Tenemos el siguiente ejercicio a realizar implementando Squid:
Ejercicio
Politicas de seguridad
Restringir el uso de Internet
1. Crear listas negras (archivos) para bloquear los siguientes contenidos.
Porno ---> para cada categoria se debe crear una lista negra. Cada archivo tendra
Chat al menos dos registros
Correos
Deportes
Descargas
Juegos
2. Bloquear a todos los usuarios en la red la negacion de los usuarios en las listas negras.
3. Bloquear a todos los usuarios las descargas y reproduccion de archivos .exe .mp3 .mpg .wav .iso .zip .rar.
4. La negacion debe restringirse a horarios locales de lunes a viernes de 8 a 12 am y de 1 a 4:30 pm.
5. Existe un usuario sin ninguna sin ninguna restriccion 10.3.6.208.
6. Los usuarios de la red pueden acceder a paginas de correo gratuito y chat solamente solamente en el horario del almuerzo --> 12:00-13:00.
7. Configurar su maquina para que trabaje como proxy-transparente.
Solucion
Este es el archivo de configuracion final de este ejercicio:
http_port 10.3.6.216:3128 transparent
icp_port 0
cache_mem 32 MB
cache_dir ufs /var/spool/squid 800 16 256
cache_peer proxylan.sena.edu.co parent 8080 0 default
acl usuario src 10.3.6.248
acl manana time MTWHF 8:00-12:00
acl almuerzo time MTWHF 12:00-13:00
acl tarde time MTWHF 13:00-16:30
acl chat dstdomain "/etc/squid/acl/chat_correo.acl"
acl paginasporno dstdomain "/etc/squid/acl/paginasporno.acl"
acl porno url_regex "/etc/squid/acl/porno.acl"
acl formatos urlpath_regex "/etc/squid/acl/formatos.acl"
acl deportes url_regex "/etc/squid/acl/deportes.acl"
acl descargas url_regex "/etc/squid/acl/descargas.acl"
acl juegos url_regex "/etc/squid/acl/juegos.acl"
acl all src 0.0.0.0/0.0.0.0
acl mired src 10.3.6.128/255.255.255.128
visible_hostname localhost
http_access deny paginasporno
http_access deny porno
http_access deny descargas
http_access deny formatos
http_access deny juegos
http_access deny deportes
http_access allow mired almuerzo chat
http_access deny chat
http_access allow usuario
http_access allow manana
http_access allow tarde
http_access allow mired
http_access deny all
#Para que el proxy sea transparente hay que agregar la siguiente regla de iptables
#iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j
#REDIRECT --to-port 3128
Examinemos las lineas
http_port es el parametro donde debemos indicar por que puerto va a escuchar el servidor Proxy (Squid), es posible poner solo el numero del puerto o tambien la direccion IP y el numero del puerto (como es nuestro caso) cuando el equipo utiliza dos interfaces de red.
icp_port, en este parametro debemos especificar el puerto que va a utilizar el protocolo ICP (Internet Cache Protocol) que es el protocolo por el cual se comunican los proxies hermanos poara intercambiar sus caches.
cache_mem, este parámetro establece la cantidad de memoria principal para lo siguiente:
● Objetos en tránsito.
● Objetos Hot.
● Objetos negativamente almacenados en el caché.
cache_dir es el parametro que especifica el tama;o de la cache en el disco duro.
cache_peer se utiliza para decirle al proxy que hay otro servidor proxy en la misma red.
Las acl's especifican las redes, maquinas en particular, acciones o caracteristicas.
http_access, estas son las reglas de control de acceso que permiten o deniegan el acceso a Squid de el trafico especificado en las listas de control de acceso. (A cada acl se le debe asignar una regla de control de acceso).
jueves, 27 de marzo de 2008
Suscribirse a:
Enviar comentarios (Atom)
No hay comentarios:
Publicar un comentario