はじめに (対象読者・この記事でわかること)

この記事は、Linuxの基本的な操作ができる方、ネットワークの仕組みに興味がある方、そして社内ネットワークや開発環境でのアクセス制御、匿名性向上を検討している方を対象としています。特に、Ubuntuサーバーを運用しており、その上でプロキシサーバーを構築したいと考えている方にとって、最適な内容となるでしょう。

この記事を読むことで、Ubuntu環境にオープンソースのプロキシサーバーである「Squid」をインストールし、基本的な設定を行う方法を習得できます。具体的には、HTTP/HTTPSプロキシの設定、特定のIPアドレスからのアクセス制御、さらにはユーザー認証の追加といったセキュリティ強化策まで網羅しています。プロキシサーバーの構築を通して、ネットワークの理解を深め、よりセキュアで効率的なインターネット利用環境を構築できるようになるでしょう。

前提知識

この記事を読み進める上で、以下の知識があるとスムーズです。 * Ubuntuの基本的なコマンド操作（apt、systemctlなど） * SSH接続の基本的な知識 * ネットワークの基本的な知識（IPアドレス、ポート番号など） * sudoコマンドの利用経験

プロキシサーバーとは？Squidを選ぶ理由

プロキシサーバーとは、クライアントとインターネットの間に位置し、クライアントからのリクエストを代理でインターネット上のサーバーに送信し、その応答をクライアントに返すサーバーのことです。これにより、クライアントは直接インターネット上のサーバーと通信することなく、Webサイトの閲覧やファイルのダウンロードなどを行うことができます。

プロキシサーバーを導入するメリットは多岐にわたります。 * セキュリティ向上: 外部からの直接アクセスを防ぎ、内部ネットワークを保護します。また、悪意のあるサイトへのアクセスをブロックするフィルタリング機能も提供できます。 * アクセス制御: 特定のユーザーやIPアドレスからのアクセスのみを許可したり、特定のWebサイトへのアクセスを制限したりできます。 * 匿名性向上: クライアントのIPアドレスを隠蔽し、プロキシサーバーのIPアドレスでアクセスするため、プライバシー保護に役立ちます。 * 速度向上 (キャッシュ): 一度アクセスしたコンテンツをキャッシュとして保存し、次回以降のアクセス時にはプロキシサーバーから直接提供することで、ページの読み込み速度を向上させ、帯域幅の消費を抑えます。

数あるプロキシサーバーの中でも、この記事で紹介する「Squid」は、その安定性、高性能、そして豊富な機能から、世界中で広く利用されているオープンソースのWebプロキシキャッシュサーバーです。HTTP、HTTPS、FTPなど様々なプロトコルに対応し、高度なアクセス制御、ユーザー認証、きめ細やかなキャッシュ設定が可能です。Ubuntu環境での導入も非常に容易であるため、プロキシサーバー構築の第一歩として非常に適しています。

UbuntuにSquidプロキシを構築する手順

それでは、実際にUbuntuサーバーにSquidプロキシを構築し、設定を行っていきましょう。

ステップ1: Squidのインストール

まず、サーバーのパッケージリストを最新の状態に更新し、Squidをインストールします。

Bash

# パッケージリストの更新
sudo apt update

# Squidのインストール
sudo apt install -y squid

# Squidサービスのステータス確認
sudo systemctl status squid

sudo systemctl status squidコマンドを実行し、active (running)と表示されれば、Squidは正常にインストールされ、起動しています。

ステップ2: 基本設定ファイルの編集

Squidの設定は/etc/squid/squid.confファイルで行います。設定を始める前に、オリジナルの設定ファイルをバックアップしておくことを強く推奨します。

Bash

# 設定ファイルのバックアップ
sudo cp /etc/squid/squid.conf /etc/squid/squid.conf.bak

# 設定ファイルを編集
sudo nano /etc/squid/squid.conf

squid.confファイルは非常に長く、コメントアウトされた設定が大量に記述されています。今回は、主に以下の点を設定・確認します。

1. http_portの設定: SquidがHTTPリクエストを待ち受けるポートを指定します。デフォルトは3128です。 conf # プロキシがHTTPリクエストをリッスンするポート。 http_port 3128

2. ACL (Access Control List) の設定: アクセス制御ルールを定義します。

   • acl localnet src 10.0.0.0/8 や acl localnet src 192.168.0.0/16 のように、プライベートIPアドレスを定義する行のコメントアウトを解除し、あなたのネットワーク環境に合わせて修正します。

   • 重要: acl localnet src YOUR_CLIENT_IP_ADDRESS/32 のように、具体的なクライアントIPアドレスを追加すると、よりセキュアになります。例えば、acl my_clients src 192.168.1.100 といった形です。 ```conf # Example rule allowing access from your local networks. # Adapt localnet in the ACL section to list your (internal) IP networks # that should be allowed to use this cache. acl localnet src 0.0.0.1-0.255.255.255 # RFC 1918 B acl localnet src 10.0.0.0/8 # RFC 1918 A acl localnet src 172.16.0.0/12 # RFC 1918 B acl localnet src 192.168.0.0/16 # RFC 1918 C acl localnet src fc00::/7 # RFC 4193 Unique Local Addr acl localnet src fe80::/10 # RFC 4291 Link-Local Addr

     特定のIPアドレスからのアクセスを許可する場合（例: 192.168.1.0/24 ネットワーク全体）

     acl my_internal_network src 192.168.1.0/24

     もしくは、特定の単一IPアドレスのみを許可する場合

     acl allowed_client_ip src 192.168.1.10 `` 3. **http_accessの設定**: 定義したACLに基づいて、HTTPアクセスを許可または拒否します。 *http_access allow localhostの下に、あなたが定義したACLをallow（許可）ルールとして追加します。 * **重要**: ルールは上から順に評価されます。より具体的なルールを上に、より一般的なルールを下に記述します。最終行のhttp_access deny all`より前に、許可したいルールをすべて記述する必要があります。

   ```conf

   Recommended minimum configuration:

   Example rule allowing access from your local networks.

   Adapt localnet in the ACL section to list your (internal) IP networks

   that should be allowed to use this cache.

   http_access allow localhost

   my_internal_networkからのアクセスを許可

   http_access allow my_internal_network

   allowed_client_ipからのアクセスを許可

   http_access allow allowed_client_ip

   We strongly recommend to use the following to only allow cache access

   for those people who have "full" Internet access.

   http_access deny !Safe_ports

   そして、最後にすべてを拒否

   http_access deny all ```

上記の編集が完了したら、Ctrl+Oで保存し、Ctrl+Xでnanoエディタを終了します。

ステップ3: ユーザー認証の追加 (オプション)

特定のユーザーのみにプロキシの利用を許可したい場合、ユーザー名とパスワードによる認証を追加できます。

まず、認証ヘルパーとパスワードファイル作成ツールをインストールします。

Bash

sudo apt install -y apache2-utils

次に、パスワードファイルを生成します。最初のユーザーを作成する際は-cオプションを使用し、2人目以降は-cなしで追加します。

Bash

# パスワードファイルを作成し、最初のユーザー (user1) を追加
sudo htpasswd -c /etc/squid/passwd user1

# 2人目のユーザー (user2) を追加 (user1も残る)
sudo htpasswd /etc/squid/passwd user2

パスワードの入力を求められるので、設定してください。

次に、squid.confファイルを再度編集し、認証設定を追加します。

Bash

sudo nano /etc/squid/squid.conf

以下の行を、http_portの近くなど、わかりやすい場所に追加します。

Conf

# 認証ヘルパーの設定
auth_param basic program /usr/lib/squid/basic_ncsa_auth /etc/squid/passwd
auth_param basic children 5 startup=1 idle=1
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialttl 2 hours

# 認証が必要なACLの定義
acl authenticated_users proxy_auth REQUIRED

# 認証されたユーザーからのアクセスを許可
http_access allow authenticated_users

# その他のアクセス制御ルール（ステップ2で設定した`http_access allow localnet`など）の前に置く
# http_access allow localnet
# http_access deny all

重要: http_access allow authenticated_users は、許可したいネットワークのACL (http_access allow localnetなど) や http_access deny all よりも前に記述する必要があります。

ステップ4: Squidサービスの再起動と動作確認

設定ファイルの編集が完了したら、設定に誤りがないかチェックし、Squidサービスを再起動します。

Bash

# 設定ファイルの構文チェック
sudo squid -k check

# 設定ファイルの構文エラーがないか確認。
# もしエラーがあれば、表示されるメッセージを元に修正してください。
# 問題がなければ、「/etc/squid/squid.conf (squid) is running」のようなメッセージが表示されます。

# Squidサービスの再起動
sudo systemctl restart squid

# 再びステータスを確認し、エラーがないことを確認
sudo systemctl status squid

次に、クライアント側でプロキシサーバーを設定し、動作を確認します。

クライアントでの設定例 (ブラウザ)

多くのWebブラウザ (Chrome, Firefoxなど) は、プロキシ設定を手動で行うことができます。 * IPアドレス: SquidサーバーのIPアドレス * ポート: 3128 (またはsquid.confで設定したポート) * HTTPプロキシとHTTPSプロキシの両方に同じ設定を適用します。 * ユーザー認証を設定した場合、アクセス時にユーザー名とパスワードの入力を求められます。

設定後、Webサイトにアクセスしてみて、正常にブラウジングできるか確認してください。うまくいかない場合は、Squidサーバーのログファイル (/var/log/squid/access.log や /var/log/squid/cache.log) を確認すると、原因の手がかりが得られます。

Bash

# アクセスログのリアルタイム表示
sudo tail -f /var/log/squid/access.log

ステップ5: ファイアウォール設定 (UFW)

Squidサーバーのセキュリティを確保するため、ファイアウォール（UFW: Uncomplicated Firewall）でSquidが使用するポートを開放する必要があります。

Bash

# UFWが有効になっているか確認
sudo ufw status

# Squidのデフォルトポート (3128/tcp) を許可
sudo ufw allow 3128/tcp

# 再度UFWの状態を確認し、3128ポートが許可されていることを確認
sudo ufw status

もしUFWがinactiveであれば、sudo ufw enableで有効にする必要があります。その際、SSHポート（デフォルト22）を先に許可しておくことを忘れないでください。

Bash

# SSHポートの許可（UFW有効化前に実行）
sudo ufw allow ssh
# またはポート番号を指定
sudo ufw allow 22/tcp

# UFWを有効化
sudo ufw enable

ハマった点やエラー解決

• http_access deny all の位置問題: Squidの設定ファイルでは、http_accessルールは上から順に評価されます。もしhttp_access allow my_networkのような許可ルールがhttp_access deny allよりも下に記述されていると、そのルールは決して評価されず、すべてのアクセスが拒否されてしまいます。
• ファイアウォールの設定漏れ: Squidサービスは正常に動作しているのに、クライアントから接続できない場合、サーバーのファイアウォールでSquidのポート (例: 3128) が開いていないことが原因のほとんどです。
• 設定ファイルの構文エラー: squid.confは記述ミスがあると、Squidが起動しなかったり、意図しない動作をしたりします。

解決策

• http_accessの順序: ACLは「具体的なもの」から「一般的なもの」へと記述し、最後に「デフォルトで拒否」するhttp_access deny allを置くようにしましょう。 conf http_access allow localhost http_access allow authenticated_users # 認証ユーザーは許可 http_access allow my_internal_network # 特定のネットワークは許可 http_access deny all # それ以外はすべて拒否
• ファイアウォール: sudo ufw allow 3128/tcpを実行し、sudo ufw statusでポートが開放されていることを確認してください。
• 構文エラー: sudo squid -k checkコマンドを実行して、設定ファイルの構文チェックを行い、エラーメッセージが表示された場合はその内容に従って修正しましょう。再起動の前には必ずこのチェックを行う習慣をつけると良いです。

まとめ

本記事では、UbuntuサーバーにSquidプロキシサーバーを構築し、基本的な設定を行う方法について解説しました。

• Squidのインストールとサービス管理: aptとsystemctlコマンドを用いて、Squidを簡単に導入・管理する方法を学びました。
• アクセス制御とセキュリティ強化: squid.confを編集し、ACL (acl) とアクセスルール (http_access) を用いて、特定のIPアドレスからのアクセス許可や、ユーザー認証によるプロキシ利用制限を設定しました。
• クライアント設定と動作確認: クライアント側のブラウザでプロキシ設定を行い、Squidが正しく機能しているかを確認する方法も紹介しました。
• ファイアウォール設定: UFWを用いて、プロキシサーバーのセキュリティを向上させるためのポート開放手順を説明しました。

この記事を通して、読者の皆様がプロキシサーバーの基本的な構築と活用方法を理解し、自身のネットワーク環境のセキュリティや効率性を向上させる一助となれば幸いです。

今後は、Squidのより高度なキャッシュ設定、SSLインターセプト、プロキシチェーン、詳細なログ解析といった発展的な内容についても記事にする予定です。ぜひ、プロキシサーバーの奥深い世界を探求し続けてください。

参考資料

• Squid Web Proxy Cache 公式サイト
• Ubuntu Server Guide: Squid (Proxy Server)
• Apache HTTP Server Project - htpasswd
• UFW (Uncomplicated Firewall) を使って Ubuntu のセキュリティを強化する (公式ドキュメントや関連ブログ記事などを参考に)