Beruflich Dokumente
Kultur Dokumente
Instalacin de SQUID3
Para proceder con la instalacin del servidor proxy, solamente debemos lanzar el
comando de instalacin:
sudo apt-get update
sudo apt-get install -y squid3
Configuracin del proxy
Lo primero que vamos a realizar es una copia de seguridad del archivo de configuracin
del proxy, para ello aplicamos este comando:
sudo cp /etc/squid3/squid.conf /etc/squid3/squid.conf .original
Una vez tengamos el back up del archivo editaremos el archivo de configuracin:
sudo nano /etc/squid3/squid.conf
Ahora vamos a realizar las siguientes bsquedas para editar las directrices del servicio,
estas bsquedas en el editor nano las realizaremos con las teclas ( CONTROL + W ).
http_port 3128 > en caso de querer usar otro puerto cambiar el 3128 por otro en
desuso
# cache_mem 256 MB > cache_mem 512 MB (Se debe quitar la almohadilla)
#cache_dir ufs /var > donde pone 100 pondremos 1000 (Se debe quitar la almohadilla)
Visible_hostname > en la lnea inferior escribiremos visible_hostname
NOMBRE_QUE_QUERAMOS.
Creando las reglas
Para ello buscaremos dentro del documento de configuracin la lnea, recommended
minimum configuration: y aadiremos los acl (access control o reglas de control de
acceso).
acl red_local src 192.168.1.0/24 # Definimos la red completa.
acl grupo1 src /etc/squid3/grupo1 # Definimos el archivo de IPs del grupo1.
acl webs_bloqueadas dstdomain /etc/squid3/webs_bloqueadas # Definimos el archivo
de los sitios web bloqueados.
Aplicando las reglas
Debemos buscar en el archivo de configuracion your own rule
Y pondremos lo siguiente:
http_access deny grupo1 webs_bloqueadas
http_access allow red_local
http_access deny all
Ya podemos guardar el documento y proceder a reiniciar el servicio
Creacin de los archivos grupo1 y webs_bloqueadas
Solo queda definir que equipos tendrn las restricciones y que pginas estarn
restringidas, vamos a ello
sudo nano /etc/squid3/grupo1
este archivo contendr las direcciones ip que no navegarn por toda la red
192.168.1.120
192.168.1.121
192.168.1.121
www.ask.es
www.es.ask.es
www.musica.com
www.abc.es
Reiniciar el servidor
sudo service squid3 restart
En este caso nuestro servidor proxy esta dispuesto con dos interfaces de red, la primaria
que posee conexin con el router y la secundaria o interna que tiene conexin con la
interfaz primaria y la red interna
Bien, ahora en el caso de que tengamos una red interna, lo primero que debemos realizar
es la configuracin en ip esttica del servidor para las dos interfaces de red que vamos a
necesitar.
address 192.168.1.135
network 192.168.1.0
netmask 255.255.255.0
broadcast 192.168.1.255
gateway 192.168.1.1
#####
auto eth1
address 10.0.0.1
network 10.0.0.0
netmask 255.255.255.0
broadcast 10.255.255.255
por ltimo vamos a permitir que el trafico http y https que bloquearemos despus no
requieran de configuracin en el navegador para ser bloqueadas
sudo iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128
sudo iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 443 -j REDIRECT --to-port
3128
Hay que decir que el direccionamiento del puerto 443 no hay que realizarlo en caso de
que no se valla a realizar la implementacin del certificado SSL para HTTPS.
Bloqueo de HTTPS
Para poder bloquear los sitios web https, se deben realizar 3 grupos de acciones
openssl req -new -newkey rsa:2048 -sha256 -days 365 -nodes -x509 -extensions v3_ca
-keyout myCA.pem -out myCA.pem
Para ello tendremos que tener el archivo myCA.der es un medio que podamos portar
entre los equipos clientes, un USB por ejemplo. Se debe acceder a la configuracin del
navegador, localizar la seccin de certificados HTTPS/SSL e importar el archivo
myCA.der.
Instalacin de dansguardian
Configuracin de dansguardian
sudo nano /etc/dansguardian/dansguardian.conf
y lo dejaremos as
language = 'spanish
filterport = 8080
proxyip = 10.0.0.0/8
proxyport = 3128