Nombres:

Félix Algherys P. Peña

Matrícula:

2011-1786

Materia:

SO3

Tema:

Proxy Squid

Instructor:

José Doñé

Servidor Proxy Squid Un proxy es un punto intermedio entre un ordenador conectado a Internet y el servidor que está accediendo. Cuando navegamos a través de un proxy, nosotros en realidad no estamos accediendo directamente al servidor, sino que realizamos una solicitud sobre el proxy y es éste quien se conecta con el servidor que queremos acceder y nos devuelve el resultado de la solicitud. Durante el proceso ocurre lo siguiente: -Cliente se conecta hacia un Servidor Intermediario (Proxy). -Cliente solicita una conexión, fichero u otro recurso disponible en un servidor distinto. -Servidor Intermediario (Proxy) proporciona el recurso ya sea conectándose hacia el servidor especificado o sirviendo éste desde un caché. -En algunos casos el Servidor Intermediario (Proxy) puede alterar la solicitud del cliente o bien la respuesta del servidor para diversos propósitos. Squid consiste de un programa principal como servidor, un programa para búsqueda en servidores DNS, programas opcionales para reescribir solicitudes y realizar autenticación y algunas herramientas para administración y herramientas para clientes. Al iniciar Squid da origen a un número configurable (5, de modo predefinido a través del parámetro dns_children) de procesos de búsqueda en servidores DNS, cada uno de los cuales realiza una búsqueda única en servidores DNS, reduciendo la cantidad de tiempo de espera para las búsquedas en servidores DNS.

1. El primer paso que realizaremos el ingresar a la terminal de comando en la cual vamos a descargar e instalar los paquetes de squid con el siguiente comando $ apt-get install squid. En mi caso aparece que ya he realizado la instalación.

2.

2. Luego pasamos a crear un documento en el cual agregaremos las direcciones la cuales vamos a negarle el acceso por el cliente. Lo hacemos ingresando el comando # gedit /etc/squid/prohibidas.

3. En este documento escribiremos las direcciones las cuales negaremos acceso.

4. Ahora debemos de modificar el archivo que regula la configuración del servidor proxy –Squid. Para realizar este paso escribe /etc/squid/squid.conf

5. Ubícate al final del documento y especifica lo que se muestra en la imagen.

http_port = Establece el puerto de escucha para squid, en este caso 8080 que es el puerto http (páginas web). acl prohibidas = Indica la lista de acceso que se tomará en cuenta url_regex */etc/squid/prohibidas* = indica la ruta en donde se encuentra la lista de acceso, en este caso “prohibidas” http_access deny prohibidas = Especifica que se deniegue el acceso al contenido que tiene “prohibidas”. 6. Una vez hayas modificado el archivo squid.conf, procedemos a reiniciar el servidor proxy para que los cambios tengan efecto. Basta con escribir /etc/init.d/squid restart

7. Vamos a probar que nuestro servidor proxy ha acogido nuestras restricciones. Abre tu navegador de internet, en mi caso es Iceweasel. Luego nos dirigimos a preferencia.

8. Elige Avanzado – Red y luego haz click en Configuración…

9. Debes de ingresar la dirección IP que posee tu servidor como dirección proxy. Selecciona la opción “Configuración manual del proxy” y escribe la dirección ip de tu PC; en Puerto, escribe el que especificaste que fue 8080 y selecciona la casilla “Usar el mismo proxy para todo.”

10. Haz click en Aceptar para que se efectúen los cambios. Ahora intenta entrar a una de las páginas que contiene el archivo “prohibidas”.

Probando en un computador con Windows y que esté conectado a la red. 11. Usando Internet Explorer, configura el proxy, haciendo click en Herramientas (Tools) y luego Opciones de internet (Internet Options).

12. Selecciona la pestaña Conexiones (Connections) y luego haz click en Configuración de LAN (LANSettings).

Aquí podemos ver el visible_hostname que ingresamos anteriormente. 13. Habilita la casilla ubicada en la sección de Proxy Server y escribe la dirección IP del servidor.

14. Haz click en Ok, y prueba entrando a www.youtube.com

Nota: Con esta configuración se bloquean todas las páginas.

Bloquear solo algunas páginas 15. En la terminal escribe gedit /etc/squid/squid.conf.

16. Localiza la línea que dice # INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS. Debajo de esta línea escribe algo similar a los que hicimos en la parte anterior. Vamos a utilizar la misma lista de acceso “prohibidas”. visible_hostname Microknoppix acl prohibidas url_regex “/etc/squid/prohibidas” http_access deny prohibidas 17. Más abajo ingresamos lo siguiente.

Lo cambiamos por esto.

18. Luego de haber realizado estas modificaciones, haz click en Guardar y cierra la ventana. De vuelta en la terminal debemos reiniciar el servidor proxy, escribiendo /etc/init.d/squid restart.

19. Antes de aplicar las políticas del proxy sobre nuestro cliente, vamos a probar que podemos acceder a las direcciones que estarán bloqueadas. Prueba que puede entrar a www.facebook.com

20. Ahora vamos a configurar el navegador Internet Explorer haciendo click en Herramientas – Opciones de Internet… después que confirmamos lo del servidor proxy intentamos acceder de nuevo y veremos que la pagina le ha sido negado el acceso.

21. Luego ingresamos a google.com la cual no tiene el acceso denegado y podemos comprobar que si funciona.

Bloquear equipos Para bloquear equipos, debemos configurar nuevamente el archivo squid.conf. En este negaremos la entrada a un solo equipo. Utilizando acl EQ2 src 192.168.1.16 este será el equipo que bloquearemos. 22. Ya con la terminal abierta, escribe gedit /etc/squid/squid.conf para modificar el archivo.

23. Ubica la línea que dice: # Adapt to list your (internal) IP networks from where browsing.

24. Debajo de esta lista crearemos la de nosotros empleando lo que he especificado al principio: acl EQ1 src 192.168.1.6 acl EQ2 src 192.168.1.16

25. Ahora tenemos que especificar que se deniegue el acceso http a ese equipo, y para llevar a cabo este paso debes localizar la línea # Adapt localnet in the ACL section to list your (internal) IP network, que está ubicada un poco más para abajo. En el cual agregaremos las direcciones indicando que la segunda (el equipo cliente tendrá activa la configuración de negación, ya que este no tiene el signo de # que deshabilita la función.

26. Una vez realizada esta configuración, es necesario reiniciar el servidor, utilizando la siguiente línea /etc/init.d/squid restart.

27. Nos dirigimos al equipo cliente en el cual confirmaremos la dirección ip que debe de ser 192.168.1.16.

28. Ya con la certeza de que la dirección coincide con la especificada, tenemos que configurar el navegador, de la misma manera que lo hicimos para el bloque de las páginas Web.

29. Tratamos de acceder a una página web y veremos que no podemos ya que tenemos negado ese permiso.

30. Para poder devolverle el permiso de poder acceder lo que haremos es ponerle el signo de # en la parte de EQ2.

31. Probamos de nuevo y podemos ver que ya si podemos acceder a la página deseada que en este caso es google.com.do.

Bloquear acceso por día y hora En esta parte del tutorial crearemos una lista de acceso (ACL) que entra en vigencia en ciertos horarios y en días específicos. Veamos cómo es la sintaxis. La sintaxis para crear Listas de control de acceso que definan horarios es la siguiente: acl [nombre del horario] time [días de la semana] hh:mm-hh:mm. Los días de la semana se definen con letras, las cuales corresponden a la primera letra del nombre en inglés, de modo que se utilizarán del siguiente modo: S - Domingo M - Lunes T - Martes W - Miércoles H - Jueves F - Viernes A – Sábado Esta regla define a la lista diaslaborales, la cual comprende un horario de 00:00 a 2:00 horas desde el lunes hasta el viernes. acl findesemana time SFA 20:00-22:00 nota: lo del horario hazlo referente a tu servidor ya que es desde este que funcionara la aplicación. Vamos a realizar este ejemplo, pero antes quiero recalcar que ustedes pueden acomodar los días y horas de acuerdo a sus necesidades, yo le he puesto solo media hora para la comprobación. Ya sabes tienes que escribir nano /etc/squid/squid.conf. 32. Ubica la parte que dice # INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS; y escribe la lista de acceso.

33. Ahora tenemos que especificar que se deniegue la navegación en ese horario; escribiendo la siguiente línea: http_access deny findesemana. Debes poner esta línea un poco más abajo.

34. El puerto de escucha que utiliza Squid es el 3128, así que para variar vamos a cambiar al 8080. Para lo cual debes de ubicar la siguiente línea dentro del archivo de configuración.

35. Guarda los cambios, y reinicia el servidor proxy para que los cambios tengan efecto.

36. Ve ahora a tu cliente, en mi caso sigo usando un cliente Windows. Intenta navegar, y como verás no está permitido ten siempre presente la hora y el día ya que esto funcionara dependiendo de los día y hora que hallas especificado.

Después que pase el tiempo el horario que asignaste podrás navegar de nuevo. Hasta aquí este

tutorial de squid en Knoppix espero que les haya servido de mucho.