I marchi sono di proprietà dei rispettivi possessori © 2001 Daniele Albrizio Squid nella rete aziendale Configurazioni e soluzioni Daniele Albrizio
I marchi sono di proprietà dei rispettivi possessori © 2001 Daniele Albrizio Cose un Proxy Procura, messo, persona mandata al posto del titolare e che rappresenta lo stesso Server proxy memorizza le ultime pagine visitate dagli utenti per cui, se un utente vuole collegarsi a una pagina da poco visitata da qualcun altro, essa può essere scaricata dal server proxy invece che dal sito remoto, aumentando così la velocità di risposta e ottimizzando lutilizzo della rete. (caching)
I marchi sono di proprietà dei rispettivi possessori © 2001 Daniele Albrizio Cose un Proxy nelle reti locali protette i proxy sono utilizzati soprattutto come gateway in modo tale che una sola macchina possa accedere all'esterno e tutti gli altri calcolatori possano ottenere i dati dall'esterno della rete, appoggiandosi ad essa.
I marchi sono di proprietà dei rispettivi possessori © 2001 Daniele Albrizio Il proxy open source Squid Proxy pensato principalmente per ilweb Uno dei piu diffusi su Internet soprattutto per quanto riguarda gli ISP e i backbones Implementato, con qualche modifica, in molti net-cache, firewalls e network appliances (ad es.: Sun-Cobalt CacheRaq 4) ( Lavora bene sui grandi numeri
I marchi sono di proprietà dei rispettivi possessori © 2001 Daniele Albrizio Squid Software Free Open Source proxying and caching of HTTP, FTP, and other URL's proxying for SSL cache hierarchies ICP, HTCP, CARP, Cache Digests transparent caching extensive access controls HTTP server acceleration SNMP caching of DNS lookups
I marchi sono di proprietà dei rispettivi possessori © 2001 Daniele Albrizio Configurazioni possibili Proxy only Proxy and Cache Transparent Proxy Cache Hierarchy HTTP accelerator
I marchi sono di proprietà dei rispettivi possessori © 2001 Daniele Albrizio Proxy only Soluzione gateway per reti protette Ho banda a sufficienza, ma voglio proteggere i client e lintranet Voglio che i miei dipendenti possano fare ricerche in Internet ( come strumento di lavoro, aumentando il loro know-how)
I marchi sono di proprietà dei rispettivi possessori © 2001 Daniele Albrizio Proxy only Come: Isolo lintranet sul router facendo passare solo lIP del proxy Posso impedire laccesso ad alcuni siti che distraggono i miei dipendenti
I marchi sono di proprietà dei rispettivi possessori © 2001 Daniele Albrizio Proxying and Caching Alla funzionalità precedente voglio aggiungere un risparmio di banda in uscita
I marchi sono di proprietà dei rispettivi possessori © 2001 Daniele Albrizio proxying and caching of HTTP, FTP, and other URL's Host da contattare Proxy del Provider Client (Browser) Internet
I marchi sono di proprietà dei rispettivi possessori © 2001 Daniele Albrizio proxying and caching of HTTP, FTP, and other URL's Internet Proxy del Provider Client (Browser) Computer locale Provider Internet (il resto) RAM Dischi RAM
I marchi sono di proprietà dei rispettivi possessori © 2001 Daniele Albrizio Cache Hierarchies In una grossa organizzazione con unintranet veloce ed un collo di bottiglia verso Internet In un grande ISP
I marchi sono di proprietà dei rispettivi possessori © 2001 Daniele Albrizio Cache Hierarchies Child Proxy Oceano Client (Browser) Parent Proxy Local Internet Remote Internet Sibling Proxy
I marchi sono di proprietà dei rispettivi possessori © 2001 Daniele Albrizio Cache Hierarchies Il Parent puo fare da forwarder della richiesta e in tal caso tiene una copia di essa nella sua cache Il Sibling non inoltra le richieste dei fratelli
I marchi sono di proprietà dei rispettivi possessori © 2001 Daniele Albrizio Esempio Hierarchy GARR Proxy Parent sui nodi principali Proxy Sibling sui nodi secondari
I marchi sono di proprietà dei rispettivi possessori © 2001 Daniele Albrizio HTTP accelerator configurazione 1 Ho un sito web lento o affollato che richiede risorse hardware ingenti I contenuti del sito non si aggiornano molto velocemente in rapporto alla frequenza delle connessioni
I marchi sono di proprietà dei rispettivi possessori © 2001 Daniele Albrizio Http Accelerator 1 (http 1.0 safe) Squid http accelerator ( httpd_accel_single_host ) Client (Browser) DNS pubblico Internet Web Server
I marchi sono di proprietà dei rispettivi possessori © 2001 Daniele Albrizio HTTP accelerator configurazione 2 Ho piu di un sito web su una sottorete nascosta oppure Devo bilanciare il carico fra piu server con applicazioni piuttosto pesanti
I marchi sono di proprietà dei rispettivi possessori © 2001 Daniele Albrizio Richiesta del browser Host: euro.pinco.it:555 Connection: Keep-Alive GET /prova.html HTTP/1.1 Accept: image/gif, image/x-xbitmap, image/jpeg, […], */* Accept-Language: it Accept-Encoding: gzip, deflate User-Agent: Mozilla/4.0 (compatible[…]
I marchi sono di proprietà dei rispettivi possessori © 2001 Daniele Albrizio Richiesta del browser Host: euro.pinco.it:555 Connection: Keep-Alive GET /prova.html HTTP/1.1 Accept: image/gif, image/x-xbitmap, image/jpeg, […], */* Accept-Language: it Accept-Encoding: gzip, deflate User-Agent: Mozilla/4.0 (compatible[…]
I marchi sono di proprietà dei rispettivi possessori © 2001 Daniele Albrizio Http Accelerator 2 Squid http accelerator Client (Browser) DNS pubblico Internet DNS o hosts privato Web Server Web Server Web Server Web Server
I marchi sono di proprietà dei rispettivi possessori © 2001 Daniele Albrizio Http Accelerator 3 Squid http accelerator Client (Browser) DNS pubblico Internet Web Server Web Server Web Server Web Server Redirector
I marchi sono di proprietà dei rispettivi possessori © 2001 Daniele Albrizio Transparent proxying and caching applicabilità Realtà client eterogenee e unmanaged Grossi backbones Configurazioni particolari della rete e politiche aziendali che lo richiedano
I marchi sono di proprietà dei rispettivi possessori © 2001 Daniele Albrizio Transparent proxying and caching Pro »accoppiato al caching normale riduce notevolmente il traffico sui backbones Contro »diversi flavour di protocollo HTTP »complica il network debugging »non completamente transparent (errori del proxy arrivano sul client)
I marchi sono di proprietà dei rispettivi possessori © 2001 Daniele Albrizio Transparent proxying and caching Router o L3+ switch Proxy Client (Browser) I pacchetti in uscita dalla lan verso la porta 80 vengono inviati al proxy dal router. Transparent Proxy with Linux and Squid mini-HOWTO Client (Browser) Internet Proxy Parent
I marchi sono di proprietà dei rispettivi possessori © 2001 Daniele Albrizio Transparent proxying and caching Linux Router + Squid Client (Browser) Configurazione flessibile per piccole LAN Client (Browser) Internet Proxy Parent
I marchi sono di proprietà dei rispettivi possessori © 2001 Daniele Albrizio Alternativa al Transparent Proxy Proxy Autoconf (Netscape) »javascript function FindProxyForURL(url, host) »url exclusion, proxy load balancing, proxy takeover
I marchi sono di proprietà dei rispettivi possessori © 2001 Daniele Albrizio Alternativa al Transparent Proxy WPAD (web proxy auto discovery) »permette la scoperta automatica dellhost contenente il proxy.pac »pino.econ.univ.trieste.it cerchera wpad.dat (formerly proxy.pac) in ordine nelle seguenti url:
I marchi sono di proprietà dei rispettivi possessori © 2001 Daniele Albrizio Alternativa al Transparent Proxy WPAD (web proxy auto discovery) »IETF draft scaduto - implementato solo in InternetExplorer e attivato di default »porta un consistente aumento dei client che utilizzano il proxy in una rete unmanaged »si puo usare anche nel DHCP e nei campi DNS TXT
I marchi sono di proprietà dei rispettivi possessori © 2001 Daniele Albrizio Da tenere bene in mente Squid non e un proxy per il protocollo FTP LIP based authentication viene compromessa (soprattutto dalle gerarchie di proxy e dal transparent proxy) SSL ed estensioni del protocollo http vengono tunnellizzate
I marchi sono di proprietà dei rispettivi possessori © 2001 Daniele Albrizio Da tenere bene in mente Le pagine che si vanno a mettere in cache dovrebbero riportare informazioni corrette riguardo alla scadenza, validita e cachabilita del loro contenuto ( IETF draft on Known HTTP Proxy/Caching Problems )
I marchi sono di proprietà dei rispettivi possessori © 2001 Daniele Albrizio Proxying SSL Host da contattare Proxy Client (Browser) CONNECT Il protocollo SSL viene instradato da e verso il server destinatario senza usare la cache in quanto criptato. A tale scopo viene usato il metodo http CONNECT Non ha senso mettere in cache pagine dinamiche e sicure.
I marchi sono di proprietà dei rispettivi possessori © 2001 Daniele Albrizio Proxying e caching FTP (CERN like) Host da contattare Proxy Client (Browser) FTP Il client fa una richiesta http al Proxy contenente una risorsa ftp: (GET ftp://ftp.unina.it/README HTTP/1.0) Il Proxy effettua una connessione ftp e redirige il contenuto sulla comunicazione http con il client HTTP
I marchi sono di proprietà dei rispettivi possessori © 2001 Daniele Albrizio Impatto di un proxy http sulla rete aziendale -25% di traffico -52% richieste calo di efficienza su traffico ftp a causa di bug dei clients (IE5/6) e aggiornamento antivirus con connessioni dirette
I marchi sono di proprietà dei rispettivi possessori © 2001 Daniele Albrizio Configurazioni possibili Quale fa per noi? Proxy only Proxy and Cache Cache Hierarchy HTTP accelerator Transparent Proxy
I marchi sono di proprietà dei rispettivi possessori © 2001 Daniele Albrizio Bibliografia Web Caching (The Internet Protocol Journal -CISCO) IE and CERN-Based FTP proxy servers FTP folders bug in IE Introducing Transparent Web Caching in a LAN (CNR) IETF draft on Known HTTP Proxy/Caching Problems draft-ietf-wrec-known-prob-02.txt IETF draft on Web Proxy Auto-Discovery Protocol draft-cooper-webi-wpad-00.txt Navigator Proxy Auto-Config File Format
I marchi sono di proprietà dei rispettivi possessori © 2001 Daniele Albrizio Bibliografia rfc Internet Cache Protocol (ICP), version 2 rfc Hypertext Transfer Protocol -- HTTP/1.1 Linux Networking HOWTO Transparent Proxy with Linux and Squid mini-HOWTO Firewall and Proxy Server HOWTO Linux 2.4 Advanced Routing HOWTO SQUID Frequently Asked Questions Servizio Web Cache Nazionale GARR