Proxy web

El proxy web es un servidor que se encuentra entre las PCs de LAN y los sitios de Internet. Los clientes hacen peticiones al proxy que se comunica con sitios externos y luego envían la respuesta al cliente.

Las ventajas de un proxy web son:

  • capacidad de filtrar contenido
  • reducir el uso del ancho de banda mediante el almacenamiento en caché de las páginas que visita

El proxy sólo se puede activar en zonas verdes y azules. Los modos admitidos son:

  • Manual: todos los clientes deben configurarse manualmente
  • Los usuarios autenticados deben ingresar un nombre de usuario y una contraseña para navegar
  • Transparente: todos los clientes se ven obligados automáticamente a usar el proxy para las conexiones HTTP
  • SSL transparente: todos los clientes se obligan automáticamente a utilizar el proxy para las conexiones HTTP y HTTPS

Nota

Please make sure to have Users module installed (nethserver-directory package), if you plan to use authenticate mode.

Configuración del cliente

El proxy está siempre escuchando en el puerto 3128. Cuando se utilizan modos manuales o autenticados, todos los clientes deben estar configurados explícitamente para usar el proxy. El panel de configuración es accesible desde la configuración del navegador. Por cierto, la mayoría de los clientes serán configurados automáticamente usando el protocolo WPAD. En este caso, es útil habilitar la opción Bloquear puertos HTTP y HTTPS para evitar el bypass de proxy.

Si el proxy está instalado en modo transparente, todo el tráfico web procedente de clientes se desvía a través del proxy. No se requiere configuración en los clientes individuales.

Certificate file is saved inside /etc/pki/tls/certs/NSRV.crt file, it can be downloaded from client at http://<ip_server>/proxy.crt address.

Nota

Para que el archivo WPAD sea accesible desde la red de invitados, agregue la dirección de la red azul dentro del campo Permitir hosts para el servicio httpd desde la página :guilabel:` Servicios de red`.

Proxy SSL

Advertencia

Decrypting HTTPS connection without user consent is illegal in many countries.

In transparent SSL mode, server is able to also filter encrypted HTTPS traffic. The proxy establishes the SSL connection with remote sites, it checks the validity of certificates and it decrypts the traffic. Finally, it generates a new certificate signed by the Certification Authority (CA) server itself.

The traffic between client and proxy is always encrypted, but you will need to install on every client (browser) the CA certificate of the server.

The server certificate is located in /etc/pki/tls/certs/NSRV.crt. It is advisable to transfer the file using an SSH client (eg FileZilla).

Bypass

En algunos casos, puede ser necesario garantizar que el tráfico procedente de una dirección IP específica o destinado a algunos sitios no se enrute a través del proxy HTTP / HTTPS.

El proxy le permite crear:

  • bypass por origen, configurable desde la sección Hosts sin proxy
  • bypass por destino, configurable desde la sección Sitios sin proxy

Las reglas de bypass también se configuran dentro del archivo WPAD.

Reporte

Install nethserver-lightsquid package to generate web navigation reports.

LightSquid is a lite and fast log analyzer for Squid proxy, it parses logs and generates new HTML report every day, summarizing browsing habits of the proxy’s users. Link to web interface can be found at the Applications tab inside the Dashboard.

Cache

En la pestaña Cache hay un formulario para configurar los parámetros del caché:

  • El caché puede ser activado o desactivado (desactivado por defecto)
  • Tamaño de caché de disco: valor máximo de caché de squid en disco (en MB)
  • Tamaño mínimo de objeto: se puede dejar en 0 para almacenar en caché todo, pero puede ser elevado si no se desean objetos pequeños en la caché (en kB)
  • Tamaño máximo del objeto: los objetos mayores que este valor no se guardarán en el disco. Si la velocidad es más deseable que ahorrar ancho de banda, esto debería establecerse en un valor bajo (en kB)

The button Empty cache also works if squid is disabled, it might be useful to clear space on disk.

Sitios sin caché

En algún momento el proxy no puede manejar correctamente algunos sitios mal diseñados. Para excluir uno o varios dominios de la caché, utilice la propiedad NoCache.

Ejemplo:

config setprop squid NoCache www.nethserver.org,www.google.com
signal-event nethserver-squid-save

Puertos seguros

Los puertos seguros son una lista de puertos accesibles mediante el proxy. Si un puerto no está dentro de la lista de puertos seguros, el proxy se negará a ponerse en contacto con el servidor. Por ejemplo, dado un servicio HTTP que se ejecuta en el puerto 1234, no se puede acceder al servidor mediante el proxy.

La propiedad SafePorts es una lista de puertos separados por comas. Los puertos listados se agregarán a la lista predeterminada de puertos seguros.

P.ej. Acceda a puertos adicionales 446 y 1234:

config setprop squid SafePorts 446,1234
signal-event nethserver-squid-save