Resultados para la búsqueda "proxy"


How-To Instalar Squid: el proxy caché de Linux.

En éste manual intentaremos enseñar cómo configurar squid en modo consola. Se presume que el usuario tiene cierta formación en linux, básica. De todas maneras, iré explicando paso a paso todo lo que se haga. Información de squid. Squid es un proxy caché. Eso quiere decir que funciona como intermediario en tus conexiones a internet, con un caché que guarda las páginas para visualizarlas mas rápido. El tamaño del caché y demás es configurable por el usuario. Squid, como buen programa de Linux, es completamente gratis y disponible a través de internet. Advertencia: squid no funciona para protocolos de correo, POP3 y SMTP. Para ese necesitas algo como Dante.

1 ) Instalación de Squid:

Lo haremos por consola. Abrimos un terminal y ponemos:

sudo apt-get squid

El solito se instalará y configurará. A veces, el programa de un error de host, que aparece con el nombre de VISIBLE_HOST (fallo en visible host). Simplemente ocurre que squid no es capaz de determinar el host de la máquina. La solución es poner en la línea del squid.conf (el archivo donde se guarda la configuración de squid) visible_hostname el nombre de tu máquina. Acto seguido squid ya arrancará con una configuración básica.

2)Configurar squid:

La configuración básica de squid es muy simple y no es funcional. Explicaremos una configuración que sirva para controlar el acceso en una red local a una serie de direcciones IP (páginas de internet). Vamos a ojear rápidamente los parámetros que yo recomiendo configurar para empezar a comprender el squid.

http_port

cache_mem

ftp_user

cache_dir

ACL

http_acces

httpd_accel_host

httpd_accel_port

httpd_accel_with_proxy

A continuación explicaremos cada uno de ellos:

http_port:

Es el puerto que squid utilizará para funcionar. O sea: cuando configuremos el ordenador A para acceder a internet por el proxy, necesitamos configurar ese puerto en el menú del navegador. Veremos mas adelante como se hace esta sencilla operación. Por defecto, squid funciona en el puerto 3128. Puedes configurar también otros puertos para funcionar. Como ejemplo, quedaría algo como ésto:

# # You may specify multiple socket addresses on multiple lines. # # Default: http_port 3128 http_port 3128 ::::::>>>> Puerto por defecto http_port 8080 :::::>>>> Puerto que nosotros hemos elegido para funcionar.

cache_mem:

Este parámetro no determina la cantidad máxima de memoria del proceso squid. Limita la cantidad máxima de memoria que squid utilizará para almacenar objetos.

In-Transit objects Hot Objects Negative-Cached objects

Por defecto está configurada en 8MB. Yo la he puesto en 16, como parámetro recomendado, si tienes un servidor con al menos 128 megas de RAM. Ésto da idea de lo poquito que squid necesita para funcionar. Si tienes en la oficina algún ordenador viejo que ya no tenga uso, siempre podrá reutilizarse como proxy. No voy a aburrir con detalles técnicos. Si alguien desea mas información puede acceder a la web y buscar toda la información que sea necesaria. ACL Una ACL es ni mas ni menos que una lista de control de acceso: creo que la principal característica de squid. Con ésta opción determinamos quien accederá a internet a través del proxy y quien no. Esto significa que por lo menos hemos de decidir poner una lista, si queremos que funcione. Por ejemplo, decidamos que los ordenadores 192.168.1.6 y 192.1.168.1.7 accedan a través del proxy. La sintaxis de la instrucción para definir una lista acl es:

acl [nombre de la lista] src [lo que compone a la lista] o [ruta].

Si queremos definir toda una red local, bastaría con hacer:

acl milistapermitidos 192.168.1.0/255.255.255.0

Llamaremos a nuestra lista milistapermitidos y la situaremos en /etc/squid/milistapermitidos Ponemos:

acl milistapermitidos src /etc/squid/milistapermitidos

Previamente hemos creado una lista en nuestro disco duro, en la ubicación indicada, donde estarían las direcciones 192 .168.1.6 y 192.168.1.7, en nuestro ejemplo. Con esto le estaríamos indicando al servidor proxy que esas direcciones podrán acceder al squid. Luego, mediante control podremos decidir a que páginas se conectará cada una.

ftp_user:

Determina el usuario que accederá al ftp de forma anónima. Por defecto, squid envía como contraseña @squid. La puedes cambiar por la que quieras.

ftp_user proxy@su-dominio.net sería un ejemplo.

cache_dir:

Determina el tamaño de la caché en el disco duro que utilizará squid para almacenar información. La cantidad se determina en función de lo que el usuario necesite, siempre con un poco de sentido común, por supuesto. Si se especifica un tamaño mas grande que el disponible, squid se bloqueará. La sintaxis es:

cache_dir ufs /var/spool/squid [tamaño] 16 256

Por defecto, squid utiliza 100 megas. Claro está que se puede usar mucho mas en cualquier ordenador un poco moderno.

http_acces:

Éste parámetro determina las reglas de control de acceso de nuestra red. En el ejemplo, las direcciones 192.168.1.6 y 192.168.1.7 podrán acceder según se determine por el parámetro http_acces. La sintaxis es

http_acces allow ó http_acces deny según se quiera permitir o denegar acceso respectivamente.

Las dos palabras clave, ACL y http_acces permiten mucho juego combinándolas entre si. Podemos, por ejemplo, decidir que la ip 192.168.1.6 acceda a páginas para profesores y la 192.168.1.7 a páginas para alumnos, por ejemplo. ¿Cómo se hace?: Para explicarlo definamos primero la instrucción dst_domain. La susodicha define un dominio de internet. O sea: dst_domain .google.es permitiría acceder a google. Hagamos lo siguiente: definimos una lista acl:

acl red1 dst_domain .gmail.com

acl red1 dst_domain .paginasamarillas.es

acl red2 dst_domain .paginabonita.es

acl red2 dst_domain .adslzone.net (cómo no).

Y ahora, decidimos qué ip accederá a qué páginas.

http_access allow milistapermitidos red1

http_access allow milistapermitidos2 red2

O sea: la ip 192.168.1.6 estará en milistapermitidos y la ip 192.168.1.7 en la milistapermitidos2. La primera accederá a gmail y páginas amarillas, y la segunda a paginabonita y adslzone. También se podría hacer http_acces allow !milistapermitidos, lo que significaría que se dejaría acceder a lo contrario que estuviera en la lista. O sea: todas las direcciones menos la 192.1.168.6. Repito: daos cuenta de la potencia de squid para definir y depurar el control de la red hacia internet. Con lo explicado hasta ahora, podemos darle a squid un buen uso, aprovechando las características de listas de acceso y reglas de control. Ahora, aprovechemos las de rapidez. Squid como acelerador Si un usuario accede a una página en internet, y ésta no ha sufrido cambios desde ese acceso, squid mostrará el que está guardado en la caché, en lugar de volver a descargarlo. Eso quiere decir que si siempre se accede a las mismas páginas se gana velocidad. Para aprovechar esta característica, es necesario habilitarla dentro del squid. Se busca la línea:

HTTPD-ACCELERATOR OPTIONS

y se escribe:

httpd_accel_host virtual

httpd_accel_port 0

Httpd_accel_with_proxy on

Esos parámetros serán necesarios si no utlizamos proxy transparente. En ese caso, que yo no necesité, se utiliza:

httpd_accel_host virtual

httpd_accel_port 80

httpd_accel_with_proxy on

httpd_accel_uses_host_header on

Estos parámetro están sacados de internet. No están comprobados por mi, así que no puedo asegurar el correcto funcionamiento.

DEFINICIÓN DE REGLAS LÉXICAS: PATRONES:

Imaginemos que nuestra red es un poco mas complicada que la que hemos propuesto de ejemplo. Si queremos dejar acceso libre a todo internet excepto las páginas pornográficas, por ejemplo (tristemente es algo que se mucho en las empresas). Sería una auténtica tarea agotadora buscar páginas pornográficas en internet e incluirlas en nuestra lista. Además, siempre se encontraría una no definida y con acceso. Para evitar eso, definimos patrones regulares que permitan contener el acceso. Un patrón regular es una serie de reglas que definen una palabra. Por ejemplo: si queremos definir todas las palabras que tengan en medio la palabra “sexo”, caso que nos ocupa, se podría hacer: * sexo *. Existen muchos patrones regulares y formas de expresarlos. En nuestro caso, configurarlos para squid, se hace así, con la ayuda de la instrucción: url_regex Ésta instrucción indica las palabras que denegaremos (o permitiremos según el caso). Definimos una lista de control con los patrones que identificaremos: patronesdenegados, situada en etc/squid/patronesdenegados. Con la siguiente información:

sexo

porn

massexo

masporn

porno

Paso a paso:

acl patronesdenegados url_regex src “/etc/squid/patronesdenegados”

y ahora, la regla de control de acceso:

http_acces deny patronesdenegados

y listos. Como advertencia, es necesario que ésta regla de control, aparezca antes que cualquier otra que permita o niegue acceso a otras listas. Si fuera al revés el filtro no sería útil. De nuevo, imaginemos que queremos hacerlo al revés, permitir sólo un patrón regular. Lo hacemos así: Creamos la lista patrones_no_negados, con el contenido: infosexo :::>>página necesaria y no de sexo. acl patrones_no_negados url_regex src “/etc/squid/patrones_no_negados” y la regla de control de acceso:

http_acces deny patronesdenegados !patrones_no_negados

Como antes, el signo de admiración indica que denegaremos el acceso a todo lo que no esté en esa lista. O sea: denegar acceso a patronesdenegados y denegar acceso a cualquier cosa que se salga de la lista de patrones_no_negados. En el ejemplo, negaríamos acceso a cualquier página que contuviera la palabra sexo pero no a infosexo.

CONFIGURACIÓN DE NAVEGADORES PARA USAR SQUID:

Si no utilizamos un proxy transparente, será necesario configurar los clientes para que naveguen a través del proxy. Es una tarea rápida y fácil de llevar a cabo. Mozilla firefox:

Una pantalla para que quede mas claro:

pantallazo1am8.png

Es muy simple: decidimos cual será la ip de la máquina donde estará funcionando squid, y el puerto en el que funciona. Para la captura, está configurado en el puerto 3128 y en la dirección ip 192.168.1.1 Claro está, esto es prácticamente configurable por el administrador de la red.

CONCLUSIONES:

¿Sencillo, verdad? . El squid tiene mucha mas miga, mucha tela que cortar y muchas configuraciones posibles. El proxy transparente es una de las opciones útiles y más utilizadas. No obstante, recordar que squid no funciona como proxy para correo, POP3 y SMTP. Usar Dante para esa tarea.

 

How-to realizado por Ethiel para LinuxZone.es

The FreeNet Project, una red anti SOPA y Sinde

Hace unos cuantos años nacía Freenet, una red libre y segura, enfocada a defender la libertad de expresión en Internet permitiendo a sus usuarios navegar, compartir o publicar información de forma completamente anónima.
La idea inicial de este proyecto es la de permitir el acceso a una red privada y segura en países donde la censura en internet es algo normal. Pero en estos convulsos días en los que estamos viendo como algunos quieren acotar la libertad en internet, de nuevo se empieza a hablar de esta solución para navegar de forma anónima. Seguir leyendo »

Tor Browser, anonimato en internet en cualquier sitio

Estoy seguro que muchos de vosotros ya conocéis esta herramienta multiplataforma que sirve para ocultar o enmascarar nuestra identidad en la red. Pero para quien no lo conozca, Tor nos brinda un canal anónimo a través de servidores proxy para nuestras comunicaciones de internet y es resistente a ataques de análisis de tráfico. Por lo que, usando Tor es posible realizar una conexión a un equipo sin que éste o ningún otro tenga posibilidad de conocer nuestra IP. Seguir leyendo »

IPCop 2.0.0 anunciado

Algunos recordaréis el tutorial publicado en Linux Zone en el que se explicaba cómo proceder para montar con IPCop tu propio firewall por hardware, junto a una serie de addons que lo dotaban de mayor versatilidad como, por ejemplo, proxy caché o url filter. Podéis leerlo aquí (1ª parte) y aquí (2ª parte). Ese tutorial se hizo en base a una versión anterior a la muy esperada v. 2.0.0, anunciada ayer. ¿Qué hay de nuevo en la 2.0.0? Veamos…

Seguir leyendo »

Turpial: excelente cliente para Twitter

Al poco de “estrenarme” en Twitter observé lo que muchos antes que yo: tener que abrir el navegador web y para conectarte a Twitter es una tarea bastante pesada, sobre todo si la haces a menudo. Las pesquisas sobre clientes Twitter para el escritorio GNU/Linux pronto revelaron que hay bastantes opciones y de buen nivel. Una de estas opciones es Turpial, aplicación ligera para Twitter e Identi.ca, que describimos a continuación.

Seguir leyendo »

Acceso a un servidor ssh en tu LAN

Si trabajáis en red, lo más probable es que, tarde o temprano, utilicéis varias terminales con sistemas GNU/Linux, si es que no lo habéis hecho ya… Éstas pueden ser destinadas a numerosas tareas, aparte de terminal de escritorio. A saber: servidor de datos, backups, proxy cache, firewall, fax, etc. En estos casos, no es necesario tener montado todo lo que acompaña a un PC (teclado, mouse y monitor) ya que podremos acceder, por ejemplo, vía escritorio remoto (si tenéis X en el equipo) o ssh. A continuación, encontraréis las instrucciones para esto último, utilizando Debian como distro servidor.

Seguir leyendo »

Guarda tus marcadores de delicious

Ya ha corrido mucho por la Red la noticia del cierre de delicious, la popular web de marcadores sociales, comprada hace unos años por Yahoo!. Tras unos momentos de desconcierto, los usuarios que hemos utilizado y utilizamos sus servicios hemos encontrado un buen puñado de soluciones, desde la exportación de los marcadores a otros servicios on line hasta la oferta de otras webs semejantes. Sin embargo, para estar completamente tranquilos, mientras estudiamos una solución definitiva, haríamos bien en poner a buen recaudo esos marcadores que guardamos en delicious. La aplicación curl y unas pocas letras en la terminal bastarán.

Seguir leyendo »

Tutorial sobre IP Cop: addons

Tras la primera parte del tutorial sobre IP Cop, en el que informábamos sobre su instalación así como la de algunos addons, seguimos con una ampliación de información sobre los módulos adicionales que instalamos: Advanced Proxy, Cop filter y URL filter. Con éstos se logra mejorar la velocidad de navegación, evitamos ser invadidos por el spam, mejoramos la seguridad y evitamos el acceso a determinadas webs, entre otras tareas.

Apunte inicial: este tutorial parte de la previa instalación del sistema IP Cop y de los addon comentados en la 1ª parte de este tutorial.

Advanced proxy

Se encuentra en el menú Servicios – Advanced Proxy.

Gracias a él podremos aligerar la carga de navegación de nuestra red ya que realizaremos caché de las páginas más visitadas de nuestra red de ordenadores. ¿Qué es esto? Citaremos a la Wikipedia:

(…) proporciona una caché para las páginas web y los contenidos descargados, que es compartida por todos los equipos de la red, con la consiguiente mejora en los tiempos de acceso para consultas coincidentes. Al mismo tiempo libera la carga de los enlaces hacia Internet.

AP también nos permitirá habilitar o denegar puertos para nuestra red, activar o no el servicio proxy también para la red local, establecer días y horarios de navegación permitidos, límites de transferencia por peso y/o tipo de archivo, denegar el acceso a Internet en función del navegador utilizado y establecer un login previo para acceder a internet desde cualquier terminal de la red.

(Clic para ampliar)

Para empezar, debemos marcar la casilla Habilitado en Green para que nuestra red de PCs. Lo que veis bajo estas letras es la asignación del puerto utilizado (por defecto), idioma de los informes de error, el e-mail del administrador (que recibirá los reportes de errores, si los hay) y el formato del error.

La casilla Transparente en Green ya fue comentada en la primera parte del tutorial: si marcamos esa casilla no deberemos realizar cambios en la configuración de la conexión de las aplicaciones que necesitan acceso internet; sucederá lo contrario si dejamos desmarcada esa casilla. Cada aplicación tiene su propio método de configuración del proxy. Es recomendable, por tanto, leer el manual de esa aplicación para proceder, en su caso.

La casilla Log habilitado sólo es relevante si deseamos realizar consultas sobre el uso de la red.

La zona de “Administración de la caché” es en la que administraremos el almacenaje de la navegación de nuestros PCs.

(Clic para ampliar)

El Tamaño en la memoria para la caché es el consumo de memoria RAM destinado a la gestión de tráfico de datos. Debemos obrar con precaución a la hora de establecer un número apropiado y no superar la mitad de la memoria disponible en nuestro equipo. Para calcular este número también debemos tener en cuenta si estamos utilizando (o vamos a hacerlo) otros addon que consumen también su espacio de memoria RAM.

En cualquier caso, si no estáis seguros del todo de cuál es la cifra adecuada, podéis probar una y ver cómo funciona al cabo de un rato de trabajo. Dirigíos al menú Estado – Sistema para ver los diferentes consumos: RAM, disco duro, particiones, etc.

Tamaño del disco de la caché es el espacio de disco duro que dejamos al addon AP para que guarde los archivos de las webs visitadas por nuestras terminales. El límite viene marcado, obviamente, por el tamaño del HD del equipo IP Cop. Debemos tener en cuenta que el SO también ha ocupado su espacio y que debemos dejar también para los logs del equipo y de los addon.

A modo orientativo, diré que llevo unas semanas con la configuración que veis más arriba (con apagados programados diaramente, al finalizar la jornada) y todo funciona correctamente en un Pentium IV, con 40 GB de disco duro y 512 de RAM.

¿Queréis restringir el uso de algunos navegadores web? Si es así, marcad la casilla Habilitar chequeo de navegador y, luego, la casilla de los navegadores que queréis permitir.

(Clic para ampliar)

Por último, no debemos olvidar marcar la casilla del filtro URL para poder establecer políticas de restricción de acceso a determinadas webs mediante el addon URL Filter.

Apunte final: todas estas características comentadas y otras están descritas aquí.

Cop filter

Menú Cop Filter.

En mi caso, habilité los controles de correo vía POP3 (P3Scan), la Utilidad de monitoreo de funcionamiento del addon, SpamAssassin y ClamAV para controlar los virus.

Si la potencia de vuestro equipo lo permite, podéis habilitar el control de todos los protocolos de comunicación disponibles en Cop filter. Como en el anterior caso, es vuestro hardware quien dictará al respecto. En cualquier caso, siempre queda el sistema “prueba-error” para conocer la mecánica y comportamiento de IP Cop en vuestro equipo.

En el menú Cop filter – Email es donde escribiremos nuetra dirección de correo, donde se enviarán los reportes de actividad del addon. También deberemos establecer nuestro servidor SMTP y el usuario y contraseña para que pueda usar el servicio de correo.

El menú Cop filter – Monitor es donde encontraremos la opción de habilitar o no el control de los servicios de Cop Filter. Al clicar en Visualizar servicios activos veremos si están funcionando (en verde) y su consumo.

(Clic para ampliar)

El menú Cop filter – POP3 Filter es el que nos mostrará las opciones de filtro del correo electrónico. Podremos controlar el spam y la entrada de virus cada vez que una de las terminales de la red baje el correo del servidor.

(Clic para ampliar)

Si deseamos utilizar este filtro, deberemos habilitarlo en la pestaña Escanear correo POP3 en busca de virusy Escanear correo POP3 en busca de spam.

Particularmente útil observo la opción de asignar Listas negras y de direcciones de correo electrónico ya que puede haber algún remitente molesto (siempre lo hay) que se escape a los filtros de spam. Accederemos a ellas al clicar en Blacklist.

(Clic para ampliar)

Para restringir la llegada de correo basura desde un remitente determinado, tan sólo debemos seleccionar en la pestaña la opción “Discard mail from” y escribir la dirección que deseemos. Si queremos restringir todo un dominio, al ser remitente habitual de correo basura (por ejemplo), deberemos escribir “*@dominio-que-deseo-restringir” (sin comillas).

Por lo demás, las opciones de guardar o no en cuarentena los correos infectado o spam quedan a discreción del usuario, naturalmente.

El servicio funciona del siguiente modo: IP Cop + Cop filter marcarán los correos Spam con la calificación “*** SPAM ***” (sin comillas). El usuario deberá configurar los clientes de correo que use para que filtre todos los emails recibidos con esa marca en el subject del email. En lo referente a los emails con virus, si lo configuráis para que os avise de la llegada de emails con virus, recibiréis un aviso por correo electrónico parecido al que veis bajo estas letras:

Copfilter detected a VIRUS in an email sent to you (POP3)!
Instead of the infected email this message has been delivered to you.

URL Filter

Se encuentra en el menú Servicios – Filtro de url.

Es el addon adecuado para establecer restricción de acceso a determinadas webs, desde nuestra red.

(Clic para ampliar)

Es muy sencillo de usar y comprender. Podemos establecer filtros de acceso por categorías o por dominios o urls o ambos tipos a la vez. Tan sólo deberemos marcar la casilla correspondiente de la categoría (si deseamos filtrar categorías completas) o, si queremos eliminar el acceso a urls definidas por nosotros, marcar la casilla Habilitar lista negra personalizada y escribir la dirección web, tal como veis sobre estas letras.

Si alguna web está en la categoría de warez, por ejemplo, y hemos marcado la casilla “warez” para restringir el acceso a ese tipo de webs pero, por la razón que sea, deseamos habilitar acceso a una web determinada, deberemos escribir el dominio en el espacio “Dominios permitidos” y marcar la casilla Habilitar lista de permitidos personalizada.

Tutorial realizado por Alex Aliaga para Linux Zone

Página 1 de 3123
Linux Zone © 2007 - 2017