Nombre:

Rawel E. Luciano B.

Matricula:

2011-2281

Materia:

Sistema Operativo III

How to:

14- SERVIDOR PROXY SQUID

Profesor:

José Doñe

SERVIDOR PROXY SQUID

Un proxy es un punto intermedio entre un ordenador conectado a Internet y el servidor que está accediendo. Cuando navegamos a través de un proxy, nosotros en realidad no estamos accediendo directamente al servidor, sino que realizamos una solicitud sobre el proxy y es éste quien se conecta con el servidor que queremos acceder y nos devuelve el resultado de la solicitud. Durante el proceso ocurre lo siguiente:

Cliente se conecta hacia un Servidor Intermediario (Proxy).

Cliente solicita una conexión, fichero u otro recurso disponible en un servidor distinto.

Servidor Intermediario (Proxy) proporciona el recurso ya sea conectándose hacia el servidor especificado o sirviendo éste desde un caché.

En algunos casos el Servidor Intermediario (Proxy) puede alterar la solicitud del cliente o bien la respuesta del servidor para diversos propósitos.

Squid consiste de un programa principal como servidor, un programa para búsqueda en servidores DNS, programas opcionales para reescribir solicitudes y realizar autenticación y algunas herramientas para administración y herramientas para clientes. Al iniciar Squid da origen a un número configurable (5, de modo predefinido a través del parámetro dns_children) de procesos de búsqueda en servidores DNS, cada uno de los cuales realiza una búsqueda única en servidores DNS, reduciendo la cantidad de tiempo de espera para las búsquedas en servidores DNS. Squid ha sido desarrollado durante muchos años y se le considera muy completo y robusto. Aunque orientado a principalmente a HTTP y FTP es compatible con otros protocolos como Internet Gopher.

1- Para descargar e instalar el paquete SQUID, solo tienes que escribir; zypper

install squid y luego escribir y para aceptar la instalacion.

2- Ahora crearemos la lista de páginas que el servidor proxy bloqueará. Crearemos la lista dentro del directorio /etc/squid y ayudándonos con el editor vi, lo haremos de la siguiente manera: vi /etc/squid/prohibidas.

En este documento escribiremos las direcciones de las páginas web que será bloqueada por el servidor proxy.

3- Crea tu lista, según tus necesidades; luego haz click en Guardar y cierra la ventana. Ahora debemos de modificar el archivo que regula la configuración del servidor proxy –Squid. Para realizar este paso escribe /etc/squid/squid.conf. Ubícate al comienzo del documento y especifica lo que se muestra en la imagen.

http_port = Establece el puerto de escucha para squid, en este caso 3128 que es el puerto http (páginas web).

acl prohibidas = Indica la lista de acceso que se tomará en cuenta

url_regex “/etc/squid/prohibidas” = indica la ruta en donde se encuentra la lista de acceso, en este caso “prohibidas”

http_access deny prohibidas = Especifica que se deniegue el acceso al contenido que tiene “prohibidas”

4- Una vez hayas modificado el archivo squid.conf, procedemos a reiniciar el servidor proxy para que los cambios tengan efecto. Basta con escribir /etc/init.d/squid restart.

5- Vamos a probar que nuestro servidor proxy ha acogido nuestras restricciones. Abre tu navegador de internet, en mi caso es Mozilla. - Con el navegador abierto, haz click en Editar y luego en Preferencia.

6- Elige Avanzado – Red y luego haz click en Configuración…

7- La dirección IP que posee tú maquina (192.168.230.133) es la que pondrás como dirección proxy. Selecciona la opción “Configuración manual del proxy” y escribe la dirección ip de tu PC; en Puerto, escribe el que especificaste que fue 3128 y selecciona la casilla “Usar el mismo proxy para todo”.

Haz click en OK para que se efectúen los cambios. Ahora intenta entrar a una de las páginas que contiene el archivo “prohibidas”.

Probemos en un computador con Windows y que esté conectado a la red. Usando Internet Explorer, configura el proxy, haciendo click en Herramientas (Tools) y luego Opciones de internet (Internet Options). Selecciona la pestaña Conexiones (Connections) y luego haz click en Configuración de LAN (LANSettings).

Habilita la casilla ubicada en la sección de Proxy Server y escribe la dirección IP del servidor y Puerto.

Haz click en Aceptar, y prueba entrando a www.wikipedia.com, www.youtube.com, www.facebook.com .

Nota: Con esta configuración se bloquean las páginas de la lista.

Bloquear equipos con IP

Sí es posible bloquear la navegación a determinadas IPs o rangos de IPs. Sigue estos pasos: 1. Accede a la carpeta donde se encuentran los ficheros de configuración de Squid, normalmente en: /etc/squid Desde ahí crea un fichero con el nombre (por ejemplo): pc1, puedes hacer esto desde la línea de comandos con el comando:

2. En este fichero introduce todas las IPs de los equipos que quieras que no puedan navegar, cada IP en una línea, por ejemplo:

Guarda los cambios de este fichero pulsando :wq! y cierra vi pulsando Enter. 3. Edita ahora el fichero de configuración de Squid con el comando:

4. Busca las líneas donde hayas establecido los acl para especificar el rango de IPs que no podrán navegar (esto se lo harás en el inicio de la configuración de Squid). Añade un acl nuevo como por ejemplo: acl pc1 src "/etc/squid/pc1"

5. Ahora en la línea debajo vamos a indiciar como le bloqueamos el acceso a los equipos con el siguiente comando: http_access deny pc1

6. Guarda los cambios hechos en el fichero squid.conf de configuración de Squid pulsando :wq! y cierra vi pulsando Enter.

7. Para que los cambios se apliquen debes reiniciar el servicio de Squid, para ello puedes usar el comando Linux:

Comprobación

Para la comprobación utilizaré un cliente Windows. Ya con la certeza de que la dirección coincide con la especificada, tenemos que configurar el navegador, de la misma manera que lo hicimos para el bloque de las páginas Web.

Entra a una página web que no está en la lista como www.google.com y podemos comprobar que esta pc tiene la ip indica más arriba.

Ingresa de nuevo al archivo de configuración squid.conf, y escribe allow en vez de deny en la línea http_access deny pc1 y debe quedar haci.

Para que los cambios se apliquen debes reiniciar el servicio de Squid, para ello puedes usar el comando Linux:

Ahora vuelve al cliente, y haz un refresh (F5) a la página y observa al lado que aún tiene la misma ip.

Como verás ya se han eliminado las restricciones para este cliente cuya dirección es 192.168.230.131.

Bloquear acceso por día y hora

En esta parte del tutorial crearemos una lista de acceso (ACL) que entra en vigencia en ciertos horarios y en días específicos. Veamos cómo es la sintaxis. La sintaxis para crear Listas de control de acceso que definan horarios es la siguiente: acl [nombre del horario] time [días de la semana] hh:mm-hh:mm Los días de la semana se definen con letras, las cuales corresponden a la primera letra del nombre en inglés, de modo que se utilizarán del siguiente modo: S - Domingo M - Lunes T - Martes W - Miércoles H - Jueves F - Viernes A – Sábado Esta regla define a la lista días laborales, la cual comprende un horario de 01:00 a 1:30 horas desde el lunes hasta el viernes.

acl findesemana time SFA 01:00-1:30 Vamos a realizar este ejemplo, pero antes quiero recalcar que ustedes pueden acomodar los días y horas de acuerdo a sus necesidades, yo le he puesto solo media hora para la comprobación. Ya sabes tienes que escribir vi /etc/squid/squid.conf. 1- Primero comenta las políticas anteriores aplicadas y luego ubícala debajo; y escribe la configuración de acceso.

2- Guarda los cambios, y reinicia el servidor proxy para que los cambios tengan efecto.

Nota: Las horas están en un formato de 24 horas, por ejemplo 09:00 p.m => 21:00 3- Ve ahora a tu cliente, en mi caso sigo usando un cliente Windows. Intenta navegar, y como verás no está permitido, porque como puedes observar la hora del sistema es 1:04.

Después que pasan de las 1:10, haz un refresh (F5) la página, y verás como ya puedes navegar.

Otro ejemplo que mostraré será bloquear el acceso al dominio web .com en un determinado periodo de tiempo.

Este tipo de listas se aplican en las Reglas de Control de Acceso con una mecánica similar a la siguiente: se permite o deniega el acceso en el horario definido en la Lista de Control de Acceso denominada X para las entidades definidas en la Lista de Control de Acceso denominada Y. Lo anterior expresado en una Regla de Control de Acceso, queda del siguiente modo:

http_access [allow | deny] [nombre del horario] [lista de entidades]

1- Si se quiere establecer que los miembros de la Lista de Control de Acceso denominada luchtime tengan permitido acceder a páginas cuyo dominio sea .com en un horario que denominaremos como almuerzo, y que comprende de lunes a viernes de 12:00 a 14:00 horas. La definición para el horario correspondería a:

acl luchtime srcdomain .com

acl matutino time MTWHF 12:00-14:00

Y con esto hemos terminado con la práctica de SERVIDOR PROXY SQUID!