ClearOS 7

Proxy web
El proxy web en ClearOS es un servidor proxy de almacenamiento en caché de alto rendimiento para
clientes web, compatible con HTTP, FTP y algunos protocolos menos conocidos. El software no solo
ahorra ancho de banda y acelera el tiempo de acceso, sino que también brinda a los administradores
la capacidad de rastrear el uso de la web a través de informes basados en la web.
Si usted es nuevo en ClearOS y / o la creación de un servidor proxy, es posible que desee hacer
referencia a la Guía de Configuración de proxy web, filtro de contenido y la Guía de control de
acceso .

Instalación
Si su sistema no tiene esta aplicación disponible, puede instalarla a través del Marketplace .

Menú
Puede encontrar esta característica en el sistema de menú en la siguiente ubicación:
Gateway | Filtro de contenido y Proxy | Web Proxy

Configuración
Configuraciones
Autenticacion de usuario
Si desea solicitar un nombre de usuario / contraseña para el acceso web, puede habilitar la
autenticación de usuario.
La autenticación de usuario no se puede usar junto con el modo transparente. Si necesita
autenticación de usuario, entonces se requiere un modo no transparente. ¡Esto no es una limitación
del software, sino una limitación de la forma en que se diseñó el protocolo web!
Modo transparente
En el modo transparente, todas las solicitudes web de la red local pasan automáticamente a través
del proxy. La ventaja: no se requieren cambios de configuración en las estaciones de trabajo. La
desventaja es que los sitios web seguros (HTTPS) no pueden fluir a través del proxy.
Dado que el tráfico de red debe ser interceptado antes de salir de Internet, este modo solo está
disponible cuando ClearOS está configurado como una puerta de enlace.
Nivel de desempeño
El nivel de rendimiento indica el tamaño de la red que puede admitir su sistema. La Community
Edition está diseñada para redes domésticas / pequeñas y ya está optimizada para 10 usuarios o
menos. Professional Edition realiza la optimización automática en función de los recursos del sistema
disponibles.

Configuraciones de caché
Tamaño máximo de caché
El tamaño máximo en su disco duro para usar para el caché del servidor proxy.
Tamaño máximo del objeto
Cualquier archivo (imagen, página web, PDF, etc.) por encima del tamaño máximo del objeto seguirá
pasando por el proxy, pero no se almacenará en caché. Los archivos grandes (por ejemplo, un
archivo de película) pueden ocupar mucho espacio en su caché de proxy. Si tiene un tamaño de
caché de 2 Gb y dos personas descargan archivos de 1 Gb al mismo tiempo, estos dos archivos
reemplazarán todo lo demás en su caché. Puede limitar el tamaño máximo del objeto para evitar
este tipo de escenario.
Tamaño máximo de archivo de descarga
Si desea limitar las descargas de archivos grandes (por ejemplo, películas), puede establecer un
tamaño máximo. Cualquier archivo por encima de este límite de tamaño será bloqueado.

Página 1 de 10
Bypass del sitio web
En algunas circunstancias, puede necesitar pasar por alto el servidor proxy. Por lo general, esto es
necesario para los sitios web que no son compatibles con los servidores proxy. Algunos ejemplos
notables:
 Los servidores web de Microsoft IIS anteriores envían respuestas de servidor web no válidas
 Los servidores web de Microsoft IIS se pueden configurar con autenticación no estándar
 Los grabadores de video personales (PVR) de Tivo no pueden conectarse a través de un
servidor proxy. Agregar la red de Tivo 204.176.0.0/14 a la lista de desvíos de proxy resuelve
el problema.
Puede usar el siguiente formato para el desvío:
 Nombre del Sitio Web
 dirección IP
 Notación de red (recomendado)
Si está ejecutando el proxy en modo no transparente, entonces también debe ajustar la configuración
del servidor proxy del navegador web. El sitio web o la dirección IP que agregue a la lista de omisión
de proxy web de ClearOS también se debe agregar a la lista de excepciones de proxy de su
navegador.

Configuración del navegador web

En el modo no transparente, debe cambiar la configuración en todos los navegadores web que se
ejecutan en su red local. A continuación se describen los pasos para configurar Internet Explorer,
pero otros navegadores tienen procedimientos similares. En Internet Explorer
 Haga clic en Herramientas en la barra de menú
 Seleccione las opciones de Internet
 Clickea en el Conexiones lengüeta
 Clickea en el Configuración de LAN botón
En el cuadro de configuración del servidor Proxy, especifique su dirección IP ClearOS y el puerto
proxy (consulte la siguiente sección). Es posible que no pueda acceder a los sitios web en su sistema
o red local a menos que seleccione omitir el servidor proxy para las direcciones locales.
¿Qué puerto debo usar?
Entonces, ¿qué puerto debe configurarse en la configuración de proxy de su navegador web?
 ¿Estás usando el modo transparente? En caso afirmativo, ¡no se requieren cambios en el
navegador web! Si no, continúa.
 ¿Estás usando el filtro de contenido? Si es así, use el puerto 8080. Si no, use el puerto 3128.

Proxy FTP
De las preguntas frecuentes de Squid Web Proxy:
Pregunta: ¿Puedo hacer que mis clientes FTP usen un caché de Squid?
Respuesta: No es posible. Squid solo acepta solicitudes HTTP.

Solución de problemas
La página web o el archivo solicitado son demasiado grande
Si ve el mensaje La página web solicitada o el archivo es demasiado grande en su navegador web,
cambie el parámetro Tamaño máximo de archivo de descarga descrito anteriormente.

Página 2 de 10
Filtro de contenido
El software de filtrado de contenido bloquea sitios web inapropiados del usuario final. El software
también se puede usar para hacer cumplir las políticas de la compañía; por ejemplo, bloquear sitios
de correo web personales como Hotmail puede reducir la productividad perdida en la oficina.
El motor de filtro utiliza una variedad de métodos que incluyen la coincidencia de frase, filtrado
de URL y listas negras / blancas. Aunque el filtro funciona efectivamente 'listo para usar', para
obtener mejores resultados, recomendamos suscribirse a un nivel de servicio que incluya el servicio
'Actualización del filtro de contenido' (consulte el enlace Servicios a continuación). Al mantener su
lista negra actualizada, le proporcionará a su LAN la solución de bloqueo más efectiva contra el
"abandono" de sitios que cambian a diario.
Puede encontrar más información sobre la tecnología subyacente en el documento Ins y Outs
Filtering de contenido .
Si es nuevo en ClearOS y / o configura una política de filtro de contenido, le recomendamos consultar
la Guía para configurar el proxy web, el filtro de contenido y la Guía de control de acceso .

Instalación
Si su sistema no tiene esta aplicación disponible, puede instalarla a través del Marketplace .

Menú
Puede encontrar esta característica en el sistema de menú en la siguiente ubicación:
Gateway | Proxy y filtrado | Filtro de contenido

Actualizaciones del filtro de contenido - listas negras

El servicio ClearCenter Content Filter Updates proporciona actualizaciones regulares de listas
negras para mejorar la eficacia del sistema de filtro de contenido, incluido el bloqueo de sitios HTTPS
(por ejemplo, https://facebook.com). Estas listas negras se compilan de organizaciones de terceros,
así como de recursos de ingeniería internos de ClearCenter. Controlamos las últimas actualizaciones
disponibles y afinamos el sistema para que pueda concentrarse en cosas más importantes.
El filtro de contenido también se conecta a los motores Gateway Antivirus y Gateway Antiphishing en
ClearOS. También es posible que desee suscribirse al servicio Antimalware Updates para mantener
su filtro de contenido funcionando de manera óptima.

Bloqueando HTTPS, Facebook, etc.

Si necesita bloquear sitios web que brindan acceso a través de HTTP seguro (HTTPS), por ejemplo
facebook.com, entonces debe habilitar el modo no transparente para su configuración de proxy / filtro
de contenido web. En el modo transparente, no es posible filtrar correctamente las páginas web
seguras, ya que la conexión al servidor web ya está encriptada (y no se puede leer) cuando llega a
la puerta de enlace ClearOS. Puede cambiar la configuración del modo transparente / no
transparente desde la aplicación Proxy Web .
Como alternativa, si conoce el rango de IP o IP que le gustaría bloquear, puede bloquear las
conexiones a un sitio en particular usando el firewall entrante y el firewall Egress . El usuario no verá
una página de advertencia útil con este método alternativo, solo un mensaje de conexión fallida en
su navegador web.
Por diseño, el protocolo HTTPS encripta la carga útil para garantizar que el navegador web y el
servidor HTTPS tengan un canal seguro. Esto es lo que hace posible la banca en línea, por ejemplo.
No se puede escanear una página HTTPS en busca de palabras clave u otro contenido.

Sin embargo, las direcciones / URL HTTPS no están encriptadas. Si el filtrado de sitios HTTPS es
importante, se recomiendan las listas negras regularmente actualizadas de la aplicación de
pago Content Filter Updates.

Página 3 de 10
Configuración
La herramienta de administración basada en la web le da acceso a una serie de configuraciones. El
filtro debe ejecutarse en paralelo con el servidor Proxy Web.

Habilitar / Deshabilitar Servicio

El servicio de filtro de contenido está habilitado cuando se está ejecutando el servicio de filtro de
contenido y el servidor proxy. Para determinar si estos servicios se están ejecutando, busque la barra
de estado de la aplicación en el lado derecho de la interfaz basada en web. Encontrará un campo de
estado junto con los controles de inicio / detención para alternar el servicio.

Ajustes globales
La configuración global se aplica a todos los usuarios, independientemente del grupo de filtro de
contenido que se aplica al usuario que navega por los sitios web desde la red de área local (LAN). De
hecho, los ajustes explícitamente eximen o prohíben que un dispositivo en la LAN use el servicio
proxy / filtro de contenido. Un dispositivo se identifica por su dirección IP de origen.
Si está utilizando una exención global o direcciones IP prohibidas, es una buena práctica asegurarse
de que estos sistemas tengan asignadas direcciones IP estáticas.

Políticas de grupo
Las configuraciones de directiva de grupo le permiten a un administrador "ajustar" cómo el filtro de
contenido aplica políticas a diferentes usuarios. Para ello, se crean y configuran políticas de grupo
(que no deben confundirse con la Política de grupo de Windows AD). Los usuarios se asignan a un
grupo que dicta qué políticas se aplican en sus hábitos de navegación.
El motor de filtro de contenido admite hasta 9 políticas de grupo diferentes, cada una de las cuales
se puede configurar según las preferencias de los administradores.
Sea descriptivo al nombrar las políticas de su grupo. Por ejemplo, una escuela puede tener políticas
nombradas para los tipos de personas que podrían estar accediendo a Internet desde la escuela:
personal de apoyo, docentes, estudiantes, padres, visitantes, etc.

Cuando configura por primera vez el motor de filtro de contenido, ya se creó una política de grupo,
denominada "Predeterminado". De manera predeterminada, esta política de grupo se aplica a todos
los usuarios. Si a un usuario se le asigna una política de grupo de filtro de contenido, esta
configuración sustituirá a la política de grupo predeterminada.
La política de grupo predeterminada no se puede eliminar, ni se puede modificar la configuración
predeterminada de 'usuarios'. Puede (y debe) modificar la configuración de este grupo para cumplir
con la filtración deseada de cualquier usuario que no caiga en una política superior.

Agregar una política de grupo

Página 4 de 10
Como se mencionó anteriormente, se pueden crear hasta 9 (incluidas las políticas predeterminadas)
políticas de grupo para el filtro de contenido. Para agregar una política, haga clic en Agregar en la
lista de la tabla de Política de grupo.

La única configuración que se debe realizar después de crear una política de grupo es asignarle un
grupo real. Los usuarios pueden asignarse a grupos: así es como el filtro aplicará configuraciones
específicas.
El filtrado basado en las direcciones IP del dispositivo no es actualmente compatible a través de
webconfig.

Editar una política de grupo

Una vez que haya agregado una política de grupo (o si necesita editar la política predeterminada) es
hora de editarla / configurarla.
Haga clic en el enlace "Configurar política" junto a la política de grupo que desea editar. Verá un
resumen de parámetros / categorías para editar, similar al de la captura de pantalla siguiente.

Configuración general
Nivel de sensibilidad
El nivel de sensibilidad es una escala arbitraria que permite un ajuste "grosero" de la sensibilidad de
filtro de frase. Aumentar el nivel de sensibilidad significa que un número menor de frases / palabras
incorrectas hará que el filtro bloquee la página.
Nivel de PICS
Un estándar de Internet para calificar contenido web. Esta configuración tendrá poca importancia ya
que los sitios administran por sí mismos este parámetro. Como regla general, la recomendación es
desactivar esta configuración.
Nivel de informes
Hay varias opciones disponibles para personalizar lo que ve un usuario cuando el filtro bloquea una
página:
 Modo Stealth: el sitio no está bloqueado ... La IP del usuario y el sitio están registrados
 Acceso denegado: el navegador del usuario recibirá un 'Acceso denegado' en lugar de la
página web.
 Informe corto: se mostrará un mensaje de error corto 'burbuja' como el que se muestra a
continuación
 Informe completo: igual que el anterior, pero se mostrarán el límite ponderado y el valor real
(útil para ajustar el sistema).
 Informe personalizado: utiliza la plantilla HTML personalizable

Página 5 de 10
Bloquear dominios de IP
Se usa para evitar que los usuarios circunnaveguen la parte del filtro basada en URL utilizando
direcciones IP en lugar de URL. Las páginas se seguirán filtrando en función de los otros
mecanismos de filtrado: frases pesadas, tipos de mímica, extensiones de archivos, etc.
Bloque Manta
La configuración más restrictiva. Todos los sitios serán bloqueados con la excepción de aquellos
listados en la lista de exentos. Útil para kioscos / terminales públicos donde se usa un navegador
para acceder a un sitio de la compañía, etc.
Listas negras
El sistema de filtro de contenido usa listas negras para bloquear sitios web específicos. Puede ajustar
con precisión las listas negras del filtro de contenido especificando qué listas usar. Tenga en cuenta
que estas listas se actualizan semanalmente por el Servicio de actualización del filtro de contenido si
se ha suscrito a ese servicio.
Listas de frases
El sistema de filtro de contenido usa listas de frases para calcular un puntaje para cada página
web. Puede ajustar su puntuación del filtro de contenido especificando qué listas de frase usar.
En general, querrá que las listas de frases que seleccione aquí se correspondan con las listas negras
que está utilizando. Como mínimo, querrá incluir la lista de frases de proxies para evitar que los
usuarios eludan el filtro.
Tenga en cuenta que más frases ponderadas activadas para el filtro de contenido significan que el
filtro tardará más tiempo en mirar cada página. Se recomienda que si está utilizando un servidor de
baja potencia, limite el número de listas de frases ponderadas que utiliza y, en su lugar, utilice más
listas negras.

Tipos MIME
Los tipos MIME instruyen a un navegador para que utilice ciertas aplicaciones para mostrar la
codificación del contenido. Los exploits de seguridad en las aplicaciones se pueden usar para
infiltrarse en una computadora. Los tipos MIME marcados en el formulario "Tipos MIME prohibidos"
no podrán pasar a través del firewall ni a la computadora que realiza la solicitud en la LAN ,
proporcionando un entorno más seguro.
Extensiones de archivo
La prohibición de extensiones de archivos específicos es una herramienta útil para limitar el
contenido disponible para los usuarios en la LAN . También puede disminuir en gran medida las
posibilidades de que los usuarios descarguen y ejecuten involuntariamente código 'arbitrario'
descargado de Internet que podría contener virus o spyware de otro código malicioso.
Al marcar la casilla junto a una extensión, no permite que los usuarios filtrados accedan a este tipo
de archivo. Si desea que se bloquee una extensión y no aparece en la lista disponible, agréguela a
la lista con el formulario "Agregar un nuevo tipo de extensión".
Sitios prohibidos
Los sitios ingresados en la "Lista de sitios prohibidos" quedarán prohibidos, independientemente del
contenido del sitio, o de si el sitio está en una de las listas negras.
Sitios grises
Los sitios ingresados en la "Lista de sitios grises" no serán bloqueados por las listas negras, pero se
seguirán verificando para ver su contenido. Por ejemplo, puede tener habilitada la lista negra
de noticias para evitar que la gente pierda el tiempo durante el día laboral. Sin embargo, es posible
que también haya decidido permitir solo las noticias de la BBC. Si agrega bbc.co.uk a la lista de
excepciones, se permitirán todas las páginas web. Si agrega bbc.co.uk a la lista gris, la mayoría de
las páginas pasarán muy bien, pero esta página levemente agresiva y otras pueden quedar
bloqueadas por el sistema de listas de frases.
Sitios de excepción
Los sitios ingresados en la "Lista de sitios exentos" serán permitidos, independientemente del
contenido del sitio. Utilice este formulario si el contenido de un sitio activa un "falso positivo" que
desea anular.

Página 6 de 10
Control de acceso web
El control de acceso basado en el tiempo permite a un administrador imponer el acceso web de la
hora a los usuarios o computadoras (dirección IP o MAC) usando el proxy web.
Si es nuevo en ClearOS y / o configura un Control de acceso web, le recomendamos que consulte
la Guía para configurar el proxy web, el filtro de contenido y la Guía de control de acceso .

Instalación
Si no seleccionó este módulo para ser incluido durante el proceso de instalación, primero
debe instalar el módulo .

Menú
Puede encontrar esta característica en el sistema de menú en la siguiente ubicación:
Gateway | Proxy y filtrado | Control de acceso web

Configuración
Agregar periodos de tiempo
Los períodos de tiempo definen el día de la semana (por ejemplo, lunes, martes...) y la hora del día
(por ejemplo, 12:00 - 13:00) que debe aplicarse una regla de control de acceso. SeleccionarAñadir /
editar período de tiempo desde el menú de la pestaña de configuración web a:
 mostrar y / o editar un período de tiempo actualmente definido
 agregar una nueva definición de período de tiempo
 eliminar una definición de período de tiempo existente
Al eliminar un período de tiempo, se eliminará cualquier regla de control de acceso que dependa de
la definición del período de tiempo que se elimine.

En la captura de pantalla de muestra a continuación, hemos creado dos definiciones de período de

tiempo. El primero define un descanso para el almuerzo los días de semana entre las 12:00 p.m. y
la 1:00 p.m. (13:00). El segundo cubre todo el día durante un fin de semana (sábado y domingo).

Agregar listas de control de acceso

Se puede crear un número ilimitado de definiciones de listas de control de acceso para personalizar
con precisión la forma en que los usuarios o máquinas de la LAN deben tener acceso a la web a
través del servidor proxy. En el siguiente ejemplo, se está creando una regla para permitir que todas
las máquinas en la LAN tengan acceso a la web durante el fin de semana. Al especificar un rango
de IP interno de 192.168.1.100 a 192.168.1.255, la identificación basada en IP aplicará esta regla a
todas las computadoras en la LAN que reciban una concesión de DHCP en este rango de IP.

Página 7 de 10
Nombre
Un nombre único que identifica el control de acceso.
Tipo de ACL
Establece el tipo de regla de ACL: permitir o denegar. Permitir proporciona acceso web al usuario /
computadora... Denegar prohíbe el acceso a la web.
Tiempo-de-día ACL
Hace referencia a una regla de hora única del día. El menú desplegable estará vacío y se mostrará
un vínculo para crear un nuevo período de tiempo si no se han creado definiciones de tiempo.
Restricción
Determina si la regla de ACL se aplicará al período de tiempo definido o todo el tiempo fuera del
período de tiempo definido. Por ejemplo, si definió un nombre de período de tiempo Almuerzo que
se definió como 12:00 - 13:00 de lunes a viernes y quería que se aplicara una regla específica durante
la hora del almuerzo, seleccione Dentro. Por el contrario, si desea que se aplique una regla para
todas las horas fuera del período del almuerzo, debe seleccionar Fuera.
Método de identificación
Dependiendo de su configuración de proxy, son posibles hasta tres métodos diferentes de
identificación de usuario / máquina: nombre de usuario, dirección IP y dirección MAC.
Nombre de usuario: la autenticación basada en el nombre de usuario solo está disponible si tiene
habilitada la Autenticación de usuario. Los usuarios deben proporcionar credenciales de inicio de
sesión y tener acceso al servidor proxy (según lo definido por la configuración de la cuenta de
usuario. Una vez que se haya iniciado sesión en una sesión de proxy, se aplicarán las reglas
de ACL basadas en el nombre de usuario).
Dirección IP: para restringir el acceso web a una computadora en particular o varias computadoras
(por ejemplo, un laboratorio de computación), se puede usar la identificación basada en la dirección
IP. Se puede agregar una sola dirección IP o un rango de direcciones IP (separadas por un
guión). Los ejemplos de entrada válidos incluyen:
 192.168.1.100
 10.0.0.121
 192.168.1.100-192.168.1.150
La dirección IP representa la dirección de la máquina que se conecta al proxy. Dado que la
computadora está ubicada en el segmento LAN de la red, cualquier dirección o rango IP enumerados
aquí debe estar restringido a | dirección IP interna o rango

Página 8 de 10
* Dirección MAC * - Una dirección MAC es un identificador único que se origina en la tarjeta de red
de una computadora. Las direcciones MAC pueden ser una buena alternativa a las direcciones IP si
un administrador no bloquea la configuración de red de una máquina que podría permitir a un usuario
inteligente esquivar una regla de control de acceso basada en direcciones IP. Se debe obtener una
dirección MAC de la máquina y depende del sistema operativo. Consulte Consejos y trucos para
obtener información sobre cómo determinar una dirección MAC.
Prioridad de ACL
Las nuevas reglas de ACL se agregan al final de la lista... es decir, las nuevas reglas comienzan con
la prioridad más baja.
El servidor proxy analiza cada regla en orden sucesivo... comenzando desde arriba y trabajando a
través de cada regla. La primera regla que coincide con una condición verdadera detiene el
procesamiento y permite (o niega, dependiendo del tipo de regla) el acceso a la web.
En el siguiente ejemplo, hay tres reglas... Todos los empleados tienen la prioridad más alta, seguidos
por LunchHourStaff y finalmente (prioridad más baja) HourlyEmployees.

Para comprender las prioridades, probablemente sea más fácil seguir algunos escenarios.
Sábado: dado que es un fin de semana y mediante la creación de las reglas de Todos los empleados,
todas las direcciones IP de la LAN se han definido en la creación de la ACL, todas las computadoras
de la LAN tendrán acceso a la web, independientemente de MAC o nombre de usuario basado
en ACL e independientemente de si es la hora del almuerzo (por ejemplo, 12pm - 1pm) o no. En este
caso, se aplica la primera regla (Todos los empleados) (devuelve verdadero) y no se procesa las
reglas adicionales.
Lunes a las 12:15 p.m. - Todos los usuarios que usan computadoras cuyas IP se han agregado a la
lista de IP de LunchHourlyEmployees tendrán acceso a la web.
Lunes a la 1:15 p.m.: a todos los usuarios que usan computadoras cuyas IP se agregaron a la lista
de IP de Empleados por hora se les denegará el acceso a la web. Esto se debe a que se aplica la
tercera regla ya que las dos primeras reglas no devolvieron una declaración verdadera. Cualquier
usuario que esté usando una computadora cuya IP no esté incluida en la regla HourlyEmployees
tendrá acceso a la web.

De manera predeterminada, si las reglas de ACL no

son verdaderas (por ejemplo, se ejecutan como allow / deny), un usuario tiene permitido el acceso a
la web. Para aplicar una regla de bloque de mantilla, cree una ACL de rango IP usando el tipo de
denegación junto con una definición de tiempo de 00:00 - 24:00.

Página 9 de 10
Use las flechas hacia arriba y hacia abajo en la página Resumen de ACL para aumentar la prioridad
de cualquier regla de ACL que cree a fin de imponer el acceso web a la hora del día. Consejos y
trucos
Encontrar una dirección MAC
Linux
En Linux, generalmente puede encontrar la dirección MAC utilizando las herramientas de
configuración de red. Desde la línea de comandos, también puede usar el comando ifconfig, por
ejemplo:
ifconfig eth0
Donde eth0 representa la tarjeta de red (Ethernet).
Windows
Para obtener la dirección MAC en Windows, haga clic en comienzoy seleccione la opción del
menú Ejecutar. Ingrese cmd en el campo de ejecución. Una vez que esté en el símbolo del sistema
de Windows, escriba:
ipconfig / all
y haz clic en entrar. Puede encontrar la dirección MAC al lado del campo Dirección física. Asegúrese
de obtener la dirección MAC del dispositivo correcto... puede haber más de uno si tiene una tarjeta
de red y una tarjeta de red inalámbrica.

Página 10 de 10