16/01/2009, 10:29
|
| | Fecha de Ingreso: enero-2009
Mensajes: 6
Antigüedad: 15 años, 11 meses Puntos: 0 | |
Respuesta: Monte Squid en Debian y no filtra las paginas ayuda por favor nstalación de Squid y squidGuard
1.- apt-get install squid
2.- Editamos el archivo de configuración /etc/squid/squid.conf y colocamos:
## Hacer Squid Transparente
http_port 3128 transparent
## No se usa ICP
icp_port 0
## Para ocultar la IP del Cliente, para que internet solo se muestre la IP del Router
forwarded_for off
## Para que no se guerde en el Cache los cgi
hierarchy_stoplist cgi-bin ?
acl QUERY urlpath_regex cgi-bin \?
cache deny QUERY
## Para los servidores que permiten resumir la sesión cuando se cancela una descarga de un archivo
acl apache rep_header Server ^Apache
broken_vary_encoding allow apache
## Donde se guardan los log de acceso
access_log /var/log/squid/access.log squid
## Para emular el formato de log del apache, esto nos sirve para utili
zar los analizadores de logs de apache
emulate_httpd_log on
## Indicar donde esta el fichero de host
hosts_file /etc/hosts
## Definir el cache que va a utilizar el squid el directorio, la canti
dad de espacio en megas, la cantidad de directorio y de subdirectorios
cache_dir aufs /var/spool/squid/ 2000 16 256
## Cantidad de memoria reservada para squid, para manejar el cahce
cache_mem 128 MB
## Se definen los puertos por los que squid dejara realizar conecciones
acl CONNECT method CONNECT
acl Safe_ports port 80 443 ##1024-65535
## Puertos que necesitan conexion ssl
acl SSL_ports port 443
## Definimos la red all
acl interna src 10.5.4.0/255.255.255.0
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
## Definimos acl para localhost
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
## Acl por defecto
acl purge method PURGE
##Para cachear todo lo que pase por el proxy
offline_mode on
## Denegamos el acceso a cualquier puerto diferente a los definidos en Safe_portshttp_access deny !Safe_ports
##Denegamos la conexión cifrada a los puertos que no son ssl
http_access deny CONNECT !SSL_ports
## Permitimos solo el acceso a cachemgr desde localhost
http_access allow manager localhost
http_access deny manager
## Solo permitimos purgas desde localhost
http_access allow purge localhost
http_access deny purge
## Permitimos el acceso al proxy
http_access allow localhost
## Permitimos el acceso a la red interna
http_access allow interna
## Denegamos todo
http_access deny all
## Para que conteste a las peticiones de los clientes
http_reply_access allow all
##denegamos el icp
icp_access deny all
##Para ocultar la máxima información del proxy, solo en las cabeceras
header_access X-Forwarder-For deny all
header_access Via deny all
## Para remplazar las cabeceras, del proxy y de los navegadores
header_access Accept-Language deny all
refresh_pattern ^ftp: 1440 20% 10080
## Por defecto
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern . 0 20% 4320
## Usuario y grupo que utilizara squid
cache_effective_group proxy
## Donde se guarda la cache
coredump_dir /var/spool/squid
## El idioma que utilizara squid cuando muestre un error al usuario
error_directory /usr/share/squid/errors/Spanish
## Integracion con squidguard
redirect_program /usr/bin/squidGuard -c /etc/squid/squidGuard.conf
3.- apt-get install squidguard
4.- Descargamos las blacklist de http://urlblacklist.com, el url completo:
http://urlblacklist.com/cgi-bin/commercialdownload.pl?type=download&file=
bigblacklist
5.- El archivo descargado se guarda en el directorio raiz de squid
6.- Descomprimimos el archivo
tar xvzf bigblacklist.tar.gz
7.- Luego movemos todo al db de squidguard
mv blacklists/* /var/lib/squidguard/db/
8.- Le damos los permisos y dueños apropiados
chown proxy:proxy -R /var/lib/squidguard/db/*
find /var/lib/squidguard/db -type f | xargs chmod 644
find /var/lib/squidguard/db -type d | xargs chmod 755
9.- Editamos el archivo de configuración /etc/squidGuard.conf y colocamos:
#Aqui es donde guardamos las blacklist
dbhome /var/lib/squidguard/db
#Donde se guardaran los logs del squidGuard
logdir /var/log/squidGuard
#Categorias que seran bloqueadas
dest ads {
domainlist ads/domains
urllist ads/urls
expressionlist ads/expressions
}
dest adult {
domainlist adult/domains
urllist adult/urls
}
dest aggessive {
domainlist aggressive/domains
urllist aggressive/urls
}
dest antispyware {
domainlist antispyware/domains
urllist antispyware/urls
}
dest artnudes {
domainlist artnudes/domains
urllist artnudes/urls
}
dest astrology {
domainlist astrology/domains
}
dest audio-video {
domainlist audio-video/domains
urllist audio-video/urls
}
dest beerliquorsale {
domainlist beerliquorsale/domains
}
dest beerliquorinfo {
domainlist beerliquorinfo/domains
}
dest blog {
domainlist blog/domains
urllist blog/urls
}
dest chat {
domainlist chat/domains
urllist chat/urls
}
dest childcare {
domainlist childcare/domains
urllist childcare/urls
}
dest clothing {
domainlist clothing/domains
}
dest culinary {
domainlist culinary/domains
}
dest dating {
domainlist dating/domains
urllist dating/urls
}
dest desktopsillies {
domainlist desktopsillies/domains
urllist desktopsillies/urls
}
dest dialers {
domainlist dialers/domains
urllist dialers/urls
}
dest drugs {
domainlist drugs/domains
urllist drugs/urls
}
dest ecommerce {
domainlist ecommerce/domains
urllist ecommerce/urls
}
dest entertainment {
domainlist entertainment/domains
urllist entertainment/urls
}
dest filehosting {
domainlist filehosting/domains
}
dest games {
domainlist games/domains
urllist games/urls
}
dest gardening {
domainlist gardening/domains
}
dest hacking {
domainlist hacking/domains
urllist hacking/urls
}
dest homerepair {
domainlist homerepair/domains
urllist homerepair/urls
}
dest hygiene {
domainlist hygiene/domains
}
dest instantmessaging {
domainlist instantmessaging/domains
urllist instantmessaging/urls
}
dest jewelry {
domainlist jewelry/domains
}
dest kidstimewasting {
domainlist kidstimewasting/domains
urllist kidstimewasting/urls
}
dest marketingware {
domainlist marketingware/domains
}
dest medical {
domainlist medical/domains
urllist medical/urls
}
dest mixed_adult {
domainlist mixed_adult/domains
}
dest naturism {
domainlist naturism/domains
urllist naturism/urls
}
dest onlinegames {
domainlist onlinegames/domains
urllist onlinegames/urls
}
dest pets {
domainlist pets/domains
urllist pets/urls
}
dest phishing {
domainlist phishing/domains
urllist phishing/urls
}
dest porn {
domainlist porn/domains
urllist porn/urls
expressionlist porn/expressions
}
dest proxy {
domainlist proxy/domains
urllist proxy/urls
}
dest radio {
domainlist radio/domains
urllist radio/urls
}
dest ringtones {
domainlist ringtones/domains
}
dest sexuality {
domainlist sexuality/domains
urllist sexuality/urls
}
dest shopping {
domainlist shopping/domains
}
dest spyware {
domainlist spyware/domains
urllist spyware/urls
}
dest violence {
domainlist violence/domains
urllist violence/urls
}
dest virusinfected {
domainlist virusinfected/domains
urllist virusinfected/urls
}
dest warez {
domainlist warez/domains
urllist warez/urls
}
dest weapons {
domainlist weapons/domains
urllist weapons/urls
}
#Definicion de las ACL
acl {
default {
pass !ads !adult !aggessive !antispyware !antispyware !artnudes !astrology !audio-video !beerliquorsale !beerliquorinfo !blog !chat !childcare !clothing !culinary !dating !desktopsillies !dialers !drugs !ecommerce !entertainment all
redirect http://10.5.4.31/restringido.html
}
}
10- Convertir las blacklist en archivos db para que sea más rápido su lectura
squidGuard -C all
11.-Reiniciamos squid
/etc/init.d/squid restart
Reglas de iptables
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o eth1 -j SNAT --to 10.4.16.230 iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128 |