2006年6月 2日アーカイブ

zaurusからphsでwebとかを見るときに、最近はw3mを使う。
広告とかうざいので、フィルタがかけられるといいな～と思って調べてみたら、MouseHoleなんて言うものがあるらしい。
このお方は、デフォルトではlocalhostからの接続しか許さないらしい。
どのくらいのセキュリティ設定ができるのかわからないけど、いきなり外向きにあけてオープンプロキシになってしまうのは嫌だなと。
うちではすでにsquidが動いているので、こいつとなんとか協調できないものかと思う。
そういえば、squidは現在内部向けにしかサービスしていないが、そもそもsquidの認証ってどうなっているのかな？と調べてみた。

いろいろな認証方法が使えるらしいが、一番お手軽なのはbasic認証らしい。しかし、例によってネットワークを平文でパスワードが流れるのは納得いかないので、digest認証を使うことにする。
portsから入れているsquidさんは、/usr/local/etc/squid/squid.conf が設定ファイル。
まずはこいつを眺めてみると、auth_param basic で始まる行が何行か有効になっていたので、こいつを全てコメントアウト。そして、以下のような記述を追加する。

http_port 外部向けのアドレス:3128

auth_param digest program /usr/local/libexec/squid/digest_pw_auth /usr/local/etc/squid/digpass
auth_param digest children 3
auth_param digest realm Squid proxy-caching web server
auth_param digest nonce_garbage_interval 5 minutes
auth_param digest nonce_max_duration 30 minutes
auth_param digest nonce_max_count 50

acl password proxy_auth REQUIRED

http_access allow password

最後の、http_access allow password の行は、LAN側のallow の後で、 all の deny の前に入れる。
これで、LAN側からはパスワードなしでアクセスでき、インターネット側からはdigest認証を求められるようになる。
そして、/usr/local/etc/squid/digpassと言うファイルを作成し、ユーザ名:パスワード(平文) の行を必要なだけ追加する。
後は、/etc/ipf.rulesで外部からの3128へのアクセスを通すようにしておく。
で、squid を再起動すれば、外部からもうちのsquidが使えるようになった。
試しにw3mで見てみたら、リクエストのたびにユーザ名とパスワードを聞かれる・・・。

次は、squidを使って中身をフィルタできないか調べてみるかな～。