56

Finalmente migr a Linux y configur

un firewall con iptables en un Pentium
II que haca de router. El firewall
mantiene a los atacantes fuera de mi
red, y registra el trfico entrante y
saliente. Adems del firewall iptables,
tambin configur un servidor proxy
total de seguridad. Solucionar los pro-
blemas era totalmente imposible. La
configuracin del firewall quedaba a
merced de usuarios inexpertos, que
podan pulsar aleatoriamente sobre la
configuracin de seguridad como el que
juega a la ruleta rusa.
T
engo una red casera desde hace
bastantes aos. Empec con un
router usando Windows XP con
ICS (Internet Connection Sharing) y una
tarjeta Ethernet con varias interfaces de
red. Las principales desventajas eran la
inestabilidad, bajo rendimiento y falta
Implementar un proxy casero con Squid
PUERTO SEGURO PUERTO SEGURO
ADMINISTRACIN Squid
56
Nmero 14 WWW. L I NUX- MAGAZI NE. ES
Un servidor proxy proporciona una navegacin ms segura y eficiente. Aunque existen soluciones proxy
comerciales disponibles, todo lo que realmente necesitamos es Linux y un viejo PC en el desvn.
POR GEERT VAN PAMEL
Componentes Necesarios Especificaciones
Intel Pentium II CPU, o superior (Por qu no un Alpha Server sobrante?) 350 Mhz
80 - 100 MB de memoria mnimo Cuanto ms, mejor
1 ms discos duros IDE (podemos reutilizar 2 viejos discos duros: uno con 1GB del
sistema y el swap y el otro con 3GB de cach, ms el directorio /home) 4GB mnimo
2 tarjetas Ethernet, minihub, modem fast Ethernet y router wireless o hub 100 Mbit/s si es posible
CDROM, lector DVD El software se distribuye principalmente por DVD
Tabla1: Hardware recomendado
Implementar un proxy casero con Squid
056-061_Squid 05.01.2006 16:05 Uhr Pgina 56
Squid para mejorar el rendimiento de
Internet, filtrar los molestos popups y blo-
quear URLs peligrosas.
Un servidor proxy Squid filtra el trfico
Web y cachea los archivos a los que se
accede frecuentemente. Tambin limita el
uso del ancho de banda, acelera el acceso
a Web y nos permite filtrar URLs. El blo-
queo centralizado de publicidad y descar-
gas peligrosas es rentable y transparente
para el usuario final.
Squid es una implementacin completa
en software libre y de alto rendimiento de
un servidor proxy. Proporciona amplios
controles de acceso y se integra con facili-
dad con el firewall iptables. En mi caso, el
servidor proxy Squid y el firewall iptables
trabajan juntos para proteger mi red de
intrusos y HTML peligrosos. Encon-
traremos abundantes artculos acerca de
firewalls en libros, revistas y pginas Web.
(Vanse [1] y [2], por ejemplo). El servidor
proxy Squid, por otro lado, no est bien
documentado del todo, especialmente
cuando hablamos de pequeas redes
caseras como la ma. En este artculo,
vamos a mostrar cmo configurar Squid.
Comenzamos
El primer paso es encontrar el hardware
necesario. La Figura 1 muestra la configu-
racin de red del Pentium II que se ha uti-
lizado como firewall y servidor proxy. Este
sistema firewall debera operar con una
mnima intervencin humana, por lo que
tras la configuracin del sistema, se
pueden desconectar el ratn, teclado y
monitor. Puede que tengamos que ajustar
la configuracin de la BIOS para que el
ordenador pueda trabajar sin el teclado. El
objetivo es poder colocar todo el sistema
en el desvn, donde ni lo oigamos. Desde
el minihub mostrado en la Figura 1, se
pueden bajar las escaleras hasta la red
de la casa usando cable UTP estndar o
una conexin wireless. La tabla 1 muestra
el hardware recomendado para la mquina
firewall.
Suponiendo que el firewall est ya fun-
cionando, el siguiente paso es configurar
Squid. Se encuentra disponible en Internet
en [3] o en uno de los mirrors [4] como
tar.gz (compilado desde las fuentes).
Puede instalarse fcilmente usando uno de
los siguientes comandos:
En el momento de escribir estas lneas, la
versin estable de Squid es la 2.5.
Configurar Squid
Una vez que ha sido instalado, ser nece-
sario configurarlo. Squid tiene un archivo
de configuracin centralizado. Cada vez
que cambia este archivo, la configuracin
debe recargarse con el comando /sbin/
init.d/ squid reload.
Es posible editar el archivo de configu-
racin con un editor de textos. Existe una
descripcin detallada de la configuracin
en el archivo squid.conf, aunque la expli-
cacin a veces es algo tcnica y compli-
cada de entender. Esta seccin resume
algunas configuraciones importantes del
archivo squid.conf.
En primer lugar, se habr de evitar que
ciertos metadatos relacionados con la con-
figuracin lleguen al mundo exterior
cuando se navegue por la Web:
Ntese que no pueden hacerse annimos
Referer y WWW-Authenticate ya que de
lo contrario, los mecanismos de autenti-
cacin y control de acceso no fun-
cionarn.
forwarded_for off significa que la
direccin IP del servidor proxy no ser
enviada al exterior.
Con strip_query_terms on no se regis-
tran en el log los parmetros de las URL
ms all del signo ?. Cuando este
parmetro est en off, se registra la URL
completa en los archivos log de Squid.
Esta caracterstica puede ayudar a depu-
rar fallos en los filtros de Quid, pero tam-
bin puede violar las reglas de privaci-
dad.
La siguiente configuracin identifica el
host de Squid, el dominio (interno) donde
opera la mquina y el nombre de usuario
responsable del servidor. Ntese el punto
delante del dominio. Ms adelante,
encontramos el nombre del servidor local
de DNS y el nmero de nombres de
dominio a cachear en el servidor Squid.
Squid ADMINISTRACIN
rpm -i /cdrom/RedHat/RPMS/U
squid-2.4.STABLE7-4.i386.rpmU
# Red Hat 8
rpm -i /cdrom/Fedora/RPMS/U
squid-2.5.STABLE6-3.i386.rpm U
# Fedora Core 3
rpm -i /cdrom/.../U
squid-2.5.STABLE6-6.i586.rpmU
# SuSE 9.2
vi /etc/squid/squid.conf
...
anonymize_headers deny U
From Server Via User-Agent
forwarded_for off
strip_query_terms on
visible_hostname squid
append_domain .mshome.net
cache_mgr sysman
dns_nameservers 192.168.0.1
dns_testnames router.mshome.net
fqdncache_size 1024
http_port 80
icp_port 0
056-061_Squid 05.01.2006 16:06 Uhr Pgina 57
El espacio en disco se distribuye por
todos los directorios. Normalmente se
esperara una distribucin pareja a lo
largo de los directorios, pero en la prc-
tica, se acepta una cierta variacin en la
distribucin. Es posible encontrar confi-
guraciones ms complejas utilizando
mltiples discos, pero para el uso casero,
una estructura de directorios es sufi-
ciente.
Sustitucin de la Cach
El servidor proxy usa un algoritmo LRU
(Least Recently Used). Estudios detalla-
dos de HP Laboratories [6] han revelado
que un algoritmo LRU no es siempre la
opcin ms inteligente. La configuracin
GDSF mantiene pequeos objetos popu-
lares en la cach, mientras que elimina
los ms grandes y menos usados, incre-
mentando de esta manera el rendimiento
global.
Los objetos grandes requeridos una
sola vez pueden colocar fuera muchos
objetos pequeos, por lo que ser conve-
niente que limitemos el tamao mximo
de objeto para la cach:
Especificacin del Formato
de Log
Puede elegirse entre el formato de log de
Squid y el formato estndar de servidor
Web usando el parmetro
emulate_httpd_log. Cuando el parmetro
se fija a on, se usa el formato de Web. Si
se fija a off, obtendremos ms detalles
con el formato Squid. Ver [7] para mayor
informacin acerca del anlisis de
archivos log de Squid.
Jerarqua Proxy
El proxy Squid puede trabajar de manera
jerrquica. Si se desea evitar el proxy
padre para algunos destinos, se puede
habilitar una resolucin directa. El
navegador usar an nuestro proxy
local!
Algunos ISPs permiten usar su servidor
proxy para visitar sus propias pginas
Web incluso aunque no se sea cliente.
Esto puede ayudar a acelerar las visitas
a sus pginas. Cuanto ms cercano est
el proxy a las pginas originales, ms
probabilidad hay de que la pgina se
cachee. Debido a que nuestro propio
ISP es ms lejano, el ISP tender
menos a cachear los contenidos de su
competidor
http_port es el puerto usado por el servi-
dor proxy. Se puede elegir cualquiera,
siempre que la configuracin no entre en
conflicto con otros puertos de nuestro
router. Una eleccin comn es la 8080 o la
80. El puerto por defecto de Squid, el 3128,
no es especialmente fcil de recordar.
No se est usando cp_port, por lo que
lo fijamos a 0. Esta configuracin sin-
croniza los servidores proxy.
Con log_mime_hdrs on, es posible
hacer visibles las cabeceras mime en el
archivo access.log.
Evitar Bloqueos
Squid necesita guardar su cach en
algn lugar del disco duro. La cach es
un rbol de directorios. Con la opcin
cache_dir en el archivo squid.conf, se
puede especificar la configuracin con
caractersticas como las siguientes:
mecanismo de I/O del disco aufs
ubicacin de la cach en el disco
/var/cache/squid
cantidad de espacio en disco que
puede ser usado por el servidor proxy
2.5 GB
nmero de directorios principales 16
subdirectorios 256
Por ejemplo:
Las opciones para mtodos de acceso a
disco son las siguientes:
ufs acceso a disco clsico (demasiada
I/O puede ralentizar el servidor Squid)
aufs UFS asncrona con hilos, menos
riesgo de conflictos de acceso al disco
diskd demonio diskd, evita tambin
el peligro de conflicto de acceso al disco
pero usando ms memoria.
UFS es el sistema de I/O de archivos
clsico de UNIX. Se recomienda usar
aufs para evitar cuellos de botella. (Al
usar aufs, van a existir menos procesos).
Es recomendabl e mant ener l a
ubi caci n est ndar para l a cach
en /var /cache/squi d, y de al l
crear un enl ace si mbl i co al
di rect or i o real de cach. Si se
mueve a ot ro di sco por mot i vos
de rendi mi ent o o de capaci dad,
sl o ser necesar i o modi f i car el
enl ace si mbl i co.
ADMINISTRACIN Squid
58
Nmero 14 WWW. L I NUX- MAGAZI NE. ES
Figura 1: Configuracin bsica de una LAN Ethernet.
# ls -ld /var/cache/squid
lrwxrwxrwx 1 root rootU
19 Nov 22 00:42 U
/var/cache/squid -> U
/volset/cache/squid
cache_replacement_policyU
heap GDSF
memory_replacement_policyU
heap GDSF
acl direct-domain U
dstdomain .turboline.be
always_direct allow U
direct-domain
acl direct-path urlpath_regexU
-i "/etc/squid/direct-path.reg"
always_direct allow direct-path
cache_mem 20 MB
maximum_object_sizeU
16384 KB
maximum_object_sizeU
_in_memory 2048 KB
056-061_Squid 05.01.2006 16:06 Uhr Pgina 58
Para Squid, las expresiones regulares
pueden especificarse inmediatamente, o
pueden estar en un nombre de fichero
entre dobles comillas, en cuyo caso el
archivo debera contener una expresin
regex por lnea, sin lneas vacas. La -i
(ignorar maysculas) significa que se
usarn comparaciones sin diferenciacin
entre maysculas y minsculas.
Si se est configurando un sistema con
mltiples proxys, es posible especificar un
round-robin para acelerar la resolucin de
las pginas y minimizar el retraso cuando
uno de los servidores no est disponible.
Recordemos que la mayora de los naveg-
adores establecen conexiones en paralelo
para obtener todos los elementos de una
pgina. Si se usan mltiples servidores
proxy para obtener estos elementos, la
respuesta debera ser ms rpida.
Los archivos FTP se descargan normal-
mente una sola vez, por lo que general-
mente no se desear cachearlos, excepto
cuando se descarguen repetidamente. As
mismo, las pginas locales no se cachean
normalmente, debido a que ya residen en
nuestra red:
Filtrado con Squid
En las secciones precedentes se han
comentado algunas configuraciones
importantes de Squid. Tambin se ha
dicho que las listas ACL (Access Control
Lists) pueden usarse para permitir acceso
directo a las pginas sin usar el proxy
padre. En esta seccin, se examinar
cmo usar las listas ACL para un control
ms detallado al acceso a Internet.
La tabla 2 proporciona una gua para
la creacin de listas ACL. Puede ser una
buena idea permitir la navegacin WYSI-
WYG (lo-que-ves-es-lo-que-tienes). Si no
se quieren ver ciertas pginas o marcos,
se pueden bloquear automticamente las
correspondientes URLs en el servidor
proxy.
Es posible filtrar por:
dominios de cliente o servidor
subredes IP del cliente o servidor
ruta URL
URLs completas, incluyendo
parmetros
palabras clave
protocolos: HTTP, FTP
mtodos: GET, POST, HEAD, CON-
NECT
da y hora
tipo de navegador
nombre de usuario
El Listado 1 muestra ejemplos de
comandos que bloquean pginas no
deseadas.
El script del Listado 2 har invisibles
las pginas no deseadas. Cada vez que
Squid ejecuta la etiqueta deny_info,
enva el archivo /etc/squid/errors/fil-
ter_spam al navegador en lugar de a la
pgina Web filtrando efectivamente
los objetos no deseados. La marca
<!-- esconde cualquier otro mensaje
de error de Squid en el cuerpo del
texto.
Squid ADMINISTRACIN
59
Nmero 14 WWW. L I NUX- MAGAZI NE. ES
no-query significa que no usamos, o no
podemos usar, ICP (Internet Caching
Protocol), vase [8]. Puede obtenerse la
misma funcionalidad usando expre-
siones regulares, pero esto proporciona
mayor libertad.
El ACL puede incluir tambin una
expresin regular (regex para abreviar)
con la URL usando una construccin
url_regex.
el orden de las reglas es importante
primero se listan todas las reglas de
denegacin
se ejecuta la primera regla coinci-
dente
el resto de las reglas se ignora
la ltima regla debera ser permite
todo
Tabla 2:Gua para ACL
cache_peer proxy.tiscali.beU
parent 3128 3130 U
no-query default
cache_peer_domain U
proxy.tiscali.be .tiscali.be
cache_peer 80.200.248.199 U
parent 8080 7 U
no-query round-robin
cache_peer 80.200.248.200 U
parent 8080 7 U
no-query round-robin
...
cache_peer 80.200.248.207U
parent 8080 7 U
no-query round-robin
acl FTP proto FTP
always_direct allow FTP
acl local-domain dstdomain U
.mshome.net
always_direct allow U
local-domain
acl localnet-dst dst U
192.168.0.0/24
always_direct allow U
localnet-dst
cache_peer proxy.tiscali.beU
parent 3128 3130 U
no-query default
acl tiscali-proxy U
dstdom_regex -i U
\.tiscali\.be$
cache_peer_access U
proxy.tiscali.be allow U
tiscali-proxy
01 acl block-ip dst "/etc/squid/block-ip.reg"
02 deny_info filter_spam block-ip
03 http_access deny block-ip
04
05 acl block-hosts dstdom_regex -i "/etc/squid/block-hosts.reg"
06 deny_info filter_spam block-hosts
07 http_access deny block-hosts
08
09 acl noblock-url url_regex -i "/etc/squid/noblock-url.reg"
10 http_access allow noblock-url Safe_ports
11
12 block-path urlpath_regex -i "/etc/squid/block-path.reg"
13 deny_info filter_spam block-path
14 http_access deny block-path
15
16 acl block-url url_regex -i "/etc/squid/block-url.reg"
17 deny_info filter_spam block-url
18 http_access deny block-url
Listado 1: Bloqueando pginas no buscadas
056-061_Squid 05.01.2006 16:06 Uhr Pgina 59
Squid tambin permite filtrar por
expresiones regulares usadas en la URL.
Por supuesto, nuestro filtro puede
ocasionalmente provocar un falso posi-
tivo. Pueden aadirse expresiones regu-
lares para las URL que especficamente
no queramos bloquear en
/etc/squid/noblock-url.reg.
Proteger los Puertos
Por razones de seguridad, se
deberan deshabilitar todos los puertos
y habilitar slo los puertos Web usando
la sintaxis mostrada en en Listado 5.
Lo mismo puede hacerse con los
puertos con conexin. Pueden habili-
tarse los puertos SSL cuando se est
conectado, y denegarlo en otro caso. Es
importante recordar que el protocolo
normal HTTP es sin conexin. El
cliente y el navegador establecen una
nueva conexin para cada pgina visi-
tada.
Debe impedirse que desconocidos hagan
mal uso de nuestra cach! Se desea que
slo se use en la propia intranet. Los
usuarios externos en Internet no
deberan poder acceder a nuestra cach:
Habilitando al Resto
Para habilitar nicamente los
protocolos y mtodos que se deseen:
La ltima regla debera permitirlo
todo, ya que la regla anterior era una
prohibicin
No debemos olvidar reiniciar el servi-
dor Squid cada vez que cambiemos los
parmetros, tecleando el siguiente
comando:
Para SuSE el directorio /sbin/init.d es
estndar. Para Fedora, se crear un
enlace simblico:
cd /sbin
ln -s /etc/init.d
Una vez que se haya finalizado la con-
figuracin, se usar setup (Fedora),
yast2 (SuSE) o una herramienta equi-
valente para activar el servicio Squid.
Tras recargar, si algo no funciona
como se esperaba, puede buscare la
razn en el archivo log en
var/log/squid/cache.log.
Squid nos permite bloquear con-
tenidos por subred IP. Por ejemplo, se
pueden bloquear pginas con contenido
sexual explcito. Pueden usarse whois
[9] para ayudarnos a identificar las sub-
redes y luego aadir las subredes al
archivo /etc/squid/block-ip.reg:
Para bloquear anuncios o pginas con
contenido sexual por el nombre de
dominio, es posible listar expresiones
regulares describiendo las pginas en el
archivo /etc/squid/block-hosts.reg,
como se muestra en el Listado 3.
Tambin puede ser una buena idea
bloquear ciertos tipos de archivos. Por
ejemplo, puede que no queramos per-
mitir los archivos .exe, dado que a veces
son archivos zip ejecutables que insta-
lan software. Squid permite bloquear
archivos por ruta, nombre de archivo o
extensin del archivo, tal y como se
muestra en el Listado 4.
ADMINISTRACIN Squid
60
Nmero 14 WWW. L I NUX- MAGAZI NE. ES
01 vi /etc/squid/block-hosts.reg
02 ...
03 ^a\.
04 ^ad\.
05 ^adfarm\.
06 ^ads\.
07 ^ads1\.
08 ^al\.
09 ^as\.
10 \.msads\.net$
11 ^ss\.
12 ^sa\.
13 ^sc\.
14 ^sm6\.
15 ^tracking\.
16 adserver.adtech.de
17
18 \.belstat\.be$
19 \.doubleclick\.net$
20 \.insites\.be$
21 ^metrics\.
22 \.metriweb\...$
23 \.metriweb\....$
24
25 \.playboy\.com$
26 \.hln\.be$
27 side6
28 www.whitehouse.com
Listado 3:Bloqueo por Nombre de Dominio
vi /etc/squid/noblock-url.reg
...
^http://ads\.com\.com/
acl SSL_ports port 443 563
acl SSL_ports port 1863 U
# Microsoft Messenger
acl SSL_ports port 6346-6353 U
# Limewire
http_access allow U
CONNECT SSL_ports
http_access deny U
CONNECT
acl localhost src U
127.0.0.1/255.255.255.255
acl localnet-src src U
192.168.0.0/24
http_access deny !localnet-src
acl allow-proto proto HTTP
http_access deny !allow-proto
acl allow-method U
method GET POST
http_access deny U
!allow-method
http_access allow all
/sbin/init.d/squid reload
01 vi
/etc/squid/errors/filter_spam
02 ...
03 <script language="JavaScript"
type="text/javascript">
04 <!--
05 window.status="Filter " +
document.location;
//.pathname;
06 // -->
07 </script>
08 <noscript><plaintext><!--
Listado 2:
Hacer Invisible una Pgina
vi /etc/squid/block-ip.reg
...
64.255.160.0/19
64.57.64.0/19
64.7.192.0/19
66.115.128.0/18
66.152.64.0/19
66.230.128.0/18
056-061_Squid 05.01.2006 16:06 Uhr Pgina 60
Conclusiones
Este artculo es el resultado de una pre-
sentacin para la organizacin Belgium HP-
Interex. Las diapositivas estn disponibles
en [1], donde aparecen ms detalles acerca
de la configuracin del firewall iptables, el
router, el servidor de cacheo de DNS, el
servidor DHCP y el servidor NTP.
Si se est buscando un mejor rendimien-
to, una navegacin ms segura y una man-
era de bloquear el acceso a contenido peli-
groso, se debera intentar colocar un servi-
dor proxy en el desvn. Para los que se pre-
ocupan por el consumo: un Pentium II con-
sume unos 11 kWh/semana. Debera eval-
uarse este gasto frente a la mayor seguridad
y la disminucin de los quebraderos de
cabeza al operar nuestro propio fire-
wall con proxy Squid. I
Squid ADMINISTRACIN
61
Nmero 14 WWW. L I NUX- MAGAZI NE. ES
01 vi /etc/squid/block-path.reg
02 ...
03 \.ad[ep](\?.*)?$
04 \.ba[st](\?.*)?$
05 \.chm(\?.*)?$
06 \.cmd(\?.*)?$
07 \.com(\?.*)?$
08 \.cpl(\?.*)?$
09 \.crt(\?.*)?$
10 \.dbx(\?.*)?$
11 \.hlp(\?.*)?$
12 \.hta(\?.*)?$
13 \.in[fs](\?.*)?$
14 \.isp(\?.*)?$
15 \.lnk(\?.*)?$
16 \.md[abetwz](\?.*)?
17 \.ms[cpt](\?.*)?$
18 \.nch(\?.*)?$
19 \.ops(\?.*)?$
20 \.pcd(\?.*)?$
21 \.p[ir]f(\?.*)?$
22 \.reg(\?.*)?$
23 \.sc[frt](\?.*)?$
24 \.sh[bs](\?.*)?$
25 \.url(\?.*)?$
26 \.vb([e])?(\?.*)?$
27 \.vir(\?.*)?$
28 \.wm[sz](\?.*)?$
29 \.ws[cfh](\?.*)?$
Listado 4:Bloqueo por Ruta o Extensin
01 acl Safe_ports port 80 # http
02 acl Safe_ports port 21
# ftp
03 acl Safe_ports port 2020
# BeOne Radio
04 acl Safe_ports port 2002
# Servidor Local
05 acl Safe_ports port 8044
# Tiscali
06 acl Safe_ports port 8080
# Escaneo puertos Turboline
07 acl Safe_ports port 8081
# Prentice Hall
08
09 # Denegar peticiones a puertos
desconocidos
10 http_access deny !Safe_ports
Listado 5: Proteccin de
Puertos
[1] Presentacin para el grupo de usuar-
ios de HP-Interex en Belgica el 17/03/
2005, titulada Implementing a home
Router, Firewall, Proxy server, and
DNS Caching Server using Linux:
http://users.belgacombusiness. net/
linuxug/pub/router/
linux-router-firewall-proxy.zip
[2] Firewalls: http://www.linux-magazine.
com/issue/40/
Checkpoint_FW1_Firewall_Builder.pdf
http://www.linux-magazine.com/issue/
34/IPtables_Firewalling.pdf
[3] Acerca de Squid en general: http://
www.squid-cache.org http://
squid-docs.sourceforge.net/latest/
book-full.html#AEN1685 http://www.
squid-cache.org/FAQ/FAQ-10.html
[4] Servidores mirror de Squid: http://
www1.de.squid-cache.org http://
www1.fr.squid-cache.org http://
www1.nl.squid-cache.org http://
www1.uk.squid-cache.org
[5] Suse 9.2 Professional Distribucin
en DVD http://www.linux-magazine.
es/issue/07/DVD.pdf
[6] Para mayor informacin acerca de las
polticas de remplazamiento de cach
GDSF y LFUDA, vase: http://www.
hpl.hp.com/techreports/1999/
HPL-1999-69.html http://fog.hpl.
external.hp.com/techreports/98/
HPL-98-173.html
[7] Reporte y anlisis de los archivos log
de Squid: http://www.linux-magazine.
com/issue/36/Charly_Column.pdf
[8] ICP Internet Caching Protocol: http://
en.wikipedia.org/wiki/
Internet_Cache_Protocol
[9] La base de datos whois: http://www.
ripe.net/db/other-whois.html
[10] Expresiones Regulares: http://www.
python.org/doc/current/lib/
module-re.html
[11] Ejemplos de archivos de configu-
racin para Squid: http://members.
lycos.nl/geertivp/pub/squid
RECURSOS
Deberamos configurar nuestro firewall iptables de manera que bloquee todo el trfico
HTTP saliente a menos de que se use el servidor proxy. Dado que el proxy esta en la red
local, permite todas las peticiones entrantes desde los navegadores locales.
Cualquier intento de saltarse los filtros Squid se bloquea por la regla FORWARD del fire-
wall que corta el trfico HTTP saliente.
Los programas de Spyware usan generalmente el protocolo HTTP (recordatorio: puerto
80) para las conexiones salientes, pero parece que el Spyware raramente usa el proxy
(da la impresion de que los creadores de Spyware son demasiado perezosos como para
inspeccionar la configuracin). De esta manera el Spyware queda bloqueado por las
reglas del firewall.
Imposicin del Control Paterno y Bloqueo de Spyware
Geert Van Pamel ha trabajado como jefe
de proyectos en Belgacom, Blgica,
desde 1997. Miembro de DECUS desde
1985 y miembro de la directiva de
HP-Interex desde 2002. Aprendi UNIX
en un sistema PDP en 1982, y trabaja en
la actualidad con Linux en un entorno
compartido con otros servidores como
Tru64 UNIX, HP-UX, OpenVMS, Non-
Stop Tandem, SUN y NCR Teradata.
EL AUTOR
056-061_Squid 05.01.2006 16:06 Uhr Pgina 61