YOLANDA ALBEROLA MARTÍNEZ Paginas de Interés http://aprenderedes.net76.net/index.php/seguridad/95-proxy-squid-centos-6 Ejercicios de squid Supuesto 1 Se debe configurar las acl y http_access correspondiente para conseguir el siguiente funcionamiento: Lo primero que tenemos que hacer es entrar dentro de /etc/squid3 para crear unos archivos de configuración. El dueño de la empresa cuya IP es 10.0.0.23 tiene acceso a Internet Total siempre. Nos vamos a nuestro /etc/squid3/squid,conf para darle la configuración al dueño que tenga acceso a Internet total
El departamento de administración que consta de las siguientes IP s: o 10.0.0.31 o 10.0.0.38 o 10.0.0.41 o 10.0.0.43 o 10.0.0.44 se pueden conectar a Internet pero sólo a la página de la empresa http://www.empresaejercicio.com durante el horario laboral (Lunes a Viernes de 8 a 3) fuera del horario laboral sí pueden conectarse a Internet con libertad. Acl 10.0.0.31 acl 10.0.0.38 acl 10.0.0.41 acl 10.0.0.43 acl 10.0.0.44 acl horario1 time MTWHF 08:00 15:00 acl horario2 time MTWHF 15:01 07:59 acl pagina dstdomain.empresaejercicio.com acl puertos prot HTTP
El departamento de programación que consta de las IP s 10.0.0.100-10.0.0.150 pueden conectarse a cualquier página que no contenga las palabras: o Sexo o Drogas o Alcohol o Fiesta o Juego o Game o Messenger Realizaremos un archivo que contengas las palabras prohibidas en la ruta /etc/squid3
Escribimos las palabras prohibidas en nuestro archivo programacion.txt acl dstdomain etc/squid/programacion.txt le indicamos la ruta de nuestro archivo con las palabras prohibidas para que lo deniega. http_access allow local!programacion.txt lista que queremos denegar con el símbolo!
El departamento de ventas cuyas IP s son 10.0.0.151-10.0.0.200 puede conectarse sólo en horario laboral y sólo a las siguientes páginas: o www.empresaejercicio.com o www.empresacompetencia1.com o www.empresacompetencia2.com o www.preciosunificados.com Crearemos un archivo para indicar todas las paginas que se pueden conectar el archivo se llamara ventas.txt acl venta 10.0.0.151-10.0.200 acl horari01 time MTWHFS 8:00 15:00 acl /etc/squid/ ventas.txt acl dstdomain etc/squid/ventas.txt le indicamos la ruta de nuestro archivo con las direcciones web que puede acceder. http_access allow local ventas.txt lista que queremos dejar el acceso a web`s
Supuesto 2 Se debe configurar las acl y http_access correspondiente para conseguir el siguiente funcionamiento: En un instituto se tienen una serie de aulas de ordenadores con las siguientes restricciones: El aula 1 con IP s (10.0.0.10-10.0.0.40) sólo tiene acceso a Internet los Lunes,Miércoles y Viernes de 10 a 12 excepto a las páginas que contengan las palabras : (las mismas del ejercicio anterior) Escribimos las palabras prohibidas en nuestro archivo programacion.txt acl aula1 10.0.0.10-10.0.0.40 acl horario1 time MWF 10:00 12:00 acl url_regex /etc/squid/programacion.txt deniega el acceso
El aula 2 con IP s ( 10.0.0.41-10.0.0.60) sólo tiene acceso a Internet los Martes y Jueves de 8 a 12 excepto a las páginas que contengan las palabras (las mismas del ejercicio anterior) acl aula2 10.0.0.41-10.0.0.60 acl horario1 time TH 08:00 12:00 acl url_regex /etc/squid/programacion.txt deniega el acceso El aula 3 con IP s (10.0.0.61-10.0.0.70) tiene acceso a Internet Los Lunes de 8 a 10 a todas las páginas y el resto del tiempo sólo a la pagina : www.institutoejercicio.com En ninguna de las aulas se permite el uso de FTP (puertos 21 y 22) En ninguna de las aulas se permite bajarse ficheros.mp3 ni.exe ni.cmd ni.bat. acl aula3 10.0.0.61-10.0.0.70 acl horario1 time M 08:00 10:00 acl puertos prot HTTP acl pagina dstdomain.institutoejercicio.com resto de tiempo
acl 10.0.0.10-10.0.0.70 acl puertos prot FTP 21 acl puertos prot FTP 22 acl descargas urlpath_regex./mp3$./exe$./cmd$./bat$ Supuesto 3 Se desea configurar el proxy squid para el siguiente comportamiento. En una biblioteca existen 3 salas: Sala A: 192.168.0.21-192.168.0.30 Sala B: 192.168.0.31-192.168.0.40 Sala C: 192.168.0.41-192.168.0.50 Y un ordenador del director con IP 192.168.0.19 La dirección tiene acceso total a Internet en el horario de 8-21 de lunes a sábado, y el resto del tiempo no se podrá acceder a Internet La sala A en horario de 8 a 11 sólo tendrá acceso a la página www.catalogo.com La sala A en horario de 11 a 14 podrá acceder sólo a www.bibliotecas.com y www.cervantes.com acl salaa 192.168.0.21-192.168.0.30 acl salab 192.168.0.31-192.168.0.40 acl salac 192.168.0.41-192.168.0.50 acl director 192.168.0.19 acl salaa horarioa time MTWHFS 08:00 21:00 acl salaa horarioa time 08:00 11:00 acl salaa dominioa dstdomain.catalogo.com acl salaa horarioa time 11:00 14:00 acl salaa dominioa dstdomain.bibliotecas.com acl salaa dominioa dstdomain.cervantes.com
La sala B en horario de 8 a 14 tendrá acceso a Internet excepto a aquellas páginas cuya url contenga las palabras: sexo, droga, bomba y tampoco tendrá acceso a los dominios.telecinco.com y marca.com Escribimos las palabras prohibidas en nuestro archivo programacion.txt acl salab horario time 08:00 14:00 acl salab paginas url_regex /etc/squid/programacion.txt deniega el acceso acl salab dominio dstdomain.telecinco.com acl salab dominio dstdomain.marca.com
La sala C en horario de 8 a 12 sólo podrá entrar en las páginas www.catalogo.com y www.bibliotecas.com La sala C en horario de 12 a 14 tendrá acceso a Internet excepto a los dominios telecinco.com y marca.com acl salac horario time 08:00 12:00 acl salac dominio dstdomain.catalogo.com acl salac dominio dstdomain.bibliotecas.com acl SalaC horario time 12:00 14:00 acl salac dominio dstdomain.telecinco.com acl salac dominio dstdomain.bibliotecas.com
Por la tarde no se permite acceso a Internet en ninguna de las salas. No se permite la descarga de ficheros.exe,.bat ni.cmd en ninguna de las salas. Los sábados el acceso en total en todas las salas excepto a aquellas páginas cuyas url contengan las palabras que se han especificado antes. Todas las salas tienen prohibido el protocolo FTP siempre acl salaa horario time 15:00 21:00 acl salab horario time 15:00 21:00 acl salac horario time 15:00 21:00 acl salaa descargar urlpath_regex./exe$./bat$./cmd$ acl salab descargar urlpath_regex./exe$./bat$./cmd$ acl salac descargar urlpath_regex./exe$./bat$./cmd$ acl salaa horario time S 00:00 24:00 acl salaa paginas url_regex /etc/squid/programacion.txt deniega el acceso acl salab horario time S 00:00 24:00 acl salab paginas url_regex /etc/squid/programacion.txt deniega el acceso acl salac horario time S 00:00 24:00 acl salac paginas url_regex /etc/squid/programacion.txt deniega el acceso acl salaa puertos prot FTP acl salab puertos prot FTP acl salac puertos prot FTP
#denegamos http_access deny salaa puertos http_access deny salab puertos http_access deny salac puertos http_access deny salaa paginas http_access deny salab paginas http_access deny salac paginas http_access deny salaa descargas http_access deny salab descargas http_access deny salac descargas http_access deny salaa horario http_access deny salab horario http_access deny salac horario http_access deny salaa dominio http_access deny salab dominio http_access deny salac dominio
#con acceso http_access allow salaa http_access allow salab http_access allow salac http_access allow director http_access allow horarioa http_access allow dominioa Iniciaremos el servicio se lo indicaremos en nuestra consola chkconfig squid on service httpd start chkconfig httpd on