PDF de programación - Cómo configurar Squid: Parámetros básicos para Servidor Intermediario (Proxy)

Cómo configurar Squid: Parámetros básicos para Servidor Intermediario (Proxy).
Autor: Joel Barrios Dueñas
Correo electrónico: jbarrios arroba linuxparatodos punto net
Sitio de Red: http://www.linuxparatodos.net/

Creative Commons Reconocimiento-NoComercial-CompartirIgual 2.1

© 1999-2006 Linux Para Todos. Algunos Derechos Reservados 2007 Factor Evolución SA de CV. Usted
es libre de copiar, distribuir y comunicar públicamente la obra y hacer obras derivadas bajo las
condiciones siguientes: a) Debe reconocer y citar al autor original. b) No puede utilizar esta obra para
fines comerciales. c) Si altera o transforma esta obra, o genera una obra derivada, sólo puede distribuir la
obra generada bajo una licencia idéntica a ésta. Al reutilizar o distribuir la obra, tiene que dejar bien claro
los términos de la licencia de esta obra. Alguna de estas condiciones puede no aplicarse si se obtiene el
permiso del titular de los derechos de autor. Los derechos derivados de usos legítimos u otras limitaciones
no se ven afectados por lo anterior. Licencia completa en castellano. La información contenida en este
documento y los derivados de éste se proporcionan tal cual son y los autores no asumirán responsabilidad
alguna si el usuario o lector hace mal uso de éstos.
Introducción.
¿Qué es Servidor Intermediario (Proxy)?

El término en ingles «Proxy» tiene un significado muy general y al mismo tiempo
ambiguo, aunque invariablemente se considera un sinónimo del concepto de
«Intermediario». Se suele traducir, en el sentido estricto, como delegado o apoderado
(el que tiene el que poder sobre otro).

Un Servidor Intermediario (Proxy) se define como una computadora o dispositivo que
ofrece un servicio de red que consiste en permitir a los clientes realizar conexiones de
red indirectas hacia otros servicios de red. Durante el proceso ocurre lo siguiente:

• Cliente se conecta hacia un Servidor Intermediario (Proxy).
• Cliente solicita una conexión, fichero u otro recurso disponible en un

servidor distinto.

• Servidor Intermediario (Proxy) proporciona el recurso ya sea

conectándose hacia el servidor especificado o sirviendo éste desde un
caché.

• En algunos casos el Servidor Intermediario (Proxy) puede alterar la

solicitud del cliente o bien la respuesta del servidor para diversos
propósitos.

Los Servidores Intermediarios (Proxies) generalmente se hacen trabajar
simultáneamente como muro cortafuegos operando en el Nivel de Red, actuando como
filtro de paquetes, como en el caso de iptables, o bien operando en el Nivel de
Aplicación, controlando diversos servicios, como es el caso de TCP Wrapper.
Dependiendo del contexto, el muro cortafuegos también se conoce como BPD o Border

Protection Device o simplemente filtro de paquetes.

Una aplicación común de los Servidores Intermediarios (Proxies) es funcionar como
caché de contenido de Red (principalmente HTTP), proporcionando en la proximidad de
los clientes un caché de páginas y ficheros disponibles a través de la Red en servidores
HTTP remotos, permitiendo a los clientes de la red local acceder hacia éstos de forma
más rápida y confiable.

Cuando se recibe una petición para un recurso de Red especificado en un URL (Uniform
Resource Locator) el Servidor Intermediario busca el resultado del URL dentro del
caché. Si éste es encontrado, el Servidor Intermediario responde al cliente
proporcionado inmediatamente el contenido solicitado. Si el contenido solicitado no
estuviera disponible en el caché, el Servidor Intermediario lo traerá desde servidor
remoto, entregándolo al cliente que lo solicitó y guardando una copia en el caché. El
contenido en el caché es eliminado luego a través de un algoritmo de expiración de
acuerdo a la antigüedad, tamaño e historial de respuestas a solicitudes (hits) (ejemplos:
LRU, LFUDA y GDSF).

Los Servidores Intermediarios para contenido de Red (Web Proxies) también pueden
actuar como filtros del contenido servido, aplicando políticas de censura de acuerdo a
criterios arbitrarios.

Acerca de Squid.

Squid es un Servidor Intermediario (Proxy) de alto desempeño que se ha venido
desarrollando desde hace varios años y es hoy en día un muy popular y ampliamente
utilizado entre los sistemas operativos como GNU/Linux y derivados de Unix®. Es muy
confiable, robusto y versátil y se distribuye bajo los términos de la Licencia Pública
General GNU (GNU/GPL). Siendo sustento lógico libre, está disponible el código
fuente para quien así lo requiera.

Entre otras cosas, Squid puede funcionar como Servidor Intermediario (Proxy) y
caché de contenido de Red para los protocolos HTTP, FTP, GOPHER y WAIS,
Proxy de SSL, caché transparente, WWCP, aceleración HTTP, caché de consultas DNS
y otras muchas más como filtración de contenido y control de acceso por IP y por
usuario.

Squid consiste de un programa principal como servidor, un programa para búsqueda en
servidores DNS, programas opcionales para reescribir solicitudes y realizar autenticación
y algunas herramientas para administración y y herramientas para clientes. Al iniciar
Squid da origen a un número configurable (5, de modo predefinido a través del
parámetro dns_children) de procesos de búsqueda en servidores DNS, cada uno de los
cuales realiza una búsqueda única en servidores DNS, reduciendo la cantidad de tiempo
de espera para las búsquedas en servidores DNS.

NOTA ESPECIAL: Squid no debe ser utilizado como Servidor
Intermediario (Proxy) para protocolos como SMTP, POP3, TELNET,
SSH, IRC, etc. Si se requiere intermediar para cualquier protocolo
distinto a HTTP, HTTPS, FTP, GOPHER y WAIS se requerirá
implementar obligatoriamente un enmascaramiento de IP o NAT
(Network Address Translation) o bien hacer uso de un servidor SOCKS
como Dante (http://www.inet.no/dante/).

URL: http://www.squid-cache.org/

Algoritmos de caché utilizados por Squid.

A través de un parámetro (cache_replacement_policy) Squid incluye soporte para los
siguientes algoritmos para el caché:

• LRU

Acrónimo de Least Recently Used, que traduce como Menos
Recientemente Utilizado. En este algoritmo los objetos que
no han sido accedidos en mucho tiempo son eliminados
primero, manteniendo siempre en el caché a los objetos más
recientemente solicitados. Ésta política es la utilizada por
Squid de modo predefinido.


• LFUDA Acrónimo de Least Frequently Used with Dynamic Aging,

que se traduce como Menos Frecuentemente Utilizado con
Envejecimiento Dinámico. En este algoritmo los objetos más
solicitados permanecen en el caché sin importar su tamaño
optimizando la eficiencia (hit rate) por octetos (Bytes) a
expensas de la eficiencia misma, de modo que un objeto
grande que se solicite con mayor frecuencia impedirá que se
pueda hacer caché de objetos pequeños que se soliciten con
menor frecuencia.


• GDSF Acrónimo de GreedyDual Size Frequency, que se traduce

como Frecuencia de tamaño GreedyDual (codicioso dual),
que es el algoritmo sobre el cual se basa GDSF. Optimiza la
eficiencia (hit rate) por objeto manteniendo en el caché los
objetos pequeños más frecuentemente solicitados de modo que
hay mejores posibilidades de lograr respuesta a una solicitud
(hit). Tiene una eficiencia por octetos (Bytes) menor que el
algoritmo LFUDA debido a que descarta del caché objetos
grandes que sean solicitado con frecuencia.

Sustento lógico necesario.

Para poder llevar al cabo los procedimientos descritos en este manual y documentos
relacionados, usted necesitará tener instalado al menos lo siguiente:

• Al menos squid-2.5.STABLE6
• httpd-2.0.x (Apache), como auxiliar de caché con aceleración.
• Todos los parches de seguridad disponibles para la versión del sistema
operativo que esté utilizando. No es conveniente utilizar un sistema con
posibles vulnerabilidades como Servidor Intermediario.

Debe tomarse en consideración que, de ser posible, se debe utilizar siempre las
versiones estables más recientes de todo sustento lógico que vaya a ser instalado para
realizar los procedimientos descritos en este manual, a fin de contar con los parches de
seguridad necesarios. Ninguna versión de Squid anterior a la 2.5.STABLE6 se
considera como apropiada debido a fallas de seguridad de gran importancia.

Squid no se instala de manera predeterminada a menos que especifique lo contrario
durante la instalación del sistema operativo, sin embargo viene incluido en casi todas las
distribuciones actuales. El procedimiento de instalación es exactamente el mismo que
con cualquier otro sustento lógico.

Instalación a través de yum.

Si cuenta con un sistema con CentOS o White Box Enterprise Linux 3 o versiones
posteriores, utilice lo siguiente y se instalará todo lo necesario junto con sus
dependencias:

yum -y install squid httpd

Instalación a través de up2date.

Si cuenta con un sistema con Red Hat™ Enterprise Linux 3 o versiones posteriores,
utilice lo siguiente y se instalará todo lo necesario junto con sus dependencias:

up2date -i squid httpd

Otros componentes necesarios.

El mandato iptables se utilizará para generar las reglas necesarias para el guión de
Enmascaramiento de IP. Se instala de modo predefinido en todas las distribuciones
actuales que utilicen núcleo (kernel) versiones 2.4 y 2.6.

Es importante tener actualizado el núcleo del sistema operativo por diversas cuestiones

de seguridad. No es recomendable utilizar versiones del kernel anteriores a la 2.4.21.
Actualice el núcleo a la versión más reciente disponible para su distribución.

Si cuenta con un sistema con CentOS o White Box Enterprise Linux 3 o versiones
posteriores, utilice lo siguiente para actualizar el núcleo del sistema operativo e iptables,
si acaso fuera necesario:

yum -y update kernel iptables

Si cuenta con un sistema con Red Hat™ Enterprise Linux 3 o versiones posteriores,
utilice lo siguiente para actualizar el núcleo del sistema operativo, e iptables si acaso
fuera necesario:

up