社内Proxyサーバーを構築する
構築する理由
社内ネット接続の管理・制御が可能になる
社内でのWebアクセスを集約し、管理・制御することを可能にすることによって、社員が不適切なWebサイトにアクセスしないようにURLでフィルタリングするURLフィルタリングを利用したり、Webアクセスに利用するHTTPによってファイルを転送することも可能。また、HTTPで転送されているファイルが適切なものかどうかをチェックするコンテンツフィルタを実現することも可能。
- 内部ネットワークからのクライアントのWebアクセスを集約
- URL/コンテンツフィルタが可能
- キャッシュによってWebアクセスのパフォーマンス向上
手順
Squid(OSS)のインストール
- プロキシサーバとして公開されているsquid(OSS)をインストールするよお
sudo apt install squid
/etc/squid.confにSquidの設定ファイルがありますが念のためバックアップ取っておいて書き込めないようにしておくらしい
なぜなら、このconfファイルが7000行以上あるからだよ!
sudo cp /etc/squid.conf /etc/squid/squid.conf.org
squid.confに変更を加えていくよ(心の準備が必要)
sudo vim /etc/squid/squid.conf
なかみを書き換える
acl localnet src 10.0.0.0/8 # RFC1918 possible internal network
acl localnet src 172.16.0.0/12 # RFC1918 possible internal network
acl localnet src 192.168.0.0/16 # RFC1918 possible internal network
acl localnet src fc00::/7 # RFC 4193 local private network range
acl localnet src fe80::/10 # RFC 4291 link-local (directly plugged) machines
acl SSL_ports port 443
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT
# Deny requests to certain unsafe ports
http_access deny !Safe_ports
# Deny CONNECT to other than secure SSL ports
http_access deny CONNECT !SSL_ports
# Only allow cachemgr access from localhost
http_access allow localhost manager
http_access deny manager
# from where browsing should be allowed
http_access allow localnet
http_access allow localhost
# And finally deny all other access to this proxy
http_access deny all
# Squid normally listens to port 3128
http_port 58888
cache_mem 256 MB
cache_dir ufs /var/spool/squid 100 16 256
coredump_dir /var/spool/squid
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern (Release|Packages(.gz)*)$ 0 20% 2880
# example lin deb packages
#refresh_pattern (\.deb|\.udeb)$ 129600 100% 129600
refresh_pattern . 0 20% 4320
- 設定を反映するためにsquidを読み込んで再起動して、Statusを確認する
sudo systemctl reload squid
sudo systemctl restart squid
sudo systemctl status squid
runningになってればOKだお!
つぎはログがきちんと書き換えられるかを確認するために環境設定する
環境変数へプロキシの追記
.bashrcのファイルに下記記述を追記する!
忘れてるかもしれないけど.で始まるファイルは隠しファイルのため、ls -aで検索しないといけません
$ ls -a
sudo vim .bashrc
Sample
$ export https_proxy="http://username:password@your.proxy.address:proxy.port/"
$ export http_proxy="http://username:password@your.proxy.address:proxy.port/"
$ export ftp_proxy="http://username:password@your.proxy.address:proxy.port/"
わたしの環境
$ export https_proxy="http://ubuntu:pass1234@19.0.2.15:8080/"
$ export http_proxy="http://ubuntu:pass1234@19.0.2.15:8080/"
$ export ftp_proxy="http://ubuntu:pass1234@19.0.2.15:8080/"
squidを再起動してステータスを確認する
sudo systemctl restart squid
sudo systemctl status squid