CONFIGURACION DE FIREWALL IPTABLES SERVIDOR PROXY SQUID FILTRO DANSGUARDIAN TODO EN UNO BASADO EN LINUX

DEFINICIONES SERVIDOR : En informtica, un servidor es una computadora que, formando parte de una red, provee servicios a otras computadoras denominadas clientes. CLIENTE : El cliente es una aplicacin informatica que se utiliza para acceder a los servicios que ofrece un servidor, normalmente a travs de una red de telecomunicaciones. El trmino se us inicialmente para los llamados terminales tontos, dispositivos que no eran capaces de ejecutar programas por s mismos, pero podan conectarse a un ordenador central y dejar que ste realizase todas las operaciones requeridas, mostrando luego los resultados al usuario. Se utilizaban sobre todo porque su coste en esos momentos era mucho menor que el de un ordenador. ENRUTAMIENTO : Encaminamiento (o enrutamiento, ruteo) es la funcin de buscar un camino entre todos los posibles en una red de paquetes cuyas topologas poseen una gran conectividad. Dado que se trata de encontrar la mejor ruta posible, lo primero ser definir qu se entiende por mejor ruta y en consecuencia cul es la mtrica que se debe utilizar para medirla. IPTABLES : El componente ms popular construido sobre Netfilter es iptables, una herramientas de cortafuegos que permite no solamente filtrar paquetes, sino tambin realizar traduccin de direcciones de red (NAT) para IPv4 o mantener registros de log. El proyecto Netfilter no slo ofrece componentes disponibles como mdulos del ncleo sino que tambin ofrece herramientas de espacio de usuario y libreras. Iptables es el nombre de la herramienta de espacio de usuario mediante la cual el administrador puede definir polticas de filtrado del trfico que circula por la red. El nombre iptables se utiliza frecuentemente de forma errnea para referirse a toda la infraestructura ofrecida por el proyecto Netfilter. Sin embargo, el proyecto ofrece otros subsistemas independientes de iptables tales como el connection tracking system o sistema de seguimiento de conexiones, o que, que permite encolar paquetes para que sean tratados desde espacio de usuario. iptables es un software disponible en prcticamente todas las distribuciones de Linux actuales. SERVIDOR PROXY : En el contexto de las redes informticas, el trmino proxy hace referencia a un programa o dispositivo que realiza una accin en representacin de otro. Su finalidad ms habitual es la de servidor proxy, que sirve para permitir el acceso a Internet a todos los equipos de una organizacin cuando slo se puede disponer de un nico equipo conectado, esto es, una nica direccin IP. SQUID : Squid es un popular programa de software libre que implementa un servidor proxy y un dominio para cach de pginas web, publicado bajo licencia GPL. Tiene una amplia variedad de utilidades, desde acelerar un servidor web, guardando en cach peticiones repetidas a DNS y otras bsquedas para un grupo de gente que comparte recursos de la red, hasta cach de web, adems de aadir seguridad filtrando el trfico. Est especialmente diseado para ejecutarse bajo entornos tipo Unix. Squid ha sido desarrollado durante muchos aos y se le considera muy completo y robusto. Aunque orientado a principalmente a HTTP y FTP es compatible con otros protocolos como Internet Gopher. Implementa varias modalidades de cifrado como TLS, SSL, y HTTPS. DANSGUARDIAN : DansGuardian es un software de control de contenidos, diseado para controlar el acceso a sitios web. Incluye un filtro de virus, importante en sistemas Windows, es usado principalmente en instituciones de educacin, gobierno y empresas. Se caracteriza por su alto grado de flexibilidad y adaptacin de la implementacin. DansGuardian se instala en un ordenador (servidor) con el sistema operativo GNU/Linux, y filtrar contenidos de webs solicitadas por el resto de ordenadores (independientemente del sistema operativo que tengan instalado). Para filtrar contenido usa comparacin de caracteres, filtro PICS y filtro por URL. Este software se ofrece con una doble licencia: GPL v2 o comercial (dependiendo de su uso).

SARG : Sarg es un programa para ver los informes de uso del Squid de una red. En palabras de su programador: Sarg es un generador de reportes de squid para el analisis que te permite ver "dnde" estn yendo tus usuarios dentro de Internet. Sarg genera informes en html, con muchos campos, como: usuarios, Direcciones IP, bytes transmitidos, sitios web and tiempos. CONTEXTUALIZACIN Este proyecto nace de la necesidad de tener un control mas riguroso del acceso a Internet de los usuarios que tienen permisos de uso del mismo, el acceso al servicio de Internet esta permitido para unos y denegado totalmente para otros, los usuarios a los que se les permite la salida no tienen ningun tipo de restricciones este acceso se da en su totalidad, los usuarios que no tienen acceso a Internet han encontrado la formula para permitirsen al acceso, ya que la restriccin que existe es a nivel de direcciones IP (no permitidas 192.168.1.3 192.168.1.99 / permitidas 192.168.1.100 192.168.1.253 )en el router de salida los usuarios suelen cambiar su direccion IP por una mayor ala direccion 192.168.1.100 para obtener la conexin. Como es logico esto ha permitido un mal uso del recurso de conectividad asi como la descarga y el acceso a paginas de dudosa reputacion que podrian poner en peligro la estabilidad, seguridad y confidencialidad del sistema y los datos de la organizacin, ademas de el uso de tiempo de la organizacin por parte del usuario en actividades no correspondientes con su trabajo el ancho de banda esta siendo mal utilizado. Contemplando los hechos se quiso encontrar una solucion a esta problemtica se queria implementar una solucion que fuera robusta y no generara alto costo en su implementacion, luego de varias comparativas y averiguaciones se opto por implementar una solucion basada en software libre que estuviera cimentada en la arquitectura LINUX conociendo de antemano las bondades que en materia de costo-beneficio, arquitectura, flexibilidad, desarrollo y escalabilidad ofrece este sistema operativo. Las conclusiones apuntaron a la implementacion de un sistema en el cual un servidor sera el firewall el cual filtrara y tendra el control del 100% de los paquetes de red de la organizacin este firewall sera basado en el sistema IPTABLES de NETFILTER, el servicio de Internet sera distribuido por el servidor PROXY basado en SQUID, se tendra un filtro de contenidos web el cual sera DANSGUARDIAN y un generador de reportes de navegacin el cual sera SARG todo corriendo sobre una misma maquina basada en LINUX DEBIAN LENNY 5.0.

PREPARANDO EL SERVIDOR Como ya se ha comentado antes todos los recursos y herramientas (firewall, servidor Proxy, filtro de contenidos) seran implementadas en una sola maquina se utilizo una maquina con las siguientes caracteristicas : Procesador Intel Pentium IV 1.9 Ghz. Mainboard Intel 845PE. Memoria RAM DDR 1 Gb. Disco Duro 30 Gb. 2 tarjetas de red , 1 integrada, 1 externa PCI Sistema operativo LINUX DEBIAN LENNY 5.0

El sistema operativo se instala de forma normal agregando en la instalacion servidor WEB, servidor DNS, servidor SQL.

Se recomienda realizar la instalacin del sistema operativo solo con la tarjeta de red integrada, luego de instalar el sistema operativo y de haber realizado las actualizaciones del sistema podr instalar la 2 tarjeta de red.

Luego de terminada al instalacion es necesario actualizar los paquetes y el sistema esto se logra con los comandos : aptitude update aptitude upgrade

tenido en cuenta el esquema de red LAN de la organizacin como se muestra en el esquema.

(192.168.1.1) __________ _____________ _______ | | (eth0) | | (eth1) | | | modem | ==============| servidor |================| pc | |__________|190.146.239.34 |_____________|(192.1.2.0/254) |_______| || || || (192.168.1.0/254) || (eth1) || || || _______ | | | pc | |_______| Como se puede observar en nuestro esquema contamos con una red que esta sub-dividida en dos sub-redes una que contienen el rango de direcciones IPS 192.168.1.0/24 y la otra con que contiene el rango de direcciones IPs 192.168.2.0/24. El primer rango de 192.168.1.3 192.168.1.254 sera el segmento utilizado por todos aquellos usuarios a los cuales no se les permite la conexin a Internet este segmento de red debe quedar totalmente impedido de realizar una conexin con el exterior. El segundo segmento comprendido entre 192.168.2.0/24 sera el segmento de red con permisos de navegacin a Internet pero sera un acceso limitado donde no se permitira la descarga de archivos asi como el acceso a sitios de juegos, Facebook, youtube entre otros.

Segn nuestro esquema una tarjeta se comunicara con la red externa atravez del cablemodem del ISP, es decir una tarjeta obtendra conexin a Internet, como nuestro servidor hara la labor de firewall y pasarella sobre esta tarjeta de red se aplicara una configuracin de direccion ip estatica asignando la direccion IP publica suministrada por el proveedor ISP. La segunda tarjeta de red tambien tendra configurada una direccion IP fija pero esta sera una direccion IP de la red LAN, la cual debera luego ser aplicada como puerta de enlace en los equipos clientes de la red LAN.

PC
Eth1 Eth0

PC

192.168.1.1

SERVIDOR

190.146.239.34

INTERNET

PC

Para unir los segmentos de red de 192.168.1.0/24 y 192.168.2.0/24 debemos aplicar una regla de routeo como veremos mas adelante.

Continuando con nuestro proceso de configuracin podemos decir que por el momento necesitamos tener funcionando las dos tarjetas de red una con la conexin a Internet ya sea DHCP o por IP fija, y otra con la direccion de IP de la red LAN para nuestro caso quedarian de la siguiente forma :

RED LAN INTERNET

Es claro que en este punto deberiamos sin problema poder tener acceso desde el SERVIDOR LINUX a cualquier PC de la red LAN que se encuentre dentro del rango de direcciones IP 192.168.1.0/24 y tambien tener acceso a Internet, si no es asi es necesario revisar la configuracin de red de ambas tarjetas asi como revisar las conexiones.

INSTALACION DE SQUID Continuando con la preparacion de nuestro servidor y ya teniendo definida y funcionando nuestras tarjetas de red procederemos a la instalacion de las diversas aplicaciones y servicios requeridos para nuestro proyecto. La instalacion de SQUID se puede realizar por comando directamente desde consola desde cualquier distribucin de LINUX dentro de las pruebas que se realizaron durante el desarrollo de este proyecto y especficamente sobre la distribucin LINUX DEBIAN LENNY 5.0 se opto por utilizar la herramienta SYNAPTIC, esto se decidio ya que al tratar de realzar la instalacion de SQUID atravez del apt-get por consola se produjeron varios inconvenientes entre otros la descarga de la ultima version NO ESTABLE de SQUID, aqu es necesario realizar un parntesis para decir que es conveniente aplicar e instalar versiones estables de cada una de la aplicaciones ya que el sistema funcionara en un entorno real con todos los inconvenientes que esto pueda generar. Continuando con nuestro proceso de instalacion diremos que independiente de la distribucin de LINUX o el metodo de instalacion que prefiera sugerimos la instalacion de una version estable, para nuestro caso y ala fecha de generacion de este documento se instala SQUID 2.7.STABLE3-4.1 como lo habiamos comentado anteriormente el proceso de instalacion se realiza atravs de SYNAPTIC, no entraremos en detalles de cmo realizar este proceso solo diremos que basta con correr la aplicacin SYNAPTIC realizar la busqueda de SQUID en la casilla de busqueda, apareceran varios resultados de la busqueda seleccione la version deseada y luego en instalar luego de unos segundos la aplicacin quedara instalada. INSTALACION DE DANSGUARDIAN Como ya se ha comentado anteriormente DANSGUARDIAN es el filtro de contenidos este trabaja de la mano del SERVIDOR PROXY SQUID una alianza muy productiva. La instalacion de este servicio tambien la realizaremos atravez de SYNAPTIC como ya se explico en el apartado anterior. Para nuestro caso fue necesario modificar las opciones de configuracin de repositorios de SYNAPTIC ya que al momento de realizar la busqueda del paquete este no pudo encontrarlo, para nuestro caso LINUX DEBIAN LENNY 5.0 estando en la ventana de configuracin de SYNAPTIC ingresamos por configuracin repositorios dentro de este panel activamos las tres casillas que se muestran, luego volveremos a realizar la busqueda nuevamente del paquete DANSGUARDIAN y procederemos a su instalacion.

INSTALACION DE IPTABLES Iptables viene por defecto preinstalado en las distribuciones mas usadas si no es asi se debera instalarla este procedimiento se puede realizar desde consola, para nuestro caso sera : apt-get install iptables En este punto tenemos los tres servicios requeridos para nuestro proyecto: FIREWALL IPTABLES SERVIDOR PROXY SQUID FILTRO CONTENIDOS DANSGUARDIAN

Ahora vendremos con la configuracin

CONFIGURACION DE ENRUTAMIENTO Lo primero que configuraremos es el enrutamiento ya que requerimos en principio que la red este funcionando sin problemas, que exista conectividad de todos los actores de la red, tanto del segmento de red 192.168.1.0/24 con el segmento de red 192.168.2.0/24 y todos a su vez con el SERVIDOR esto lo lograremos con la inclusin de una simple regla de routeo sobre la tarjeta de red que administrara la conexin con la red LAN, la regla debera ser aplicada al archivo interfaces el cual se encuentra ubicado en : /etc/network/ aqu la estructura del archivo :
auto lo iface lo inet loopback iface eth0 inet static address 190.146.239.34 netmask 255.255.255.0 gateway 190.146.239.1 auto eth0 iface eth1 inet static address 192.168.1.1 netmask 255.255.255.0 up route add -net 192.168.2.0/24 dev eth1 auto eth1

Este archivo es generado como se puede ver con la configuracion que hayamos puesto a nuestras interfaces de red, donde podemos ver la identificacin de cada interface (eth0-eth1) y su correspondiente direccion IP y mascara de red y puerta de enlace, hemos resaltado en color rojo las lineas que son interesan para ilustrar. Vemos que la regla se aplica a eth1 como ya habiamos comentado anteriormente ya que esta tarjeta administra la conectividad de los dos segmentos de red la regla up route add -net 192.168.2.0/24 dev eth1 esta regla agrega coneccion y permite el reenvio de paquetes entre el segmento 192.168.1.0/24 y 192.168.2.0/24 siempre y cuando los PCs clientes tengan como puerta de enlace la direccion IP del SERVIDOR LINUX es decir tengan como Gateway la direccion IP 192.168.1.1, esto permitira entre computadores de los dos segmentos hacer ping , acceder a recursos compartidos etc. Se debe agregar al archivo Interfaces para que al reiniciar el SERVIDOR LINUX no se pierda la configuracin y este carge la regla automticamente. La configuracin de red para los PCs clienes podria ser de la siguiente forma usted decidira que clases de direcciones IP utilizara en su red.

CLIENTE SIN INTERNET

CLIENTE CON INTERNET

Podemos observar que en cualquiera de los casos ya sea si el cliente se le permite o no el acceso a Internet la puerta de enlace o Gateway es siempre la direccion IP de nuestro SERVIDOR LINUX, en este momento es posible que los clientes naveguen ya que no hemos concluido la configuracin pero en este punto usted debe poder conectarse con cualquier PC de la red LAN en cualquiera de los dos segmentos de red, si no es asi habria que revisar de nuevo la configuracin antes descrita. CONFIGURACION DE SQUID La configuracin de SQUID se realiza sobre el fichero squid.conf que se encuentra en la ruta /etc/squid dentro de este fichero se encuentran miles de opciones que componen la configuracin de SQUID en este documento solo se mencionaran las opciones basicas requeridas para alcanzar nuestro objetivo, se recomienda consultar la documentacin oficial para profundizar en otros aspectos de la configuracin y estructura de SQUID. Lo primero que debemos realizar es la configuracin de los puertos y direccion IP del servidor donde se correra el servicio PROXY, ingresando al archivo squid.conf buscamos las lineas que contengan : http_port : 3128 === Puerto por defecto donde se ejecuta el servicio de squid y la complementamos con la direccion IP de nuestro SERVIDOR LINUX quedando de la siguiente forma http_port 192.168.1.1:3128 === en esta linea estamos informandole a SQUID que va ha escuchar el puerto 3128 de la direccion IP 192.168.1.1, que es esa la direccion del SERVIDOR PROXY. SQUID usa las tan famosas ACLs ( lista de control de acceso ) que no son mas que listas que asocian o agrupan un conjunto de elementos para ejercer sobre ellos determinada accion, ya teniendo el SERVIDOR SQUID corriendo debemos crear la primera ACL que nos permitira crear el primer grupo el cual tendra permisos de navegacin. (para nuestro caso no se denegara ningun grupo de direcciones IP ya que en particular nosotros haremos denegacion de comunicacin de puertos atravez de IPTABLES ) nuestras ACLs seran las siguientes :

acl bastardos src 192.168.1.0/24 acl iluminados src 192.168.2.0/24 En un principio se habian dividido dos grupos con respecto a sus rangos de direcciones IP y sus permisos de navagacion el grupo bastardos sin permisos de conexin, y el grupo iluminados el cual tendra permisos de conexin. Pero se requieria que todos los PCs de la red LAN se conectaran por puerto 80 a un PC

definido dentro de la red LAN lo cual SQUID no permitia esto lo que obligo a permitir los dos rangos en SQUID y realizar otro tipo de bloque del segmento 192.168.1.0/24 que no tiene permisos de navegacin
seguido esto guardamos el archivo y reiniciamos el servicio de SQUID para hacer esto /etc/init.d/squid restart al terminar de reiniciar el servicio podemos configurar el navegador de cualquier PC de la LAN y confirma Configuracion de SQUID sacado de : http://www.bulma.net/body.phtml?nIdNoticia=441 CONFIGURACION DE DANSGUARDIAN La configuracin de DANSGUARDIAN se realiza mediante el archivo dansguardian.conf que se encuentra en la ruta /etc/dansguardian/ en este archivo se encuentran todos los parmetros de configuracin del servicio. Lo primero que realizaremos sera comentar o borrar la linea : #UNCONFIGURED - Please remove this line after configuration Luego verificamos las lineas : Proxyip = 192.168.1.1 ==== Como su nombre lo dice direccion IP del servidor donde esta corriendo SQUID proxyport = 3128 === El puerto en el que funciona SQUID Esta seria todo en cuanto a la configuracin de DANSGUARDIAN, hasta el momento no tenemos aplicada ninguna restriccin de acceso solo estan configurados los servicios, para aplicar la configuracin de DANSGUARDIAN guardamos el archivo dansguardian.conf y reiniciamos el servicio /etc/init.d/dansguardian restart Configuracion de DANSGUARDIAN sacado de : http://blog.debian.org.sv/?p=30 si todo marcha bien solo falta hechar mano de los archivos de configuracin para realizar el correspondiente bloqueo de accesos y permisos, para esto DANSGUARDIAN dispone de un conjunto de listas las en las cuales se permiten o deniegan estos procedimientos, estas listas estan ubicadas en : /etc/dansguardian/lists/ no haremos mencion a todas solo se trataran las que hemos tenido que modificar para este proyecto. Bannedphraselist ==== en esta lista se definiran todas aquellas palabras que se quieren bloquear, bloqueo por contenido de palabras para nuestro caso por ejemplo se han bloqueado palabras como : sex, sexo, game, Messenger, ebuddy, Hotmail, meebo, etc cualquier pagina que contenga esta palabra sera bloqueada y no se permitira su acceso. Bannedsitelist ===== lista donde se aplican los sitios web directamente bloqueados ejemplo : Hotmail.com, youtube.com, Factbook.com etc. Exceptioniplist ==== en este archivo se especifican las direcciones ip que no tendrn problemas para navegar, estas ips podrn realizar todos los procesos sin ningn tipo de restriccin .

CONFIGURACION DE IPTABLES

Iptables es uno de los servicios mas potentes que se puedan encontrar para el direccionamiento y control de paquetes es una herramienta muy potente y verstil al mismo tiempo que compleja, para nuestro caso usaremos una configuracin muy basica que si bien es funcional para nuestra situacin requiere de un refinamiento mas apropiado, se recomienda profundizar en este tema ya que se considera de vital importancia no solo para este caso si no a nivel general dentro del ambito de seguridad informatica y dentro del ambiente LINUX. Para contextualizar un poco nuestro caso podemos decir que en este momento requerimos de nuestro FIREWALL : Que enmascare la salida del segmento de red 192.168.2.0/24 para tener acceso a Internet No permita conexiones entrantes a la red LAN desde el exterior No permita conexiones salientes desde la red LAN hacia exterior No permita conexin del segmento 192.168.1.0/24 al SERVIDOR SQUID a los puertos 8080 y 3128

///////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////// EN ESTE MOMENTO SOLO SE CUMPLEN : 1 y 4 ver archivo firewall.sh ver reglas de iptables empleadas /////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

IPTABLES a pesar de estar instalado no contiene ninguna regla, es decir que no esta realizando ningun filtro ya que sus reglas son reseteadas al reiniciar el sistema para esto debemos crear nuestro script de configuracin con las reglas IPTABLES. Para crear nuestro script de IPTABLES debemos realizar lo siguiente : Crar un archivo del tipo .sh el cual sera nuestro script con las reglas de IPTABLES por ejemplo : firewall.sh Guardar este archivo en : /etc/init.d/ Asignar permisos de ejecucin del archivo : chmod +x nombre_script.sh ejemplo: chmod +x firewall.sh Aplica el script : sh firewall.sh Incluir el script en rc.d para que se cargue automticamente al iniciar el sistema : update-rc.d firewall.sh defaults. Reiniciar el servidor

Configuracion de IPTABLES sacado de : www.osties.com/?p=24

-en los clientes web es necesario realizar configuracion de la ip del server con puerto 8080 (puerto de dansguardian) -la lista de sitios bloqueados se encuentra en : /etc/dansguardian/lists en este directorio se encuentra el archivo :bannedsitelist donde se deben registrar los sitios que se quieren bloquear.

/// SEGMENTACION DE RED //////// para este que es nuestro caso en el que requerimos dos redes de segmentos diferentes una tarjeta (eth1 en servidor)esta sera la encargada de dar la salida a internet atravez de la direccion ip 192.168.0.100 la cual conecta con el modem del ISP (proveedor de internet) tal como si fuera un pc normal que trata de obtener internet de forma convencional..

(192.168.1.1) __________ _____________ _______ | | | | (eth0) | | | modem | =========| servidor |================| pc | |__________| |_____________|(192.1.2.0/254) |_______| || || || (192.168.1.2/254) || (eth0) || || || _______ | | | pc | |_______|

de acuerdo a al segmento de red y calculando que mascara de red necesitamos para las subredes en cada segmento ( ver calcular subneting de redes). para calcular ................................................. .......................

se aplica regla ip route en la tarjeta que se encarga de manejar la red interna (eth1 esta regla la utilizamos para unir los 2 segmentos de red 192.168.1.1/24 y 192.168.2.1/24 regla route aplicada al archivo /etc/network/interfaces regla : route add -net 192.168.2.0/24 dev eth.

se aplica a eth1 la cual tiene ip 192.168.1.1 direccion del servidor proxy y del firewall el cual actuara como puerta de enlace en los pcs cliente.

otros sitios : http://dansguardian.org/downloads/detailedinstallation2-spanish.html

::::::::::::::::::::::::::

IPTABLES

::::::::::::::::::::::::::::

en caso de querer utilizar un proxy transparente y para efectos de control de puertos se deben implementar reglas de iptables, para nuestros caso que usamos dansguardian y este filtra por puerto 8080 se requiere trasladar todo el trafico de http(puerto 80) al 8080 para que sea este quien lo administra. para esto es necesario tener iptables instalado aunque este ya viene incluido conviene verificar si se encuentra o no instalado, las reglas iptables no se cargan automaticamente estas se ejecutan mediante un scrip en el cual se deben registrar y luego realizar inclusion de este archivo en : rc.d. 1. crear un archivo .sh con el nombre del firewall o las reglas, ejem firewall.sh, este archivo se guardara en /etc/init.d/ "en debian" 2. dentro de este archivo se pondran las reglas iptables que se desean aplicar 3. damos permisos de ejecucion: chmod +x firewall.sh 4. aplicamos o corremos el scrip : sh firewall.sh (podemos ver la salida del scrip con : iptables -L 5. cargando el scrip al inicio : el scrip debe estar en /etc/init.d/ .. luego ejecutar : update-rc.d firewall.sh defaults es posible que se requiera reiniciar el servidor sacado de : www.osties.com/?p=24

:::::::: BUSQUEDAS PENDIENTES X REALIZAR CON EL TEMA ACTUAL :::::::::

-listas blancas y listas negras en squid + dansguardian -como agragar una lista negra a squid + dansguardian

:::::::::: APLICANDO REGLAS DE ROUTEO ASIGNANDO A TABLAS DE ROUTEO :::::::::: -pc linux con 2 tarjetas de red cada una configurada con direccion correspodiente a segmento de red x unir, -se activa el nat del linux : echo "1" > /proc/sys/net/ipv4/ip_forward ip

/// PENDIENTE X EVALUAR , PROCEDIMIENTO FUNCIONA FALTAN DEFINICION EXACTA DE APLICACION DE COMANDOS Y REGLAS -se aplican tablas de routeo en el servidor linux -se aplican las reglas y tablas de routeo en los pcs clientes -se aplica en los pcs clientes como puerta de enlace direccion ip del servidor linux /// pendiente definir cual de las dos ips del server, ver prints ventanas ///// -utilizando el caractar ! se pueden hacer excepciones en squid si se puede hacer esto se puede bloquear toda la red de bastardos (192.168.1.0/24) hacer excepcion a 192.168.1.1 para ver si por eso es que no funciona el filtro/bloqueo de segmento x redes de squid

En el archivo squid.conf se aplicanron 2 lineas que estn asuguran y forzan a que sea dansguardian quien realice el filtrado de la navegacin web lo que permitio realizan un filtrado mas selectivo y preciso

follow_x_forwarded_for allow dansguardian acl_uses_indirect_client on

los permisos y denegacion de ips se realiza en el archivo que se encuentra en /etc/dansguardian/list : exceptioniplis bloqueo de palabras se encuentra en el archivo bannedphraselist