Restringuir accesos con SQUID

Imagen de frankymaza

Forums: 

Hola a todos los amigos del foro. Necesito su ayuda para el siguiente problema.
Tengo configurado un servidor linux con squid bajo redHat 9 para dar acceso a internet a travez del proxy a las maquinas de mi red.
Lo que necesito ahora es solo dar acceso a determinados sitios de Internet y nada mas.
Por ejemplo que el IP 192.188.60.45, solo pueda accesar a www.espe.edu.ec
el, 192.188.60.65 a www.bce.fin.ec, www,yahoo.com, www.cnn.com
y asi,

Me dijeron que con Iptables se puede hacer esto, pero no se como.
mi MSN: frankymaza@hotmail.com

espero su ayuda, Gracias

Imagen de ElSanto

Lo puedes hacer con reglas de squid, y tambien lo puedes hacer con iptables.....

Revisa estos enlaces donde te explican muy bien y con ejemplos como hacerlo con squid
[url]http://www.pello.info/guias/boletin-002.html[/url]
[url]http://www.linuxparatodos.com/linux/como-squid-proxy.php[/url]

Saludos :lol:

[Linux Counter]

Imagen de acl

Si solo necesitas restringir a nivel de IP, basta con crear ACLs en el archivo de configuracion de squid (en mis compus es /etc/squid.conf), y luego indicar cuales combinaciones de acl estan permitidas a salir:
Agrega esto a las listas que asoman en algun lugar de archivo (que esta bastante bien comentado, por cierto)
acl fulano src 192.188.60.45/255.255.255.255
acl mengano src 192.188.60.65/255.255.255.255
acl espe dstdomain www.espe.edu.ec
acl bce dstdomain www.bce.fin.ec
acl yahoo dstdomain www.yahoo.com
acl cnn dstdomain www.cnn.com

y luego en la seccion de http_access en el mismo archivo:
http_access allow fulano espe #cuando se cumple el acl fulano y el acl espe, permitir el paso
http_access allow mengano bce #Lo mismo con mengano.
http_access allow mengano yahoo
http_access allow mengano cnn

Reinicia squid. Luego deber hacer que tus clientes usen a la maquina squid como proxy.

Bueno...he estado falto ha esta conversación....
Pero lo que dice mastropiero me parece bien, Tu puedes restringir mediante acl en el squid.conf tal como esta arriba aunque agregaria
una linea mas o verificaria la existencia de la misma:

Primero lo que debes tener en cuenta es que las acl se leen secuencialmente y es asi que hacen match con la primera conicidencia que encuentren. por lo tantoagregaría al fineal del las acl

acl todoelresto src 0.0.0.0/0

y al final de http_access

http_access deny todoelresto

Bueno por default esta reglas la vas a encontrar como acl all src 0.0.0.0/0 y http_access deny all y si es asi solo debes colocar tus reglas del http_access antes que niegues todo..Espero que me haya explicado..

con iptables o ipchains tambien puedes hacerlo...pero si estas utilizando proxy squid mejor hazlo con las acl

Hasta la Victoria Siempre!

Agregando a los comentarios anteriores, puedes usar el iptables para no permitir a los usuarios de tu red interna navegar sin usar SQUID. Lo unico que debes agregar en el firewall es:

iptables -A FORWARD -s 192.188.60.0/32 -d 0/0 -p tcp --dport 80 -j DROP
iptables -A FORWARD -s 192.188.60.0/32 -d 0/0 -p tcp --dport 443 -j DROP

Eso suponiendo que tu red es 192.188.60.0

Saludos

Imagen de RazaMetaL

Puede obligar a tus usuarios a utilizar el proxy con esta línea en tu firewall con la que redireccionas todo el trafico del puerto 80 hacia el puerto del proxy (squid por default es 3128):

[code:1:03407d886e]
iptables -t nat -A PREROUTING -i eth0 -s 192.168.0.0/24 -p tcp --dport 80 -j REDIRECT --to-port 3128[/code:1:03407d886e][/quote]

-----

Visita este [url=http://www.sindominio.net/ayuda/preguntas-inteligentes.html]link[/url] :evil:

[img]http://www.bbspot.com/Images/News_Features/2003/01/os_quiz/debian.jpg[/img]

(adsbygoogle = window.adsbygoogle || []).push({});

Lo primero será generar una lista la cual contendrá direcciones Web y palabras usualmente utilizadas en nombres de ciertos dominios. Ejemplos:

www.sitioporno.com
www.otrositioporno.com
sitioindeseable.com
otrositioindeseable.com
napster
sex
porn
mp3
xxx
adult
warez
celebri

Esta lista, la cual deberá ser completada con todas las palabras (muchas de está son palabras obscenas en distintos idiomas) y direcciones Web que el administrador considere pertinentes, la guardaremos como /etc/squid/sitiosdenegados.

Debemos definir una Lista de Control de Acceso que a su vez defina al fichero /etc/squid/sitiosdenegados. Esta lista la denominaremos como "sitiosdenegados". De modo tal, la línea correspondiente quedaría del siguiente modo:

acl sitiosdenegados url_regex "/etc/squid/sitiosdenegados"

A continuación especificaremos modificaremos una Regla de Control de Acceso existente agregando con un símbolo de ! que se denegará el acceso a la Lista de Control de Acceso denominada sitiosdenegados:

http_access allow redlocal !sitiosdenegados

luego solo nos queda por reiniciar el servivio y listo

service squid restarter.

mas facil no puedo explicarte

Suerte.

Imagen de BitFrost

Hola muchos saludos =), si no tienes mucho tiempo para romperte la cabeza, o uts jefeso o usuarios necesitan todo rapido y furioso puedes utilizar Webmin, inclusive, como estoy haciendo yo ahora, le doy el acceso para que habilite o deshabilite el internet, de ciertos laboratorios, sin quitar el internet a todo el mundo [url]http://www.webmin.com/[/url]
es muy facil, y te recomiendo que lo utilizes, porque cambiar las configuraciones a mano, te pueden acarrear problemas, pero bueno aprenderas mucho de esa manera, solo en caso contrario de que no tengas mucho tiempo

Suerte!!

"Education is what remains after one has forgotten everything he learned in school." - Albert Einstein
[img]http://counter.li.org/cgi-bin/certificate.cgi/345468[/img]

Gracias por tu consejo

Imagen de devilsoulblack

Gracias por tu consejo

® { No HopE & No FeaR } ®
Be part of the change, because We are the change..
Projects:
Orenses.org: http://www.orenses.org
DeVilSoulBlacK WebLog: http://www.devilsoulblack.com
DeVilSoulBlacK Channel: #Siliconvalley *!*@DAL.net

® { No HopE & No FeaR } ®
Be part of the change, because We are the change..
Projects:
Orenses.org: http://www.orenses.org