Lewati ke konten utama

Squid

Panduan ini menjelaskan cara mengonfigurasi Squid 6.x dengan server ICAP Glasswall Halo, yang memungkinkan perlindungan ancaman tingkat lanjut melalui teknologi Content Disarm and Reconstruction (CDR) canggih kami melalui Glasswall Halo.

Catatan: instruksi didasarkan pada Squid 6.x built with OpenSSL. untuk daftar lengkap opsi konfigurasi, silakan lihat dokumentasi Squid.

Panduan Integrasi Squid

Langkah 1: Konfigurasi dasar

Temukan dan edit file konfigurasi Squid Anda, biasanya di:

  • /etc/squid/squid.conf
  • /etc/squid5/squid.conf

1A - Tentukan daftar kontrol akses

Batalkan komentar atau tambahkan ACL berikut untuk jaringan lokal dan port aman:

acl localnet src 10.0.0.0/8
acl localnet src 172.16.0.0/12
acl localnet src 192.168.0.0/16
acl localnet src fc00::/7
acl localnet src fe80::/10

acl SSL_ports port 443
acl Safe_ports port 80
acl Safe_ports port 21
acl Safe_ports port 443
acl Safe_ports port 70
acl Safe_ports port 210
acl Safe_ports port 1025-65535
acl Safe_ports port 280
acl Safe_ports port 488
acl Safe_ports port 591
acl Safe_ports port 777
acl CONNECT method CONNECT

1B - Izinkan akses jaringan lokal

Di bawah konfigurasi izin akses minimum yang direkomendasikan, tambahkan:

http_port 3128
http_access allow localnet
http_access allow localhost
http_access deny all

1C - Aktifkan ICAP

Tambahkan yang berikut ini untuk mengaktifkan dukungan ICAP:

icap_enable on
icap_send_client_ip on
icap_preview_enable on
icap_preview_size 0
icap_service_failure_limit -1

1D - Konfigurasikan modifikasi permintaan (unggahan)

icap_service glasswall_req reqmod_precache bypass=0 icap://<Halo ICAP Server>:1344/req-cdr-service
adaptation_access glasswall_req allow all

1E - Konfigurasikan modifikasi respons (unduhan)

icap_service glasswall_resp respmod_precache bypass=0 icap://<Halo ICAP Server>:1344/req-cdr-service
adaptation_access glasswall_resp allow all

Langkah 2 - Koneksi persisten

Squid 6.x mendukung koneksi ICAP persisten secara default. Untuk memaksakannya:

icap_persistent_connections on

Tip: pastikan server ICAP juga dikonfigurasi untuk koneksi persisten. Jika tidak, nonaktifkan (off) untuk mencegah error.

Langkah 3 - Restart squid

Terapkan perubahan:

sudo systemctl restart squid

Langkah 4 - Pemecahan masalah (opsional)

Jika Anda melihat error seperti:

essential ICAP service is down after an options fetch failure: icap://<Halo ICAP Server>:1344/req-cdr-service [down,!opt]

Periksa hal berikut:

  • Konfirmasikan bahwa Anda menjalankan Squid 6.x stabil terbaru
  • Jika koneksi persisten menyebabkan masalah, nonaktifkan:
icap_persistent_connections off

Langkah 5 - Memindai konten HTTPs

Untuk memindai lalu lintas https terenkripsi, Squid harus dikompilasi dengan SSL dan dikonfigurasi untuk SSL bumping.

Persyaratan

  • Squid 6.x dengan openssl
  • Sertifikat root untuk intersepsi SSL

5A - Perbarui port listening

http_port 3128 ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=4MB cert=<SQUIDFOLDER>/etc/ssl/myc.pem

5B - Konfigurasikan SSL bump

sslcrtd_program <SQUIDFOLDER>/lib/squid/ssl_crtd -s <SQUIDFOLDER>/var/cache/squid_ssldb -M 4MB
sslcrtd_children 5
ssl_bump server-first all

acl step1 at_step SslBump1
ssl_bump peek step1
ssl_bump bump all

sslproxy_cert_error deny all

5C - Buat dan instal sertifikat root

openssl req -new -newkey rsa:2048 -days 1000 -nodes -x509 -keyout myc.pem -out myc.pem

Inisialisasi penyimpanan sertifikat:

rm -rf <SQUIDFOLDER>/var/cache/squid_ssldb
<SQUIDFOLDER>/lib/squid/ssl_crtd -c -s <SQUIDFOLDER>/var/cache/squid_ssldb

Penting: instal myc.pem sebagai sertifikat root tepercaya di browser Anda.

Langkah 6 - Restart final

Restart Squid untuk menyelesaikan semua perubahan:

sudo systemctl restart squid
Terakhir diperbarui pada