Administrar Canales con SQUID

Debido a mi trabajo me pusieron a estudiar mucho SQUID lo cual me ha encantado, sigo pensando que el software libre es lo mejor que hay y que con el apoyo de todos demostraremos que nada de lo comercial nos permite hacer ni la mitad de lo que hacemos en el OpenSource, me plantearon el diseño de una red corporativa grande la cual tras el diseño y la segmentación quedo así:


Ahora tenia que garantizar una correcta navegación a las subredes importantes, o sea las que manejan la plata o el core del negocio como le dicen ahora, pero sobre la misma maquina no podía generar enrutamientos por protocolos, la verdad en IPRoute2 no encontré como hacerlo, por lo cual me centre en lo básico que era como controlar la navegación y que me permite eso, nada mas sino un Proxy y para eso nada mejor que squid.

Después de mucho leer y estudiar, encontré una muy buena pagina en Ingles que tiene una descripción de todos los parámetros configurables del SQUID, esta se llama www.squid-cache.org en la sección de documentación encontraras muchas guias.

Para facilidad a la conexión dedicada le vamos a poner la ip 1.1.1.1 y a la publica le vamos a poner 9.9.9.9, entonces ingresamos a la configuración del squid que esta en /etc/squid de la siguiente forma

root@localhost:~#vi /etc/squid/squid.conf

Sobre este buscamos el TAG llamado tcp_outgoing_address, lo cual podemos hacerlo escribiendo lo siguiente

/tcp_outgoing_address

deben ver lo siguiente

# TAG: tcp_outgoing_address
# Allows you to map requests to different outgoing IP addresses
# based on the username or sourceaddress of the user making
# the request.
#
# tcp_outgoing_address ipaddr [[!]aclname] ...
#
# Example where requests from 10.0.0.0/24 will be forwareded
# with source address 10.1.0.1, 10.0.2.0/24 forwarded with
# source address 10.1.0.2 and the rest will be forwarded with
# source address 10.1.0.3.
#
# acl normal_service_net src 10.0.0.0/255.255.255.0
# acl good_service_net src 10.0.1.0/255.255.255.0
# tcp_outgoing_address 10.0.0.1 normal_service_net
# tcp_outgoing_address 10.0.0.2 good_service_net
# tcp_outgoing_address 10.0.0.3
#
# Processing proceeds in the order specified, and stops at first fully
# matching line.
#
#Default:
# none


Hay esta la guia de lo que vamos a hacer, entonces las redes de Gerencia, Juridica, Contabilidad e Ingenieria va a salir por la red dedicada y la red Administrativa y Operativa va asalir por la red publica, entonces para esto vamos a crear las listas de acceso (acl), donde la estructura es:

acl -name- src -ip_red/mask_net-

por lo que quedan así

acl dedicada src 192.168.0.0/29
acl dedicada src 192.168.0.8/29
acl dedicada src 192.168.0.16/28
acl dedicada src 192.168.0.32/27
acl publica src 192.168.0.64/26
acl publica src 192.168.0.128/25

Yo se que para los que saben de redes esto se puede reducir pero para que sea claro lo colocare asi acá. Ahora si creare las reglas de salida para cada una de estas acl, que como pueden ver solo son 2 dedicada y publica y la regla tiene la siguiente estructura

tcp_outgoing_address -ip_salida- -name-

donde el name tiene que ser igual al nombre de cada acl, por lo que queda así

tcp_outgoing_address 1.1.1.1 dedicada
tcp_outgoing_address 9.9.9.9 publica

Y bueno con las demas configuraciones del squid que puedas hacer como puertos como cache y demas que antes fueron explicados acá reinicias el SQUID y listo tienes el tráfico organizado por lo dos canales según las redes origen.

Comentarios

  1. hola, soy novato en esto de las redes, aun asi la entrada esta muy clara y es lo que requiero hacer, solo queria de saber como es el mananejo y la configuracion de las dos interfaces de red externas y la interna.. agradezco su colaboracion

    ResponderBorrar
  2. Luis Gabriel, por defecto squid se usa con una red interna y una externa, así que con la configuración por defecto te debe funcionar.

    Ahora con relación al manejo es un poco más difícil pero te puedo decir que es basado en acl y una vez lo tengas listo realmente ese no falla

    ResponderBorrar
  3. Que tal Diego, muchas gracias por la respuesta, pero creo que no me hize entender, el escenario es el siguiente, tengo un canal dedicado que llega por fibra optica y una linea de internet que llega por telefono, ya tengo los dos cables UTP que me dan salida, lo que necesito es que dentro de LAN 15 equipos salgan por el dedicado de fibra y mas o menos 20 salgan por el telefonico, por eso te digo de 2 interfaces externas y una interna, no se si estoy equivocado.

    Te agradezco

    ResponderBorrar
  4. ha ok Luis que pena te entendi mal, bueno pues tienes que usar las direcciones IP y crear los acl como dice en la entrada.

    Si son esa cantidad te recomiendo usar subredes una puede ser mascara 28 y la otra mascara 27 y ya creas las acl y cada acl le generas un outgoing por las tarjetas.

    Como lo dice en la entrada

    ResponderBorrar
  5. Hola,
    Quizás sea una duda tonta, y creo conocer la respuesta.

    Para manejar este escenario que tienes usas 3 tarjetas de red en el equipo con squid verdad?

    2 para tus conexiones a inet, y 1 para tu red interna.
    O estoy equivocado?

    Saludos

    ResponderBorrar
    Respuestas
    1. fpipe87 primero que todo ninguna duda es tonta y pues la idea es ayudarnos (Y). Ahora con relación a la duda, no estas equivocado son 3 tarjetas y es la distribución que indicas

      Borrar

Publicar un comentario