lunes, 4 de junio de 2012

Instalar y configurar un servidor proxy con Squid

Escrito esta: 
Porque tú eres mi esperanza; oh Señor DIOS, tú eres mi confianza desde mi juventud. 
(Salmos 71:5)

Tomado de: Blogofsysadmins

En el contexto de las redes informáticas, el término proxy hace referencia a un programa o dispositivo que realiza una acción en representación de otro. Su finalidad más habitual es la de servidor proxy, que sirve para permitir el acceso a Internet a todos los equipos de una organización cuando sólo se puede disponer de un único equipo conectado, esto es, una única dirección IP.
En este caso vamos a utilizar squid, este es un popular programa de software libre que implementa un servidor proxy y un demonio para caché de páginas web, publicado bajo licencia GPL. Tiene una amplia variedad de utilidades, desde acelerar un servidor web, guardando en caché peticiones repetidas a DNS y otras búsquedas para un grupo de gente que comparte recursos de la red, hasta caché de web, además de añadir seguridad filtrando el tráfico. Está especialmente diseñado para ejecutarse bajo entornos tipo Unix.
Esta sería la conexión básica de un servidor proxy:
proxy

Para comenzar, la instalación es sencilla en Ubuntu / Debian :
sudo aptitude install squid
Configuración básica de Squid
El archivo de configuración se encuentra en /etc/squid/ y se llama squid.conf, si lo observan es un archivo bastante grande, ya que squid como lo comentaba, es un servidor proxy bastante completo. Una configuración básica debe incluir, al menos, los parámetros que se indican a continuación:
  • http-port: Establece el puerto de escucha para squid (por defecto puerto 3128).
  • visible_hostname: nombre del equipo.
  • acl: a cada ACL o lista de control de acceso se le hace corresponder una regla de control de acceso (http_access) que es la que permite o deniega las conexiones definidas en cada acl.
Parámetro cache_dir: ¿Cuanto desea almacenar de Internet en el disco duro?
Este parámetro se utiliza para establecer que tamaño se desea que tenga el caché en el disco duro para Squid. Para entender esto un poco mejor, responda a esta pregunta: ¿Cuanto desea almacenar deInternet en el disco duro? De modo predefinido Squid utilizará un caché de 100 MB, de modo tal que encontrará la siguiente línea:
cache_dir ufs /var/spool/squid 100 16 256
Se puede incrementar el tamaño del caché hasta donde lo desee el administrador. Mientras más grande sea el caché, más objetos se almacenarán en éste y por lo tanto se utilizará menos el ancho de banda. La siguiente línea establece un caché de 700 MB:
cache_dir ufs /var/spool/squid 700 16 256
Los números 16 y 256 significan que el directorio del caché contendrá 16 directorios subordinados con 256 niveles cada uno. No modifique esto números, no hay necesidad de hacerlo.
Es muy importante considerar que si se especifica un determinado tamaño de caché y éste excede al espacio real disponible en el disco duro, Squid se bloqueará inevitablemente. Sea cauteloso con el tamaño de caché especificado.
Ejemplo: Denegar la dirección www.youtube.com a todas las máquinas
Abrimos y editamos el fichero de configuracion de squid squid.conf
#Parámetros obligatorios:
visible_hostname debian
http_port 3128
cache_mem 64 MB
cache_dir ufs /var/spool/squid 700 16 256
cache_access_log /var/log/squid/access.log
cache_log /var/log/squid/cache.log

#Listas de control de acceso:
acl all src 0.0.0.0/0.0.0.0
acl denegado dstdomain www.youtube.com
acl localhost src 127.0.0.1

#Control de acceso:
http_access deny denegado !localhost
http_access allow all
error_directory /usr/share/squid/errors/Spanish
En esta configuración , se observa en el apartado de parámentros obligatorios el puerto de escucha, el nombre del servidor (si no sabes cual es el nombre de tu máquina, ve a una terminal y teclea “hostname”), tamaño de memoria cache y las rutas; en el segundo apartado se encuentran las listas de control de acceso, las cuales se asigna el rango de ip’s, asignación de dominio, etc…; en el tercer apartado es el control de acceso, una vez asignadas las listas de control con http_access deny se deniegan ya sea ip’s ó dominios, y con http_access allow, se permite lo mismo, tmb por ahí aparece una linea error_directory la cual muestra los mensajes de advertencia en idioma español.
Reseteamos squid:
# /etc/init.d/squid restart
Si no aparece ningún mensaje de error entonces nuestro proxy debe de funcionar deacuerdo a lo establecido, para poder probar ve a un navegador de una máquina que este conectada en la misma LAN, ve a propiedades y habilita el uso deproxy, en la ip , hay que poner la ip de nuestra máquina que tiene el squid corriendo.
Cuando hagan pruebas les bloqueará www.youtube.com, pero si ponen youtube.com si los dejará entrar, para eso se utiliza otra lista de control de acceso:
acl denegado url_regex “/home/tuusuario/denegados”
Dónde /home/tuusuario/denegados es un simple archivo de texto que contiene la palabra youtube, con eso, todos los dominios youtube serán bloqueados.

Paginas de Referencias: 

Tomado de :wwwdanielweb-daniel
primero que nada instalamos squid

apt-get install squid

 despues nos situamos en el directorio /etc/squid
y creamo tres ficheros [inocentes, permitidos y denegados]


luego los editamos
ej


en permitidos: ponemos todas las ip que le vamos a dar derecho a la conexion 
en denegados: las url de aquellas paguinas que queremos denegar
en inocentes: aquellas url de sitios que a veces tienen palabras las cuales se encuentran denegadas : ej: www.sexoseguro.com


despues de haber hecho esto procedemos a la configuracion del fichero [squid.conf]

nano /etc/squid/squid.conf

mi conf de squid debes cambiar los directorios padres y los de tu dominio
 aqui esta mi squid





#OPTION NETWORK#
#-----------------------------------------------------------------------------#

# Puerto donde se va a escuchar el Squid.
http_port 3128
icp_port 3130

cache_peer proxy.pri.jovenclub.cu parent 3128 0 default login=PASS
cache_peer_domain proxy.(dominio padre)
cache_mem 16 MB
cache_dir ufs /var/spool/squid/00 1024 16 256
cache_dir ufs /var/spool/squid/01 1024 16 256
cache_dir ufs /var/spool/squid/02 1024 16 256
cache_dir ufs /var/spool/squid/03 1024 16 256
client_netmask 255.255.255.255
dead_peer_timeout 10 seconds
cache_access_log /var/log/squid/access.log
cache_log /var/log/squid/cache.log
cache_store_log /var/log/squid/store.log
auth_param basic children 5
# auth_param basic program /usr/lib/squid/ncsa_auth /etc/squid/claves
error_directory /usr/share/squid/errors/Spanish
authenticate_ttl 1 hour
hierarchy_stoplist cgi-bin ?
cache_swap_low 90
cache_swap_high 95
maximum_object_size 4096 KB
debug_options ALL,1
quick_abort_min 16 KB
quick_abort_max 16 KB
quick_abort_pct 95
negative_ttl 5 minutes
positive_dns_ttl 6 hours
negative_dns_ttl 5 minutes
append_domain .(tudominio.dominio padre)
acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY
#ACCESS CONTROL
#-----------------------------------------------------------------------------
#Defaults
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255


#acl password proxy_auth REQUIRED

acl local-server dstdomain .(tudominio.dominio padre)

acl permitidos src "/etc/squid/permitidos"
acl denegados url_regex "/etc/squid/denegados"
acl inocentes url_regex "/etc/squid/inocentes"
acl msn_messenger req_mime_type -i ^application/x-msn-messenger$
acl skype_IP urlpath_regex ^[0-9]+\.[0-9]+\.[0-9]+\.[0-9]+
acl SSL_ports port 443 6667
acl Safe_ports port 80
acl Safe_ports port 443
acl Safe_ports port 21
#acl Safe_ports port 70
#acl Safe_ports port 210
acl Safe_ports port 1025-65535
#acl Safe_ports port 280
acl Safe_ports port 6667
acl Safe_ports port 488
#acl Safe_ports port 591
#acl Safe_ports port 777
acl CONNECT method CONNECT

#FIN DE LAS ACL
#-------------------------------------------------------------------------------
#Default configuration
http_access allow local-server
http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
#-------------------------------------------------------------------------------
#Aqui defino la politica de las ACL
#INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS
http_access allow localhost

###############################################################################
#Acceso a las maquinas a la navegacion
###############################################################################
http_access allow all permitidos
http_access deny denegados
http_access allow inocentes
http_access deny all
http_reply_access allow all
icp_access allow all


#Fin de la Politica
#------------------------------------------------------------------------------
#MISCELANEAS
#------------------------------------------------------------------------------
auth_param basic realm [Bienvenidos a ]
cache_mgr [tu email]
visible_hostname proxy.(tudominio.dominio padre)
logfile_rotate 10

#emulate_httpd_log on
#Aceleracion
#httpd_accel_host virtual
#httpd_accel_port 0
#httpd_accel_with_proxy on

#Contrasena
cachemgr_passwd datos all
http_port 3128
icp_port 3130
#las always para servicios
always_direct allow local-server
always_direct deny all
never_direct allow all

#FTP Pasivo

ftp_list_width 32
ftp_sanitycheck on
ftp_passive on
snmp_port 3401
#acl snmppublic snmp_community public
#snmp_access allow snmppublic all
#snmp_incoming_adress 0.0.0.0
#snmp_outgoing_adress 0.0.0.0

#DELAYS POOLS PARAMETERS (all require DELAY_POOLS compilation option)

#------------------------fin del fichero-------------------------------------------------#

 ademas de esto



luego reinicias el servicio
invoke-rc.d squid restart
si te da algun error con respecto a los directorios swap, simplemente
te ubicas en /etc/squid
y tecleas
squid -z
y te crea automaticamente los directorios
vuelves a reiniciar el squid
y ya tienes un servidor proxy corriendo desde tu server para la red


autentificacion de los user contra el proxy squid 

 bueno para que los user se autentifiquen contra nuestro proxy, es decir que cada ves que vaya a acceder a internet, le salga el cuadro user y password
hacemos lo siguiente
si se fijan en la configuracion del squid hay una linea comentada

 # auth_param basic program /usr/lib/squid/ncsa_auth /etc/squid/claves

que hacemos le borramos la almohadilla que tiene en el principio [#]
lo que nos dice que vamos a tener un fichero que se va a llamar claves, puede tener otro nombre cualquiera, lo que hay que poner al final de la linea el nombre asignado

tambien hay otra linea comentada

#acl password proxy_auth REQUIRED

aqui solo le quitamos la almohadilla para declarar dicha acl
luego vamos donde dice

http_access allow all permitidos
y le agregamos la linea [password]

quedaria:

http_access allow all permitidos password

guardamos los cambios y salimos del fichero
ahora vamos al directorio /etc/squid
y creamos el fichero cuyo nombre pusimos en la primeria linea que descomentamos
en nuestro caso, se llama claves

seria
touch claves

despues instalariamos el apache para utilizar sus modulos como autentificacion
seria: apt-get install apache2
luego nos situamos en /etc/squid
y tecleariamos :     htpasswd claves [nombre del user]
abajo apareceria la opcion : password
le pondriamos la password, la cual hay que poner 2 veces
y asi sucesivamente con los demas user
luego reinicamos el servicio squid : invoke-rc.d squid restart
y ya

tenemos un proxy squid con autentificacion de usuarios
----------------------------------------------------------------
Tomado de: kimberling146

Vamos a configurar el servicio Squid en Debian Wheezy

Squid es un servidor proxy para web con caché. Es una de las aplicaciones más populares y de referencia para esta función,software libre publicado bajo licencia GPL. Entre sus utilidades está la de mejorar el rendimiento de las conexiones de empresas y particulares a Internet guardando en caché peticiones recurrentes a servidores web y DNS, acelerar el acceso a un servidor webdeterminado o añadir seguridad realizando filtrados de tráfico.

1. Instalación

# aptitude install squid3

2. La configuración de squid3 se almacena en el archivo /etc/squid3/squid.conf.

3. Squid3 acepta, por defecto, conexiones en el puerto 3128.  Sin embargo, esto puede modificarse colocando otro puerto por ejemplo el conocido 8080.

etc/squid3/squid.conf
#[...]

# Squid normally listens to port 3128
http_port 3128

#[...]

http_port 3128 --> Puerto por el cual escuchará las peticiones el Proxy.

4. Por seguridad, squid3 sólo responderá a pedidos de la red local o en el propio servidor. Esta restricción es conseguida definiendo una lista de control de acceso oACL (Access Control List) (acl plataforma.linux.org.ve src 192.168.10.0/24) y autorizando el acceso sólo a los sistemas incluidos en esa lista (http_access allow plataforma.linux.org.ve):

etc/squid3/squid.conf
# [...]

#  TAG: acl
#       Defining an Access List

# [...]

#Default:
# acl all src all
#
#
# Recommended minimum configuration:
#
acl manager proto cache_object
acl localhost src 127.0.0.1/32 ::1
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32 ::1

# Example rule allowing access from your local networks.
# Adapt to list your (internal) IP networks from where browsing
# should be allowed
#acl localnet src 10.0.0.0/8    # RFC1918 possible internal network
#acl localnet src 172.16.0.0/12 # RFC1918 possible internal network
#acl localnet src 192.168.0.0/16        # RFC1918 possible internal network
#acl localnet src fc00::/7       # RFC 4193 local private network range
#acl localnet src fe80::/10      # RFC 4291 link-local (directly plugged) machines

acl plataforma.linux.org.ve src 192.168.10.1/24

# [...]

5.  Definición de permisos de acceso a la sección http_access:

/etc/squid3/squid.conf
# [...]

#
# INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS
#

# Example rule allowing access from your local networks.
# Adapt localnet in the ACL section to list your (internal) IP networks
# from where browsing should be allowed
#http_access allow localnet
http_access allow localhost

http_access allow plataforma.linux.org.ve

# And finally deny all other access to this proxy
http_access deny all

# [...]

6. Modificamos el  tamaño total de la cache de squid3 a un valor adecuado ejemplo 2048Mb:

# [...]

# Uncomment and adjust the following to add a disk cache directory.
#cache_dir ufs /var/spool/squid3 100 16 256
cache_dir ufs /var/spool/squid3 2048 16 256

# [...]

7.  También podemos definir la identificación de nuestro servidor proxy

# [...]

#  TAG: visible_hostname
#       If you want to present a special hostname in error messages, etc,
#       define this.  Otherwise, the return value of gethostname()
#       will be used. If you have multiple caches in a cluster and
#       get errors about IP-forwarding you must set them to have individual
#       names with this setting.
#Default:
# visible_hostname localhost
visible_hostname proxy.plataforma.linux.org.ve

# [...]

visible_hostname proxy.plataforma.linux.org.ve ---> Nombre del Servidor Proxy

8. De manera opcional, también se puede configurar el límite máximo de los objetos que se guarden en el cache, al definir el parámetro maximum_object_size con un valor en Kbytes:

/etc/squid3/squid.conf
# [...]

#  TAG: maximum_object_size     (bytes)
#       Objects larger than this size will NOT be saved on disk.  The
#       value is specified in kilobytes, and the default is 4MB.  If
#       you wish to get a high BYTES hit ratio, you should probably
#       increase this (one 32 MB object hit counts for 3200 10KB
#       hits).  If you wish to increase speed more than your want to
#       save bandwidth you should leave this low.
#
#       NOTE: if using the LFUDA replacement policy you should increase
#       this value to maximize the byte hit rate improvement of LFUDA!
#       See replacement_policy below for a discussion of this policy.
#Default:
# maximum_object_size 4096 KB
maximum_object_size 20480 KB

# [...]

9. Reiniciamos el servicio squid

# /etc/init.d/squid3 restart

Con esto funcionara nuestro servidor squid básico hay una serie de funciones que se le pueden agregar como por ejemplo bloqueo de paginas y usuarios a continuación mostraremos como hacerlo.

Creando bloqueos

1. Crearemos una carpeta llamada bloqueos y en ella 2 archivos donde colocaremos paginas seguras y paginas a bloquear

Crearemos una carpeta llamada bloqueos
# mkdir /etc/squid3/bloqueos

Crearemos el primer archivo y lo llamaremos sitios-seguros
# nano /etc/squid3/bloqueos/sitios-seguros

Una vez creado el archivo, lo editamos y colocamos las paginas a la cual pueden tener acceso
#/etc/squid/bloqueos/sitios-seguros    

www.banco.com
www.otros.com
www.otros.com

guardamos y cerramos el archivo

Ahora...

Crearemos el segundo archivo y lo llamaremos sitios-denegados
# nano /etc/squid3/bloqueos/sitios-denegados

Una vez creado el archivo, lo editamos y colocamos las paginas a las que no se tendrán acceso
#/etc/squid/bloqueos/sitios-denegados

www.youtube.com
www.twitter.com
www.facebook.com

guardamos y cerramos el archivo

Ya tenemos los sitios que tendrán acceso y los sitios que están denegados el acceso, ahora se van a crear los usuarios de la red

2. Vamos a crear los usuarios para nuestra red

Crearemos una carpeta llamada usuarios y en ella 2 archivos donde colocaremos jefes y usuarios

Crearemos una carpeta llamada usuarios
# mkdir /etc/squid3/usuarios

Crearemos el primer archivo y lo llamaremos jefes
# nano /etc/squid/usuarios/jefes

Una vez creado el archivo, lo editamos y colocamos las IP de los equipos de los jefes
/etc/squid/usuarios/jefes     

192.168.10.2
192.168.10.3
192.168.10.4 

Crearemos el segundo archivo y lo llamaremos usuarios
# nano /etc/squid/usuarios/usuarios

192.168.10.20
192.168.10.21
192.168.10.22

Con esto tenemos un bloqueo básico ahora debemos aplicar nuestras reglas en el archivo de configuración del squid

#Recommended minimum configuration:
acl all src all
acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32

#configuracion de sitios
acl sitios-seguros url_regex "/etc/squid/bloqueos/sistios-seguros"
acl sitios-denegados url_regex "/etc/squid/bloqueos/sistios-denegados"

Lista de control de acceso llamada “sitios-seguro y sitios-denegados” de tipo url_regex  esta ubicado en un archivo con las paginas que queramos acceder o negar.

#configuracion de usuarios
acl jefes    src    "/etc/squid3/usuarios/jefes"
acl usuarios    src    "/etc/squid3/usuarios/usuarios"

ahora habilitaremos las reglas para controlar la navegación por los sitios seguros y la denegación por los sitios-denegados

#
# INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS
#

#mis reglas#
http_access allow sitios-seguros
http_access allow jefes
http_access allow usuarios !sitios-denegados
    
Por medio del comando http_access y el nombre de la lista de control de acceso podenos permitir(allow) o denegar (deny) el servicio a dichas listas.

Ahora reiniciamos el servicio squid para que funcionen las reglas creadas
# /etc/init.d/squid3 restart
 

3 comentarios:

  1. Estoy interesado en implementar esta solucion, en la parte de visible_hostname: nombre del equipo. ahi se puede poner la ip del equipo o deberia de ser el nombre.

    ResponderEliminar
  2. necesito saber que comando puedo usar para poder ver los dicos de la Pc una vez instalada el debian genome

    ResponderEliminar