SquidでProxy Server（プロキシサーバー）構築

環境
設定内容
インストール
設定内容
サービス開始
プロキシサーバーに接続

環境

Rocky Linux release 8.6 (Green Obsidian)
└ squid-7:4.15-3

設定内容

内部IPから外部へは、許可リスト（permitlistregex.txt）に記載されたURLへしかアクセスできない設定。

インストール

[root@localhost ~]# yum install squid
Rocky Linux 8 - AppStream                                                        7.7 kB/s | 4.8 kB     00:00    
Rocky Linux 8 - AppStream                                                        4.0 MB/s | 8.4 MB     00:02    
Rocky Linux 8 - BaseOS                                                           6.1 kB/s | 4.3 kB     00:00    
Rocky Linux 8 - BaseOS                                                           1.9 MB/s | 2.6 MB     00:01    
Rocky Linux 8 - Extras                                                           5.5 kB/s | 3.5 kB     00:00    
Rocky Linux 8 - Extras                                                            10 kB/s |  11 kB     00:01    
メタデータの期限切れの最終確認: 0:00:01 時間前の 2022年06月11日 13時07分53秒 に実施しました。
依存関係が解決しました。
=================================================================================================================
 パッケージ               Arch            バージョン                                    リポジトリー       サイズ
=================================================================================================================
インストール:
 squid                    x86_64          7:4.15-3.module+el8.6.0+842+aea5c28d          appstream          3.6 M
依存関係のインストール:
 libecap                  x86_64          1.0.1-2.module+el8.4.0+404+316a0dc5           appstream           28 k
 perl-Digest-SHA          x86_64          1:6.02-1.el8                                  appstream           65 k
モジュールストリームの有効化中:
 squid                                    4                                                                     

トランザクションの概要
=================================================================================================================
インストール  3 パッケージ

ダウンロードサイズの合計: 3.7 M
インストール後のサイズ: 12 M
これでよろしいですか? [y/N]: y
パッケージのダウンロード:
(1/3): libecap-1.0.1-2.module+el8.4.0+404+316a0dc5.x86_64.rpm                    263 kB/s |  28 kB     00:00    
(2/3): perl-Digest-SHA-6.02-1.el8.x86_64.rpm                                     557 kB/s |  65 kB     00:00    
(3/3): squid-4.15-3.module+el8.6.0+842+aea5c28d.x86_64.rpm                       5.2 MB/s | 3.6 MB     00:00    
-----------------------------------------------------------------------------------------------------------------
合計                                                                             3.1 MB/s | 3.7 MB     00:01     
トランザクションの確認を実行中
トランザクションの確認に成功しました。
トランザクションのテストを実行中
トランザクションのテストに成功しました。
トランザクションを実行中
  scriptletの実行中: squid-7:4.15-3.module+el8.6.0+842+aea5c28d.x86_64                                       1/1 
  準備             :                                                                                         1/1 
  インストール中   : perl-Digest-SHA-1:6.02-1.el8.x86_64                                                     1/3 
  インストール中   : libecap-1.0.1-2.module+el8.4.0+404+316a0dc5.x86_64                                      2/3 
  scriptletの実行中: libecap-1.0.1-2.module+el8.4.0+404+316a0dc5.x86_64                                      2/3 
  scriptletの実行中: squid-7:4.15-3.module+el8.6.0+842+aea5c28d.x86_64                                       3/3 
  インストール中   : squid-7:4.15-3.module+el8.6.0+842+aea5c28d.x86_64                                       3/3 
  scriptletの実行中: squid-7:4.15-3.module+el8.6.0+842+aea5c28d.x86_64                                       3/3 
  検証             : libecap-1.0.1-2.module+el8.4.0+404+316a0dc5.x86_64                                      1/3 
  検証             : perl-Digest-SHA-1:6.02-1.el8.x86_64                                                     2/3 
  検証             : squid-7:4.15-3.module+el8.6.0+842+aea5c28d.x86_64                                       3/3 

インストール済み:
  libecap-1.0.1-2.module+el8.4.0+404+316a0dc5.x86_64             perl-Digest-SHA-1:6.02-1.el8.x86_64            
  squid-7:4.15-3.module+el8.6.0+842+aea5c28d.x86_64             

完了しました!

設定内容

内部IPから外部へは、許可リスト（permitlistregex.txt）に記載されたURLへしかアクセスできない設定。
permitlistregex.txtは、正規表現で記載されており、サンプルでは、Windows Updateを実行可能にするための設定（Windows10対応）を記載。

参考：Windows Update / Microsoft Update の接続先 URL について
　　　 Regexper

/etc/squid/squid.conf
赤字部分が編集箇所。

#
# Recommended minimum configuration:
#

# Example rule allowing access from your local networks.
# Adapt to list your (internal) IP networks from where browsing
# should be allowed
acl localnet src 0.0.0.1-0.255.255.255  # RFC 1122 "this" network (LAN)
acl localnet src 10.0.0.0/8             # RFC 1918 local private network (LAN)
acl localnet src 100.64.0.0/10          # RFC 6598 shared address space (CGN)
acl localnet src 169.254.0.0/16         # RFC 3927 link-local (directly plugged) machines
acl localnet src 172.16.0.0/12          # RFC 1918 local private network (LAN)
acl localnet src 192.168.0.0/16         # RFC 1918 local private network (LAN)
acl localnet src fc00::/7               # RFC 4193 local private network range
acl localnet src fe80::/10              # RFC 4291 link-local (directly plugged) machines

acl SSL_ports port 443
acl Safe_ports port 80          # http
acl Safe_ports port 21          # ftp
acl Safe_ports port 443         # https
acl Safe_ports port 70          # gopher
acl Safe_ports port 210         # wais
acl Safe_ports port 1025-65535  # unregistered ports
acl Safe_ports port 280         # http-mgmt
acl Safe_ports port 488         # gss-http
acl Safe_ports port 591         # filemaker
acl Safe_ports port 777         # multiling http
acl CONNECT method CONNECT
acl permitlistregex dstdom_regex -n -i "/etc/squid/permitlistregex.txt"

#
# Recommended minimum Access Permission configuration:
#
# Deny requests to certain unsafe ports
http_access allow permitlistregex
http_access deny !Safe_ports

# Deny CONNECT to other than secure SSL ports
http_access deny CONNECT !SSL_ports

# Only allow cachemgr access from localhost
http_access allow localhost manager
http_access deny manager

# We strongly recommend the following be uncommented to protect innocent
# web applications running on the proxy server who think the only
# one who can access services on "localhost" is a local user
#http_access deny to_localhost

#
# INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS
#

# Example rule allowing access from your local networks.
# Adapt localnet in the ACL section to list your (internal) IP networks
# from where browsing should be allowed
#2行コメント
#http_access allow localnet
#http_access allow localhost

# And finally deny all other access to this proxy
http_access deny all

# Squid normally listens to port 3128
http_port 3128

# Uncomment and adjust the following to add a disk cache directory.
#cache_dir ufs /var/spool/squid 100 16 256

# Leave coredumps in the first cache dir
coredump_dir /var/spool/squid

#
# Add any of your own refresh_pattern entries above these.
#
refresh_pattern ^ftp:           1440    20%     10080
refresh_pattern ^gopher:        1440    0%      1440
refresh_pattern -i (/cgi-bin/|\?) 0     0%      0
refresh_pattern .               0       20%     4320

logformat combined [%tl] %>a %ui %un %Ss:%Sh "%rm %ru HTTP/%rv" %>Hs %<st "%{Referer}>h" "%{User-Agent}>h"
access_log /var/log/squid/access.log combined
 
# プロキシサーバーを使用している端末のローカルIPアドレスを隠蔽化
forwarded_for on
 
# プロキシ経由でアクセスしていることをアクセス先に知られないようにする
header_access X-Forwarded-For deny all
header_access Via deny all
header_access Cache-Control deny all

/etc/squid/permitlistregex.txt

^[a-zA-Z0-9.-]{0,100}update.microsoft.com
^[a-zA-Z0-9.-]{0,100}download.windowsupdate.com
^[a-zA-Z0-9.-]{0,100}download.microsoft.com
^[a-zA-Z0-9.-]{0,100}windowsupdate.com
^[a-zA-Z0-9.-]{0,100}windows.com
^ntservicepack.microsoft.com
^login.live.com
^[a-zA-Z0-9.-]{0,100}live.com
^[a-zA-Z0-9.-]{0,100}mp.microsoft.com
^[a-zA-Z0-9.-]{0,100}microsoft.com