robimassa

Another Subtext Powered Blog
posts - 17, comments - 0, trackbacks - 0

My Links

News

Archives

Squid usato come Reverse Proxy per protezione di Exchange OWA

 

Qui di seguito, riporto una configurazione utilizzabile con Squid, in questo caso la 3.1.15, per consentire di anteporre un reverse proxy al vero e proprio server OWA.

Il vantaggio di questa architettura consiste nel non “esporre” in DMZ un server  membro di Dominio, la configurazione proposta lavora con un server OWA di versione 2003 (non ho avuto modo di utilizzarla con altre versioni), ma può essere ripresa per proteggere servizi web che richiedono autenticazione ad esempio altri mailserver.

Il tunnel HTTPs viene terminato sul reverse proxy e da questo le richieste vengono inoltrate al server WEB in HTTP

Nel caso specifico di questa configurazione Squid è installato su un sistema OPENBsd ma può tranquillamente essere utilizzato su altre distribuzioni, unico accorgimento è che deve essere compilato con l’opzione '--enable-ssl'.

In rete sono disponibili numerosi pacchetti già preparati e pronti per l’installazione, queste distribuzioni, di solito sono compilate con un grande numero di opzioni, per la maggior parte non necessarie.

E’ consigliabile, dato che si utilizza a “protezione” di un servizio, che Squid sia compilato con le sole opzioni necessarie, questo al fine di rendere meno vulnerabile il sistema stesso.

in questo caso le opzioni di compilazione sono:

#squid –-v (comando per ottenere le info sull’installazione di Squid)

Output:

Squid Cache: Version 3.1.15
configure options:  '--enable-ssl' '--enable-err-language=eng' '-disable-ipv6' --enable-ltdl-convenience

File squid.conf

cache_effective_user squiduser
cache_effective_group wheel

https_port 443 accel vhost cert=/usr/local/squid/certificato/dns1.crt key=/usr/local/squid/certificato/dns1.key  # cert e key sono il certificato e la chiave con cui viene attivato SSL il certificato e relativa chiave devono essere generati in precedenza
cache_peer 10.1.1.1 parent 80 0 no-query originserver login=PASS proxy-only      # cache_peer  è il riferimento al server a cui squid redirige le chiamate in ingresso

front-end-https=auto name=webmail
redirect_rewrites_host_header off

acl TUTTI src all #definizione  ACL chiamata TUTTI con source all ossia accesso libero alla cache Squid
http_access allow TUTTI #consente accesso all' ACL TUTTI alla cache

#definizione della posizione dei log del formato e della rotazione
logfile_rotate 30
emulate_httpd_log on
log_mime_hdrs off
access_log /var/log/squid/log/access.log
cache_store_log /var/log/squid/log/store.log
cache_log /var/log/squid/log/cache.log

#definizione della posizione della cache
cache_dir ufs /var/log/squid/cache 100 16 256
cache_mem 50 MB
pid_filename /var/run/squid.pid

 

 

riferimenti:

http://wiki.squid-cache.org/SquidFaq/ReverseProxy

http://wiki.squid-cache.org/ConfigExamples/Reverse/VirtualHosting

http://wiki.squid-cache.org/ConfigExamples/Reverse/OutlookWebAccess

Print | posted on Monday, May 13, 2013 10:45 PM |

Feedback

No comments posted yet.

Post Comment

Title  
Name  
Email
Url
Comment   
Please add 3 and 8 and type the answer here:

Powered by:
Powered By Subtext Powered By ASP.NET