前回、リバースプロキシサーバー環境においても、
SKYSEA Client View のHTTPゲートウェイサーバー機能を利用できるか。
という記事を投稿しました。今回は関連する記事を投稿させていただきます。
SKYSEA Client View にはフォワードプロキシサーバーについて関わりのある機能がいくつかあります。例えば、下記の機能です。
この機能により、社内ネットワーク内にあるプロキシサーバーを通らないとインターネットにアクセスすることができない環境を実現できます。
テレワークなどでPCを持ち出す機会が増える中、自宅の回線から直接インターネットにアクセスすることを防ぎ、社内ネットワークにVPN接続したときのみプロキシサーバー経由でインターネットにアクセスを許可するといったご運用が可能です。
さて、この機能を動作検証しようとしたとき、
検証環境にプロキシサーバーを作る必要がありましたので、
前回同様Ubuntuで構築いたしました。
前回記事のリバースプロキシサーバーと同様に、squidで実装いたしました。
また、今回はアクセス制御の設定も試してみました。
ご参考までに、構築手順を記載させていただきます。
1. squidのインストール
sudo apt update
sudo apt install squid
2. TCP/UDPポート3128をアクセス許可
sudo ufw allow 3128/tcp
sudo ufw allow 3128/udp
※ squidの初期設定では3128番ポートが指定されています。今回はそのまま使います。
3. squidのステータス確認
sudo systemctl status squid
※ 「active (running)」と表示されていればOKです。
4. squid設定ファイルのバックアップ
sudo cp /etc/squid/squid.conf /etc/squid/squid.conf.bak
5. 設定ファイルの編集
sudo vi /etc/squid/squid.conf
※ squid.confファイル最上部に下記を追記します。
acl whitelist dstdomain "/etc/squid/whitelist"
http_access allow whitelist
http_access deny all
※設定ファイルは上部に記載のものが優先されます。
そのため、「http_access deny all」ですべて制御される状態にし、「http_access allow whitelist」でwhitelistのみ許可の設定が、
上書きされる形となり、特定のドメインのみ許可されるという状態が実現されます。
これが逆に「http_access deny all」が上部に記載されると、すべてが制御されてしまいます。
6. 許可ドメインのリストファイルを作成
sudo vi /etc/squid/whitelist
※ whitelistファイルに下記を許可したいドメインを列挙します。
.skygroup.jp
※ whitelistファイルにアクセスを許可するドメインを列挙します。
頭の「.」をお忘れなきようご注意ください。
7. squidサービスの再起動
sudo systemctl restart squid
8. squidサービスの起動確認
sudo systemctl status squid
※ 「active (running)」と表示されていればOKです。
以上でプロキシサーバーの構築は完了です。
プロキシ動作とアクセス制御が働いているかどうか確認のため、
こちらのプロキシサーバーを指定したクライアントPCから、実際にWebアクセスして動作を確認いたします。
下記の通り、問題なく動作しておりました。
skygroup.jpへのアクセス
それ以外のサイトへのアクセス
以上、SKYSEA Client View をご検討、ご提案いただく際のご参考となれば幸いです。
