Home > LiNuX (based on debian), Proxy Server > Squid Transparent Proxy

Squid Transparent Proxy

Skenario yang ingin diterapkan adalah memaksa user pada Network yg kita tangani untuk menggunakan internet (browsing via port 80) melalui proxy tanpa diketahui oleh user tsb. Proxy biasa disebut juga sebagai application firewall, shg dengan menggunakan proxy memudahkan kita mengatur / mengontrol akses internet dan me-manajemen bandwidth bagi user.

Sebelum melanjutkan membaca tutorial ini saya sarankan anda membaca tulisan ini terlebih dahulu.

Tetapi cara transparent proxy ini juga mempunyai keterbatasan antara lain :

  1. Tidak bisa menggunakan authentikasi.
  2. Tidak bisa (saya belum berhasil) menggunakan pada selain port 80(http).
  3. Harus menggunakan tools lain untuk me-REDIRECT traffic yang semula mengarah ke port 80 menuju port 3128, dalam hal ini saya menggunakan iptables utk me-REDIRECT traffic.

Ok, mari kita mulai.

  1. Pertama kali qta harus mengedit /etc/squid/squid.conf dan menambahkan/mengedit beberapa baris sehigga menjadi seperti dibawah ini :
  2. root@server:~# mcedit /etc/squid/squid.conf
    http_port 10.11.12.254:3128 transparent
    acl user src 10.11.12.0/24
    http_access allow user

  3. Membelokkan traffic yang semula ke port 80 menuju port 3128 (transparent proxy server kita)
  4. root@server:~# iptables -t nat -A PREROUTING -s 10.11.12.0/24 -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128

  5. Memforward request yang menuju port 443 (https), tanpa melalui proxy.
  6. echo '1' > /proc/sys/net/ipv4/ip_forward
    root@server:~# iptables -t nat -A POSTROUTING -s 10.11.12.0/24 -o eth0 -j MASQUERADE

Ok selamat mencoba, and happy transparent proxying. 😀

Advertisements
  1. 1 September 2008 at 1:23 am

    bagaimana dengan port2 instan messenger (YM dsb) ? apakah termasuk dalam golongan NAT ?

    Jawab :
    Yup… Anda benar.
    Yang di-proxy-kan hanyalah port 80(http) saja, untuk port-port lainnya sudah pernah saya coba, tetapi hasilnya tdk bisa sesuai yg di inginkan (tidak berhasil).

  2. M. Yusuf
    16 February 2009 at 12:45 pm

    mas,, saya mau nanya gmana caranya konfigurasi proxy biar situs yang negatif bisa di blok.. saya gagal trus,, setiap saya konfigurasi situs yang di blok itu looking up host trus,, ini saya coba di servernya langsung,,, saya minta bimbingannya,,

    Trims 🙂

    Jawab :
    baca tulisan saya yang ini

  3. ocu
    30 April 2009 at 11:49 am

    iptables buat windoz ada ngga?
    or at least port forwarding gitu?

    Jawab :
    Setahu saya (mungkin) gak ada tuh…. Sorry saya bener2 bodoh maslah windows ini.
    Klo mau rekayasa, port-forwarding-nya via router saja, Jadi routernya yg mengarahkan ke ip dan port proxy qta.

  4. Mubarok
    22 March 2011 at 8:31 am

    mas LQman saya ingin bertanya, klo port 443 itu bisa di redirect ke port 3128 ga? soalnya banyak situs yang saya sudah d blok tpi masih tetap bisa d buka menggunakan https..
    contohnya http://www.facebook.com itu saya udah blok.. tpi ketika http nya d ganti dengan https itu jadi bisa kebuka, gimana yah mas solusinya biar ga bisa ke buka dengan https..?? trims 🙂

    jawab :
    Setahu / se-pengalaman saya port 443 tidak boleh di-redirect ke port 3128, karena utk komunikasi https / ssl tidak membolehkan seperti itu (akan dianggap ada man-in-the-middle-attack), sedangkan solusi untuk permasalahan anda blm sy dapatkan skrg… Ada yg bs bantu gak? 🙂

  5. rudy
    5 July 2012 at 3:51 am

    mas saya akan gabung dengan Mysql_auth…bisa gak mas

  6. 17 July 2012 at 2:34 pm

    Sudah saya jelaskan tulisan pada point 1 diatas.
    Tidak bisa menggunakan authentikasi

  1. No trackbacks yet.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

%d bloggers like this: