Servidor Squid en Linux
Continuamos con la segunda parte de configuración de nuestro servidor Squid Proxy, a través de Webmin. Por fin entramos a la definición de Listas de Control de Acceso. Sépase que este es el componente más importante del servidor Squid Proxy.
Tabla del Control de Acceso
En primer lugar, la base de operación es la confrontación de una ACL y componente de la red, en este caso de la URL que le solicitan los clientes. La autorización o restricción de la navegación, depende de la coincidencia de la ACL con una URL solicitada. Por lo tanto, las restricciones básicas de navegación se aplican en las tres partes de una URL; en nombre de dominio, puerto y página. Para cada una existe una ACL correspondiente:
protocolo://dominio:puerto/página
Las ACLs más usadas son las siguientes:
Expresión Regular de Servidor Web: controla la parte del «servidor», generalmente es un nombre de dominio o dirección IP pública. Cualquier criterio específico en esta ACL, será tomada en cuenta para permitir o bloquear ese nombre de dominio.
Expresión Regular de Ruta URL: controla la parte de “página”. Cualquier criterio específico en esta ACL será tomada en cuenta para permitir o bloquear esa URL.
Puerto URL: controla la parte del puerto de escucha de ese servidor. Cualquier puerto excluído de esta política, será bloqueado por Squid.
En segunda instancia, y a manera opcional, entran en la lógica las ACLs de direcciones IP y MAC de cliente, así como su nombre de host y autenticación por cuenta.
Configuración de restricciones
Paso 7 – Comenzamos con nuestra primer política que restrinje el acceso a algunos nombres de dominio. Hagamos que contenga palabras tales como “Juego”, “Game”, “justin”, además términos como “video”, “puritana” y archivos “exe”.
Llamemos a esta política «prohibido«. Aunque antes, debemos crear una ACL que declare al Proxy la existencia de nuestra red LAN. Para éste ejemplo es la 192.168.0.0/24. En el menú contextual del lado del botón “Crear nueva ACL” seleccionamos “Dirección de Cliente” e introducimos la dirección de red con su máscara.
Declarando la red
Seguidamente procedemos a crear la política
Adicionando una restricción
Creamos la ACL que contendrá los criterios que consideramos inapropiados en las páginas. La llamaremos “bloquea_archivos”, porque además de bloquear páginas, también podrá bloquear archivos por extensión como ejecutables (.exe), música (mp3), vídeos (mp4, avi, etc). Así evitaremos que los clientes estén descargando archivos que desestabilice su equipo de cómputo. Además evitamos que saturen el canal de Internet con descargas, según sea la política de la empresa (aunque para páginas SSL esta opción no funciona).
Adicionando una segunda restricción
Después, en la pestaña “Restricciones Proxy”, hacemos clic en “Añadir restricción proxy”, allí activamos el botón “Permitir”. Luego oprimiendo la tecla “Control”, seleccionamos la ACL “localnet” seguida de las ACLs “prohibido” y “bloquea_archivos”, después Guardamos.
La política queda así:
Definición de la política
Podemos confirmar la política recién creada en el archivo de configuración de Squid. Recuerde que Webmin es sólo una interfaz gráfica y todo lo que mueva en el módulo “Squid – Servidor Proxy” se aplica en el archivo de configuración /etc/squid/squid.conf:
Bloquea lo que esté después del nombre del dominio (página):
acl “nombre de la ACL” urlpath_regex \.exe \.wmv
Bloquea lo que esté dentro del nombre de dominio (servidor):
acl “nombre de la ACL” dstdom_regex mp3 fotos
Restricción con excepciones
Paso 8 – Vamos a crear una política que bloquee la navegación de un conjunto de clientes, exceptuando el acceso a algunas páginas. Las páginas que vamos a exceptuar son: biblioteca.univalle.edu.co y books.google.es, entre otras. Llamaremos a esta política “bloquea_Internet_para” y la creamos como “Dirección de cliente”. Debemos introducir las direcciones IP de los clientes sin la máscara de red.
Definición de los equipos a los que se le bloqueará el acceso a Internet
Luego creamos la ACL que contendrá los criterios de excepción a la política «bloquea_internet_para«. La llamaremos “excepto_estos_dominios”, y salvamos, así:
En la pestaña “Restricciones Proxy” activamos el botón “Denegar”. De esta forma el servidor Squid deniega la navegación a las direcciones IP de clientes declaradas en la ACL «bloquea_internet_para«. Luego, oprimiendo la tecla Control seleccionamos la ACL “excepto_estos_dominios”, así:
La política queda así:
Política completa
ACL SSL_ports
En la ACL SSL_ports podemos adicionar puertos de navegación para que Squid pueda dar soporte a más servicios. Por ejemplo, para habilitar Google Hangouts adicionamos aquí el rango de puertos 19303:19308.
Podemos consultar más sobre la configuración avanzada de Squid aquí
< Primera Parte – Tercera Parte >
Comparte esto en
