Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Squid y Las Listas de Control de Acceso ACL PDF
Squid y Las Listas de Control de Acceso ACL PDF
En este tutorial sobre listas de control de acceso en squid, aprenderás lo básico de como
configurarlas y establecerlas en la configuración de squid. Este manual asume que ya tienes
un servidor squid funcionando adecuadamente, asi que no entraré en detalles sobre la
configuración de squid como un servidor proxy y sus múltiples características de control
que permite. (Espero en un futuro no lejano escribir un artículo al respecto)
Se supone que los usuarios de cada equipo son los únicos que usan su PC, nadie más la usa,
asi que todo lo que suceda en una PC es responsabilidad del usuario al que esta asignada,
por esta razón solo usaremos la autentificación de usuarios en la PC 192.168.10.23 que la
comparten dos usuarios. Y solo en este equipo el navegador cada vez que lo abran pedirá
usuario y contraseña.
archivo: EQUIPOS_01
# acceso total
192.168.10.10
192.168.10.11
archivo: EQUIPOS_02
# ACCESO CONTROLADO A INTERNET SIN LIMITACIÓN DE HORARIO
192.168.10.12
192.168.10.13
192.168.10.14
192.168.10.15
archivo: EQUIPOS_03
# USUARIOS CON ACCESO CONTROLADO A INTERNET EN HORARIO DE 9:00 A 11:00
LUNES A VIERNES
192.168.10.16
192.168.10.17
192.168.10.18
192.168.10.19
archivo: EQUIPOS_04
# USUARIOS CON ACCESO TOTAL SIN NINGUNA LIMITACIÓN DE DESCARGAS Y HORARIO
# PERO SOLO A CIERTOS SITIOS
192.168.10.20
192.168.10.21
192.168.10.22
archivo: EQUIPOS_05
# EQUIPOS CON ACCESO CONTROLADO A INTERNET SIN LIMITACIÓN DE HORARIO
# CON AUTENTIFICACIÓN DE USUARIOS
192.168.10.23
archivo: EQUIPOS_06
# USUARIOS BLOQUEADOS, NO PUEDEN USAR INTERNET
192.168.10.25
192.168.10.26
archivo: EXTENSIONES
# la siguiente lista son extensiones de archivos prohibidos para su
descarga
# cualquier otro archivo que su extensión no este en este archivo podrá
ser
# descargado: .jpg, .gif, .png, .swf, .xls, .doc, .ppt, .pps, .pdf, etc.
# esta lista aplica con: EQUIPOS_02, EQUIPOS_03 Y EQUIPOS_05
\.avi$
\.mp4$
\.mp3$
\.exe$
\.mov$
\.wma$
\.rpm$
\.tar$
\.bat$
\.pif$
\.zip$
\.rar$
\.gz$
\.msi$
\.wmv$
\.mpeg$
\.scr$
\.wav$
\.cab$
\.dll$
\.wmv$
\.iso$
#... AGREGA TODAS LAS EXTENSIONES QUE CONSIDERES APROPIADAS
archivo: PORNOS
# la siguiente lista contiene palabras que si se encuentran en cualquier
parte
# de la url serán bloqueados
# esta lista aplica con: EQUIPOS_02, EQUIPOS_03 Y EQUIPOS_05
sex
xxx
lesbian
gay
porn
erotic
hentai
# ... un largo etc, de todas las palabras que se te ocurran.
archivo: PROHIBIDOS
# la siguiente lista contiene palabras que si se encuentran en cualquier
parte
# de la url serán bloqueaados
# esta lista aplica con: EQUIPOS_02, EQUIPOS_03 Y EQUIPOS_05
ftp
games
juego
radio
estaciondemusica.com
# ... un largo etc, de todas las palabras que se te ocurran, o vayas
encontrando
# que tus usuarios usan.
archivo: NO_PROHIBIDOS
# la siguiente lista contiene palabras que son excepciones de la lista
PROHIBIDOS
# ejemplo: la palabra 'sex' bloqueará el url
http://www.psicologiaysexualidad.com
# que no es pornográfica, pero sin embargo contiene la cadena 'sex'.
psicologiaysexualidad
computadora
deportesexxxtremos.com
sitiodejuegos.com
archivo: SITIOS_EQUIPOS_04
# sitios que la lista de EQUIPOS_04 pueden acceder ilimitadamente
bancoimportante
banusura
pagatusimpuestos
socialseguridadpagaaqui
taxespayorjail
archivo: USUARIOS
# usuarios que puedan usar la lista en EQUIPOS_05
gerardo
fernanda
En resumen, he creado los siguientes archivos de texto que contienen las reglas o políticas
que la empresa desea aplicar:
EQUIPOS_01
EQUIPOS_02
EQUIPOS_03
EQUIPOS_04
EQUIPOS_05
EQUIPOS_06
EXTENSIONES
PORNOS
PROHIBIDOS
NO_PROHIBIDOS
SITIOS_EQUIPOS_04
USUARIOS
Nótese que los archivos llevan comentarios '#' para clarificarlo. Se creativo, aumenta todos
los comentarios que necesites, fecha, autor, explicación, a quien aplica, etc. Después de los
comentarios, muy importante, es una línea por dirección IP, o por sitio, etc.
Es importante clarificar aun más este importante paso de la creación de archivos de acuerdo
a grupos que equipos, sitios, etc. ya que todavía debemos aplicar estos archivos a las listas
de control de acceso propiamente en el archivo de configuración de squid.
EQUIPOS_01 a EQUIPOS_06 creo que se explican sin mayor problema, ya que contienen
una línea por cada PC (previamente identificada a que usuario le pertenece) que aplique. Si
en unos cuantos días o semanas,el dueño de la empresa decide hacer cambios en la forma
en que sus empleados usan el Internet, es fácil modificar los archivos respectivos. Si se
enoja con su hija (PC 192.168.10.10 y que está en la lista EQUIPOS_01) y decide
bloquearle totalmente el Internet, bastará con eliminarla de la lista EQUIPOS_01 y
agregarla a EQUIPOS_06, reiniciar squid y listo.
PORNOS y PROHIBIDOS resultan obvios. Solo entender que lo que se bloqueará son las
palabras de la lista que se encuentren en cualquier parte del url del sitio a visitar. Si
www.ejemplo.com resulta ser un sitio pornográfico, el usuario podrá perfectamente
visitarlo, ya que 'ejemplo' es una cadena que no se encuentra en la lista de PORNOS o
PROHIBIDOS. Por experiencia propia he encontrado que una lista de palabras 'porno' muy
amplia es suficiente para detener la enorme mayoría de sitios de este tipo, si lo que buscas
es un bloqueador más efectivo, entonces el proyecto squidguard te puede interesar y ser
más útil, sobre todo si por ejemplo, se trata de bloquear pornografía y otros sitios
indeseables en una escuela.