Shorewall Squid y Dansguardian

download Shorewall Squid y Dansguardian

of 10

description

Manual de instalación de squid, dansguardian y shorewall

Transcript of Shorewall Squid y Dansguardian

Shorewall, Squid y Dansguardian

shorewall, squid y dansguardian

Implementacin

ShorewallPara instalar este firewall en Ubuntu el comando sera:

sudo apt-get install shorewall

Shorewall se configura por medio de los ficheros de configuracin situados en/etc/shorewallvamos a conocer estos ficheros y sus caractersticas.

/etc/shorewall/shorewall.conf

Dentro de este archivo se configuran varios parmetros los ms relevantes son los siguientes:

STARTUP_ENABLED

Hay que poner el valor en Yes o yes para que el firewall funcione:

ADMINISABSENTMINDED

Esta variable si la configuramos en No o no establece que cuando paremos el firewall solo se permiten las conexiones hacia o desde las direcciones que tengamos puestas en el archivo /etc/shorewall/routestopped. Si est configurado en Yes o yes adems las conexiones que estuviesen activas cuando detuvimos el firewall seguirn funcionando y todas las conexiones que se establezcan con la maquina en la que configuramos shorewall sern aceptadas.

IP_FORWARDING

Establece cuando lo configuramos en On si el firewall enruta o no los paquetes IPv4. Este parmetro es importante para que los equipos de la red interna puedan acceder al exterior.

/etc/shorewall/zones

En este archivo se definen cuantas interfaces o zonas tiene el firewall. Cada red que queramos unir por medio del firewall la consideramos una zona, la primera zona seria el propio firewall, otra zona seria la LAN, otra la zona wifi, otra la DMZ (zona desmilitarizada para los servidores) y una la ltima zona sera internet.

Ejemplo de este fichero para que el firewall conecte una red a internet, tres zonas, firewall, LAN e internet:# ZONE TYPE OPTIONS IN OUT# OPTIONS OPTIONSFw firewall # define el firewallnet ipv4 # define internet WANloc ipv4 # define la red de rea local LAN

/etc/shorewall/interfaces

Aqu se establecen las tarjetas de red, interfaces, que el firewall va a utilizar y se les asigna la zona en la cual van a estar cada una de ellas. Adems se identifican ciertas propiedades respecto de la interpretacin de los paquetes que ingresan o salen por esa interfaz.Ejemplo de este fichero para que el firewall conecte una red a internet, tres zonas, firewall, LAN e internet:

#ZONE INTERFACE BROADCAST OPTIONSnet eth0 detect dhcp,tcpflags,routefilter,nosmurfs,logmartians,blacklistloc eth1 detect tcpflags,nosmurfs,blacklist

/etc/shorewall/policy

Aqu se definen las polticas por defecto de qu hacer con los paquetes que viajan entre las diferentes zonas.Las posibles polticas son:

ACCEPT: Se acepta la conexin DROP: Se ignora la conexin REJECT: Se rechaza explcitamente la conexin QUEUE: Enviar el pedido a una aplicacin con el target QUEUE. CONTINUE: Dejar que el pedido de conexin contine para ser procesador por otras reglas. NONE: Se asume que esta conexin no puede darse y no se generan reglas al respecto.

Ejemplo de este fichero para que el firewall conecte una red a internet, tres zonas, firewall, LAN e internet:

# origen destino poltica loglevel limite:rafagaloc net ACCEPT # permitimos trfico de la red local a internet.net all DROP info # Ignoramos las conexiones que desde internet quieran hacer a la red local Y las registramos en el log.all all REJECT info # Rechazamos cualquier otra conexin que no est recogida en la parte superior y la registramos.

/etc/shorewall/rules

Aqu se define la apertura de puertos. Tambin se definen las reglas de DNAT y registro de ciertos paquetes.Ejemplo de este fichero para que el firewall conecte una red a internet, tres zonas, firewall, LAN e internet:

# Accin Origen Destino Protocolo Puerto Destino Puerto Origen Destino Original Tasa/LimiteSSH/ACCEPT lan $FW # Aceptamos conexiones ssh desde la LAN al firewall (sino a ver como lo configuramos)RDP(DNAT) net loc:192.168.1.23 # redireccionamos el servico RDP puerto 3389 a la ip de la LAN 192.168.1.23ACCEPT $FW loc icmp # Permitimos ping desde el firewall a la LAN ACCEPT $FW net icmp # Permitimos ping desde el firewall a internet

/etc/shorewall/masq

Este archivo se utiliza para definir masquerading y SNAT. Configuramos las redes que quieren conectarse a Internet a travs de un firewall.Ejemplo de este fichero para que el firewall permita a la LAN (eth1) conectarse a internet (eth0):

# Interfaz Subred Direccin Protocolo Puertos IPSECeth0 eth1

Son todos los archivos creados y modificados para el funcionamiento del shorewall.

Aceptamos o negamos las conexiones hacia el firewall o red o localmente y el puerto que activara de la siguiente manera:

SQUIDAhora procederemos a instalar el Servicio llamado SQUID3, para ellos utilizaremos el siguiente comando:

apt-get install squid3

Una vez instalado modificamos el archivo squid.conf que se encuentra en la siguiente ruta:

cd /etc/squid3/squid.conf

Ingresamos nuestra IP y el puerto por el que escuchara y lo volvemos transparente de la siguiente manera:

Ahora crearemos unos archivos de lo que se va permitir y a negar dentro de este archivos tambin creamos las IP de las direcciones de nuestras dos interfaces. Creamos un archivo llamado nopermitido y ah agregamos lo que denegaremos:

En este archivo squid.conf agregaremos la ruta de lo que queremos denegar, en la cual hacemos referencia al archivo previamente creado, y que denegaremos todo lo que se encuentre en l, eso lo haremos de la siguiente manera:

En este archivo tambin encontramos la denegacin de Facebook a ciertas horas, y as como le hicimos con lo que queremos denegar, tambin crearemos un archivo de extensiones con el cual denegaremos las descargas dependiendo de las extensiones de los archivos. Cabe mencionar que las letras MTWHF son las iniciales de los das de la semana en ingls. A continuacin tambin a las listas de acceso las permitiremos de la siguiente manera:

Una vez editado la pgina de error que arrojara en el navegador que se encuentra en esta direccin:

Usr/share/squid3/errors/en/ERR_ACCESS_DENIED

DansguardianPara poder instalar el Servicio del Dansguardian, entonces vamos a ejecutar el siguiente comando en superusuario:

apt-get install dansguardian

En el archivo dansguardian.conf configuraremos los puertos por los que escuchara y por el que transmitir hacia el proxy del squid:

Entonces nos moveremos al siguiente directorio para bloquear los sitios:

Cd /etc/dansguardian/lists/bannedsitelist

Y nuestro archivo quedara de la siguiente manera:

Para el bloque de palabras se edita el archivo:

Cd /etc/dansguardian/lists/bannedphraselist

Entonces si agregamos un espacio a nuestra palabra, quiere decir que bloquee todo lo que tenga esa palabra, y as mismo podemos editar la pgina Web que se va a mostrar: