PDF de programación - Configuración de un servidor Squid-Proxy

lf235, System Administration: Configuración de un servidor Squid-...

http://es.tldp.org/LinuxFocus/pub/mirror/LinuxFocus/Castellano/M...

Noticias

|
[an error occurred while processing this directive]

|

Arca

Hogar | Mapa | Indice |
Busqueda

Enlaces

|

Sobre LF

Convert to GutenPalm

or to PalmDoc



Configuración de un servidor Squid-Proxy

Resumen:

Linux se ha vuelto sinonimo de REDES. Esta siendo usado en hogares
y oficinas como servidor de archivos, de impresión, de correo, de
aplicaciones y ultimamente se ha incrementado su uso como servidor
Proxy.

Un servidor proxy, facilita el acceso a Internet de varios usuarios al
mismo tiempo que están compartiendo una solo conexión a Internet.
Un buen servidor proxy también almacena (caching) pagínas web que
le ha sido solicitadas, lo cual ayuda a ver esos datos desde un recurso
local, en vez de estar bajando datos de la web y por consiguiente
reduce el tiempo de acceso y uso del ancho de banda. Squid es un
software que soporta proxy, hace cache de paginas web, de DNS y
mantiene un registro completo de todos los pedidos. Squid también
esta disponible para Windows-NT de Logi Sense.



por D.S. Oberoi
<ds_oberoi(at)yahoo.com>

Sobre el autor:
D.S. Oberoi vive en Jammu,
India y actualmente tiene
problemas para conectarse a
Internet debido a las
tensiones políticas.

Taducido al español por:
Miguel Espejo
<mespejo(at)datatec.com.pe>

El objetivo de este articulo es proporcionarle una guía basica de
configuración de un servidor proxy y algunas formas de proporcionar
acceso controlado a sus usuarios

Contenidos:

Esta instalado Squid ?
Configuración de
Squid
Contro de Acceso
(Access Control)
Configuración del
cliente
El uso del Control de
Acceso
Archivos de Log (Log
Files)
Métodos de



Esta instalado Squid ?

El .rpm de squid viene con RedHat 7.1 y es instalado automaticamente
con la opción de Instalación en Red, puede verificar si esta instalado el
siguiente comando:

rpm -q squid

Puede obtener la ultima version de Squid en Squid Homepage y en los
mirrors Lista de mirrors. Squid puede ser instalado en el sistema

1 de 9

31-05-2006 11:51

lf235, System Administration: Configuración de un servidor Squid-...

http://es.tldp.org/LinuxFocus/pub/mirror/LinuxFocus/Castellano/M...

autenticación
Referencias
Formulario de
"talkback" para este
artículo

operativo con el siguiente comando:

rpm -ivh squid-2.3.STABLE4-10.i386.rpm



Configuración de Squid

El trabajo y comportamiento de Squid es controlado por detalles de configuración determinados en
su archivo de configuración squid.conf, el cual usualmente se encuentra en el directorio etc/squid. El
archivo de configuración de Squid es bastante grande, paginas de paginas, pero tiene todas sus
opciones o parametros bien documentados.

Lo primer que tiene que ser editado es el parametro http_port, el cual especifica el puerto donde
Squid escuchará los pedidos de los clientes, por defecto Squid escucha los pedidos en el puerto 3128
pero esto puede ser cambiado a un valor definido por el usuario. Ademas del valor del puerto, se
puede determinar la direccion ip de la maquina en la que se ejecuta el Squid; esto se puede cambiar
a:

http_port 192.168.0.1:8080

Con la declaración anterior decimos que Squid esta "enlazado" a la dirección IP 192.168.0.1 y al
puerto 8080. Se le puede asignar cualquier puerto, pero hay que asegurarse de que ninguna otra
aplicación este corriendo por el puerto a asignar. Con lineas de configuración similares se pueden
asignar pedidos de puertos de otros servicios.

Contro de Acceso (Access Control)

La salida a Internet puede ser controlada en terminos de acceso por un intervalo de tiempo, cache,
acceso a un sitio en particular o a un grupo de sitios, etc...El control de acceso de Squid tiene 2
componentes diferentes, los elementos de ACL (Access Control List o Lista de Control de Acceso) y
la lista de acceso. De hecho la lista de acceso es la que permite o niega el acceso al servicio.

Unos cuantos tipos de elementos importantes de ACL en la siguiente lista:

src : Origen, Dirección IP de un cliente
dst : Destino, Dirección IP del servidor
srcdomain : Dominio Origen, nombre de dominio del cliente
dstdomain : Destino, Nombre de domino del server

time : Hora del día y día de la semana

url_regex : URL regular expression pattern matching

urlpath_regex: URL-path regular expression pattern matching, leaves out the protocol and
hostname

proxy_auth : Autenticación de usuario a traves de un proceso externo

maxconn : Número máximo de limite de conexiones de una dirección IP

2 de 9

31-05-2006 11:51

lf235, System Administration: Configuración de un servidor Squid-...

http://es.tldp.org/LinuxFocus/pub/mirror/LinuxFocus/Castellano/M...

Para aplicar los controles, primero tiene que definir el conjunto de ACLs y luego aplicar las reglas al
conjunto. El formato de una sentencia ACL es:

acl nombre_elemento_acl tipo_elemento_acl valores de_acl

Nota :

nombre_elemento_acl puede ser cualquier nombre definido por el usuario que se determine
para el elemento ACL .
No se puede repetir los nombres de los elementos ACL.
Cada ACL consiste en una lista de valores. Cuando se comparan, los múltiples valores usan un
OR logic. En otras palabras, un elemento ACL es igual cuando alguno de sus valores es
comparado positivamente.
No todo los elementos ACL pueden ser usados con todos los tipos de listas de acceso.

Los diferentes elementos ACL estan en diferentes líneas y Squid los combina en una lista.

Se dispone de un número de listas de acceso. Las que vamos a usar estan en la siguitente lista:

http_access: Permite que los clientes HTTP tengan salida por el puerto HTTP port. Esta es la
lista de control de acceso principal.
no_cache: Define el almacenamiento de las páginas solicitadas.

Una regla de una lista de acceso consiste en keywords como allow o deny; las cuales permiten o
niegan el servicio para un elemento ACL o para un grupo de elementos ACL.
Nota:

Las reglas son verificadas en el orden en el que fueron escritas y se dejan de verificar en
cuanto la regla coincida.
Una lista de acceso puede contener varias reglas.
Si ninguna de las reglas es igual, entonces la acción por defecto es hacer lo opuesto a la ultima
regla en la la lista, por eso es mejor ser explicito con la acción a realizar por defecto.
Todos los elementos de una entrada de acceso son comparados con un AND y ejecutados de la
siguiente manera.
http_access Action Sentencia1 AND Sentencia2 AND Sentencia OR.
http_access Action Sentencia3
Multiples sentencias http_access statements son comparadas con OR siempre que los los
elementos de entrada de accceso tengan un AND juntas.

Recuerde que las reglas son leídas de arriba hacia abajo siempre

De vuelta a la configuración

Por defecto Squid no permite ningún acceso a los clientes y los controles tienen que ser modificados
para ese proposito.Tiene que crear sus reglas para permitir el accceso. Edite el archivo squid.con e
ingrese las siguientes líneas debajo de la línea http_access deny all

acl mynetwork 192.168.0.1/255.255.255.0
http_access allow mynetwork

mynetwork es el nombre de acl y la siquiente linea es la regla aplicable a un acl en particular, por

3 de 9

31-05-2006 11:51

lf235, System Administration: Configuración de un servidor Squid-...

http://es.tldp.org/LinuxFocus/pub/mirror/LinuxFocus/Castellano/M...

ejemplo mynetwork. 192.168.0.1 se refiere a la red cuya mascara es 255.255.255.0. mynetwork
basicamente determina el nombre de un grupo de maquinas en la red y la regla permite el acceso a
los clientes. Los cambios anteriores junto con http_port http_port son mas que suficiente para poner
Squid en funcionamiento. Despues de los cambios Squid puede ser inicializado con el siguite
comando.

service squid start

Nota :
Squid también puede ser inicializado automaticamente en el momento de arranque habilitandolo ya
sea con ntsysv o setup (System Service Menu)(esto funciona en RedHat, para hacerlo en Debian,
puede usar el comnado update-rc <nombre del servicio>).

Despues de cada cambio en el archivo configuración, debe de parar e iniciar de nuevo el proceso del
Squid, para que dichos cambios entren en vigencia. esto se hace puede hacer con los siguientes
comandos:


service squid restart o
/etc/rc.d/init.d/squid restart



Configuración del cliente

Dado que el pedido del cliente será colocado en un puerto en particular del servidor proxy, la
maquina del cliente tiene que ser configurada para el mismo proposito. Se da por sentado que estas
maquinas ya estan conectadas a la LAN (Con direcciones IP validas) y que se puede hacer ping desde
ellas hacia el servidor Linux.

Para Internet Explorer


Vaya al Herramientas -> Opciones de Internet
Seleccione el tab Conexiones y haga click en Configuración de Red
Marque la casilla Servidor Proxy e ingrese la direccion del servidor proxy y el puerto
por donde son atendidos los pedidos (el número de puerto que configuro en http_port)

Para Netscape Navigator

Vaya a Editar -> Preferencias -> Avanzados -> Proxies.
Seleccione Configuración manual del proxy
Haga click en el boton Ver &
Ingrese la dirección del servidor proxy y el puerto por donde son atendidos los pedidos (el
número de puerto que configuro en http_port)



El uso del Control de Acceso

4 de 9

31-05-2006 11:51

lf235, System Administration: Configuración de un servidor Squid-...

http://es.tldp.org/LinuxFocus/pub/mirror/LinuxFocus/Castellano/M...

Las regla y controls de Acceso múltiple ofrecen una forma flexible de controlar el acceso de los
clientes a Internet. A continuación algunos ejemplos de la reglas mas usados comunmente.

Allowing selected machines to have access to the Internet

acl allowed_clients src 192.168.0.10 192.168.0.20 192.168.0.30

http_access allow allowed_clients
http_access deny !allowed_clients

Esto permite que solo salgan a internet las pcs cuya IPs son 192.168.0.10, 192.168.0.20 and
192.168