Configuración Squid
of 8
-
Upload
maximiliano-garay -
Category
Documents
-
view
243 -
download
1
Transcript of Configuración Squid
1.SquidSquidesunproxyusadoenlossistemasoperativosbasadosenUNIX,queaceleraentremuchas otrasaplicacioneslanavegacinporInternetolarestriccinaciertossitiospormediodesufiltro Squidguard. AcontinuacinsedescribelaconfiguracindeunProxytransparenteusandoSquid2.4.66ySquid Guard1.2.01paraDebianWoody. ElarchivodeconfiguracindeSquidenDebianseencuentraen/etc/squid.conf,aunquealgunas configuracionesadicionalesseguardaneneldirectorio/etc/squid.Elarchivosquid.confse encuentramuybiendocumentando,asquesiquierehacerconfiguracionesadicionalesalasque aqusenombrantodoseracuestindeleeratentamente. Laprimeraopcinqueapareceesladelpuertopordondesquidvaaescucharlaspeticionesdelos usuarios,pordefectotieneelpuerto3128yaunqueenalgunadocumentacinrecomiendanusarel puerto8080paraunproxytransparente,sedejaralaconfiguracinpordefecto.#Default: #http_port 3128
Elsiguienteparmetroescuantamemoriasequieredaralcache,pordefectoviene8MB,locual seriarecomendablemodificaraunos16MBomas.cache_mem 16 MB
Despusdehabermodificadolamemoriaesnecesariomirarcuantoespaciodeseaalmacenarenel discoduropordefectoSquidalmacena100MB,locualesadecuadoparaunaredpequea,perosi setratadeampliarelespaciotodoescuestindemodificarlalineadecache_dir...,peroteniendoen cuentasieltamaoqueseestableceessuperioralfsicoreal,muyseguramenteSquidse bloqueara.# cache_dir ufs /var/spool/squid 100 16 256 cache_dir ufs /var/spool/squid [loQueDesee] 16 256
1.1.ListasdecontroldeaccesoACLEstaspermitendecidirquienestienenaccesoaSquidyquienesno,aquepaginaspuedenyacuales no,Squidpordefectoestableceunaconfiguracinmnima,quesepuedecambiarsegnlas necesidades. Apartedequeseriabuenosacarunacopiadelsquidanterior,seriarecomendablenomodificarlas siguienteslineas.#Recommended minimum configuration: acl all src 0.0.0.0/0.0.0.0 acl manager proto cache_object acl localhost src 127.0.0.1/255.255.255.255 acl SSL_ports port 443 563
acl acl acl acl acl acl acl acl acl acl acl acl acl acl acl acl
Safe_ports port 80 Safe_ports port 21 Safe_ports port 443 563 Safe_ports port 80 Safe_ports port 21 Safe_ports port 443 563 Safe_ports port 70 Safe_ports port 210 Safe_ports port 1025-65535 Safe_ports port 280 Safe_ports port 488 Safe_ports port 591 Safe_ports port 777 Safe_ports port 901 purge method PURGE CONNECT method CONNECT
# # # # # # # # # # # # # #
http ftp https, snews http ftp https, snews gopher wais unregistered ports http-mgmt gss-http filemaker multiling http SWAT
DespusdelaultimalineaseempiezaamodificarlaconfiguracindeSquid.Loprimeroquese determinaesquienestienenaccesoaeste.acl lan src 192.168.0.0/255.255.0.0
SedefiniunalistadecontroldeAccesollamadalan,lacualledaaccesoalSquidacualquier mquinaquetengaI.P192.168.*.*conmascaradesubred255.255.255.255. LaanterioresunaformamuysencilladeACLmasnolanicamaneradeusarlas,tambinsepuede daraccesoaciertoscomputadoresqueseencuentrenenunarchivollamado/etc/squid/listaacl listado src "/etc/squid/lista"
Unejemplobsicodelarchivopuedeser.192.168.3.1 192.168.3.2 192.168.3.3 192.168.3.4 192.168.3.5
Elanteriorarchivonosolopuedeservirparadaraccesoaciertasmquinas,sinotambinpara restringirlo. DeigualmaneracomosepuededaroquitarelaccesodeciertoscomputadoresaSquid,tambinse puedeconstruirlistasquepermitanonoelaccesoaciertaspaginascondeterminadaspalabrasensu dirreciones.acl negados url_regex "/etc/squid/denegados"
sexo hotmail porno
AunqueSquid.confsirveparaponerrestricciones,puedesermaspracticousarel
filtrodeSquidGuard.
1.2.ReglasdecontroldeaccesoAlhaberdefinidolasListasdeControldeacceso,sedebedeciraSquidcomolasdebeusar. Laslineasquesedebenconservarson:http_access allow localhost #Aqu le doy permiso de usar Squid al computador Local . . . . http_access deny all # Se le niega el permiso al resto de mquinas.
Ahorasisedecidedaraccesoalalistadecontrollan,quedaraas.http_access allow localhost #Aqu le doy permiso de usar Squid al computador Local http_access allow lan http_access deny all#Se le niega el permiso al resto de las mquinas.
Sisequierequitarelaccesoalalistadecontrol"listado".http_access allow localhost #Aqu le doy permiso de usar Squid al computador Local http_access allow lan !listado http_access deny all #Se le niega el permiso al resto de las mquinas.
Parabloquearlaspaginasqueestnenlalistadecontrol"negados".http_access computador Local. http_access http_access http_access allow localhost #Aqu le doy permiso de usar Squid al deny negados allow lan deny all #Se le niega el permiso al resto de las mquinas.
1.3.ProxyaceleradoEnestaparteseconfiguraparaqueSquidseaunProxyaceleradoytransparente. EnlaparteHTTPDACCELERATOR,seponelossiguiente:# HTTPD-ACCELERATOR OPTIONS # ----------------------------------------. . . httpd_accel_host virtual httpd_accel_port 80 . .
. httpd_accel_with_proxy on . . . httpd_accel_uses_host_header on
1.4.ConfigurarelidiomadelosmensajesdeerrorUnavezterminadalaconfiguracinysetratedeentraraalgunapaginavetada,proxyenviaraun mensaje.PordefectoestevieneenIngles,perosisedeseaqueestesalgaenespaol,esmuy sencillo.cd /etc/squid rm -rf errors ln -s /usr/lib/squid/errors/Spanish errors
1.5.TerminarconfiguracinParaterminarseusaelsiguientecomandoparaquelospaquetesquevengandeeth0condestinoal puerto80,vayanalpuerto3128yconestoelproxyseatransparente.iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --toport 3128
EsnecesarioreiniciarSquidyprobarsiestafuncionando,unabuenaformadehacerloestratando deentrarapaginasrestringidas./etc/init.d/squid restart
2.ConfiguracinSquidGuardElprimerpasoesverificarqueelprogramaSquidGuardesteinstaladoensucomputadoryluego modificarelarchivo/etc/squid.confenlapartederedirect_program,paraquequedeas:redirect_program /usr/bin/squidGuard -c /etc/squid/squidGuard.conf
ElarchivodeconfiguracindeSquidGuardseencuentraen/etc/squid/squidGuard.confytieneel siguienteencabezado:dbhome /var/lib/squidguard/db logdir /var/log/squid
Estasdoslineasmuestranlasrutasdedosdirectoriosquesonimportantes,yaqueenelprimerase almacenanlaslistasdepaginasprohibidasyenlasegundasquidmandamensajesquesernde
muchaayudaenelusodeSquidGuard. AunqueSquidGuardofrecevariostiposdeconfiguracin,ahorasolosevaaverlaconcernientesa laprohibicindeciertosgruposdepaginas.AligualqueconSquidsenecesitacrearunalistaen dondeestnlasdiferentespaginasalasqueselesquieredenegarelacceso,estascomosedijovana quedarguardadasen/var/lib/squidguard/dbendiferentesdirectoriosalusivosalcontenidodela pagina,entreestosseencuentran:ads,aggressive,audiovideo,hacking,porn,entreotras.Aunque estaslistaspuedensercreadasamanoesrecomendableusarlistasyaconstruidas,comolaquese encuentranenhttp://www.squidguard.org/blacklists.
2.1.UsandoBlacklists1. LoprimeroquetocahaceresbajarlalistadeInternetycolocarlaen/var/lib/squidguardcd /var/lib/squidguard wget http://ftp.teledanmark.no/pub/www/proxy/squidGuard/contrib/blacklists.tar.g z
2. Sisetieneunalistaanterioresbuenorenombrarlacomodb2,luegosedescomprimeel .tar.gz,loquegeneraundirectoriollamadoblacklists,esteasuvezdebeserrenombrado comodb.mv db db2 tar zxvf blacklists.tar.gz mv blacklists db rm blacklists.tar.gz chown -R proxy:proxy db
3. Desdeelarchivo/etc/squid/squidGuard.confenlapartede#DESTINATIONCLASSES,se agregadestads...,concadaunodelosdirectoriosquetienedb.dest ads { domainlist ads/domains urllist ads/urls } . . . . dest warez { domainlist warez/domains urllist warez/urls }
Cuandoseescribeads/domains,significaqueeneldirectoriodb/ads, existeunarchivollamadodomains,asquesicomoenmailsolotienea
domains,nosedebecolocarlapartedeurls. 4. AhorasevanaconfigurarlasreglasdecontroldeAccesodeunamanerasimpledeacuerdo alaslistasanteriormentedefinidas.acl { default { pass !ads !aggressive !drugs !gambling !hacking proxy !violence !warez all redirect http://www.gfc.edu.co/prohibida.php } } !mail !porn !
Lapartederedirect...,enrutadeunapaginaprohibidaalapaginaqueseleespecifique. 5. PorultimosereiniciaelserviciodeSquid,con/etc/init.d.... ParasabersiSquidGuardquedocorrectamenteconfigurado,sedebeverelarchivology debemandarunmensajesimilar.
tail -f /var/log/squid/squidGuard.log &
2003-08-13 08:37:04 [10569] init domainlist /var/lib/squidguard/db/warez/domains 2003-08-13 08:37:04 [10569] init urllist /var/lib/squidguard/db/warez/urls 2003-08-13 08:37:04 [10569] squidGuard 1.2.0 started (1060781812.364) 2003-08-13 08:37:04 [10569] recalculating alarm in 28376 seconds 2003-08-13 08:37:04 [10569] squidGuard ready for requests (1060781824.719) administrador:/var/lib/squidguard#
El sistema operativo que se usa para el servidor squid es Fedora 7 . 1)INSTALAR: Instalacinde squid : #yum install squid Instalacion de Apache #yum install httpd Instalacion de squidGuard #yum install squidGuard 2)CONFIGURACION Configuracin de squid (/etc/squid/squid.conf= #redireccionamos hacia el squidGuard para que se encargue de las listas de acceso redirect_program /usr/bin/squidGuard c /etc/squid/squidGuard.conf #http_port 80 #aadir el rango de ip, que tendran conexin hacia Internet usando el Proxy squid acl ieshosts src 172.17.0.0/172.17.255.255 #autorizar conexin hacia Internet http_access allow ieshosts Configuracin de SquidGuard (/etc/squid/squidGuard.conf) #directorios de configuracin NO modificar viene por defecto
#grupo de direcciones Ejem: dest porn { #la direccion por defecto es /var/squidGuard/blacklist donde porn debe ser el nombre de #la carpeta que contenga a el archivo domain domainlist porn/domain #la direccion por defecto es /var/squidGuard/blacklist donde porn debe ser el nombre de #la carpeta que contenga a el archivo urls urllist porn/urls #la direccion por defecto es /var/squidGuard/blacklist donde porn debe ser el nombre de #la carpeta que contenga a el archivo urls expresinlist porn/expressions } #control de acceso acl { bloqueados { pass porn all redirect http://127.0.0.1:8080/index.html } no bloqueados{ pass none } } Cerrar y guardar el archivo Configuracin de Apache (/etc/httpd/conf/httpd.conf) #cambiar de puerto Listen 8080 Guardar y cerrar el archivo
