AUTOR: RUBEN VASQUEZ CESPEDES

CI. 5256471 CBBA

EXAMEN DE SERVIDOR PROXY
SQUID

1. Qu es squid?
Quid es un servidor proxy para web con cach. Es una de las
aplicaciones ms populares y de referencia para esta funcin, software
libre publicado bajo licencia GPL

2. Cmo instalar Squid en distribuciones basadas en Debian?

Si tengo conexin a internet o repositorio en un servidor
root@rubencito:~# sudo apt-get install squid
Si tengo descargado mis archivos .deb
root@rubencito:~# sudo dpkgi i /instaladores/squid.deb
Iniciamos el servicio de squid
root@rubencito:~# /etc/init.d/squid restart

3. Modifique el archivo squid.conf y lo guarde por

equivocacin, ahora el servicio no levanta, si es un problema de

sintaxis, como verifico que mi squid.conf este bien
configurado?
root@rubencito:~# sudo squid -k parse Comprueba el archivo de
configuracin
root@rubencito:~# squid -Nd1

4.

El Squid no levanta y al ejecutar squid -Nd1 se tiene:

a) Porque el squid no levanta?
Porque se ha denegado el permiso de acceso a la carpeta indicada.
b) Qu significa squid -Nd1?
Ejecutar Squid en segundo plano para observar posibles errores.
c) Cmo se soluciona el problema?
Asignando permisos a la carpeta

5.

Squid no levanta al ejecutar squid -Nd1 se tiene:

El puerto 3128 ya est en uso.

Chain OUTPUT (policy ACCEPT)

target
prot opt source

1.

destination

Squid no levanta y al ejecutar squid -zX se tiene:

Cul es el problema y como solucionarlo?

El problema es que no tiene permisos de usuario la carpeta
/var/spool/squid
Para solucionar ejecutamos el siguiente comando:
root@rubencito:~# chown -R /var/spool/squid
1.

Qu significa si se ejecuta netstat y se tiene el siguiente

resultado:
root@rubencito:~# netstat -tlnp |grep 3128
root@rubencito:~#
Indica que el servicio y el puerto 3128 no estn en uso

2.

En el archivo squid.conf se aade las lineas despues de "#

INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM
YOUR CLIENTS" :
acl miacl src 192.168.4.0/24

(1)

http_access allow miacl

(2)

Para qu sirven estas lneas?

Define la lista de control de accesos de una red 192.168.4.0/24

Permite el acceso a la lista definida de acl miaacl

1.

Cules de las siguientes lneas son buenas prcticas?

visible_hostname mi.servidor.gob.bo
cache_mgr mi@correo.gob.bo

2.

Si se activa debug_options ALL,1 33,2 que archivo de log tiene

ms informacin?

a) /var/log/squid/store.log
b) /var/log/squid/access.log
3.

Una empresa.com tiene muchos ips, que tienen como sistema

autnomo 6666, se tienen ataques de ips esa red, se requiere
hacer un acl que bloquee toda su red.

Como sera el acl, para hacer un match con todos sus ips ?
acl empresa dst_as 6666
http_access deny empresa
1.

Queremos que nadie entre a dominios .cl para esto necesitamos

un acl para que agarre estos dominios, el acl tiene que agarrar
algo.com.cl, algo.net.cl,etc.

Cul sera el acl?

acl chile dstdomain .cl
http_access deny chile
1.

hacer un acl que haga match con:

htp://www.nopermitido.com/index.php
http://www.algo.com/nopermitido.php

Escriba 1 "solo 1" acl que haga match con los 2 ejemplos
Crearmos un archivo sitios.txt con las urls indicadas
acl sitios url_regex "/etc/squid/sitios.txt"
http_access allow sitios
1.

Hacer "solo un" acl que haga match con:

http://algo.com/nopermitido.php y que NO haga match con:
http://nopermitido.com/algo.php
acl sipermitida url_regex http://algo.com/nopermitido.php
acl nopermitida url_regex http://nopermitido.com/algo.php
http_access allow sipermitda !nopermitda

1.

Hacer

"solo

un"

acl

que

haga

match

con:

http://algo.com/nopermitido.php
y que NO haga match con: http://nopermitido.com/algo.php
acl uno url_regex http://algo.com/nopermitido.php
acl dos url_regex http://nopermitido.com/algo.php
http_access allow uno !dos
1.

Un usuario de la red 192.168.5.6 quiere usar el proxy:

acl miacl src 192.168.5.0/24
acl miacl1 src 192.168.6.0/24
http_access allow miacl miacl1

Puede navegar el usuario?

a) Si puede navegar el usuario
b) porque su red miacl (192.168.5.0/24) est dentro de los rangos
permitidos para navegar y como es parte de la misma tiene el
permiso de navegar.
1.

Funciona lo siguiente acl miacl dst 8.8.8.8

acl miacl dstdomain www.google.com
http_access allow miacl
No funciona, porque no puede existir un segundo acl con el
mismo nombre y con diferente tipo de destino, adems

1.

Funciona? acl nuevoacl dst 56.7.8.9

acl nuevoacl1 dstdomain .abi.bo
http_access allow nuevoacl nuevoacl1
Si funciona, porque esta asignado correctamente los parmetros.

1.

Tengo 1 acl definido pero algo esta mal, cuando inicio el squid
con la opcin squid -Nd1 tengo: squid -N -d1 Cul puede ser
el problema?
2014/04/29 17:29:51| aclParseAclLine: WARNING: empty ACL: acl
curso4 src "/etc/squid/curso4.txt"
El archivo curso4.txt est vaco sin datos o parmetros a recibir.

2.

Que acepta el siguiente acl: acl miacl dstdom_regex -i m$

Acepta los sitios que terminan con la letra m

3.

Mencione dos ejemplos sobre uso de acl de tipo url_regex,

que permita crear controles de acceso basados en palabras
dentro del URL.
acl urls_descargas url_regex -i rapidshare megaupload
acl msn_url url_regex -i gateway.dll