Este artículo explica cómo montar un proxy, o Web cache, con Squid en Debian y derivados. La instalación es extremadamente sencilla e incluye una configuración mínima que implementa autenticación basic, para que nuestro proxy sólo pueda ser utilizado por usuarios identificados con nombre de usuario y contraseña.

Ya sea porque deseamos implementar un Web cache para optimizar el uso de un enlace a Internet (evitar descargar múltiples veces un mismo recurso como imágenes, texto, video, hojas de estilo, Javascript, etc.) o porque deseamos controlar el tráfico en nuestra organización, Squid es la principal y más recomendada alternativa para implementar un proxy en sistemas GNU/Linux.

Aunque también puede ser necesario implementar un proxy para disfrazar/ocultar nuestra dirección IP, o porque se requiere salir a Internet con una dirección IP de otro país (por ejemplo USA) para acceder a contenido restringido por geolocalización. Esto último es válido tanto por cuestiones de ocio como por cuestiones impositivas/legales/administrativas (tal es el caso de aquellos sitios que rastrean al dirección IP pública con la que se accede a los mismos como un mecanismo de validación adicional). Por supuesto en estos casos, el servidor que será utilizado para montar el proxy deberá contar con una dirección IP ubicada en el país destino. Para el caso de USA, la gran mayoría de los proveedores de VPS que utilizamos y conocemos (al menos en el cono sur) están localizados allí. Con lo cual no es inconveniente alguno. Si se tratase de países de la Unión Europea, habrá que conseguir un VPS en algún proveedor localizado allí.

Squid es un proxy para Web cache que soporta HTTP, HTTPS, FTP y otros protocolos. Reduce el ancho de banda consumido y mejora los tiempos de respuesta al almacenar de forma temporal y reutilizar copias de los recursos ya descargados. Es utilizado por cientos de proveedores de Internet en el mundo para otorgar a sus usuarios el mejor acceso posible a Internet.

Instalar Squid desde paquete en Debian y derivados es tan simple como ejecutar:

root@proxy:~# apt-get install squid3

Inmediatamente se comprueba que el proxy está levantado y aceptando peticiones:

root@proxy:~# netstat -plant | grep squid
tcp6       0      0 :::3128                 :::*                    LISTEN      18814/(squid-1)

Ahora resta configurar Squid. El archivo de configuración que incluye el paquete cuenta con casi 8000 líneas de comentarios (prácticamente incluye toda la documentación de Squid dentro del propio archivo de configuración:

root@proxy:~# cd /etc/squid/
root@proxy:/etc/squid# wc -l squid.conf
7959 squid.conf
root@proxy:/etc/squid# grep -v "^#" squid.conf | grep -v "^$" | wc -l
24

Aunque en realidad se observa que, de configuración propiamente dicha, son sólo 24 líneas.

Para facilitar el manejo del archivo de configuración, mejor crear una copia limpia:

root@proxy:/etc/squid# cp squid.conf squid.conf.bak
root@proxy:/etc/squid# > squid.conf

Editar el nuevo archivo de configuración:

root@proxy:/etc/squid# nano squid.conf

Agregar el siguiente contenido dentro del archivo vacío:

auth_param basic program /usr/lib/squid3/basic_ncsa_auth /etc/squid/users
auth_param basic realm proxy

acl authenticated proxy_auth REQUIRED
http_access allow authenticated

http_port 8080

coredump_dir /var/spool/squid

Se observa que esta configuración cambia el puerto por defecto (3128) por el puerto 8080. Cambiar por cualquier otro puerto que se desee. Además fuerza el uso de autenticación Basic a través de basic_ncsa_auth. Esto apunta a que el proxy no pueda ser utilizado públicamente en Internet.

A continuación, y antes de reiniciar Squid, será necesario crear la base de datos de usuarios en el archivo /etc/squid/users:

root@proxy:~# htpasswd -c /etc/squid/users emi
New password: 
Re-type new password: 
Adding password for user emi
root@proxy:~# htpasswd /etc/squid/users user1
New password: 
Re-type new password: 
Adding password for user user1

La base de datos se crea con el utilitario htpasswd provisto por el paquete apache2-utils. En caso de no contar con el mismo, es posible instalar sólo dicho paquete (no es necesario instalar todo Apache para contar con el mismo).

En el ejemplo se han creado 2 usuario. Notar que al momento de crear el primer usuario se debe utilizar la opción -c a fin de inicializar el archivo, pero luego ya no, porque de lo contrario se sobrescribe.

Finalmente reiniciar Squid y verificar el cambio de puerto:

root@proxy:/etc/squid# service squid restart
root@proxy:/etc/squid# netstat -plant | grep squid
tcp6       0      0 :::8080                 :::*                    LISTEN      19401/(squid-1)

Es posible comprobar la conectividad desde otro sistema utilizando netcat:

emi@hal9000:~% nc -vv proxy.linuxito.com 8080
proxy.linuxito.com [192.168.100.200] 8080 (http-alt) open
^C sent 0, rcvd 0

Desde un navegador, es posible comprobar nuestra IP pública actual accediendo al sitio whatismyip.com:

En Mozilla Firefox se configura el proxy desde el botón "Settings..." que se encuentra en la sección inferior "Network Proxy" en las preferencias generales. Aunque en dicha configuración no permita establecer las credenciales del usuario, éstas serán solicitadas al momento de procesar el primer pedido HTTP a través del proxy:

Con el proxy configurado correctamente en el navegador, se comprueba que nuestra IP pública ha cambiado:

Esto significa que navegamos Internet efectivamente a través del proxy Squid.

Referencias

• Proxy Authentication - squid-cache wiki

Imagen "Squid Now" (CC BY-SA 3.0).