Manual De Squid Transparente
Páginas: 23 (5571 palabras)
Publicado: 13 de mayo de 2012
Squid Transparente, Optimizado y... protector.
Autor: Arturo 'Buanzo' Busleiman
Bienvenidos a éste, mi segundo artículo para la revista SoloLinux. Hoy vuestro
servidor les presentará una guía de configuración y optimización de Squid, el famoso
HTTP Proxy-Cache Libre y Abierto. Adicionalmente veremos cómo instruir a nuestro
kernel Linux para "engañar" a los clientes de nuestra red Interna,para que toda
petición HTTP saliente hacia Internet pase sí o sí por las manos de Squid, todo
mediante el uso de la utilidad Iptables, manipuladora de la funcionalidad de filtrado
de paquetes existente desde el kernel Linux 2.4, Netfilter. Y para terminar, una
perlita: configuración de DansGuardian para proveer de filtrado de contenido para
adultos, muy útil en Cybercafés y casas de familiadonde los padres o tutores deseen
hacer uso de ésta tecnología.
Introducción
Existen una cierta cantidad de términos que debemos conocer antes de configurar
un servidor proxy, sea directo o transparente. Entender dichos términos nos
permitirá comprender en mayor profundidad los comentarios, ejemplos y
documentación que suelen acompañar a los paquetes de software de esta categoría,
y de todoel software libre en general, así como también permitirnos avanzar aún
más en este apasionante mundo de las redes, la seguridad y la programación. En
este caso, términos como "proxy" son tomados de forma incorrecta, y hablan de
"proxies" cuando en verdad hablan de un "router", o de NAT. A tal efecto, veamos
algunos detalles de estos términos:
Capa de Red y de Aplicación: Usualmente deberíadespachar una descripción del
modelo OSI teórico y/o del modelo TCP/IP, pero voy a simplificar la cuestión. Cuando
nos referimos a la Capa de Red, estamos hablando de toda cuestión vinculada con
direcciones IP, enrutado, túneles, filtrado, etc. Y claro, cuando hablamos de Capa de
Aplicación, nos referimos a todo lo que tiene que ver con el nivel mas alto de
funcionamiento. Si, adivinaron: lasaplicaciones. En términos prácticos, entonces, si
alguien habla de un "Firewall de Capa de Aplicación", se refiere a poder
implementar filtrado según parámetros del protocolo de alto nivel. Por ejemplo, el
l7-filter es una aplicación que pueden encontrar en www.freshmeat.net que permite
filtrar según aplicación: MSN Messenger, FTP, etc, más allá del puerto donde estén
ocurriendo dichasconecciones. ¿Interesante, no?
Netfilter: Funcionalidad y esquema interno del Núcleo Linux en las versiones 2.4 y
2.6 que proveen Firewall con conocimiento de Estado (Stateful Firewall). Un
firewall, o cortafuegos, habilita la capacidad de aplicar políticas sobre los paquetes,
como por ejemplo “permitir acceso desde cualquier IP al puerto 80 de la interfaz
eth0”, o tal vez “denegar el acceso alpuerto 22, excepto a las IP 1, 2 y 3”. La
cuestión de conocimiento de estado está vinculada conque Netfilter mantiene una
tabla de las conecciones entrantes y salientes, y de esta forma nos permite armar
reglas en base a parámetros "de estado", como conección establecida, relacionada o
nueva. Por ejemplo, supongan que de 8 a 19hs se permiten nuevas conecciones
salientes hacia Internet. Pasado estehorario podríamos armar una regla que
especifique que solamente las conecciones relacionadas o establecidas, pero no
nuevas puedan seguir saliendo a Internet. De esta forma, la descarga de un archivo
continuará hasta su fin, incluso pasado este horario, pero no se podrá ingresar a
nuevos sitios. ¿Qué tiene esto que ver con un Proxy Transparente? Simple: Netfilter
también permite aplicarciertas reglas de redireccionamiento, no solo las clásicas de
“ACEPTAR” y “RECHAZAR”. En resumen, vamos a tener que aplicar un par de
reglas de Netfilter (quizá a la mayoría les suene mas por su conjunto de utilidades,
Iptables) para lograr nuestro acometido. Les recomiendo la lectura de algunos
artículos sobre Iptables introductorios, o mejor aún, leer de pies a cabeza la página
del manual...
Autor: Arturo 'Buanzo' Busleiman
Bienvenidos a éste, mi segundo artículo para la revista SoloLinux. Hoy vuestro
servidor les presentará una guía de configuración y optimización de Squid, el famoso
HTTP Proxy-Cache Libre y Abierto. Adicionalmente veremos cómo instruir a nuestro
kernel Linux para "engañar" a los clientes de nuestra red Interna,para que toda
petición HTTP saliente hacia Internet pase sí o sí por las manos de Squid, todo
mediante el uso de la utilidad Iptables, manipuladora de la funcionalidad de filtrado
de paquetes existente desde el kernel Linux 2.4, Netfilter. Y para terminar, una
perlita: configuración de DansGuardian para proveer de filtrado de contenido para
adultos, muy útil en Cybercafés y casas de familiadonde los padres o tutores deseen
hacer uso de ésta tecnología.
Introducción
Existen una cierta cantidad de términos que debemos conocer antes de configurar
un servidor proxy, sea directo o transparente. Entender dichos términos nos
permitirá comprender en mayor profundidad los comentarios, ejemplos y
documentación que suelen acompañar a los paquetes de software de esta categoría,
y de todoel software libre en general, así como también permitirnos avanzar aún
más en este apasionante mundo de las redes, la seguridad y la programación. En
este caso, términos como "proxy" son tomados de forma incorrecta, y hablan de
"proxies" cuando en verdad hablan de un "router", o de NAT. A tal efecto, veamos
algunos detalles de estos términos:
Capa de Red y de Aplicación: Usualmente deberíadespachar una descripción del
modelo OSI teórico y/o del modelo TCP/IP, pero voy a simplificar la cuestión. Cuando
nos referimos a la Capa de Red, estamos hablando de toda cuestión vinculada con
direcciones IP, enrutado, túneles, filtrado, etc. Y claro, cuando hablamos de Capa de
Aplicación, nos referimos a todo lo que tiene que ver con el nivel mas alto de
funcionamiento. Si, adivinaron: lasaplicaciones. En términos prácticos, entonces, si
alguien habla de un "Firewall de Capa de Aplicación", se refiere a poder
implementar filtrado según parámetros del protocolo de alto nivel. Por ejemplo, el
l7-filter es una aplicación que pueden encontrar en www.freshmeat.net que permite
filtrar según aplicación: MSN Messenger, FTP, etc, más allá del puerto donde estén
ocurriendo dichasconecciones. ¿Interesante, no?
Netfilter: Funcionalidad y esquema interno del Núcleo Linux en las versiones 2.4 y
2.6 que proveen Firewall con conocimiento de Estado (Stateful Firewall). Un
firewall, o cortafuegos, habilita la capacidad de aplicar políticas sobre los paquetes,
como por ejemplo “permitir acceso desde cualquier IP al puerto 80 de la interfaz
eth0”, o tal vez “denegar el acceso alpuerto 22, excepto a las IP 1, 2 y 3”. La
cuestión de conocimiento de estado está vinculada conque Netfilter mantiene una
tabla de las conecciones entrantes y salientes, y de esta forma nos permite armar
reglas en base a parámetros "de estado", como conección establecida, relacionada o
nueva. Por ejemplo, supongan que de 8 a 19hs se permiten nuevas conecciones
salientes hacia Internet. Pasado estehorario podríamos armar una regla que
especifique que solamente las conecciones relacionadas o establecidas, pero no
nuevas puedan seguir saliendo a Internet. De esta forma, la descarga de un archivo
continuará hasta su fin, incluso pasado este horario, pero no se podrá ingresar a
nuevos sitios. ¿Qué tiene esto que ver con un Proxy Transparente? Simple: Netfilter
también permite aplicarciertas reglas de redireccionamiento, no solo las clásicas de
“ACEPTAR” y “RECHAZAR”. En resumen, vamos a tener que aplicar un par de
reglas de Netfilter (quizá a la mayoría les suene mas por su conjunto de utilidades,
Iptables) para lograr nuestro acometido. Les recomiendo la lectura de algunos
artículos sobre Iptables introductorios, o mejor aún, leer de pies a cabeza la página
del manual...
Leer documento completo
Regístrate para leer el documento completo.