Diferencia entre revisiones de «Squid autentificándose contra squid»

De Guifi.net - Wiki Hispano

(¿Por qué?: corregido estilo de la lista)
(Contenido de squid.conf: completado squid.conf y añadida nota sobre usuario y grupo en openwrt)
Línea 15: Línea 15:
 
==Contenido de squid.conf==
 
==Contenido de squid.conf==
  
Debe contener, entre otras cosas...
+
Debe contener:
  
 
  http_port <en qué puerto queremos que escuche nuestro squid local>
 
  http_port <en qué puerto queremos que escuche nuestro squid local>
Línea 26: Línea 26:
 
  never_direct allow all
 
  never_direct allow all
 
  icp_access deny all
 
  icp_access deny all
 +
 +
cache_effective_user squid
 +
cache_effective_group wheel
 +
 +
Nota: Es posible que en OpenWRT el usuario y el grupo (últimas dos líneas) sean diferentes de los que se especifican aquí.
  
 
[http://hints.macworld.com/article.php?story=20030226161459306 Referencia]
 
[http://hints.macworld.com/article.php?story=20030226161459306 Referencia]

Revisión de 18:16 16 abr 2014

¿Por qué?

Si alguna vez te has visto en casa con que quieres conectar varios dispositivos a tu nodo de guifi.net, habrás pensado en un switch o un router. Sin embargo, siempre queda el «pequeño» detalle del proxy:

  • configurarlo
  • autentificación cada X tiempo (generalmente cada hora)

Cómo

Un proxy local que se identifica contra un proxy remoto. El proxy local será el que instalemos en nuestro router (OpenWRT) y el proxy remoto será nuestro proxy más cercano de guifi.net.

Más detalles

Contenido de squid.conf

Debe contener:

http_port <en qué puerto queremos que escuche nuestro squid local>
cache_peer <ip del proxy de guifi> parent <puerto del proxy de guifi (generalmente 3128)> 0 no-query default proxy-only login=<usuario>:<contraseña>

acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl all src 0.0.0.0/0.0.0.0
http_access allow all
never_direct allow all
icp_access deny all

cache_effective_user squid
cache_effective_group wheel

Nota: Es posible que en OpenWRT el usuario y el grupo (últimas dos líneas) sean diferentes de los que se especifican aquí.

Referencia

Queda por explicar todo el proceso pero la idea y los detalles específicos están ahí.

Sobre tinyproxy y AddHeader

Mejor no utilizarlo ya que implica que enviaremos las cabeceras con cada petición del proxy, lo que constituye un riesgo de seguridad, además de ser un tanto chapucero.

Herramientas personales