CONFIGURACION DE FIREWALL IPTABLES – SERVIDOR PROXY SQUID – FILTRO DANSGUARDIAN TODO EN UNO BASADO EN LINUX

DEFINICIONES SERVIDOR : En informática, un servidor es una computadora que, formando parte de una red, provee servicios a otras computadoras denominadas clientes. CLIENTE : El cliente es una aplicación informatica que se utiliza para acceder a los servicios que ofrece un servidor, normalmente a través de una red de telecomunicaciones. El término se usó inicialmente para los llamados terminales tontos, dispositivos que no eran capaces de ejecutar programas por sí mismos, pero podían conectarse a un ordenador central y dejar que éste realizase todas las operaciones requeridas, mostrando luego los resultados al usuario. Se utilizaban sobre todo porque su coste en esos momentos era mucho menor que el de un ordenador. ENRUTAMIENTO : Encaminamiento (o enrutamiento, ruteo) es la función de buscar un camino entre todos los posibles en una red de paquetes cuyas topologías poseen una gran conectividad. Dado que se trata de encontrar la mejor ruta posible, lo primero será definir qué se entiende por mejor ruta y en consecuencia cuál es la métrica que se debe utilizar para medirla. IPTABLES : El componente más popular construido sobre Netfilter es iptables, una herramientas de cortafuegos que permite no solamente filtrar paquetes, sino también realizar traducción de direcciones de red (NAT) para IPv4 o mantener registros de log. El proyecto Netfilter no sólo ofrece componentes disponibles como módulos del núcleo sino que también ofrece herramientas de espacio de usuario y librerías. Iptables es el nombre de la herramienta de espacio de usuario mediante la cual el administrador puede definir políticas de filtrado del tráfico que circula por la red. El nombre iptables se utiliza frecuentemente de forma errónea para referirse a toda la infraestructura ofrecida por el proyecto Netfilter. Sin embargo, el proyecto ofrece otros subsistemas independientes de iptables tales como el connection tracking system o sistema de seguimiento de conexiones, o que, que permite encolar paquetes para que sean tratados desde espacio de usuario. iptables es un software disponible en prácticamente todas las distribuciones de Linux actuales. SERVIDOR PROXY : En el contexto de las redes informáticas, el término proxy hace referencia a un programa o dispositivo que realiza una acción en representación de otro. Su finalidad más habitual es la de servidor proxy, que sirve para permitir el acceso a Internet a todos los equipos de una organización cuando sólo se puede disponer de un único equipo conectado, esto es, una única dirección IP. SQUID : Squid es un popular programa de software libre que implementa un servidor proxy y un dominio para caché de páginas web, publicado bajo licencia GPL. Tiene una amplia variedad de utilidades, desde acelerar un servidor web, guardando en caché peticiones repetidas a DNS y otras búsquedas para un grupo de gente que comparte recursos de la red, hasta caché de web, además de añadir seguridad filtrando el tráfico. Está especialmente diseñado para ejecutarse bajo entornos tipo Unix. Squid ha sido desarrollado durante muchos años y se le considera muy completo y robusto. Aunque orientado a principalmente a HTTP y FTP es compatible con otros protocolos como Internet Gopher. Implementa varias modalidades de cifrado como TLS, SSL, y HTTPS. DANSGUARDIAN : DansGuardian es un software de control de contenidos, diseñado para controlar el acceso a sitios web. Incluye un filtro de virus, importante en sistemas Windows, es usado principalmente en instituciones de educación, gobierno y empresas. Se caracteriza por su alto grado de flexibilidad y adaptación de la implementación. DansGuardian se instala en un ordenador (servidor) con el sistema operativo GNU/Linux, y filtrará contenidos de webs solicitadas por el resto de ordenadores (independientemente del sistema operativo que tengan instalado). Para filtrar contenido usa comparación de caracteres, filtro PICS y filtro por URL. Este software se ofrece con una doble licencia: GPL v2 o comercial (dependiendo de su uso).

Disco Duro 30 Gb.1. filtro de contenidos) seran implementadas en una sola maquina se utilizo una maquina con las siguientes caracteristicas :       Procesador Intel® Pentium® IV 1. los usuarios a los que se les permite la salida no tienen ningun tipo de restricciones este acceso se da en su totalidad. Direcciones IP. Sarg genera informes en html. ya que la restricción que existe es a nivel de direcciones IP (no permitidas 192. como: usuarios.SARG : Sarg es un programa para ver los informes de uso del Squid de una red. Memoria RAM DDR 1 Gb. luego de instalar el sistema operativo y de haber realizado las actualizaciones del sistema podrá instalar la 2° tarjeta de red. En palabras de su programador: Sarg es un generador de reportes de squid para el analisis que te permite ver "dónde" están yendo tus usuarios dentro de Internet. sitios web and tiempos. 2 tarjetas de red . CONTEXTUALIZACIÓN Este proyecto nace de la necesidad de tener un control mas riguroso del acceso a Internet de los usuarios que tienen permisos de uso del mismo. servidor DNS.1. con muchos campos. Mainboard Intel® 845PE. ademas de el uso de tiempo de la organización por parte del usuario en actividades no correspondientes con su trabajo el ancho de banda esta siendo mal utilizado.3 – 192. los usuarios que no tienen acceso a Internet han encontrado la formula para permitirsen al acceso.1.168. se tendra un filtro de contenidos web el cual sera DANSGUARDIAN y un generador de reportes de navegación el cual sera SARG todo corriendo sobre una misma maquina basada en LINUX DEBIAN LENNY 5. Como es logico esto ha permitido un mal uso del recurso de conectividad asi como la descarga y el acceso a paginas de dudosa reputacion que podrian poner en peligro la estabilidad. 1 externa PCI Sistema operativo LINUX DEBIAN LENNY 5.1.1. bytes transmitidos. flexibilidad. PREPARANDO EL SERVIDOR Como ya se ha comentado antes todos los recursos y herramientas (firewall. el acceso al servicio de Internet esta permitido para unos y denegado totalmente para otros. seguridad y confidencialidad del sistema y los datos de la organización.100 – 192. servidor Proxy. Las conclusiones apuntaron a la implementacion de un sistema en el cual un servidor sera el firewall el cual filtrara y tendra el control del 100% de los paquetes de red de la organización este firewall sera basado en el sistema IPTABLES de NETFILTER. el servicio de Internet sera distribuido por el servidor PROXY basado en SQUID.0.99 / permitidas 192.9 Ghz. Contemplando los hechos se quiso encontrar una solucion a esta problemática se queria implementar una solucion que fuera robusta y no generara alto costo en su implementacion. arquitectura. 1 integrada. luego de varias comparativas y averiguaciones se opto por implementar una solucion basada en software libre que estuviera cimentada en la arquitectura LINUX conociendo de antemano las bondades que en materia de costo-beneficio. desarrollo y escalabilidad ofrece este sistema operativo.253 )en el router de salida los usuarios suelen cambiar su direccion IP por una mayor ala direccion 192.168. Se recomienda realizar la instalación del sistema operativo solo con la tarjeta de red integrada.0 El sistema operativo se instala de forma normal agregando en la instalacion servidor WEB.168. Luego de terminada al instalacion es necesario actualizar los paquetes y el sistema esto se logra con los comandos : aptitude update aptitude upgrade .168. servidor SQL.100 para obtener la conexión.168.

0/24 y 192.1.168.0/24 debemos aplicar una regla de routeo como veremos mas adelante.1. El primer rango de 192.2.tenido en cuenta el esquema de red LAN de la organización como se muestra en el esquema.34 INTERNET PC Para unir los segmentos de red de 192.168.168. la cual debera luego ser aplicada como puerta de enlace en los equipos clientes de la red LAN. como nuestro servidor hara la labor de firewall y pasarella sobre esta tarjeta de red se aplicara una configuración de direccion ip estatica asignando la direccion IP publica suministrada por el proveedor ISP.239.0/24 y la otra con que contiene el rango de direcciones IPs 192.168. El segundo segmento comprendido entre 192.0/24.34 |_____________|(192.1.2.2. (192.168.0/254) || (eth1) || || || _______ | | | pc | |_______| Como se puede observar en nuestro esquema contamos con una red que esta sub-dividida en dos sub-redes una que contienen el rango de direcciones IPS 192.0/24 sera el segmento de red con permisos de navegación a Internet pero sera un acceso limitado donde no se permitira la descarga de archivos asi como el acceso a sitios de juegos.3 – 192.1. es decir una tarjeta obtendra conexión a Internet. .0/254) |_______| || || || (192.1.168.1 SERVIDOR 190. La segunda tarjeta de red tambien tendra configurada una direccion IP fija pero esta sera una direccion IP de la red LAN.1. youtube entre otros. Facebook.146.1.168.168.1) __________ _____________ _______ | | (eth0) | | (eth1) | | | modem | ==============| servidor |================| pc | |__________|190. PC Eth1 Eth0 PC 192.254 sera el segmento utilizado por todos aquellos usuarios a los cuales no se les permite la conexión a Internet este segmento de red debe quedar totalmente impedido de realizar una conexión con el exterior.1. Según nuestro esquema una tarjeta se comunicara con la red externa atravez del cablemodem del ISP.168.146.239.168.2.

para nuestro caso y ala fecha de generacion de este documento se instala SQUID 2.0 estando en la ventana de configuración de SYNAPTIC ingresamos por configuración – repositorios dentro de este panel activamos las tres casillas que se muestran. INSTALACION DE DANSGUARDIAN Como ya se ha comentado anteriormente DANSGUARDIAN es el filtro de contenidos este trabaja de la mano del SERVIDOR PROXY SQUID una alianza muy productiva. y otra con la direccion de IP de la red LAN para nuestro caso quedarian de la siguiente forma : RED LAN INTERNET Es claro que en este punto deberiamos sin problema poder tener acceso desde el SERVIDOR LINUX a cualquier PC de la red LAN que se encuentre dentro del rango de direcciones IP 192.1.0/24 y tambien tener acceso a Internet.STABLE3-4. Para nuestro caso fue necesario modificar las opciones de configuración de repositorios de SYNAPTIC ya que al momento de realizar la busqueda del paquete este no pudo encontrarlo. si no es asi es necesario revisar la configuración de red de ambas tarjetas asi como revisar las conexiones. INSTALACION DE SQUID Continuando con la preparacion de nuestro servidor y ya teniendo definida y funcionando nuestras tarjetas de red procederemos a la instalacion de las diversas aplicaciones y servicios requeridos para nuestro proyecto.Continuando con nuestro proceso de configuración podemos decir que por el momento necesitamos tener funcionando las dos tarjetas de red una con la conexión a Internet ya sea DHCP o por IP fija.0 se opto por utilizar la herramienta SYNAPTIC. aquí es necesario realizar un paréntesis para decir que es conveniente aplicar e instalar versiones estables de cada una de la aplicaciones ya que el sistema funcionara en un entorno real con todos los inconvenientes que esto pueda generar. esto se decidio ya que al tratar de realzar la instalacion de SQUID atravez del apt-get por consola se produjeron varios inconvenientes entre otros la descarga de la ultima version NO ESTABLE de SQUID. para nuestro caso LINUX DEBIAN LENNY 5. no entraremos en detalles de cómo realizar este proceso solo diremos que basta con correr la aplicación SYNAPTIC realizar la busqueda de SQUID en la casilla de busqueda.7.1 como lo habiamos comentado anteriormente el proceso de instalacion se realiza através de SYNAPTIC. Continuando con nuestro proceso de instalacion diremos que independiente de la distribución de LINUX o el metodo de instalacion que prefiera sugerimos la instalacion de una version estable. . luego volveremos a realizar la busqueda nuevamente del paquete DANSGUARDIAN y procederemos a su instalacion. La instalacion de SQUID se puede realizar por comando directamente desde consola desde cualquier distribución de LINUX dentro de las pruebas que se realizaron durante el desarrollo de este proyecto y específicamente sobre la distribución LINUX DEBIAN LENNY 5. apareceran varios resultados de la busqueda seleccione la version deseada y luego en instalar luego de unos segundos la aplicación quedara instalada. La instalacion de este servicio tambien la realizaremos atravez de SYNAPTIC como ya se explico en el apartado anterior.168.

0 gateway 190.168.168.1 netmask 255.0/24 con el segmento de red 192.168.146. .1.168. hemos resaltado en color rojo las lineas que son interesan para ilustrar.0/24 y 192.0/24 dev eth1 esta regla agrega coneccion y permite el reenvio de paquetes entre el segmento 192.255.34 netmask 255.255.INSTALACION DE IPTABLES Iptables viene por defecto preinstalado en las distribuciones mas usadas si no es asi se debera instalarla este procedimiento se puede realizar desde consola. La configuración de red para los PCs clienes podria ser de la siguiente forma usted decidira que clases de direcciones IP utilizara en su red. esto permitira entre computadores de los dos segmentos hacer ping . tanto del segmento de red 192.168.1. la regla debera ser aplicada al archivo interfaces el cual se encuentra ubicado en : /etc/network/ aquí la estructura del archivo : auto lo iface lo inet loopback iface eth0 inet static address 190.146.168.2.0/24 y todos a su vez con el SERVIDOR esto lo lograremos con la inclusión de una simple regla de routeo sobre la tarjeta de red que administrara la conexión con la red LAN.0/24 siempre y cuando los PCs clientes tengan como puerta de enlace la direccion IP del SERVIDOR LINUX es decir tengan como Gateway la direccion IP 192.255. Vemos que la regla se aplica a eth1 como ya habiamos comentado anteriormente ya que esta tarjeta administra la conectividad de los dos segmentos de red la regla up route add -net 192.2.168.168.0/24 dev eth1 auto eth1 Este archivo es generado como se puede ver con la configuracion que hayamos puesto a nuestras interfaces de red. acceder a recursos compartidos etc. para nuestro caso sera : apt-get install iptables En este punto tenemos los tres servicios requeridos para nuestro proyecto:    FIREWALL IPTABLES SERVIDOR PROXY SQUID FILTRO CONTENIDOS DANSGUARDIAN Ahora vendremos con la configuración CONFIGURACION DE ENRUTAMIENTO Lo primero que configuraremos es el enrutamiento ya que requerimos en principio que la red este funcionando sin problemas.239.1.1 auto eth0 iface eth1 inet static address 192.1.2. que exista conectividad de todos los actores de la red.255.2.1.239. Se debe agregar al archivo Interfaces para que al reiniciar el SERVIDOR LINUX no se pierda la configuración y este carge la regla automáticamente.0 up route add -net 192. donde podemos ver la identificación de cada interface (eth0-eth1) y su correspondiente direccion IP y mascara de red y puerta de enlace.

si no es asi habria que revisar de nuevo la configuración antes descrita. (para nuestro caso no se denegara ningun grupo de direcciones IP ya que en particular nosotros haremos denegacion de comunicación de puertos atravez de IPTABLES ) nuestras ACLs seran las siguientes : acl bastardos src 192.2.1.0/24 En un principio se habian dividido dos grupos con respecto a sus rangos de direcciones IP y sus permisos de navagacion el grupo “bastardos” sin permisos de conexión.1.1.1. SQUID usa las tan famosas ACLs ( lista de control de acceso ) que no son mas que listas que asocian o agrupan un conjunto de elementos para ejercer sobre ellos determinada accion.0/24 acl iluminados src 192.conf que se encuentra en la ruta /etc/squid dentro de este fichero se encuentran miles de opciones que componen la configuración de SQUID en este documento solo se mencionaran las opciones basicas requeridas para alcanzar nuestro objetivo.168. CONFIGURACION DE SQUID La configuración de SQUID se realiza sobre el fichero squid.168.168.conf buscamos las lineas que contengan : http_port : 3128 === Puerto por defecto donde se ejecuta el servicio de squid y la complementamos con la direccion IP de nuestro SERVIDOR LINUX quedando de la siguiente forma http_port 192. ya teniendo el SERVIDOR SQUID corriendo debemos crear la primera ACL que nos permitira crear el primer grupo el cual tendra permisos de navegación.CLIENTE SIN INTERNET CLIENTE CON INTERNET Podemos observar que en cualquiera de los casos ya sea si el cliente se le permite o no el acceso a Internet la puerta de enlace o Gateway es siempre la direccion IP de nuestro SERVIDOR LINUX.1:3128 === en esta linea estamos informandole a SQUID que va ha escuchar el puerto 3128 de la direccion IP 192. Pero se requieria que todos los PCs de la red LAN se conectaran por puerto 80 a un PC . se recomienda consultar la documentación oficial para profundizar en otros aspectos de la configuración y estructura de SQUID. Lo primero que debemos realizar es la configuración de los puertos y direccion IP del servidor donde se correra el servicio PROXY.168. ingresando al archivo squid. en este momento es posible que los clientes naveguen ya que no hemos concluido la configuración pero en este punto usted debe poder conectarse con cualquier PC de la red LAN en cualquiera de los dos segmentos de red. y el grupo “iluminados” el cual tendra permisos de conexión. que es esa la direccion del SERVIDOR PROXY.

estas listas estan ubicadas en : /etc/dansguardian/lists/ no haremos mencion a todas solo se trataran las que hemos tenido que modificar para este proyecto.d/squid restart al terminar de reiniciar el servicio podemos configurar el navegador de cualquier PC de la LAN y confirma Configuracion de SQUID sacado de : http://www. game. hasta el momento no tenemos aplicada ninguna restricción de acceso solo estan configurados los servicios.com.org.0/24 que no tiene permisos de navegación seguido esto guardamos el archivo y reiniciamos el servicio de SQUID para hacer esto /etc/init. estas ips podrán realizar todos los procesos sin ningún tipo de restricción . bloqueo por contenido de palabras para nuestro caso por ejemplo se han bloqueado palabras como : sex.com etc.168. youtube. Factbook.1.phtml?nIdNoticia=441 CONFIGURACION DE DANSGUARDIAN La configuración de DANSGUARDIAN se realiza mediante el archivo dansguardian.d/dansguardian restart Configuracion de DANSGUARDIAN sacado de : http://blog. para aplicar la configuración de DANSGUARDIAN guardamos el archivo dansguardian. Exceptioniplist ==== en este archivo se especifican las direcciones ip que no tendrán problemas para navegar.168. CONFIGURACION DE IPTABLES . Messenger. Lo primero que realizaremos sera comentar o borrar la linea : #UNCONFIGURED . Bannedsitelist ===== lista donde se aplican los sitios web directamente bloqueados ejemplo : Hotmail.Please remove this line after configuration Luego verificamos las lineas : Proxyip = 192. meebo. Bannedphraselist ==== en esta lista se definiran todas aquellas palabras que se quieren bloquear. sexo.com.1 ==== Como su nombre lo dice direccion IP del servidor donde esta corriendo SQUID proxyport = 3128 === El puerto en el que funciona SQUID Esta seria todo en cuanto a la configuración de DANSGUARDIAN.sv/?p=30 si todo marcha bien solo falta hechar mano de los archivos de configuración para realizar el correspondiente bloqueo de accesos y permisos.debian. para esto DANSGUARDIAN dispone de un conjunto de listas las en las cuales se permiten o deniegan estos procedimientos. etc cualquier pagina que contenga esta palabra sera bloqueada y no se permitira su acceso. Hotmail.definido dentro de la red LAN lo cual SQUID no permitia esto lo que obligo a permitir los dos rangos en SQUID y realizar otro tipo de bloque del segmento 192.conf que se encuentra en la ruta /etc/dansguardian/ en este archivo se encuentran todos los parámetros de configuración del servicio.net/body.bulma.1. ebuddy.conf y reiniciamos el servicio /etc/init.

sh ver reglas de iptables empleadas ///////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////// IPTABLES a pesar de estar instalado no contiene ninguna regla.sh Aplica el script : sh firewall.sh Incluir el script en rc. Para contextualizar un poco nuestro caso podemos decir que en este momento requerimos de nuestro FIREWALL :     Que enmascare la salida del segmento de red 192. Reiniciar el servidor Configuracion de IPTABLES sacado de : www.0/24 para tener acceso a Internet No permita conexiones entrantes a la red LAN desde el exterior No permita conexiones salientes desde la red LAN hacia exterior No permita conexión del segmento 192.168.com/?p=24 .sh ejemplo: chmod +x firewall.sh el cual sera nuestro script con las reglas de IPTABLES por ejemplo : firewall. se recomienda profundizar en este tema ya que se considera de vital importancia no solo para este caso si no a nivel general dentro del ambito de seguridad informatica y dentro del ambiente LINUX.168.d firewall. Para crear nuestro script de IPTABLES debemos realizar lo siguiente :       Crar un archivo del tipo . para nuestro caso usaremos una configuración muy basica que si bien es funcional para nuestra situación requiere de un refinamiento mas apropiado.sh defaults.osties.0/24 al SERVIDOR SQUID a los puertos 8080 y 3128 ///////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////// EN ESTE MOMENTO SOLO SE CUMPLEN : 1 y 4 ver archivo firewall.d/ Asignar permisos de ejecución del archivo : chmod +x nombre_script.2.Iptables es uno de los servicios mas potentes que se puedan encontrar para el direccionamiento y control de paquetes es una herramienta muy potente y versátil al mismo tiempo que compleja.sh Guardar este archivo en : /etc/init.1.d para que se cargue automáticamente al iniciar el sistema : update-rc. es decir que no esta realizando ningun filtro ya que sus reglas son reseteadas al reiniciar el sistema para esto debemos crear nuestro script de configuración con las reglas IPTABLES.

.... para calcular ...1...1..2/254) || (eth0) || || || _______ | | | pc | |_______| de acuerdo a al segmento de red y calculando que mascara de red necesitamos para las subredes en cada segmento ( ver calcular subneting de redes)...0..168. se aplica a eth1 la cual tiene ip 192..1/24 y 192.....1/24 regla route aplicada al archivo /etc/network/interfaces regla : route add -net 192.100 la cual conecta con el modem del ISP (proveedor de internet) tal como si fuera un pc normal que trata de obtener internet de forma convencional....168.1.-en los clientes web es necesario realizar configuracion de la ip del server con puerto 8080 (puerto de dansguardian) -la lista de sitios bloqueados se encuentra en : /etc/dansguardian/lists en este directorio se encuentra el archivo :bannedsitelist donde se deben registrar los sitios que se quieren bloquear....168. se aplica regla ip route en la tarjeta que se encarga de manejar la red interna (eth1 esta regla la utilizamos para unir los 2 segmentos de red 192. . /// SEGMENTACION DE RED //////// para este que es nuestro caso en el que requerimos dos redes de segmentos diferentes una tarjeta (eth1 en servidor)esta sera la encargada de dar la salida a internet atravez de la direccion ip 192.....2...168.......1.168.2........1....0/24 dev eth.......168.......1) __________ _____________ _______ | | | | (eth0) | | | modem | =========| servidor |================| pc | |__________| |_____________|(192.0/254) |_______| || || || (192.168...1 direccion del servidor proxy y del firewall el cual actuara como puerta de enlace en los pcs cliente....... . (192..2......

damos permisos de ejecucion: chmod +x firewall.org/downloads/detailedinstallation2-spanish. las reglas iptables no se cargan automaticamente estas se ejecutan mediante un scrip en el cual se deben registrar y luego realizar inclusion de este archivo en : rc. para esto es necesario tener iptables instalado aunque este ya viene incluido conviene verificar si se encuentra o no instalado. luego ejecutar : update-rc. dentro de este archivo se pondran las reglas iptables que se desean aplicar 3. -se activa el nat del linux : echo "1" > /proc/sys/net/ipv4/ip_forward ip .sh.d/ . cargando el scrip al inicio : el scrip debe estar en /etc/init.com/?p=24 :::::::: BUSQUEDAS PENDIENTES X REALIZAR CON EL TEMA ACTUAL ::::::::: -listas blancas y listas negras en squid + dansguardian -como agragar una lista negra a squid + dansguardian :::::::::: APLICANDO REGLAS DE ROUTEO ASIGNANDO A TABLAS DE ROUTEO :::::::::: -pc linux con 2 tarjetas de red cada una configurada con direccion correspodiente a segmento de red x unir. este archivo se guardara en /etc/init.d..osties. crear un archivo . 1.otros sitios : http://dansguardian.html :::::::::::::::::::::::::: IPTABLES :::::::::::::::::::::::::::: en caso de querer utilizar un proxy transparente y para efectos de control de puertos se deben implementar reglas de iptables.sh defaults es posible que se requiera reiniciar el servidor sacado de : www. ejem firewall.d/ "en debian" 2.sh 4. para nuestros caso que usamos dansguardian y este filtra por puerto 8080 se requiere trasladar todo el trafico de http(puerto 80) al 8080 para que sea este quien lo administra.sh con el nombre del firewall o las reglas.d firewall.sh (podemos ver la salida del scrip con : iptables -L 5. aplicamos o corremos el scrip : sh firewall.

PROCEDIMIENTO FUNCIONA FALTAN DEFINICION EXACTA DE APLICACION DE COMANDOS Y REGLAS -se aplican tablas de routeo en el servidor linux -se aplican las reglas y tablas de routeo en los pcs clientes -se aplica en los pcs clientes como puerta de enlace direccion ip del servidor linux /// pendiente definir cual de las dos ips del server.168.1 para ver si por eso es que no funciona el filtro/bloqueo de segmento x redes de squid En el archivo squid.conf se aplicanron 2 lineas que están asuguran y forzan a que sea dansguardian quien realice el filtrado de la navegación web lo que permitio realizan un filtrado mas selectivo y preciso follow_x_forwarded_for allow dansguardian acl_uses_indirect_client on los permisos y denegacion de ips se realiza en el archivo que se encuentra en /etc/dansguardian/list : exceptioniplis bloqueo de palabras se encuentra en el archivo bannedphraselist .1. ver prints ventanas ///// -utilizando el caractar ! se pueden hacer excepciones en squid si se puede hacer esto se puede bloquear toda la red de bastardos (192.0/24) hacer excepcion a 192.1.168./// PENDIENTE X EVALUAR .

Sign up to vote on this title
UsefulNot useful