리눅스 서버로 구축하는 프락시서버

제목 : 리눅스 서버로 구축하는 프락시서버 

       1. 프락시 서버란?

       2. rpm으로 Squid 설치 및 관리하기

       3. Squid 소스컴파일 설치 및 관리하기

       4. Squid 메인설정파일 squid.conf

       5. root가 아닌 전용계정으로 squid 관리하기

       6. 프락시서버를 사용하기 위한 사용자 웹브라우즈 설정

1. 프락시 서버란?

프락시서버(Proxy Server)란 내부사용자에게 외부 인터넷사용을 대리하는 서버를 의미하는 것으로 데이터캐싱(Data Caching)을 이용하여 내부사용자의 빠른 인터넷 속도를 제공하거나 내부사용자의 데이터보호를 위하여 자체 보안을 목적으로 하거나 또는 인터넷 공유사용을 목적으로 하는 서버를 의미합니다.  프락시서버를 사용하는 대부분의 목적은 아마도 캐쉬서버(Cache Server)로 사용하기 위한 목적이 대부분일 것입니다. 물론 경우에 따라서는 내부망의 보안을 위해서 사용하는 경우도 있습니다.

또한 리눅스 서버에서 프락시서버로 사용할 수 있는 솔루션에는 Squid라는 것이 있습니다. RPM을 이용한다면 굉장히 쉽게 Squid를 설치하여 리눅스를 프락시서버로 사용할 수 있습니다.

따라서 이 장에서는 리눅스서버를 프락시서버로 구축할 수 있는 Squid의 설치와 사용법에 대해서 알아볼 것입니다. 이미 많은 부분에서 언급하였듯이 필자는 서버관리를 하시는 분들께 RPM으로 설치하여 사용하기 보다는 직접 소스를 가져와서 설치하여 사용할 것을 권해드리고 있습니다. 따라서 이 책에서는 Squid를 소스컴파일하여 설치 및 사용하는 방법에 대해서 설명을 하도록 할 것입니다. 물론 RPM패키지에 대한 부분도 함께 설명을 할 것입니다.

그리고 프락시서버를 구축하여 직접 사용하려면 다음과 같은 점을 염두에 두어야합니다. 즉, 프락시서버는 이와 같은 많은 장점을 가지고 있지만 내부사용자들의 클라이언트 프로그램(웹브라우즈등)에 프락서서버 사용을 위한 별도의 설정을 해야하는 점이 단점이라고 할 수 있습니다. 그리고 프락시서버의 데이터캐싱의 효율성이 현저하게 떨어질 경우에는 오히려 인터넷 속도를 저하시키는 단점도 있다는 것을 아셔야합니다.

2. rpm으로 Squid 설치 및 관리하기

Squid는 주서버 프로그램인 squid와 함께 도메인네임서버 검색프로그램인 dnsserver, 그리고 FTP데이터를 가져오는 프로그램인 ftpget, 그리고 squid관리도구와 클라이언트 도구들로

구성되어 있습니다. 먼저 여러분들의 리눅스서버에 Squid가 설치되어 있는가를 다음과 같이 확인해 보시기 바랍니다.

위와 같이 Squid패키지의 설치가 확인되었다면 이미 여러분의 리눅스 서버에는 Squid가 설치되어 있는 것입니다. 만약 설치되어 있지않다면 아무런 결과도 나타나지 않습니다.

리눅스 서버에 Squid가 설치되어있지 않다면 다음과 같이 Squid패키지를 설치하시기 바랍니다. 먼저 아래와 같이 wget을 이용하여 ftp.superuser.co.kr에서 squid패키지를 다운로드하였습니다.

그리고 방금 다운로드한 squid를 rpm명령어로 설치하였습니다.

이제 여러분의 리눅스서버에 프락시서버인 Squid가 설치된 것입니다. 자, 그럼 이렇게 설치한 squid프락시 서버를 둘러 보도록 하겠습니다.

Squid 메인 디렉토리 : /etc/squid

/etc/squid디렉토리는 squid의 메인설정디렉토리입니다. 아래 예를 보시면 이 디렉토리내에 squid설정파일을 비롯한 여러가지 squid설정파일들과 관련파일들이 존재합니다.

위의 파일들 가운데 squid.conf파일이 Squid프락시서버의 메인 설정파일입니다. 프락시서버의 주된 기능과 역할을 결정하게 되는 아주 중요한 설정파일입니다. 이 파일의 설정지시자들에 대해서는 뒤에서 설명하고 있습니다. 그리고 mime.conf파일에는 프락시서버에서 사용할 MIME타입 설정이 되어 있습니다. 그리고 msntauth.conf파일은 MSNT인증설정파일로서 프락시서버에서 MSNT인증허용할 유저와 허용하지 않은 유저를 각각 설정하는 파일들에 대한 지시자가 설정되어 있습니다.

Squid 데몬파일 : /usr/sbin/squid

이 파일은 squid의 주데몬파일로서 정식이름은 프락시캐싱서버(proxy caching server)입니다. /etc/rc.d/init.d/squid 스크립트에 의해 시작/종료/재시작될 수있습니다. 이 데몬이 실행되어 있어야만 프락시서버로 작동하게 됩니다.

Squid 클라이언트 프로그램 : /usr/sbin/squidclient

이 파일은 squid프락시서버의 클라이언트 프로그램입니다.

Squid 로그디렉토리 : /var/log/squid

/var/log/squid디렉토리는 프락시서버의 로그파일이 저장되는 디렉토리입니다. Squid가 프락시서버로 작동하게 되면 이 디렉토리에 로그파일을 저장하게 됩니다. 즉, 프락시서버로의 접근로그와 캐싱로그등이 저장됩니다.

Squid 캐쉬디렉토리 : /var/spool/squid

이 디렉토리는 Squid프락시서버가 사용할 캐싱디렉토리입니다. 즉, 캐싱된 데이터가 저장되어 있는 곳으로서 이 프락시서버를 사용하는 사용자들에게 서비스될 캐싱데이터가 존재합니다.

Squid프락시 서버 시작/종료/재시작

/etc/rc.d/init.d/squid스크립트를 이용하여 squid데몬을 실행합니다. 즉, 이 스크립트에 start/stop/restart 인자를 이용하여 각각 시작/종료/재시작을 할 수 있습니다. 즉, 이 스크립트에 의해 /usr/sbin/squid데몬이 실행되게됩니다. 아래 예를 보시기 바랍니다.

지금까지 squid프락시서버를 rpm으로 설치하고 설치된 프락시서버의 서비스파일들에 대해서 둘러보았습니다.

3. Squid 소스컴파일 설치 및 관리하기

자, 이번에는 압축된 소스를 받아와서 직접 컴파일하여 squid를 설치해 보도록 하겠습니다. 대부분의 관리자들은 rpm으로 설치된 squid를 사용하지만 컴파일하여 설치하는 방법도 익혀두셔야합니다. 먼저 wget을 이용하여 ftp.squid-cache.ort사이트에서 squid압축소스를 다음과 같이 가져옵니다.

그리고 압축된 소스파일의 압축해제를 합니다. 압축해제가 되면 “squid-버전”으로된 디렉토리가 생성이 되면서 압축이 해제된 파일들이 저장됩니다.

그리고 압축해제된 디렉토리로 이동한 다음 “./configure --prefix=/usr/local/squid”를 실행하여 configure작업을 합니다. 이작업은 컴파일(make)작업에서 사용할 Makefile을 생성해내기 위한 작업으로서 --prefix옵션은 설치될 프락시서버의 홈디렉토리를 지정한 것입니다. 즉, /usr/local/squid디렉토리에 squid프락시서버가 저장되게 됩니다.

이제 다음과 같이 make를 실행하여 컴파일을 합니다.

컴파일이 끝나면 이제 “make install”을 실행합니다. 그 결과 /usr/local/squid디렉토리가 생성이 되고 이 디렉토리내에 squid의 실행파일들과 설정파일들이 모두 생성됩니다.

자, 이제 생성된 /usr/local/squid디렉토리를 살펴본 것입니다. 아래 보이는 디렉토리 가운데 etc디렉토리에는 squid의 설정파일들(squid.conf, mime.type등)이 저장되어 있습니다. 그리고 sbin디렉토리에는 suqid데몬파일이 저장되어 있습니다. 그리고 bin디렉토리에는 squidclient실행파일이 각각 저장되어 있습니다.

이제 설치된 squid데몬파일을 다음과 같이 실행해 보십시요. 실행하실 때에는 /usr/local/squid/sbin/squid데몬파일을 백그라운드(&)로실행합니다.

자, 이제 squid를 컴파일하여 설치하고 데몬을 실행하는 예까지 보았습니다. 이제 squid의 설정파일에 대해서 알아보도록 하겠습니다.

4. Squid 메인설정파일 squid.conf

다음 설명은 /etc/squid/squid.conf파일의 주요 설정사항에 대하여 설명한 것입니다.

Squid프락시서버의 서비스 포트번호입니다. 기본 포트로 3128번을 사용합니다. /etc/services파일에 보시면 아래와 같이 기본포트에 대한 설정이 되어 있습니다.

Squid프락시서버에서 사용하는 캐쉬메모리의 크기입니다. 기본으로 8MB가 설정되어 있습니다.

/var/spool/squid디렉토리를 캐쉬 디렉토리의 위치로 지정하고 캐쉬디렉토리의 최대용량을100MB로 지정하고 1차 하위디렉토리갯수로 16개, 그리고 2차 하위디렉토리갯수로 256로 각각 지정한 것입니다. 

Squid프락시서버에 접근하여 액세스한 클라이언트들의 로그를 기록하고 있는 파일을 지정한 것입니다.

캐시관리의 활동상황을 기록하는 로그파일을 지정한 것입니다. 즉, 어떤 데이터가 캐시에서 빠져나갔는지 또는 어떤 데이터가 캐시에 저장되어 얼마나 오랫동안 저장된 채로 있었는가를 기록합니다.

다이렉트로 나가는 데이터들에 대한 목적지IP주소를 기록하게 합니다. 이전버전에서는 IP주소대신 호스트네임을 기록하였습니다. 만약 이전버전과 같이 호스트네임을 기록하려면 off값을 지정하면 됩니다.

Squid프락시서버데몬의 PID를 기록할 파일을 지정한 것입니다. 만약 사용하지 않으시려면 none을 입력하십시요.

프락시서버가 사용할 DNS서버정보를 기록하고 있는 파일을 지정한 것입니다. 이 옵션은 squid컴파일시에 “--disable-internal-dns”을 사용하여 설치하였을 때에만 유효한 것입니다.

DNS쿼리시간으로서 지정된 DNS서버들에 대한 쿼리를 할 때에 2분이상 쿼리에 대한 응답이 없다면 timeout시켜버립니다. DNS쿼리를 지속적으로 하게되면 서버부하로 인하여 속도가 떨어질 수 있기 때문에 쿼리응답최대시간을 지정해 둔 것입니다.

로컬 호스트네임서비스를 위한 호스트파일을 지정한 것입니다. 즉, 로컬DNS 데이터베이스 파일로 사용할 파일을 지정한 것입니다. 대부분의 UNIX, LINUX운영체제에서 /etc/hosts파일을 로컬DNS 데이터베이스 파일로 사용하므로 그대로 설정해 두시면 됩니다.

 이 옵션지시자는 TCP연결시에 얼마나 오랫동안 기다려줄 것인가를 지정하는 값입니다. 기본값으로 1분이 지정되어 있는데, TCP연결시에 1분동안 아무런 요청이 없을 경우에는 연결을 종료하게 됩니다. 

액세스리스트(access list)에 정의되어 있는 설정들에 의존하여 프락시서버에서 각 클라이언트들의 요청을 허용할 것인가 아닌가를 결정하는 옵션입니다. 이 파일(squid.conf)에는 아래 예와 같은 많은 액세스리스트를 정의하고 있습니다. 참고로 보시기 바랍니다.

로컬캐시관리자의 Email계정을 지정한 것입니다. 즉, 캐시서버가 다운되었을 때에 받게될 메일계정(기본 root)을 지정한 것입니다.

Squid프락시서버 데몬을 어떤 사용자로 실행할 것인가를 지정한 것입니다. 보안을 위하여 다소 신중히 설정해야합니다. 만약 squid데몬을 실행할 때에 root로 실행하였다면 이 설정과 같이 squid를 지정하도록 하십시요.

Squid프락시서버 데몬을 어떤 그룹명으로 실행할 것인가를 지정한 것입니다. 위의 cache_effective_user에서 지정한 것과 같이 squid그룹명으로 지정하는 것이 보다 안전한 설정입니다.

Squid프락시 서버에서 데이터를 읽을 때에 에러난 파일들이 저장될 위치를 지정한 것입니다. 기본 에러디렉토리로는 /etc/squid/errors이며 /usr/lib/squid/errors는 다른 언어들에 대한 에러파일입니다. 참고하시기 바랍니다.

5. root가 아닌 전용계정으로 squid 관리하기

먼저 Squid서버를 관리할 계정을 만들어야합니다. 흔히 root로 Squid를 관리하기도 하지만 가능한 별도의 계정으로 Squid를 관리하는 것이 보안에 좋다고 생각합니다. 따라서 “squid”라는 계정을 생성하여 Squid를 관리하도록 하기위하여 다음과 같이 “squid”라는 계정을 생성해 주시기 바랍니다. 굳이 “squid”라는 계정이 아니라도 관계없습니다. 원하시는 Squid서버의 관리계정을 임의대로 생성하시면 됩니다.

다음과 같이 /usr/local/squid에 설치된 Squid관련된 모든 파일들을 앞서 생성관 Squid관리계정인 “squid”의 소유로 모두 바꾸어 주시기 바랍니다. 설치당시에는 모두 root소유로 되어 있었지만 이제 모두 squid계정의 소유로 변경되어 있습니다.

그리고 Squid서버를 별도의 계정으로 실행하고 관리한다면 squid.conf파일의 아래 설정에 해당 관리계정을 설정해 주셔야합니다. 앞에서 설명한 squid.conf파일의 cache_effective_user와 cache_effective_group에 대한 설명을 참조하시기 바랍니다.

이제 squid프락시서버를 root로 실행하는 것 보다 squid전용계정으로 설정하였으므로 보다 효율적이고 안전한 프락시서버를 운용할 수 있습니다.

6. 프락시서버를 사용하기 위한 사용자 웹브라우즈 설정

자, 지금까지는 리눅스 서버를 프락시서버로 사용하기 위하여 설치와 설정법들에 대해서 알아보았습니다. 이제 우리가 구축해 놓은 squid프락시서버를 사용자들이 프락시(캐싱)서버로 사용하기 위한 윈도우PC의 설정에 대해서 알아보도록 하겠습니다.

먼저 다음과 같이 웹브라우즈를 실행하십시요. 그리고 웹브라우즈의 [도구]->[인터넷옵션] 메뉴를 클릭하십시요. [인터넷옵션]창에 있는 여러 개의 탭들 가운데 두개의 탭에 대하여 설정하시면 됩니다.

먼저 아래와 같이 [연결]탭을 선택하시고 아래 그림의 마우스 포인터에 있는 [LAN설정]버튼을 클릭합니다. 그러면 [LAN설정]창이 열립니다.

[LAN설정]창에서 [프록시 서버]메뉴에 있는 [고급]버튼을 클릭하십시요. 아래 그림의 마우스포인터를 참조하시기 바랍니다.

자, 여기서 이제 앞에서 설치했던 프록시서버의 각 서비스별 IP주소와 포트번호를 지정해 주시면 됩니다. 아래 그림에서는 서비스별로 별도의 IP주소와 포트번호를 지정할 수 있도록 되어 있지만 거의 대부분 한대의 프록시서버에서 모든 서비스들에 대한 프록시역할을 합니다. 따라서 아래 그림과 같이 첫번째 행의 HTTP항목에 프록시서버로 사용할 IP주소(예 : 192.168.0.211)와 포트번호를 각각 입력합니다. 그리고 가운데 쯤에 있는 “모든 프로토콜에 같은 프록시 서버사용(U)”선택사항을 선택하십시요. 아래 그림의 마우스 포인터를 참조하시기 바랍니다.

그러면 아래 그림과 같이 다시 [LAN 설정]창으로 빠져 나옵니다. 여기서 다시 [확인]버튼을 클릭합니다.

자, 이렇게 해서 [인터넷 옵션]의 [연결]탭 설정이 끝났습니다. 이제 [일반]탭의 설정을 보도록 하겠습니다.

앞의 그림에서 [확인]버튼을 클릭하면 다시 [인터넷 옵션]창으로 빠져나옵니다. 여기서 맨 첫번째의 [일반]탭을 클릭하십시요. 그리고 가운데에 있는 [임시 인터넷 파일]메뉴에서 있는 [설정]버튼을 클릭합니다. 아래 그림에서 마우스 포인터를 참조하십시요.

그리고 위의 [설정]창에서 아랫부분에 있는 [임시 인터넷 파일폴더]에서 “사용할 디스크 공간(D)”의 크기를 가능한 보다 작에 설정합니다. 즉, 이 설정은 사용자 윈도우PC의 임시데이터공간(흔히 캐싱공간이라고 함)을 어느정도의 용량으로 사용할 것인가를 설정하는 것으로 그 공간의 최대용량을 지정해 둔 것입니다. 이 값이 크다고 해서 결코 좋은 것은 아닙니다. 보다 빠른 인터넷 속도도 중요하지만 데이터버전(최신데이터인가)도 중요하기 때문입니다.

자, 이렇게 해서 Squid를 이용한 프락시 서버의 설치와 설정, 그리고 관리방법에 대해서 알아보았고 설치된 프락시서버를 사용하기 위한 윈도우PC의 설정사항도 함께 알아보았습니다. 이제 여러분들은 캐싱서버를 구축해 달라는 요청을 받았을 때에나 또는 프락시서버를 구축해 달라는 요청을 받았을 때에 어떻게 구축하고 설정해야하는가를 알았습니다. 언제나 그렇지만 활용하지 않으면 무용지물이 됩니다.