Escolar Documentos
Profissional Documentos
Cultura Documentos
Proxy web
El proxy web en ClearOS es un servidor proxy de almacenamiento en caché de alto rendimiento para
clientes web, compatible con HTTP, FTP y algunos protocolos menos conocidos. El software no solo
ahorra ancho de banda y acelera el tiempo de acceso, sino que también brinda a los administradores
la capacidad de rastrear el uso de la web a través de informes basados en la web.
Si usted es nuevo en ClearOS y / o la creación de un servidor proxy, es posible que desee hacer
referencia a la Guía de Configuración de proxy web, filtro de contenido y la Guía de control de
acceso .
Instalación
Si su sistema no tiene esta aplicación disponible, puede instalarla a través del Marketplace .
Menú
Puede encontrar esta característica en el sistema de menú en la siguiente ubicación:
Gateway | Filtro de contenido y Proxy | Web Proxy
Configuración
Configuraciones
Autenticacion de usuario
Si desea solicitar un nombre de usuario / contraseña para el acceso web, puede habilitar la
autenticación de usuario.
La autenticación de usuario no se puede usar junto con el modo transparente. Si necesita
autenticación de usuario, entonces se requiere un modo no transparente. ¡Esto no es una limitación
del software, sino una limitación de la forma en que se diseñó el protocolo web!
Modo transparente
En el modo transparente, todas las solicitudes web de la red local pasan automáticamente a través
del proxy. La ventaja: no se requieren cambios de configuración en las estaciones de trabajo. La
desventaja es que los sitios web seguros (HTTPS) no pueden fluir a través del proxy.
Dado que el tráfico de red debe ser interceptado antes de salir de Internet, este modo solo está
disponible cuando ClearOS está configurado como una puerta de enlace.
Nivel de desempeño
El nivel de rendimiento indica el tamaño de la red que puede admitir su sistema. La Community
Edition está diseñada para redes domésticas / pequeñas y ya está optimizada para 10 usuarios o
menos. Professional Edition realiza la optimización automática en función de los recursos del sistema
disponibles.
Configuraciones de caché
Tamaño máximo de caché
El tamaño máximo en su disco duro para usar para el caché del servidor proxy.
Tamaño máximo del objeto
Cualquier archivo (imagen, página web, PDF, etc.) por encima del tamaño máximo del objeto seguirá
pasando por el proxy, pero no se almacenará en caché. Los archivos grandes (por ejemplo, un
archivo de película) pueden ocupar mucho espacio en su caché de proxy. Si tiene un tamaño de
caché de 2 Gb y dos personas descargan archivos de 1 Gb al mismo tiempo, estos dos archivos
reemplazarán todo lo demás en su caché. Puede limitar el tamaño máximo del objeto para evitar
este tipo de escenario.
Tamaño máximo de archivo de descarga
Si desea limitar las descargas de archivos grandes (por ejemplo, películas), puede establecer un
tamaño máximo. Cualquier archivo por encima de este límite de tamaño será bloqueado.
Página 1 de 10
Bypass del sitio web
En algunas circunstancias, puede necesitar pasar por alto el servidor proxy. Por lo general, esto es
necesario para los sitios web que no son compatibles con los servidores proxy. Algunos ejemplos
notables:
Los servidores web de Microsoft IIS anteriores envían respuestas de servidor web no válidas
Los servidores web de Microsoft IIS se pueden configurar con autenticación no estándar
Los grabadores de video personales (PVR) de Tivo no pueden conectarse a través de un
servidor proxy. Agregar la red de Tivo 204.176.0.0/14 a la lista de desvíos de proxy resuelve
el problema.
Puede usar el siguiente formato para el desvío:
Nombre del Sitio Web
dirección IP
Notación de red (recomendado)
Si está ejecutando el proxy en modo no transparente, entonces también debe ajustar la configuración
del servidor proxy del navegador web. El sitio web o la dirección IP que agregue a la lista de omisión
de proxy web de ClearOS también se debe agregar a la lista de excepciones de proxy de su
navegador.
Proxy FTP
De las preguntas frecuentes de Squid Web Proxy:
Pregunta: ¿Puedo hacer que mis clientes FTP usen un caché de Squid?
Respuesta: No es posible. Squid solo acepta solicitudes HTTP.
Solución de problemas
La página web o el archivo solicitado son demasiado grande
Si ve el mensaje La página web solicitada o el archivo es demasiado grande en su navegador web,
cambie el parámetro Tamaño máximo de archivo de descarga descrito anteriormente.
Página 2 de 10
Filtro de contenido
El software de filtrado de contenido bloquea sitios web inapropiados del usuario final. El software
también se puede usar para hacer cumplir las políticas de la compañía; por ejemplo, bloquear sitios
de correo web personales como Hotmail puede reducir la productividad perdida en la oficina.
El motor de filtro utiliza una variedad de métodos que incluyen la coincidencia de frase, filtrado
de URL y listas negras / blancas. Aunque el filtro funciona efectivamente 'listo para usar', para
obtener mejores resultados, recomendamos suscribirse a un nivel de servicio que incluya el servicio
'Actualización del filtro de contenido' (consulte el enlace Servicios a continuación). Al mantener su
lista negra actualizada, le proporcionará a su LAN la solución de bloqueo más efectiva contra el
"abandono" de sitios que cambian a diario.
Puede encontrar más información sobre la tecnología subyacente en el documento Ins y Outs
Filtering de contenido .
Si es nuevo en ClearOS y / o configura una política de filtro de contenido, le recomendamos consultar
la Guía para configurar el proxy web, el filtro de contenido y la Guía de control de acceso .
Instalación
Si su sistema no tiene esta aplicación disponible, puede instalarla a través del Marketplace .
Menú
Puede encontrar esta característica en el sistema de menú en la siguiente ubicación:
Gateway | Proxy y filtrado | Filtro de contenido
Sin embargo, las direcciones / URL HTTPS no están encriptadas. Si el filtrado de sitios HTTPS es
importante, se recomiendan las listas negras regularmente actualizadas de la aplicación de
pago Content Filter Updates.
Página 3 de 10
Configuración
La herramienta de administración basada en la web le da acceso a una serie de configuraciones. El
filtro debe ejecutarse en paralelo con el servidor Proxy Web.
El servicio de filtro de contenido está habilitado cuando se está ejecutando el servicio de filtro de
contenido y el servidor proxy. Para determinar si estos servicios se están ejecutando, busque la barra
de estado de la aplicación en el lado derecho de la interfaz basada en web. Encontrará un campo de
estado junto con los controles de inicio / detención para alternar el servicio.
Ajustes globales
La configuración global se aplica a todos los usuarios, independientemente del grupo de filtro de
contenido que se aplica al usuario que navega por los sitios web desde la red de área local (LAN). De
hecho, los ajustes explícitamente eximen o prohíben que un dispositivo en la LAN use el servicio
proxy / filtro de contenido. Un dispositivo se identifica por su dirección IP de origen.
Si está utilizando una exención global o direcciones IP prohibidas, es una buena práctica asegurarse
de que estos sistemas tengan asignadas direcciones IP estáticas.
Políticas de grupo
Las configuraciones de directiva de grupo le permiten a un administrador "ajustar" cómo el filtro de
contenido aplica políticas a diferentes usuarios. Para ello, se crean y configuran políticas de grupo
(que no deben confundirse con la Política de grupo de Windows AD). Los usuarios se asignan a un
grupo que dicta qué políticas se aplican en sus hábitos de navegación.
El motor de filtro de contenido admite hasta 9 políticas de grupo diferentes, cada una de las cuales
se puede configurar según las preferencias de los administradores.
Sea descriptivo al nombrar las políticas de su grupo. Por ejemplo, una escuela puede tener políticas
nombradas para los tipos de personas que podrían estar accediendo a Internet desde la escuela:
personal de apoyo, docentes, estudiantes, padres, visitantes, etc.
Cuando configura por primera vez el motor de filtro de contenido, ya se creó una política de grupo,
denominada "Predeterminado". De manera predeterminada, esta política de grupo se aplica a todos
los usuarios. Si a un usuario se le asigna una política de grupo de filtro de contenido, esta
configuración sustituirá a la política de grupo predeterminada.
La política de grupo predeterminada no se puede eliminar, ni se puede modificar la configuración
predeterminada de 'usuarios'. Puede (y debe) modificar la configuración de este grupo para cumplir
con la filtración deseada de cualquier usuario que no caiga en una política superior.
Página 4 de 10
Como se mencionó anteriormente, se pueden crear hasta 9 (incluidas las políticas predeterminadas)
políticas de grupo para el filtro de contenido. Para agregar una política, haga clic en Agregar en la
lista de la tabla de Política de grupo.
La única configuración que se debe realizar después de crear una política de grupo es asignarle un
grupo real. Los usuarios pueden asignarse a grupos: así es como el filtro aplicará configuraciones
específicas.
El filtrado basado en las direcciones IP del dispositivo no es actualmente compatible a través de
webconfig.
Configuración general
Nivel de sensibilidad
El nivel de sensibilidad es una escala arbitraria que permite un ajuste "grosero" de la sensibilidad de
filtro de frase. Aumentar el nivel de sensibilidad significa que un número menor de frases / palabras
incorrectas hará que el filtro bloquee la página.
Nivel de PICS
Un estándar de Internet para calificar contenido web. Esta configuración tendrá poca importancia ya
que los sitios administran por sí mismos este parámetro. Como regla general, la recomendación es
desactivar esta configuración.
Nivel de informes
Hay varias opciones disponibles para personalizar lo que ve un usuario cuando el filtro bloquea una
página:
Modo Stealth: el sitio no está bloqueado ... La IP del usuario y el sitio están registrados
Acceso denegado: el navegador del usuario recibirá un 'Acceso denegado' en lugar de la
página web.
Informe corto: se mostrará un mensaje de error corto 'burbuja' como el que se muestra a
continuación
Informe completo: igual que el anterior, pero se mostrarán el límite ponderado y el valor real
(útil para ajustar el sistema).
Informe personalizado: utiliza la plantilla HTML personalizable
Página 5 de 10
Bloquear dominios de IP
Se usa para evitar que los usuarios circunnaveguen la parte del filtro basada en URL utilizando
direcciones IP en lugar de URL. Las páginas se seguirán filtrando en función de los otros
mecanismos de filtrado: frases pesadas, tipos de mímica, extensiones de archivos, etc.
Bloque Manta
La configuración más restrictiva. Todos los sitios serán bloqueados con la excepción de aquellos
listados en la lista de exentos. Útil para kioscos / terminales públicos donde se usa un navegador
para acceder a un sitio de la compañía, etc.
Listas negras
El sistema de filtro de contenido usa listas negras para bloquear sitios web específicos. Puede ajustar
con precisión las listas negras del filtro de contenido especificando qué listas usar. Tenga en cuenta
que estas listas se actualizan semanalmente por el Servicio de actualización del filtro de contenido si
se ha suscrito a ese servicio.
Listas de frases
El sistema de filtro de contenido usa listas de frases para calcular un puntaje para cada página
web. Puede ajustar su puntuación del filtro de contenido especificando qué listas de frase usar.
En general, querrá que las listas de frases que seleccione aquí se correspondan con las listas negras
que está utilizando. Como mínimo, querrá incluir la lista de frases de proxies para evitar que los
usuarios eludan el filtro.
Tenga en cuenta que más frases ponderadas activadas para el filtro de contenido significan que el
filtro tardará más tiempo en mirar cada página. Se recomienda que si está utilizando un servidor de
baja potencia, limite el número de listas de frases ponderadas que utiliza y, en su lugar, utilice más
listas negras.
Tipos MIME
Los tipos MIME instruyen a un navegador para que utilice ciertas aplicaciones para mostrar la
codificación del contenido. Los exploits de seguridad en las aplicaciones se pueden usar para
infiltrarse en una computadora. Los tipos MIME marcados en el formulario "Tipos MIME prohibidos"
no podrán pasar a través del firewall ni a la computadora que realiza la solicitud en la LAN ,
proporcionando un entorno más seguro.
Extensiones de archivo
La prohibición de extensiones de archivos específicos es una herramienta útil para limitar el
contenido disponible para los usuarios en la LAN . También puede disminuir en gran medida las
posibilidades de que los usuarios descarguen y ejecuten involuntariamente código 'arbitrario'
descargado de Internet que podría contener virus o spyware de otro código malicioso.
Al marcar la casilla junto a una extensión, no permite que los usuarios filtrados accedan a este tipo
de archivo. Si desea que se bloquee una extensión y no aparece en la lista disponible, agréguela a
la lista con el formulario "Agregar un nuevo tipo de extensión".
Sitios prohibidos
Los sitios ingresados en la "Lista de sitios prohibidos" quedarán prohibidos, independientemente del
contenido del sitio, o de si el sitio está en una de las listas negras.
Sitios grises
Los sitios ingresados en la "Lista de sitios grises" no serán bloqueados por las listas negras, pero se
seguirán verificando para ver su contenido. Por ejemplo, puede tener habilitada la lista negra
de noticias para evitar que la gente pierda el tiempo durante el día laboral. Sin embargo, es posible
que también haya decidido permitir solo las noticias de la BBC. Si agrega bbc.co.uk a la lista de
excepciones, se permitirán todas las páginas web. Si agrega bbc.co.uk a la lista gris, la mayoría de
las páginas pasarán muy bien, pero esta página levemente agresiva y otras pueden quedar
bloqueadas por el sistema de listas de frases.
Sitios de excepción
Los sitios ingresados en la "Lista de sitios exentos" serán permitidos, independientemente del
contenido del sitio. Utilice este formulario si el contenido de un sitio activa un "falso positivo" que
desea anular.
Página 6 de 10
Control de acceso web
El control de acceso basado en el tiempo permite a un administrador imponer el acceso web de la
hora a los usuarios o computadoras (dirección IP o MAC) usando el proxy web.
Si es nuevo en ClearOS y / o configura un Control de acceso web, le recomendamos que consulte
la Guía para configurar el proxy web, el filtro de contenido y la Guía de control de acceso .
Instalación
Si no seleccionó este módulo para ser incluido durante el proceso de instalación, primero
debe instalar el módulo .
Menú
Puede encontrar esta característica en el sistema de menú en la siguiente ubicación:
Gateway | Proxy y filtrado | Control de acceso web
Configuración
Agregar periodos de tiempo
Los períodos de tiempo definen el día de la semana (por ejemplo, lunes, martes...) y la hora del día
(por ejemplo, 12:00 - 13:00) que debe aplicarse una regla de control de acceso. SeleccionarAñadir /
editar período de tiempo desde el menú de la pestaña de configuración web a:
mostrar y / o editar un período de tiempo actualmente definido
agregar una nueva definición de período de tiempo
eliminar una definición de período de tiempo existente
Al eliminar un período de tiempo, se eliminará cualquier regla de control de acceso que dependa de
la definición del período de tiempo que se elimine.
Página 7 de 10
Nombre
Un nombre único que identifica el control de acceso.
Tipo de ACL
Establece el tipo de regla de ACL: permitir o denegar. Permitir proporciona acceso web al usuario /
computadora... Denegar prohíbe el acceso a la web.
Tiempo-de-día ACL
Hace referencia a una regla de hora única del día. El menú desplegable estará vacío y se mostrará
un vínculo para crear un nuevo período de tiempo si no se han creado definiciones de tiempo.
Restricción
Determina si la regla de ACL se aplicará al período de tiempo definido o todo el tiempo fuera del
período de tiempo definido. Por ejemplo, si definió un nombre de período de tiempo Almuerzo que
se definió como 12:00 - 13:00 de lunes a viernes y quería que se aplicara una regla específica durante
la hora del almuerzo, seleccione Dentro. Por el contrario, si desea que se aplique una regla para
todas las horas fuera del período del almuerzo, debe seleccionar Fuera.
Método de identificación
Dependiendo de su configuración de proxy, son posibles hasta tres métodos diferentes de
identificación de usuario / máquina: nombre de usuario, dirección IP y dirección MAC.
Nombre de usuario: la autenticación basada en el nombre de usuario solo está disponible si tiene
habilitada la Autenticación de usuario. Los usuarios deben proporcionar credenciales de inicio de
sesión y tener acceso al servidor proxy (según lo definido por la configuración de la cuenta de
usuario. Una vez que se haya iniciado sesión en una sesión de proxy, se aplicarán las reglas
de ACL basadas en el nombre de usuario).
Dirección IP: para restringir el acceso web a una computadora en particular o varias computadoras
(por ejemplo, un laboratorio de computación), se puede usar la identificación basada en la dirección
IP. Se puede agregar una sola dirección IP o un rango de direcciones IP (separadas por un
guión). Los ejemplos de entrada válidos incluyen:
192.168.1.100
10.0.0.121
192.168.1.100-192.168.1.150
La dirección IP representa la dirección de la máquina que se conecta al proxy. Dado que la
computadora está ubicada en el segmento LAN de la red, cualquier dirección o rango IP enumerados
aquí debe estar restringido a | dirección IP interna o rango
Página 8 de 10
* Dirección MAC * - Una dirección MAC es un identificador único que se origina en la tarjeta de red
de una computadora. Las direcciones MAC pueden ser una buena alternativa a las direcciones IP si
un administrador no bloquea la configuración de red de una máquina que podría permitir a un usuario
inteligente esquivar una regla de control de acceso basada en direcciones IP. Se debe obtener una
dirección MAC de la máquina y depende del sistema operativo. Consulte Consejos y trucos para
obtener información sobre cómo determinar una dirección MAC.
Prioridad de ACL
Las nuevas reglas de ACL se agregan al final de la lista... es decir, las nuevas reglas comienzan con
la prioridad más baja.
El servidor proxy analiza cada regla en orden sucesivo... comenzando desde arriba y trabajando a
través de cada regla. La primera regla que coincide con una condición verdadera detiene el
procesamiento y permite (o niega, dependiendo del tipo de regla) el acceso a la web.
En el siguiente ejemplo, hay tres reglas... Todos los empleados tienen la prioridad más alta, seguidos
por LunchHourStaff y finalmente (prioridad más baja) HourlyEmployees.
Para comprender las prioridades, probablemente sea más fácil seguir algunos escenarios.
Sábado: dado que es un fin de semana y mediante la creación de las reglas de Todos los empleados,
todas las direcciones IP de la LAN se han definido en la creación de la ACL, todas las computadoras
de la LAN tendrán acceso a la web, independientemente de MAC o nombre de usuario basado
en ACL e independientemente de si es la hora del almuerzo (por ejemplo, 12pm - 1pm) o no. En este
caso, se aplica la primera regla (Todos los empleados) (devuelve verdadero) y no se procesa las
reglas adicionales.
Lunes a las 12:15 p.m. - Todos los usuarios que usan computadoras cuyas IP se han agregado a la
lista de IP de LunchHourlyEmployees tendrán acceso a la web.
Lunes a la 1:15 p.m.: a todos los usuarios que usan computadoras cuyas IP se agregaron a la lista
de IP de Empleados por hora se les denegará el acceso a la web. Esto se debe a que se aplica la
tercera regla ya que las dos primeras reglas no devolvieron una declaración verdadera. Cualquier
usuario que esté usando una computadora cuya IP no esté incluida en la regla HourlyEmployees
tendrá acceso a la web.
Página 9 de 10
Use las flechas hacia arriba y hacia abajo en la página Resumen de ACL para aumentar la prioridad
de cualquier regla de ACL que cree a fin de imponer el acceso web a la hora del día. Consejos y
trucos
Encontrar una dirección MAC
Linux
En Linux, generalmente puede encontrar la dirección MAC utilizando las herramientas de
configuración de red. Desde la línea de comandos, también puede usar el comando ifconfig, por
ejemplo:
ifconfig eth0
Donde eth0 representa la tarjeta de red (Ethernet).
Windows
Para obtener la dirección MAC en Windows, haga clic en comienzoy seleccione la opción del
menú Ejecutar. Ingrese cmd en el campo de ejecución. Una vez que esté en el símbolo del sistema
de Windows, escriba:
ipconfig / all
y haz clic en entrar. Puede encontrar la dirección MAC al lado del campo Dirección física. Asegúrese
de obtener la dirección MAC del dispositivo correcto... puede haber más de uno si tiene una tarjeta
de red y una tarjeta de red inalámbrica.
Página 10 de 10