Ayuda con Squid3, Dansguardian

[RavenxD]

Buen dia:

Les escribo para ver si me podian ayudar un poco con lo que estoy aprendiendo :P

Estoy configurando mi servidor proxy en Ubuntu Server (9.04) y me asaltaron unas preguntas:

veamos:
A la hora de editar el "/etc/squid3/squid.conf" las lineas k empiezan con "acl... " a que hacen referencia? Como ejemplos encontre:

acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8

Mas abajo decia:

acl mired src (ip de mi maquina en linux virtualizada)

Y mas abajo (En donde se escriben nuestras propias reglas):

http_access allow localhost
http_access alow mired
http_accesss deny all

Por lo que entiendo, configuro el squid para que permita el acceso solo a las direcciones del grupo "mired" y del grupo "localhost", cada cual tiene un numero ip asignado pero a todas las demas ips que no esten dentro de ese grupo, les cortara el acceso? mmm en otras palabras, si quiero entrar a www.google.com, no me lo permitira? Me confundo. Ayuda.

Luego entro a a la carpeta ".../dansguardian/lists/" y me hablaron de 3 archivos:

bannedphraselist
bannedsitelist
bannedurllist

Quisiera saber para que sirven cada uno. Logicamente esta el www.google.com pero preferiria algo mas personalizado, si no es mucho pedir.


Agradezco de antemano la ayuda. Saludos.

[Devil]

ACL es un termino que encontraras en la gran mayoria de equipos de comunicaciones y seguridad informatica en general. Significa Access Control List. Basicamente listas para restringir acceso a algo, generalmente rangos de IPs.

En el caso de squid primero defines el ACL y luego le dices si permites o deniegas el acceso. Por ejemplo el ACL localhost esta compuesto por el segmento de red de origen 127.0.0.1/32 que es obviamente solo 1 IP (127.0.0.1). Mas abajo esta la regla de acceso o denegacion, en este ejemplo es acceso. Traducido, si el IP que se conecta al proxy (origen) es el 127.0.0.1, entonces puede navegar.

Asi por ejemplo si tienes:

acl prueba src 192.168.1.0/24
http_access allow prueba

Toda maquina que venga de la red 192.168.1.xxx podra navegar por el proxy. Los ACLs se definen en parejas. Al final de todos, hay un deny all que indica la politica por defecto. Si algo no esta explicitamente definido, no tiene acceso. Toda regla que crees debera estar arriba de eso.

En cuanto al Dansguardian, no he trabajado con el, pero es un filtro de contenido mas. Simplemente lee la documentacion:

http://contentfilter.futuragts.com/wiki/doku.php

Por los nombres de los archivos simplemente son archivos de configuracion donde agregar frases para banear (URLs que contengan dicha frase no seran permitidos), URLs, etc.

[RavenxD]

Ok, ok ya voy entendiendo. En el caso de mi universidad, el codigo añadido fue:

acl redudep src 192.168.49.0/24

y mas abajo:

http_access allow redudep

Ahora, mi maquina virtual tenia como ip 192.168.49.13, por ende puse esa direccion como proxy. Segun el comando, entiendo que le indica al squid3 que toda ip proveniente de ese origen, puede navegar con tranquilidad, verdad?

Ahora, averiguando encontre que el Dansguardian es un filtro mas que se apoya en el Squid3, por ende en la configuracion del "/etc/dansguardian/dansguardian.conf" vi las siguientes lineas:

filterport = 8080 //encontre que es el unico puerto, el 80, sobre el que puede actuar.
proxyip = localhost //aqui asumo que asigna como ip de proxy la misma declarada en el squid3
proxyport = 3128 //el mismo puerto usado en el squid3.

Luego modifique el mozilla de la maquina real (el ubuntu lo tenia virtualizado) para que se conectara a travez del proxy 192.168.49.13 en el puerto 8080.

Ahora, haciendo "ls /etc/dansguardian/lists/" encuentro varios archivos editables con el "nano", tales como los que mencione en el post anterior (bannediplist, bannedphraselist, bannedurllist, bannedsitelist, bannedextensionslistetc). Detallo las listas que conozco:

Bannedsitelist -> Donde se especifica la direccion (xej: udep.edu.pe) sin el "www." o el "http://" si asi se quiere.
Bannedurllist -> Donde se especifica una parte de la direccion que se quiere bloquear. Por ejemplo: Tengo la pagina www.linux-es.org la cual NO deseo bloquear pero SI la carpeta "articulos" de la misma, entonces escribo: "linux-es.org/articulos/". Como en el caso anterior, no es necesaria la "www" o el "http://".
Bannediplist -> Direcciones IPs especificas a bloquear.
Bannedphraselist -> Palabras o frases que si son encontradas en la pagina, dicha pagina se bloqueara. De acuerdo a como se especifique la palabra, esta se bloquea si se encuentra al inicio, final, en medio o exactamente igual de otra palabra/frase.

Y aaqui viene mi duda:
Bannedextensionslist -> Se supone que en esta lista, se escriben y/o habilitan/deshabilitan las extensiones que se deben bloquear de las paginas, extensiones que se ejecuten o se descarguen de las mismas.

Yo coloque que me baneara los ".txt" y los ".wav", sin embargo, subi un txt a www.yousendit.com y luego lo descargue desde el mozilla (donde lo habia configurado para usar el proxy) y me permitio descargarlo. Que hice mal?

Saludos.

P.D. En este post quise comentar lo que iba aprendiendo, como lo hacia (y si me equivoco, que algun conocido en el tema, me corriga) pero tambien publicar mis dudas. Espero este bien.

[edu4rdo]

Bannedurllist -> Donde se especifica una parte de la direccion que se quiere bloquear. Por ejemplo: Tengo la pagina www.linux-es.org la cual NO deseo bloquear pero SI la carpeta "articulos" de la misma, entonces escribo: "linux-es.org/articulos/". Como en el caso anterior, no es necesaria la "www" o el "http://".

Bannedphraselist -> Palabras o frases que si son encontradas en la pagina, dicha pagina se bloqueara. De acuerdo a como se especifique la palabra, esta se bloquea si se encuentra al inicio, final, en medio o exactamente igual de otra palabra/frase.

.

Que realmente piensas hacer?.. con tu servidor de Squid?
Si es bloquear websites con contenido porno y que tambien consuma recursos.. edita el Bannedphraselist con tu Vim , y claro, pon porn* porno, u otras cosas.

Sobre lo de Bannedurlist, es por ejemplo para webs con contenido afin pero no enteramente a dicho contenido

Ejm:
Pones "Ares" en Google con el filtro.
Y sale Ares descargar -- .Esta será bloqueada
Pero te sale tambien /wikipedia.org/Ares_galaxy

y esa no te bloqueará ( es subdomain)

Yo bueno, trabajo en Gentoo Linux, y uso el Squid para restringir algunas webs como Hotmail, en horas de clase, o el Meebo, esas cosas :D :roll:

[RavenxD]

:arrowu: Yo mas queria saber porque no me bloquea la descarga de las extensiones que edito en el bannedextensionlist.

Saludos.

[Devil]

Segun la configuracion de ese aplicativo, el archivo se llama bannedextensionlist y no Bannedextensionslist (hay una S de mas y la B mayuscula). Al final puedes ponerle el nombre que quieras al archivo mientras sea exactamente el mismo que tienes en tu configuracion. En la configuracion debes tener algo como:

bannedextensionlist = '/etc/dansguardian/lists/bannedextensionlist'

El nombre y ubicacion del archivo debe ser EXACTAMENTE el mismo, mayusculas, minusculas, etc. Linux es case sensitive.

Adicionalmente a esto, segun leo la documentacion, la nomenclatura del archivo es bastante simple. Solo tienes que poner las extensiones, 1 por linea:

.txt
.wav

Asegurate de que el archivo lo edites en el mismo Linux y no que sea un archivo que envies por FTP desde Windows. Texto plano en Linux no es igual a Windows por los Carrier Returns (CR). Un archivo de texto plano en Windows tiene caracteres ocultos al final de cada linea y que podrian causarte problemas con algunas aplicaciones Linux. No se si ese sea el caso.

Crealo de cero y prueba. De paso aprende a usar el vi que es de lejos el mejor editor de texto. Muy duro al inicio pero despues lo vas a adorar.

[RavenxD]

Si, ese era el nombre del archivo solo fue un error de digitacion en el post.

Pues bueno, eso hice. Si no me equivoco el ".txt" ya viene escrito pero como comentario asi que lo descomente y agregue el ".wav" lineas mas abajo pero luego quize probar asi que creé un archivo txt con el block de notas en mi escritorio, luego lo subi a www.yousendit.com y cuando entre y lo quise descargar no tuve ningun problema T_T. Que creen que puedo haber pasado?

Saludos.

[Devil]

Por desgracia ya no hay mas que pueda hacer para ayudarte. Tendria que conectarme a tu equipo para ver que pasa o instalar el producto yo mismo, pero el tiempo no me da para tanto.

No he trabajado con este producto antes, pero es uno de los proyectos opensource con peor documentacion que haya visto. Desordenada y muy "newbie friendly" sin mucho detalle tecnico. Sin buena documentacion, es mas dificil dar con problemas.

Revisa los logs de la aplicacion con un tail -f y abre otra ventana de consola para hacer los cambios que requieras. Por ejemplo:

tail -f /var/log/archivo.log

o como se llame el archivo donde el Dansguard guarda los logs. Ahi podras ver en tiempo real lo que esta pasando. Conectate a alguna pagina con tu browser y fijate que sucede en los logs. Puedes hacer lo mismo con los logs de squid en otra ventanas y ves que dice ahi. Asegurate si que el nivel de logging sea el adecuado para que te muestre todo lo que quieres ver.

Valida que los demas archivos de configuracion funcionen. Bloquea URLs por ejemplo y fijate si toma en cuenta esa configuracion.

[Probe-x-]

DIAGRAMA DE LA RED

La red estará compuesta de un firewall en Linux , una computadora para red privada, y en la red externa habrá una computadora para realizar pruebas de conectividad.




CONFIGURACION DE LA COMPUTADORA DE LA RED PRIVADA

** Las siguientes actividades se realizarán en la máquina que se encuentra en la red privada.

1. Configurar la tarjeta de red para que pertenezca la misma red que la red privada.
• Iniciar una maquina virtual de Windows XP.
• Verificar que tenga configurada la tarjeta de red en modo Host-only.
• Colocar los valores correspondientes a la red privada.
o Dirección IP: 10.0.0.2
o Mascara de Red: 255.0.0.0
o Puerta de Enlace 10.0.0.1
o Servidor DNS: 192.168.65.43

CONFIGURACION DEL FIREWALL

** Las siguientes actividades se realizarán en la maquina que se hará las veces de Firewall.

2. Verificar el modo de trabajo de la tarjeta de red para la red publica.
• Iniciar la maquina virtual de Linux.
• Verificar que tenga configurada la tarjeta de red en modo Bridged
• Esta tarjeta representara el acceso a la red pública.

3. Instalar una segunda tarjeta de red (virtual) para la red privada en modo Host.
• Apague la maquina virtual de Linux.
• Seleccione VM --> Setting.
• Clic en el botón Add y luego en Siguiente.
• Seleccione Ethernet Adapter y haga clic en el botón siguiente.
• Seleccione Host-Only, y haga clic en el botón Finalizar.
• Esta tarjeta representa el acceso a la red privada.
• Al encender Linux detectara automáticamente la tarjeta de Red: Configurar.
• NO acepte la opción: Migrar o configurar parámetros de IP.


CONFIGURACIÓN DEL PROTOCOLO TCP/IP EN EL FIREWALL

4. Configurar el protocolo TCP/IP para cada una de las tarjetas de red del Firewall en Linux.
• Colocar los siguiente valores:



Valores Firewall
NIC Interna Firewall
NIC Externa
Dirección IP 10.0.0.1 192.168.13.xx
Mascara de red 255.0.0.0 255.255.255.0
Gateway - 192.168.13.1
DNS 192.168.65.43 192.168.65.43

• La configuración la puede realizar en el entorno grafico, o en los archivos de configuración:

• Nombre y Puerta de Enlace  # vi /etc/sysconfig/network

NETWORKING=yes
HOSTNAME=fire.empresaXX.com.pe
GATEWAY=[IP_ROUTER]

• IP de interfase “eth0”  # vi /etc/sysconfig/network-scripts/ifcfg-eth0

DEVICE=eth0
ONBOOT=yes
BOOTPROTO=static
IPADDR=[IP_NIC_externa]
NETMASK=[Mascara]

• IP de interfase “eth1”  # vi /etc/sysconfig/network-scripts/ifcfg-eth1

DEVICE=eth1
ONBOOT=yes
BOOTPROTO=static
IPADDR=[IP_NIC_interna]
NETMASK=[Mascara]

• Reinicie el servicio network o reinicie la computadora.

5. Habilite el reenvío de paquetes entre ambas tarjetas de red.
o Habilitemos el reenvío (Forwader) de los paquetes colocando el valor de 1 en el archivo ip_forward:
o # echo 1 > /proc/sys/net/ipv4/ip_forward
o El archivo ip_forward deberá de contener el valor de 1: # cat /proc/sys/net/ipv4/ip_forward

Nota: Este sentencia deberá de ser ejecutada cada vez que se reinicia el Firewall, para que se ejecute automáticamente se debe agregar al archivo /etc/rc.local.

INSTALACIÓN DEL SERVICIO IPTABLES

6. Instale el servicio Iptables.
• Verifique si esta instalado el servicio Web:
 # rpm –q –a | grep iptables

• Si no esta instalado, instale el servicio Web.
 # rpm –Uvh iptables-versión.rpm

7. Desde la computadora privada realicemos las pruebas de conectividad con el programa ping a las direcciones IP de la siguiente tabla:

# ping Responde (si/no) Comentario
IP_privado_firewall
IP_publico_firewall
IP_PC_pública



CONFIGURACIÓN DEL SERVICIO IPTABLES

8. Cree un archivo de políticas.
• Crear un archivo:
# touch /root/politicas.sh
• Aplicar permisos:
# chmod +x /root/politicas.sh

9. Limpiar las políticas de la tabla NAT y establecer las políticas predeterminadas.
• Editar
# vi /root/politicas.sh

############## HABILITA EL REENVIO
echo 1 > /proc/sys/net/ipv4/ip_forward

############## LIMPIEZA
# LOCAL
iptables –F INPUT
iptables –F OUTPUT
iptables –F FORWARD

#NAT
iptables –t nat -F PREROUTING
iptables -t nat -F POSTROUTING
iptables -t nat -F OUTPUT

############## PREDETERMINADO
# LOCAL
iptables –P INPUT ACCEPT
iptables –P OUTPUT ACCEPT
iptables –P FORWARD ACCEPT

# NAT
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
iptables -t nat -P OUTPUT ACCEPT


• Aplicar las políticas.
# sh /root/politicas.sh
• Compruebe si la PC Privada puede salir a INTERNET: www.yahoo.com ¿Puede? ______

10. Visualice el contenido de la tabla nat.
• # iptables –t nat -L
• Observe que el contenido de cada tipo de políticas esta vacío.

================================================== ============================
NOTA: A continuación se muestra cuadros de políticas, agregue estas políticas al final del archivo “politicas.sh”.
================================================== ============================

11. Define cual será el rango de direcciones IP de la tabla NAT es decir de la red privada.
• Añadir al final del archivo
# vi /root/politicas.sh


# ENMASCARANDO A LA RED LOCAL.
iptables -t nat -A POSTROUTING -s 10.0.0.0/8 -j MASQUERADE
o

 -t nat : tabla nat
 -A : Agregar una política
 -s : Origen (source)
 -j : Objetivo (target) ó jump (salto)

o Visualice el contenido de la tabla nat: # iptables –t nat -L


Chain POSTROUTING (policy ACCEPT)
target prot opt source destination
MASQUERADE all -- 10.0.0.0/8 anywhere


12. Desde la computadora privada realice la pruebas de conectividad con ping, a las siguientes direcciones IP y complete la tabla:

# ping Responde (si/no) Comentario
IP_privado_firewall
IP_publico_firewall
IP_PC_pública

13. Acceda a alguna página Web: http://www.google.com, ¿logra acceder?: ____________

14. ¿Afectó en algo las políticas impuestas en el Firewall?


15. Desde la computadora externa haga un ping al firewall, ¿responde al ping?: _____


VISUALIZANDO LAS CONEXIONES

16. Compruebe el funcionamiento de las conexiones establecidas por el Firewall en nombre de las computadoras de la red privada.
• Anotar la dirección IP de la PC externa (pública):
o Dirección IP : ____________
• Desde la PC privada, realicemos una conexión Telnet a la PC externa.
o telnet [IP_PCExterna]

• Mediante los comandos de netstat comprobemos las conexiones, anotemos únicamente lo relacionado con la conexión al puerto 23.

• En la PC Privada:

Protocolo IP Origen Puerto Origen IP Destino Puerto Destino Estado



• En la PC Pública:

Protocolo IP Origen Puerto Origen IP Destino Puerto Destino Estado


17. ¿Para la red Externa quien esta realizando las conexiones siempre?


BLOQUEO DEL ACCESO AL FIREWALL

18. Bloquee los paquetes entrantes dirigidas al Firewall.

• Modificar la politica por defecto para la cadena INPUT.
# vi /root/politicas.sh

# BLOQUEO DE ACCESO AL FIREWALL
iptables -P INPUT DROP

• Aplicar las políticas.
# sh /root/politicas.sh

• Visualice el contenido de la tabla filter: # iptables -L

19. Desde la computadora privada realice la pruebas de conectividad con ping, a las siguientes direcciones IP y complete la tabla:

# ping Responde Comentario
IP_privado_firewall
IP_publico_firewall
IP_PC_pública

20. Acceda a alguna página Web: http://www.google.com, ¿logra acceder?: ____________

21. ¿Afectó en algo las políticas impuestas en el Firewall?


22. Desde la computadora externa haga un ping al firewall, ¿responde al ping?: _____

23. Permite el tráfico entrante para la interface lógica (loopback)
• Añadir al final del archivo
# vi /root/politicas.sh

# PERMITIR LOOPBACK
iptables -A INPUT -i lo -j ACCEPT


• Aplicar las políticas.
# sh /root/politicas.sh

BLOQUEO DE ACCESO DE LA RED PRIVADA

24. Rechace los paquetes entrantes para la red privada.
• Modificar la política por defecto para la cadena PREROUTING:

iptables –t nat -P PREROUTING DROP

• Aplicar las políticas.
# sh /root/politicas.sh

25. Desde la computadora privada realice la pruebas de conectividad con ping, a las siguientes direcciones IP y complete la tabla:

# ping Responde Comentario
IP_privado_firewall
IP_publico_firewall
IP_PC_pública

26. Acceda a alguna página Web: http://www.google.com, ¿logra acceder?: ____________

27. ¿Afectó en algo las políticas impuestas en el Firewall?


28. Desde la computadora pública haga un ping al firewall, ¿responde al ping?: _____


CONCEDIENDO PERMISOS DE ACCESO A ALGUNOS SERVICIOS

29. Defina una política para que los usuarios de la red privada puedan acceder a los servidores DNS de la red pública.
• Añadir al final del archivo
# vi /root/politicas.sh

# HABILITANDO EL ACCESO DNS
iptables –t nat -A PREROUTING -p udp -s 10.0.0.0/8 --sport 1024:65535 -d any/0 --dport 53 -j ACCEPT

• Aplicar las políticas.
# sh /root/politicas.sh

• Visualice el contenido de la tabla nat: # iptables –t nat -L

30. Verifique el funcionamiento del servicio DNS.
• # ping www.google.com

• ¿Llega a realizar la resolución? ¿Por qué no se llega a completar los requerimientos del ping?



• Recuerde que no se puede acceder a ningún otro servicio, verifique que esto se cumpla.

31. Defina una política para que los usuarios de la red privada puedan acceder a los servidores Web de la red pública.

• Añadir al final del archivo
# vi /root/politicas.sh

# HABILITANDO EL ACCESO WEB
iptables –t nat -A PREROUTING -p tcp -s 10.0.0.0/8 --sport 1024:65535 -d any/0 --dport 80 -j ACCEPT

• Aplicar las políticas.
# sh /root/politicas.sh

• Visualice el contenido de la tabla nat: # iptables –t nat -L

32. Verifique el funcionamiento del servicio Web.
• http://www.google.com

33. ¿Puede salir a otros servicios, compruébelo?


34. Defina una política para que los usuarios de la red privada puedan acceder a los servidores Web Seguros de la red pública.







PUBLICANDO UN SERVIDOR DE LA RED PRIVADA

Nota:
Publicar un servidor Web consiste en hacer que un servidor de la red privada pueda ser accedida desde la red pública.

35. Instale e inicie el servicio Web en la computadora de la red privada, de preferencia una maquina Windows Server 2003 con IIS.

36. Obtenga una segunda dirección IP pública para el Firewall: IPWebPub: ____________

Nota:
Esta segunda dirección IP pública será asociada a una dirección IP privada, que será la del servidor Web.

37. Agregue una segunda dirección IP pública al firewall para que represente al servidor Web a publicar.
• # ifconfig [T.Red_Publico]:0 [IPWebPub] netmask [mascara]
• En nuestro caso sería: # ifconfig eth0:0 __________ netmask ___________
• Compruebe la configuración de las direcciones IP: # ifconfig

Nota: también se puede configurar en el entorno grafico.

38. Desde la computadora pública intentemos acceder al servicio Web cuya dirección IP es: IPWEBPUB.
• http://[IPWEBPUB]

39. ¿ Porque no podemos acceder al servicio?


40. Defina una política que redireccione las peticiones a la dirección IP pública a la dirección IP privada.
• Añadir la siguiente política:
o iptables -t nat -A PREROUTING -p tcp -d [IpWebPub] –dport [portOrigen] -j DNAT --to [IpWebPriv]:[portRedireccionado]

• Para nuestro servidor Web sería:
o iptables -t nat -A PREROUTING -p tcp -d ___________ –dport 80 -j DNAT --to 10.0.0.2:80

41. Desde la computadora pública acceda al servidor Web: IPWEBPUB.
• http://[IPWEBPUB]


MONITOREO DEL SERVICIO

42. Habilite el registro de los paquetes entrantes a la red privada o pública.
• # iptables -t nat -A PREROUTING -j LOG
49. Realice algunos accesos a la red privada o pública.
43. Visualice el archive de registro (log).
• # tail -f /var/log/messages



Copie de mi separata de mi instituto tecsup aver si te sirve para que configures un proxy transparente con squid y iptables
Todo esto fue hecho y probado en centos 5.1 , Modo de prueba en el Vmware , tendrias q hacer algunos ajustes para tu red local

PD: no se como poner colorines y todo lo demas :S, ademas centos te da permisos de root :P

[RavenxD]

:arrowu: A la sheee!!! Es bastante xD No se que tan util me sea lo escrito pero por lo pronto, lo imprimire y lo leere. Se te agradece la documentacion.

Saludos y gracias de nuevo. Escribo de nuevo cuando termine de leer xD.

[Probe-x-]

sugiero que lo hagas en centos 5.1 o superior :P , y imprimelo y oprueba al pie de la letra cada pasito , no hay pierde y si algo es raro para ti san google es tu amigo :P

Pero ojo no c otnara mis separatas de DNS,WEb,FTP en linux por lo general van relacionados a tb proxy me olvidaba aver si las encuentro .