Controllo dell'accesso a servizi HTTP esterni

Il servizio proxy HTTP di NLNX è costituito da OOPS.

Tabella u44.5. Script nlnxrc: configurazione del servizio proxy HTTP.

Comando Descrizione
nlnxrc proxy clients [gruppo]
Definisce l'elenco dei nodi di rete previsti per l'accesso al proprio servizio proxy HTTP.
nlnxrc proxy access [gruppo]
Seleziona i nodi di rete, tra quelli previsti, che possono accedere effettivamente al servizio.

Situazione tipica di utilizzo

Nella figura successiva appare la schematizzazione di una rete locale composta da diversi gruppi di elaboratori, organizzati opportunamente in base agli indirizzi (172.21.1.*, 172.21.2.*, 172.21.3.*, 172.21.4.*), che utilizzano tutti il router 172.21.254.254, il quale ha anche la funzione di proxy HTTP.

Figura u62.1. Situazione tipica di utilizzo del servizio proxy HTTP di NLNX

situazine pratica di utilizzo del proxy HTTP

Per prima cosa occorre distinguere se il servizio proxy HTTP è «normale» o trasparente, come viene configurato nel servente attraverso il comando nlnxrc network config. Logicamente, se si tratta di un servizio trasparente, tutti i nodi periferici che si devono avvalere del router, sono sottoposti al controllo del proxy HTTP, diversamente vanno configurati espressamente i programmi usati come navigatori.

Se il servizio è normale, nel senso che i programmi usati come navigatori devono essere configurati espressamente, se si configura la richiesta del servizio verso la porta 3 128 si è sottoposti al controllo di OOPS. Quando invece il servizio proxy HTTP è trasparente, tutto il traffico che va verso l'esterno, alla porta 80, viene ridiretto automaticamente alla porta 3 128, ovvero a OOPS. Tuttavia, se il servizio è trasparente, il traffico diretto volontariamente alla porta 3 128, viene invece dirottato al servente HTTP locale.

Controllo a gruppi

In condizioni normali, il proxy HTTP di NLNX va configurato in modo trasparente, nel nodo che svolge il ruolo di router, per poter poi, attraverso il proxy, controllare l'accesso ai siti.

È possibile limitare l'accesso al proxy HTTP intervenendo su insiemi separati di nodi, in modo da poter controllare chi, nella propria rete locale, può accedere ai servizi HTTP esterni. Tali insiemi di nodi vengono nominati arbitrariamente; per esempio il gruppo «contab» si crea e si aggiorna così:

nlnxrc proxy clients contab[Invio]

Si inizia stabilendo l'elenco di nodi che si possono avvalere potenzialmente del proxy HTTP. Si devono indicare solo nodi singoli:

172.21.1.1
172.21.1.2
172.21.1.3
172.21.1.4
172.21.1.5
172.21.1.6
172.21.1.7

Gli altri gruppi si definiscono nello stesso modo:

nlnxrc proxy clients info[Invio]

nlnxrc proxy clients testi[Invio]

nlnxrc proxy clients wifi[Invio]

È importante evitare di creare delle sovrapposizione tra i gruppi di accesso. Dopo la predisposizione degli elenchi, si può passare al controllo effettivo dell'accesso:

nlnxrc proxy access contab[Invio]

.----------HTTP proxy access permissions-------------.
| Please, select or deselect who can access to the   |
| HTTP proxy:                                        |
| .------------------------------------------------. |
| | [ ] DENY_ALL       reset to no access allowed  | |
| | [ ] ALLOW_ALL      reset to all access allowed | |
| | [ ] 172.21.1.1     allow_172.21.1.1            | |
| | [ ] 172.21.1.2     allow_172.21.1.2            | |
| | [ ] 172.21.1.3     allow_172.21.1.3            | |
| | [ ] 172.21.1.4     allow_172.21.1.4            | |
| | [ ] 172.21.1.5     allow_172.21.1.5            | |
| | [ ] 172.21.1.6     allow_172.21.1.6            | |
| | [ ] 172.21.1.7     allow_172.21.1.7            | |
| `-----v(+)---------------------------------------' |
|----------------------------------------------------|
|             <  OK  >         <Cancel>              |
`----------------------------------------------------'

Eventualmente, tra i nodi già definiti tramite il comando nlnxrc proxy access è possibile dichiarare quali escludere dal filtro svolto da DansGuardian:

nlnxrc proxy filter contab[Invio]

.----------HTTP proxy content filter selection-------------.
| Please, select or deselect who can access to the HTTP    |
| proxy without content filtering:                         |
| .------------------------------------------------------. |
| | [ ] FILTER_ALL     reset to all filtered             | |
| | [ ] FREE_ALL       reset to all free to access any si| |
| | [*] 172.21.1.1     free_172.21.1.1                   | |
| | [*] 172.21.1.2     free_172.21.1.2                   | |
| | [*] 172.21.1.3     free_172.21.1.3                   | |
| | [ ] 172.21.1.4     free_172.21.1.4                   | |
| | [ ] 172.21.1.5     free_172.21.1.5                   | |
| | [ ] 172.21.1.6     free_172.21.1.6                   | |
| | [ ] 172.21.1.7     free_172.21.1.7                   | |
| `------------------------------------------------------' |
|----------------------------------------------------------|
|                 <  OK  >         <Cancel>                |
`----------------------------------------------------------'

In questo caso, con le selezioni che si vedono, si vuole fare in modo che i nodi con gli indirizzi 172.21.1.1, 172.21.1.2 e 172.21.1.3, siano esonerati dal filtro dei contenuti.

Quando si usano i comandi nlnxrc proxy ... omettendo il nome del raggruppamento a cui si è interessati, se ne esiste già un solo non viene fatta alcuna richiesta e si passa a svolgere l'attività richiesta; se invece ne è disponibile più di uno, appare un menù da cui poter scegliere.

«a2» 2013.11.11 --- Copyright © Daniele Giacomini -- appunti2@gmail.com http://informaticalibera.net