Cómo configurar squid con soporte para direcciones MAC.

Creative Commons Reconocimiento-NoComercial-CompartirIgual 2.1

© 1999-2008 Joel Barrios Dueñas. Usted es libre de copiar, distribuir y comunicar públicamente la obra y hacer obras derivadas bajo las condiciones siguientes: a) Debe reconocer y citar al autor original. b) No puede utilizar esta obra para fines comerciales (incluyendo su publicación, a través de cualquier medio, por entidades con fines de lucro). c) Si altera o transforma esta obra, o genera una obra derivada, sólo puede distribuir la obra generada bajo una licencia idéntica a ésta. Al reutilizar o distribuir la obra, tiene que dejar bien claro los términos de la licencia de esta obra. Alguna de estas condiciones puede no aplicarse si se obtiene el permiso del titular de los derechos de autor. Los derechos derivados de usos legítimos u otras limitaciones no se ven afectados por lo anterior. Licencia completa en castellano. La información contenida en este documento y los derivados de éste se proporcionan tal cual son y los autores no asumirán responsabilidad alguna si el usuario o lector hace mal uso de éstos.

Introducción.

Acerca de Squid.

Squid es un Servidor Intermediario (Proxy) de alto desempeño que se ha venido desarrollando desde hace varios años y es hoy en día un muy popular y ampliamente utilizado entre los sistemas operativos como GNU/Linux y derivados de Unix®. Es muy confiable, robusto y versátil y se distribuye bajo los términos de la Licencia Pública General GNU (GNU/GPL). Siendo equipamiento lógico libre, está disponible el código fuente para quien así lo requiera. de modo predeterminado no está incluido el soporte para listas de control de acceso basadas sobre direcciones MAC (Media Access Control).

Equipamiento lógico necesario.

Instalación a través de yum.

Se requiere añadir el siguiente depósito yum como el fichero /etc/yum.repos.d/AL-Server.repo. Este depósito yum incluye el paquete squid-arp, mismo que a su vez incluye soporte para listas de control de acceso basadas sobre direcciones MAC.

[AL-Server]
name=Enterprise Linux $releasever - $basearch - AL Server
mirrorlist=http://www.alcancelibre.org/al/el5/al-server
gpgkey=http://www.alcancelibre.org/al/AL-RPM-KEY

Si utiliza CentOS 5, Red Hat Enterprise Linux 5 o White Box Enterprise Linux 5, solo se necesita realizar lo siguiente para instalar o actualizar el equipamiento lógico necesario:

Lo anterior instalará el paquete squid-arp y reemplazará al paquete squid. El paquete squid-arp es idéntico al paquete squid con la única diferencia de que el primero fue compilado con la opción --enable-arp-acl.

En otras distribuciones distintas a CentOS 5, Red Hat Enterprise Linux 5 o White Box Enterprise Linux 5, se requiere desinstalar el paquete original y descargar los fuentes de squid y compilar éstos con la opción --enable-arp-acl.

./configure --enable-arp-acl
make
make install

Procedimientos

Este documento considera que se ha leído a detalle el documento «Cómo configurar Squid: Parámetros básicos para servidor de intermediación (Proxy)». Se requiere se hayan configurado al menos los siguientes parámetros:

• http_port, ejemplo: http_port 8080 transparent
• cache_dir, ejemplo: cache_dir ufs /var/spool/squid 1024 16 256
• error_directory, ejemplo: error_directory /usr/share/squid/errors/Spanish

Se requiere además determinar los valores las siguientes variables que deberán ser reemplazadas por datos reales:

• Las direcciones MAC especificadas en los ejemplos.
• las direcciones MAC de todos los equipos de la LAN se pueden obtener, si se está realizando las operaciones desde un servidor que sirve de puerta de enlace, utilizando el mandato arp con la opción -n, es decir: arp -n.
• Alternativamente, la dirección MAC desde una estación trabajo con Windows se puede obtener la dirección MAC utilizando el mandato ipconfig con la opción /all: ipconfig /all
• Alternativamente, la dirección MAC desde una estación trabajo con Linux se puede obtener la dirección MAC utilizando el mandato ifconfig.

Fichero /etc/squid/listas/macsredlocal.

Crear un fichero denominado /etc/squid/listas/macsredlocal

vi /etc/squid/listas/macsredlocal

Donde el contenido será una lista de direcciones MAC a la cual se aplicarán reglas de control de acceso. Ejemplo:

00:01:80:41:9C:8A
00:08:A1:84:18:AD
00:16:E3:9D:CD:77
00:04:75:AA:2D:A1
00:19:D2:6B:41:45
00:13:10:8D:4A:EE
00:19:21:14:9B:0Dr

Fichero /etc/squid/squid.conf

Se edita el fichero /etc/squid/squid.conf:

vi /etc/squid/squid.conf

En éste se debe configurar la lista de control de acceso con un nombre que la identifique y diferencie claramente de las demás listas, asignado el tipo de lista como arp. En el siguiente ejemplo, se crea la lista de control de acceso denominada macsredlocal de tipo arp y cuyos elementos que la conforman están en el fichero /etc/squid/listas/macsredlocal:

acl macsredlocal arp "/etc/squid/listas/macsredlocal"

Se crea una regla de control de acceso que permita a los miembros de la lista de control de acceso hacer algo. En el siguiente ejemplo se define que está permitido el acceso a la lista macsredlocal:

http_access allow macsredlocal

Si se creo alguna lista para limitar el acceso hacia palabras y otra para extensiones, como se describe en los documentos «Cómo configurar Squid: Restricción de acceso a Sitios de Red» y «Cómo configurar Squid: Restricción de acceso a contenido por extensión», la regla de control de acceso podría quedar de la siguiente manera:

http_access allow macsredlocal !porno !extensiones

Si además se creo alguna lista para limitar los horarios de acceso, como se describe en el documento «Cómo configurar Squid: Restricción de acceso por horarios», la regla de control de acceso podría quedar de la siguiente manera:

http_access allow matutino macsredlocal !porno !extensiones

Cualquier otra forma de utilizar la lista de control de acceso con direcciones MAC dependerá de la imaginación del administrador.

Iniciar, detener y reiniciar el servicio squid.

Para ejecutar por primera vez el servicio squid con las configuraciones creadas, utilice:

service squid start

Para hacer que los cambios hechos tras modificar la configuración surtan efecto, utilice:

service squid restart

Para detener el servicio squid utilice:

service squid stop

Para hacer que el servicio de squid esté activo con el siguiente inicio del sistema, en todos los niveles de corrida (2, 3, 4, y 5), se utiliza lo siguiente:

chkconfig squid on

Última Edición miércoles 04 de junio de 2008 @ 03:18 CDT|4,047 Hits