domingo, 11 de mayo de 2008

Aplicando Listas y Reglas de control de acceso.

Caso 1.

Considerando como ejemplo que se dispone de una red 192.168.1.0/255.255.255.0, si se desea definir toda la red local, utilizaremos la siguiente línea en la sección de Listas de Control de Acceso:

acl todalared src 192.168.1.0/255.255.255.0

Habiendo hecho lo anterior, la sección de listas de control de acceso debe quedar más o menos del siguiente modo:

Listas de Control de Acceso: definición de una red local completa


#
# Recommended minimum configuration:
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl todalared src 192.168.1.0/255.255.255.0

A continuación procedemos a aplicar la regla de control de acceso:

http_access allow todalared

Habiendo hecho lo anterior, la zona de reglas de control de acceso debería quedar más o menos de este modo:

Reglas de control de acceso: Acceso a una Lista de Control de Acceso.

#
# INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS
#
http_access allow localhost
http_access allow todalared
http_access deny all

La regla http_access allow todalared permite el acceso a Squid a la Lista de Control de Acceso denominada todalared, la cual está conformada por 192.168.1.0/255.255.255.0. Esto significa que cualquier máquina desde 192.168.1.1 hasta 192.168.1.254 podrá acceder a Squid.

Caso 2.

Si solo se desea permitir el acceso a Squid a ciertas direcciones IP de la red local, deberemos crear un fichero que contenga dicha lista. Genere el fichero /etc/squid/listas/redlocal, dentro del cual se incluirán solo aquellas direcciones IP que desea confirmen la Lista de Control de acceso. Ejemplo:

192.168.1.1
192.168.1.2
192.168.1.3
192.168.1.15
192.168.1.16
192.168.1.20
192.168.1.40

Denominaremos a esta lista de control de acceso como redlocal:

acl redlocal src "/etc/squid/listas/redlocal"

Habiendo hecho lo anterior, la sección de listas de control de acceso debe quedar más o menos del siguiente modo:

Listas de Control de Acceso: definición de una red local completa

#
# Recommended minimum configuration:
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl redlocal src "/etc/squid/listas/redlocal"

A continuación procedemos a aplicar la regla de control de acceso:

http_access allow redlocal

Habiendo hecho lo anterior, la zona de reglas de control de acceso debería quedar más o menos de este modo:

Reglas de control de acceso: Acceso a una Lista de Control de Acceso.

#
# INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS
#
http_access allow localhost
http_access allow redlocal
http_access deny all

La regla http_access allow redlocal permite el acceso a Squid a la Lista de Control de Acceso denominada redlocal, la cual está conformada por las direcciones IP especificadas en el fichero /etc/squid/listas/redlocal. Esto significa que cualquier máquina no incluida en /etc/squid/listas/redlocal no tendrá acceso a Squid.

24 comentarios:

Armando dijo...

Comente, agregen informacion opinen sonbre estos ejemplos de control de acceso con Proxy squid

Du@ner Willi@ams dijo...

interesante cambia los colores

Anónimo dijo...

Si puedes postea un material acerca de como poder tener un acceso remoto entre linux y mac os x.

Anónimo dijo...
Este comentario ha sido eliminado por un administrador del blog.
Anónimo dijo...
Este comentario ha sido eliminado por un administrador del blog.
Jair dijo...

Esta interesante el tema...pero como se tiene acceso remoto de linux a windows o viceversa..

Anónimo dijo...

a 50 la mamada,,,,,,

Anónimo dijo...
Este comentario ha sido eliminado por un administrador del blog.
FRANKLIN dijo...

ESTA CHEVERE LOCO SOBRE LA CONFIGURACION BASICA DE LINUX DILE AL PROFE QUE TE PONGA 20 JAJAJA

Anónimo dijo...
Este comentario ha sido eliminado por un administrador del blog.
Anónimo dijo...

, Acerca de Squid.

Squid es un Servidor Intermediario (Proxy) de alto desempeño que se ha venido desarrollando desde hace varios años y es hoy en día un muy popular y ampliamente utilizado entre los sistemas operativos como GNU/Linux y derivados de Unix®. Es muy confiable, robusto y versátil y se distribuye bajo los términos de la Licencia Pública General GNU (GNU/GPL). Siendo sustento lógico libre, está disponible el código fuente para quien así lo requiera.

Entre otras cosas, Squid puede funcionar como Servidor Intermediario (Proxy) y caché de contenido de Red para los protocolos HTTP, FTP, GOPHER y WAIS, Proxy de SSL, caché transparente, WWCP, aceleración HTTP, caché de consultas DNS y otras muchas más como filtración de contenido y control de acceso por IP y por usuario.

Squid consiste de un programa principal como servidor, un programa para búsqueda en servidores DNS, programas opcionales para reescribir solicitudes y realizar autenticación y algunas herramientas para administración y y herramientas para clientes. Al iniciar Squid da origen a un número configurable (5, de modo predefinido a través del parámetro dns_children) de procesos de búsqueda en servidores DNS, cada uno de los cuales realiza una búsqueda única en servidores DNS, reduciendo la cantidad de tiempo de espera para las búsquedas en servidores DNS.
,

inforvik dijo...

ta bien el tema q escogiste.. se nota w eres un mounstro en herramientas....

Armando dijo...

>_<"

kathy dijo...

interesante tu informacion para poder utilizar las listas de control de acceso ... allow y deny
esta entendible XD

FCerna dijo...

Muy practico el post ... ojala alimentes el blog con temas similes

enrike dijo...

interesante tu blog armando....Una Lista de Control de Acceso o ACL (del inglés, Access Control List) es un concepto de seguridad informática usado para fomentar la separación de privilegios. Es una forma de determinar los permisos de acceso apropiados a un determinado objeto, dependiendo de ciertos aspectos del proceso que hace el pedido.

Las ACLs permiten controlar el flujo del tráfico en equipos de redes, tales como routers y switches. Su principal objetivo es filtrar tráfico, permitiendo o denegando el tráfico de red de acuerdo a alguna condición. Sin embargo, también tienen usos adicionales, como por ejemplo, distinguir "tráfico interesante" (tráfico suficientemente importante como para activar o mantener una conexión) en ISDN.

mario dijo...

Squid no debe ser utilizado como Servidor Intermediario (Proxy) para protocolos como SMTP, POP3, TELNET, SSH, IRC, etc. Si se requiere intermediar para cualquier protocolo distinto a HTTP, HTTPS, FTP, GOPHER y WAIS se requerirá implementar obligatoriamente un enmascaramiento de IP o NAT (Network Address Translation) o bien hacer uso de un servidor SOCKS como Dante (http://www.inet.no/dante/).

Leo Altamirano dijo...

Puxa brother ta xevere y bueno para el acceso remoto para mi brother jair se hace con el putty

Marco dijo...

Demasiado practico y general la configuracion de squid sobre listas de acceso, ojala escribas mas post sobre la configuracion por protocolos y en redes inalambricas que diferencia se pueden encontrar.

Pepe! dijo...

Chevere man, interesante tu blog, espero ponerlo en practica, esta bastante didactico, sigue alimentandolo..

Rosa Elena dijo...

esta interesante tu blog

Carlos dijo...

aki todos han publicado lo mismo; k se supone k ya todos uds, conocen como ingenieros; pero vale el intento de la actualizacion , chevre pupilo jeje :)

Carlos Jose dijo...

Epale Armando, chamo una Pregunta, yo estoy configurando el Squid, e hice una lista con los sitios permitidos Ej. www.gmail.com, perfecto el proxy me deja entrar solo a este sítio a la página principal, pero cuando intento entrar al correo no me deja porque la direccion cambia y no está registrado en el Fichero de la lista. ¿Como hago para tener acceso a todos los link de este sítio sin restricciones?.

Anónimo dijo...

que tal a lo mejor ya no te llega esto ha un a si lo intentare, lo que quiero es un proxy cache que deje acceso solo a paginas que estén en una lista en el mismo /etc/squid y por obvias razones a un bloque de direcciones ip me puedes decir como elaboro esta lista o algún link que lo explique no necesariamente tu tienes que hacer el trabajo si me entiendes bueno espero y me puedas ayudar.

gracias desde este momento.

Saludos