miércoles, 2 de abril de 2008

SQUID

Ejercicio

Politicas de seguridad

Restringir el uso de Internet

1. Crear listas negras (archivos) para bloquear los siguientes contenidos.

Porno ---> para cada categoria se debe crear una lista negra. Cada archivo tendra
Chat al menos dos registros
Correos
Deportes
Descargas
Juegos

2. Bloquear a todos los usuarios en la red la navegacion de los usuarios en las listas negras.

3. Bloquear a todos los usuarios las descargas y reproduccion de archivos .exe .mp3 .mpg .wav .iso .zip .rar.

4. La navegacion debe restringirse a horarios locales de lunes a viernes de 8 a 12 am y de 1 a 4:30 pm.

5. Existe un usuario sin ninguna restriccion 10.3.6.208.

6. Los usuarios de la red pueden acceder a paginas de correo gratuito y chat solamente en el horario del almuerzo --> 12:00-13:00.

7. Configurar su maquina para que trabaje como proxy-transparente.


SOLUCION

http_port 3128 transparent

visible_hostname (el nombre de la maquina)
icp_port 0
cache_mem ( el tamaño que le quiera dar a la cache)
cache_dir ufs /var/spool/squid 100 16 256
cache_peer proxylan.sena.edu.co parent 8080 0 default

acl profe src 10.3.6.248
acl Hora1 time MTWHF 08:00-12:00
acl Hora2 time MTWHF 13:00-16:30
acl ficheros urlpath_regex -i "/etc/squid/acl/ficheros.acl"
acl porno url_regex "/etc/squid/acl/porno.acl"
acl chat url_regex "/etc/squid/acl/chat_correos.acl"
acl descarga url_regex "/etc/squid/acl/descargas.acl"
acl sitios-web dstdomain "/etc/squid/acl/sitios-web.acl"
acl deporte url_regex "/etc/squid/acl/deportes.acl"
acl juegos url_regex "/etc/squid/acl/juegos.acl"
acl correos_gratuitos url_regex "/etc/squid/acl/correos_gratuitos.acl"
acl almuerzo time MTWHF 12:00-13:00
acl all src 0.0.0.0/0.0.0.0
acl localnet src 10.3.6.128/255.255.255.128



http_access allow profe
http_access allow localnet almuerzo correos_gratuitos
http_access deny sitios-web
http_access deny ficheros
http_access deny porno
http_access deny chat
http_access deny descarga
http_access deny deporte
http_access deny juegos
http_access allow localnet Hora1
http_access allow localnet Hora2
http_access deny all



# SE DEBE CONFIGURAR LA TABLA NAT PARA QUE EL PROXY QUEDE COMO TRANSPARENTE:


iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128

1 comentario:

lucho dijo...

Hola

Mi nombre es Luis.

Resulta que estoy tratando de implementar restricciones en las descargas de adjuntos de varios tipos pero squid no me toma los cambios y por lo tanto las restricciones no tienen efecto.

Aqui esta parte de mi squid.conf

Que es lo que esta mal aqui?

#Recommended minimum configuration:
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443 563
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling httpt
acl Safe_ports port 4443
acl CONNECT method CONNECT
acl ilimitados src "/etc/squid/ilimitados"
acl permitidos src "/etc/squid/permitidos"
acl claves url_regex -i "/etc/squid/claves"
acl aspx urlpath_regex \.aspx
acl msn-dirs url_regex "/etc/squid/msn-dirs"
acl msn port 6891-6900,1863,6901
acl msn-app req_mime_type ^application/x-msn-messenger$
acl msn-gat url_regex gateway.dll?
#acl no_mimes rep_mime_type -i "/etc/squid/mimes_prohibidos.txt"
acl bloquear urlpath_regex "/etc/squid/descargas.acl"

# TAG: http_access
# Allowing or Denying access based on defined access lists
#
# Access to the HTTP port:
# http_access allow|deny [!]aclname ...
#
# NOTE on default values:
#
# If there are no "access" lines present, the default is to deny
# the request.
#
# If none of the "access" lines cause a match, the default is the
# opposite of the last line in the list. If the last line was
# deny, the default is allow. Conversely, if the last line
# is allow, the default will be deny. For these reasons, it is a
# good idea to have an "deny all" or "allow all" entry at the end
# of your access lists to avoid potential confusion.
#
#Default:
# http_access deny all
#
#Recommended minimum configuration:
#
# Only allow cachemgr access from localhost
http_access allow manager localhost
http_access deny manager
# Deny requests to unknown ports
http_access deny !Safe_ports
# Deny CONNECT to other than SSL ports
http_access deny CONNECT !SSL_ports
http_access allow localhost

# We strongly recommend the following be uncommented to protect innocent
# web applications running on the proxy server who think the only
# one who can access services on "localhost" is a local user
#http_access deny to_localhost
#
# INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS
http_access deny bloquear
http_access allow ilimitados
http_access deny permitidos !claves !aspx !msn-dirs !msn !msn-app !msn-gat !bloquear

# Example rule allowing access from your local networks. Adapt
# to list your (internal) IP networks from where browsing should
# be allowed
#acl our_networks src 192.168.1.0/24 192.168.2.0/24
#http_access allow our_networks

# And finally deny all other access to this proxy


# TAG: http_reply_access
# Allow replies to client requests. This is complementary to http_access.
#
# http_reply_access allow|deny [!] aclname ...
#
# NOTE: if there are no access lines present, the default is to allow
# all replies
#
# If none of the access lines cause a match the opposite of the
# last line will apply. Thus it is good practice to end the rules
# with an "allow all" or "deny all" entry.
#
#Default:
# http_reply_access allow all
#
#Recommended minimum configuration:
#
# Insert your own rules here.
#
#
# and finally allow by default
#http_reply_access deny permitidos !no_mimes
http_reply_access allow all


Espero que alguien pueda orientarme en esto.

Desde ya muchas gracias.

Saludos