第24回　インターネットへのアクセスを制限する（Squidの導入）

プロキシー経由にする

初期設定では、プロキシーサーバー自身の通信しか代理でアクセスしません。LAN内のパソコンからプロキシーサーバー経由でインターネットにアクセスするように設定しましょう。
まずは、既存の設定ファイルを別名で保存し、新しく設定ファイルを作成するためにエディタを開きます。

$ sudo cp /etc/squid/squid.conf /etc/squid/squid.org
$ sudo nano /etc/squid/squid.conf

1 2	$ sudo cp /etc/squid/squid.conf /etc/squid/squid.org $ sudo nano /etc/squid/squid.conf

次の設定を書き込みます。

acl LOCALNETWORK src 192.168.1.0/24
acl SSL_ports port 443
acl Safe_ports port 80          # http
acl Safe_ports port 21          # ftp
acl Safe_ports port 443         # https
acl Safe_ports port 70          # gopher
acl Safe_ports port 210         # wais
acl Safe_ports port 1025-65535  # unregistered ports
acl Safe_ports port 280         # http-mgmt
acl Safe_ports port 488         # gss-http
acl Safe_ports port 591         # filemaker
acl Safe_ports port 777         # multiling http
acl CONNECT method CONNECT
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost manager
http_access deny manager
http_access allow localhost
http_access allow LOCALNETWORK
http_access deny all
http_port 3128
coredump_dir /var/spool/squid
refresh_pattern ^ftp:           1440    20%     10080
refresh_pattern ^gopher:        1440    0%      1440
refresh_pattern -i (/cgi-bin/|\?) 0     0%      0
refresh_pattern (Release|Packages(.gz)*)$      0       20%     2880
refresh_pattern .               0       20%     4320

acl LOCALNETWORK src 192.168.1.0/24

acl SSL_ports port 443

acl Safe_ports port 80 # http

acl Safe_ports port 21 # ftp

acl Safe_ports port 443 # https

acl Safe_ports port 70 # gopher

acl Safe_ports port 210 # wais

acl Safe_ports port 1025-65535 # unregistered ports

acl Safe_ports port 280 # http-mgmt

acl Safe_ports port 488 # gss-http

acl Safe_ports port 591 # filemaker

acl Safe_ports port 777 # multiling http

acl CONNECT method CONNECT

http_access deny !Safe_ports

http_access deny CONNECT !SSL_ports

http_access allow localhost manager

http_access deny manager

http_access allow localhost

http_access allow LOCALNETWORK

http_access deny all

http_port 3128

coredump_dir /var/spool/squid

refresh_pattern ^ftp: 1440 20% 10080

refresh_pattern ^gopher: 1440 0% 1440

refresh_pattern -i (/cgi-bin/|\?) 0 0% 0

refresh_pattern (Release|Packages(.gz)*)$ 0 20% 2880

refresh_pattern . 0 20% 4320

初期設定に「acl LOCALNETWORK src 192.168.1.0/24」「http_access allow LOCALNETWORK」の二つを追加しました。前述したように、先頭から順番に設定が適用されるので、追加する位置に注意してください。
最初の追加設定で、LANのネットワークアドレス（ここでは「192.168.1.0/24」）を用いて、LAN内にあるすべてのパソコンやネットワーク機器のIPアドレスを含んだ「LOCALNETWORK」リストを作成します。その後の追加設定で、LOCALNETWORKリストに含まれるIPアドレスを持つパソコンやネットワーク機器に対してアクセスを許可しています。なお、「192.168.1.0/24」は自分のネットワーク環境に合わせて書き換えてください。
設定ファイルを保存したら、

$ sudo systemctl restart squid

1	$ sudo systemctl restart squid

を実行して設定を反映します。リモートアクセス用パソコンでプロキシーサーバーを設定します（図3）。Webブラウザーを開いてインターネット上のサイトにアクセスできれば、設定完了です。

図3　プロキシーサーバーの設定（Windows 10のEdgeやChrome）

次回は

今回は、Squidを使ってプロキシーサーバーを構築しました。なお、インターネットの出入り口となる（ブロードバンド）ルーターでインターネットへのアクセスを制限しないと、LAN内のパソコンがインターネットに直接アクセスできてしまいます。そこで次回は、プロキシーサーバー経由でしかインターネットにアクセスさせないためのルーター設定と、危険なサイトに閲覧させないなどのアクセス制限方法を紹介します。

written by シェルスクリプトマガジン編集部（あ）

ページ: 1 2 3 4

第24回 インターネットへのアクセスを制限する（Squidの導入）

プロキシー経由にする

次回は

第24回　インターネットへのアクセスを制限する（Squidの導入）