• ConfigurarProxySquid

Un proxy es un programa que permite a todos los computadores de una red navegar por Internet, es decir, habilitar el puerto 80 en una máquina y permitir que otros computadores de la Intranet se conecten a Internet. Esto es útil cuando se requiere que los estudiantes en una sesión de clase se concentren en la actividad y no se distraigan con otras páginas de Internet.

En este documento se mostrará cómo se puede zonificar una red para permitir que ciertos clientes puedan acceder a Internet, mientras que otros no y posibles mecanismos para lograrlo.

Se asume que usted ha podido configurar a squid como proxy de su red, se recomienda que sea un proxy caché para además almacenar las páginas frecuentemente visitadas. Esto permitirá optimizar su ancho de banda.

Ofreceremos archivos de configuración y scripts para una red en la cuál hay algunos computadores que desearíamos que permanentemente se comuniquen con Internet y otros que vamos a permitir que naveguen en ciertos momentos.

La idea es que un profesor pueda aplicando un comando hacer que una porción de la red quede con ciertas políticas mientras que otra parte de la red tenga otras frente a Squid.

Información previa sobre la red

Para este ejemplo particular, asumiremos que la red está conformada por :

Sala de estudiantes que restringiremos

Computadores 192.168.3.1 , 192.168.3.2 , ... , 192.168.3.11 , 192.168.3.12

Otros computadores

192.168.3.65 192.168.3.64 192.168.3.66 192.168.3.67 192.168.3.68 192.168.3.69

Colocar los dos listados de archivos en sendos archivos lista y abiertos respectivamente.

Explicación de configuraciones

Hay dos tipos de reglas fundamentales para entender las listas de control de acceso y las reglas de uso del protocolo, las acl iniciarán con acl, mientras que las reglas del uso comenzarán con http_access

ACLs para Squid

Las ACL(Listas de control de acceso) permiten restringir o habilitar secciones de la red, tipos de aplicación, páginas del exterior y dependerá de la habilidad del administrador para lograr los efectos deseados, al principio no serán muy sencillas de administrar, pero con la ejercitación se lograrán buenos resultados.

Es posible con las ACL además filtrar por tipo de archivo, o por expresiones regulares las páginas que se desea visitar, por ejemplo, se puede hacer que con la directiva, por ejemplo, a continuación se define una regla llamada bloquear que revisa si los archivos son .swf o .exe , para evitar que lleguen virus o juegos indeseados.

• acl bloquear urlpath_regex -i \.exe$ \.swf$

Estas dos siguientes definirían las redes 192.168.2.* y 192.168.4* con los nombres lan2 y lan4 respectivamente.

acl lan2 src  192.168.2.0/255.255.255.0
acl lan4 src  192.168.4.0/255.255.255.0

En nuestro ejemplo listado en información previa sobre la red, bautizaríamos a las acl con los nombres lan3 y listado respectivamente :

acl lan3 src "/etc/squid/abiertos"
acl listado src "/etc/squid/lista"

Podríamos incluso colocar sitios que desearíamos tener siempre posibilidad de visitar, por ejemplo con expresiones regulares de sitios que permitiremos sean navegados sin restricción, colocaremos a uno por cada línea del archivo:

 acl permitidos url_regex "/etc/squid/permitidos"
 acl internos url_regex "/etc/squid/apropiados"

Y otros que no deseamos nunca sean visitados, como páginas de pornografía, sitios que no tienen ningún interés en formación, como páginas dedicadas a información de farándula...

• acl negados url_regex "/etc/squid/denegados"

http_access

Una vez que hemos bautizado cada una de las reglas y sabemos qué queremos hacer, podemos dar acceso a redes completas con criterios de visibilidad con la directiva http_access y para nuestro ejemplo concreto :

http_access deny negados
http_access deny bloquear
http_access allow all permitidos
http_access allow lan3
http_access allow listado internos
http_access deny listado all
http_access deny all

Que explicado sería :

• eliminamos cualquier oportunidad de visitar las páginas listadas en /etc/squid/denegados

• impedimos que bajen archivos .exe o .swf
• permitimos a todos navegar en pemitidos
• ofrecemos permiso para navegar a lan3
• permitimos a los de listado navegar únicamente en internos
• quitamos cualquier otro sitio para navegar a listado
• ninguna otra red puede navegar.

Nota: Dependiendo del orden que coloquemos las reglas, squid los ejecutará de la misma forma, tenga cuidado por que algunas reglas son nesesarias antes que otras, ejemplo si queremos que archivos *.swf de la lista de apropiados se puedan ver pero no los archivos de los demas sitios se debe colocar primero la regla de apropiados y luego la de los extensiones denegados.

http_access deny negados
http_access allow all permitidos
http_access deny bloquear

scripts

Los scripts lo único que harán es reemplazar el archivo /etc/squid/squid.conf por archivos que habiliten o no las reglas de http_access que tengan relación con listado.

Uso de scripts

Autores

• Igor Támara

Bibliografía

• Posibilidades de un proxy

• Proxy transparente

• aprender sobre scripts