisa quando existe versões mais atualizadas do sistema disponível no site do desenvolvedor, facilitando assim a vida do administrador que não precisar ficar se preocupando em verificar no site se já foi disponibilizado uma versão mais nova.
O único problema que vejo, é que o processo de atualização ainda não é feito automática é ainda necessário baixar o pacote no site e providenciar a instalação.
Mais abaixo veremos as primeiras opções de configuração do proxy, na imagem alguns campos já estão marcados ou preenchidos para que vocês possam ter uma idéia do como pode ser configurado para a sua empresa, mas nada impede que o administrador altere alguns ou todos esse dados.
Nesta mesma tela é exibida a versão do software squid, em que linguagem as mensagens do proxy vão ser exibidas, a porta utilizada pelo proxy, se este proxy vai ser ou não transparente, se o log vai estar ou não habilitado.
Outro detalhe é a opção Proxy principal nesta opção caso existe mais um proxy na rede e esse não seja o principal, podemos configura-lo de maneira que se uma requisição feita neste não for encontrada no cache, ele ira cunsultar o proxy principal configurado nesta opção para tentar obter esta informação, caso no principal nao tenha, so ai ele vai jogar o pedido para a internet.
Nosso próximo passo vamos configurar como nosso cache vai trabalhar, para isso vamos definir algumas informações que podem ser visualizadas abaixo, no que diz respeito a esta configuração os dois pontos mais importantes são as regras de subistituição de cache e de memoria. As duas mostradas abaixo configuradas, foram definidas baseado em pesqueisa em internet onde uma gama grande de administradores usam este modelo de configuração.
No mais podemos configurar o tamanho do cache em disco e em memoria, o tamanho minimo e máximo de cache para arquivos, o numero de subdiretorios do diretorio cache e tambem podemos definir que dominios da internet o proxy não vai se preocupar em fazer cache.
Nota: Na opção Portas de destino, podemos deixar o formato padrão mesmo, a não ser que se saiba exatemente o que esta fazendo, estas opções podem ser deixadas como estão.
Para que nossos usuários da rede possam acessar a internet a nossa proxima opção de configuração deve ser corretamente configurada, nas opções de Controle de acesso baseado na rede, vamos ter que configurar as subredes permitidas a fazer consulta no proxy, na imagem abaixo podemos ver com foi configurada esta opção para a nossa rede de teste.
Tambem nesta mesma opção vamos definir quais IP´s ou MAC Address que vão ter acesso a internet sem passar por nenhum tipo de restrição e tambem vamos poder banir IP´s ou MAC Address para que não tenham nenhum tipo de acesso a internet.
Nota: Para que essa liberação ou este bloqueio seja realmente eficiente é aconselhado fazer-lo por MAC Address
Na nossa próxima configuração vamos nos atentar para as configurações de Restições de tempo onde podemos definir quais as horas e os dias da semana em que o proxy vai liberar acesso a internet ou bloquear acesso de maneira global, onde temos o modelo de acesso, os dias da semana e as horas de e para.
Podemos tambem comfigurar na opção Limites de transferências os tamanhos máximos em KB dos downloads feitos pelos os usuários e dos arquivos enviados tambem.
E por fim, nas opções dos Limites para Downloads podemos definir a velocidade permitida de Downloads em KBits/s na placa de rede e tambem a velocidade permitida por Hosts, para os tipos de arquivos mostrados: Arquivos binários, Imagens de CD e Multimídia
Na imagem abaixo veremos mais algumas configurações restritivas que o Advancedo Proxy nos possibilita. Para começar, nos é permitido o bloqueio de arquivos pelo seus tipos MIME, esse MIME são informações encontradas no cabeçalho do pacote TCP onde o mesmo identifica o tipo de arquivo que esta dentro daquele pacote.
Outra configuração interessante disponível é o bloqueio de acesso a tipos de navegadores, habilitando esta opção podemos definir quais os tipos de navegadores podem fazer acesso a internet passando pelo proxy. Dentre as várias opções encontra-se algumas pouco conhecidas como Wget, apt-get, Lynx algumas no minimo curiosas como, WGA, Windows Update, GetRight, Gecko, Google Earth e outras bem conhecidas de todos.
E pra finalizar mais este bloco de configurações, existe a possibilidade de Privacidade, nesta opção, definimos que tipo de useragente (navegador) do cliente e quem esta mandando a informação seram gravadas no cabeçalho TCP que sera inviado pelo proxy para receptores externos.
Vamos agora configura como vai ser feita a autenticação do usuário no proxy para que ele possa ter acesso aos sites na internet, porém visualizamos antes, duas opções a Filtro URL e o Acelerador de Atualizações, o que posso falar agora dessas duas opções é que são plugins para potencializar o Advanced Proxy e que vou explicar em um outro tutoria de cada um deles.
Voltado a maneida de como os usuários vao ser autenticados, notamos que nos é disponibilizado uma boa quantidade de modos que são:
- Nenhum – neste modelo o proxy vai estar trabalhando como transparente intão nao vai existir qualquer tipo de autenticação;
- Local – Utilizando ente modelo o cadastro de usuário vai ser armazeno do mesmo servidor de proxy, sendo estes usuários do sistema, pode ser utilizado em micro empresas;
- Identd – O mesmo que o anterior porem com algumas poucas características a mais;
- LDAP – Utilizado se na empresa existe um servidor em linux rodando esta aplicação ou podendo ser configurado utilizando um servidor Active Directory caso vc queira que os usuários insirão seus logins e senha quando na tentativa de acessar a internet;
- Windows – Este é o modelo mais fácil de configurar autenticação em uma rede de Doninio Windows 2003 Server, neste modo de configuração, podemos definir que a autenticação do usuário sera transparente, onde o proxy identifica automáticamente que usuário do Windows esta requisitando acesso;
- RADIUS – Usado em redes que usa este modelo de autenticação.
Depois de vermos de maneira sucinta o que é cada modelo, o escolhido para nossa rede testes foi o Windows, que após habilita-lo as seguintes configurações foram disponibilizadas, Configurações Global de autenticação a Configuração comum de domínio e o Modo de autenticação , na primeira de mais importante existe a opção Dominios sem autenticação onde os dominios inseridos neste espaço quando o usuário tentar acesso-lo a solicitação sera feita sem a necessidade de autenticação, isso por que alguns sites não trabalham muito bem com este bloqueio e nestes dominios os proxy simplesmente redireciona a requisição.
Ja no segundo vamos configurar como o proxy vai checar se os dados de login e senha do usuário esta conrretos, para isso precisamos configurar o nome do Dominio criado no Active Directory e o nome da maquina ou ip onde este serviço esta configurado.
O próximo é modo de autenticação, que se marcado o box a tela de solicitação de usuario e senha não sera mostrada, o proxy vai identificar automáticamente essas duas informções e este processo vai ser transparente para o usuário.
E por fim nas Restrições de acesso baseado no usuário se habilitado podemos definir dois tipos de controle padrão o Use controle de acesso positivo se escolhido no quadro a abaixo da opção, o administrados vai ter que adicionar um abaixo do outro os logins de usuários que vão poder acessar a internet, caso a escolha seja Use controle de acesso positivo no quadro abaixo o administrador vai usar do mesmo procedimento descrito para o acesso positivo.
Como foi lembrado pelo companheiro Renato Amorim nos comentários, não coloquei onde baixar a aplicação, corrigindo, segue abaixo o site e o link onde baixa-lo:
10 comments
Comments feed for this article
15/10/2009 às 20:27
Milton
Parabens pela materia, vc poderia passar mais detalhes sobre o metodo de autenticação Local e Identd, aparentemente é bem simples mais mesmo apos habilitar meu server continua a abrir sites se solicitar qualquer autenticação…
Grato
15/10/2009 às 23:09
Rafael Cristian
Bom Milton,
Pelo método explicado no post a autenticação é feita automática com o login do usuário do windows. Se você fot no menu de logs e pedir para visualizar os logs de bloqueios vai poder verificar que os nomes dos usuários estarão lá registrados.
Isso quer dizer que, quando o usuário logar no windows e for acessar a internet, o proxy já vai identificar o usuário logado e já vai autenticar a sua navegação, dando a impressão de ser um proxy transparente.
[]’s
11/09/2009 às 11:53
Fábio W.
Bom dia Rafael..
Meu IPCop costuma dar umas travadas vez em quando, o sistema trava e só volta reiniciando. Andei monitorando ele descobri que o problema estava na cache e na memória que estavam enchendo muito. Configurei um horario de inatividade na empresa p/ ele reiniciar e tem dado certo. Mas hoje houve um momento em que talvez pelo grande numero de acessos estourou mais cedo as capacidades de Ram e cache. Você sabe alguma forma de tornar esse controle mais automático e mais eficaz ? Obrigado..
15/10/2009 às 20:31
Milton
Qual a configuração do seu Hardware ?
Grato
15/10/2009 às 23:11
Rafael Cristian
Milton,
Uso um P4 com 30gb de disco e 1gb de memoria
[]’s
03/08/2009 às 15:50
Fábio W.
O Blog está muito legal mesmo.. boas dicas de soluções free, principalmente sobre o IPCop, foi muito útil… Parabéns
03/08/2009 às 19:39
Rafael Cristian
Obrigado Fábio W. espero estar colocando mais informações em breve
[]’s
25/07/2009 às 22:59
Renato Amorim
Parabéns pelo blog, só faltou citar onde fazer o downloads..
27/07/2009 às 07:10
Rafael Cristian
Realmente Renato, passou desapercebido mesmo esse detalhe, valeu pelo toque, e obrigado por ter gostado do blog.
[]’s
29/09/2009 às 22:23
Rivonaldo
Ótima iniciativa, colocar esses tutoriais nos ajudam muito. Obrigado
mantenha-o sempre com novidades