Welcome to Scribd, the world's digital library. Read, publish, and share books and documents. See more
Download
Standard view
Full view
of .
Look up keyword
Like this
38Activity
0 of .
Results for:
No results containing your search query
P. 1
Como Configurar Proxy Squid

Como Configurar Proxy Squid

Ratings:

5.0

(1)
|Views: 2,718 |Likes:
Published by api-3751379

More info:

Published by: api-3751379 on Oct 15, 2008
Copyright:Attribution Non-commercial

Availability:

Read on Scribd mobile: iPhone, iPad and Android.
download as PDF, TXT or read online from Scribd
See more
See less

03/18/2014

pdf

text

original

Linux: info y utilidades del squid web proxy
Indice

1. Software de Proxy
2. C\u00f3mo configurar Squid: Servidor Proxy.
3. C\u00f3mo configurar Squid: Restricci\u00f3n de acceso a sitios Web.
4. C\u00f3mo configurar Squid: Acceso por Autenticaci\u00f3n.
5. Bibliograf\u00eda

1. Software de Proxy

Existe una variedad de paquetes de software de proxy para Linux. Algunos son a nivel de aplicaci\u00f3n (como SQUID) y otros son a nivel de sesi\u00f3n (como
SOCKS). Squid es un proxy a nivel de aplicaci\u00f3n para HTTP, HTTPS y FTP. Tambi\u00e9n puede ejecutar peticiones DNS bastate m\u00e1s r\u00e1pido de lo que puede
hacerlo la mayor\u00eda del software cliente. SQUID es ideal para acelerar el acceso a www, y para controlar el acceso a sitios web (utilizando paquetes como
squidGuard).
Squid es el servidor Proxy m\u00e1s popular y extendido entre los sistemas operativos basados sobre UNIX\u00ae. Es muy confiable, robusto y vers\u00e1til. Al ser

software libre, adem\u00e1s de estar disponible el c\u00f3digo fuente, est\u00e1 libre del pago de costosas licencias por uso o con restricci\u00f3n a un uso con determinado

n\u00famero de usuarios.
Entre otras cosas, Squid puede hacer Proxy y cache con los protocolos HTTP, FTP, GOPHER y WAIS, Proxy de SSL, cache transparente, WWCP,
aceleraci\u00f3n HTTP, cache de consultas DNS y m\u00e1s.

2. C\u00f3mo configurar Squid: Servidor Proxy.
Software requerido.
Para poder llevar la cabo los procedimientos descritos en este manual y documentos relacionados, usted necesitar\u00e1 tener instalado al menos lo siguiente:

squid-2.4.STABLE1
iptables-1.2.4
kernel-2.4.9

T\u00f3mese en consideraci\u00f3n que, de ser posible, se debe utilizar la versi\u00f3n estable m\u00e1s reciente de todo el software que vaya a instalar al realizar los
procedimientos descritos en este manual, a fin de contar con los parches de seguridad necesarios. Ninguna versi\u00f3n de Squid anterior a la 2.4.STABLE1 se
considera como apropiada debido a fallas de seguridad de gran importancia, y ning\u00fan administradorcompetente utilizar\u00eda una versi\u00f3n inferior a la
2.4.STABLE1. Por favor visite el sito Web de su distribuci\u00f3n predilecta para estar al tanto de cualquier aviso de actualizaciones de seguridad. Ejemplo:
para Red Hat Linux 7.1 y 7.2 hay paqueter\u00eda de actualizaci\u00f3n en los siguientes enlaces:

ftp://updates.redhat.com/7.1/en/os/i386/, si posee alguna distribuci\u00f3n basada sobre Red Hat(TM) Linux 7.1
ftp://updates.redhat.com/7.2/en/os/i386/, si posee alguna distribuci\u00f3n basada sobre Red Hat(TM) Linux 7.2

Instalaci\u00f3n del software necesario.
Regularmente Squid no se instala de manera predeterminada a menos que especifique o contrario durante la instalaci\u00f3n del sistema operativo, sin embargo
viene incluido en casi todas las distribuciones actuales. El procedimiento de instalaci\u00f3n es exactamente el mismo que con cualquier otro software:

mount /mnt/cdrom/
rpm -Uvh /mnt/cdrom/*/RPMS/squid-*.i386.rpm
eject
Iptables se utilizar\u00e1 para un gui\u00f3n de Enmascaramiento de IP. Se instala por defecto en todas las distribuciones actuales que utilicen kernel-2.4.
Es importante tener actualizado el kernel por diversas cuestiones de seguridad. No es recomendable utilizar versiones del kernel anteriores a la 2.4.9. En el
manual "C\u00f3mo actualizar el Kernel a partir de paquetes RPM\u00ae" se describe a detalle lo necesario.

Antes de continuar
Tenga en cuenta que este manual ha sido comprobado varias veces y ha funcionado en todos los casos y si algo no fucniona solo significa que ustesd no lo
ley\u00f3 a detalle y no sigui\u00f3 correctamente las indicaciones.
Evite dejar espacios vacios en lugares indebidos. El siguiente es un ejemplo de como no debe descomentarse un par\u00e1metro.

Mal
# Opci\u00f3n incorrectamente descomentada
http_access 3128
El siguiente es un ejemplo de como si debe descomentarse un par\u00e1metro.
Bien
# Opci\u00f3n correctamente descomentada
http_access 3128

Configuraci\u00f3n b\u00e1sica.
Squid utiliza el fichero de configuraci\u00f3n localizado en/etc/squid/squid.conf, y podr\u00e1 trabajar sobre este utilizando su editor de texto preferido. Existen un
gran n\u00famero de par\u00e1metros, de los cuales recomendamos configurar los siguientes:

http_port

cache_mem
ftp_user
ftp_passive
cache_dir
Al menos una Lista de Control de Acceso

Al menos una Regla de Control de Acceso
cache_mgr
httpd_accel_host
httpd_accel_port
httpd_accel_with_proxy

Par\u00e1metro http_port: \u00bfQue puerto utilizar para Squid?
Squid por defecto utilizar\u00e1 el puerto 3128 para atender peticiones, sin embargo se puede especificar que lo haga en cualquier otro puerto o bien que lo haga
en varios puertos a la vez.
En el caso de un Proxy Transparente, regularmente se utilizar\u00e1 el puerto 80 y se valdr\u00e1 del re-direccionamiento de peticiones de modo tal que no habr\u00e1
necesidad alguna de modificar la configuraci\u00f3n de los navegadores Web para utilizar el servidor Proxy. bastar\u00e1 con utilizar como puerta de enlace al
servidor. Es importante recordar que los servidores Web, como Apache, tambi\u00e9n utilizan dicho puerto, por lo que ser\u00e1 necesario reconfigurar el servidor
Web para utiliza otro puerto disponible, o bien desinstalar o deshabilitar el servidor Web.
Hoy en d\u00eda ya no es del todo pr\u00e1ctico el utilizar unProxy Transparente , a menos que se trate de un servicio de Caf\u00e9 Internet u oficina peque\u00f1a, siendo que
uno de los principales problemas con los que lidian los administradores es el mal uso y/o abuso del acceso a Internet por parte del personal. Es por esto que
puede resultar m\u00e1s conveniente configurar un servidor Proxy con restricciones por contrase\u00f1a, lo cual no puede hacerse con unProxy Transparente, debido
a que se requiere un di\u00e1logo de nombre de usuario y contrase\u00f1a.
Regularmente algunos programas utilizados com\u00fanmente por los usuarios suelen traer por defecto el puerto 8080 -servicio de cacheo WWW- para utilizarse
al configurar que servidor proxy utilizar. Si queremos aprovechar esto en nuestro favor y ahorrarnos el tener que dar explicaciones innecesarias al usuario,
podemos especificar que Squid escuche peticiones en dicho puerto tambi\u00e9n. Siendo as\u00ed localice la secci\u00f3n de definici\u00f3n dehttp_port, y especifique:

## You may specify multiple socket addresses on multiple lines.
## Default: http_port 3128
http_port 3128

http_port 8080
Par\u00e1metro cache_mem
El par\u00e1metro cache_mem establece la cantidad ideal de memoria para lo siguiente:

Objetos en tr\u00e1nsito.
Objetos Hot.
Objetos negativamente almacenados en el cach\u00e9.

Los datos de estos objetos se almacenan en bloques de 4 Kb. El par\u00e1metro cache_mem especifica un l\u00edmite m\u00e1ximo en el tama\u00f1o total de bloques
acomodados, donde los objetos en tr\u00e1nsito tiene mayor prioridad. Sin embargo los objetosHot y aquellos negativamente almacenados en el cach\u00e9 podr\u00e1n
utilizar la memoria no utilizada hasta que esta sea requerida. De ser necesario, si un objeto en tr\u00e1nsito es mayor a la cantidad de memoria especificada,
Squid exceder\u00e1 lo que sea necesario para satisfacer la petici\u00f3n.
Por defecto se establecen 8 MB. Puede especificarse una cantidad mayor si as\u00ed se considera necesario, dependiendo esto de los h\u00e1bitos de los usuarios o
necesidades establecidas por el administrador.
Si se posee un servidor con al menos 128 MB de RAM, establezca 16 MB como valor para este par\u00e1metro:

cache_mem 16 MB

Par\u00e1metro cache_dir: \u00bfCuanto desea almacenar de Internet en el disco duro?
Este par\u00e1metro se utiliza para establecer que tama\u00f1o se desea que tenga el cache en el disco duro para Squid. Para entender esto un poco mejor, responda a
esta pregunta: \u00bfCuanto desea almacenar de Internet en el disco duro? Por defecto Squid utilizar\u00e1 un cache de 100 MB, de modo tal que encontrar\u00e1 la
siguiente l\u00ednea:

cache_dir ufs /var/spool/squid 100 16 256
Se puede incrementar el tama\u00f1o del cache hasta donde lo desee el administrador. Mientras m\u00e1s grande el cache, m\u00e1s objetos de almacenar\u00e1n en \u00e9ste y
por lo tanto se utilizar\u00e1 menos el ancho de banda. La siguiente l\u00ednea establece un cache de 700 MB:
cache_dir ufs /var/spool/squid 700 16 256
Los n\u00fameros16 y256 significan que el directorio del cache contendr\u00e1 16 subdirectorios con 256 niveles cada uno. No modifique esto n\u00fameros, no hay
necesidad de hacerlo.
Es muy importante considerar que si se especifica un determinado tama\u00f1o de cache y este excede al espacio real disponible en el disco duro, Squid se

bloquear\u00e1 inevitablemente. Sea cauteloso con el tama\u00f1o de cache especificado.
Par\u00e1metro ftp_user
Al acceder a un servidor FTP de manera an\u00f3nima, por defecto Squid enviar\u00e1 como contrase\u00f1a Squid@. Si se desea que el acceso an\u00f3nimo a los servidores

FTP sea m\u00e1s informativo, o bien si se desea acceder a servidores FTP que validan la autenticidad de la direcci\u00f3n de correo especificada como contrase\u00f1a,
puede especificarse la direcci\u00f3n de correo electr\u00f3nico que uno considere pertinente.
ftp_user proxy@su-dominio.net
Par\u00e1metro ftp_passive
Si se tiene un muro contrafuegos que no permite acceder a servidores FTP m\u00e1s que de modo pasivo, debe habilitarseftp_passive con el valoron.
ftp_passive on
Controles de acceso.
Es necesario establecer Listas de Control de Acceso que definan una red o bien ciertas maquinas en particular. A cada lista se le asignar\u00e1 unaRegla de
Control de Acceso que permitir\u00e1 o denegar\u00e1 el acceso a Squid. Procedamos a entender como definir unas y otras.
Listas de control de acceso.
Regularmente una lista de control de acceso se establece siguiendo la siguiente sintaxis:
acl [nombre de la lista] src [lo que compone a la lista]

Si uno desea establecer una lista de control de acceso que defina sin mayor trabajo adicional a toda la red local definiendo la IP que corresponde a la red y la
m\u00e1scara de la sub-red. Por ejemplo, si se tienen una red donde las m\u00e1quinas tienen direcciones IP 192.168.1.n con m\u00e1scara de sub-red 255.255.255.0,
podemos utilizar lo siguiente:

acl miredlocal src 192.168.1.0/255.255.255.0
Tambi\u00e9n puede definirse unaLista de Control de Acceso invocando un fichero localizado en cualquier parte del disco duro, y en el cual se en cuenta una
lista de direcciones IP. Ejemplo:acl permitidos "/etc/squid/permitidos"

You're Reading a Free Preview

Download
/*********** DO NOT ALTER ANYTHING BELOW THIS LINE ! ************/ var s_code=s.t();if(s_code)document.write(s_code)//-->