Habilitación proxy con detección
automática
El sistema de bloqueo con proxy usa varias partes para su integración “transparente” para el
usuario. Lo primero que debemos hacer es habilitar una opción en el servidor DHCP. Da lo mismo la
solución que se use puesto que todas soportan la inclusión de opciones DHCP. La opción es la 252,
tipo texto y todo lo que tiene que contener es una URL local que es donde se definirá un archivo que es
el que finalmente controla el tema de los accesos y qué va a pasar por el proxy. Esto se conoce como
archivo PAC, como referencia pal mata burro en este link sale como se construye y más detalles
[Link] .
Lo que se definió en la opción anterior fue una URL, [Link] Este archivo
tiene el siguiente contenido
01 function FindProxyForURL(url,host)
02 {
03 // If the requested website is hosted within the internal network, send direct.
04 if (isPlainHostName(host) ||
05 shExpMatch(host, "*.local") ||
06 isInNet(dnsResolve(host), "[Link]", "[Link]") ||
07 isInNet(dnsResolve(host), "[Link]", "[Link]") ||
08 isInNet(dnsResolve(host), "[Link]", "[Link]") ||
09 isInNet(dnsResolve(host), "[Link]", "[Link]"))
10 return "DIRECT";
11
12 return "PROXY [Link]:3128";
13 }
Como se puede apreciar la sintaxis es bastante fácil de entender, por lo que no la explicaré en
detalles. Sólo hago notar que en la línea 12 se define cuál es la dirección y puerto del proxy que se
definirá en los navegadores. Importante es deifnir cuáles son las redes locales a las que se accederá sin
proxy, prestar atención a las líneas entre la 06 y 09
� Se entenderá, para esta parte que es necesario contar con un servidor de página web, ¿Cuál? Da
lo mismo, lo importante es que se pueda servir el archivo en la red.
Con estos dos pasos lo que se logra es que los equipos con cualquier sistema operativo moderno
pueda automáticamente ir a buscar este archivo de definición. Sólo hay que recordar que la opción debe
estar habilitada en los equipos. Como muestra en Windows...
Sólo
debe estar seleccionada la primera opción que dice “Detectar la configuración automáticamente”
NOTA: Si seleccionas la opción donde dice “Servidor proxy” lo estarás definiendo a mano en el
sistema. Funciona, pero si son 200 equipos es paja nivel Montero.
Ahora, hecho estas configuraciones necesitas definir el proxy, el cual puede estar ene l mismo
FW u otro equipo o la wea que sea. Yo uso Squid v3. Sobre la instalación no te diré nada ya que eso lo
sabes. Usa la distribución que más quieras. Te adjunto un archivo de configuración 100% probado y
con horarios para que veas como se definen las reglas. Te comentaré algunas importantes y el resto las
ves tu. Todas las otras definiciones déjalas como están porque me acuerdo que las investigué y
modifiqué para que tengan el mejor desempeño. Ahora, sin embargo, no me acuerdo de re niuna de esas
weas específicas que hice. XD
� Finalmente en el FW debes negar toda conexión hacia el exterior, puerto destino 80, 443 desde
cualquier equipo de la LAN, con excepción del proxy el cual vendría a ser el único equipo que puede
de hecho navegar. Así te cagas a todos los demas, si definen algún otro proxy o lo desactivan a mano.
Como todo buen administrador de red con pelo en pecho la regla por defecto es negar todo y permitir
sólo que tu dejes pasar. Nunca al revés.
