1. Instalación y Configuración de SQUID 2.6 ESTABLE
Versión : 1.0 Fecha: 20/03/2012 Tipo de S.O : LINUX
Instalación de SQUID.
Squid se puede obtener en el CD 2 (Binary CD) de la distribución de RedHat 7 en RPM o también se
puede obtener desde la distribución de los programas fuentes. Las fuentes pueden obtenerse de
http://www.squid-cache.org/ o puede la versión utilizada en nuestra instalación aquí.
Instalación.
- Desde RPM.
Después de copiar el programa en RPM ejecute:
# rpm -iv squid-2.3.STABLE4-1.i386.rpm
- Desde las fuentes.
Desde las fuentes, después de obtener el paquete se debe ejecutar:
# tar zxvf squid-2-6-STABLE3-src.tgz
# cd squid-2.3.STABLE3
# ./configure
# make
# make install
- Desde el terminal
Utilice lo siguiente y se instalará todo lo necesario junto con sus dependencias:
yum -y install squid httpd
- Instalación a través de up2date.
Utilice lo siguiente y se instalará todo lo necesario junto con sus dependencias:
up2date -i squid httpd
- Otros componentes necesarios.
El mandato iptables se utilizará para generar las reglas necesarias para el guión de
Enmascaramiento de IP. Se instala de modo predefinido en todas las distribuciones actuales que
utilicen núcleo (kernel) versiones 2.4 y 2.6.
Es importante tener actualizado el núcleo del sistema operativo por diversas cuestiones de
seguridad. No es recomendable utilizar versiones del kernel anteriores a la 2.4.21. Actualice el
núcleo a la versión más reciente disponible para su distribución.
yum -y update kernel iptables
2. Instalación y Configuración de SQUID 2.6 ESTABLE
Versión : 1.0 Fecha: 20/03/2012 Tipo de S.O : LINUX
Para actualizar el núcleo del sistema operativo, e iptables si acaso fuera necesario:
up2date -u kernel iptables
Configuración básica.
Squid utiliza el fichero de configuración localizado en /etc/squid/squid.conf, y podrá trabajar sobre
este utilizando su editor de texto simple preferido.
De acuerdo a las asignaciones hechas por IANA y continuadas por la ICANN desde el 21 de marzo
de 2001, los Puertos Registrados (rango desde 1024 hasta 49151) recomendados para Servidores
Intermediarios (Proxies) pueden ser el 3128 y 8080 a través de TCP.
De modo predefinido Squid utilizará el puerto 3128 para atender peticiones, sin embargo se puede
especificar que lo haga en cualquier otro puerto disponible o bien que lo haga en varios puertos
disponibles a la vez.
1. Nos dirigimos a la ruta « /etc/squid/ » donde se encontraran todos los archivos de
configuración de squid el cual el más importante es «squid.conf» que el que tiene toda la
configuración, nos procedemos a editar.
- Si estamos bajo terminal con el siguiente comando se edita el archivo:
«vim squid.conf»
- Si tenemos escritorio KDE solo es dar click derecho abrir documento.
2. Comenzamos a editar el archivo «squid.conf».
- Puerto por Defecto «http_port 3128»
- Politicas para refrescar el calle WWW
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopther: 1440 0% 1440
refresh_pattern . 0 20% 4320
- Cache men esto depende la cantidad de memoria que tenga el servidor en el caso que
tengas 2 GB el cache men será de 250 MB «cache_men 250 MB»
- Cache dir para almacenar todo el internet en el disco duro
«cache_dir ufs /var/spool/squid 8000 16 256»
3. Instalación y Configuración de SQUID 2.6 ESTABLE
Versión : 1.0 Fecha: 20/03/2012 Tipo de S.O : LINUX
- «Cache_acces_log /var/log/squid access.log »
- «Cache_log /var/log/squid/cache.log »
- «Cache_store_log /var/log/squid/store.log »
- Configuracion Minima recomendada
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
- Bloqueo del MSN
acl msn_url url_regex -i gateway.dll
acl msn_port port 1836
acl msn_method method POST
acl msn_messenger req_mime_type -i ^application/x-msn-messenger$
http_access deny msn_messenger
acl msn_url2 url_regex -i gateway.dll
http_access deny msn_method msn_url
http_access deny msn_port
- Bloqueo de GoogleTalk
acl gtalk url_regex -i mail.google.com/mail/channel/bind
acl gtalk1 url_regex -i google.com:5222
acl yahoo url_regex -i msg.yahoo.com
acl msn_url url_regex -i gateway.dll
acl msn_port port 1863
acl msn_method method POST
acl badURL-21 url_regex -i tuxela
acl badURL-20 url_regex -i msg
acl badURL-21 url_regex -i messenger
- Se crean los puertos
acl SSL_ports port 443 563 8074 8081 10038 15443 16443 18443 8343
acl Safe_ports port 81 83 80 20 21 443 263 70 210 16443 18443 1024-65535
acl Safe_ports port 280
acl Safe_ports port 488
acl Safe_ports port 591
acl Safe_ports port 443
acl Safe_ports port 777
acl blkd_port port 1863
acl CONNECT method CONNECT
4. Instalación y Configuración de SQUID 2.6 ESTABLE
Versión : 1.0 Fecha: 20/03/2012 Tipo de S.O : LINUX
- Lista de control de acceso. Se tienen que crear varios archivos de textos en la ruta
“/etc/squid” por ejemplo el archivo sistemas va a contener todas las IP del dpt de
sistemas.
acl sistemas src "/etc/squid/sistemas" #Grupo de Sistemas
acl ipAutorizados src -i "/etc/squid/autorizados" #Grupo de IP autorizadas
acl pagBloqueadas url_regex -i "/etc/squid/prohibidos" #Paginas Bloqueadas
acl pagAutorizadas url_regex -i "/etc/squid/paginasweb" #Paginas Autorizadas
acl descargas urlpath_regex -i "/etc/squid/descargas" #Descargas Bloqueadas
acl ipRestringidos src "/etc/squid/restringidos" #Grupo de IP Restringidas
acl mediodia time MTWHF 12:00-14:00
acl noche time MTWHF 17:30-18:00
cache deny QUERY
- Reglas de Control de acceso.
http_access allow sistemas
http_access deny pagBloqueadas
http_access deny descargas
http_access allow ipAutorizados
http_access deny gtalk
http_access deny gtalk1
http_access deny yahoo
http_access deny msn_url
http_access deny msn_port
http_access deny msn_method
http_access allow pagAutorizadas
http_access allow ipRestringidos mediodia
http_access deny all
- «Cache_mgr jahumada@comfamiliar.org »
- Negar puertos desconocidos, -«http_access deny !Safe_ports »
- Proxy Acelerado
Iniciando, reiniciando y añadiendo el servicio al arranque del sistema.
Una vez terminada la configuración, ejecute el siguiente mandato para iniciar por primera vez
Squid:
service squid start
Si necesita reiniciar para probar cambios hechos en la configuración, utilice lo siguiente:
service squid restart
5. Instalación y Configuración de SQUID 2.6 ESTABLE
Versión : 1.0 Fecha: 20/03/2012 Tipo de S.O : LINUX
Si desea que Squid inicie de manera automática la próxima vez que inicie el sistema, utilice lo
siguiente:
chkconfig squid on
Lo anterior habilitará a Squid en todos los niveles de corrida.
El archivo squid.conf debe quedar asi:
http_port 3128
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopther: 1440 0% 1440
refresh_pattern . 0 20% 4320
cache_men 250 MB
cache_dir ufs /var/spool/squid 8000 16 256
Cache_acces_log /var/log/squid access.log
Cache_log /var/log/squid/cache.log
Cache_store_log /var/log/squid/store.log
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
acl msn_url url_regex -i gateway.dll
acl msn_port port 1836
acl msn_method method POST
acl msn_messenger req_mime_type -i ^application/x-msn-messenger$
http_access deny msn_messenger
acl msn_url2 url_regex -i gateway.dll
http_access deny msn_method msn_url
http_access deny msn_port
acl gtalk url_regex -i mail.google.com/mail/channel/bind
acl gtalk1 url_regex -i google.com:5222
acl yahoo url_regex -i msg.yahoo.com
acl msn_url url_regex -i gateway.dll
acl msn_port port 1863
acl msn_method method POST
acl badURL-21 url_regex -i tuxela
acl badURL-20 url_regex -i msg
acl badURL-21 url_regex -i messenger
acl SSL_ports port 443 563 8074 8081 10038 15443 16443 18443 8343
acl Safe_ports port 81 83 80 20 21 443 263 70 210 16443 18443 1024-65535
acl Safe_ports port 280
6. Instalación y Configuración de SQUID 2.6 ESTABLE
Versión : 1.0 Fecha: 20/03/2012 Tipo de S.O : LINUX
acl Safe_ports port 488
acl Safe_ports port 591
acl Safe_ports port 443
acl Safe_ports port 777
acl blkd_port port 1863
acl CONNECT method CONNECT
acl sistemas src "/etc/squid/sistemas" #Grupo de Sistemas
acl ipAutorizados src -i "/etc/squid/autorizados" #Grupo de IP autorizadas
acl pagBloqueadas url_regex -i "/etc/squid/prohibidos" #Paginas Bloqueadas
acl pagAutorizadas url_regex -i "/etc/squid/paginasweb" #Paginas Autorizadas
acl descargas urlpath_regex -i "/etc/squid/descargas" #Descargas Bloqueadas
acl ipRestringidos src "/etc/squid/restringidos" #Grupo de IP Restringidas
acl mediodia time MTWHF 12:00-14:00
acl noche time MTWHF 17:30-18:00
cache deny QUERY
http_access allow sistemas
http_access deny pagBloqueadas
http_access deny descargas
http_access allow ipAutorizados
http_access deny gtalk
http_access deny gtalk1
http_access deny yahoo
http_access deny msn_url
http_access deny msn_port
http_access deny msn_method
http_access allow pagAutorizadas
http_access allow ipRestringidos mediodia
http_access deny all
Cache_mgr jahumada@comfamiliar.org
http_access deny !Safe_ports