PfSense Altında Squid Proxy Server (Vekil Sunucu)

Kullanıcıların İnternet erişimini hızlandıran ve ayrıca İnternet trafiğini izleyip bunların günlüğünü tutan bir sunucudur. Örneğin bir kullanıcı bir siteye girdiğinde başka bir kullanıcıda aynı siteye girerse iki kullanıcıda bu İnternet sitesini İnternetten almak zorundadır. Bu durumda doğal olarak boşu boşuna İnternet trafiği artacak ve yavaşlamalar olacaktır. İşte bu durumda devreye “Proxy Server” girecektir. Eğer proxy sunucusunu kullanırsanız bir siteye bir kullanıcı girdiğinde girilen site proxy sunucu üzerine kaydedilecektir.

Diğer kullanıcı aynı siteye girmek isterse o site internet üzerinden değil proxy sunucu üzerinden kullanıcıya gönderilecektir. Bu durumda o kullanıcı hem siteyi çok hızlı açacak hem de internet kullanımını boşu boşuna artırmış olmayacaktır. Eğer girilen sitede bir değişiklik varsa proxy sunucu tüm siteyi yeniden almak yerine sadece bu değişiklikleri alacaktır.

Proxy sunucu üzerinde tutulan günlükler çeşitli programlar yardımıyla raporlara dönüştürülüp bunların sonradan incelenmesi sağlanabilir. Kim nereye ne zaman girmiş gibi soruların cevabı bu alanda bulunabilir.

Services -> Squid Proxy Server” adımlarını takip ederek “Package / Proxy Server: General Settings / General” sayfasına ulaşıp “pfSesnse” içerisinde proxy sunucunuz için ayarlarınızı yapabilirsiniz. “Proxy server: General settings” sayfasında on sekme bulunmaktadır:

  1. General
  2. Remote Cache
  3. Local Cache
  4. Antivirus
  5. ACLs
  6. Traffic Mgmt
  7. Authhentications
  8. Users
  9. Real Time
  10. Sync

1. General (Genel) Sekmesi

Bu sekmeyi kullanarak “Proxy server” ile ilgili başlatma, günlük tutma, port ayarları vb işlemleri yapabilirsiniz.

1.1. Squid General Settings Grubu

Squid sunucunuzun genel ayarlarının yapıldığı gruptur.

Enable Squid Proxy: Squid hizmetlerinin aktifleştirilmesi için seçilmesi gereken alandır. Buradaki “Check to enable the Squid Proxy” seçeneği seçilip kaydedildikten sonra bu servis başlayacaktır. Aksi takdirde squid devreye girmeyecektir.

Keep Settings/Data (Ayarları/Verileri Sakla): Yapılan tüm ayarların ve verilerin saklanması için seçilmesi gereken seçenektir. Eğer bu seçenek devre dışı bırakılırsa tüm ayarlar ve yüklenen veri paketleri silinecektir.

Proxy interface (Web vekil ara birimi): Proxy sunucunun hangi ağı kontrol edeceğini belirlediğiniz alandır.

  • WAN: Dış ağa yani internete çıkan modeminizin ağdır.
  • LAN: İç ağ yani “pfSense” üzerinden internete çıkan diğer bilgisayarlardır. Genellikle bu seçenek seçilerek diğer alt ağdaki tüm bilgisayarlar kontrol edilir.

Ayrıca bu alandaki seçenekler “pfSense” sisteminize bağlı olan Ethernet kartlarına göre değişiklik gösterebilir. Örneğin başka bir Ethernet kartınız daha varsa bu alanda “Opt1” veya kart adı olarak görünecektir. Proxy sunucu ile bu kartları da kontrol edebilirsiniz. Örneğin kablosuz bir ağı kontrol edebilirsiniz. Seçmek istediğiniz ağlar için klavyeden “Ctrl” tuşuna basılı tutarak istediğiniz adların üzerine tıklayarak seçim yapabilirsiniz.

Proxy port (Web vekil sunucu bağlantı noktası): Proxy sunucu hizmetinin hangi bağlantı noktası üzerinden verileceğinin belirlendiği alandır. Standart proxy sunucu bağlantı noktası “3128” numarasıdır. Transparent özelliği ile 80 numaralı bağlantı noktasına gelen istekler “squid” programının çalıştığı “3128” numaralı bağlantı noktasına yönlendirilir.

ICP port (ICP bağlantı noktası): Proxy sunucusunun sorgularını komşu önbelleklere almak ve göndermek için kullandığı bağlantı noktasıdır. Eğer proxy sunucusu ile ICP aracılığı ile komşu önbelleklerle iletişim kurmak istemiyorsanız bu alanı boş bırakın. Genellikle kullanılan bağlantı noktası numarası 3130’dur.

Allow users on interface (Ara birimdeki kullanıcılara izin ver): “Proxy interface” alanında seçilen ara birimlere ait tüm alt kullanıcıların proxy sunucusu üzerinden sisteme dâhil edilmesi için seçilmesi gereken alandır. Ayrıca izin verilen alt listelerin bu ara birime katılmasına gerek olmayacaktır. Aslında burası sadece bir kısa yoldur. Ayrıca “Access Control (Erişim Kontrolü)” sekmesinden kullanıcı seçmenize gerek kalmayacaktır.

Resolve DNS IPv4 First (DNS IPv4 Adresini Önce Çözümle): Önce DNS IPv4 adresi araması yapmaya zorlamak için bu seçeneği aktifleştirebilirsiniz. Bu seçenek özellikle “HTTPS” sitelerine erişirken sorun yaşıyorsanız çok yararlı olacaktır.

Disable ICMP (ICMP Devre Dışı): Squid ICMP pinger yardımcısını devre dışı bırakmak için bu seçeneği aktifleştirebilirsiniz.

Use Alternate DNS Servers for the Proxy Server (Web vekil sunucusu için alternatif DNS sunucuları kullan): Başka bir sunucudaki DNS sunucularını kullanmak istiyorsanız bu alana tanımlayabilirsiniz. Tanımlayacağınız IP adresleri noktalı virgülle (;) ayrılarak tanımlanabilir.

1.2. Transparent Proxy Settings Grubu

Çok sık erişilen internet sitelerinin tekrar erişilmek istendiğinde bu sitelere sunucu üzerinden cevap verip hızlıca sitelere erişilmesini sağlar.

Transparent HTTP Proxy (Şeffaf Web Vekil Sunucu): Bu seçeneğin seçilmesi durumunda İnternete çıkan her bir istemcinin İnternet tarayıcılarında tek tek ayar yapmaya gerek yoktur. Bu seçenek aktifken gönderilen tüm istekler 80 portu üzerinden proxy sunucuya gönderilecektir. Eğer bu seçeneği pasifleştirirseniz tüm tarayıcılarda ayar yapmanız gerekir. Yalnız tarayıcılarda ayar yaparken çıkılacak bağlantı noktaları “Proxy port (Web vekil bağlantı noktası)” ile aynı olmalıdır. Aksi takdirde internet tarayıcılarında farklı bir port numarası verilirse internete çıkılamayacaktır.

Transparent Proxy Interface(s) (Şeffaf Web Vekil Sunucu Arabirimleri): Transparent Proxy sunucunun hangi ağı kontrol edeceğini belirlediğiniz alandır. Ayrıca bu alandaki seçenekler “pfSense” sisteminize bağlı olan Ethernet kartlarına göre değişiklik gösterebilir. Örneğin başka bir Ethernet kartınız daha varsa bu alanda “Opt1” veya kart adı olarak görünecektir. Transparent Proxy sunucu ile bu kartları da kontrol edebilirsiniz. Örneğin kablosuz bir ağı kontrol edebilirsiniz. Seçmek istediğiniz ağlar için klavyeden “Ctrl” tuşuna basılı tutarak istediğiniz adların üzerine tıklayarak seçim yapabilirsiniz.

Bypass proxy for Private Address Space (RFC 1918) destination (Web vekil sunucusu için özel hedef alanı (RFC 1918)): Özel adres alanı RFC 1918’dir. Doğrudan güvenlik duvarı üzerinde proxy sunucusu aracılığı ile ileri hedef trafiği oluşturmayın.

Bypass proxy for these source Ips (Bu kaynak IP adresi için vekil sunucuyu geç): Bu alana yazılan IP adresleri proxy sunucusundan etkilenmeden direk internete çıkacaklardır. Adresleri aralarında noktalı virgül (;) kullanarak girebilirsiniz. Bu alan sadece “Transparent” seçili iken kullanılabilir. Bu özellik hedef ip adresleri içinde mevcuttur ama sadece internet hizmeti verilecekse uygulanmasına gerek yoktur.

Bypass proxy for these destination Ips (Bu hedef IP adresi için vekil sunucuyu geç): Bu alana yazılan IP adresleri proxy sunucusundan etkilenmeden geçmesine izin verilmez. Adresleri aralarında noktalı virgül (;) kullanarak girebilirsiniz. Bu alan sadece “Transparent proxy” için geçerli olacaktır.

1.3. Logging Settings Grubu

Tutulacak günlüklerle ilgili ayarların yapıldığı alandır.

Enable Access Logging (Günlüğü aktifleştir): Bu seçenekle proxy sunucusu üzerindeki tüm kayıtların günlüklerinin tutulacağının aktif edilmesi gerektiğini belirtilir.

Log store directory (Günlük depolama dizini): Günlüklerin nerede tutulacağının belirtildiği alandır.

Rotate Logs (Günlük temizliği): Proxy sunucusu günlüklerinin kaç gün süreyle tutulmasının belirlendiği alandır. Bu süre zarfından eski günlükler silinecektir. Eğer sabit diskiniz küçükse buradaki değeri küçük bir rakam olarak girmekte yarar vardır. Sistem günlükleri buraya girilen değere eşit periyotlarla yenilenir.

Log Pages Denied by SquidGuard (SquidGuard tarafından Reddedilen Günlük Sayfaları): Squidguard tarafından reddedilen günlüklerin eklenmesini mümkün kılan alandır. Bu seçenek yalnızca “sgerror.php” dosyasına gerekli kodları eklerseniz çalışır.

1.4. Headers Handling, Language and Other Customizations Grubu

Squid hata mesajlarının başlıkları, görünümü ve diğer hata mesajları ile ilgili ayarların yapıldığı alandır.

Visible hostname (Görünür ana bilgisayar adı): Bir kullanıcının yasak bir alan ulaşmaya çalıştığında kullanıcıya gösterilecek hata uyarılarının altında görüntülenecek ana bilgisayar adının belirlendiği alandır.

Administrator email (Yönetici e-posta adresi): Bir kullanıcının yasak bir alan ulaşmaya çalıştığında kullanıcıya gösterilecek yönetici e-posta adresidir.

Error Language (Dil): Proxy sunucusunun kullanıcılara hata iletilerinin hangi dilde gösterileceğinin belirlendiği alandır.

X-Forwarded Header Mode (X iletileri üst bilgi modu): HTTP isteklerinde sguid sisteminizin IP adresini veya adını gösterir. Seçenekleri

  • On: Squid, ilettiğiniz HTTP isteklerine istemcinizin IP adresini ekleyecektir. Başlık şöyle görüntülenecektir: X-Forwarded-For: 192.1.2.3.
  • Off: Squid, istemcinizin IP adresini ilettiği HTTP isteklerini değiştirmeyecektir. Başlık şu şekilde görüntülenecektir: X-Forwarded-For: unknown
  • Transparent: Squid, X-Forwarded-For başlığını herhangi bir şekilde değiştirmeyecektir.
  • Delete: Squid tüm X-Forwarded-For başlığını silecektir.
  • Truncate: Squid mevcut tüm X-Forwarded-For üstbilgi girdilerini kaldıracak ve istemcinin IP adresini yalnızca üstbilgi girdisi olarak yerleştirecektir.

Disable VIA (VIA devre dışı): İşaretli değilse RFC2616 tarafından gerekli istek ve cevaplar Via altında gönderilecektir.

URI Whitespace Characters Handling (URI içerisinde geçen boşluk karakterlerini işleme ): URI adresinde geçen boşluk karakterleri için ne yapılacağının belirlendiği alandır.

  • Strip: URI’dan boşluk karakterleri çıkartılır. Bu RCF2396 tarafından önerilen bir davranıştır.
  • Deny: İstek reddedilecektir. Kullanıcı geçersiz istek uyarısı alır.
  • Allow: Tanım değiştirilmeden isteğe izin verilir. URI adresinden boşluk karakterleri kaldırılır.
  • Encode: RCF1738’e uygun kodlanmış isteğe izin verilerek boşluk karakterleri kaldırılır.
  • Chop: İsteğe izin verilerek URI adresindeki boşluklar silinir.

Suppress Squid Version (Squid Sürümünü Göster): Eğer bu seçenek aktif edilirse HTTP başlıkları ve HTML sayfalarındaki hatalarda internet tarayıcıları başlığında görüntülenecektir.

Bir Cevap Yazın