Si queremos enviar o visualizar un archivo de configuración pero sin los comentarios que aparecen precedidos de “#” solo hacemos:
$ sudo cat /etc/squid/squid.conf | grep -v "#"
:wq!
En caso de tener implementado Squid como proxy de nuestra red les dejo los pasos necesarios para permitir la navegación por algunos sitios web a nuestra elección a un grupo de usuarios de nuestra red.
1.- Creas una lista con las webs permitidas, por ejemplo en /etc/squid/webs_permitidas
2.- Creas una lista con las maquinas a filtrar, por ejemplo en /etc/squid/pcs
3.- Añades lo siguiente al /etc/squid/squid.conf:
En el ejemplo definimos que los archivos iso cuando lleguen a 15 mb de descarga, sean descargados a 16kb/s.
delay_pools 1
delay_class 1 1
delay_parameters 1 16384/15728640
acl ficheros_iso url_regex \.iso$
delay_access 1 allow ficheros_iso
:wq!
Mas info aquí.
Para muchos sysdmins que administran redes donde se emplea filtrado de contenidos una de las tareas mas difíciles es tratar de mantenerse al día con las alternativas que los usuarios emplean para evadir estos filtros.
Dado un esquema de red donde para salir a internet los clientes deben pasar por un proxy (squid) con filtrado de contenidos (dansguardian) me sucedió lo siguiente:
Hace unos días me reportan de uno de los puestos de trabajo que en determinadas sitios o en las búsqueda de imágenes de google les aparecía:
Se han solucionado varios errores de comprobación de límites y validación de datos de entrada en el control de las cabeceras HTTP de SQUID 3.x. Las vulnerabilidades podrían ser aprovechadas por un atacante remoto para causar una denegación de servicio a través del envió de cabeceras HTTP especialmente manipuladas.
Copio y pego este artículo ya que me pareció muy interesante.
Aún no pude probarlo pero en unos días publicaré sobre mis pruebas.
El tema de implementar un proxy transparente es como todo muy extenso de explicar en profundidad, asi que a la solicitud de muchos usuarios preguntando como configurarlo les dejamos solo 2 líneas que en general son las que faltan en las configuraciones.
En /etc/squid/squid.conf
http_port 3128 transparent
y luego en nuestro script de iptables
iptables -t nat -A PREROUTING -s 0/0 -d 0/0 -p tcp –dport 80 -j REDIRECT –to-port 3128
:wq!
Mas info aquí, aquí, aquí y aquí.
Les dejo un enlace a un muy interesante artículo del blog de mey donde se trata el tema de las cabeceras TCP IP cuando se implementa Dansguardian antes que Squid.
Salu2.
Un problema con los proxys como Squid es que algunos sitios web no se ven correctamente porque el proxy las cachea y no las refresca. Para solucionarlo posteo como decirle que no cachee ciertas paginas Web.
Para ello lo que haremos es crear un archivo de texto como /etc/squid/sites_exclude_proxy.conf y colocar dentro los dominios que no queremos cachear.
SuSE ha publicado una actualización para múltiples paquetes de diversos productos SuSE Linux que corrigen numerosos problemas de seguridad. De forma resumida, las vulnerabilidades son:
Para los usuarios mas nóveles les dejo un enlace a un MiniCOMO sobre Squid y algunas de sus características.
Mas info aquí, aquí, aquí, aquí, aquí, aquí, aquí, aquí, aquí, aquí, aquí, aquí y aquí.
:wq!
Muchas veces he visto archivos de configuración en donde la cantidad de comentarios terminando complicando la lectura del mismo.
Les dejo un tip para poder mostrar el archivo sin #
# grep -v "^#" /etc/squid/squid.conf | sed -e '/^$/d'
o
# cat /etc/squid/squid.conf | sed '/ *#/d; /^ *$/d'
:wq!
El servicio MSN, a nivel laboral, es el primer dolor de cabeza en las Instituciones y Empresas, tanto para el Jefe, como el Administrador de la Red. Tradicionalmente se utiliza (bajo Software Libre) una combinación de iptables+squid para bloquearlo, lo cual el computador tiene que procesar el bloqueo del puerto 1863 (en iptables) más el application/x-msn-messenger en Squid. Pero según Nelson e Jordão un Analista de Sistemas de Brasil, todo se puede resolver con sólo una línea de código en el cortafuegos.
