28/6/22, 12:53 SAD05.- Instalación y configuración de un servidor proxy.

Instalación y configuración de un servidor

proxy.

Caso práctico
—Veo que la seguridad de nuestra red ha mejorado,
pero ahora me preocupa otra cosa.

—¿Qué es lo que te preocupa María?

—Creo que con tanto informatizar la empresa, hay

gente que se dedica a navegar por Internet en horario
de trabajo ¿Se podría impedir?

—No se puede cortar el acceso a Internet porque lo

necesitamos para trabajar, pero se pueden filtrar las
web a las que tengan acceso con la configuración de
un proxy.
Nate Steiner (CC0)

Juan le va a explicar a María y a Félix, las ventajas

de tener un proxy instalado en su red y lo asequible y fácil de administrar que
es.

En esta unidad aprenderás las características más importantes de un servidor proxy.

La unidad de trabajo comienza exponiendo los distintos tipos de proxy, así como sus
características y funciones principales.  También se nombran situaciones en las que es
conveniente instalar uno u otro tipo.

Los conceptos que siguen explican como instalar un servidor proxy. Se utiliza un ejemplo
con el software de libre distribución, Squid y el sistema operativo Linux para poder facilitar
su puesta en práctica.

Una vez que se ha tratado la instalación del servidor se habla también de la configuración
en el cliente.

La unidad prosigue abordando la configuración específica del servidor y de los parámetros

modificables en el fichero squid.conf para poder gestionar la memoria caché, los filtros y la
autenticación de usuarios.

Los dos puntos siguientes tratan de los proxies inversos y de los proxies encadenados y su
funcionalidad para navegar en Internet, así como de la herramienta proxychains.

La unidad sigue en su penúltimo punto con las pruebas de funcionamiento, analizando

posibles mensajes en el fichero log.

Por último, se comenta la existencia de herramientas gráficas para gestionar los proxies,
entre ellas Zentyal.

https://www.adistanciafparagon.es/pluginfile.php/9385/mod_resource/content/2/SAD05_v1/ArchivosUnidad/Moodle/SAD05_completa_offline/SA… 1/50
28/6/22, 12:53 SAD05.- Instalación y configuración de un servidor proxy.

Ministerio de Educación y Formación Profesional (Dominio público)

Materiales formativos de FP Online propiedad del Ministerio de

Educación y Formación Profesional.
Aviso Legal

https://www.adistanciafparagon.es/pluginfile.php/9385/mod_resource/content/2/SAD05_v1/ArchivosUnidad/Moodle/SAD05_completa_offline/SA… 2/50
28/6/22, 12:53 SAD05.- Instalación y configuración de un servidor proxy.

1.- ¿Qué es un proxy?.

Caso práctico
—María, creo que por ahora nos bastará con un proxy
transparente.

—¿Qué es eso, Laro?

—Un tipo de proxy. Si lo configuramos bien, ninguno de

los empleados sabrá que está usándolo.

—¿Pero les impedirá el acceso a las web que nosotros

queramos?

—Sí, eso por supuesto. Voy a llamar a las alumnas de la

FCT para explicarles a ellas y a ti los tipos de
Alain Bachellier (CC BY-NC-
SA) proxies existentes, sus funciones y características.

Un proxy es un dispositivo hardware o

software que suplanta a otro en una
comunicación informática, convirtiéndose en
un intermediario o sustituto. Utilizado para
las conexiones de red, un proxy es capaz de
almacenar las peticiones de servicios por
parte de los clientes y las respuestas de los
servidores, en una memoria intermedia,
para agilizar las conexiones sucesivas. Por
El Taller del Bit (CC BY-SA)
tanto, es un equipo de la red que se encarga
de recibir peticiones de recursos de red de
los equipos clientes y gestionarlas por ellos, respondiéndoles a sus peticiones cuando
hayan terminado dicha gestión. Si alguna de las peticiones realizadas por los equipos
clientes no cumple las reglas establecidas por el administrador, dichas peticiones serán
descartadas.

En general, el uso principal del proxy es controlar el acceso que desde la red interna se
hace de Internet.

Además de la función de intermediario para agilizar las conexiones, un proxy también

realiza otras funcionalidades adicionales relacionadas con la seguridad como:

Autenticación de usuarios.
Filtrado del tráfico.
Creación de ficheros log.

https://www.adistanciafparagon.es/pluginfile.php/9385/mod_resource/content/2/SAD05_v1/ArchivosUnidad/Moodle/SAD05_completa_offline/SA… 3/50
28/6/22, 12:53 SAD05.- Instalación y configuración de un servidor proxy.

En términos generales, los proxies se pueden clasificar en los siguientes tipos:

Proxy NAT.
Proxy anónimo.
Proxy Web.
Proxy inverso.
Proxy abierto.
Proxy transparente

La elección de cualquiera de ellos está sujeta a las necesidades del sistema, puesto que
unos son más adecuados para acelerar las conexiones y otros para mejorar la seguridad.

Autoevaluación
La diferencia entre un proxy y un firewall es:

No hay diferencia.
El firewall hace de proxy.

El firewall es por software y el proxy por hardware.

El proxy puede hacer de firewall.

Incorrecto. Si la hay, lo más conveniente es tener un firewall y un proxy

en una instalación.

Incorrecta. Los firewall no pueden hacer todas las funciones de un proxy.

Incorrecto. Existen soluciones hardware y software para proxy y firewall.

Muy bien! Un proxy se puede configurar para que actúe como un tipo de
firewall, discriminando determinadas direcciones IP.

Solución
https://www.adistanciafparagon.es/pluginfile.php/9385/mod_resource/content/2/SAD05_v1/ArchivosUnidad/Moodle/SAD05_completa_offline/SA… 4/50
28/6/22, 12:53 SAD05.- Instalación y configuración de un servidor proxy.

1. Incorrecto
2. Incorrecto
3. Incorrecto
4. Opción correcta

https://www.adistanciafparagon.es/pluginfile.php/9385/mod_resource/content/2/SAD05_v1/ArchivosUnidad/Moodle/SAD05_completa_offline/SA… 5/50
28/6/22, 12:53 SAD05.- Instalación y configuración de un servidor proxy.

1.1.- Tipos de proxies y características.

La característica general de todos los proxies es que están compuestos de tres elementos
básicos:

Elementos destino.
Elementos clientes.
Reglas de acceso.

Los elementos destino o clientes serán las máquinas relacionadas con el proxy, y las reglas
de acceso permitirán o no que los elementos clientes se comuniquen con los elementos
destino.

Puesto que todo el tráfico que circula de la red interna hacia Internet y viceversa pasa por el
proxy, esta situación permite auditar el uso que se hace de Internet . Por ejemplo, se
pueden ver qué páginas se consultan con mayor frecuencia, qué usuarios hacen mayor
consumo de ancho de banda...

Por último, en función del tipo de proxy, algunas características más específicas son
descritas a continuación:

Proxy NAT Proxy anónimo Proxy Web Proxy inverso Proxy abierto

Proxy transparente

Proxy NAT
Enmascara las direcciones IP entre clientes y destino. Este tipo de proxy es muy útil
cuando se pretende compartir una misma dirección para acceder a Internet.

Proxy anónimo
Los elementos destino desconocen totalmente a los elementos clientes. Se utilizan
en muchos casos para poder saltar un firewall, o las medidas de seguridad
impuestas por el administrador del sistema que evitan que los usuarios se conecten
a sitios no permitidos en esa red.

https://www.adistanciafparagon.es/pluginfile.php/9385/mod_resource/content/2/SAD05_v1/ArchivosUnidad/Moodle/SAD05_completa_offline/SA… 6/50
28/6/22, 12:53 SAD05.- Instalación y configuración de un servidor proxy.

Proxy Web
También llamado Proxy Caché Web. Almacena las páginas web de los elementos
destino en memorias intermedias para poder servirlas a los clientes bajo demanda.
El uso de un proxy Web no introducirá retardos en la obtención de la información,
ya que si la página solicitada no está en la caché del proxy, se iniciará la búsqueda
normal en una fracción de tiempo muy pequeña. En cambio, si la página se
encuentra en la memoria caché, la página se obtiene con la velocidad de conexión
de la red local, que en cualquiera de los casos es superior a la de Internet.

Proxy inverso
Se suele utilizar entre Internet y los servidores web. Este tipo de proxy se utiliza
para mejorar la seguridad y distribuir la carga  sobre los servidores. En esta
situación, es el proxy  quien soporta todas las peticiones y las reenvía a los
servidores web.

Proxy abierto
Acepta peticiones de cualquier equipo cliente, pertenezca o no a la red. Este tipo de
proxy tiene la ventaja de eliminar problemas de configuración en los clientes. Sin
embargo, la gran desventaja de no poder controlar quien lo usa, puede llevar a un
uso ilícito o molesto del mismo evadiendo responsabilidades (envío masivo de
SPAM).

Proxy transparente
Es una combinación de un proxy con NAT. En este caso, las conexiones se enrutan
hacia el proxy y en el equipo cliente no hay que hacer ninguna configuración. En la
mayoría de los casos en los que se emplea esta opción, el propio usuario
desconoce que se esté utilizando un proxy. Los administradores pueden emplearlos
como una medida de seguridad o para agilizar la conexión.

https://www.adistanciafparagon.es/pluginfile.php/9385/mod_resource/content/2/SAD05_v1/ArchivosUnidad/Moodle/SAD05_completa_offline/SA… 7/50
28/6/22, 12:53 SAD05.- Instalación y configuración de un servidor proxy.

Alextalker (CC BY-SA)

Se podría decir que los proxies actúan de manera similar a las pasarelas o gateways
comunicando dos redes diferentes, pero con una diferencia:

Son capaces de trabajar con protocolos de nivel aplicación, por lo que pueden
entender contenidos y otras características valiosas en cuestiones de seguridad.

Debes conocer
En el siguiente enlace puedes ver un vídeo sobre el concepto de servidor
Proxy: 

¿Qué es un proxy server?

Para saber más

En los siguientes enlaces puedes aprender un poco más sobre los tipos de
proxies, sus usos y diferencias con respecto a una VPN:

¿Qué es un proxy y para qué sirve?

Tipos de Proxies y usos

Diferencias entre proxy y una VPN

¿Cuáles son las diferencias entre un Proxy y una VPN?

https://www.adistanciafparagon.es/pluginfile.php/9385/mod_resource/content/2/SAD05_v1/ArchivosUnidad/Moodle/SAD05_completa_offline/SA… 8/50
28/6/22, 12:53 SAD05.- Instalación y configuración de un servidor proxy.

1.2.- Funciones.
Un proxy puede desempeñar, entre otras, las siguientes funciones principales:

Filtro de contenidos Proxy caché Firewall

Filtro de contenidos
Se da cuando el proxy puede seleccionar el tipo de contenidos accedidos por las
estaciones de trabajo.

Proxy caché
Quizás sea una de las funciones más desempeñadas. En este caso, un proxy es
capaz de almacenar las páginas consultadas por las estaciones de trabajo en una
memoria caché .  Con esto se aceleran las conexiones sucesivas, siendo capaz
de servir dichas páginas si se pierde la conexión a Internet de manera
momentánea.

Firewall
Si el proxy actúa como un intermediario que recoge conexiones y es capaz de
interrumpirlas o continuarlas, es evidente que puede funcionar como un firewall
del sistema.

Alextalker (CC BY-SA)

https://www.adistanciafparagon.es/pluginfile.php/9385/mod_resource/content/2/SAD05_v1/ArchivosUnidad/Moodle/SAD05_completa_offline/SA… 9/50
28/6/22, 12:53 SAD05.- Instalación y configuración de un servidor proxy.

Debes conocer
En los siguientes enlaces puedes ver unos vídeos sobre la integración de los
proxys en un red perimetral y las particularidades de un proxy inverso.

Integración de un proxy con otros elementos perimetrales

Proxy Vs Proxy Inverso

Autoevaluación
La diferencia entre un proxy transparente y un proxy anónimo:

El anónimo permite ver la IP del emisor.

El anónimo no implica ninguna configuración en el cliente.

El uso de un proxy anónimo implica que el cliente debe conocer los
datos de ese proxy.

El transparente implica que el cliente configure el navegador para poder

utilizarle.

Incorrecto. El proxy anónimo evita conocer quién es el cliente.

Incorrecto. Para poder utilizar un proxy anónimo es necesario

especificarlo en el cliente.

Muy bien!. El uso de un proxy anónimo implica que es muy difícil conocer
quién es el cliente, pero el cliente debe conocer el proxy para poder
configurar su navegador.

Incorrecto. Probablemente el cliente no sepa que está utilizando un

proxy transparente.

https://www.adistanciafparagon.es/pluginfile.php/9385/mod_resource/content/2/SAD05_v1/ArchivosUnidad/Moodle/SAD05_completa_offline/S… 10/50
28/6/22, 12:53 SAD05.- Instalación y configuración de un servidor proxy.

Solución

1. Incorrecto
2. Incorrecto
3. Incorrecto
4. Opción correcta

https://www.adistanciafparagon.es/pluginfile.php/9385/mod_resource/content/2/SAD05_v1/ArchivosUnidad/Moodle/SAD05_completa_offline/S… 11/50
28/6/22, 12:53 SAD05.- Instalación y configuración de un servidor proxy.

2.- Instalación y configuración de un

servidor proxy.

Caso práctico
—Juan, ¿cuánto nos va a costar esto del
proxy?

—Nada Félix, nuestras horas de trabajo para

poder instalarlo y configurarlo.

—¿Los proxies son gratuitos?

—No todos, pero los hay de libre distribución

que funcionan perfectamente. Let Ideas Compete (CC BY-NC-ND)

Juan, Laro y Vindio, van a explicar a las alumnas de la FCT la instalación de

Squid como servidor proxy. La elección se debe a que el equipo donde lo van
a alojar utiliza Linux como sistema operativo.

Al igual que ocurre con todo lo relacionado

con el software, en el caso de los proxies
también se encuentran herramientas
Mark James (CC BY-SA) gratuitas, de pago y de libre distribución. En
nuestro caso, se va a poner el foco de
atención en el uso de Squid , por ser el proxy de libre distribución más usado. 

Tiene una amplia variedad de utilidades que van desde acelerar un servidor web,
guardando en caché las peticiones recibidas, hasta añadir seguridad filtrando el
tráfico.  Squid puede hacer proxy y caché con los protocolos HTTP, HTTPS y FTP, entre
otros. Además, también permite trabajo en modo caché transparente, aceleración HTTP de
Servidores Web como Apache, caché de consultas DNS  y otras muchas más como,
filtración de contenido y control de acceso por IP y por usuario.

Está especialmente diseñado para ejecutarse bajo entornos tipo Unix, aunque tiene
versiones para otros sistemas operativos como Windows. También se puede encontrar
integrado en herramientas como pfSense, Zentyal , ...

En un sistema Linux, el primer paso es instalar el paquete mediante el comando:

root@linux-arubio:/home/arubio# apt-get install squid

https://www.adistanciafparagon.es/pluginfile.php/9385/mod_resource/content/2/SAD05_v1/ArchivosUnidad/Moodle/SAD05_completa_offline/S… 12/50
28/6/22, 12:53 SAD05.- Instalación y configuración de un servidor proxy.

Tras el proceso de instalación, se crearán

una serie de ficheros y directorios, entre los
que cabe destacar el fichero  squid.conf
creado en el directorio /etc/squid.

Los ficheros y directorios más importantes

son: 
Milesjpool (CC BY-SA)

El directorio /etc/squid, donde se

guardan los ficheros de configuración como el citado squid.conf.

Una parte importante de ficheros se encuentran en /usr/lib/squid.

La documentación se encuentra en /usr/share/doc/squid-x.x.x/

En /var/spool/squid se van a encontrar las páginas “cacheadas”, es decir, las traídas

desde Internet y que se almacenan para la próxima vez que las solicite algún otro
dispositivo, proporcionárselas siempre y cuando, no hayan cambiado.

En /var/log/squid se guardan los accesos a Internet a través del proxy de los usuarios
de la red interna, así como los posibles errores que hayan ocurrido.

Sin embargo, antes de examinar este fichero de configuración, es importante aprender a

iniciar, depurar, detener e identificar la versión de Squid que se ha instalado. Para ello se
pueden emplear los siguientes comandos:

Iniciar Parar Reiniciar Versión Depuración de errores

Iniciar

/etc/init.d/squid start

Parar

/etc/init.d/squid stop

https://www.adistanciafparagon.es/pluginfile.php/9385/mod_resource/content/2/SAD05_v1/ArchivosUnidad/Moodle/SAD05_completa_offline/S… 13/50
28/6/22, 12:53 SAD05.- Instalación y configuración de un servidor proxy.

Reiniciar

/etc/init.d/squid restart

Versión

squid -v

Depuración de errores
Cualquier error al inicio de Squid solo significa que hubo errores de sintaxis, o bien
se están citando incorrectamente las rutas hacia los ficheros de las Listas de
Control de Acceso. Se puede realizar diagnóstico de problemas indicándole a Squid
que vuelva a leer el fichero de configuración, lo cual devolverá los errores que
existan en /etc/squid/squid.conf.

/etc/init.d/squid reload

También puede iniciar Squid directamente desde la línea de comando,

especificando el modo de depuración:

squid -d 5

Por defecto, el servidor Squid en Ubuntu se iniciará automáticamente al arrancar el

ordenador. Si no interesa esto, se puede deshabilitar esta opción mediante:

update-rc.d -f squid remove

https://www.adistanciafparagon.es/pluginfile.php/9385/mod_resource/content/2/SAD05_v1/ArchivosUnidad/Moodle/SAD05_completa_offline/S… 14/50
28/6/22, 12:53 SAD05.- Instalación y configuración de un servidor proxy.

Si de nuevo se quiere volver a iniciar Squid al arrancar el ordenador:

update-rc.d squid

https://www.adistanciafparagon.es/pluginfile.php/9385/mod_resource/content/2/SAD05_v1/ArchivosUnidad/Moodle/SAD05_completa_offline/S… 15/50
28/6/22, 12:53 SAD05.- Instalación y configuración de un servidor proxy.

2.1.- Configuración de un proxy caché.

En un servidor proxy se pueden configurar
multitud de parámetros. Antes de examinar los
relacionados con la memoria caché, se
exponen a continuación tres de los parámetros
más importantes:

http_port access_log

error_directory

http_port
Es el puerto del servidor en el que el
servicio
Linux Screenshots (CC BY-SA) Squid estará escuchando
peticiones de los clientes. Habitualmente
suelen ser el 3128 , aunque puede ser cualquier otro que no se esté usando. 

http_port 3128

access_log
Indica el lugar en el que se almacenarán los ficheros de log de Squid. En este caso
se define mediante la siguiente entrada del fichero de configuración:

access_log /var/log/squid/access.log

error_directory
Indica el directorio en el que se encuentran los mensajes de error que el proxy
mostrará a los clientes.  Para que los mensajes aparezcan a los clientes en
castellano, hay que modificar este parámetro al valor indicado a continuación:

https://www.adistanciafparagon.es/pluginfile.php/9385/mod_resource/content/2/SAD05_v1/ArchivosUnidad/Moodle/SAD05_completa_offline/S… 16/50
28/6/22, 12:53 SAD05.- Instalación y configuración de un servidor proxy.

error_directory /usr/share/squid/errors/Spanish.

En cuanto a la memoria caché, se pueden configurar diversos aspectos entre los que caben
destacar los siguientes:

Especificación de un alojamiento de memoria caché diferente.

Modificación del tiempo que deben permanecer los archivos en memoria.
Modificación del espacio que se liberará cuando se quiten los archivos más
antiguos.
Modificación de los tiempos tras los que se guarda la información.

En Squid, todo esto se gestiona mediante parámetros en el archivo de configuración

squid.conf.

cache_mem cache_mgr maximum_object_size reference_age

cache_dir

cache_mem
Especifica el tamaño de la memoria para objetos en tránsito, populares y objetos
almacenados que no se utilizarán. Por ejemplo:

cache_mem 256 MB

Se establecen 256 MB. Si el servidor tiene mucha memoria se puede aumentar este
valor, aunque debería ser suficiente.

cache_mgr
Indica a Squid el correo del administrador, de forma que si dejara de funcionar, este
recibirá un correo alertando de esta situación.

https://www.adistanciafparagon.es/pluginfile.php/9385/mod_resource/content/2/SAD05_v1/ArchivosUnidad/Moodle/SAD05_completa_offline/S… 17/50
28/6/22, 12:53 SAD05.- Instalación y configuración de un servidor proxy.

maximum_object_size
Define el tamaño máximo de los objetos que podrán ser almacenados en caché.

maximum_object_size 4096 KB

Si se supera este tamaño, los objetos no se almacenarán. Cuanto menor sea el

tamaño mayor será la velocidad de trabajo.

reference_age
Acota el tiempo que deben permanecer los objetos en la caché.

reference_age 1 month

En este caso 1 mes. La elección dependerá de cada caso particular. Un tiempo

demasiado bajo puede desaprovechar las prestaciones y demasiado alto puede
saturar la memoria.

cache_dir
Especifica el tamaño que necesita Squid para el almacenamiento de la caché en el
disco duro y el directorio utilizado para guardar las páginas visitadas.

cache_dir ufs /var/spool/squid 300 16 256

En este caso se utilizarán 300 MB, en 16 directorios y 256 niveles cada uno.

Se puede incrementar el tamaño de caché en disco hasta donde lo desee el

administrador. Mientras más grande sea la cache, más objetos se almacenarán en
éste y por lo tanto se utilizará menos el ancho de banda. La siguiente línea
establece un cache de 700 Mb:

cache_dir ufs /var/spool/squid3 700 16 256

https://www.adistanciafparagon.es/pluginfile.php/9385/mod_resource/content/2/SAD05_v1/ArchivosUnidad/Moodle/SAD05_completa_offline/S… 18/50
28/6/22, 12:53 SAD05.- Instalación y configuración de un servidor proxy.

Los números 16 y 256 significan que el directorio del caché contendrá 16

subdirectorios con 256 niveles cada uno. No se recomienda modificar esto números
si no hay necesidad de hacerlo. El sistema de almacenamiento usado se especifica
con el parámetro ufs.

Es muy importante considerar que si se especifica un determinado tamaño de

caché y este excede al espacio real disponible en el disco duro, Squid se bloqueará
inevitablemente . Por tanto, hay que ser cauteloso con el tamaño de caché
establecido.

Autoevaluación
¿En cuál de los parámetros citados a continuación se indica el directorio
donde guardar las páginas visitadas?

http_port

access_log

cache_dir

cache_mem

Incorrecto. Se usa para establecer el puerto de escucha del servicio

Squid.

Incorrecto. Se usa para indicar a Squid donde debe registrar todos los
accesos.

Muy bien! Veo que has visto bien la utilidad los distintos parámetros de
Squid.

Indica la cantidad de memoria cache que se utilizará para Squid.

Solución

https://www.adistanciafparagon.es/pluginfile.php/9385/mod_resource/content/2/SAD05_v1/ArchivosUnidad/Moodle/SAD05_completa_offline/S… 19/50
28/6/22, 12:53 SAD05.- Instalación y configuración de un servidor proxy.

1. Incorrecto
2. Incorrecto
3. Opción correcta
4. Incorrecto

https://www.adistanciafparagon.es/pluginfile.php/9385/mod_resource/content/2/SAD05_v1/ArchivosUnidad/Moodle/SAD05_completa_offline/S… 20/50
28/6/22, 12:53 SAD05.- Instalación y configuración de un servidor proxy.

2.2.- Reglas ACLs.

Una de las ventajas de utilizar un proxy es la posibilidad de utilizar filtros de contenidos para
poder discriminar los sitios a los que tienen acceso los clientes del servidor. Estos filtros se
pueden crear mediante listas de control de acceso, permitiendo el paso por el proxy a las
peticiones de conexión aceptadas por la política de seguridad y denegando las demás. A
través de las listas de acceso se definen grupos de equipos, de IP, de dominios, de
horarios, etc, a los que luego se le permitirá o denegará el acceso. 

En el servidor Squid una lista de control de acceso tiene la sintaxis:

acl nombre_lista tipo_de_filtrado parámetros

El tipo de filtrado que puede realizar una ACL se puede especificar mediante parámetros.
Los más usados son:

src dst dst_domain url_regex time

src
 Genera una lista de acceso por direcciones IP origen. Por ejemplo, se puede definir
como origen un aula mediante la siguiente lista:

acl aula src 192.168.50.0/24

siendo 192.168.50.0/24 la dirección de red de todos los equipos del aula.

También se podría formar una lista de acceso para cada aula de un centro siempre
que tengan direcciones de red distintas:

acl aula1 src 192.168.1.0/24

acl aula3 src 192.168.3.0/24

https://www.adistanciafparagon.es/pluginfile.php/9385/mod_resource/content/2/SAD05_v1/ArchivosUnidad/Moodle/SAD05_completa_offline/S… 21/50
28/6/22, 12:53 SAD05.- Instalación y configuración de un servidor proxy.

dst
Genera una lista de acceso por direcciones IP destino.

acl destino dst 192.168.0.0/24

La lista destino es la que tiene a los equipos de la red 192.168.0.0/24

Por ejemplo, se puede generar una lista de dos institutos y asignarles las
direcciones IP de los centros de enseñanza (iesalandalus.org = 85.208.102.26 e
iesturaniana = 91.126.176.55).

acl institutos dst 85.208.102.26 91.126.176.55

Si se decide bloquear los accesos a estas direcciones IP, esto tiene el

inconveniente que si los servidores de estas direcciones IP son servidores
compartidos, es decir, contienen sitios web de otras organizaciones, estás también
serán bloqueadas. Además, también tiene el inconveniente de que si estos
dominios cambian su dirección IP, esta regla dejaría de ser válida.

dst_domain
  Genera una lista de acceso por dominios destino en lugar de por IP destino. La
sintaxis general de este parámetro es:

acl aclname dstdomain .dominio1 .dominio2

siendo .dominio1 y .dominio2 los dominios que se incluirán en la lista de acceso.

Los dominios siempre tienen que empezar por el símbolo “.”. Por ejemplo, se podría
rehacer la anterior regla dst de la siguiente manera:

acl institutos dstdomain .iesalandalus.org .iesturaniana.org

De esta forma se evitan los dos problemas antes comentados, asociados a dst. 

De un forma más práctica, se puede crear un fichero de texto en el cual crear una
línea por cada dominio que se quiere bloquear. Por ejemplo, si queremos bloquear
las páginas de hotmail y de microsoft, se podría crear un fichero llamado
bloqueados para crear la regla acl del siguiente modo:
https://www.adistanciafparagon.es/pluginfile.php/9385/mod_resource/content/2/SAD05_v1/ArchivosUnidad/Moodle/SAD05_completa_offline/S… 22/50
28/6/22, 12:53 SAD05.- Instalación y configuración de un servidor proxy.

acl bloqueados dstdomain "/etc/squid/bloqueados"

El archivo /etc/squid/bloqueados contendría algo como lo siguiente:

www.microsoft.com

www.hotmail.com

Esto mismo, también se puede hacer para dst, indicando en el fichero la lista de IPs
destino que se desea denegar.

url_regex
Permite utilizar expresiones regulares para definir una lista de URLs de acceso.
Cuando se reciba una petición a una dirección URL, se comprobará si se produce
coincidencia con la expresión regular definida.  Al igual que para dstmomain,
también se puede indicar un fichero de texto donde poner las palabras que si están
contenidas en la URL sean bloqueadas.

acl casinos url_regex /etc/squid/palabrasBloqueadas

time
Genera una lista de acceso con ciertos horarios, de forma que luego se pueda
permitir el acceso o no durante dichos horarios. El formato general de time es:

acl nombre_regla_acl time [días] [horas]

En el parámetro días, se indica una abreviatura de los días de la semana según los
siguientes valores: (Lunes =M, Martes=T, Miércoles=W, Jueves=H, Viernes=F,
Sábado=A, Domingo=S). Salvo en el caso del sábado y del jueves, para el resto de
días es la primera letra del día en idioma inglés. En el caso de sábado y jueves se
escoge la segunda letra.

En el parámetro horas, se fija una franja horaria en el formato hora_inicio-

hora_fin , expresados ambos en formato hh:mm , es decir, horas y minutos
separados por :. Por ejemplo, si se quiere definir un horario laboral en una ACL, se
podría hacer de la siguiente manera:

https://www.adistanciafparagon.es/pluginfile.php/9385/mod_resource/content/2/SAD05_v1/ArchivosUnidad/Moodle/SAD05_completa_offline/S… 23/50
28/6/22, 12:53 SAD05.- Instalación y configuración de un servidor proxy.

acl horarioLaboral time MTWHF 9:00-19:30

Una vez definida la lista de control es necesario activarla y para ello se emplea el parámetro
http_access . A través de este parámetro se permite o se deniega el acceso a las listas de
acceso que estén definidas.

http_access allow/deny [!]nombre_lista

Donde allow permite y deny niega el acceso a la ACL que se indique después. También
se puede añadir  el modificador ! delante del nombre_lista. Por ejemplo, si se quiere
permitir el acceso a Internet a todos los equipos que no sean del aula1, se haría uso de
este modificador quedando el parámetro de la siguiente forma:

http_access allow !aula1

Para determinar si da o no acceso a una petición, Squid es muy estricto, leyendo la sección
http_access de arriba a abajo. Cuando encuentra una línea con la que concuerda la
petición, permite o deniega el acceso según lo que diga dicha http_access.

Por otra parte, debido a que si no hay coincidencia Squid continúa leyendo, para evitar
problemas siempre se debe terminar la lista con un:

http_access deny all

Pero, ¿donde se puede usar el parámetro http_access? Dentro del fichero squid.conf, la
sección http_access está preconfigurada, de forma que para no cometer errores
innecesarios, se debe escribir justo debajo de la línea

# INSERT YOUR OWN RULE(S) HERE FOR ALLOW ACCESS FROM YOUR CLIENTS

  Por ejemplo, si se quiere denegar el acceso a los equipos del aula1 fuera del horario
laboral definido previamente, se podría hacer de la siguiente manera:

https://www.adistanciafparagon.es/pluginfile.php/9385/mod_resource/content/2/SAD05_v1/ArchivosUnidad/Moodle/SAD05_completa_offline/S… 24/50
28/6/22, 12:53 SAD05.- Instalación y configuración de un servidor proxy.

http_access deny aula1 !horarioLaboral

Andrés Rubio - Elaboración propia (Dominio público)

Andrés Rubio - Elaboración propia (Dominio público)

Cabe destacar que todas estas reglas pueden escribirse de diversas maneras
aunque el fin sea el mismo. Por ejemplo, en el último caso se podría indicar que
el aula1 solo puede acceder en horario laboral, quedando el parámetro de la
siguiente manera:

http_access allow aula1 horarioLaboral

Debes conocer
En los siguientes enlaces puedes ver algunos vídeos sobre la configuración
de Squid:

¿Cómo configurar Squid Cache Proxy?

Instalación y configuración básica de Squid en Ubuntu

https://www.adistanciafparagon.es/pluginfile.php/9385/mod_resource/content/2/SAD05_v1/ArchivosUnidad/Moodle/SAD05_completa_offline/S… 25/50
28/6/22, 12:53 SAD05.- Instalación y configuración de un servidor proxy.

Bloqueo de sitios web

También puedes acceder al siguiente tutorial sobre Proxy Squid:

Cómo configurar un servidor Proxy con Squid

https://www.adistanciafparagon.es/pluginfile.php/9385/mod_resource/content/2/SAD05_v1/ArchivosUnidad/Moodle/SAD05_completa_offline/S… 26/50
28/6/22, 12:53 SAD05.- Instalación y configuración de un servidor proxy.

3.- Instalación y configuración de un

cliente proxy.

Caso práctico
—Vindio, ahora hay que hacer que todos los equipos
pasen por el proxy.

—¿Cómo si fuera una aduana?

—Sí, el proxy hará algo parecido. Hay que realizar

los cambios en todos los equipos cuando los
empleados se hayan ido.

—Juan, ¿Se tarda mucho?

Alain Bachellier (CC BY-NC-SA)
—No, todos los navegadores tienen esa opción, te
enseñaré donde encontrarla.

Los miembros del departamento de informática van a aprender cómo se

configura un cliente para que utilice un servidor proxy, sea cual sea el
navegador que utilice.

Los clientes proxies se pueden

configurar en cualquier navegador
especificando la dirección del
servidor proxy que se quiere
utilizar.  En contraposición a la
navegación a través de un proxy
con autenticación, existe la
posibilidad de configurar Squid
para que todos los usuarios de
una red naveguen a través del
proxy sin necesidad de tener que
configurar cada una de sus
aplicaciones. Esto es lo que se
denomina proxy transparente .
Es más, se hace para que
naveguen a través del proxy sin
saberlo o sin quererlo, asumiendo
todas las restricciones que éste
imponga.

En el caso de preferir que los

clientes utilicen el proxy como
transparente y no tener que
Andrés Rubio - Elaboración propia (Dominio público) configurar el navegador, se puede
poner como puerta de enlace del
https://www.adistanciafparagon.es/pluginfile.php/9385/mod_resource/content/2/SAD05_v1/ArchivosUnidad/Moodle/SAD05_completa_offline/S… 27/50
28/6/22, 12:53 SAD05.- Instalación y configuración de un servidor proxy.

cliente la dirección IP del proxy y en el servidor proxy crear reglas Iptables del tipo indicado
a continuación.

Si el proxy se encuentra en la misma máquina que el firewall  y está escuchando por su

puerto habitual (3128):

iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 3128

En cambio, si se encuentra en una máquina independiente cuya IP es 192.168.1.254:

iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to 192.168.1.254:3128

Con esta regla se le ordena al proxy que todo lo que venga dirigido al puerto 80 lo
redireccione al puerto 3128, que es donde estará el servidor Squid escuchando las
peticiones. Con esto se conseguirá que los clientes tengan acceso a Internet a través del
proxy.

Además, hay que modificar en el fichero squid.conf, la línea

http_port 3128

de manera que quede:

http_port 3128 transparent

Debes conocer
En el siguiente vídeo puedes ver como configurar un proxy transparente:

Configurar squid proxy modo transparente

Autoevaluación
Un cliente de un proxy transparente:

https://www.adistanciafparagon.es/pluginfile.php/9385/mod_resource/content/2/SAD05_v1/ArchivosUnidad/Moodle/SAD05_completa_offline/S… 28/50
28/6/22, 12:53 SAD05.- Instalación y configuración de un servidor proxy.

Tiene qué configurar el navegador.

Necesita configurar como puerta de enlace la IP del servidor proxy.

No tienen que configurar nada.

Necesita poner como puerta de enlace la IP del router de salida a
Internet.

Incorrecto. En este caso puede pasar sin configurar el navegador.

Muy bien!. Y en el proxy crear una regla Iptables.

Incorrecto. Es necesario especificar donde está el proxy.

Incorrecto, ya que es necesario que pase primero por el proxy.

Solución

1. Incorrecto
2. Opción correcta
3. Incorrecto
4. Incorrecto

https://www.adistanciafparagon.es/pluginfile.php/9385/mod_resource/content/2/SAD05_v1/ArchivosUnidad/Moodle/SAD05_completa_offline/S… 29/50
28/6/22, 12:53 SAD05.- Instalación y configuración de un servidor proxy.

4.- Métodos de autenticación en un proxy.

Caso práctico
—Juan, ¿se puede hacer que solamente usen el proxy
personas autorizadas?.

—Efectivamente Jana, y eso es una de las cosas que os

voy a enseñar.

—Pero, ¿que ocurre con las no autorizadas?

—Nada, no podrán utilizar Internet.

—¿Y los autorizados?

—Pues navegarán con las condiciones del proxy.

Alain Bachellier (CC BY-NC-
SA)
—Genial. ¿Cómo logramos todo esto?

Juan va a enseñar requerir autenticación para poder usar un proxy.

Un proxy puede exigir que un usuario se

autentique antes de permitirle el acceso. Esta
opción permite controlar a los usuarios que
hacen uso del proxy, mejorando la seguridad.

mallox (CC BY)Particularmente  Squid  también ofrece esta

funcionalidad, soportando diferentes
mecanismos de autenticación como LDAP, Kerberos, etc. En este apartado se verá la que
se denomina autenticación básica.

Para ello dispone de parámetros de configuración como  auth_param en el fichero

squid.conf. Por defecto, aparecen entre otros muchos los siguientes:

auth_param basic program /usr/lib/squid/ncsa_auth /etc/squid/proxyUsers

Esta primera directiva es imprescindible para que pueda requerirse

autenticación en Squid. El primer parámetro (/usr/lib/squid/ncsa_auth) indica
el módulo de software utilizado en la autenticación y la ruta que lo contiene.
Además, debe indicarse la ruta del archivo que contendrá las contraseñas de los
usuarios autenticados.

https://www.adistanciafparagon.es/pluginfile.php/9385/mod_resource/content/2/SAD05_v1/ArchivosUnidad/Moodle/SAD05_completa_offline/S… 30/50
28/6/22, 12:53 SAD05.- Instalación y configuración de un servidor proxy.

Lo siguiente que se debe configurar es el número de instancias activas, es

decir, el número de procesos de autenticación que se van a producir. Para ello
se usa el parámetro siguiente:

auth_param basic children 30

El número establecido, se puede aumentar o disminuir en función del número de

usuarios que hacen uso del proxy.

También se puede configurar el mensaje que aparecerá cuando se requiera el

usuario y la contraseña, usando el siguiente parámetro:

auth_param basic realm IES Al-Ándalus Squid Proxy-Cache

En este caso, en la ventana de login se mostrará el mensaje IES Al-Ándalus

Squid Proxy-Cache .

Incluso, es posible configurar el tiempo que tardará Squid en solicitar de

nuevo la clave a los usuarios:

auth_param basic credentialsttl 2 hours

Por último, es necesario crear una lista de control con la que se activa la
solicitud de autenticación de los usuarios.

acl passweb proxy_auth REQUIRED

Para terminar la configuración correspondiente a la autenticación proxy, falta por añadir los
distintos usuarios que tienen acceso al proxy. Para esto, se utiliza el comando htpasswd: 

htpasswd -c /etc/squid/proxyUsers arubio

siendo proxyUsers el fichero donde se guardarán cada uno de los usuarios con su
contraseña. En este caso el usuario que se está creando es arubio . La ejecución de este
comando provocará que se pida la contraseña que se desea establecer al usuario arubio.

En el caso de que se deseen crear nuevos usuario, la opción -c no sería necesaria.

◄ ►

https://www.adistanciafparagon.es/pluginfile.php/9385/mod_resource/content/2/SAD05_v1/ArchivosUnidad/Moodle/SAD05_completa_offline/S… 31/50
28/6/22, 12:53 SAD05.- Instalación y configuración de un servidor proxy.

Autenticación usuario arubio

Andrés Rubio - Elaboración propia (Dominio público)

Autenticación usuario jrubio

Andrés Rubio - Elaboración propia (Dominio público)

1
2

El paso final para que todo esto esté operativo, será reiniciar o recargar el servicio Squid:

service squid reload

https://www.adistanciafparagon.es/pluginfile.php/9385/mod_resource/content/2/SAD05_v1/ArchivosUnidad/Moodle/SAD05_completa_offline/S… 32/50
28/6/22, 12:53 SAD05.- Instalación y configuración de un servidor proxy.

Debes conocer
En el siguiente enlace puedes ver un vídeo relacionado con todo lo explicado
en el presente apartado:

Autenticación de usuarios con Squid

Para saber más

También puedes acceder a la wiki de Squid para aprender más sobre la
autenticación en un proxy:

Autenticación en Proxy Squid

Autoevaluación

htpasswd –c users anaranjo

Es un parámetro del squid.conf.

Cambia la contraseña de un usuario del proxy.

Asigna el nombre de usuario users al usuario anaranjo.

Nos dice que el fichero donde están los usuarios autorizados se llama
users y añade al usuario anaranjo.

Incorrecto. Es un comando de la shell de Linux.

Incorrecto. Este comando se utiliza para añadir usuarios autenticados a

un proxy.

Incorrecto, este comando se utiliza para añadir usuarios a un fichero.

https://www.adistanciafparagon.es/pluginfile.php/9385/mod_resource/content/2/SAD05_v1/ArchivosUnidad/Moodle/SAD05_completa_offline/S… 33/50
28/6/22, 12:53 SAD05.- Instalación y configuración de un servidor proxy.

Muy bien! Veo que has entendido el proceso de autenticación en un

proxy.

Solución

1. Incorrecto
2. Incorrecto
3. Incorrecto
4. Opción correcta

https://www.adistanciafparagon.es/pluginfile.php/9385/mod_resource/content/2/SAD05_v1/ArchivosUnidad/Moodle/SAD05_completa_offline/S… 34/50
28/6/22, 12:53 SAD05.- Instalación y configuración de un servidor proxy.

5.- Proxy inverso.

Caso práctico
—¡Qué forma más útil y sencilla de controlar a los
usuarios!

—Sí Juan, pero yo tengo una inquietud, que pasa con

los que acceden desde el exterior a nuestro servidor.
¿Se les puede controlar de alguna forma?

—Buena pregunta Naroba. Para esos se pueden

utilizar los proxies inversos.

—¿Funcionan igual?

Jonny Goldstein (CC BY)

—Sí, pero hay que hacer una configuración nueva.

Juan explicará a la alumnas de FCT que hay que

hacer para configurar un proxy como inverso y donde habría que situarlo.

Al proxy inverso también se le llama  Web

Server Accelerator  porque agiliza la conexión
a servidores web. La utilización de proxies
inversos es útil en situaciones en las que se
encuentren varios servidores en la red interna,
exista una única conexión a Internet y se
desee acceder a estos servidores web desde
Alextalker (CC BY-SA) Internet.

Para configurar un proxy como inverso se le debe ordenar que escuche en el puerto 80, que
realice tareas de Host Virtual, proporcionarle permisos de acceso a la red interna y
ordenarle que se conecte en forma directa.

Para llevarlo a cabo en el servidor Squid, hay que modificar el fichero squid.conf y
ordenarle que escuche en la dirección IP pública, en el puerto 80 y que va a ser un Host
Virtual.

http_port 111.111.111.111:80 vhost vport

donde 111.111.111.111 sería la IP pública.

https://www.adistanciafparagon.es/pluginfile.php/9385/mod_resource/content/2/SAD05_v1/ArchivosUnidad/Moodle/SAD05_completa_offline/S… 35/50
28/6/22, 12:53 SAD05.- Instalación y configuración de un servidor proxy.

Por otra parte, una medida de seguridad adicional es obligar al proxy a que resuelva
solamente las direcciones URL que se especifiquen, tal y como se ha descrito en el
apartado de las reglas ACLs. Para ello se añade una lista de control del tipo:

acl internas dstdomain "/etc/squid/webpermitidas.txt"

http_access allow internas

Por último, se le especifica que se conecte de forma directa hacia la red interna:

acl conex-directa dst 192.168.1.0/24

always_direct allow conex-directa

Para saber más

En el siguientes enlaces puedes aprender un poco más sobre configuración
de Squid y también sobre proxies inversos:

Proxy caché con Squid3

Proxy Inverso

¿Qué es un servidor proxy inverso?

Proxy inverso con Nginx

https://www.adistanciafparagon.es/pluginfile.php/9385/mod_resource/content/2/SAD05_v1/ArchivosUnidad/Moodle/SAD05_completa_offline/S… 36/50
28/6/22, 12:53 SAD05.- Instalación y configuración de un servidor proxy.

6.- Proxy encadenado.

Caso práctico
—Laro, hoy he estado hablando con un amigo de los
proxies.

—¿Qué le ha parecido la idea?

—Pues bien, pero me ha dicho que un proxy también se

emplea para hacer que un usuario sea anónimo en
Internet.

—Efectivamente Noiba. Esto se puede emplear en las

dos direcciones. Hay una técnica que es encadenar
proxies públicos situados en Internet para enmascarar a
Alain Bachellier (CC BY-SA)
los usuarios.

—¿Y si lo hacen aquí?

—Aquí nos podríamos enterar cuando revisamos los equipos.

Laro explicará la técnica de encadenar proxies y alguna aplicación empleada

para ello.

El uso de proxies encadenados incrementa de forma

notable el anonimato, pero ralentiza también la navegación
de manera proporcional al número de ellos que se utilicen.

Existen herramientas, como proxychains, que permiten

encadenar proxies. Para instalar proxychains en Linux
bastaría con el comando:

Chesi – Fotos CC (CC BY-SA)

root@linux-arubio:~$ apt-get install proxychains

Tras el proceso de instalación se genera un fichero de configuración

llamado  proxychains.conf .  Este fichero de configuración permite modificar varios
parámetros, entre ellos, los que permiten escoger la forma en la que se pasa de un proxy a
otro:

Conexión dinámica: dynamic_chain

Conexión estricta: strict_chain

https://www.adistanciafparagon.es/pluginfile.php/9385/mod_resource/content/2/SAD05_v1/ArchivosUnidad/Moodle/SAD05_completa_offline/S… 37/50
28/6/22, 12:53 SAD05.- Instalación y configuración de un servidor proxy.

Conexión aleatoria: random_chain

Además, se puede encontrar la sección [ProxyList], donde se almacenarán todos los

proxies que se desean usar. El formato utilizado para especificarlos será:

protocolo   dirección (IP)   puerto   user    pass

    http        192.168.89.3   8080     arubio hidden

Cuando el usuario y la contraseña están en blanco implica que ese proxy no requiere
autenticación.

Por último, indicar que las direcciones de los proxies pueden ser públicas o privadas. En
Internet existen tablas con miles de direcciones de proxies que se pueden utilizar.

Para saber más

En los siguientes enlaces puedes encontrar más información relativa a los
anonimatos usando proxies:

Tutorial proxychains

Instalación y configuración de proxychains en Kali Linux

Navega de forma anónima por Internet utilizando proxies gratis

Servidores proxy gratuitos para navegar de forma anónima en la red

Autoevaluación
En el archivo proxychains.conf, si quiero navegar de manera que el
encadenamiento de los proxies sea siempre el mismo utilizaré:

dynamic_chain.

#strict_chain.

random_chain.

http 192.168.89.3 8080.

https://www.adistanciafparagon.es/pluginfile.php/9385/mod_resource/content/2/SAD05_v1/ArchivosUnidad/Moodle/SAD05_completa_offline/S… 38/50
28/6/22, 12:53 SAD05.- Instalación y configuración de un servidor proxy.

Incorrecto. La conexión sería dinámica.

Incorrecto. El parámetro está comentado.

Incorrecto. De esta forma se escogerían los proxies de manera aleatoria.

Muy bien!. De este modo solamente se utilizaría el proxy indicado.

Solución

1. Incorrecto
2. Incorrecto
3. Incorrecto
4. Opción correcta

https://www.adistanciafparagon.es/pluginfile.php/9385/mod_resource/content/2/SAD05_v1/ArchivosUnidad/Moodle/SAD05_completa_offline/S… 39/50
28/6/22, 12:53 SAD05.- Instalación y configuración de un servidor proxy.

7.- Pruebas de funcionamiento.

Caso práctico
—Juan, ¿Cómo sabremos que funciona todo
correctamente?

—Muy fácil Jana, probando a infringir las reglas

y ver que pasa.

—Vale, pero no hay alguna forma de que cada

cierto tiempo veamos si alguien ha intentado
una conexión no permitida.
Alain Bachellier (CC BY-NC-SA)

—Sí Naroba, podemos configurar el proxy para

que cree archivos log, igual que lo hicimos con el firewall.

Os voy a enseñar donde encontrar el archivo log y como descifrarlo.

Las pruebas de funcionamiento de un proxy necesitan de

un cliente y un servidor proxy configurados
adecuadamente. Es necesario configurar el navegador del
cliente de manera que todas las conexiones del mismo
pasen a través del proxy, especificando la dirección IP del
proxy y el puerto por donde escucha, tal y como se ha visto
en un apartado anterior.

Para hacer pruebas de funcionamiento se intenta la wonderferret (CC BY)

conexión a webs prohibidas en la configuración del proxy.

Muchas distribuciones proxy tienen la posibilidad de utilizar un archivo log para poder
analizar las incidencias producidas. La distribución Squid dispone del archivo access.log .
Normalmente se puede encontrar en la ruta /var/log/squid/access.log.

En este fichero se pueden encontrar mensajes que comienzan por TCP. Un análisis más en
detalle puede proporcionar más información sobre el funcionamiento:

TCP_ HIT TCP_MISS TCP_REFRESH_HIT TCP_REF_FAIL_HIT

TCP_CLIENT_REFRESH TCP_CLIENT_REFRESH_MISS TCP_IMS_HIT

TCP_IMS_MISS TCP_SWAPFAIL TCP_DENIED

https://www.adistanciafparagon.es/pluginfile.php/9385/mod_resource/content/2/SAD05_v1/ArchivosUnidad/Moodle/SAD05_completa_offline/S… 40/50
28/6/22, 12:53 SAD05.- Instalación y configuración de un servidor proxy.

TCP_ HIT
Esta petición se atenderá desde la caché porque hay una copia disponible.

TCP_MISS
Se realizará una búsqueda nueva porque no hay copia en la caché.

TCP_REFRESH_HIT
Se va a buscar de nuevo el objeto porque el que estaba almacenado en la caché es
muy antiguo.

TCP_REF_FAIL_HIT
El objeto de la caché era antiguo, se buscó uno nuevo y falló la búsqueda.

TCP_CLIENT_REFRESH
Este mensaje nos indica que el cliente abre una página que tiene orden de obtener
siempre un archivo nuevo.

TCP_CLIENT_REFRESH_MISS
El cliente solicita el refresco de una web.

https://www.adistanciafparagon.es/pluginfile.php/9385/mod_resource/content/2/SAD05_v1/ArchivosUnidad/Moodle/SAD05_completa_offline/S… 41/50
28/6/22, 12:53 SAD05.- Instalación y configuración de un servidor proxy.

TCP_IMS_HIT
El cliente ha solicitado una nueva versión de un objeto que estaba cacheado, pero
se encuentra que el objeto de la caché aún no estaba caducado, es decir, que ya
era lo más nuevo posible.

TCP_IMS_MISS
El cliente solicita nueva copia acerca de un objeto viejo.

TCP_SWAPFAIL
Se cree que el objeto se encuentra en la caché, pero por alguna razón no se puede
acceder.

TCP_DENIED
Se deniega el acceso a la petición por:

TCP_DENIED/400: Mala sintaxis.

TCP_DENIED/401: No estar autorizado.

TCP_DENIED/403: Ser un sitio bloqueado por una ACL

SARG

SARG es una muy buena herramienta que permite saber dónde han estado navegando los
usuarios en Internet, realizando un análisis del fichero access.log  del famoso proxy Squid.
El poder de esta herramienta permite saber qué usuarios accedieron a qué sitios, a qué
horas, cuantos bytes han sido descargados, relación de sitios denegados,errores de
https://www.adistanciafparagon.es/pluginfile.php/9385/mod_resource/content/2/SAD05_v1/ArchivosUnidad/Moodle/SAD05_completa_offline/S… 42/50
28/6/22, 12:53 SAD05.- Instalación y configuración de un servidor proxy.

autentificación...Y lo mejor de todo, la herramienta ofrece una interfaz web a través de la

cual es fácilmente interpretable todo lo registrado en el fichero access.log.

Para su instalación basta con ejecutar el comando:

apt-get install sarg

Una vez realizada la instalación de SARG, el siguiente paso es proceder a realizar su

configuración. Para esto se debe editar el fichero sarg.conf que se encuentra en el
directorio /etc/sarg. A través de este fichero, se pueden configurar una gran diversidad de
parámetros, como los relacionados con el estilo, la presentación y el título del sitio web, el
idioma y otros entre los que se pueden destacar:

access_log file temporary_dir dir output_dir dir

user_sort_field field normal/reverse exclude_users file exclude_host file

index yes|no|only topsites_num n

access_log file
Especifica la ruta de acceso al fichero log que genera Squid.

access_log /var/log/squid/access.log

temporary_dir dir
Ruta dónde se almacenarán los ficheros temporales creados durante el proceso de
generación del informe.

temporary_dir /tmp

output_dir dir
https://www.adistanciafparagon.es/pluginfile.php/9385/mod_resource/content/2/SAD05_v1/ArchivosUnidad/Moodle/SAD05_completa_offline/S… 43/50
28/6/22, 12:53 SAD05.- Instalación y configuración de un servidor proxy.

Ruta dónde se almacenarán los informes generados.

output_dir /var/lib/sarg

user_sort_field field normal/reverse

Indica el orden en el que se deben mostrar los resultados del informe. Por ejemplo,
por cantidad de bytes descargados y en orden inverso sería:

user_sort_field BYTES reverse

exclude_users file
Indica la ruta donde se encuentra el fichero con los usuarios a excluir en el análisis.

exclude_users /etc/sarg/exclude_users

exclude_host file
Indica la ruta donde se encuentra el fichero con los host a excluir en el análisis.

exclude_host /etc/sarg/exclude_hosts

index yes|no|only
https://www.adistanciafparagon.es/pluginfile.php/9385/mod_resource/content/2/SAD05_v1/ArchivosUnidad/Moodle/SAD05_completa_offline/S… 44/50
28/6/22, 12:53 SAD05.- Instalación y configuración de un servidor proxy.

Esta entrada es muy importante porque se indica con ella si se quiere generar un
fichero index.html a través del cual enlazar a todos y cada uno de los informes
generados cada día.

index yes

topsites_num n
Indica el número máximo de sitios web que se quieren mostrar en el informe como
top.

topsites_num 100

Una vez realizado el proceso de instalación y configuración, ya se puede generar un report.

Para ello tan sólo se debe poner el comando:

sarg

Una vez lanzado el comando, se accede al directorio especificado en el parámetro

output_dir  para ver los resultados del informe generado. También se puede acceder a
estos informes haciendo uso de cualquier navegador web, y poniendo en la barra de
direcciones la ruta al fichero index.html, para que se muestre en forma de tabla todas
fechas para las que han sido generadas reportes.

◄ ►

Acceso a index.html

https://www.adistanciafparagon.es/pluginfile.php/9385/mod_resource/content/2/SAD05_v1/ArchivosUnidad/Moodle/SAD05_completa_offline/S… 45/50
28/6/22, 12:53 SAD05.- Instalación y configuración de un servidor proxy.

Andrés Rubio - Elaboración propia (Dominio público)

Informe según el top usuarios

En este ejemplo solo hay una máquina accediendo a través del proxy. 

Andrés Rubio - Elaboración propia (Dominio público)

https://www.adistanciafparagon.es/pluginfile.php/9385/mod_resource/content/2/SAD05_v1/ArchivosUnidad/Moodle/SAD05_completa_offline/S… 46/50
28/6/22, 12:53 SAD05.- Instalación y configuración de un servidor proxy.

Informe según el top sitios visitados

Andrés Rubio - Elaboración propia (Dominio público)

1
2
3

https://www.adistanciafparagon.es/pluginfile.php/9385/mod_resource/content/2/SAD05_v1/ArchivosUnidad/Moodle/SAD05_completa_offline/S… 47/50
28/6/22, 12:53 SAD05.- Instalación y configuración de un servidor proxy.

8.- Herramientas gráficas.

Caso práctico
—Pues sí que me gusta lo que hace el proxy pero veo
que es un poco difícil de manejar.

—¿Por qué opinas eso, Naroba?

—Pues porque todo son comandos y órdenes.

—Tranquila, existen aplicaciones gráficas que hacen

que sea más fácil

Vindio va a enseñarles como instalar una aplicación

para poder manejar el proxy y otros servicios de
Alain Bachellier (CC BY-NC-SA)
manera gráfica.

Existen herramientas gráficas que permiten gestionar los servicios de una red, incluyendo el
proxy. Algunos ejemplos de estas herramientas son Zentyal y pfSense .

Ambos son servidores de red que entre otros servicios proporcionan el servicio de proxy. 

Una vez instalado cualquiera de los dos, a la configuración se accede con un navegador
web, poniendo en la barra de direcciones la dirección del equipo donde esté instalado. Si
está en el propio equipo donde se está trabajando, bastaría con escribir como URL la IP del
equipo.

Tanto en uno como en otro, tras poner en el navegador la IP, el servicio responderá
pidiendo las credenciales del usuario que se establecen durante la instalación. Una vez
autenticados se accede a una pantalla de control con múltiples opciones, entre las que se
encuentra la de proxy.

https://www.adistanciafparagon.es/pluginfile.php/9385/mod_resource/content/2/SAD05_v1/ArchivosUnidad/Moodle/SAD05_completa_offline/S… 48/50
28/6/22, 12:53 SAD05.- Instalación y configuración de un servidor proxy.

Andrés Rubio - Elaboración propia (Dominio público)

https://www.adistanciafparagon.es/pluginfile.php/9385/mod_resource/content/2/SAD05_v1/ArchivosUnidad/Moodle/SAD05_completa_offline/S… 49/50
28/6/22, 12:53 SAD05.- Instalación y configuración de un servidor proxy.

Mateobur (CC BY-SA)

Debes conocer
En los siguientes enlaces puedes aprender más asuntos relacionados con
ambas herramientas:

Zentyal Vs PfSense

Documentación pfSense

Documentación Zentyal

PfSense: Proxy Transparente y Proteccion del Login

Configuración del firewall en Zentyal Server y activación de http proxy

https://www.adistanciafparagon.es/pluginfile.php/9385/mod_resource/content/2/SAD05_v1/ArchivosUnidad/Moodle/SAD05_completa_offline/S… 50/50