Restricións nas conexións a través do proxy

De Manuais Informática - IES San Clemente.
(difs.) ← Revisión anterior | Revisión actual (difs.) | Revisión siguiente → (difs.)
Ir a la navegación Ir a la búsqueda

Restricións das conexións en Squid

  • Squid é un servidor proxy moi completo, e abordar con profundidade as distintas opcións de configuración que permite excede con moito os obxectivos deste curso.
  • Por iso, o que imos facer é ilustrar unha configuración básica das opcións de filtrado máis comúns, para amosar así as posibilidades máis relevantes que ofrece o servizo de proxy que non serían posibles por medio do enrutamento.

Restricións segundo o dominio de destino

  • Como o servizo de proxy opera no nivel de aplicación, pode ler a cabeceira HTTP para ver a URL de destino da conexión. Isto permite a posibilidade de establecer restricións en función do dominio ao que o cliente se quere conectar:
  • Restricións por dominio de destino

  • Na pestana de Listas de control de acceso da configuración do Control de acceso creamos unha nova ACL de tipo Nome de máquina de servidor web.

  • Podemos introducir os datos que se ven na imaxe para filtrar o dominio www.facebook.com.

  • Unha vez creada a ACL imos a crear unha restrición sobre a mesma.

  • Engadimos unha nova restrición.

  • Neste caso, imos denegar as conexións ao dominio www.facebook.com seleccionando a ACL.

  • Vemos a restrición creada. Debemos colocala no lugar adecuado da táboa para que se execute.

  • Por exemplo, deixándoa na posición da imaxe, conseguiremos que os equipos da LAN poidan acceder a calquera dominio excepto www.facebook.com. Aplicamos os cambios para activar a restrición.

  • Podemos comprobar dende un equipo cliente que non podemos conectarnos a www.facebookcom...

  • pero si a calquera outro dominio.

  • Imos facer outra proba, creando unha ACL asociada ao dominio .edu.xunta.es. Este dominio afectaría a todos os servidores para os que o seu nome acabase por este nome de dominio.

  • Na táboa de restricións do proxy, picamos sobre a restrición que permite o acceso a todos os equipos da LAN para editar a configuración desta restrición.

  • Seleccionamos na lista de Coincidir con ACLs a ACL que acabamos de crear ademais da de LAN que xa estaba seleccionada. Vemos deste xeito que unha restrición pode asociarse a varias ACLs, e só encaixarán con ela as conexións que coincidan con todas esas ACLs. Por exemplo, agora só se permitirá a conexión dende a LAN ao dominio .edu.xunta.es

  • Aplicamos os cambios no proxy...

  • e podemos comprobar nun equipo cliente da LAN que non se permite o acceso a unha páxina dun dominio distinto a edu.xunta.es...

  • pero si ao portal da consellería.

Restricións segundo o tipo de ficheiro

  • Outra opción que permite Squid é filtrar unha conexión polo tipo MIME do documento que devolve como resposta o servidor web. O tipo do documento vai indicado na cabeceira da resposta do HTTP.
  • Existe una gran variedade de tipos MIME dispoñibles, para ficheiros de audio, imaxes, documentos PDF, vídeos, etc.
  • A continuación imos mostrar un exemplo no que denegaremos a descarga de documentos PDF:
  • Restricións segundo o tipo de ficheiro en Squid

  • Creamos unha ACL de tipo Tipo MIME de Resposta.

  • Poñemos un nome para a ACL e como Tipo MIME de resposta introducimos o tipo que se corresponde cos documentos PDF, que sería application/pdf.

  • Coa ACL creada, imos á pestana de restricións proxy de resposta, xa que neste caso a restrición ímola facer por unha condición na resposta HTTP do servidor web ao que se conecta o cliente.

  • Vemos que neste apartado non hai ningunha restrición creada. Imos crear unha nova.

  • O que facemos na restrición é denegar as conexións que coincidan coa ACL que acabamos de crear.

  • Vemos na imaxe a restrición creada, e aplicamos os cambios para activala.

  • Para comprobar o efecto da restrición, dende un equipo cliente imos intentar descargar a versión en PDF dun DOG.

  • Na imaxe podemos ver a mensaxe que obteremos denegando o acceso a este documento.

Restricións segundo a hora da conexión

  • Remataremos este apartado vendo como podemos restrinxir no proxy o acceso a Internet segundo a hora na que se produza as conexións:
  • Restricións segundo a hora en Squid

  • Creamos unha ACL de tipo de Fecha e hora.

  • Poñemos un nome a ACL e o horario no que neste caso imos restrinxir o acceso a Internet.

  • Podemos ver na listaxe a ACL creada. Iremos á pestana de Restricións proxy para definir a restrición sobre ela.

  • Creamos a restrición que denega as conexións que se produzan nese horario.

  • E tras colocar a restrición na orde que corresponde na listaxe de restricións, aplicamos os cambios para activala.

  • Na imaxe podemos ver o resultado dun cliente que intenta conectarse no horario restrinxido.


-- Antonio de Andrés Lema e Carlos Carrión Álvarez --

Obtenido de «https://manuais.iessanclemente.net/index.php?title=Restricións_nas_conexións_a_través_do_proxy&oldid=58990»