servidor squid

Servidor Squid en Linux

Continuamos con la segunda parte de configuraci贸n de nuestro servidor Squid Proxy, a trav茅s de Webmin. Por fin entramos a la definici贸n de Listas de Control de Acceso. S茅pase que este es el componente m谩s importante del servidor Squid Proxy.

servidor squid

Tabla del Control de Acceso

En primer lugar, la base de operaci贸n es la confrontaci贸n de una ACL y componente de la red, en este caso de la URL que le solicitan los clientes. La autorizaci贸n o restricci贸n de la navegaci贸n, depende de la coincidencia de la ACL con una URL solicitada. Por lo tanto, las restricciones b谩sicas de navegaci贸n se aplican en las tres partes de una URL; en nombre de dominio, puerto y p谩gina. Para cada una existe una ACL correspondiente:

protocolo://dominio:puerto/p谩gina

Las ACLs m谩s usadas son las siguientes:

Expresi贸n Regular de Servidor Web: controla la parte del 芦servidor禄, generalmente es un nombre de dominio o direcci贸n IP p煤blica. Cualquier criterio espec铆fico en esta ACL, ser谩 tomada en cuenta para permitir o bloquear ese nombre de dominio.

Expresi贸n Regular de Ruta URL: controla la parte de 鈥減谩gina鈥. Cualquier criterio espec铆fico en esta ACL ser谩 tomada en cuenta para permitir o bloquear esa URL.

Puerto URL: controla la parte del puerto de escucha de ese servidor. Cualquier puerto exclu铆do de esta pol铆tica, ser谩 bloqueado por Squid.

 

En segunda instancia, y a manera opcional, entran en la l贸gica las ACLs de direcciones IP y MAC de cliente, as铆 como su nombre de host y autenticaci贸n por cuenta.

Configuraci贸n de restricciones


Paso 7 鈥 Comenzamos con nuestra primer pol铆tica que restrinje el acceso a algunos nombres de dominio. Hagamos que contenga palabras tales como 鈥淛uego鈥, 鈥淕ame鈥, 鈥渏ustin鈥, adem谩s t茅rminos como 鈥渧ideo鈥, 鈥減uritana鈥 y archivos 鈥渆xe鈥.

Llamemos a esta pol铆tica 芦prohibido芦. Aunque antes, debemos crear una ACL que declare al Proxy la existencia de nuestra red LAN. Para 茅ste ejemplo es la 192.168.0.0/24. En el men煤 contextual del lado del bot贸n 鈥Crear nueva ACL鈥 seleccionamos 鈥Direcci贸n de Cliente鈥 e introducimos la direcci贸n de red con su m谩scara.

servidor squid

servidor squid

Declarando la red

Seguidamente procedemos a crear la pol铆tica

servidor squid

Adicionando una restricci贸n

Creamos la ACL que contendr谩 los criterios que consideramos inapropiados en las p谩ginas. La llamaremos 鈥bloquea_archivos鈥, porque adem谩s de bloquear p谩ginas, tambi茅n podr谩 bloquear archivos por extensi贸n como ejecutables (.exe), m煤sica (mp3), v铆deos (mp4, avi, etc). As铆 evitaremos que los clientes est茅n descargando archivos que desestabilice su equipo de c贸mputo. Adem谩s evitamos que saturen el canal de Internet con descargas, seg煤n sea la pol铆tica de la empresa (aunque para p谩ginas SSL esta opci贸n no funciona).

servidor squid

Adicionando una segunda restricci贸n

Despu茅s, en la pesta帽a 鈥淩estricciones Proxy鈥, hacemos clic en 鈥淎帽adir restricci贸n proxy鈥, all铆 activamos el bot贸n 鈥淧ermitir鈥. Luego oprimiendo la tecla 鈥淐ontrol鈥, seleccionamos la ACL 鈥localnet鈥 seguida de las ACLs 鈥prohibido鈥 y 鈥bloquea_archivos鈥, despu茅s Guardamos.

servidor proxy

La pol铆tica queda as铆:

servidor proxy

Definici贸n de la pol铆tica

Podemos confirmar la pol铆tica reci茅n creada en el archivo de configuraci贸n de Squid. Recuerde que Webmin es s贸lo una interfaz gr谩fica y todo lo que mueva en el m贸dulo 鈥淪quid 鈥 Servidor Proxy鈥 se aplica en el archivo de configuraci贸n /etc/squid/squid.conf:

 

Bloquea lo que est茅 despu茅s del nombre del dominio (p谩gina):

acl 鈥渘ombre de la ACL鈥 urlpath_regex \.exe \.wmv

 

Bloquea lo que est茅 dentro del nombre de dominio (servidor):

acl 鈥渘ombre de la ACL鈥 dstdom_regex mp3 fotos

 

Restricci贸n con excepciones


Paso 8 – Vamos a crear una pol铆tica que bloquee la navegaci贸n de un conjunto de clientes, exceptuando el acceso a algunas p谩ginas. Las p谩ginas que vamos a exceptuar son: biblioteca.univalle.edu.co y books.google.es, entre otras. Llamaremos a esta pol铆tica 鈥bloquea_Internet_para鈥 y la creamos como 鈥淒irecci贸n de cliente鈥. Debemos introducir las direcciones IP de los clientes sin la m谩scara de red.

servidor squid

Definici贸n de los equipos a los que se le bloquear谩 el acceso a Internet

Luego creamos la ACL que contendr谩 los criterios de excepci贸n a la pol铆tica 芦bloquea_internet_para芦. La llamaremos 鈥excepto_estos_dominios鈥, y salvamos, as铆:

servidor proxy

 

En la pesta帽a 鈥淩estricciones Proxy鈥 activamos el bot贸n 鈥淒enegar鈥. De esta forma el servidor Squid deniega la navegaci贸n a las direcciones IP de clientes declaradas en la ACL 芦bloquea_internet_para芦. Luego, oprimiendo la tecla Control seleccionamos la ACL 鈥excepto_estos_dominios鈥, as铆:

servidor proxy

La pol铆tica queda as铆:

servidor proxy

Pol铆tica completa

 

ACL SSL_ports


En la ACL SSL_ports podemos adicionar puertos de navegaci贸n para que Squid pueda dar soporte a m谩s servicios. Por ejemplo, para habilitar Google Hangouts adicionamos aqu铆 el rango de puertos 19303:19308.

 

Podemos consultar m谩s sobre la configuraci贸n avanzada de Squid aqu铆

 

< Primera ParteTercera Parte >

 

 

 

Comparte esto en
Publicado en Servidor Proxy.

Deja una respuesta

Tu direcci贸n de correo electr贸nico no ser谩 publicada. Los campos obligatorios est谩n marcados con *