1 Escenario. Proxy Squid en modo transparente. Índice

Transcripción

1 Proxy Squid en modo transparente Índice 1 Escenario Configuración del router-nat Configuración lógica de la red Enrutamiento + NAT Configuración del proxy Squid en modo transparente Fuentes Escenario 1/10

2 2 Configuración del router-nat 2.1 Configuración lógica de la red Fichero /etc/network/interfaces auto lo iface lo inet loopback auto eth0 iface eth0 inet dhcp auto eth1 iface eth1 inet static address netmask Enrutamiento + NAT Habilitar IP Forwarding de modo permanente. Fichero /etc/sysctl.conf # Uncomment the next line to enable packet forwarding for IPv4 net.ipv4.ip_forward=1 /etc/sysctl.conf sysctl preload/configuration file is a simple file containing sysctl values to be read in and set by sysctl. Hacer los cambios efectivos. root@debian00:/# sysctl -p /etc/sysctl.conf net.ipv4.ip_forward = 1 Opción -p file : lee los valores del fichero Configurar NAT con iptables de modo permanente. Listar reglas actuales. root@debian00:/# iptables -L Chain INPUT (policy ACCEPT) Chain FORWARD (policy ACCEPT) Chain OUTPUT (policy ACCEPT) 2/10

3 Mostrar la IP table actual. iptables-save # Generated by iptables-save v on Sat May 16 14:08: *filter :INPUT ACCEPT [332:78214] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [20:1472] # Completed on Sat May 16 14:08: iptables-save is used to dump the contents of an IP Table in easily parseable format to STDOUT. Use I/O-redirection provided by your shell to write to a file. Configurar NAT. root@debian00:/#iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE Listar reglas actuales de nuevo. Para ver las reglas NAT, la opción -L no es suficiente. Hay que añadir -t nat root@debian00:/# iptables -L Chain INPUT (policy ACCEPT) Chain FORWARD (policy ACCEPT) Chain OUTPUT (policy ACCEPT) 3/10

4 iptables -t nat -L -n -v Chain PREROUTING (policy ACCEPT 33 packets, 5578 bytes) pkts bytes target prot opt in out source destination Chain INPUT (policy ACCEPT 23 packets, 4874 bytes) pkts bytes target prot opt in out source destination Chain OUTPUT (policy ACCEPT 17 packets, 1000 bytes) pkts bytes target prot opt in out source destination Chain POSTROUTING (policy ACCEPT 8 packets, 488 bytes) pkts bytes target prot opt in out source destination MASQUERADE all -- * eth / /0 -L Listar las reglas de todas las cadenas. -t nat Indicar tabla a manipular (por defecto: tabla filter) -v Modo detallado (verbose) Mostrar la IP Table de nuevo, donde se observan los cambios realizados. root@debian00:/# iptables-save # Generated by iptables-save v on Sat May 16 14:27: *nat :PREROUTING ACCEPT [22:4018] :INPUT ACCEPT [22:4018] :OUTPUT ACCEPT [2:112] :POSTROUTING ACCEPT [2:112] -A POSTROUTING -o eth0 -j MASQUERADE # Completed on Sat May 16 14:27: # Generated by iptables-save v on Sat May 16 14:27: *filter :INPUT ACCEPT [785:178120] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [24:1718] # Completed on Sat May 16 14:27: Para que las reglas sean permanentes, primero guardamos la configuración actual en un archivo de nueva creación. root@debian00:/# iptables-save > /etc/iptables.rules 4/10

5 Y después indicamos que las reglas contenidas en dicho archivos sean cargadas en la IP Table justo antes de activar la interfaz. Archivo /etc/network/interfaces auto eth0 iface eth0 inet dhcp pre-up iptables-restore < /etc/iptables.rules /etc/network/interfaces pre-up command Run command before bringing the interface up. post-up command Run command after bringing the interface up. pre-down command Run command before taking the interface down. post-down command Run command after taking the interface down. iptables-restore is used to restore IP Tables from data specified on STDIN. Use I/O redirection provided by your shell to read from a file Reiniciar y comprobar que los cambios realizados no se han perdido. root@debian00:/# iptables-save # Generated by iptables-save v on Sat May 16 17:43: *filter :INPUT ACCEPT [266:47271] :FORWARD ACCEPT [28:1676] :OUTPUT ACCEPT [150:16832] # Completed on Sat May 16 17:43: # Generated by iptables-save v on Sat May 16 17:43: *nat :PREROUTING ACCEPT [28:3855] :INPUT ACCEPT [16:3141] :OUTPUT ACCEPT [37:2398] :POSTROUTING ACCEPT [34:2091] -A POSTROUTING -o eth0 -j MASQUERADE # Completed on Sat May 16 17:43: root@debian00:/# cat /proc/sys/net/ipv4/ip_forward 1 Comprobar que una máquina de la red ya puede salir a Internet. 5/10

6 3 Configuración del proxy Squid en modo transparente Comprobar versiones disponibles. apt-get update... apt-cache policy squid squid: Instalados: (ninguno) Candidato: 2.7.STABLE9-4.1+deb7u1 Tabla de versión: 2.7.STABLE9-4.1+deb7u wheezy/updates/main amd64 Packages 2.7.STABLE wheezy/main amd64 Packages root@debian00:/# apt-cache policy squid3 squid3: Instalados: (ninguno) Candidato: deb7u2 Tabla de versión: deb7u wheezy/main amd64 Packages wheezy/updates/main amd64 Packages Instalar versión 3. root@debian00:/# apt-get install squid3 Leyendo lista de paquetes... Hecho Creando árbol de dependencias Leyendo la información de estado... Hecho Se instalarán los siguientes paquetes extras: squid-langpack squid3-common Paquetes sugeridos: squidclient squid-cgi resolvconf ufw Se instalarán los siguientes paquetes NUEVOS: squid-langpack squid3 squid3-common Comprobar puerto abierto. (Sólo aparece TCP6, pero, en principio, no habría mayor problema) root@debian00:/# netstat -ltn grep 3128 tcp6 0 0 :::3128 :::* LISTEN Redireccionar todas las peticiones HTTP al proxy. root@debian00:/# iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port /10

7 Comprobar. iptables-save # Generated by iptables-save v on Sat May 16 18:46: *filter :INPUT ACCEPT [3303: ] :FORWARD ACCEPT [15610: ] :OUTPUT ACCEPT [1063:72957] # Completed on Sat May 16 18:46: # Generated by iptables-save v on Sat May 16 18:46: *nat :PREROUTING ACCEPT [5:799] :INPUT ACCEPT [3:671] :OUTPUT ACCEPT [0:0] :POSTROUTING ACCEPT [0:0] -A PREROUTING -i eth1 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports A POSTROUTING -o eth0 -j MASQUERADE # Completed on Sat May 16 18:46: Si el proxy estuviera ubicado en una máquina diferente (por ejemplo en la IP ), habría que agregar la regla: iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j DNAT --to :3128 Cuando comprobemos que todo funciona correctamente, guardar los cambios realizados en la IP Table en el archivo que destinamos para ello. root@debian00:/# iptables-save > /etc/iptables.rules Por defecto, el proxy no permite el acceso ni siquiera a las máquinas de la red local. 7/10

8 Permitir acceso desde la red local. Archivo /etc/squid3/squid.conf http_port 3128 intercept # ACL para red local acl red_local src /24 (...) # # INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS # # Example rule allowing access from your local networks. # Adapt localnet in the ACL section to list your (internal) IP networks # from where browsing should be allowed #http_access allow localnet http_access allow localhost http_access allow red_local Es necesario indicar a Squid que está funcionando en modo transparente añadiendo el parámetro intercept a la opción http_port. (Ojo: en la versión 2, el parámetro es transparent) Permitido acceso desde red local. A partir de aquí, el puerto abierto es TCP en lugar de TCP6. root@debian00:/# netstat -ltn grep 3128 tcp : :* LISTEN 8/10

9 Ejemplo: denegar acceso a la prensa deportiva. Archivo /etc/squid3/squid.conf http_port 3128 intercept # ACL para red local acl red_local src /24 acl prensa_depor dstdomain.sport.es.elmundodeportivo.es.marca.com.as.com (...) # # INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS # # Example rule allowing access from your local networks. # Adapt localnet in the ACL section to list your (internal) IP networks # from where browsing should be allowed #http_access allow localnet http_access allow localhost http_access deny prensa_depor http_access allow red_local No permite acceder a marca.com Pero sí a otras webs. 9/10

10 4 Fuentes junio 2015 Aula 10/10