reglas squid
If you can't read please download the document
DESCRIPTION
Reglas SquidTRANSCRIPT
instalar el squid$>yum -y install squid crear un directorio donde estaran las politicas de acceso$>cd /etc/squid $>mkdir -p /etc/squid/politicas$>vim /etc/squid/squid.conf habilitamos el puerto, ingresamos en la primera lineahttp_port 8080acl red src "/etc/squid/politicas/red"acl negadas url_regex -i "/etc/squid/politicas/negadas"acl sin_salida src "/etc/squid/politicas/sin_salida"acl permitidos src "/etc/squid/politicas/permitidos"acl intranet url_regex -i "/etc/squid/politicas/intranet"acl ip_intranet src "/etc/squid/politicas/ip_intranet"http_access allow ip_intranet intranethttp_access deny ip_intranethttp_access allow permitidoshttp_access allow red !negadas !sin_salidaguardamos :wqcreamos los archivos$>cd /etc/squid/politicas/$>vim red192.168.130.x-192.168.130.y$>vim intranetperulinux.pe$>vim ip_intranet192.168.130.20$>vim negadasfacebook$>vim permitidos192.168.130.30$>vim sin_salida192.168.130.40##iniciamos el squid$>service squid start##si realizamos cambios en las politicas del squid$>squid -k check$>squid -k reconfigure##realizamos las pruebas de accesocambiando la plantilla de denegacion------------------------------------$>vim /usr/share/squid/errors/es/ERR_ACCESS_DENIED###linea 1,466PERULINUXguardamos los cambios :wq$>squid -k check$>squid -k reconfigure###probamos ingresando a una pagina filtradaDenegacion por horarios-----------------------Los dias de la semana se definen con letras, las cuales corresponden a la primera letra del nombre en inglesde modo que se utilizaran del siguiente modo: * S - Domingo * M - Lunes * T- Martes * W- Miercoles * H- Jueves * F- Viernes * A- Sabado$>vim /etc/squid/squid.conf.acl sin_salida src "/etc/squid/politicas/sin_salida"acl almuerzo time W 12:09-12:10....http_access allow red !negadas !sin_salida !almuerzoguardamos los cambios :wq$>squid -k check$>squid -k reconfiguredenegacion https por squid--------------------------$>vim /etc/squid/squid.confacl sitios-https url_regex "/etc/squid/politicas/sitios-https"....http_access allow CONNECT sitios-httpshttp_access deny CONNECT all$>vim /etc/squid/politicas/sitios-httpsbcpzonasegura.viabcp.comguardamos :wq$>squid -k check$>squid -k reconfiguresi queremos hacer filtros por mac y no por ip----------------------------------------------$>vim /etc/squid/squid.confacl macs arp "/etc/squid/politicas/macs"acl negadas url_regex -i "/etc/squid/politicas/negadas"...http_access allow macs !negadascreamos el archivo macs-----------------------$>vim /etc/squid/politicas/macs00:15:58:C8:40:7800:19:d1:f5:25:b3guardamos los cambios :wq$>squid -k check$>squid -k reconfigureProxy con autenticacion local-------------------------------------$> vim /etc/squid/squid.conf###linea 10 auth_param basic program /usr/lib64/squid/ncsa_auth /etc/squid/usuarios....###linea 22 acl usuarios proxy_auth "/etc/squid/politicas/usuarios.usr".....###linea 67 http_access allow usuarios ip_intranet$> vim /etc/squid/politicas/usuarios.usrjuanpepeCrear usuarios del proxy-----------------------$> htpasswd -c /etc/squid/usuarios juanclave: juan$> htpasswd -c /etc/squid/usuarios pepeclave: pepe$> squid -k check$> squid -k reconfigureProxy con autenticacion LDAP----------------------------$>vim /etc/squid/squid.conf##linea 11auth_param basic program /usr/lib64/squid/squid_ldap_auth -v 3 -b "ou=people,dc=sierra,dc=pe" -h 10.60.1.166 -f uid=%s..acl ip_intranet src "/etc/squid/politicas/ip_intranet"acl ldap proxy_auth REQUIRED....http_access allow ldap !negadas !sin_salida !almuerzoproxy transparente--------------------$>vim /etc/sysctl.conf##por defecto aparece "0", cambiamos a "1!net.ipv4.ip_forward = 1actualizar los cambios del forward----------------------------------$>sysctl -p$>vim /etc/squid/squid.conf###linea 1 http_port 8080 transparent:wq$>service squid restartingresando reglas iptables por consola---------------------------------------#####puerto 80iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 8080#####puerto 443iptables -A FORWARD -s 10.60.1.0/24 -p tcp --dport 443 -j ACCEPT#####bloqueo paginas https##viabcpiptables -I FORWARD -s 10.60.1.0/24 -d 200.4.200.170 -p tcp --dport 443 -j DROPiptables -I FORWARD -s 10.60.1.0/24 -d 200.37.27.170 -p tcp --dport 443 -j DROPiptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 8080 # conexion con puerto 8080 "HTTP" lo tendra squidiptables -t nat -A PREROUTING -i eth0 -p tcp --dport 443 -j REDIRECT --to-port 8080 # conexion al 443 "HTTPS" lo tendra squid####configuar el gateway del cliente, el gateway tiene que ser la ip del servidor proxyNOTA:si en caso no resulta el forward, reiniciar el servidor y aplicar nuevamente las reglas del firewallpara visualizar las reglas---------------------------$>iptables -Lgenerando un archivo para las reglas iptables---------------------------------------------$>vim reglas#!/bin/bash...guardamos :wqdamos permisos de ejecucion al archivo--------------------------------------$>chmod 755 reglasejecutamos las reglas---------------------$>sh reglasgeneracion de reportes con calamaris----------------------------------------$>yum -y install calamaris $>vim /etc/calamaris.conf agregamos las siguientes lineas------------------------------## Reporte Por Diadaily:root:/var/www/calamaris/daily.html:both:'Squid daily'### Reporte por Semanaweekly:root:/var/www/calamaris/weekly.html:both:'Squid weekly'### Reporte por Mesmonthly:root:/var/www/monthly.html:both:'Squid monthly'Tambien crearemos el archivo de configuracion para apache---------------------------------------------------------Deber contener a la siguientes parmetros. ------------------------------------------$>vim /etc/httpd/conf.d/calamaris.conf Alias /calamaris "/var/www/calamaris"
Options Indexes MultiViewsAllowOverride NoneOrder allow,deny# Allow from allAllow from 192.168.1.0/24 Se creara el directorio de alojamiento de reportes, tambien se le otorgara permisos al usuario squid y grupo apache. $>mkdir /var/www/calamaris chown squid.apache /var/www/calamaris -R Reiniciamos el servicio de apache. ----------------------------------$>service httpd restartGenerando el reporte. ----------------------$>cat /var/log/squid/access.log | calamaris -R -1 -a -F html > /var/www/calamaris/reporte-hoy.html SARG--------------------------------------------------------------------Sarg genera reportes diarios, semanales y mensuales, automaticamenteInstalar sarg de 32 bits de centos5$> wget http://apt.sw.be/redhat/el5/en/i386/rpmforge/RPMS/sarg-2.2.3.1-1.el5.rf.i386.rpm$> yum -y install sarg-2.2.3.1-1.el5.rf.i386.rpmPara generar un reporte del momento (snapshot)$> sarg$> service httpd startIr a http://localhost/sargVer Reportes de Sarg a nivel de toda la red------------------------------------------------$> vim /etc/httpd/conf.d/sarg.confAlias /sarg /var/www/sarg
Options Indexes FollowSymLinks AllowOverride All DirectoryIndex index.html Order deny,allow Allow from all
$> vim /var/www/sarg/.htaccessAuthType basicAuthName "reportes de sarg"AuthUserFile /etc/sarg/sarg.userRequire valid-user$> htpasswd -c /etc/sarg/sarg.user adminclave: admin$> service httpd restartAcceder con http://192.168.130.X/sargconfiguracion dansguardian-----------------------------$>yum -y install dansguardian$>vim /etc/dansguardian/dansguardian.conf#linea 26 definimos el lenguajelanguage = 'spanish'#linea 85 definimos la ip por donde se filtrarafilterip = 192.168.130.x#linea 88 puerto por donde escuchara dansguardianfilterport = 8080#linea 91 ip del proxyproxyip = 192.168.130.x#linea 94 puerto del proxyproxyport = 3128##guardamos :wq###cambiamos de puerto al squid $>vim /etc/squid/squid.confhttp_port 3128reiniciamos el squid-----------------------$>service squid restartreiniciamos el dansguardian----------------------------$>service dansguardian restartreglas de filtrado del dansguardian------------------------------------$>cd /etc/dansguardian/lists/extensiones filtradas (ejem: .mp3, .mp4, etc)$>vim bannedextensionlistdando salida a internet a la red--------------------------------$>vim bannediplist#linea 17192.168.130.0/24guardamos :wqEn este archivo vamos a configurar las listas de frases a utilizar para el escaneo de contenidos------------------------------------------------------------------------------------------------$>vim bannedphraselist#descomentamos las lineas 46 y 47 .Include.Includeincluimos la siguiente linea#nos va a escanear las paginas que sean para nios de 14 aos.Includeguadamos :wqbannedsitelist y bannedurllist:-------------------------------Estos archivos de configuracion contienen las rutas de la base de datos de dominios y url, que vamos a restringiringresamos a la siguiente ruta$>cd /etc/dansguardian/lists/blacklists/descargamos una base de datos de la siguiente urlhttp://urlblacklist.com/cgi-bin/commercialdownload.pl?type=download&file=bigblacklistdescomprimir------------$>tar -zxvf bigblacklist.tar.gz$>cd blacklists/podemos ver por ejemplo las siguientes categorias:$>ls -games-hacking-porn-proxy-sports-virusinfected-violence-socialnetworkinggeneramos una regla de firewall-------------------------------con esta regla le decimos que todas peticiones que llegan al puerto 3128(squid), se redireccione al puerto 8080(dansguardian)iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 3128 -j REDIRECT --to-port 8080 $>cd /etc/dansguardian/lists/$>vim bannedsitelistPor ejemplo para bloquear las paginas de contenido deportivo:## descomentamos la linea 108.IncludePara bloquear las paginas con contenido violento:## descomentamos la linea 110.Includeingresamos a al archivo$>vim /etc/dansguardian/lists/blacklists/blacklists/sports/domainsy en la primera linea ingresamosperu.comguardamos :wqPara bloquear una categoria de URLs-----------------------------------$>cd /etc/dansguardian/lists/$>vim bannedurllist##descomentamos desde la linea 38 a la 42.Include.Include.Include.Include.Includeingresar al archivo$>vim /etc/dansguardian/lists/blacklists/blacklists/adult/urlsingresamos en la primera lineawww.relaxdelperu.comreiniciamos el servicio del dansguardian$>service dansguardian restartpersonalizando el template del dansguardian-------------------------------------------$>vim /usr/share/dansguardian/languages/spanish/template.html##linea 4 ###esto nos mostrara en la barra superior del navegador "PERULINUX"PERULINUX Acceso denegado###linea 15 ##PERULINUX###linea 27SISTEMASguardamos los cambios :wqreiniciamos el dansguardian y el apache$>service dansguardian restart$>service squid restartprobamos los cambion ingresando a una pagina filtradaproxy padre/hijo------------------proxy_padre-----------$>vim /etc/squid/squid.conf###linea 2icp_port 3130...http_access allow permitidosicp_access allow allreconfiguramos el squid-----------------------$>squid -k check$>squid -k reconfigureproxy_hijo----------$>vim /etc/squid/squid.conf###linea 2icp_port 3130####linea 12cache_peer 192.168.130.x parent 8080 3130 default....http_access allow permitidosicp_access allow all* bannedextensionlist: Filtra las extensiones de los archivos que descarguemos. Por ejemplo: zip, jpgetc.* bannediplist: Se pondrn las IPs que no tendrn acceso. Por ejemplo la IP 192.168.1.10* bannedphraselist: Se pondrn palabras o frases prohibidas. Por ejemplo: sexo, alcohol, pornoetc* bannedmimetypelist: Se escriben los tipos de contenidos no permitidos. Por ejemplo: sexo. * bannedsitelist: Bloquea el acceso a un dominio. Por ejemplo: www.marca.com. * bannedurllist: Impide el acceso a una parte del dominio. Por ejemplo: www.marca.com/realmadrid * weightedphraselist: Muestra una lista de palabras con su correspondiente peso e instrucciones de definicin. * exceptioniplist: Lista de las IPs que no sern filtradas. * exceptionphraselist: Palabras o frases que no se filtrarn. * exceptionsitelist: Dominios que no se prohibirn. * exceptionurllist: Parte de un dominio que no se bloquear.