3 minute read
3.2.- Configuración previa del Entorno de Red: Gateway/Proxy Squid
Práctica Nº3.-Proxy HTTP Caché. Squid
acl grupo1 proxy_auth -i adm1 adm2 acl grupo2 proxy_auth -i empleado1 empleado2 acl grupo3 proxy_auth -i adm1 adm2 adm3 empleado1 empleado2 empleado3 acl grupo4 proxy_auth -i adm3 acl grupo5 proxy_auth -i empleado3 # Definimos las Palabras Clave no permitidas en las URLs acl palabrasprohibidas1 url_regex sex porn acl palabrasprohibidas2 url_regex comida recetas deporte sport futbol baloncesto porn sex # Definimos las Franjas Horarias donde los usuarios tendrán acceso acl horario1 time M T W H F 8:00-14:00 acl horario2 time M T W H F 14:00-16:00 acl horario3 time M T W H F 16:00-22:00 # Definimos una ACL global que afecte a todos los equipos acl todas src all # Definimos las Reglas de Acceso http_access allow red1 grupo1 !palabrasprohibidas1 horario1 http_access allow red1 grupo2 horario1 !websprohibidas1 !palabrasprohibidas2 http_access allow red1 grupo3 horario2 !palabrasprohibidas1 http_access allow equipos1 grupo4 horario2 http_access allow equipos1 grupo5 horario3 !websprohibidas2 !palabrasprohibidas2 http_access deny todas
Advertisement
3.2.- Configuración previa del Entorno de Red: Gateway/Proxy Squid
Para las prácticas que realizaremos en este capitulo, al igual que en los capítulos anteriores, haremos uso de virtualización mediante VirtualBox. En concreto, si se observa la siguiente figura, configuraremos un entorno de red, donde el equipo servidor (máquina virtual Nº1) hará las veces de puerta de enlace o gateway de las Intranet cableada e inalámbrica hacía la Internet, hace de servidor DNS caché para los equipos de las Intranet, y hace de Proxy HTTP.
Además, con la finalidad de hacer una división lógica (que no física) entre la Intranet cableada, y el segmento de red correspondiente al router ISP, se asignará a la máquina virtual nº1 (o un microcomputador Raspberry, por ejemplo) una interfaz de red virtual con una dirección de red
Seguridad Informática y Alta Disponibilidad – amartinromero@gmail.com 91
Práctica Nº3.-Proxy HTTP Caché. Squid
del rango 192.168.2.0/24. Para todo ello, a excepción de la configuración como Proxy HTTP que veremos más tarde, seguiremos los siguientes pasos: a) Tal como se hizo en los capítulos anteriores, haciendo uso de un script de configuración configuraremos todo lo relativo al direccionamiento ip. Además, p ara que haga de gateway, activaremos el "ip_forward" para que puedan reenviarse paquetes TCP/IP, y habilitaremos la NAT POSTROUTING para que todos los paquetes que se dirigen hacia el exterior lo hagan con la dirección de origen cambiada por la de su interfaz eth0 192.168.1.100: [root@mv1]# nano /etc/init.d/conf-red.sh #!/bin/bash # Paramos el servicio networking para permitir la configuración mediante nuestro script: /etc/init.d/networking stop # Configuramos las direcciones IP, puerta de enlace y servidor DNS preferido ifconfig eth0 192.168.1.100 ifconfig eth0:alias1 192.168.2.100 route add default gw 192.168.1.254 echo "nameserver 8.8.8.8" > /etc/resolv.conf # Activamos el forwarding y el MASQUERADE para que actúe como un gateway echo "1" > /proc/sys/net/ipv4/ip_forward iptables -t nat -F iptables -t nat -A POSTROUTING -j MASQUERADE
¡¡Aclaración!! Para añadir más de una dirección IP a una misma interfaz de red se hace uso de alias o interfaces virtuales. La sintaxis para su asignación es simplemente indicar el nombre de la interfaz, seguido de dos puntos ":" y el nombre del alias, "eth0:nombre_alias" . b) Para que haga de servidor DNS caché tan sólo necesitaremos instalar el software bind9. A partir de ese momento, sin necesidad de ninguna configuración a posteori, y gracias a la información aportada por el archivo "/etc/bind/db.root", haciendo uso de las direcciones IP públicas de los servidores DNS raíz TNS (Top Name Severs), nuestro equipo servidor será capaz de resolver cualquier nombre de dominio FQDN público, y cachearlo el tiempo TTL (Time To Live) indicado en su correspondiente zona maestra. [root@mv1]# apt-get install bind9
Seguridad Informática y Alta Disponibilidad – amartinromero@gmail.com 92
