ということで、前エントリーからの続き。
我が家のネットワーク環境については、さらにちょっと前のエントリーで既出なわけですが
概略としては上の図の通りで、 Web アクセスの流れだけを抜き出してみたのが、下の図。
まぁ、まんまこの図の通り、家中の PC やスマホからの Web アクセスを内部サーバ上で動いている Squid に集約して、更にそれを VyOS で有効にした webproxy (これも Squid なわけだが)を上位プロキシにしている、というわけ。
で、内部サーバで動いてる Squid 周りの設定を変更して、インストール済みの havp を更に挟み込む、というのが今回の内容。
図にすると、上のような感じですな。
hapv は、上位プロキシにあたる VyOS の IP アドレスとポートの指定だけ。
root@vhost01:~# diff -u /etc/havp/havp.config.default /etc/havp/havp.config
--- /etc/havp/havp.config.default 2015-08-01 15:32:59.000000000 +0900
+++ /etc/havp/havp.config 2018-01-03 23:13:21.211200358 +0900
@@ -156,6 +156,8 @@
# PARENTPORT 3128
# PARENTUSER username
# PARENTPASSWORD password
+PARENTPROXY 172.16.0.1
+PARENTPORT 3128
#
# Write X-Forwarded-For: to log instead of connecters IP?変更後に havp を再起動したら、念のため eicar のテストファイルにアクセスしてブロックされることと、いくつかのサイトにアクセスしてみて問題が出ないことを確認しておきます。VyOS 側の Squid を親プロキシとしてアクセスしているのかも、ログから確認しておきます。
これも、既に VyOS を親プロキシとする設定ができているので、 havp を親プロキシにするように cache_peer を書き直す。
root@vhost01:~# diff -u /etc/squid/squid.conf.old_20180103 /etc/squid/squid.conf
--- /etc/squid/squid.conf.old_20180103 2017-12-17 19:03:12.759396511 +0900
+++ /etc/squid/squid.conf 2018-01-03 23:36:51.214116827 +0900
@@ -31,7 +31,8 @@
#----------
#cache_peer 2001:470:fc27::234 parent 3128 7 default
-cache_peer 172.16.0.1 parent 3128 7 no-netdb-exchange no-digest
+#cache_peer 172.16.0.1 parent 3128 7 no-netdb-exchange no-digest
+cache_peer 127.0.0.1 parent 8080 7 no-netdb-exchange no-digest
never_direct allow all
#----------
@@ -57,6 +58,7 @@
#----------
via off
+forwarded_for on
#----------
shutdown_lifetime 5 seconds設定書き終わったら、Squid を再起動か "squid -k reconfigure" で変更した内容を読み込ませて、Web ブラウザで eicar のテストファイルをダウンロードして…。
上のような画面が表示されれば、確認終了っと。
まずは、問題なく Web アクセスが出来るという最低限の設定でしかなくて、あんまり細かいことはやってないので、これからもちょいちょい手を入れていかないといけない感じ。前段に Squid が居るので、そこでガリガリと acl 設定したりということになると思いますが、まずは現状整理からだな…。
#ウィルス検知時の通知の仕組みづくりもやらんといかんだろうなぁ。
コメントする