🌐 Cos'è un server proxy per rete locale
Un proxy server per rete locale è un server intermedio ospitato all'interno della vostra rete aziendale o domestica, che fornisce a tutti i dispositivi della rete un accesso a Internet attraverso un unico punto di controllo.
Come funziona:
- L'utente (computer, smartphone, tablet) nella rete locale invia una richiesta
- Il server proxy (192.168.1.100:3128) riceve la richiesta e controlla le regole di accesso
- Il proxy invia la richiesta a Internet a nome dell'utente
- Il server su Internet risponde al server proxy
- Il proxy inoltra la risposta all'utente
💡 Analogia semplice
Immaginate un ufficio con un solo segretario. Tutti i dipendenti passano le richieste attraverso il segretario, invece di chiamare direttamente. Il segretario controlla chi può chiamare, registra tutte le chiamate in un registro e può bloccare i numeri indesiderati. Un server proxy è esattamente questo: un "segretario" per tutta la vostra rete locale.
❓ Perché è necessario un server proxy locale
Controllo degli accessi
Gestione centralizzata dell'accesso alle risorse Internet. Blocco dei social network durante l'orario di lavoro, divieto di torrent, filtraggio per categorie di siti.
Monitoraggio del traffico
Statistiche dettagliate: chi, quando, quali siti ha visitato, quanto traffico ha consumato. Report per utenti e reparti. Individuazione di fughe di dati.
Caching
Memorizzazione dei file richiesti di frequente sul server proxy. Risparmio della banda Internet fino al 40%, accelerazione del download di aggiornamenti di Windows e database antivirus.
Sicurezza
Protezione da siti dannosi, phishing, virus. Scansione dei file scaricati. Blocco di pubblicità e tracker a livello di rete.
Risparmio
Riduzione dei costi Internet grazie al caching e al controllo. Un unico canale anziché diversi. Controllo dei limiti per gli utenti.
Aggiramento dei blocchi
Accesso a risorse bloccate tramite proxy esterni. Configurazione di una catena di proxy per aggirare le restrizioni regionali.
🎯 Casi d'uso del proxy locale
🏢 Rete aziendale (50-500 dipendenti)
- Controllo della produttività: Blocco di social network, YouTube, siti di giochi durante l'orario di lavoro
- Sicurezza: Filtraggio di siti dannosi, controllo dei file scaricati
- Reporting: Log dettagliati per il reparto sicurezza IT
- Risparmio: Caching di aggiornamenti di Windows, Office, antivirus
Esempio: L'azienda "Alfa" con 200 dipendenti ha installato un proxy Squid e ha ridotto il consumo di banda del 35% grazie al caching. Risparmio: $450/mese.
🏫 Istituti scolastici
- Protezione dei minori: Blocco di contenuti 18+, violenza, gioco d'azzardo
- Controllo degli accessi: Regole diverse per insegnanti e studenti
- Programmazione: Accesso a YouTube solo durante le lezioni di informatica
- Report per l'amministrazione: Monitoraggio dell'attività degli studenti
🏠 Rete domestica
- Controllo parentale: Limitazione dell'accesso dei bambini a determinati siti
- Blocco pubblicità: Eliminazione della pubblicità su tutti i dispositivi della rete
- Sicurezza IoT: Controllo del traffico di dispositivi smart (telecamere, TV, altoparlanti)
- Risparmio di traffico: Rilevante per piani dati mobili con limiti
🧪 Testing e sviluppo
- Intercettazione del traffico: Analisi delle richieste API delle applicazioni mobili
- Sostituzione delle risposte: Test dell'applicazione con dati modificati dal server
- Simulazione di Internet lento: Throttling per testare su 3G
- Ispezione SSL: Analisi del traffico HTTPS per il debug
🔧 Tipi di server proxy locali
📡 Proxy HTTP/HTTPS
Scopo: Proxying del traffico web (browser, applicazioni)
Esempi: Squid, Apache Traffic Server, nginx
Caratteristiche:
✅ Caching dei contenuti
✅ Filtraggio tramite URL
✅ Modifica degli header
🔌 Proxy SOCKS
Scopo: Proxying universale di qualsiasi traffico TCP/UDP
Esempi: Dante, Shadowsocks, 3proxy
Caratteristiche:
✅ Funziona con qualsiasi protocollo
✅ Supporto UDP (SOCKS5)
✅ Latenza minima
🪟 Proxy Trasparente
Scopo: Proxying invisibile senza configurazione sui client
Esempi: Squid in modalità trasparente + iptables
Caratteristiche:
✅ Nessuna configurazione richiesta sui client
✅ Intercettazione a livello di router
⚠️ Più complesso con HTTPS
🔗 Proxy Inverso (Reverse Proxy)
Scopo: Bilanciamento del carico e protezione dei server web
Esempi: nginx, HAProxy, Apache mod_proxy
Caratteristiche:
✅ Distribuzione del carico
✅ Terminazione SSL
✅ Protezione DDoS
🏗️ Architettura di rete locale con server proxy
Schema tipico di rete aziendale
┌─────────────────────────────────────────────────┐
│ 🌐 INTERNET │
└────────────────┬────────────────────────────────┘
│
┌───────▼────────┐
│ 🛡️ Firewall │ (Protezione perimetro)
│ 192.168.0.1 │
└───────┬────────┘
│
┌───────▼────────┐
│ 🔄 Router │ (Instradamento)
│ 192.168.1.1 │
└───────┬────────┘
│
┌────────────┼────────────┐
│ │ │
┌───▼────┐ ┌───▼────┐ ┌───▼────┐
│ 💻 PC1 │ │ 💻 PC2 │ │ 📱 Phone│
│.10 │ │.11 │ │.12 │
└────────┘ └────────┘ └─────────┘
│ │ │
└────────────┼────────────┘
│ (Tutte le richieste passano attraverso il proxy)
┌───────▼────────┐
│ 🔧 PROXY │ (Squid/CCProxy)
│ 192.168.1.100 │ Porta: 3128
│ + Cache (500GB)│
│ + Log │
│ + Filtri │
└────────────────┘
Come funziona lo schema:
- L'utente (PC1) configura il proxy nel browser:
192.168.1.100:3128 - La richiesta va al server proxy, non direttamente a Internet
- Il proxy controlla le regole di accesso (il sito è permesso?)
- Il proxy richiede il contenuto a nome dell'utente
- Il proxy memorizza la risposta nella cache e la inoltra all'utente
- Alla richiesta successiva, il proxy restituisce i dati dalla cache (istantaneamente)
⚠️ Punti importanti dell'architettura
- Affidabilità: Se il proxy si guasta, tutta la rete perde l'accesso a Internet (Soluzione: proxy di backup)
- Prestazioni: Il proxy deve gestire tutto il traffico di rete (minimo 4 core CPU, 8GB RAM per 100 utenti)
- Archiviazione: Per la cache è necessario un disco SSD veloce (consigliato 500GB+ per 100-200 utenti)
- Bandwidth: La scheda di rete del proxy deve essere veloce quanto la connessione Internet (Gigabit Ethernet minimo)
⚖️ Vantaggi e svantaggi del proxy locale
✅ VANTAGGI
🎯 Controllo centralizzato
Un unico punto di gestione per tutta la rete. Le modifiche vengono applicate istantaneamente a tutti gli utenti senza configurare ogni dispositivo.
📊 Analisi dettagliata
Tutte le richieste vengono registrate. Vedete: chi, quando, quale sito ha visitato, quanto traffico ha consumato. Ideale per audit e ottimizzazione.
💰 Risparmio di banda
Il caching può ridurre il consumo di Internet del 30-40%. Particolarmente efficace per aggiornamenti di sistema operativo, antivirus e siti popolari.
🛡️ Protezione della rete
Blocco di siti dannosi, phishing, virus a livello di proxy. Un ulteriore livello di protezione oltre all'antivirus sui computer.
🔒 Occultamento della struttura interna
Tutte le richieste provengono dall'IP del server proxy. Il mondo esterno non vede gli IP reali delle postazioni di lavoro.
❌ SVANTAGGI
⚠️ Punto singolo di fallimento (SPOF)
Se il server proxy si guasta, l'intera rete perde l'accesso a Internet. Soluzione: server di backup o bypass automatico.
🐌 Possibile rallentamento
In caso di prestazioni insufficienti del server, possono verificarsi ritardi. È necessario scegliere l'hardware giusto in base al numero di utenti.
🔧 Complessità di configurazione
Richiede un amministratore di sistema qualificato. La configurazione di Squid, delle regole di filtraggio, dell'ispezione SSL non è per principianti.
💾 Requisiti di risorse
È necessario un server dedicato con hardware adeguato e un disco capiente per la cache. Per 200 utenti: 8-16GB RAM, 500GB+ SSD.
👁️ Problemi con HTTPS
Per l'ispezione HTTPS è necessaria l'installazione di un certificato root su tutti i dispositivi. Alcune applicazioni potrebbero non funzionare.
💡 Conclusione
Un server proxy locale è un elemento indispensabile per le reti aziendali con più di 20 utenti. I vantaggi in termini di controllo, sicurezza e risparmio superano di gran lunga le complessità di configurazione e manutenzione. Per una rete domestica è consigliabile solo in presenza di competenze tecniche specifiche e necessità particolari (controllo parentale, blocco pubblicità).
Avete bisogno di proxy pronti all'uso per la vostra attività?
Invece di configurare il vostro server, utilizzate le soluzioni pronte di ProxyCove!
Registratevi con il codice promozionale ARTHELLO e riceverete $1.3 in regalo!
Scegli il tipo di proxy:
📖 Continua nella Parte 2: Installazione e configurazione passo passo di Squid per Windows e Linux
Installazione del server proxy Squid
Parte 2: Configurazione passo passo di Squid per Ubuntu/Debian/CentOS. Autenticazione, filtraggio siti, caching, configurazione client.
Continuazione della serie | Tempo di lettura: 15 minuti
📦 Installazione del server proxy Squid
🐧 Installazione su Ubuntu/Debian
# Aggiorniamo il sistema
sudo apt update && sudo apt upgrade -y
# Installiamo Squid
sudo apt install squid -y
# Controlliamo la versione
squid -v
# Squid Cache: Version 5.2
# Controlliamo lo stato del servizio
sudo systemctl status squid
# Abilitiamo l'avvio automatico
sudo systemctl enable squid🎩 Installazione su CentOS/RHEL/Rocky Linux
# Installiamo Squid
sudo dnf install squid -y
# Oppure per vecchie versioni CentOS
sudo yum install squid -y
# Avviamo il servizio
sudo systemctl start squid
# Abilitiamo l'avvio automatico
sudo systemctl enable squid
# Apriamo la porta nel firewall
sudo firewall-cmd --permanent --add-port=3128/tcp
sudo firewall-cmd --reload📂 File e directory importanti
| File/Directory | Scopo |
/etc/squid/squid.conf |
File di configurazione principale |
/var/log/squid/access.log |
Log di accesso (tutte le richieste) |
/var/log/squid/cache.log |
Log di funzionamento del servizio |
/var/spool/squid/ |
Directory della cache |
/etc/squid/blocked_sites.txt |
Elenco dei siti bloccati (creato manualmente) |
⚙️ Configurazione di base di Squid
⚠️ Importante prima di iniziare
Prima di modificare il file di configurazione, eseguire sempre un backup:
sudo cp /etc/squid/squid.conf /etc/squid/squid.conf.backup
Configurazione minima funzionante
# /etc/squid/squid.conf
# Porta del server proxy
http_port 3128
# Definiamo la rete locale
acl localnet src 192.168.1.0/24
# Consentiamo l'accesso dalla rete locale
http_access allow localnet
# Nega tutto il resto
http_access deny all
# Dimensione della cache in memoria (256 MB)
cache_mem 256 MB
# Directory e dimensione della cache su disco (10 GB)
cache_dir ufs /var/spool/squid 10000 16 256
# Dimensione massima dell'oggetto in cache
maximum_object_size 100 MB
# Nome host visibile per i log
visible_hostname proxy.company.local
# Formato dei log (esteso)
logformat combined %>a %[ui %[un [%tl] "%rm %ru HTTP/%rv" %>Hs %h" "%{User-Agent}>h"
access_log /var/log/squid/access.log combined
# Email dell'amministratore (mostrata in caso di errori)
cache_mgr admin@company.local Applicazione della configurazione
# Controlliamo la configurazione per errori di sintassi
sudo squid -k parse
# Se non ci sono errori, riavviamo Squid
sudo systemctl restart squid
# Controlliamo lo stato
sudo systemctl status squid
# Visualizziamo i log in tempo reale
sudo tail -f /var/log/squid/access.log🔐 Autenticazione degli utenti
L'autenticazione consente di controllare l'accesso tramite login/password e di tenere traccia delle statistiche per utente.
Creazione del file utenti
# Installiamo l'utility htpasswd
sudo apt install apache2-utils -y
# Creiamo il file delle password
sudo touch /etc/squid/passwords
# Aggiungiamo l'utente ivan (verrà richiesta la password)
sudo htpasswd /etc/squid/passwords ivan
# Aggiungiamo altri utenti
sudo htpasswd /etc/squid/passwords maria
sudo htpasswd /etc/squid/passwords admin
# Impostiamo i permessi corretti
sudo chown proxy:proxy /etc/squid/passwords
sudo chmod 640 /etc/squid/passwords
# Controlliamo il contenuto
sudo cat /etc/squid/passwords
# ivan:$apr1$xyz...
# maria:$apr1$abc...
# admin:$apr1$def...Configurazione di squid.conf per l'autenticazione
# Aggiungere a /etc/squid/squid.conf
# Configurazione dell'autenticazione Basic
auth_param basic program /usr/lib/squid/basic_ncsa_auth /etc/squid/passwords
auth_param basic realm Proxy Server Authentication
auth_param basic credentialsttl 2 hours
auth_param basic casesensitive on
# Creiamo un ACL per gli utenti autenticati
acl authenticated proxy_auth REQUIRED
# Consentiamo l'accesso solo agli autenticati
http_access allow authenticated
# Mostriamo il nome utente nei log
logformat authenticated %{%Y-%m-%d %H:%M:%S}tl %>a %un "%rm %ru" %>Hs %Applichiamo le modifiche:
sudo squid -k parse && sudo systemctl restart squid✅ Verifica dell'autenticazione
Ora, quando si tenta di utilizzare il proxy, il browser richiederà login e password. Formato per la configurazione:
🚫 Filtraggio di siti e contenuti
🔒 Blocco siti per dominio
Passo 1: Creiamo un file con l'elenco dei domini da bloccare
# Creiamo il file
sudo nano /etc/squid/blocked_sites.txt
# Aggiungiamo i domini (uno per riga)
.facebook.com
.vk.com
.instagram.com
.tiktok.com
.youtube.com
.reddit.com
casino
betting
porn
xxx
# Il punto all'inizio blocca tutti i sottodomini
# facebook.com, www.facebook.com, m.facebook.com — tutti bloccatiPasso 2: Aggiungiamo le regole a squid.conf
# Definiamo l'ACL con i siti bloccati
acl blocked_sites dstdomain "/etc/squid/blocked_sites.txt"
# Nega l'accesso a questi siti
http_access deny blocked_sites
# Mostriamo una pagina di errore personalizzata
deny_info ERR_BLOCKED_SITE blocked_sites⏰ Blocco basato sull'orario
Blocco dei social network solo durante l'orario di lavoro (9:00-18:00, lun-ven):
# Definiamo l'orario di lavoro
acl work_hours time MTWHF 09:00-18:00
# Lista dei social network
acl social_networks dstdomain .facebook.com .vk.com .instagram.com
# Blocchiamo i social network solo durante l'orario di lavoro
http_access deny social_networks work_hours
# Dopo l'orario di lavoro, consentiamo
http_access allow social_networks📊 Blocco per tipo di file
# Blocchiamo torrent, video, file exe
acl blocked_files urlpath_regex -i \.torrent$ \.exe$ \.msi$ \.mp4$ \.mkv$ \.avi$
http_access deny blocked_files
# Blocco per MIME-type
acl video_content rep_mime_type video/mpeg video/x-msvideo video/mp4
http_reply_access deny video_content💾 Configurazione del caching
Una corretta configurazione della cache può ridurre il consumo di banda Internet del 30-40%.
Configurazione ottimale della cache
# Cache in RAM (512 MB)
cache_mem 512 MB
# Cache su disco: 50GB, 32 directory di primo livello, 256 di secondo
cache_dir ufs /var/spool/squid 50000 32 256
# Dimensione minima e massima dell'oggetto in cache
minimum_object_size 0 KB
maximum_object_size 500 MB
# Dimensione massima dell'oggetto in memoria
maximum_object_size_in_memory 512 KB
# Tempo di conservazione della cache
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern . 0 20% 4320
# Caching degli aggiornamenti Windows (risparmio fino al 40% di banda!)
refresh_pattern windowsupdate.com/.*\.(cab|exe) 4320 100% 43200 reload-into-ims
refresh_pattern download.microsoft.com/.*\.(cab|exe) 4320 100% 43200 reload-into-ims
# Caching più lungo per file popolari
refresh_pattern -i \.(jpg|jpeg|png|gif|bmp|webp)$ 1440 90% 10080
refresh_pattern -i \.(pdf|doc|docx|xls|xlsx)$ 1440 80% 10080
refresh_pattern -i \.(js|css)$ 720 50% 4320Applicazione delle modifiche:
# Inizializza la struttura della cache
sudo squid -z
sudo systemctl restart squid📊 Statistiche della cache
# Controlliamo il rapporto di successo della cache
squidclient -p 3128 mgr:info | grep "Hit Ratio"
# Svuotiamo l'intera cache
sudo systemctl stop squid
sudo rm -rf /var/spool/squid/*
sudo squid -z
sudo systemctl start squid💻 Configurazione dei client per il proxy
🪟 Windows
- Aprire Impostazioni → Rete e Internet → Server proxy
- Attivare "Usa server proxy"
- Indirizzo:
192.168.1.100 - Porta:
3128 - Fare clic su "Salva"
🍎 macOS
- Aprire Preferenze di Sistema → Rete
- Selezionare la connessione attiva (Wi-Fi/Ethernet)
- Fare clic su "Avanzate" → scheda "Proxy"
- Selezionare "Proxy Web (HTTP)"
- Server:
192.168.1.100:3128 - Fare clic su "OK" → "Applica"
🌐 Google Chrome / Edge
Chrome utilizza le impostazioni di sistema del proxy, ma può essere avviato con un parametro:
# Windows
"C:\Program Files\Google\Chrome\Application\chrome.exe" --proxy-server="192.168.1.100:3128"
# Linux
google-chrome --proxy-server="192.168.1.100:3128"
# Con autenticazione
--proxy-server="http://user:password@192.168.1.100:3128"🦊 Firefox
- Aprire Impostazioni → Generale → Impostazioni di rete
- Selezionare "Configurazione manuale del proxy"
- Proxy HTTP:
192.168.1.100porta3128 - ✅ Selezionare "Usa questo proxy per tutti i protocolli"
- Fare clic su "OK"
🐧 Linux (proxy di sistema)
# Aggiungere a ~/.bashrc o /etc/environment
export http_proxy="http://192.168.1.100:3128"
export https_proxy="http://192.168.1.100:3128"
export ftp_proxy="http://192.168.1.100:3128"
# Con autenticazione
export http_proxy="http://user:password@192.168.1.100:3128"
# Applicare le modifiche
source ~/.bashrc
# Verifica
curl -I http://google.comNon volete occuparvi della configurazione?
Usate i proxy pronti di ProxyCove — senza installazione di server, senza configurazioni, senza mal di testa!
Registratevi con il codice promozionale ARTHELLO = bonus di $1.3
📖 Continua nella Parte 3: CCProxy e 3proxy per Windows, ispezione SSL, monitoraggio e risoluzione dei problemi
Proxy per Windows e monitoraggio
Parte 3: CCProxy e 3proxy per Windows Server. Ispezione SSL, monitoraggio del traffico, risoluzione dei problemi.
Parte finale | Tempo di lettura: 12 minuti
🪟 CCProxy per Windows Server
CCProxy è una popolare soluzione commerciale per Windows con interfaccia grafica. Ideale per amministratori che non vogliono addentrarsi nella riga di comando.
📥 Installazione di CCProxy
- Scarica dal sito ufficiale:
www.youngzsoft.net - Avvia l'installer
ccproxysetup.exe - Scegli la directory di installazione (default
C:\Program Files\CCProxy) - Dopo l'installazione, avvia CCProxy come amministratore
- Al primo avvio, seleziona l'adattatore di rete per il proxy
💰 Costo delle licenze (2025):
- Free: fino a 3 utenti (per test)
- Standard: $199 (fino a 100 utenti)
- Enterprise: $399 (fino a 500 utenti)
- Unlimited: $799 (senza limiti)
⚙️ Configurazione di base di CCProxy
1. Configurazione delle porte
- Menu Options → Advanced → Network
- Porta HTTP:
808(o standard 3128) - Porta SOCKS:
1080 - ✅ Abilitare i protocolli necessari (HTTP, HTTPS, SOCKS, FTP)
2. Aggiunta utenti
- Menu Account → New
- Inserire login:
ivan - Password:
SecurePass123 - IP consentiti (opzionale):
192.168.1.50 - Limite di velocità:
10 Mbps - Quota traffico:
50 GB/mese
3. Filtraggio siti
- Menu Options → Filter → Web Filter
- Scheda Banned Websites
- Aggiungere i domini uno per uno o importare una lista
- Esempi:
*.facebook.com,*.gambling.* - ✅ Enable Web Filter
4. Caching
- Menu Options → Advanced → Cache
- ✅ Enable Cache
- Cache Directory:
D:\CCProxyCache - Max Cache Size:
50 GB - Cache Time:
7 days
✅ Vantaggi di CCProxy
- ✅ Interfaccia grafica — configurazione in 5 minuti
- ✅ Statistiche integrate in tempo reale
- ✅ Gestione utenti con quote e limiti
- ✅ Filtraggio siti per categorie
- ✅ Supporto HTTP, HTTPS, SOCKS4/5, FTP, SMTP
- ❌ Licenza a pagamento (da $199)
- ❌ Solo per Windows
🔧 3proxy — Alternativa gratuita
3proxy è un potente server proxy open source gratuito. Funziona su Windows e Linux.
📥 Installazione di 3proxy su Windows
- Scarica:
github.com/3proxy/3proxy/releases - Estrai in
C:\3proxy - Crea il file di configurazione
3proxy.cfg - Installalo come servizio Windows
Esempio di configurazione 3proxy.cfg:
# Modalità demone
daemon
# File di log
log C:\3proxy\logs\3proxy.log D
logformat "- +_L%t.%. %N.%p %E %U %C:%c %R:%r %O %I %h %T"
# Utenti (username:password)
users ivan:CL:SecurePass123
users maria:CL:Pass456
# Consentiamo la rete locale
allow * 192.168.1.0/24
# Proxy HTTP sulla porta 3128
auth strong
proxy -p3128 -a
# Proxy SOCKS5 sulla porta 1080
socks -p1080 -aInstallazione come servizio Windows:
cd C:\3proxy
3proxy.exe --install
net start 3proxy🔐 Impostazioni di sicurezza aggiuntive
# Limitazione della velocità (1 MB/s per utente)
bandlimin 1024000
# Timeout delle connessioni
timeouts 10 30 30 60 180 1800 15 60
# Connessioni massime da un singolo IP
maxconn 50
# Blocco domini
deny * * *.facebook.com *
deny * * *.gambling.* *
# Consentire solo porte specifiche
allow * * * 80,443,21,22🔒 Ispezione SSL del traffico HTTPS
⚠️ Cos'è l'ispezione SSL
Per impostazione predefinita, il proxy vede solo il dominio della richiesta HTTPS, ma non il suo contenuto. L'ispezione SSL consente al proxy di decifrare il traffico HTTPS per filtrarlo e monitorarlo. Per fare ciò, il proxy agisce come intermediario con il proprio certificato SSL.
Configurazione dell'ispezione SSL in Squid
Passo 1: Generazione del certificato CA
# Creiamo la directory per i certificati
sudo mkdir -p /etc/squid/ssl_cert
cd /etc/squid/ssl_cert
# Generiamo la chiave privata
sudo openssl genrsa -out squid-ca-key.pem 4096
# Creiamo il certificato root
sudo openssl req -new -x509 -days 3650 -key squid-ca-key.pem \
-out squid-ca-cert.pem -utf8 \
-subj "/CN=Squid Proxy CA/O=Company Name/C=RU"
# Uniamo in un unico file
sudo cat squid-ca-cert.pem squid-ca-key.pem > squid-ca.pem
# Impostiamo i permessi
sudo chown -R proxy:proxy /etc/squid/ssl_cert
sudo chmod 400 squid-ca.pemPasso 2: Configurazione di squid.conf
# Porta HTTPS con SSL Bump
https_port 3129 intercept ssl-bump \
cert=/etc/squid/ssl_cert/squid-ca.pem \
generate-host-certificates=on \
dynamic_cert_mem_cache_size=16MB
# Regole SSL Bump
acl step1 at_step SslBump1
ssl_bump peek step1
ssl_bump bump all
# Directory per i certificati dinamici
sslcrtd_program /usr/lib/squid/security_file_certgen -s /var/lib/ssl_db -M 16MB
# Inizializzazione del database dei certificati
# sudo /usr/lib/squid/security_file_certgen -c -s /var/lib/ssl_db
# sudo chown -R proxy:proxy /var/lib/ssl_dbPasso 3: Installazione del certificato sui client
Copia squid-ca-cert.pem su tutti i computer e installalo nei certificati root attendibili:
- Windows: Doppio clic → Installa certificato → Autorità di certificazione radice attendibili
- macOS: Doppio clic → Portachiavi → Sempre attendibile
- Linux:
sudo cp squid-ca-cert.pem /usr/local/share/ca-certificates/ && sudo update-ca-certificates
⚠️ Aspetti legali
Importante: L'ispezione SSL può violare la privacy. Prima di implementarla:
✅ Informare i dipendenti del monitoraggio (requisito del Codice del Lavoro Russo)
✅ Inserire le regole negli atti locali dell'azienda
✅ Non decifrare siti bancari o medici
✅ Conservare i log in un luogo sicuro
📊 Monitoraggio e analisi dei log
Strumenti di monitoraggio popolari
SARG (Squid Analysis Report Generator)
Genera report HTML dai log di Squid: top siti, utenti, utilizzo del traffico.
sudo apt install sarg -y
sudo sarg
# Report in /var/www/html/squid-reports/Lightsquid
Script Perl leggero per la visualizzazione delle statistiche di Squid in tempo reale.
sudo apt install lightsquid -y
# Interfaccia web:
# http://192.168.1.100/lightsquidComandi utili per l'analisi dei log
# Top 10 siti più visitati
awk '{print $7}' /var/log/squid/access.log | sort | uniq -c | sort -rn | head -10
# Top 10 utenti per traffico
awk '{user[$8] += $5} END {for (u in user) print u, user[u]}' \
/var/log/squid/access.log | sort -k2 -rn | head -10
# Numero di richieste per ora
awk '{print $1}' /var/log/squid/access.log | cut -d: -f2 | sort | uniq -c
# Ricerca richieste di un utente specifico
grep "ivan" /var/log/squid/access.log | tail -50
# Statistiche per cache (HIT/MISS)
awk '{print $4}' /var/log/squid/access.log | sort | uniq -c
# Monitoraggio dei log in tempo reale
tail -f /var/log/squid/access.log | grep --color "TCP_DENIED"🔧 Risoluzione dei problemi tipici
❌ Problema: Il proxy non si avvia
Soluzione:
# Controlliamo la sintassi della configurazione
sudo squid -k parse
# Guardiamo i log degli errori
sudo tail -f /var/log/squid/cache.log
# Controlliamo i permessi delle directory
sudo chown -R proxy:proxy /var/log/squid /var/spool/squid❌ Problema: I client non riescono a connettersi
Soluzione:
- Verifichiamo il firewall:
sudo ufw allow 3128/tcp - Verifichiamo che Squid sia in ascolto sull'interfaccia corretta:
netstat -tlnp | grep 3128 - Controlliamo l'ACL in squid.conf (sottorete specificata correttamente)
❌ Problema: Lavoro lento / carico elevato
Soluzione:
- Aumentiamo
cache_mem(minimo 512MB) - Spostiamo la cache su un disco SSD veloce
- Limitiamo le connessioni massime:
http_access deny all maxconn 100 - Aumentiamo il numero di worker:
workers 4
❌ Problema: Alcuni siti non si aprono
Soluzione:
- Controlliamo i log:
tail -f /var/log/squid/access.log | grep DENIED - Disattiviamo SSL Bump per i siti problematici (banche, medicina)
- Aggiungiamo eccezioni alla ACL per una whitelist
❌ Problema: La cache non funziona
Soluzione:
# Controlliamo le statistiche della cache
squidclient -p 3128 mgr:info | grep "Request Hit Ratios"
# Se vediamo 0% - controlliamo i permessi sulla directory della cache
ls -la /var/spool/squid/
# Ricreiamo la struttura della cache
sudo systemctl stop squid
sudo rm -rf /var/spool/squid/*
sudo squid -z
sudo systemctl start squid🎯 Conclusioni e raccomandazioni
✅ Quando implementare un proxy locale
- ✅ Ufficio da 20+ dipendenti — il controllo degli accessi e il monitoraggio si ripagano
- ✅ Banda Internet limitata — il caching risparmia fino al 40% di traffico
- ✅ Requisiti di sicurezza — filtraggio di siti dannosi, protezione dalle perdite di dati
- ✅ Necessità di reportistica — log per sicurezza, HR, direzione
- ✅ Istituti scolastici — protezione dei minori, controllo degli accessi degli studenti
❌ Quando un proxy locale è eccessivo
- ❌ Piccolo ufficio (fino a 10 persone) — costi di amministrazione troppo elevati
- ❌ Assenza di personale IT — nessuno che gestisca e monitori il sistema
- ❌ Internet veloce e illimitato — il caching non offre vantaggi significativi
- ❌ Gestione di dati sensibili — l'ispezione SSL può violare la compliance
🔧 Raccomandazioni sulla scelta della soluzione
Scegliete Squid (Linux), se:
- Avete un amministratore Linux nello staff
- Avete bisogno delle massime prestazioni
- Il budget è limitato (soluzione gratuita)
- Richiedete una configurazione flessibile tramite file di configurazione
Scegliete CCProxy (Windows), se:
- L'infrastruttura è interamente basata su Windows Server
- Avete bisogno di un'interfaccia grafica senza riga di comando
- Avete budget per le licenze ($199-$799)
- Richiedete un'implementazione rapida (in 5-10 minuti)
Scegliete 3proxy, se:
- Avete bisogno di una soluzione leggera senza fronzoli
- Lavorate su Windows senza budget
- Richiedete solo filtraggio di base
- Non avete bisogno di caching o analisi avanzate
💡 Consiglio principale
Un server proxy locale è una soluzione infrastrutturale che richiede manutenzione costante. Se non avete uno specialista IT dedicato, considerate i servizi proxy cloud come alternativa. Vi risparmieranno la manutenzione dell'hardware e la configurazione di sistemi complessi.
Non volete complicarvi la vita con l'installazione?
Usate i proxy pronti di ProxyCove — senza installazione di server, senza configurazioni, senza stress!
Registratevi e ottenete un bonus di $1.3 con il codice promozionale ARTHELLO
Tariffe ProxyCove 2025:
📚 Risorse utili
📖 Documentazione Squid:
wiki.squid-cache.org
🔧 Sito ufficiale CCProxy:
www.youngzsoft.net
⚙️ 3proxy GitHub:
github.com/3proxy/3proxy
✅ Articolo completato! Avete imparato tutto sui server proxy per rete locale
Dalla teoria all'architettura, fino alla configurazione pratica di Squid, CCProxy e 3proxy.
Monitoraggio, ispezione SSL, risoluzione dei problemi — tutto in un unico posto.