Professional Documents
Culture Documents
http_access
http_access
http_access
http_access
guardamos :wq
creamos los archivos
$>cd /etc/squid/politicas/
$>vim red
192.168.130.x-192.168.130.y
$>vim intranet
perulinux.pe
$>vim ip_intranet
192.168.130.20
$>vim negadas
facebook
$>vim permitidos
192.168.130.30
$>vim sin_salida
192.168.130.40
##iniciamos el squid
$>service squid start
##si realizamos cambios en las politicas del squid
$>squid -k check
$>squid -k reconfigure
##realizamos las pruebas de acceso
S - Domingo
M - Lunes
T- Martes
W- Miercoles
H- Jueves
F- Viernes
A- Sabado
$>vim /etc/squid/squid.conf
.
acl sin_salida src "/etc/squid/politicas/sin_salida"
acl almuerzo time W 12:09-12:10
.
.
.
.
http_access allow red !negadas !sin_salida !almuerzo
guardamos los cambios :wq
$>squid -k check
$>squid -k reconfigure
denegacion https por squid
-------------------------$>vim /etc/squid/squid.conf
acl sitios-https url_regex "/etc/squid/politicas/sitios-https"
.
.
.
.
http_access allow CONNECT sitios-https
http_access deny CONNECT all
$>vim /etc/squid/politicas/sitios-https
bcpzonasegura.viabcp.com
guardamos :wq
$>squid -k check
$>squid -k reconfigure
si queremos hacer filtros por mac y no por ip
---------------------------------------------$>vim /etc/squid/squid.conf
acl macs arp "/etc/squid/politicas/macs"
acl negadas url_regex -i "/etc/squid/politicas/negadas"
.
.
.
http_access allow macs !negadas
proxy transparente
-------------------$>vim /etc/sysctl.conf
####configuar el gateway del cliente, el gateway tiene que ser la ip del servido
r proxy
NOTA:si en caso no resulta el forward, reiniciar el servidor y aplicar nuevament
e las reglas del firewall
para visualizar las reglas
--------------------------$>iptables -L
generando un archivo para las reglas iptables
--------------------------------------------$>vim reglas
#!/bin/bash
.
.
.
guardamos :wq
damos permisos de ejecucion al archivo
-------------------------------------$>chmod 755 reglas
ejecutamos las reglas
--------------------$>sh reglas
SARG
-------------------------------------------------------------------Sarg genera reportes diarios, semanales y mensuales, automaticamente
Instalar sarg de 32 bits de centos5
$> wget http://apt.sw.be/redhat/el5/en/i386/rpmforge/RPMS/sarg-2.2.3.1-1.el5.rf.
i386.rpm
$> yum -y install sarg-2.2.3.1-1.el5.rf.i386.rpm
Para generar un reporte del momento (snapshot)
$> sarg
$> service httpd start
Ir a
http://localhost/sarg
Ver Reportes de Sarg a nivel de toda la red
-----------------------------------------------$> vim /etc/httpd/conf.d/sarg.conf
Alias /sarg /var/www/sarg
<Directory /var/www/sarg>
Options Indexes FollowSymLinks
AllowOverride All
DirectoryIndex index.html
Order deny,allow
Allow from all
</Directory>
$> vim /var/www/sarg/.htaccess
AuthType basic
AuthName "reportes de sarg"
AuthUserFile /etc/sarg/sarg.user
Require valid-user
$> htpasswd -c /etc/sarg/sarg.user admin
clave: admin
$> service httpd restart
Acceder con
http://192.168.130.X/sarg
configuracion dansguardian
----------------------------$>yum -y install dansguardian
$>vim /etc/dansguardian/dansguardian.conf
#linea 26 definimos el lenguaje
language = 'spanish'
#linea 85 definimos la ip por donde se filtrara
filterip = 192.168.130.x
#linea 88 puerto por donde escuchara dansguardian
filterport = 8080
#linea 91 ip del proxy
proxyip = 192.168.130.x
#linea 94 puerto del proxy
proxyport = 3128
##guardamos :wq
###cambiamos de puerto al squid
$>vim /etc/squid/squid.conf
http_port 3128
reiniciamos el squid
----------------------$>service squid restart
reiniciamos el dansguardian
---------------------------$>service dansguardian restart
klist
descomprimir
-----------$>tar -zxvf bigblacklist.tar.gz
$>cd blacklists/
podemos ver por ejemplo las siguientes categorias:
$>ls
-games
-hacking
-porn
-proxy
-sports
-virusinfected
-violence
-socialnetworking
generamos una regla de firewall
------------------------------con esta regla le decimos que todas peticiones que llegan al puerto 3128(squid),
se redireccione al puerto 8080(dansguardian)
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 3128 -j REDIRECT --to-port
8080
$>cd /etc/dansguardian/lists/
$>vim bannedsitelist
Por ejemplo para bloquear las paginas de contenido deportivo:
## descomentamos la linea 108
.Include</etc/dansguardian/lists/blacklists/blacklists/sports/domains>
Para bloquear las paginas con contenido violento:
## descomentamos la linea 110
.Include</etc/dansguardian/lists/blacklists/blacklists/violence/domains>
ingresamos a al archivo
$>vim /etc/dansguardian/lists/blacklists/blacklists/sports/domains
y en la primera linea ingresamos
peru.com
guardamos :wq
proxy padre/hijo
-----------------proxy_padre
----------$>vim /etc/squid/squid.conf
###linea 2
icp_port 3130
.
.
.
http_access allow permitidos
icp_access allow all
reconfiguramos el squid
----------------------$>squid -k check
$>squid -k reconfigure
proxy_hijo
---------$>vim /etc/squid/squid.conf
###linea 2
icp_port 3130
####linea 12
cache_peer 192.168.130.x parent 8080 3130 default
.
.
.
.
http_access allow permitidos
icp_access allow all
* bannedextensionlist: Filtra las extensiones de los archivos que descarguemos.
Por ejemplo: zip,
jpg etc.
* bannediplist:
Se pondrn las IPs que no tendrn acceso. Por ejemplo la
IP 192.168.1.10
* bannedphraselist:
Se pondrn palabras o frases prohibidas. Por ejemplo:
sexo, alcohol, porno etc
* bannedmimetypelist: Se escriben los tipos de contenidos no permitidos.
Por ejemplo: sexo.
* bannedsitelist: Bloquea el acceso a un dominio. Por ejemplo: www.marca.com
.
* bannedurllist: Impide el acceso a una parte del dominio. Por ejemplo: www.
marca.com/realmadrid
* weightedphraselist: Muestra una lista de palabras con su
correspondiente peso e instrucciones de definicin.
* exceptioniplist: Lista de las IPs que no sern filtradas.
* exceptionphraselist: Palabras o frases que no se filtrarn.
* exceptionsitelist: Dominios que no se prohibirn.
* exceptionurllist: Parte de un dominio que no se bloquear.