Esta última entrega la dedicaremos a unificar en una configuración todo lo que se ha explicado en las anteriores entradas. Usando un ejemplo integrador de una situación en una empresa cubana.
ÍNDICE
Servidor Proxy. Conceptos y datos para el ejemplo a desarrollar.
1. Instalación de squid-5.0.2 por compilado.
1.1. Generando e instalando empaquetado “.deb” de squid-5.0.2.
2.2. Proxy padre.
2.3. Caché.
2.4. Autenticación.
2.5. Patrones de refrescamiento.
2.6. Declaración de reglas (ACLs).
2.8. Declaración y aplicación de otras reglas especiales.
2.8.1. Retardo con Delay Pools.
2.8.2. MITM con SSL Bump.
3. Integración de Squid-ADDC mediante Kerberos.
3.1. Configuraciones necesarias en el ADDC Samba4.
3.2. Sincronización de tiempo.
3.3. timesyncd.
3.4. ntpd & ntpdate.
3.5. Integración Squid-ADDC por Kerberos, mediante Ticket.
4. Ejemplo integrador de configuración de Squid.
4.1. Configuraciones del ejemplo.
4. Ejemplo integrador de configuración de Squid con Kerberos, Delay Pools y SSL Bump
El fichero de configuración que se ofrece a continuación, representa un ejemplo práctico del caso de una red empresarial. El fichero contendrá tres importantes características:
- Autenticación contra un ADDC mediante Kerberos.
- Retardo de ancho de banda con Delay Pools.
- Solución MITM de Squid “SSL Bump”.
Su autenticación es mediante Kerberos, así como la calidad de servicio, salvo el caso de los retardos de ancho de banda, que se hace con usuarios del directorio activo, especificados en ficheros de texto. La clasificación de dichos grupos se encuentra explicada en el propio fichero de configuración, así como la calidad del servicio que se le brinda a cada uno. El SSL Bump está habilitado (si no se desea usar SSL Bump omitir sus líneas de configuración).
En el propio fichero de configuración se explican muchas de sus opciones de configuración, así como la estructura elegida por los autores para la confección de la misma. Se trata de un ejemplo práctico para cualquier red empresarial que use un servidor proxy Squid.
Para este ejemplo se utilizaron los siguientes datos. Usted debe sustituir los valores del dominio y las IPs por las de su propia red, donde sea necesario.
Red:
- Domain = empresa.midominio.cu
- Subnet = 192.168.0.0/16
- Cantidad de usuarios aproximados: 400
Servidor Proxy:
- IP de eth0 = 192.168.120.43
- IP de eth1 (opcional) = 172.16.120.43
- HOSTNAME = proxysquid.empresa.midominio.cu
- Kerberos computer name = PROXYSQUID
ADDC:
- IP = 192.168.120.31
- HOSTNAME = pdc1.empresa.midominio.cu
La definición de los grupos de usuarios que serán utilizados se explica en la siguiente tabla:
Grupos Generales:
Servicio | Derecho de Acceso | ID de Grupo | Descripción | Limitaciones |
Internet [inter] | Full [f] | Redes [redes] | Administradores de Red | Sin restricciones de ancho de banda. Todo el horario laboral. Solo se encuentran limitados por las “blacklists”. |
Informatica [informatica] | Desarrolladores de Software, Taller Técnico, RSI e Informáticos | Poseen los mismos derechos de acceso que «redes» pero menor ancho de banda, durante todo el horario laboral. Sólo se encuentran limitados por las “blacklists”. | ||
Directores [directores] | Directores principales de la empresa | Sin restricciones de ancho de banda, durante todo el horario laboral. Sólo se encuentran limitados por las “blacklists”. | ||
Directivos [directivos] | Directores de UEB y direcciones. | Poseen los mismos derechos que «directores» pero menor ancho de banda, durante todo el horario laboral. Sólo se encuentran limitados por las “blacklists”. | ||
ComInst [cominst] | Comunicación Institucional (cara pública de la empresa) | Poseen los mismos derechos que «directores» pero menor ancho de banda, durante todo el horario laboral. Sólo se encuentran limitados por las “blacklists”. | ||
Restricted [r] | Usuarios [usuarios] | Resto de usuarios con internet | Restricciones de acceso y ancho de banda, por horarios. | |
Intranet [intra] | Restricted [r] | Usuarios | Todos los usuarios de la empresa, que no pertenezcan a ningún otro grupo. | Restricciones de acceso a internet e intranet, y ancho de banda durante todo el horario laboral. Todos los usuarios deben tener como mínimo, acceso a la prensa digital y los medios informativos digitales nacionales. |
Full [f] | Usuarios [usuarios] | Usuarios de intranet | Restricciones de acceso a internet y ancho de banda, durante todo el horario laboral. Son usuarios de intranet sin limitaciones de acceso dentro de esta red. |
Una representación gráfica de la anterior tabla, sería la siguiente imagen:
Sin embargo, también existen algunas violaciones de las fronteras entre estos grupos, generándose grupos específicos, que son explicados en la siguiente tabla:
Grupos Específicos (sus miembros son integrantes de alguno de los grupos generales):
Servicio | Derecho de acceso | ID de Grupo | Descripción |
Internet [inter] | YouTube [yt] | Usuarios [usuarios] | Usuarios de internet restringidos que necesitan acceder a YouTube en todo momento. |
Intranet [intra] | Priviledged [p] | Usuarios [usuarios] | Usuarios de intranet privilegiados, ya sean restringidos o con acceso completo a intranet, que pueden acceder a sitios en internet, relacionados con el trabajo de la empresa. |
4.1. Configuraciones del ejemplo
Antes de proseguir, debido a los requisitos de este ejemplo integrador, se debe de haber configurado previamente la integración de Squid con Kerberos, así como las configuraciones previas para el uso del MITM por SSL Bump. Una vez hecho esto continuamos con el procedimiento.
Detenemos Squid:
service squid stop
Creamos un nuevo fichero de configuración para Squid:
nano /etc/squid/squid.conf
Agregamos la siguiente configuración básica para un único proxy. Recuerde adaptar la configuración a su red:
NOTA: Gran parte de la configuración, solo será legible y entendible a través de un editor de texto en consola u otros programas a fines.
# _____ ____ __ __________ ____ ____ ____ _ ____ __ # / ___// __ \/ / / / _/ __ \ / __ \ / __ \/ __ \ |/ /\ \/ / # \__ \/ / / / / / // // / / /_____ / /_/ // /_/ / / / / / \ / # ___/ / /_/ / /_/ // // /_/ /_____// ____// _, _/ /_/ / | / / #/____/\___\_\____/___/_____/ /_/ /_/ |_|\____/_/|_| /_/ # "squid.conf" confeccionado por: Franco Diaz Hurtado y Alexander Rivas Alpizar # version: squid-5.0.2 # revision: 1.6 # fecha: 26-06-2020 ################################## # ESTRUCTURA DE LA CONFIGURACION # ################################## # 1. CONFIGURACIONES BASICAS # 1.1. ESCUCHA/SALIDA DEL PROXY # 1.2. MEDIDAS DE SEGURIDAD # 1.3. PARAMETROS ADMINISTRATIVOS # 1.4. TIEMPOS DE ESPERA # 1.5. OTRAS OPCIONES # 2. PROXY PADRE # 3. CACHE # 4. AUTENTICACION # 4.1. KERBEROS (MECANISMO DE AUTENTICACION PRIMARIO) # 4.2. LDAP BASICO (MECANISMO DE AUTENTICACION SECUNDARIO) # 5. PATRONES DE REFRESCAMIENTO # 6. DECLARACION DE REGLAS # 6.1. PUERTOS # 6.2. METODOS DE CONEXION # 6.3. DIRECCIONES IP # 6.4. USUARIOS # 6.5. GRUPOS DE USUARIOS # 6.6. TIEMPO # 6.7. CONTENIDO # 6.8. DOMINIOS # 6.9. RETARDO # 6.10. DESENCRIPTACION DE HTTPS # 6.11. OTRAS REGLAS ESPECIFICAS # 7. APLICACION DE REGLAS # 7.1. LONGITUD MAXIMA DE DESCARGA POR OBJETO # 7.2. DENEGATIVAS ESPECIFICAS # 7.3. PERMISIVAS ESPECIFICAS # 7.4. DENEGATIVAS GENERALES # 7.5. PERMISIVAS GENERALES # 7.6. POR DEFECTO # 7.7. RETARDO # 7.8. DESENCRIPTACION DE HTTPS # NOTA: #--------------------------------------------------------------------- # Pueden o no haber opciones habilitadas o deshabilitadas. Depende de la configuracion que se persiga. #--------------------------------------------------------------------- ############################### # 1. CONFIGURACIONES BASICAS # ############################### # 1.1. ESCUCHA/SALIDA DEL PROXY: #===================================================================== # Sin SSL BUMP: # Si el proxy cuenta con una 2da interfaz de red, debe especificar la IP, aunque si no la tiene se puede hacer igualemte. No especificarla # implica que el proxy escucha en cualquiera de sus interfaces, mientras especificarla la obliga a que sea en aquella que responde por la IP # indicada # http_port IP:Port http_port 10.7.1.15:3128 #http_port 3128 # Con SSL BUMP: http_port 10.7.1.15:3128 ssl-bump \ cert=/etc/squid/ssl_cert/squidCA.pem \ generate-host-certificates=on dynamic_cert_mem_cache_size=10MB # Si el proxy cuenta con una 2da interfaz de red, se le puede especificar como salida (debe estar bien configurado el enrutamiento y el forwarding en el sistema) #tcp_outgoing_address 172.16.1.15 icp_port 3130 #===================================================================== # 1.2. MEDIDAS DE SEGURIDAD: #===================================================================== via off forwarded_for off reload_into_ims on quick_abort_min 0 KB quick_abort_max 0 KB quick_abort_pct 100 read_ahead_gap 17 KB # La cantidad de datos que el cache almacenara antes de lo que ha sido enviado al cliente al recuperar un objeto de otro servidor. negative_ttl 0 seconds positive_dns_ttl 1 hour # Limite superior sobre cuanto tiempo Squid almacenara en cache las respuestas DNS positivas. negative_dns_ttl 1 seconds # TTL para el almacenamiento en cache negativo de busquedas DNS fallidas. range_offset_limit 0 httpd_suppress_version_string on # Supresion de la visualizacion de la version implementada de Squid. # Lista de ACLs para cada nombre de cabecera en peticiones HTTP, que permiten removerlas bajo ciertas condiciones: request_header_access From deny all #request_header_access User-Agent deny all # Se comenta para que sitios como Facebook o Youtube no nos deniegue el acceso por tener un supuesto navegador desactualizado (aunque tengamos el ultimo). request_header_access Server deny all request_header_access WWW-Authenticate deny all request_header_access Link deny all request_header_access cache-Control deny all request_header_access X-Cache-Lookup deny all request_header_access Via deny all request_header_access X-Forwarded-For deny all request_header_access Pragma deny all request_header_access Keep-Alive deny all #===================================================================== # 1.3. PARAMETROS ADMINISTRATIVOS: #===================================================================== check_hostnames off #===================================================================== # 1.4. TIEMPOS DE ESPERA: #===================================================================== half_closed_clients off # Se cierran completamente las conexiones TCP cerradas a medias. #===================================================================== # 1.5. OTRAS OPCIONES: #===================================================================== # Nombre visualizable del proxy: visible_hostname anonymous # Debugging para ACLs: # debug_options <section,level> # NOTA: #--------------------------------------------------------------------- # Section: Significa un componente dentro del Squid que realiza una operacion particular. # Level: significa la cantidad de informacion necesaria sobre cualquier seccion dada. # Para mas informacion sobre las secciones ver el siguiente enlace: "https://wiki.squid-cache.org/KnowledgeBase/DebugSections" # Nivel 0: Solo problemas criticos. No hay informacion de depuracion en absoluto. # Nivel 1: Cuestiones importantes. Estos mensajes generalmente indican problemas de red que el administrador deberia solucionar. # Nivel 2: Trafico de protocolo. Generalmente usado solo por las secciones de protocolo de alto nivel. # Nivel 3-4: Debugs heredados. # Nivel 5: La informacion de depuracion mas util se muestra en este nivel. # Nivel 6: Mas detalles de la informacion de depuracion, si el nivel 5 no muestra lo suficiente sobre un problema especifico. # Nivel 7-8: Alguna informacion de depuracion especifica de la seccion no suele ser util. # Nivel 9: Datos de I/O (entrada/salida) sin procesar. Puede contener informacion confidencial de privacidad o seguridad. garantizado para generar un "cache.log" muy grande. # Las secciones mas usadas son la 28 (Access Control) y la 29 (Authenticator, Negotiate Authenticator, NTLM Authenticator) #--------------------------------------------------------------------- #debug_options 28,1 29,1 debug_options 28,5 29,5 #debug_options 28,9 29,9 # ID de proceso: pid_filename /var/run/squid.pid # Opciones para FTP: ftp_user [email protected] ftp_passive on # Requiere que el FW de la red permita el uso de puertos pasivos a Squid. ftp_sanitycheck on # Pagina de error: error_directory /usr/share/squid/errors/es-es # Terminos de consulta de borrado: strip_query_terms off # Se establece en "off" para ver la URL completa. # DNS con resolucion de internet dns_nameservers 10.7.2.1 # Coleccion de estadisticas por usuario: client_db on # Directiva requerida para el uso de "maxconn" #===================================================================== ################### # 2. PROXY PADRE # ################### # NOTA: #--------------------------------------------------------------------- # Si se usa el cache_peer no se podra usar SSL BUMP, porque Squid aun no soporta TLS-in-TLS (al menos hasta la version 5.0.2). # Si usted no tiene un proxy padre puede comentar esta seccion. #--------------------------------------------------------------------- #===================================================================== # Proxy padre con autenticacion: #cache_peer proxypadre.midominio.cu parent 8080 0 default LOGIN=cascada:cascadaadmin # Proxy padre sin autenticacion: #cache_peer proxypadre.midominio.cu parent 8080 0 no-query no-digest no-netdb-exchange default #nonhierarchical_direct off # Enviar siempre al proxy padre los tipos de solicitud no almacenable en cache #prefer_direct off # Siempre intentar primero con el proxy padre, luego por directo. #===================================================================== ############# # 3. CACHE # ############# # NOTA: #--------------------------------------------------------------------- # El espacio en disco de la cache que se usara en esta configuracion sera de casi 5 GB, pero si tienen un disco duro grande y rapido pueden llevar su cache hasta 20 Gb si desean, # con eso se lograria una navegacion mas rapida. Pero cuidado, si aumentamos la cache en disco, tambien se deberia aumentar la memoria fisica. # De modo predeterminado utilizaremos el formato ufs para crear en el directorio "/var/spool/squid" un cache de 5 GB, dividido en jerarquias de 16 directorios subordinados, hasta # 256 niveles cada uno. # SQUID usa aproximandamente 10 MB de Memoria RAM por cada GB del total de todos los directorios de cache definidos (seria mas, en un servidor de 64 bits). En nuestro caso usaremos # 5 GB de espacio para cache en disco, lo que haria un total de 50 MB para la cache de memoria. A esto le sumaremos el valor de "cache_men" que definiremos y le aumentaremos de 10 # a 20 MB mas de margen. Toda esta suma la duplicaremos y ese sera el tamaño TOTAL de Memoria RAM fisica ideal para nuestro SQUID. En nuestro caso seria: # 50 MB + 256 MB + 20 MB = 326 MB # Este valor duplicado seria 652 MB, por lo que nuestro Squid con 1 GB de RAM estaria muy comodo. Si tiene un servidor de memoria baja, entonces no necesariamente sera capaz de # utilizar todo el espacio en disco, ya que cuando la cache se llena la memoria disponible sera insuficiente, obligando a Squid a intercambiar memoria y afectar el rendimiento. # Un directorio de cache total muy grande e insuficiente Memoria RAM (Fisica + Swap) podria hacer que Squid dejara de funcionar completamente. La solucion para caches mas grandes # es obtener mas Memoria RAM fisica. Asignar mas cantidad a SQUID a traves de cache_mem no ayudara. # Usaremos 256 MB de memoria para la cache, este parametro dependera de su Memoria RAM. Usaremos el algoritmo LFUDA, por lo que tendremos que declararlo en la configuracion, porque # Squid usa por defecto el LRU. La longitud maxima de los objetos que se guardara en la cache sera solo de 4 MB y el minimo solo de 3 KB, tanto para la RAM como para el disco duro. #--------------------------------------------------------------------- #===================================================================== cache_mem 256 MB # Especifica la cantidad de memoria ram que el proxy usa para los objetos. #cache_dir <schema> <ruta> <espacio MB> <memoria L1> <memoria L2> # Especifica donde y como almacena archivos cache en disco cache_dir ufs /var/spool/squid 4352 16 256 # Se recomienda usar maximo un 85% del espacio disponible por el disco (usar L1=16 y L2=256). # Algoritmo de cacheo: cache_replacement_policy heap LFUDA # Especifica el metodo LFUDA (Least Frequently Used with Dynamic Aging o menos frecuente con envejecimiento dinamico) # para la politica de reemplazo en el disco cache. Los objetos menos populares tendran menos posibilidades de ser # almacenados en cache, frente a otros mas populares. memory_replacement_policy heap GDSF # Determina los objetos que se purgan de la memoria cuando se necesita espacio de memoria. # Aprovechamiento del espacio en disco: maximum_object_size 32 MB # Su valor por defecto es 4 MB, pero se incrementa para mejorar la politica de reemplazo LFUDA. minimum_object_size 3 KB # Aprovechamiento de la RAM: maximum_object_size_in_memory 4 MB # Especifica la cantidad de Memoria RAM maxima ocupada por un objeto. #minimum_object_size_in_memory 3 KB # Cachear mayor cantidad de datos IP: ipcache_size 10240 ipcache_low 98 ipcache_high 99 fqdncache_size 10240 # Cache Swap: cache_swap_low 90 # Especifica el espacio maximo en % y controla el reemplazo de los objetos almacenados en el disco. cache_swap_high 95 # Cache dir Logs: cache_access_log /var/log/squid/access.log # Bitacora para las peticiones que realiza cada cliente a paginas web. cache_log /var/log/squid/cache.log # Bitacora que contiene los mensajes de debug y error que SQUID genera. cache_store_log /var/log/squid/store.log # Bitacora que sirve como registro de transaccion para los objetos que se mantienen y se remueven de la cache. coredump_dir /var/spool/squid # Memoria libre: memory_pools off # Cache user n group: cache_effective_user proxy cache_effective_group proxy # Notificacion ante fallo: cache_mgr [email protected] # Direccion de correo del administrador local de la cache, que recibira un correo cuando esta deja de funcionar. #===================================================================== ##################### # 4. AUTENTICACION # ##################### # 4.1. KERBEROS (MECANISMO DE AUTTENTICACION PRIMARIO): #===================================================================== # Para usuarios del dominio: auth_param negotiate program /usr/lib/squid/negotiate_kerberos_auth -r -s HTTP/[email protected] auth_param negotiate children 300 startup=60 idle=1 auth_param negotiate keep_alive off #===================================================================== # 4.2. LDAP BASICO (MECANISMO DE AUTENTICACION SECUNDARIO): #===================================================================== # Para estaciones fuera del dominio y gestores de descarga no compatibles con Kerberos o para casos en los que falle la autenticacion por Kerberos: auth_param basic program /usr/lib/squid/basic_ldap_auth -R -b "dc=ecasa,dc=avianet,dc=cu" \ -D [email protected] \ -W /etc/squid/ldappass.txt \ -f "(|(userPrincipalName=%s)(sAMAccountName=%s)(userPasswdac=ACTIVE))" \ -h ecasadc01.ecasa.avianet.cu # Indica el numero de procesos de autenticacion a crear auth_param basic children 100 # El texto que aparecera al pedirnos usuario y clave auth_param basic realm Usted debe autenticarse # El tiempo que tardara en pedir de nuevo la clave. Fijado a 8 horas. auth_param basic credentialsttl 8 hours #===================================================================== ################################## # 5. PATRONES DE REFRESCAMIENTO # ################################## # NOTA: #--------------------------------------------------------------------- # Los objetos con "expire" o fecha de caducidad no pasan por nuestros "refresh pattern" o patrones de refrescamiento. Es el webmaster el que debe indicarlo en su codigo. # -Si la fecha de caducidad no se ha superado, Squid coge el objeto de la cache. # -Si la fecha de caducidad se ha superado, Squid consulta la fecha de ultima modificacion. # -Si no hay modificación, vuelve a coger el objeto de la cache. # Un objeto de la cache puede ser: # -fresco: El objeto no ha caducado, por lo que Squid puede seguir tomandolo de la cache. # -caducado: El objeto ha caducado, Squid debe borrar el objeto de la cache y pedir una nueva version al servidor web. # Los patrones de refrescamientos son efectivos si no existen cabeceras de caducidad desde el servidor que las origino, o que tus patrones tengan una opcion de "overdrive-expire". # Ejemplo: # refresh_pattern ^ftp: 1440 20% 10080 # Lo anterior se traduce en lo siguiente: # -Si no hay encabezado de caducidad para todos los objetos cuyos nombres terminen en ".gif" o ".GIF" entonces: # -Si la edad (tiempo que un objeto ha estado en la cache) es menor que 1440 minutos, entonces se considera fresco. # -Si la edad es mayor que 10080 minutos, consideralo caducado y hay que ir al servidor de origen por una copia fresca. # -Si la edad esta entre los valores min y max, usaremos el "lm-factor" para determinar su frescura. # (lm-factor es la relacion de la edad en el servidor de cache con el periodo, desde la creacion o modificación del objeto en el servidor de origen [%]). # Por tanto, si el objeto fue creado hace 10000 minutos atras en el servidor de origen y ha estado en mi cache por 1800 minutos (esta es la edad) el lm-factor = 1800/10000 = 18%. # .Si este "lm-factor" es menor que el porciento expresado en nuestro patron (20%) entonces el objeto es considerado fresco. # .Si no, entonces el objeto esta caducado y hay que ir a por una copia fresca al servidor de origen. #--------------------------------------------------------------------- #===================================================================== #refresh_pattern [-i] regexp min percent max [options] refresh_pattern ^ftp: 1440 20% 10080 refresh_pattern ^gopher: 1440 0% 1440 refresh_pattern -i (/cgi-bin/|\?) 0 0% 0 refresh_pattern . 0 20% 4320 # Debian: refresh_pattern -i \.deb$ 129600 100% 129600 refresh_pattern -i \.gz$ 129600 100% 129600 refresh_pattern -i \.bz2$ 129600 100% 129600 # Imagenes: refresh_pattern -i \.gif$ 14400 80% 43200 refresh_pattern -i \.tiff?$ 14400 80% 43200 refresh_pattern -i \.bmp$ 14400 80% 43200 refresh_pattern -i \.xbm$ 14400 80% 43200 refresh_pattern -i \.psd$ 14400 80% 43200 refresh_pattern -i \.rgb$ 14400 80% 43200 refresh_pattern -i \.ai$ 14400 80% 43200 refresh_pattern -i \.cdr$ 14400 80% 43200 refresh_pattern -i \.dwg$ 14400 80% 43200 refresh_pattern -i \.svg$ 14400 80% 43200 refresh_pattern -i \.raw$ 14400 80% 43200 refresh_pattern -i \.nef$ 14400 80% 43200 refresh_pattern -i \.jpg$ 14400 80% 43200 refresh_pattern -i \.jpe?g$ 14400 80% 43200 refresh_pattern -i \.xbm$ 14400 80% 43200 refresh_pattern -i \.png$ 14400 80% 43200 refresh_pattern -i \.wrl$ 14400 80% 43200 refresh_pattern -i \.ico$ 14400 80% 43200 refresh_pattern -i \.pnm$ 14400 80% 43200 refresh_pattern -i \.pbm$ 14400 80% 43200 refresh_pattern -i \.pgm$ 14400 80% 43200 refresh_pattern -i \.ppm$ 14400 80% 43200 refresh_pattern -i \.rgb$ 14400 80% 43200 refresh_pattern -i \.xpm$ 14400 80% 43200 refresh_pattern -i \.xwd$ 14400 80% 43200 refresh_pattern -i \.pict?$ 14400 80% 43200 # Videos: refresh_pattern -i \.mkv$ 14400 80% 43200 refresh_pattern -i \.asf$ 14400 80% 43200 refresh_pattern -i \.lsf$ 14400 80% 43200 refresh_pattern -i \.asx$ 14400 80% 43200 refresh_pattern -i \.bik$ 14400 80% 43200 refresh_pattern -i \.smk$ 14400 80% 43200 refresh_pattern -i \.div$ 14400 80% 43200 refresh_pattern -i \.divx$ 14400 80% 43200 refresh_pattern -i \.wob$ 14400 80% 43200 refresh_pattern -i \.ivf$ 14400 80% 43200 refresh_pattern -i \.m1v$ 14400 80% 43200 refresh_pattern -i \.mp2v$ 14400 80% 43200 refresh_pattern -i \.mp4$ 14400 80% 43200 refresh_pattern -i \.mpa$ 14400 80% 43200 refresh_pattern -i \.mpe$ 14400 80% 43200 refresh_pattern -i \.mpeg$ 14400 80% 43200 refresh_pattern -i \.mpg$ 14400 80% 43200 refresh_pattern -i \.mpv2$ 14400 80% 43200 refresh_pattern -i \.qt$ 14400 80% 43200 refresh_pattern -i \.qtl$ 14400 80% 43200 refresh_pattern -i \.rpm$ 14400 80% 43200 refresh_pattern -i \.wm$ 14400 80% 43200 refresh_pattern -i \.wmv$ 14400 80% 43200 refresh_pattern -i \.qt$ 14400 80% 43200 refresh_pattern -i \.mov$ 14400 80% 43200 refresh_pattern -i \.mpe?g?$ 14400 80% 43200 refresh_pattern -i \.avi$ 14400 80% 43200 refresh_pattern -i \.qtm?$ 14400 80% 43200 refresh_pattern -i \.viv$ 14400 80% 43200 refresh_pattern -i \.swf$ 14400 80% 43200 # Audios: refresh_pattern -i \.aym$ 14400 80% 43200 refresh_pattern -i \.aiff?$ 14400 80% 43200 refresh_pattern -i \.au$ 14400 80% 43200 refresh_pattern -i \.ram?$ 14400 80% 43200 refresh_pattern -i \.snd$ 14400 80% 43200 refresh_pattern -i \.mid$ 14400 80% 43200 refresh_pattern -i \.midi$ 14400 80% 43200 refresh_pattern -i \.wav$ 14400 80% 43200 refresh_pattern -i \.wma$ 14400 80% 43200 refresh_pattern -i \.cda$ 14400 80% 43200 refresh_pattern -i \.ogg$ 14400 80% 43200 refresh_pattern -i \.ogm$ 14400 80% 43200 refresh_pattern -i \.aac$ 14400 80% 43200 refresh_pattern -i \.ac3$ 14400 80% 43200 refresh_pattern -i \.flac$ 14400 80% 43200 refresh_pattern -i \.mp2$ 14400 80% 43200 refresh_pattern -i \.mp3$ 14400 80% 43200 # Archivos: refresh_pattern -i \.sit$ 14400 80% 43200 refresh_pattern -i \.zip$ 14400 80% 43200 refresh_pattern -i \.hqx$ 14400 80% 43200 refresh_pattern -i \.exe$ 14400 80% 43200 refresh_pattern -i \.arj$ 14400 80% 43200 refresh_pattern -i \.lzh$ 14400 80% 43200 refresh_pattern -i \.lha$ 14400 80% 43200 refresh_pattern -i \.cab$ 14400 80% 43200 refresh_pattern -i \.rar$ 14400 80% 43200 refresh_pattern -i \.tar$ 14400 80% 43200 refresh_pattern -i \.gz$ 14400 80% 43200 refresh_pattern -i \.z$ 14400 80% 43200 refresh_pattern -i \.a[0-9][0-9]$ 14400 80% 43200 refresh_pattern -i \.r[0-9][0-9]$ 14400 80% 43200 # Archivos de datos: refresh_pattern -i \.txt$ 14400 80% 43200 refresh_pattern -i \.pdf$ 14400 80% 43200 refresh_pattern -i \.doc$ 14400 80% 43200 refresh_pattern -i \.rtf$ 14400 80% 43200 refresh_pattern -i \.tex$ 14400 80% 43200 refresh_pattern -i \.latex$ 14400 80% 43200 # Objetos de tipo Java: refresh_pattern -i \.class$ 14400 80% 43200 refresh_pattern -i \.js$ 14400 80% 43200 refresh_pattern -i \.class$ 14400 80% 43200 # Objetos de tipo Web: refresh_pattern -i \.css$ 10 20% 4320 refresh_pattern -i \.html?$ 10 20% 4320 refresh_pattern \/$ 10 20% 4320 # Para evitar problemas con scripts .do: refresh_pattern -i \.do$ 0 0% 1440 #===================================================================== ################################# # 6. DECLARACION DE LAS REGLAS # ################################# #acl <nombre_de_acl> <tipo> <lo que compone a la lista> # NOTA: #--------------------------------------------------------------------- # Por defecto el nombre de una acl puede llegar hasta 31 caracteres. #--------------------------------------------------------------------- # 6.1. PUERTOS: #===================================================================== acl SSL_ports port 443 # https acl Safe_ports port 80 # http acl Safe_ports port 21 # ftp acl Safe_ports port 443 # https acl Safe_ports port 70 # gopher acl Safe_ports port 210 # wais acl Safe_ports port 1025-65535 # unregistered ports acl Safe_ports port 280 # http-mgmt acl Safe_ports port 488 # gss-http acl Safe_ports port 591 # filemaker acl Safe_ports port 777 # multiling http #===================================================================== # 6.2. METODOS DE CONEXION: #===================================================================== #acl CONNECT method CONNECT # Se comenta (DESPRECIADO en Squid v5) acl POST method POST #===================================================================== # 6.3. DIRECCIONES IP: #===================================================================== acl granja_interna src 10.7.1.0/24 # Servidores que se publican al resto de la empresa o con salida a la WAN. acl dmz src 10.7.2.0/24 # Servidores internos de la empresa. acl proxy_hijo1_ip src 10.7.11.13/32 # Proxy Hijo1. acl localnet src 10.7.0.0/21 # Toda la empresa # NOTA: #--------------------------------------------------------------------- # Una solucion mas eficiente para la acl "localnet" seria agregar el segmento 10.7.1.0 y una mascara # de subred (en formato no CIDR) y que abarque especificamente los rangos de IP de la red en una misma # acl. #--------------------------------------------------------------------- #===================================================================== # 6.4. USUARIOS: #===================================================================== #acl manager proto cache_object # Reglas de autenticacion para usuarios especificos: acl auth_ana proxy_auth ana # Para usuario "ana" acl auth_bob proxy_auth bob # Para usuario "bob" acl auth_proxy_hijo1 proxy_auth proxy_hijo1 # Para usuario "proxy_hijo1" # Reglas de autenticacion para los Delay Pools que usan grupos en ficheros de texto para sus propias reglas: acl inter_f_redes_bw proxy_auth "/etc/squid/reglas/retardo/inter_f_redes_bw.txt" acl inter_f_informatica_bw proxy_auth "/etc/squid/reglas/retardo/inter_f_informatica_bw.txt" acl inter_f_directores_bw proxy_auth "/etc/squid/reglas/retardo/inter_f_directores_bw.txt" acl inter_f_directivos_bw proxy_auth "/etc/squid/reglas/retardo/inter_f_directivos_bw.txt" acl inter_f_cominst_bw proxy_auth "/etc/squid/reglas/retardo/inter_f_cominst_bw.txt" acl inter_yt_usuarios_bw proxy_auth "/etc/squid/reglas/retardo/inter_yt_usuarios_bw.txt" acl proxy_hijo1_bw proxy_auth "/etc/squid/reglas/retardo/proxy_hijo1_bw.txt" #===================================================================== # 6.5. GRUPOS DE USUARIOS #===================================================================== # Mapeo de grupos con Kerberos y LDAP: # external_acl_type <nombre_generico_acl_externa> ipv4 children-startup=n children-max=N ttl=300 negative_ttl=60 %LOGIN ruta/al/helper/ext_kerberos_ldap_group_acl -a -D EXAMPLE.COM external_acl_type kerberos_ldap_group ipv4 children-startup=150 \ children-max=300 ttl=300 \ negative_ttl=60 %LOGIN \ /usr/lib/squid/ext_kerberos_ldap_group_acl \ -a -D ECASA.AVIANET.CU # NOTA: #--------------------------------------------------------------------- # Los siguientes grupos del AD fueron creados para ser utilizados en el servidor proxy. Estos grupos se dividen en dos categorias: # - Grupos Generales # - Grupos Especificos (sus miembros pueden pertenecer tambien a otros grupos generales o especificos) # # Grupos Generales: # ***************** # <service>_<access-right>_<group> # donde # service: inter (internet) | intra (intranet) # access-right: f (full) | r (restricted) # group: group ID # # Ejemplos: # inter_f_redes # Administradores de red. Sin restricciones de acceso (excepto default_blacklists o default_shallalist). # Todo el horario laboral. # inter_f_informatica # Desarrolladores de software, Taller tecnico, Seguridad Informatica. Sin restricciones de acceso # (excepto default_blacklists). Todo el horario laboral. # inter_f_directores # Directores principales de la empresa (1er y 2do jefe). Sin restricciones de acceso (excepto # default_blacklists). Todo el horario laboral. # inter_f_directivos # Directivos de UEB o direcciones. Sin restricciones de acceso (excepto default_blacklists). # Todo el horario laboral. Tienen menor ancho de bancha que los anteriores grupos. # inter_f_cominst # Usuarios de Comunicacion Instituciones. Sin restricciones de acceso (excepto default_blacklists). # Todo el horario laboral. Tienen menor ancho de bancha que los anteriores grupos. # inter_r_usuarios # Resto de los usuarios de la empresa con acceso a internet. Restricciones de acceso por horarios # (por ejemplo, redes sociales). # intra_f_usuarios # Usuarios con acceso a toda la intranet. Restricciones de acceso por horarios (por ejemplo, streaming # de video de la TV nacional) # intra_r_usuarios # Usuarios con minimos requerimientos de navegacion en la empresa. Solo tienen acceso a determinados # sitios en la intranet. # Grupos Especificos: # ******************* # <service>_<access-right>_<group> # donde # service: inter (internet) | intra (intranet) # access-right: yt (youtube) | p (priviledged) # group: group ID # # Ejemplos: # inter_yt_usuarios # Usuarios que pertenecen al grupo "inter_r_usuarios" y necesitan acceder a YouTube. # intra_p_usuarios # Usuarios con acceso a toda la intranet y con el privilegio de acceder a determinado sitio en internet. # Usted puede agregar otros si lo entiende conveniente. En este tutorial les presentamos las combinaciones ideales para una red empresarial. #--------------------------------------------------- # acl <nombre_acl> external <nombre_generico_acl_externa> <nombre_grupo_kerberos> acl inter_f_redes external kerberos_ldap_group Inter_F_Redes acl inter_f_informatica external kerberos_ldap_group Inter_F_Informatica acl inter_f_directores external kerberos_ldap_group Inter_F_Directores acl inter_f_directivos external kerberos_ldap_group Inter_F_Directivos acl inter_f_cominst external kerberos_ldap_group Inter_F_ComInst acl inter_r_usuarios external kerberos_ldap_group Inter_R_Usuarios acl intra_f_usuarios external kerberos_ldap_group Intra_F_Usuarios acl intra_r_usuarios external kerberos_ldap_group Intra_R_Usuarios acl inter_yt_usuarios external kerberos_ldap_group Inter_YT_Usuarios acl intra_p_usuarios external kerberos_ldap_group Inter_P_Usuarios #===================================================================== # 6.6. TIEMPO: #===================================================================== # acl <nombre_acl> time <dia_de_semana> <h1:m1-h2:m2> acl working_hours1 time MTWHF 08:00-11:59 acl socialnet_hours1 time MTWHF 12:00-12:59 acl working_hours2 time MTWHF 13:00-15:59 acl socialnet_hours2 time MTWHF 16:00-16:29 acl off_working_hours1 time MTWHF 16:30-23:59 acl off_working_hours2 time MTWHF 00:00-07:59 acl weekend time AS 00:00-23:59 #===================================================================== # 6.7. CONTENIDO: #===================================================================== #acl <nombre_acl> <url_regex|urlpath_regex> [-i] <contenido> # Patrones de reconocimiento para expresiones regulares de URL: acl ext_audio urlpath_regex -i \.aym$ \.aiff$ \.au$ \.ram$ \.snd$ \.mp2$ \.mp3$ \.mid$ \.midi$ \.wav$ \.wma$ \.cda$ \.ogg$ \.ogm$ \.aac$ \.ac3$ \.flac$ acl ext_video urlpath_regex -i \.mkv$ \.asf$ \.lsf$ \.asx$ \.bik$ \.smk$ \.div$ \.divx$ \.dvd$ \.wob$ \.ivf$ \.m1v$ \.mp2v$ \.mp4$ \.mpa$ \.mpe$ \.mpeg$ \.mpg$ \.mpv2$ \.mov$ \.qt$ \.qtl$ \.rpm$ \.wm$ \.wmv$ \.avi$ \.swf$ acl ext_imagen urlpath_regex -i \.gif$ \.tiff$ \.bmp$ \.xbm$ \.jpeg$ \.jpg$ \.png$ \.wrl$ \.ico$ \.pnm$ \.psd$ \.pbm$ \.pgm$ \.ppm$ \.rgb$ \.xpm$ \.xwd$ \.pict$ \.ai$ \.cdr$ \.dwg$ \.svg$ \.raw$ \.nef$ acl ext_programa urlpath_regex -i \.msi$ \.exe$ \.apk$ \.ipa$ \.deb$ acl ext_compresion urlpath_regex -i \.rar$ \.rar \.zip$ \.zip \.gz$ \.gz \.lzo$ \.bz2$ \.lzo acl exp_pornografica url_regex -i "/etc/squid/reglas/contenido/exp_pornografica.txt" acl streaming_video urlpath_regex -i video acl streaming_audio urlpath_regex -i audio # Limitando conexiones a direcciones IP para HTTP: # (Lo haremos solamente para conexiones http, pues si no especificamos el protocolo, para algunos dominios https, como Youtube que tienen IP en el path de la URL, coincidirian con la regla) acl destino_ip url_regex ^http://[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3} # NOTA: #--------------------------------------------------------------------- # url_regex: Busca en la URL los patrones especificados, teniendo en cuenta el protocolo implementado y el nombre de dominio, o sea, toda la URL. # urlpath_regex: Busca en la URL los patrones especificados, sin tener en cuenta el protocolo implementado ni nombre de dominio, o sea, parte de la URL. # La opcion [-i] indica que no se distingue entre mayusculas o minusculas. #--------------------------------------------------------------------- #===================================================================== # 6.8. DOMINIOS: #===================================================================== # Dominios especificos: acl cu dstdomain .cu # Dominio ".cu" (navegacion nacional). acl youtube dstdomain .youtube.com youtu.be # Dominio principal de YouTube y subdominios. acl gmail dstdomain .gmail.com mail.google.com # Dominio principal de Gmail y subdominios. acl yahoo dstdomain .yahoo.com .yahoo.es # Dominio principal de Yahoo! y subdominios. acl google.cu dstdomain .google.com.cu # Dominio principal de Google y subdominios asociados para Cuba. # NOTA: #--------------------------------------------------------------------- # Definir ficheros muy grandes para las listas negras puede terminar en un inicio muy lento del servicio Squid, o incluso, un arranque fallido. # A continuacion se proponen algunas listas, siendo habilitadas las necesarias (depende de la politica de la empresa). #--------------------------------------------------------------------- # Dominios de redes sociales: acl socialnet dstdomain "/etc/squid/reglas/dominios/BL_domain_socialnet.txt" # Dominios de lista negra personalizada para todos los usuarios con acceso a internet: acl default_BL_dom dstdomain "/etc/squid/reglas/dominios/myBL_domain.txt" # Dominios de lista negra por defecto "default_blacklists" para todos los usuarios con acceso a internet: #acl default_blacklists_dom dstdomain "/etc/squid/reglas/dominios/blacklists_domain_drugs.txt" #acl default_blacklists_dom dstdomain "/etc/squid/reglas/dominios/blacklists_domain_gambling.txt" #acl default_blacklists_dom dstdomain "/etc/squid/reglas/dominios/blacklists_domain_hacking.txt" #acl default_blacklists_dom dstdomain "/etc/squid/reglas/dominios/blacklists_domain_porn" #acl default_blacklists_dom dstdomain "/etc/squid/reglas/dominios/blacklists_domain_proxy.txt" #acl default_blacklists_dom dstdomain "/etc/squid/reglas/dominios/blacklists_domain_redirector" #acl default_blacklists_dom dstdomain "/etc/squid/reglas/dominios/blacklists_domain_spyware.txt" #acl default_blacklists_dom dstdomain "/etc/squid/reglas/dominios/blacklists_domain_suspect.txt" #acl default_blacklists_dom dstdomain "/etc/squid/reglas/dominios/blacklists_domain_violence.txt" #acl default_blacklists_dom dstdomain "/etc/squid/reglas/dominios/blacklists_domain_warez.txt" # Dominios de lista negra por defecto "default_shallalist" para todos los usuarios con acceso a internet: acl default_BL_dom dstdomain "/etc/squid/reglas/dominios/BL_domain_anonvpn.txt" acl default_BL_dom dstdomain "/etc/squid/reglas/dominios/BL_domain_drugs.txt" acl default_BL_dom dstdomain "/etc/squid/reglas/dominios/BL_domain_gamble.txt" #acl default_BL_dom dstdomain "/etc/squid/reglas/dominios/BL_domain_porn" #acl default_BL_dom dstdomain "/etc/squid/reglas/dominios/BL_domain_redirector.txt" #acl default_BL_dom dstdomain "/etc/squid/reglas/dominios/BL_domain_spyware.txt" acl default_BL_dom dstdomain "/etc/squid/reglas/dominios/BL_domain_sex_lingerie.txt" #acl default_BL_dom dstdomain "/etc/squid/reglas/dominios/BL_domain_tracker.txt" acl default_BL_dom dstdomain "/etc/squid/reglas/dominios/BL_domain_urlshortener.txt" acl default_BL_dom dstdomain "/etc/squid/reglas/dominios/BL_domain_violence.txt" #acl default_BL_dom dstdomain "/etc/squid/reglas/dominios/BL_domain_warez.txt" acl default_BL_dom dstdomain "/etc/squid/reglas/dominios/BL_domain_weapons.txt" #acl default_BL_dom dstdomain "/etc/squid/reglas/dominios/BL_domain_webmail.txt" # Dominios de lista negra especifica "blacklists" para usuarios con acceso a internet restringido #acl BL_dom dstdomain "/etc/squid/reglas/blacklists_domain_audio-video.txt" # Dominios de lista negra especifica "shallalist" para usuarios con acceso a internet restringido: #acl BL_dom dstdomain "/etc/squid/reglas/dominios/BL_domain_downloads.txt" #acl BL_dom dstdomain "/etc/squid/reglas/dominios/BL_domain_radiotv.txt" acl BL_dom dstdomain "/etc/squid/reglas/dominios/BL_domain_webphone.txt" acl BL_dom dstdomain "/etc/squid/reglas/dominios/BL_domain_webradio.txt" #acl BL_dom dstdomain "/etc/squid/reglas/dominios/BL_domain_webtv.txt" # Otros dominios de la "shallalist" que no fueron utilizados en esta configuracion, pero que quiza pudieran ser utiles en el futuro: #acl others_dom dstdomain "/etc/squid/reglas/dominios/BL_domain_adv.txt" #acl others_dom dstdomain "/etc/squid/reglas/dominios/BL_domain_aggressive.txt" #acl others_dom dstdomain "/etc/squid/reglas/dominios/BL_domain_alcohol.txt" #acl others_dom dstdomain "/etc/squid/reglas/dominios/BL_domain_automobile_bikes.txt" #acl others_dom dstdomain "/etc/squid/reglas/dominios/BL_domain_automobile_boats.txt" #acl others_dom dstdomain "/etc/squid/reglas/dominios/BL_domain_automobile_cars.txt" #acl others_dom dstdomain "/etc/squid/reglas/dominios/BL_domain_automobile_planes.txt" #acl others_dom dstdomain "/etc/squid/reglas/dominios/BL_domain_chat.txt" #acl others_dom dstdomain "/etc/squid/reglas/dominios/BL_domain_costtraps.txt" #acl others_dom dstdomain "/etc/squid/reglas/dominios/BL_domain_dating.txt" #acl others_dom dstdomain "/etc/squid/reglas/dominios/BL_domain_dynamic.txt" #acl others_dom dstdomain "/etc/squid/reglas/dominios/BL_domain_education_schools.txt" #acl others_dom dstdomain "/etc/squid/reglas/dominios/BL_domain_finance_banking.txt" #acl others_dom dstdomain "/etc/squid/reglas/dominios/BL_domain_finance_insurance.txt" #acl others_dom dstdomain "/etc/squid/reglas/dominios/BL_domain_finance_moneylending.txt" #acl others_dom dstdomain "/etc/squid/reglas/dominios/BL_domain_finance_other.txt" #acl others_dom dstdomain "/etc/squid/reglas/dominios/BL_domain_finance_realestate.txt" #acl others_dom dstdomain "/etc/squid/reglas/dominios/BL_domain_finance_trading.txt" #acl others_dom dstdomain "/etc/squid/reglas/dominios/BL_domain_fortunetelling.txt" #acl others_dom dstdomain "/etc/squid/reglas/dominios/BL_domain_forum.txt" #acl others_dom dstdomain "/etc/squid/reglas/dominios/BL_domain_government.txt" #acl others_dom dstdomain "/etc/squid/reglas/dominios/BL_domain_hacking.txt" #acl others_dom dstdomain "/etc/squid/reglas/dominios/BL_domain_hobby_cooking.txt" #acl others_dom dstdomain "/etc/squid/reglas/dominios/BL_domain_hobby_games-misc.txt" #acl others_dom dstdomain "/etc/squid/reglas/dominios/BL_domain_hobby_games-online.txt" #acl others_dom dstdomain "/etc/squid/reglas/dominios/BL_domain_hobby_gardening.txt" #acl others_dom dstdomain "/etc/squid/reglas/dominios/BL_domain_hobby_pets.txt" #acl others_dom dstdomain "/etc/squid/reglas/dominios/BL_domain_homestyle.txt" #acl others_dom dstdomain "/etc/squid/reglas/dominios/BL_domain_hospitals.txt" #acl others_dom dstdomain "/etc/squid/reglas/dominios/BL_domain_imagehosting.txt" #acl others_dom dstdomain "/etc/squid/reglas/dominios/BL_domain_isp.txt" #acl others_dom dstdomain "/etc/squid/reglas/dominios/BL_domain_jobsearch.txt" #acl others_dom dstdomain "/etc/squid/reglas/dominios/BL_domain_library.txt" #acl others_dom dstdomain "/etc/squid/reglas/dominios/BL_domain_military.txt" #acl others_dom dstdomain "/etc/squid/reglas/dominios/BL_domain_models.txt" #acl others_dom dstdomain "/etc/squid/reglas/dominios/BL_domain_movies.txt" #acl others_dom dstdomain "/etc/squid/reglas/dominios/BL_domain_music.txt" #acl others_dom dstdomain "/etc/squid/reglas/dominios/BL_domain_news.txt" #acl others_dom dstdomain "/etc/squid/reglas/dominios/BL_domain_podcasts.txt" #acl others_dom dstdomain "/etc/squid/reglas/dominios/BL_domain_politics.txt" #acl others_dom dstdomain "/etc/squid/reglas/dominios/BL_domain_recreation_humor.txt" #acl others_dom dstdomain "/etc/squid/reglas/dominios/BL_domain_recreation_martialarts.txt" #acl others_dom dstdomain "/etc/squid/reglas/dominios/BL_domain_recreation_restaurants.txt" #acl others_dom dstdomain "/etc/squid/reglas/dominios/BL_domain_recreation_sports.txt" #acl others_dom dstdomain "/etc/squid/reglas/dominios/BL_domain_recreation_travel.txt" #acl others_dom dstdomain "/etc/squid/reglas/dominios/BL_domain_recreation_wellness.txt" #acl others_dom dstdomain "/etc/squid/reglas/dominios/BL_domain_religion.txt" #acl others_dom dstdomain "/etc/squid/reglas/dominios/BL_domain_remotecontrol.txt" #acl others_dom dstdomain "/etc/squid/reglas/dominios/BL_domain_ringtones.txt" #acl others_dom dstdomain "/etc/squid/reglas/dominios/BL_domain_science_astronomy.txt" #acl others_dom dstdomain "/etc/squid/reglas/dominios/BL_domain_science_chemistry.txt" #acl others_dom dstdomain "/etc/squid/reglas/dominios/BL_domain_searchengines.txt" #acl others_dom dstdomain "/etc/squid/reglas/dominios/BL_domain_sex_education.txt" #acl others_dom dstdomain "/etc/squid/reglas/dominios/BL_domain_shopping" #acl others_dom dstdomain "/etc/squid/reglas/dominios/BL_domain_socialnet.txt" #acl others_dom dstdomain "/etc/squid/reglas/dominios/BL_domain_updatesites.txt" # A continuacion, se muestran la definicion de las acls para los usuarios privilegiados de intranet, que pueden # acceder a determinados sitios en internet: acl inter_sites_ana dstdomain "/etc/squid/reglas/priviledges/inter_sites_ana.txt" acl inter_sites_bob dstdomain "/etc/squid/reglas/priviledges/inter_sites_bob.txt" #===================================================================== # 6.9. RETARDO: #===================================================================== # NOTA: #--------------------------------------------------------------------- # Aunque no se este haciendo uso del BW del canal, no se excede del limite por usuario ni subred # El rate siempre debe ser mayor que el limite # B: Byte # b: bit # Si 1 B = 8 b y K = 1024, entonces: # A Mb = A * Mb # = B Mb = B * 1024 Kb # = C Kb = C *1024 b # = D b = D/8 B # = E B = E/1024 B # = F KB # 1 Mb = 1024 Kb = 1048576 b = 131072 B = 128 KB # 0.5 Mb = 512 Kb = 524288 b = 65536 B = 64 KB # 0.25 Mb = 256 Kb = 262144 b = 32768 B = 32 KB # 0.125 Mb = 128 Kb = 131072 b = 16384 B = 16 KB # 0.0625 Mb = 64 Kb = 65536 b = 8192 B = 8 KB # 0.03125 Mb = 32 Kb = 32768 b = 4096 B = 4 KB # 0.015625 Mb = 16 Kb = 16384 b = 2048 B = 2 KB # 0.0078125 Mb = 8 Kb = 8192 b = 1024 B = 1 KB # Planeamiento del Ancho de Banda (se debe adaptar a cada empresa): # TOTAL BW contratado: 20 Mb/s # TOTAL USUARIOS APROXIMADOS EN LA EMPRESA: 400 usuarios -> se quiere que todos los usuarios tengan internet # Pool 1: usuarios de "inter_f_redes" en el dia: 5 usuarios -> se reserva 2 Mb/s del TOTAL y se lucha por el canal # Pool 2: usuarios de "inter_f_informatica" en el dia: 17 usuarios -> se reserva 3 Mb/s del TOTAL y se lucha por el canal # Pool 3: usuarios "inter_f_directores" en el dia: 2 usuarios -> se reserva 2 Mb/s del TOTAL y tope por usuario # Pool 4: usuarios "inter_f_directivos" en el dia: 11 usuarios -> se reserva 3 Mb/s del TOTAL y se lucha por el canal # Pool 5: usuarios de "inter_f_cominst" en el dia: 2 usuarios -> se reserva 1 Mb/s del TOTAL y tope por usuario # Pool 6: usuarios de "inter_yt_usuarios" en el dia accediendo a YouTube: 3 usuarios -> se reserva 1 Mb/s del TOTAL y tope por usuario # Pool 7: usuario "proxy_hijo1": -> se reserva 3 Mb/s del TOTAL # TOTAL usuarios restantes y servicios de la empresa: +300 usuarios -> restante 5 Mb/s del TOTAL y se lucha por el canal #--------------------------------------------------------------------- # ._______________________________________________________________________________________________________________________. # | | | | | | | | # | Grupos/Usuarios | Horario | Max No. usuarios | BW del canal | BW por usuario | Clase del | Pool ID | # | | | online | [b/s] | [b/s] | Delay Pool | | # |========================+===================+===================+==============+================+============+=========| # | inter_f_redes_bw | working_hours | 5 | 2 M | - | 1 | 1 | # | |-------------------+-------------------+--------------+----------------+------------+---------| # | | socialnet_hours | 5 | 2 M | - | 1 | 1 | # | |-------------------+-------------------+--------------+----------------+------------+---------| # | | off_working_hours | - | - | - | - | - | # | |-------------------+-------------------+--------------+----------------+------------+---------| # | | weekend | - | - | - | - | - | # | |-------------------+-------------------+--------------+----------------+------------+---------| # | | allways | - | - | - | - | - | # |========================+===================+===================+==============+================+============+=========| # | inter_f_informatica_bw | working_hours | 17 | 3 M | - | 1 | 2 | # | |-------------------+-------------------+--------------+----------------+------------+---------| # | | socialnet_hours | 17 | 3 M | - | 1 | 2 | # | |-------------------+-------------------+--------------+----------------+------------+---------| # | | off_working_hours | - | - | - | - | - | # | |-------------------+-------------------+--------------+----------------+------------+---------| # | | weekend | - | - | - | - | - | # | |-------------------+-------------------+--------------+----------------+------------+---------| # | | allways | - | - | - | - | - | # |========================+===================+===================+==============+================+============+=========| # | inter_f_directores_bw | working_hours | 2 | oo | 1 M | 4 | 3 | # | |-------------------+-------------------+--------------+----------------+------------+---------| # | | socialnet_hours | 2 | oo | 1 M | 4 | 3 | # | |-------------------+-------------------+--------------+----------------+------------+---------| # | | off_working_hours | 2 | oo | 1.5 M | 4 | 4 | # | |-------------------+-------------------+--------------+----------------+------------+---------| # | | weekend | 2 | oo | 1.5 M | 4 | 4 | # | |-------------------+-------------------+--------------+----------------+------------+---------| # | | allways | - | - | - | - | - | # |========================+===================+===================+==============+================+============+=========| # | inter_f_directivos_bw | working_hours | 11 | 3 M | - | 1 | 5 | # | |-------------------+-------------------+--------------+----------------+------------+---------| # | | socialnet_hours | 11 | 3 M | - | 1 | 5 | # | |-------------------+-------------------+--------------+----------------+------------+---------| # | | off_working_hours | 11 | 4 M | - | 1 | 6 | # | |-------------------+-------------------+--------------+----------------+------------+---------| # | | weekend | 11 | 4 M | - | 1 | 6 | # | |-------------------+-------------------+--------------+----------------+------------+---------| # | | allways | - | - | - | - | - | # |========================+===================+===================+==============+================+============+=========| # | inter_f_cominst_bw | working_hours | 2 | oo | 512 K | 4 | 7 | # | |-------------------+-------------------+--------------+----------------+------------+---------| # | | socialnet_hours | 2 | oo | 512 K | 4 | 7 | # | |-------------------+-------------------+--------------+----------------+------------+---------| # | | off_working_hours | 2 | oo | 1 M | 4 | 8 | # | |-------------------+-------------------+--------------+----------------+------------+---------| # | | weekend | 2 | oo | 1 M | 4 | 8 | # | |-------------------+-------------------+--------------+----------------+------------+---------| # | | allways | - | - | - | - | - | # |========================+===================+===================+==============+================+============+=========| # | inter_r_usuarios_bw | working_hours | - | - | - | - | - | # | |-------------------+-------------------+--------------+----------------+------------+---------| # | | socialnet_hours | - | - | - | - | - | # | |-------------------+-------------------+--------------+----------------+------------+---------| # | | off_working_hours | - | - | - | - | - | # | |-------------------+-------------------+--------------+----------------+------------+---------| # | | weekend | - | - | - | - | - | # | |-------------------+-------------------+--------------+----------------+------------+---------| # | | allways | - | - | - | - | - | # |========================+===================+===================+==============+================+============+=========| # | intra_f_usuarios_bw | working_hours | - | - | - | - | - | # | |-------------------+-------------------+--------------+----------------+------------+---------| # | | socialnet_hours | - | - | - | - | - | # | |-------------------+-------------------+--------------+----------------+------------+---------| # | | off_working_hours | - | - | - | - | - | # | |-------------------+-------------------+--------------+----------------+------------+---------| # | | weekend | - | - | - | - | - | # | |-------------------+-------------------+--------------+----------------+------------+---------| # | | allways | - | - | - | - | - | # |========================+===================+===================+==============+================+============+=========| # | intra_r_usuarios_bw | working_hours | - | - | - | - | - | # | |-------------------+-------------------+--------------+----------------+------------+---------| # | | socialnet_hours | - | - | - | - | - | # | |-------------------+-------------------+--------------+----------------+------------+---------| # | | off_working_hours | - | - | - | - | - | # | |-------------------+-------------------+--------------+----------------+------------+---------| # | | weekend | - | - | - | - | - | # | |-------------------+-------------------+--------------+----------------+------------+---------| # | | allways | - | - | - | - | - | # |========================+===================+===================+==============+================+============+=========| # |========================+===================+===================+==============+================+============+=========| # | inter_yt_usuarios_bw | working_hours | 3 | oo | 341 K | 4 | 9 | # | (acceso a youtube) |-------------------+-------------------+--------------+----------------+------------+---------| # | | socialnet_hours | 3 | oo | 341 K | 4 | 9 | # | |-------------------+-------------------+--------------+----------------+------------+---------| # | | off_working_hours | - | - | - | | - | # | |-------------------+-------------------+--------------+----------------+------------+---------| # | | weekend | - | - | - | | - | # | |-------------------+-------------------+--------------+----------------+------------+---------| # | | allways | - | - | - | | - | # |========================+===================+===================+==============+================+============+=========| # | intra_p_usuarios_bw | working_hours | - | - | - | - | - | # | |-------------------+-------------------+--------------+----------------+------------+---------| # | | socialnet_hours | - | - | - | - | - | # | |-------------------+-------------------+--------------+----------------+------------+---------| # | | off_working_hours | - | - | - | - | - | # | |-------------------+-------------------+--------------+----------------+------------+---------| # | | weekend | - | - | - | - | - | # | |-------------------+-------------------+--------------+----------------+------------+---------| # | | allways | - | - | - | - | - | # |========================+===================+===================+==============+================+============+=========| # |========================+===================+===================+==============+================+============+=========| # | proxy_hijo1_bw | working_hours | - | - | - | - | - | # | |-------------------+-------------------+--------------+----------------+------------+---------| # | | socialnet_hours | - | - | - | - | - | # | |-------------------+-------------------+--------------+----------------+------------+---------| # | | off_working_hours | - | - | - | | - | # | |-------------------+-------------------+--------------+----------------+------------+---------| # | | weekend | - | - | - | | - | # | |-------------------+-------------------+--------------+----------------+------------+---------| # | | allways | 1 | 3 M | - | 1 | 10 | # *========================+===================+===================+==============+================+============+=========* # NOTA: #--------------------------------------------------------------------- # Los nombres de grupos anteriores son grupos mapeados en ficheros ".txt". No son los nombres de las ACLs externas que # mapean los grupos del Kerberos/LDAP del AD. En caso de usar este tipo de ACLs externas para los Delay Pools, cambiar # al nombre de dichas ACLs. #--------------------------------------------------------------------- # Definicion de la cantidad de pools: # delay_pools TOTAL_pool delay_pools 10 # Se definen 10 delay pools # delay_class pool_ID class_ID # <N> <1|2|3|4|5> delay_class 1 1 delay_class 2 1 delay_class 3 4 delay_class 4 4 delay_class 5 1 delay_class 6 1 delay_class 7 4 delay_class 8 4 delay_class 9 4 delay_class 10 1 # Definicion de la parametros de limitacion del Ancho de Banda en los pools: # delay_parameters pool_ID rate[B/s]/size[B] rate[B/s]/size[B] rate[B/s]/size[B] rate[B/s]/size[B] # (aggregate) (network) (individual) (user) # NOTA #--------------------------------------------------------------------- # Clase 1: param1 (BW disponible = cubeta aggregate) # Clase 2: param1 (BW disponible = cubeta aggregate) param2 (BW individual = cubeta individual) # Clase 3: param1 (BW disponible = cubeta aggregate) param2 (BW de red = cubeta network) param3 ( BW de ip = cubeta individual) # Clase 4: param1 (BW disponible = cubeta aggregate) param2 (BW de red = cubeta network) param3 ( BW de ip = cubeta individual) param4 (BW de usuario = cubeta user) # Clase 5: param1 (tagrate) # El parametro "-1/-1" significa ilimitado. #--------------------------------------------------------------------- delay_parameters 1 262144/262244 delay_parameters 2 393216/393316 delay_parameters 3 -1/-1 -1/-1 -1/-1 131072/131172 delay_parameters 4 -1/-1 -1/-1 -1/-1 196608/196708 delay_parameters 5 393216/393316 delay_parameters 6 524288/524388 delay_parameters 7 -1/-1 -1/-1 -1/-1 32768/32868 delay_parameters 8 -1/-1 -1/-1 -1/-1 65536/65636 delay_parameters 9 -1/-1 -1/-1 -1/-1 43648/43748 delay_parameters 10 393216/393316 #===================================================================== # 6.10. DESENCRIPTACION DE HTTPS: #===================================================================== acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 acl no_bump_sites ssl::server_name "/etc/squid/reglas/ssl_bump/no_bump_sites.txt" # "ss::server_name" tiene la capacidad real de determinar el nombre real del servidor # solicitado por el usuario (reemplaza al despreciado "dstdomain") #===================================================================== # 6.11. OTRAS REGLAS ESPECIFICAS: #===================================================================== # Numero maximo de conexiones TCP: acl limite_cx maxconn 50 # Se limitan las conexiones TCP por usuario. Requiere de la directiva "client_db on". # Proteccion contra credenciales compartidas: acl limite_ip max_user_ip -s 1 # Se permite no mas de una autenticacion a la vez con el mismo usuario (se evita la comparticion de credenciales). authenticate_ip_ttl 1 minute # Esta directiva controla cuanto tiempo Squid recuerda la direccion IP asociada a cada usuario. #===================================================================== ################################ # 8. APLICACION DE LAS REGLAS # ################################ # .__________________________________________________________________________________________________________________________________________________________________________________________________________. # | Algunas Reglas Denegativas/Permisivas Especificas | Longitud | # .______________________________________________________|______________________________________________________________________________________________________________________________________________________________________________________________| maxima de | # | | || | | | | | | | Extensiones | Patrones de reconocimiento | descarga | # | Grupos/Usuarios | Horario || Destinos IP | Limite cx TCP | Lista Negra | Redes Sociales | YouTube | Gmail | Yahoo! |------------------------------------------------------------------------------------------------------|por objeto | # | | || | Por Usuario | Especifica | | | | | Audio | Video | Imagen | Compresion | Programa |Pornografia| Streaming de audio | Streaming de video | | # |============================+========================++=============+===============+=============+================+=========+=======+========+=======+=======+========+============+==========+===========+====================+====================+===========| # | inter_f_redes | Laboral || - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | 2 GB | # | | (working_hours) || | | | | | | | | | | | | | | | | # | |------------------------++-------------+---------------+-------------+----------------+---------+-------+--------+-------+-------+--------+------------+----------+-----------+--------------------+--------------------+-----------| # | | Redes Sociales || - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | 2 GB | # | | (socialnet_hours) || | | | | | | | | | | | | | | | | # | |------------------------++-------------+---------------+-------------+----------------+---------+-------+--------+-------+-------+--------+------------+----------+-----------+--------------------+--------------------+-----------| # | | No Laboral || - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | oo | # | | (off_working_hours) || | | | | | | | | | | | | | | | | # | |------------------------++-------------+---------------+-------------+----------------+---------+-------+--------+-------+-------+--------+------------+----------+-----------+--------------------+--------------------+-----------| # | | Fin de semana || - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | oo | # | | (weeekend) || | | | | | | | | | | | | | | | | # | |------------------------++-------------+---------------+-------------+----------------+---------+-------+--------+-------+-------+--------+------------+----------+-----------+--------------------+--------------------+-----------| # | | A cualquier hora || ALLOW | ALLOW | ALLOW | ALLOW | ALLOW | ALLOW | ALLOW | ALLOW | ALLOW | ALLOW | ALLOW | ALLOW | DENY | ALLOW | ALLOW | - | # |============================+========================++=============+===============+=============+================+=========+=======+========+=======+=======+========+============+==========+===========+====================+====================+===========| # | inter_f_informatica | Laboral || - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | 1 GB | # | | (working_hours) || | | | | | | | | | | | | | | | | # | |------------------------++-------------+---------------+-------------+----------------+---------+-------+--------+-------+-------+--------+------------+----------+-----------+--------------------+--------------------+-----------| # | | Redes Sociales || - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | 1 GB | # | | (socialnet_hours) || | | | | | | | | | | | | | | | | # | |------------------------++-------------+---------------+-------------+----------------+---------+-------+--------+-------+-------+--------+------------+----------+-----------+--------------------+--------------------+-----------| # | | No Laboral || - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | oo | # | | (off_working_hours) || | | | | | | | | | | | | | | | | # | |------------------------++-------------+---------------+-------------+----------------+---------+-------+--------+-------+-------+--------+------------+----------+-----------+--------------------+--------------------+-----------| # | | Fin de semana || - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | oo | # | | (weeekend) || | | | | | | | | | | | | | | | | # | |------------------------++-------------+---------------+-------------+----------------+---------+-------+--------+-------+-------+--------+------------+----------+-----------+--------------------+--------------------+-----------| # | | A cualquier hora || DENY | ALLOW | ALLOW | ALLOW | ALLOW | ALLOW | ALLOW | ALLOW | ALLOW | ALLOW | ALLOW | ALLOW | DENY | ALLOW | ALLOW | - | # |============================+========================++=============+===============+=============+================+=========+=======+========+=======+=======+========+============+==========+===========+====================+====================+===========| # | inter_f_directores | Laboral || - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | 1 GB | # | | (working_hours) || | | | | | | | | | | | | | | | | # | |------------------------++-------------+---------------+-------------+----------------+---------+-------+--------+-------+-------+--------+------------+----------+-----------+--------------------+--------------------+-----------| # | | Redes Sociales || - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | 1 GB | # | | (socialnet_hours) || | | | | | | | | | | | | | | | | # | |------------------------++-------------+---------------+-------------+----------------+---------+-------+--------+-------+-------+--------+------------+----------+-----------+--------------------+--------------------+-----------| # | | No Laboral || - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | oo | # | | (off_working_hours) || | | | | | | | | | | | | | | | | # | |------------------------++-------------+---------------+-------------+----------------+---------+-------+--------+-------+-------+--------+------------+----------+-----------+--------------------+--------------------+-----------| # | | Fin de semana || - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | oo | # | | (weeekend) || | | | | | | | | | | | | | | | | # | |------------------------++-------------+---------------+-------------+----------------+---------+-------+--------+-------+-------+--------+------------+----------+-----------+--------------------+--------------------+-----------| # | | A cualquier hora || DENY | ALLOW | ALLOW | ALLOW | ALLOW | ALLOW | ALLOW | ALLOW | ALLOW | ALLOW | ALLOW | ALLOW | DENY | ALLOW | ALLOW | - | # |============================+========================++=============+===============+=============+================+=========+=======+========+=======+=======+========+============+==========+===========+====================+====================+===========| # | inter_f_directivos | Laboral || - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | 100 MB | # | | (working_hours) || | | | | | | | | | | | | | | | | # | |------------------------++-------------+---------------+-------------+----------------+---------+-------+--------+-------+-------+--------+------------+----------+-----------+--------------------+--------------------+-----------| # | | Redes Sociales || - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | 100 MB | # | | (socialnet_hours) || | | | | | | | | | | | | | | | | # | |------------------------++-------------+---------------+-------------+----------------+---------+-------+--------+-------+-------+--------+------------+----------+-----------+--------------------+--------------------+-----------| # | | No Laboral || - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | 1024 MB | # | | (off_working_hours) || | | | | | | | | | | | | | | | | # | |------------------------++-------------+---------------+-------------+----------------+---------+-------+--------+-------+-------+--------+------------+----------+-----------+--------------------+--------------------+-----------| # | | Fin de semana || - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | 1024 MB | # | | (weeekend) || | | | | | | | | | | | | | | | | # | |------------------------++-------------+---------------+-------------+----------------+---------+-------+--------+-------+-------+--------+------------+----------+-----------+--------------------+--------------------+-----------| # | | A cualquier hora || DENY | ALLOW | ALLOW | ALLOW | ALLOW | ALLOW | ALLOW | ALLOW | ALLOW | ALLOW | ALLOW | ALLOW | DENY | ALLOW | ALLOW | - | # |============================+========================++=============+===============+=============+================+=========+=======+========+=======+=======+========+============+==========+===========+====================+====================+===========| # | inter_f_cominst | Laboral || - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | 100 MB | # | | (working_hours) || | | | | | | | | | | | | | | | | # | |------------------------++-------------+---------------+-------------+----------------+---------+-------+--------+-------+-------+--------+------------+----------+-----------+--------------------+--------------------+-----------| # | | Redes Sociales || - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | 100 MB | # | | (socialnet_hours) || | | | | | | | | | | | | | | | | # | |------------------------++-------------+---------------+-------------+----------------+---------+-------+--------+-------+-------+--------+------------+----------+-----------+--------------------+--------------------+-----------| # | | No Laboral || - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | 1024 MB | # | | (off_working_hours) || | | | | | | | | | | | | | | | | # | |------------------------++-------------+---------------+-------------+----------------+---------+-------+--------+-------+-------+--------+------------+----------+-----------+--------------------+--------------------+-----------| # | | Fin de semana || - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | 1024 MB | # | | (weeekend) || | | | | | | | | | | | | | | | | # | |------------------------++-------------+---------------+-------------+----------------+---------+-------+--------+-------+-------+--------+------------+----------+-----------+--------------------+--------------------+-----------| # | | A cualquier hora || DENY | ALLOW | ALLOW | ALLOW | ALLOW | ALLOW | ALLOW | ALLOW | ALLOW | ALLOW | ALLOW | ALLOW | DENY | ALLOW | ALLOW | - | # |============================+========================++=============+===============+=============+================+=========+=======+========+=======+=======+========+============+==========+===========+====================+====================+===========| # | inter_r_usuarios | Laboral || - | - | - | DENY | - | - | - | - | - | - | DENY | DENY | - | - | - | 100 MB | # | | (working_hours) || | | | | | | | | | | | | | | | | # | |------------------------++-------------+---------------+-------------+----------------+---------+-------+--------+-------+-------+--------+------------+----------+-----------+--------------------+--------------------+-----------| # | | Redes Sociales || - | - | - | ALLOW | - | - | - | - | - | - | DENY | DENY | - | - | - | 100 MB | # | | (socialnet_hours) || | | | | | | | | | | | | | | | | # | |------------------------++-------------+---------------+-------------+----------------+---------+-------+--------+-------+-------+--------+------------+----------+-----------+--------------------+--------------------+-----------| # | | No Laboral || - | - | - | ALLOW | ALLOW | - | - | ALLOW | ALLOW | ALLOW | ALLOW | ALLOW | - | ALLOW | ALLOW | 1024 MB | # | | (off_working_hours) || | | | | | | | | | | | | | | | | # | |------------------------++-------------+---------------+-------------+----------------+---------+-------+--------+-------+-------+--------+------------+----------+-----------+--------------------+--------------------+-----------| # | | Fin de semana || - | - | - | ALLOW | ALLOW | - | - | ALLOW | ALLOW | ALLOW | ALLOW | ALLOW | - | ALLOW | ALLOW | 1024 MB | # | | (weeekend) || | | | | | | | | | | | | | | | | # | |------------------------++-------------+---------------+-------------+----------------+---------+-------+--------+-------+-------+--------+------------+----------+-----------+--------------------+--------------------+-----------| # | | A cualquier hora || DENY | - | DENY | - | - | DENY | DENY | - | - | - | - | - | DENY | - | - | - | # |============================+========================++=============+===============+=============+================+=========+=======+========+=======+=======+========+============+==========+===========+====================+====================+===========| # | intra_f_usuarios | Laboral || - | - | - | - | - | - | - | - | - | - | DENY | DENY | - | - | - | 100 MB | # | | (working_hours) || | | | | | | | | | | | | | | | | # | |------------------------++-------------+---------------+-------------+----------------+---------+-------+--------+-------+-------+--------+------------+----------+-----------+--------------------+--------------------+-----------| # | | Redes Sociales || - | - | - | - | - | - | - | - | - | - | DENY | DENY | - | - | - | 100 MB | # | | (socialnet_hours) || | | | | | | | | | | | | | | | | # | |------------------------++-------------+---------------+-------------+----------------+---------+-------+--------+-------+-------+--------+------------+----------+-----------+--------------------+--------------------+-----------| # | | No Laboral || - | - | - | - | - | - | - | ALLOW | ALLOW | ALLOW | ALLOW | ALLOW | - | ALLOW | ALLOW | 1024 MB | # | | (off_working_hours) || | | | | | | | | | | | | | | | | # | |------------------------++-------------+---------------+-------------+----------------+---------+-------+--------+-------+-------+--------+------------+----------+-----------+--------------------+--------------------+-----------| # | | Fin de semana || - | - | - | - | - | - | - | ALLOW | ALLOW | ALLOW | ALLOW | ALLOW | - | ALLOW | ALLOW | 1024 MB | # | | (weeekend) || | | | | | | | | | | | | | | | | # | |------------------------++-------------+---------------+-------------+----------------+---------+-------+--------+-------+-------+--------+------------+----------+-----------+--------------------+--------------------+-----------| # | | A cualquier hora || DENY | DENY | - | - | - | - | - | - | - | - | - | - | DENY | - | - | - | # |============================+========================++=============+===============+=============+================+=========+=======+========+=======+=======+========+============+==========+===========+====================+====================+===========| # | intra_r_usuarios | Laboral || - | - | - | - | - | - | - | - | - | - | DENY | DENY | - | - | - | - | # | | (working_hours) || | | | | | | | | | | | | | | | | # | |------------------------++-------------+---------------+-------------+----------------+---------+-------+--------+-------+-------+--------+------------+----------+-----------+--------------------+--------------------+-----------| # | | Redes Sociales || - | - | - | - | - | - | - | - | - | - | DENY | DENY | - | - | - | - | # | | (socialnet_hours) || | | | | | | | | | | | | | | | | # | |------------------------++-------------+---------------+-------------+----------------+---------+-------+--------+-------+-------+--------+------------+----------+-----------+--------------------+--------------------+-----------| # | | No Laboral || - | - | - | - | - | - | - | ALLOW | ALLOW | ALLOW | ALLOW | ALLOW | - | ALLOW | ALLOW | - | # | | (off_working_hours) || | | | | | | | | | | | | | | | | # | |------------------------++-------------+---------------+-------------+----------------+---------+-------+--------+-------+-------+--------+------------+----------+-----------+--------------------+--------------------+-----------| # | | Fin de semana || - | - | - | - | - | - | - | ALLOW | ALLOW | ALLOW | ALLOW | ALLOW | - | ALLOW | ALLOW | - | # | | (weeekend) || | | | | | | | | | | | | | | | | # | |------------------------++-------------+---------------+-------------+----------------+---------+-------+--------+-------+-------+--------+------------+----------+-----------+--------------------+--------------------+-----------| # | | A cualquier hora || DENY | DENY | - | - | - | - | - | - | - | - | - | - | DENY | - | - | 100 MB | # |============================+========================++=============+===============+=============+================+=========+=======+========+=======+=======+========+============+==========+===========+====================+====================+===========| # |============================+========================++=============+===============+=============+================+=========+=======+========+=======+=======+========+============+==========+===========+====================+====================+===========| # | inter_yt_usuarios | Laboral || - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | # | | (working_hours) || | | | | | | | | | | | | | | | | # | |------------------------++-------------+---------------+-------------+----------------+---------+-------+--------+-------+-------+--------+------------+----------+-----------+--------------------+--------------------+-----------| # | | Redes Sociales || - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | # | | (socialnet_hours) || | | | | | | | | | | | | | | | | # | |------------------------++-------------+---------------+-------------+----------------+---------+-------+--------+-------+-------+--------+------------+----------+-----------+--------------------+--------------------+-----------| # | | No Laboral || - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | # | | (off_working_hours) || | | | | | | | | | | | | | | | | # | |------------------------++-------------+---------------+-------------+----------------+---------+-------+--------+-------+-------+--------+------------+----------+-----------+--------------------+--------------------+-----------| # | | Fin de semana || - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | # | | (weeekend) || | | | | | | | | | | | | | | | | # | |------------------------++-------------+---------------+-------------+----------------+---------+-------+--------+-------+-------+--------+------------+----------+-----------+--------------------+--------------------+-----------| # | | A cualquier hora || - | - | - | - | ALLOW | - | - | - | - | - | - | - | - | - | - | oo | # |============================+========================++=============+===============+=============+================+=========+=======+========+=======+=======+========+============+==========+===========+====================+====================+===========| # | intra_p_usuarios | Laboral || - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | # | | (working_hours) || | | | | | | | | | | | | | | | | # | |------------------------++-------------+---------------+-------------+----------------+---------+-------+--------+-------+-------+--------+------------+----------+-----------+--------------------+--------------------+-----------| # | | Redes Sociales || - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | # | | (socialnet_hours) || | | | | | | | | | | | | | | | | # | |------------------------++-------------+---------------+-------------+----------------+---------+-------+--------+-------+-------+--------+------------+----------+-----------+--------------------+--------------------+-----------| # | | No Laboral || - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | # | | (off_working_hours) || | | | | | | | | | | | | | | | | # | |------------------------++-------------+---------------+-------------+----------------+---------+-------+--------+-------+-------+--------+------------+----------+-----------+--------------------+--------------------+-----------| # | | Fin de semana || - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | # | | (weeekend) || | | | | | | | | | | | | | | | | # | |------------------------++-------------+---------------+-------------+----------------+---------+-------+--------+-------+-------+--------+------------+----------+-----------+--------------------+--------------------+-----------| # | | A cualquier hora || - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | oo | # |============================+========================++=============+===============+=============+================+=========+=======+========+=======+=======+========+============+==========+===========+====================+====================+===========| # |============================+========================++=============+===============+=============+================+=========+=======+========+=======+=======+========+============+==========+===========+====================+====================+===========| # | proxy_hijo1 | Laboral || - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | # | | (working_hours) || | | | | | | | | | | | | | | | | # | |------------------------++-------------+---------------+-------------+----------------+---------+-------+--------+-------+-------+--------+------------+----------+-----------+--------------------+--------------------+-----------| # | | Redes Sociales || - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | # | | (socialnet_hours) || | | | | | | | | | | | | | | | | # | |------------------------++-------------+---------------+-------------+----------------+---------+-------+--------+-------+-------+--------+------------+----------+-----------+--------------------+--------------------+-----------| # | | No Laboral || - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | # | | (off_working_hours) || | | | | | | | | | | | | | | | | # | |------------------------++-------------+---------------+-------------+----------------+---------+-------+--------+-------+-------+--------+------------+----------+-----------+--------------------+--------------------+-----------| # | | Fin de semana || - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | # | | (weeekend) || | | | | | | | | | | | | | | | | # | |------------------------++-------------+---------------+-------------+----------------+---------+-------+--------+-------+-------+--------+------------+----------+-----------+--------------------+--------------------+-----------| # | | A cualquier hora || DENY | ALLOW | ALLOW | ALLOW | ALLOW | ALLOW | ALLOW | ALLOW | ALLOW | ALLOW | ALLOW | ALLOW | DENY | ALLOW | ALLOW | oo | # *_________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________* # NOTA: #--------------------------------------------------------------------- # Las acciones no especificadas en la tabla seran decididas por la secuencia de las reglas que le sigan en la configuracion. #--------------------------------------------------------------------- #access_list <deny|allow> <acl_name> # 7.1 LONGITUD MAXIMA DE DESCARGA POR OBJETO #===================================================================== reply_body_max_size 2048 MB inter_f_redes working_hours1 # Limitada a 2 GB. reply_body_max_size 2048 MB inter_f_redes socialnet_hours1 # Limitada a 2 GB. reply_body_max_size 2048 MB inter_f_redes working_hours2 # Limitada a 2 GB. reply_body_max_size 2048 MB inter_f_redes socialnet_hours2 # Limitada a 2 GB. reply_body_max_size none inter_f_redes off_working_hours1 # Sin limite. reply_body_max_size none inter_f_redes off_working_hours2 # Sin limite. reply_body_max_size none inter_f_redes weekend # Sin limite. reply_body_max_size 1024 MB inter_f_informatica working_hours1 # Limitada a 1 GB. reply_body_max_size 1024 MB inter_f_informatica socialnet_hours1 # Limitada a 1 GB. reply_body_max_size 1024 MB inter_f_informatica working_hours2 # Limitada a 1 GB. reply_body_max_size 1024 MB inter_f_informatica socialnet_hours2 # Limitada a 1 GB. reply_body_max_size none inter_f_informatica off_working_hours1 # Sin limite. reply_body_max_size none inter_f_informatica off_working_hours2 # Sin limite. reply_body_max_size none inter_f_informatica weekend # Sin limite. reply_body_max_size 1024 MB inter_f_directores working_hours1 # Limitada a 1 GB. reply_body_max_size 1024 MB inter_f_directores socialnet_hours1 # Limitada a 1 GB. reply_body_max_size 1024 MB inter_f_directores working_hours2 # Limitada a 1 GB. reply_body_max_size 1024 MB inter_f_directores socialnet_hours2 # Limitada a 1 GB. reply_body_max_size none inter_f_directores off_working_hours1 # Sin limite. reply_body_max_size none inter_f_directores off_working_hours2 # Sin limite. reply_body_max_size none inter_f_directores weekend # Sin limite. reply_body_max_size 100 MB inter_f_directivos working_hours1 # Limitada a 100 MB. reply_body_max_size 100 MB inter_f_directivos socialnet_hours1 # Limitada a 100 MB. reply_body_max_size 100 MB inter_f_directivos working_hours2 # Limitada a 100 MB. reply_body_max_size 100 MB inter_f_directivos socialnet_hours2 # Limitada a 100 MB. reply_body_max_size 1024 MB inter_f_directivos off_working_hours1 # Limitada a 1 GB. reply_body_max_size 1024 MB inter_f_directivos off_working_hours2 # Limitada a 1 GB. reply_body_max_size 1024 MB inter_f_directivos weekend # Limitada a 1 GB. reply_body_max_size 100 MB inter_f_cominst working_hours1 # Limitada a 100 MB. reply_body_max_size 100 MB inter_f_cominst socialnet_hours1 # Limitada a 100 MB. reply_body_max_size 100 MB inter_f_cominst working_hours2 # Limitada a 100 MB. reply_body_max_size 100 MB inter_f_cominst socialnet_hours2 # Limitada a 100 MB. reply_body_max_size 1024 MB inter_f_cominst off_working_hours1 # Limitada a 1 GB. reply_body_max_size 1024 MB inter_f_cominst off_working_hours2 # Limitada a 1 GB. reply_body_max_size 1024 MB inter_f_cominst weekend # Limitada a 1 GB. reply_body_max_size 100 MB inter_r_usuarios working_hours1 # Limitada a 100 MB. reply_body_max_size 100 MB inter_r_usuarios socialnet_hours1 # Limitada a 100 MB. reply_body_max_size 100 MB inter_r_usuarios working_hours2 # Limitada a 100 MB. reply_body_max_size 100 MB inter_r_usuarios socialnet_hours2 # Limitada a 100 MB. reply_body_max_size 1024 MB inter_r_usuarios off_working_hours1 # Limitada a 1 GB. reply_body_max_size 1024 MB inter_r_usuarios off_working_hours2 # Limitada a 1 GB. reply_body_max_size 1024 MB inter_r_usuarios weekend # Limitada a 1 GB. reply_body_max_size 100 MB intra_f_usuarios working_hours1 # Limitada a 100 MB. reply_body_max_size 100 MB intra_f_usuarios socialnet_hours1 # Limitada a 100 MB. reply_body_max_size 100 MB intra_f_usuarios working_hours2 # Limitada a 100 MB. reply_body_max_size 100 MB intra_f_usuarios socialnet_hours2 # Limitada a 100 MB. reply_body_max_size 1024 MB intra_f_usuarios off_working_hours1 # Limitada a 1 GB. reply_body_max_size 1024 MB intra_f_usuarios off_working_hours2 # Limitada a 1 GB. reply_body_max_size 1024 MB intra_f_usuarios weekend # Limitada a 1 GB. reply_body_max_size 100 MB intra_r_usuarios # Limitada a 100 MB. # 7.2. DENEGATIVAS ESPECIFICAS: #===================================================================== # NOTA: #--------------------------------------------------------------------- # Estas son reglas de denegacion especifica para usuarios/grupos, direcciones IP, horarios. Son reglas de denegacion que no son para todos. #--------------------------------------------------------------------- # Localhost: # http_access#1 http_access deny manager !localhost # Grupo: inter_f_redes #http_access deny inter_f_redes destino_ip #http_access deny inter_f_redes limite_cx #http_access deny inter_f_redes BL_dom #http_access deny inter_f_redes youtube #http_access deny inter_f_redes gmail #http_access deny inter_f_redes yahoo #http_access deny inter_f_redes ext_audio #http_access deny inter_f_redes ext_video #http_access deny inter_f_redes ext_imagen #http_access deny inter_f_redes ext_compresion #http_access deny inter_f_redes ext_programa # http_access#2 http_access deny inter_f_redes exp_pornografica #http_access deny inter_f_redes streaming_audio #http_access deny inter_f_redes streaming_video # Grupo: inter_f_informatica #http_access deny inter_f_informatica destino_ip #http_access deny inter_f_informatica limite_cx #http_access deny inter_f_informatica BL_domains #http_access deny inter_f_informatica youtube #http_access deny inter_f_informatica gmail #http_access deny inter_f_informatica yahoo #http_access deny inter_f_informatica ext_audio #http_access deny inter_f_informatica ext_video #http_access deny inter_f_informatica ext_imagen #http_access deny inter_f_informatica ext_compresion #http_access deny inter_f_informatica ext_programa # http_access#3 http_access deny inter_f_informatica exp_pornografica #http_access deny inter_f_informatica streaming_audio #http_access deny inter_f_informatica streaming_video # Grupo: inter_f_directores #http_access deny inter_f_informatica destino_ip #http_access deny inter_f_informatica limite_cx #http_access deny inter_f_informatica BL_domains #http_access deny inter_f_informatica youtube #http_access deny inter_f_informatica gmail #http_access deny inter_f_informatica yahoo #http_access deny inter_f_informatica ext_audio #http_access deny inter_f_informatica ext_video #http_access deny inter_f_informatica ext_imagen #http_access deny inter_f_informatica ext_compresion #http_access deny inter_f_informatica ext_programa # http_access#4 http_access deny inter_f_informatica exp_pornografica #http_access deny inter_f_informatica streaming_audio #http_access deny inter_f_informatica streaming_video # Grupo: inter_f_directivos #http_access deny inter_f_directores destino_ip #http_access deny inter_f_directores limite_cx #http_access deny inter_f_directores BL_dom #http_access deny inter_f_directores youtube #http_access deny inter_f_directores gmail #http_access deny inter_f_directores yahoo #http_access deny inter_f_directores ext_audio #http_access deny inter_f_directores ext_video #http_access deny inter_f_directores ext_imagen #http_access deny inter_f_directores ext_compresion #http_access deny inter_f_directores ext_programa # http_access#5 http_access deny inter_f_directores exp_pornografica #http_access deny inter_f_directores streaming_audio #http_access deny inter_f_directores streaming_video # Grupo: inter_f_cominst #http_access deny inter_f_cominst destino_ip #http_access deny inter_f_cominst limite_cx #http_access deny inter_f_cominst BL_dom #http_access deny inter_f_cominst youtube #http_access deny inter_f_cominst gmail #http_access deny inter_f_cominst yahoo #http_access deny inter_f_cominst ext_audio #http_access deny inter_f_cominst ext_video #http_access deny inter_f_cominst ext_imagen #http_access deny inter_f_cominst ext_compresion #http_access deny inter_f_cominst ext_programa # http_access#6 http_access deny inter_f_cominst exp_pornografica #http_access deny inter_f_cominst streaming_audio #http_access deny inter_f_cominst streaming_video # Grupo: inter_r_usuarios # http_access#7 http_access deny inter_r_usuarios destino_ip # http_access#8 http_access deny inter_r_usuarios limite_cx # http_access#9 http_access deny inter_r_usuarios BL_dom #http_access deny inter_r_usuarios youtube # http_access#10 http_access deny inter_r_usuarios gmail # http_access#11 http_access deny inter_r_usuarios yahoo #http_access deny inter_r_usuarios ext_audio #http_access deny inter_r_usuarios ext_video #http_access deny inter_r_usuarios ext_imagen # http_access#12 http_access deny inter_r_usuarios ext_compresion working_hours1 # http_access#13 http_access deny inter_r_usuarios ext_compresion socialnet_hours1 # http_access#14 http_access deny inter_r_usuarios ext_compresion working_hours2 # http_access#15 http_access deny inter_r_usuarios ext_compresion socialnet_hours2 # http_access#16 http_access deny inter_r_usuarios ext_programa working_hours1 # http_access#17 http_access deny inter_r_usuarios ext_programa socialnet_hours1 # http_access#18 http_access deny inter_r_usuarios ext_programa working_hours2 # http_access#19 http_access deny inter_r_usuarios ext_programa socialnet_hours2 # http_access#20 http_access deny inter_r_usuarios exp_pornografica #http_access deny inter_r_usuarios streaming_audio #http_access deny inter_r_usuarios streaming_video # Grupo: intra_f_usuarios # http_access#21 http_access deny intra_f_usuarios destino_ip # http_access#22 http_access deny intra_f_usuarios limite_cx # http_access#23 http_access deny intra_f_usuarios BL_dom #http_access deny intra_f_usuarios youtube #http_access deny intra_f_usuarios gmail #http_access deny intra_f_usuarios yahoo #http_access deny intra_f_usuarios ext_audio #http_access deny intra_f_usuarios ext_video #http_access deny intra_f_usuarios ext_imagen # http_access#24 http_access deny intra_f_usuarios ext_compresion working_hours1 # http_access#25 http_access deny intra_f_usuarios ext_compresion socialnet_hours1 # http_access#26 http_access deny intra_f_usuarios ext_compresion working_hours2 # http_access#27 http_access deny intra_f_usuarios ext_compresion socialnet_hours2 # http_access#28 http_access deny intra_f_usuarios ext_programa working_hours1 # http_access#29 http_access deny intra_f_usuarios ext_programa socialnet_hours1 # http_access#30 http_access deny intra_f_usuarios ext_programa working_hours2 # http_access#31 http_access deny intra_f_usuarios ext_programa socialnet_hours2 # http_access#32 http_access deny intra_f_usuarios exp_pornografica # http_access#33 http_access deny intra_f_usuarios google.cu #http_access deny intra_f_usuarios streaming_audio #http_access deny intra_f_usuarios streaming_video # Grupo: intra_r_usuarios # http_access#33 http_access deny intra_r_usuarios destino_ip # http_access#34 http_access deny intra_r_usuarios limite_cx # http_access#35 http_access deny intra_r_usuarios BL_dom #http_access deny intra_r_usuarios youtube #http_access deny intra_r_usuarios gmail #http_access deny intra_r_usuarios yahoo #http_access deny intra_r_usuarios ext_audio #http_access deny intra_r_usuarios ext_video #http_access deny intra_r_usuarios ext_imagen # http_access#36 http_access deny intra_r_usuarios ext_compresion working_hours1 # http_access#37 http_access deny intra_r_usuarios ext_compresion socialnet_hours1 # http_access#38 http_access deny intra_r_usuarios ext_compresion working_hours2 # http_access#39 http_access deny intra_r_usuarios ext_compresion socialnet_hours2 # http_access#40 http_access deny intra_r_usuarios ext_programa working_hours1 # http_access#41 http_access deny intra_r_usuarios ext_programa socialnet_hours1 # http_access#42 http_access deny intra_r_usuarios ext_programa working_hours2 # http_access#43 http_access deny intra_r_usuarios ext_programa socialnet_hours2 # http_access#45 http_access deny intra_r_usuarios exp_pornografica # http_access#46 http_access deny intra_r_usuarios google.cu #http_access deny intra_r_usuarios streaming_audio #http_access deny intra_r_usuarios streaming_video # Grupo: inter_yt_usuarios #http_access deny inter_yt_usuarios destino_ip #http_access deny inter_yt_usuarios limite_cx #http_access deny inter_yt_usuarios BL_dom #http_access deny inter_yt_usuarios youtube #http_access deny inter_yt_usuarios gmail #http_access deny inter_yt_usuarios yahoo #http_access deny inter_yt_usuarios ext_audio #http_access deny inter_yt_usuarios ext_video #http_access deny inter_yt_usuarios ext_imagen #http_access deny inter_yt_usuarios ext_compresion working_hours1 #http_access deny inter_yt_usuarios ext_compresion socialnet_hours1 #http_access deny inter_yt_usuarios ext_compresion working_hours2 #http_access deny inter_yt_usuarios ext_compresion socialnet_hours2 #http_access deny inter_yt_usuarios ext_programa working_hours1 #http_access deny inter_yt_usuarios ext_programa socialnet_hours1 #http_access deny inter_yt_usuarios ext_programa working_hours2 #http_access deny inter_yt_usuarios ext_programa socialnet_hours2 #http_access deny inter_yt_usuarios exp_pornografica #http_access deny inter_yt_usuarios streaming_audio #http_access deny inter_yt_usuarios streaming_video # Grupo: intra_p_usuarios #http_access deny intra_p_usuarios destino_ip #http_access deny intra_p_usuarios limite_cx #http_access deny intra_p_usuarios BL_dom #http_access deny intra_p_usuarios youtube #http_access deny intra_p_usuarios gmail #http_access deny intra_p_usuarios yahoo #http_access deny intra_p_usuarios ext_audio #http_access deny intra_p_usuarios ext_video #http_access deny intra_p_usuarios ext_imagen #http_access deny intra_p_usuarios ext_compresion working_hours1 #http_access deny intra_p_usuarios ext_compresion socialnet_hours1 #http_access deny intra_p_usuarios ext_compresion working_hours2 #http_access deny intra_p_usuarios ext_compresion socialnet_hours2 #http_access deny intra_p_usuarios ext_programa working_hours1 #http_access deny intra_p_usuarios ext_programa socialnet_hours1 #http_access deny intra_p_usuarios ext_programa working_hours2 #http_access deny intra_p_usuarios ext_programa socialnet_hours2 #http_access deny intra_p_usuarios exp_pornografica #http_access deny intra_p_usuarios streaming_audio #http_access deny intra_p_usuarios streaming_video # Usuario: proxy_hijo1 # http_access#45 http_access deny auth_proxy_hijo1 destino_ip #http_access deny auth_proxy_hijo1 limite_cx #http_access deny auth_proxy_hijo1 BL_dom #http_access deny auth_proxy_hijo1 youtube #http_access deny auth_proxy_hijo1 gmail #http_access deny auth_proxy_hijo1 yahoo #http_access deny auth_proxy_hijo1 ext_audio #http_access deny auth_proxy_hijo1 ext_video #http_access deny auth_proxy_hijo1 ext_imagen #http_access deny auth_proxy_hijo1 ext_compresion #http_access deny auth_proxy_hijo1 ext_programa # http_access#46 http_access deny auth_proxy_hijo1 exp_pornografica #http_access deny auth_proxy_hijo1 streaming_audio #http_access deny auth_proxy_hijo1 streaming_video #===================================================================== # 7.4. PERMISIVAS ESPECIFICAS: #===================================================================== # NOTA: #--------------------------------------------------------------------- # Estas son reglas de autorizacion especifica para usuarios/grupos, direcciones IP, horarios. Estas son reglas permisivas para quellas que necesitan ciertos accesos, # que otros no tienen (el caso de las reglas anteriores). #--------------------------------------------------------------------- # Localhost: # Permitir solamente al cachemgr desde localhost: # http_access#47 http_access allow localhost manager # Permitiendo a localhost: # http_access#48 http_access allow localhost # Permitiendo a los segmentos de los servidores: # http_access#49 http_access allow granja_interna # http_access#50 http_access allow dmz # Grupo: inter_f_redes # http_access#51 http_access allow inter_f_redes destino_ip !default_BL_dom # http_access#52 http_access allow inter_f_redes limite_cx !default_BL_dom # http_access#53 http_access allow inter_f_redes BL_dom !default_BL_dom # http_access#54 http_access allow inter_f_redes youtube # http_access#55 http_access allow inter_f_redes gmail # http_access#56 http_access allow inter_f_redes yahoo # http_access#57 http_access allow inter_f_redes ext_audio !default_BL_dom # http_access#58 http_access allow inter_f_redes ext_video !default_BL_dom # http_access#59 http_access allow inter_f_redes ext_imagen !default_BL_dom # http_access#60 http_access allow inter_f_redes ext_compresion !default_BL_dom # http_access#61 http_access allow inter_f_redes ext_programa !default_BL_dom #http_access allow inter_f_redes exp_pornografica # http_access#62 http_access allow inter_f_redes streaming_audio !default_BL_dom # http_access#63 http_access allow inter_f_redes streaming_video !default_BL_dom # Grupo: inter_f_informatica # http_access#64 http_access allow inter_f_informatica destino_ip !default_BL_dom # http_access#65 http_access allow inter_f_informatica limite_cx !default_BL_dom # http_access#66 http_access allow inter_f_informatica BL_dom !default_BL_dom # http_access#67 http_access allow inter_f_informatica youtube # http_access#68 http_access allow inter_f_informatica gmail # http_access#69 http_access allow inter_f_informatica yahoo # http_access#70 http_access allow inter_f_informatica ext_audio !default_BL_dom # http_access#71 http_access allow inter_f_informatica ext_video !default_BL_dom # http_access#72 http_access allow inter_f_informatica ext_imagen !default_BL_dom # http_access#73 http_access allow inter_f_informatica ext_compresion !default_BL_dom # http_access#74 http_access allow inter_f_informatica ext_programa !default_BL_dom #http_access allow inter_f_informatica exp_pornografica # http_access#75 http_access allow inter_f_informatica streaming_audio !default_BL_dom # http_access#76 http_access allow inter_f_informatica streaming_video !default_BL_dom # Grupo: inter_f_directores # http_access#77 http_access allow inter_f_informatica destino_ip !default_BL_dom # http_access#78 http_access allow inter_f_informatica limite_cx !default_BL_dom # http_access#79 http_access allow inter_f_informatica BL_dom !default_BL_dom # http_access#80 http_access allow inter_f_informatica youtube # http_access#81 http_access allow inter_f_informatica gmail # http_access#82 http_access allow inter_f_informatica yahoo # http_access#83 http_access allow inter_f_informatica ext_audio !default_BL_dom # http_access#84 http_access allow inter_f_informatica ext_video !default_BL_dom # http_access#85 http_access allow inter_f_informatica ext_imagen !default_BL_dom # http_access#86 http_access allow inter_f_informatica ext_compresion !default_BL_dom # http_access#87 http_access allow inter_f_informatica ext_programa !default_BL_dom #http_access allow inter_f_informatica exp_pornografica # http_access#88 http_access allow inter_f_informatica streaming_audio !default_BL_dom # http_access#89 http_access allow inter_f_informatica streaming_video !default_BL_dom # Grupo: inter_f_directivos # http_access#90 http_access allow inter_f_directores destino_ip !default_BL_dom # http_access#91 http_access allow inter_f_directores limite_cx !default_BL_dom # http_access#92 http_access allow inter_f_directores BL_dom !default_BL_dom # http_access#93 http_access allow inter_f_directores youtube # http_access#94 http_access allow inter_f_directores gmail # http_access#95 http_access allow inter_f_directores yahoo # http_access#96 http_access allow inter_f_directores ext_audio !default_BL_dom # http_access#97 http_access allow inter_f_directores ext_video !default_BL_dom # http_access#98 http_access allow inter_f_directores ext_imagen !default_BL_dom # http_access#99 http_access allow inter_f_directores ext_compresion !default_BL_dom # http_access#100 http_access allow inter_f_directores ext_programa !default_BL_dom #http_access allow inter_f_directores exp_pornografica # http_access#101 http_access allow inter_f_directores streaming_audio !default_BL_dom # http_access#102 http_access allow inter_f_directores streaming_video !default_BL_dom # Grupo: inter_f_cominst # http_access#103 http_access allow inter_f_cominst destino_ip !default_BL_dom # http_access#104 http_access allow inter_f_cominst limite_cx !default_BL_dom # http_access#105 http_access allow inter_f_cominst BL_dom !default_BL_dom # http_access#106 http_access allow inter_f_cominst youtube # http_access#107 http_access allow inter_f_cominst gmail # http_access#108 http_access allow inter_f_cominst yahoo # http_access#109 http_access allow inter_f_cominst ext_audio !default_BL_dom # http_access#110 http_access allow inter_f_cominst ext_video !default_BL_dom # http_access#111 http_access allow inter_f_cominst ext_imagen !default_BL_dom # http_access#112 http_access allow inter_f_cominst ext_compresion !default_BL_dom # http_access#113 http_access allow inter_f_cominst ext_programa !default_BL_dom #http_access allow inter_f_cominst exp_pornografica # http_access#114 http_access allow inter_f_cominst streaming_audio !default_BL_dom # http_access#115 http_access allow inter_f_cominst streaming_video !default_BL_dom # Grupo: inter_r_usuarios #http_access allow inter_r_usuarios destino_ip !default_BL_dom #http_access allow inter_r_usuarios limite_cx !default_BL_dom #http_access allow inter_r_usuarios BL_dom !default_BL_dom #http_access allow inter_r_usuarios youtube #http_access allow inter_r_usuarios gmail #http_access allow inter_r_usuarios yahoo #http_access allow inter_r_usuarios ext_audio !default_BL_dom #http_access allow inter_r_usuarios ext_video !default_BL_dom #http_access allow inter_r_usuarios ext_imagen !default_BL_dom # http_access#116 http_access allow inter_r_usuarios ext_compresion off_working_hours1 !default_BL_dom # http_access#117 http_access allow inter_r_usuarios ext_compresion off_working_hours2 !default_BL_dom # http_access#118 http_access allow inter_r_usuarios ext_compresion weekend !default_BL_dom # http_access#119 http_access allow inter_r_usuarios ext_programa off_working_hours1 !default_BL_dom # http_access#120 http_access allow inter_r_usuarios ext_programa off_working_hours2 !default_BL_dom # http_access#121 http_access allow inter_r_usuarios ext_programa weekend !default_BL_dom #http_access allow inter_r_usuarios exp_pornografica #http_access allow inter_r_usuarios streaming_audio !default_BL_dom #http_access allow inter_r_usuarios streaming_video !default_BL_dom # Grupo: intra_f_usuarios #http_access allow intra_f_usuarios destino_ip !default_BL_dom #http_access allow intra_f_usuarios limite_cx !default_BL_dom #http_access allow intra_f_usuarios BL_dom !default_BL_dom #http_access allow intra_f_usuarios youtube #http_access allow intra_f_usuarios gmail #http_access allow intra_f_usuarios yahoo #http_access allow intra_f_usuarios ext_audio !default_BL_dom #http_access allow intra_f_usuarios ext_video !default_BL_dom #http_access allow intra_f_usuarios ext_imagen !default_BL_dom # http_access#122 http_access allow intra_f_usuarios ext_compresion off_working_hours1 !default_BL_dom # http_access#123 http_access allow intra_f_usuarios ext_compresion off_working_hours2 !default_BL_dom # http_access#124 http_access allow intra_f_usuarios ext_compresion weekend !default_BL_dom # http_access#125 http_access allow intra_f_usuarios ext_programa off_working_hours1 !default_BL_dom # http_access#126 http_access allow intra_f_usuarios ext_programa off_working_hours2 !default_BL_dom # http_access#127 http_access allow intra_f_usuarios ext_programa weekend !default_BL_dom #http_access allow intra_f_usuarios exp_pornografica #http_access allow intra_f_usuarios streaming_audio !default_BL_dom #http_access allow intra_f_usuarios streaming_video !default_BL_dom # Grupo: intra_r_usuarios # http_access#128 http_access allow intra_r_usuarios destino_ip !default_BL_dom # http_access#129 http_access allow intra_r_usuarios limite_cx !default_BL_dom # http_access#130 http_access allow intra_r_usuarios BL_dom !default_BL_dom #http_access allow intra_r_usuarios youtube #http_access allow intra_r_usuarios gmail #http_access allow intra_r_usuarios yahoo #http_access allow intra_r_usuarios ext_audio !default_BL_dom #http_access allow intra_r_usuarios ext_video !default_BL_dom #http_access allow intra_r_usuarios ext_imagen !default_BL_dom # http_access#131 http_access allow intra_r_usuarios ext_compresion off_working_hours1 !default_BL_dom # http_access#132 http_access allow intra_r_usuarios ext_compresion off_working_hours2 !default_BL_dom # http_access#133 http_access allow intra_r_usuarios ext_compresion weekend !default_BL_dom # http_access#134 http_access allow intra_r_usuarios ext_programa off_working_hours1 !default_BL_dom # http_access#135 http_access allow intra_r_usuarios ext_programa off_working_hours2 !default_BL_dom # http_access#136 http_access allow intra_r_usuarios ext_programa weekend !default_BL_dom #http_access allow intra_r_usuarios exp_pornografica #http_access allow intra_r_usuarios streaming_audio !default_BL_dom #http_access allow intra_r_usuarios streaming_video !default_BL_dom # Grupo: inter_yt_usuarios #http_access allow inter_yt_usuarios destino_ip !default_BL_dom #http_access allow inter_yt_usuarios limite_cx !default_BL_dom #http_access allow inter_yt_usuarios BL_dom !default_BL_dom # http_access#137 http_access allow inter_yt_usuarios youtube #http_access allow inter_yt_usuarios gmail #http_access allow inter_yt_usuarios yahoo #http_access allow inter_yt_usuarios ext_audio !default_BL_dom #http_access allow inter_yt_usuarios ext_video !default_BL_dom #http_access allow inter_yt_usuarios ext_imagen !default_BL_dom #http_access allow inter_yt_usuarios ext_compresion working_hours1 !default_BL_dom #http_access allow inter_yt_usuarios ext_compresion socialnet_hours1 !default_BL_dom #http_access allow inter_yt_usuarios ext_compresion working_hours2 !default_BL_dom #http_access allow inter_yt_usuarios ext_compresion socialnet_hours2 !default_BL_dom #http_access allow inter_yt_usuarios ext_programa working_hours1 !default_BL_dom #http_access allow inter_yt_usuarios ext_programa socialnet_hours1 !default_BL_dom #http_access allow inter_yt_usuarios ext_programa working_hours2 !default_BL_dom #http_access allow inter_yt_usuarios ext_programa socialnet_hours2 !default_BL_dom #http_access allow inter_yt_usuarios exp_pornografica #http_access allow inter_yt_usuarios streaming_audio !default_BL_dom #http_access allow inter_yt_usuarios streaming_video !default_BL_dom # Grupo: intra_p_usuarios #http_access allow intra_p_usuarios destino_ip !default_BL_dom #http_access allow intra_p_usuarios limite_cx !default_BL_dom #http_access allow intra_p_usuarios BL_dom !default_BL_dom #http_access allow intra_p_usuarios youtube #http_access allow intra_p_usuarios gmail #http_access allow intra_p_usuarios yahoo #http_access allow intra_p_usuarios ext_audio !default_BL_dom #http_access allow intra_p_usuarios ext_video !default_BL_dom #http_access allow intra_p_usuarios ext_imagen !default_BL_dom #http_access allow intra_p_usuarios ext_compresion working_hours1 !default_BL_dom #http_access allow intra_p_usuarios ext_compresion socialnet_hours1 !default_BL_dom #http_access allow intra_p_usuarios ext_compresion working_hours2 !default_BL_dom #http_access allow intra_p_usuarios ext_compresion socialnet_hours2 !default_BL_dom #http_access allow intra_p_usuarios ext_programa working_hours1 !default_BL_dom #http_access allow intra_p_usuarios ext_programa socialnet_hours1 !default_BL_dom #http_access allow intra_p_usuarios ext_programa working_hours2 !default_BL_dom #http_access allow intra_p_usuarios ext_programa socialnet_hours2 !default_BL_dom #http_access allow intra_p_usuarios exp_pornografica #http_access allow intra_p_usuarios streaming_audio !default_BL_dom #http_access allow intra_p_usuarios streaming_video !default_BL_dom # http_access#138 http_access allow auth_ana inter_sites_ana !default_BL_dom # http_access#139 http_access allow auth_bob inter_sites_bob !default_BL_dom # Usuario: proxy_hijo1 #http_access allow auth_proxy_hijo1 proxy_hijo1_ip destino_ip !default_BL_dom # http_access#140 http_access allow auth_proxy_hijo1 proxy_hijo1_ip limite_cx !default_BL_dom # http_access#141 http_access allow auth_proxy_hijo1 proxy_hijo1_ip BL_dom !default_BL_dom # http_access#142 http_access allow auth_proxy_hijo1 proxy_hijo1_ip youtube # http_access#143 http_access allow auth_proxy_hijo1 proxy_hijo1_ip gmail # http_access#144 http_access allow auth_proxy_hijo1 proxy_hijo1_ip yahoo # http_access#145 http_access allow auth_proxy_hijo1 proxy_hijo1_ip ext_audio !default_BL_dom # http_access#146 http_access allow auth_proxy_hijo1 proxy_hijo1_ip ext_video !default_BL_dom # http_access#147 http_access allow auth_proxy_hijo1 proxy_hijo1_ip ext_imagen !default_BL_dom # http_access#148 http_access allow auth_proxy_hijo1 proxy_hijo1_ip ext_compresion !default_BL_dom # http_access#149 http_access allow auth_proxy_hijo1 proxy_hijo1_ip ext_programa !default_BL_dom #http_access allow auth_proxy_hijo1 proxy_hijo1_ip exp_pornografica # http_access#150 http_access allow auth_proxy_hijo1 proxy_hijo1_ip streaming_audio !default_BL_dom # http_access#151 http_access allow auth_proxy_hijo1 proxy_hijo1_ip streaming_video !default_BL_dom #===================================================================== # 7.3. DENEGATIVAS GENERALES: #===================================================================== # NOTA: #--------------------------------------------------------------------- # Estas son reglas de denegacion general que no necesariamente son las reglas por defecto, pero que si son # para todos, bajo ciertas condiciones. Lo que se deniegue aqui, puede que sean conexiones "sucias" que # no matchearon con ninguna de las reglas de denegacion u autorizacion especifica anteriores, pero que no # cumplen con ciertas condiciones. #--------------------------------------------------------------------- # Denegando lo que no pertenezca a la red local: # http_access#152 http_access deny !localnet # Denegando acceso a la lista negra por defecto: # http_access#153 http_access deny default_BL_dom # Denegando acceso a internet para los usuarios de intranet que no son privilegiados: # http_access#154 http_access deny intra_f_usuarios !cu # http_access#155 http_access deny intra_r_usuarios !cu # Denegando acceso a Youtube: (no podran acceder quienes no se permitieron anteriormente) # http_access#156 http_access deny youtube # Denegando acceso a streaming de audio y video: (no podran acceder quienes no se permitieron anteriormente) # http_access#157 http_access deny streaming_audio # http_access#158 http_access deny streaming_video # Denegando los accesos HTTPS que no sean por los puertos SSL autorizados: # http_access#159 http_access deny CONNECT !SSL_ports # http_access#160 http_access deny POST !SSL_ports # Denegando los accesos HTTP que no sean por los puertos autorizados: # http_access#161 http_access deny !Safe_ports #===================================================================== # 7.5. PERMISIVAS GENERALES: #===================================================================== # NOTA: #--------------------------------------------------------------------- # Estas son reglas de autorizacion general que no necesariamente son las reglas por defecto, pero que si son # para todos, bajo ciertas condiciones. Lo que se permita aqui, se supone que sean conexiones "limpias" que # no matchearon con ninguna de las reglas anteriores. # Lo que no fue denegado o aceptado anteriomente de manera especifica o general, debe poder salir a internet, # siempre y cuando sean conexiones "limpias". #--------------------------------------------------------------------- # Permitiendo acceso a los usuarios autenticados: # http_access#162 http_access allow inter_f_redes # http_access#163 http_access allow inter_f_informatica # http_access#164 http_access allow inter_f_directores # http_access#165 http_access allow inter_f_directivos # http_access#166 http_access allow inter_f_cominst # http_access#167 http_access allow inter_r_usuarios # http_access#168 http_access allow intra_f_usuarios # http_access#169 http_access allow intra_r_usuarios #===================================================================== # 7.6. POR DEFECTO: #===================================================================== # NOTA: #--------------------------------------------------------------------- # Estas son reglas de denegacion/autorizacion por defecto matchearan si y solo si, la entrada no coincide con # ninguna de las reglas anteriores. Es de buena practica denegar todo al final para los "http_access". #--------------------------------------------------------------------- # Politica por defecto del proxy: # http_access#170 http_access deny all # Otros accesos: http_reply_access allow all icp_access allow all # Referentes al proxy padre: always_direct deny all # Squid siempre reeviara las peticiones directamente a los servidores de origen. No se envian al proxy padre. #never_direct allow all # Siempre usar el proxy padre para reenviar las peticiones de este proxy. No se permiten las conexiones directas del proxy. #===================================================================== # 7.7. RETARDO: #===================================================================== # NOTA: #--------------------------------------------------------------------- # Estas son reglas propias de "DELAY POOLS". #--------------------------------------------------------------------- # delay_access pool_ID <acl_name> # Delay Pools sin usar grupos de Kerberos o LDAP (usando ACLs rapidas) # NOTA: #--------------------------------------------------------------------- # Se usan grupos mapeados en ficheros de ".txt", los cuales contienen los miembros de cada grupo. # Los nombres de estos grupos tienen una etiqueta "bw" que los diferencian de los nombres de reales # de estos grupos, que se encuentran en el AD. #--------------------------------------------------------------------- # Se aplica la politica para el "Pool 1", bajo las siguientes condiciones: delay_access 1 allow inter_f_redes_bw working_hours1 delay_access 1 allow inter_f_redes_bw socialnet_hours1 delay_access 1 allow inter_f_redes_bw working_hours2 delay_access 1 allow inter_f_redes_bw socialnet_hours2 # Politica por defecto para el "Pool 1" (si matchea no se aplica limitacion del BW): delay_access 1 deny all # Se aplica la politica para el "Pool 2", bajo las siguientes condiciones: delay_access 2 allow inter_f_informatica_bw working_hours1 delay_access 2 allow inter_f_informatica_bw socialnet_hours1 delay_access 2 allow inter_f_informatica_bw working_hours2 delay_access 2 allow inter_f_informatica_bw socialnet_hours2 # Politica por defecto para el "Pool 2" (si matchea no se aplica limitacion del BW): delay_access 2 deny all # Se aplica la politica para el "Pool 3", bajo las siguientes condiciones: delay_access 3 allow inter_f_directores_bw working_hours1 delay_access 3 allow inter_f_directores_bw socialnet_hours1 delay_access 3 allow inter_f_directores_bw working_hours2 delay_access 3 allow inter_f_directores_bw socialnet_hours2 # Politica por defecto para el "Pool 3" (si matchea no se aplica limitacion del BW): delay_access 3 deny all # Se aplica la politica para el "Pool 4", bajo las siguientes condiciones: delay_access 4 allow inter_f_directores_bw off_working_hours1 delay_access 4 allow inter_f_directores_bw off_working_hours2 delay_access 4 allow inter_f_directores_bw weekend # Politica por defecto para el "Pool 4" (si matchea no se aplica limitacion del BW): delay_access 4 deny all # Se aplica la politica para el "Pool 5", bajo las siguientes condiciones: delay_access 5 allow inter_f_directivos_bw working_hours1 delay_access 5 allow inter_f_directivos_bw socialnet_hours1 delay_access 5 allow inter_f_directivos_bw working_hours2 delay_access 5 allow inter_f_directivos_bw socialnet_hours2 # Politica por defecto para el "Pool 5" (si matchea no se aplica limitacion del BW): delay_access 5 deny all # Se aplica la politica para el "Pool 6", bajo las siguientes condiciones: delay_access 6 allow inter_f_directivos_bw off_working_hours1 delay_access 6 allow inter_f_directivos_bw off_working_hours2 delay_access 6 allow inter_f_directivos_bw weekend # Politica por defecto para el "Pool 6" (si matchea no se aplica limitacion del BW): delay_access 6 deny all # Se aplica la politica para el "Pool 7", bajo las siguientes condiciones: delay_access 7 allow inter_f_directivos_bw working_hours1 delay_access 7 allow inter_f_directivos_bw socialnet_hours1 delay_access 7 allow inter_f_directivos_bw working_hours2 delay_access 7 allow inter_f_directivos_bw socialnet_hours2 # Politica por defecto para el "Pool 7" (si matchea no se aplica limitacion del BW): delay_access 7 deny all # Se aplica la politica para el "Pool 8", bajo las siguientes condiciones: delay_access 8 allow inter_f_cominst_bw off_working_hours1 delay_access 8 allow inter_f_cominst_bw off_working_hours2 delay_access 8 allow inter_f_cominst_bw weekend # Politica por defecto para el "Pool 8" (si matchea no se aplica limitacion del BW): delay_access 8 deny all # Se aplica la politica para el "Pool 9", bajo las siguientes condiciones: delay_access 9 allow inter_yt_usuarios_bw youtube working_hours1 delay_access 9 allow inter_yt_usuarios_bw youtube socialnet_hours1 delay_access 9 allow inter_yt_usuarios_bw youtube working_hours2 delay_access 9 allow inter_yt_usuarios_bw youtube socialnet_hours2 # Politica por defecto para el "Pool 9" (si matchea no se aplica limitacion del BW): delay_access 9 deny all # Se aplica la politica para el "Pool 10", bajo las siguientes condiciones: delay_access 10 allow proxy_hijo1_bw # Politica por defecto para el "Pool 10" (si matchea no se aplica limitacion del BW): delay_access 10 deny all #===================================================================== # 7.8. DESENCRIPTACION DE HTTPS: #===================================================================== # NOTA: #--------------------------------------------------------------------- # Estas son reglas de propias del "SSL BUMP". # Nomenclatura anterior: # client-first -> peek # none -> splice # server-first -> bump #--------------------------------------------------------------------- sslcrtd_program /usr/lib/squid/security_file_certgen -s /var/lib/squid/ssl_db -M 10MB sslcrtd_children 5 # Se desea desencriptar todas las conexiones TLS, excepto aquellas de "localhost" y las que van a la lista blanca "no_bump_sites": ssl_bump splice localhost # Se deniega el SSL BUMP a conexiones de confianza que sean hacia localhost ssl_bump peek step1 all # En el paso 1 se hace un "peeking" a la solicitud TLS del cliente para buscar el SNI, que indica el nombre real del servidor al que intenta conectarse ssl_bump peek step2 no_bump_sites # En el paso 2 se hace un "peeking" en el certificado del servidor. # # (un peek en el paso 2 da la posibilidad de hacer un "splicing" en el paso 3 y luego la posibilidad de hacer un "bump") ssl_bump splice step3 no_bump_sites # En el paso 3 se hace un "splicing" (se evita el SSL BUMP) a las conexiones que coincidan con la lista blanca ssl_bump bump all # Se golpean todas las demas conexiones SSL (se hace el SSL BUMP) #=====================================================================
NOTA: Para una mayor eficiencia del propio Squid a la hora de leer cada una de las líneas de su configuración, se recomienda hacerle una salva al fichero de configuración anterior y en el nuevo fichero pegar solo las líneas sin los comentarios. El fichero comentado es necesario para facilitar la gestión, pero relentece al propio Squid, por lo que los cambios realizados en el fichero comentado, se han de hacer también en el fichero que no los tiene.
Creamos los directorios de para las reglas de Squid:
cd /etc/squid mkdir -p reglas/retardo \ reglas/contenido \ reglas/dominios \ reglas/ssl_bump
Si se usa “Delay Pools” con mapeo de usuarios por fichero de textos, se deben crear dichos ficheros a conveniencia, adaptando a cada red. A continuación, se presentan ejemplos particulares de esta configuración:
cd reglas/retardo touch inter_f_redes_bw.txt \ inter_f_informatica_bw.txt \ inter_f_directores_bw.txt \ inter_f_directivos_bw.txt \ inter_f_cominst_bw.txt \ intra_f_usuarios_bw.txt \ intra_r_usuarios_bw.txt \ inter_yt_usuarios_bw.txt \ intra_p_usuarios_bw.txt \ proxy_hijo1_bw.txt cd ../../
Los ficheros anteriores se llenan con los nombres de usuarios que le corresponden a cada grupo. Se excluyen en este caso al grupo mayoritario “inter_r_usuarios”. Estos ficheros no pueden estar vacíos.
Para el caso del filtrado de contenido, creamos el fichero que contendrá las expresiones pornográficas:
nano /etc/squid/reglas/contenido/exp_pornografica.txt
Agregamos las siguientes:
nude penis vagina hooter horny kamasutra boobs busty hardcore porn porno sex sexy xxx xxx+ hentai adult naked anal
Para el caso de los dominios, generalmente para las “blacklists”, descargamos las listas personalizadas, del siguiente enlace:
cd reglas/dominios wget https://www.shallalist.de/Downloads/shallalist.tar.gz unzip *
Las listas negras anteriores fueron descargadas de sus sitios oficiales, luego fueron editadas para ser adaptadas a nuestro ejemplo. Esta edición se basó en la eliminación de subdominios de los dominios que se encontraban en las propias listas, pues generaba conflicto con la manera que se están filtrando las listas negras en nuestro ejemplo. Esto se debe a que estas listas fueron editadas por un script, que toma todos los dominios y les pone un “.” delante, indicándole a Squid que se va a filtrar tanto el dominio como los subdominios de dicho caso.
Estas bases estaban pensadas originalmente para cuando Squid aún usaba la antigua definición de “dstdomain”. Ahora basta con ubicar un punto delante del dominio y esto significará que la regla coincidirá con ese dominio y los subdominios que se deriven de éste, por ejemplo: “.youtube.com” incluye a “www.youtube.com” y “youtube.com”.
Si se desea hacer este procedimiento manualmente, de bajar las listas del sitio oficial y reacomodar su contenido, a través del script, debe seguir el siguiente procedimiento:
NOTA: El objetivo del script es ubicar, por tanto, un punto delante de cada dominio, ya que, si esto no se hace, no funcionará nuestra base de las “blacklists”. Este script no toma en cuenta las direcciones IP de las blacklists, y dichas direcciones dejarán de ser funcionales, sólo se consideran los dominios por sus nombres.
Creamos el directorio del script:
mkdir -p /config/scripts
Creamos el fichero que contendrá al script1:
nano /config/scripts/dot.domain.sh1
Agregamos lo siguiente:
#!/bin/sh touch /config/scripts/$1-total.var dominio_dir="/config/scripts/" dominios="/config/scripts/$1" total=`cat /config/scripts/$1-total.var` clear cd $dominio_dir echo -n "Total de dominios : " wc -l $dominios | cut -d " " -f 1 > /config/scripts/$1-total.var wc -l $dominios | cut -d " " -f 1 /config/scripts/dot.domain.sh2 $1
Creamos el fichero que contendrá al script2:
nano /config/scripts/dot.domain.sh2
Agregamos lo siguiente:
#!/bin/sh touch /config/scripts/$1-copy dominio_dir="/config/scripts/" dominios="/config/scripts/$1" total=`cat /config/scripts/$1-total.var` clear cd $dominio_dir echo -n "Total de dominios : " wc -l $dominios | cut -d " " -f 1 i=1 while [ $i -le $total ]; do echo "." > /config/scripts/dominios.var1 sed -i 1d $dominios var1=`cat /config/scripts/dominios.var1` var3=`head -n1 $dominios` var4="/config/scripts/$1-copy" echo "$var1$var3" >> $var4 echo "ciclo $i" i=$(( $i + 1 )) done sed '$d' /config/scripts/$1-copy > /config/scripts/$1.txt rm /config/scripts/$1-copy rm /config/scripts/$1 rm /config/scripts/$1-total.var rm /config/scripts/dominios.var1
Damos el permiso de ejecución:
chmod +x /config/scripts/dot.domain.sh1 chmod +x /config/scripts/dot.domain.sh2
Creamos un enlace simbólico con el directorio «/bin», para que pueda ejecutarse como comando del sistema:
ln -s /config/scripts/dot.domain.sh1 /bin/dot.domain
Ejecutamos el script con la siguiente sintaxis:
dot.domain [nombre_blacklist]
Hacer esto para cada una de las listas que hace referencia a dominios y ubicarlas en el directorio “/etc/squid/reglas/dominios/”. El script borra la lista original y la reemplaza por la lista modificada en el directorio del script, no el de Squid.
En cuanto al SSL Bump, creamos un fichero para los dominios que no se quieren desencriptar:
nano /etc/squid/reglas/ssl_bump/no_bump_sites.txt
En este caso solo se agregará el dominio de intranet, pudiéndose agregar más en otro momento:
.cu
NOTA: Si se va a hacer uso del SSL Bump, recuerde hacer los pasos explicados en su sección, aplicándolos a este ejemplo:
Creamos los directorios para la cache de Squid:
squid -z
Presionamos “ENTER”, si no devuelve nada, lo cual indica que no hay errores.
Iniciamos Squid:
service squid start
Comprobamos que no haya errores de sintaxis en la configuración de Squid:
squid -k check
Si el comando anterior no devuelve nada, es porque la configuración no tiene errores.
Una vez accedamos al proxy a través del navegador, si verificamos el estado del servicio, deberá mostrarse como sigue:
● squid.service - LSB: Squid HTTP Proxy version 5.0.2 Loaded: loaded (/etc/init.d/squid; generated) Active: active (running) since Wed 2020-06-03 08:21:22 EST; 12min ago Docs: man:systemd-sysv-generator(8) Process: 20915 ExecStart=/etc/init.d/squid start (code=exited, status=0/SUCCESS) Tasks: 21 (limit: 4701) Memory: 167.0M CGroup: /system.slice/squid.service ├─20924 /usr/sbin/squid -YC -f /etc/squid/squid.conf ├─20926 (squid-1) --kid squid-1 -YC -f /etc/squid/squid.conf ├─20927 (security_file_certgen) -s /var/lib/squid/ssl_db -M 10MB ├─20928 (security_file_certgen) -s /var/lib/squid/ssl_db -M 10MB ├─20929 (security_file_certgen) -s /var/lib/squid/ssl_db -M 10MB ├─20930 (security_file_certgen) -s /var/lib/squid/ssl_db -M 10MB ├─20931 (security_file_certgen) -s /var/lib/squid/ssl_db -M 10MB ├─20932 (ext_kerberos_ldap_group_acl) -a -D EMPRESA.MIDOMINIO.CU ├─20933 (ext_kerberos_ldap_group_acl) -a -D EMPRESA.MIDOMINIO.CU ├─20934 (ext_kerberos_ldap_group_acl) -a -D EMPRESA.MIDOMINIO.CU ├─20935 (ext_kerberos_ldap_group_acl) -a -D EMPRESA.MIDOMINIO.CU ├─20936 (ext_kerberos_ldap_group_acl) -a -D EMPRESA.MIDOMINIO.CU ├─20937 (ext_kerberos_ldap_group_acl) -a -D EMPRESA.MIDOMINIO.CU ├─20938 (ext_kerberos_ldap_group_acl) -a -D EMPRESA.MIDOMINIO.CU ├─20939 (ext_kerberos_ldap_group_acl) -a -D EMPRESA.MIDOMINIO.CU ├─20940 (ext_kerberos_ldap_group_acl) -a -D EMPRESA.MIDOMINIO.CU ├─20941 (ext_kerberos_ldap_group_acl) -a -D EMPRESA.MIDOMINIO.CU ├─20942 (unlinkd) ├─20954 (negotiate_kerberos_auth) -r -s HTTP/[email protected] ├─20955 (negotiate_kerberos_auth) -r -s HTTP/[email protected] └─20956 (negotiate_kerberos_auth) -r -s HTTP/[email protected] jun 03 08:23:03 proxysquid (ext_kerberos_ldap_group_acl)[20934]: GSSAPI client step 1 jun 03 08:23:03 proxysquid (ext_kerberos_ldap_group_acl)[20934]: GSSAPI client step 1 jun 03 08:23:03 proxysquid (ext_kerberos_ldap_group_acl)[20934]: GSSAPI client step 1 jun 03 08:23:03 proxysquid (ext_kerberos_ldap_group_acl)[20935]: GSSAPI client step 1 jun 03 08:23:03 proxysquid (ext_kerberos_ldap_group_acl)[20934]: GSSAPI client step 2 jun 03 08:23:03 proxysquid (ext_kerberos_ldap_group_acl)[20935]: GSSAPI client step 2 jun 03 08:23:05 proxysquid (ext_kerberos_ldap_group_acl)[20932]: GSSAPI client step 1 jun 03 08:23:05 proxysquid (ext_kerberos_ldap_group_acl)[20932]: GSSAPI client step 1 jun 03 08:23:05 proxysquid (ext_kerberos_ldap_group_acl)[20932]: GSSAPI client step 1 jun 03 08:23:05 proxysquid (ext_kerberos_ldap_group_acl)[20932]: GSSAPI client step 2
NOTA: El navegador debe tener configurado el proxy apuntando al hostname para el cual fue configurado en el DNS. No funciona por IP.
Referencias Bibliográficas
- SysAdmins de Cuba: https://www.sysadminsdecuba.com/2019/08/guia-para-la-implementacion-de-servicios-integrados-a-samba4-como-active-directory-domain-controller-ad-dc-en-debian-9-AdminLinux: 10-parte-6/. Yoel Torres, 17 de agosto de 2019.
- Blog AdminLinux: https://admlinux.cubava.cu/2019/02/14/squid-samba4-parte-1/. Leslie “Koratsuki”, 14 de febrero de 2019.
- Squid Documentation: http://www3.us.squid-cache.org/Versions/v3/3.2/manuals/ext_kerberos_ldap_group_acl.html. Markus Moeller.
- Documentación de Squid: http://www.squid-cache.org/Doc/config/acl/.
- Blog Debian Paso a Paso. Ariel Álvarez Gutiérrez.
- Alcance libre: http://www.alcancelibre.org/staticpages/index.php/Squid-delay-pools. Jaime M. Tan Nozaw, 12 de febrero de 2009
Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/105.0.0.0 Safari/537.36
deberías hacer otra parte explicando qos. gracias
Mozilla/5.0 (Linux; Android 8.0.0; LDN-LX2) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/80.0.3987.132 Mobile Safari/537.36
Cuando squid analiza las blacklist da un error, al. Parecer porque el fichero con los los dominios es muy grande. Habrá alguna solución para eso. Salufos
Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:83.0) Gecko/20100101 Firefox/83.0
Que pasa con la autenticacion en las maquinas que no forman parte del dominio y usas en el quid negotiate_kerberos_auth?
Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:84.0) Gecko/20100101 Firefox/84.0
se autentican por LDAP, como mecanismo de autenticacion secundario
Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:85.0) Gecko/20100101 Firefox/85.0
Saludos.
Respecto a la autenticación de SQUID con LDAP, al no estar las PC en el Dominio, las contraseñas viajan en texto plano, desde el cliente hacia el proxy desventaja que cualquier sniffer de red pudiera utilizar para apoderarse de las credenciales de los usuarios.
Cómo se podría resolver esto
Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:84.0) Gecko/20100101 Firefox/84.0
usar LDAPS
Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:83.0) Gecko/20100101 Firefox/83.0
Tranquilos que se viene un cambio en el tuto y su explicacion. Tiempo no hay mucho y esto lo ateindo yo solo. Ya se les responderan sus dudas y se modificara el tuto
Warning: Undefined array key 1 in /var/www/html/sysadminsdecuba/wp-content/plugins/wp-useragent/wp-useragent-detect-os.php on line 668
Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:80.0) Gecko/20100101 Firefox/80.0
Hola, que sucede con las respuestas a los comentarios? Veo que las dudas de: humberto kindelan no han tenido respuesta y la verdad sería útil, pues el tema del uso de estos scripts para editar todas lineas de los ficheros en cada una de las categorias del shallalist, a mi tampoco me funciona! Alguna ayuda al respecto??
Mozilla/5.0 (Windows NT 6.1; Win64; x64; rv:81.0) Gecko/20100101 Firefox/81.0
Muy buen totorial, debo aclaras que soy nuevo en todo esto de linux, que los distintos
servicios que he montado en este SO ha sido a traves de videos y manuales desde
Internet, dentro de ellos este de squid ha sido el mas completo y abarcador
Algo como esto es lo que andaba buscando para montar Squid de verdad, solo tengo que
adaptar el tutorial a mis necesidades, solo quiero señalar algunas cosas
* En los scripts la variable es dominio_dir o dominios_dir, lo declaras de una forma
lo llamas de otras
* La carpeta /config/scripts/ cuelga de la raiz o de /etc/squid/reglas/dominios
* Cuando le pasas el parametro de la BL a modificar es la generica que las contiene
a todas (ej la de shallalist o porn dentro de shallalist), es decir, una por una
dentro de cada categoria
* No pusiste los enlaces de descarga de blacklist ni de shallalist
Por lo demas todo OK
1 S@lu2
Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:83.0) Gecko/20100101 Firefox/83.0
Estamos trabajando en la config. El script se va a eliminar, pues incurre en errores de inicio para Squid, que para evitarlo, habria que editar las listas y son muchos dominios…miles. Pronto publicaremos una actualizacion.
Se incluiran los enlaces de descarga de las blacklists.
SL2
Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:84.0) Gecko/20100101 Firefox/84.0
Ultima version del tutorial:
https://www.mediafire.com/file/8kz69z94ckkqra5/Servicio_de_proxy_Squid_en_redes_empresariales_%2528v4.6%2529.docx/file
Mozilla/5.0 (Linux; Android 8.0.0; FIG-LX2) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/84.0.4147.125 Mobile Safari/537.36
Putorial con todas las de la ley la verdad. Control por mac que lo piden mucho como sería
Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/85.0.4183.102 Safari/537.36
Muy bueno, voy a implementarlo cuando monte el nuevo. Saludos
Mozilla/5.0 (Windows NT 6.3; Win64; x64; rv:80.0) Gecko/20100101 Firefox/80.0
Saludos. Te quedó pájaro, pájaro, pájaro.
Me gustó.
XD