Beruflich Dokumente
Kultur Dokumente
Manual Ilustrativo
Webmin - Squid Firewall Servidor DHCP Delay Pools
Igualdad en la provincia de Crdoba. Todo lo expuesto se ajusta al software y hardware que el programa propone. La versin de Squid utilizada es la 2.7. Se omiten explicaciones que no tengan
un fin prctico o una posible implementacin para este grupo.
web. Podemos acceder a dicha interfaz tanto desde un navegador en el servidor como desde un equipo remoto. En ambos casos debemos abrir el navegador y dirigirnos a la siguiente direccin
web:
https://servicios.miescuela.local:10000 https://172.16.0.1:10000
Nota 1: se puede evitar la resolucin de nombre escribiendo la direccin de red. Nota 2: note que se utiliza el protocolo HTTPS para una conexin segura.
Pgina de ingreso a Webmin - https://servicios.miescuela.local:10000/ Es importante destacar que si tenemos configurado en nuestro explorador web un proxy manual (vase en configuracin de proxy no transparente) debe agregarse a la lista de excepciones de uso por proxy el ip de nuestro servidor 172.16.0.1 para que se realice la conexin normalmente.
Webmin > Copia de Seguridad de Archivos de Configuracin 3 Ministerio de Educacin - Direccin de Sistemas| Marcelo Ponce Eugenio Regis
Proxy Squid
La versin de Squid utilizada es la 2.7. Se omiten explicaciones que no tengan un fin prctico o una posible implementacin para este grupo.
Qu es squid?
Squid es un Servidor Intermediario (Proxy) que tiene incorporado un sistema de cach. Un proxy es una herramienta que acta de intermediario entre dos redes; en nuestro caso, entre Internet y nuestra red local.
Ofrece la posibilidad de establecer reglas de control de acceso. Esto permite establecer polticas de acceso en forma centralizada, simplificando la administracin de una red. Squid est compuesto tambin por el programa dns server, que se encarga de la bsqueda de nombres de dominio. Cuando Squid se ejecuta, produce un nmero configurable de procesos dns server, y cada uno de ellos realiza su propia bsqueda en DNS. De este modo, se reduce la cantidad de tiempo que la cach debe esperar a estas bsquedas DNS. Squid no debe ser utilizado como Proxy para protocolos como SMTP, POP3, TELNET, SSH, IRC, etc.
2.
Configuracin de Squid
Los archivos donde se encuentra toda la configuracin de Squid estn en la ruta /etc/squid En la raz de este directorio encontramos el archivo de texto plano configuracin de Squid.
squid.conf
que contiene la
Modos de trabajo
Proxy Transparente y Tradicional
Un proxy transparente combina un servidor proxy con NAT (Network Address Translation) de manera que las conexiones son enrutadas dentro del proxy sin configuracin por parte del cliente, y habitualmente sin que el propio cliente conozca de su existencia. Este es el tipo de proxy que utilizan los proveedores de servicios de Internet (ISP). En un proxy tradicional cada equipo debe ser configurado manualmente.
# Forward HTTP connections to Squid proxy -A PREROUTING -p tcp -m tcp -i eth0 --dport 80 -j REDIRECT --to-ports 3128
Esta propone cambiar toda la trayectoria de los paquetes con destino al puerto 80 hacia el puerto 3128 donde sern administrados por nuestro SQUID.
Servidores > Squid - Servidor Proxy > Configuracin del Redireccionamiento de Puertos Teniendo en cuenta lo expuesto consideren que de no realizarse este redireccionamiento del trfico hacia squid, este no podra cumplir con su trabajo. No se administrara la cach, tampoco se filtraran URLs ni las dems restricciones que podramos aplicar usando nuestras ACLs. Directiva en el <squid.config> que fija el modo de trabajo y el puerto (o puertos) donde escucha las peticiones.
Cach Web
Se llama cach web a la cach que almacena documentos web (es decir, pginas, imgenes, etctera) para reducir el ancho de banda consumido, la carga de los servidores y el retardo en la descarga. Un cach web almacena copias de los documentos que pasan por l, de forma que subsiguientes peticiones pueden ser respondidas por el propio cach, si se cumplen ciertas condiciones.
Antes de hacer el Backup del servidor borrar la cache. Para esto existe
una utilidad en Webmin en el apartado Servidor proxy Squid > Limpiar y reconstruir cache.
8 MB
Servidores > Squid - Servidor Proxy > Uso de Memoria 9 Ministerio de Educacin - Direccin de Sistemas| Marcelo Ponce Eugenio Regis
cache_swap_low 90 cache_swap_high 95
Tamao mximo para los objetos a almacenar en la cache.
maximum_object_size 10240 MB
Paginas que contengan ciertos caracteres no deben almacenarse en cache.
cache_log /var/log/squid/cache.log
Directiva que indicar donde se guarda el log de registros
10
11
muestra mensajes de error, aunque no siempre es tan amable. Es aqu donde se hace difcil nuestra tarea. Les dejamos algunos Tips, para prevenir problemas: Asegurarse de no repetir un objetivo. Por ejemplo, si tenemos dos ACLs definiendo un grupo de NIC (directiva ARP). Nunca repetir una MAC, ni en la misma ACL, ni en ACLs diferentes. Se produce un comportamiento anormal y el servicio puede detenerse. Si se define una lista de dominios, no listar el dominio principal y un subdominio del mismo dominio. Ejemplo, .google.com y mail.google.com. Estas dos definiciones no son compatibles entre s, o usamos una o la otra.
Restricciones Proxy
restricciones de acceso se apilan de tal manera que podemos ir combinando las listas de control de acceso. Las restricciones lo que hacen es decir: tomamos una lista (o sea una ALC) y todo lo que coincida (o no) con ella lo denegamos o lo permitimos. A su vez se arma una lista de restricciones. Squid lee la lista de restricciones de arriba hacia abajo aplicndolas. El orden es: primero permito y luego deniego.
Por otro lado, las
Otros > Explorador de Archivos: error_directory /usr/share/squid/errors/Spanish Los lectores atentos estarn pensando Y s me dirijo a este directorio, podre modificar el mensaje de error a mi gusto?. La respuesta es, s. Fue lo que hicimos. Les dejamos el cdigo de nuestros archivos para el mensaje de error de acceso denegado.
15
CDIGO HTML
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd"> <HTML> <HEAD> <META HTTP-EQUIV="Content-Type" CONTENT="text/html; charset=iso-8859-1"> <TITLE>Acceso Denegado</TITLE> </HEAD> <BODY bgcolor="#E6E6FA"> <font size="6" color="red" face="verdana">Acceso Denegado <HR noshade size="1px"> <font size="2" color="black" face="verdana"> Mientras intentabas acceder a la siguiente URL: <A HREF="%U">%U</A><BR> Si es necesario el profe puede solicitar al Adminitrador de la Red habilitar la navegacin en Internet para tu curso.<BR><BR> <strong>Puedes navegar libremente en los siguientes sitios web:</strong><BR><BR> <A HREF="http://www.conectarigualdad.gob.ar">Conectar Igualdad</A><BR> <A HREF="http://www.exocampus.com">Exocampus</A><BR> <A HREF="http://www.educared.org">Educared</A><BR> <A HREF="http://www.anses.gob.ar">Anses</A><BR> <A HREF="http://www.miescuela.local">Miescuela.local</A><BR> <A HREF="http://www.englishexercises.org">English Exercises</A><BR> <A HREF="http://translate.google.com">Google Traductor</A><BR> <A HREF="http://www.wikipedia.org">Wikipedia</A><BR> <A HREF="http://www.rae.es">Real Academia Espaola</A><BR>
16
<A HREF="http://www.infoleg.gov.ar">Informacin Legislativa - Gobierno de la Nacin Argentina</A><BR> <A HREF="http://ipem90.blogspot.com">ipem90.blogspot.com - Blog del Colegio</A><BR><BR>
En los recreos puedes navegar en Internet, para buscar informacin o para divertirte.<BR> Pero recuerda que cuando toque el timbre debes apagar tu netbook y volver al aula ordenadamente.<BR><BR> <HR noshade size="1px"> <strong>Recuerda que debes registrar tu equipo para que se active la garanta. <A HREF="http://servicioswww.anses.gov.ar/conigreg/Pagina/menu_registracion.aspx">Registrar</A></strong> <BR><BR><BR><BR> <BR><BR><BR><BR> </BODY> </HTML>
17
CDIGO HTML
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd"> <HTML><HEAD><META HTTP-EQUIV="Content-Type" CONTENT="text/html; charset=iso-8859-1"> <TITLE>IPEM N 168 "DIEGO DE ROJAS"</TITLE> <STYLE type="text/css"><!--BODY{background-color:#ffffff;font-family:verdana,sans-serif}PRE{font-family:sans-serif}--></STYLE> </HEAD><BODY> <H1> <IMG SRC="http://i717.photobucket.com/albums/ww173/prestonjjrtr/Smileys%20Holidays/Halloween/eyes_light.gif"> ACCESO DENEGADO <IMG SRC= "http://i164.photobucket.com/albums/u31/SlappyThePenguin/star-wars-smiley-5472.gif"> </H1> <H2>El URL solicitado se encuentra bloqueado</H2> <HR noshade size="1px"> <P> Mientras se intentaba traer el URL: <A HREF="%U">%U</A> <P> Ha ocurrido el siguiente problema: <UL> <LI> <STRONG> Acceso Denegado. </STRONG> <P> Las reglas de control de acceso impiden que su petición sea permitida en este momento. Contacte con el Administrador de Redes si cree que esto es incorrecto.<BR> <BR> Tenga en cuenta que el acceso a REDES SOCIALES, tales como "Facebook", "Twitter" y "Google+", se encuentran restringidas para el uso solamente en horarios de recreo:<BR> <BR> <STRONG>Horarios de Redes Sociales:</STRONG><BR> <h4 ALIGN= "MIDDLE" > <LI>09:20-09:30 - 1 RECREO TURNO MAANA<BR> <LI>10:50-11:00 - 2 RECREO TURNO MAANA<BR> <LI>12:20-12:30 - 3 RECREO TURNO MAANA<BR> <LI>13:05-13:20 - HORARIO DE ALMUERZO<BR> <LI>14:40-14:50 - 1 RECREO TURNO TARDE<BR> <LI>16:10-16:20 - 2 RECREO TURNO TARDE<BR> <LI>17:40-17:50 - 3 RECREO TURNO TARDE<BR> </P> </h4>
18
</UL> <HR> <H4 ALIGN="MIDDLE"> <table> <tr> <td> <a href="mailto:NOESTANCIMPLICADODEBUSCAR@EUGENIO.COM"> <IMG SRC= "http://img155.imageshack.us/img155/1903/diegocolor.jpg"ALIGN= "MIDDLE " ALT= "IPEM N 168 'Diego de Rojas'" WIDTH=80 HEIGTH=100> </a> </td> <td> <a href="mailto:NoLesVoyADarMiMail@niapalo.com">Eugenio Regis</a> <BR> Administrador de Redes <BR> <a href="mailto:NOESTANCIMPLICADODEBUSCAR@EUGENIO.COM">IPEM N 168 "Diego de Rojas"</a> <BR> Villa General Belgrano - Calamuchita<BR> </td> <td> <a href="mailto:NoLesVoyADarMiMail@niapalo.com"> <IMG SRC= "http://img854.imageshack.us/img854/1706/cartoonizer3.jpg"ALIGN= "MIDDLE " ALT= "Kuque" WIDTH=110 HEIGTH=100> </a> </td> </tr> <tr> <td colspan="3" align= "MIDDLE"> <table border> <tr> <td><a href="http://feibu.com/"> <IMG SRC= "http://img408.imageshack.us/img408/2219/55771180.jpg"ALIGN= "MIDDLE " ALT= "FACEBOOK" WIDTH=80 HEIGTH=100> </a> </td> <td><a href="http://lawebdelpajarito.com/"> <IMG SRC= "http://img812.imageshack.us/img812/8650/12973713.jpg"ALIGN= "MIDDLE " ALT= "TWITTER" WIDTH=80 HEIGTH=100> </a> </td> <td><a href="http://guglemas.com/"> <IMG SRC= "http://img841.imageshack.us/img841/3484/92282004.png"ALIGN= "MIDDLE " ALT= "GOOGLE++" WIDTH=80 HEIGTH=100> </a> </td> </tr> </table> </td> </tr> </table> </H4> <HR>
IPTables
Es una herramientas que se construye sobre netfilter, el framework de alteracin de paquetes de Linux 2.4.xy 2.6.x. Se trata de una modificacin importante de su predecesor, ipchains, y se utiliza para controlar el filtrado de paquetes, traduccin de direcciones de red y manipulacin de paquetes. La base de datos de netfilter puede ser alterada por la herramienta iptables. Cuando el equipo se reinicia estas tablas se vacan. Al cargarse el ncleo nuevamente una rutina, a cargo de iptables, vuelve a escribir las cadenas (o registros si se quiere) en las tablas. Esta es la estructura de la base de datos en cuestin.
Tabla Filter
INPUT
OUTPUT
Nat
La traduccin de direcciones se produce antes del enrutamiento. Facilita la transformacin de la direccin IP de destino para que sea compatible con la tabla de enrutamiento del servidor de seguridad. Se utiliza con NAT de la direccin IP de destino, tambin conocida como NAT de destino o DNAT. La traduccin ocurre luego del enrutamiento. Esto se emplea cuando no fue necesario modificar la direccin IP de destino en el PREROUTING. Traduccin de direcciones de red para los paquetes generados por el firewall. Modificacin del bit quality of service del paquete TCP, antes del enrutamiento.
POSTROUTING
OUTPUT
Mangle
20
En nuestra experiencia como administradores de red creemos que el filtrado de paquetes es de gran importancia no solo para la seguridad del sistema, sino para posibilitar una conexin a Internet de calidad. Para lograr la funcionalidad deseada repasaremos como cerrar y abrir puertos, descartar y permitir el trfico de paquetes IP. Manos a la obra...
21
22
De este algoritmo, solo nos interesa lo que suceda en la tabla Filter, el paso de un paquete por esta tabla se describe en el siguiente diagrama.
Un paquete entra y es analizado. Si su destino es el propio servidor (o host local), se analizan las reglas INPUT. Si el paquete no es descartado llega al proceso local de destino, es analizado y enviado para ser escrutiniado por las reglas OUTPUT. En el caso de que el destino del paquete fuera otro host solo se analizan las reglas FORWARD.
23
Como experiencia personal, les proponemos dos formas de trabajar. Una descargar este archivo y trabajarlo desde otra aplicacin y luego de terminada la edicin, subirla al servidor con la seccin de Cargas y Descargas. Y la otra forma seria usando directamente la herramienta Editar del aplet java.
Propuestas de configuracin
En este ltimo apartado recorreremos dos configuraciones analizando la sintaxis y explicando que se pretendi hacer con cada lnea. El primer ejemplo de archivo iptables.up.rules # inicio de la lista de reglas de la cadena MAGLE *mangle :PREROUTING ACCEPT [0:0] :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0] :POSTROUTING ACCEPT [0:0] COMMIT # fin de la lista de reglas de la tabla MAGLE # Estas definiciones estn intactas, tal cual como vienen tras la instalacin del SO. # Noten que la poltica por defecto de cada una de las cadenas es Aceptar el paquete que no coincida con ninguna de las reglas. *filter :FORWARD ACCEPT [0:0] :INPUT ACCEPT [0:0] :OUTPUT ACCEPT [0:0] # Descarto SSH que no sea de 172.16.0.10 24 Ministerio de Educacin - Direccin de Sistemas| Marcelo Ponce Eugenio Regis
-A INPUT -p tcp -m tcp ! -s 172.16.0.10 --dport 22 -j DROP #poltica permitir cierto trfico #Teniendo en cuenta nuestra poltica restrictiva de puertos y a los fines de administrar mejor nuestros clientes, sabiendo que no todos tienen los mismos privilegios, al principio de la tabla de filtros sealaremos las siguientes lneas. #Permitir conexiones desde una ip determinada para todos los puertos -A FORWARD -p tcp -s 172.16.8.84 -i eth0 -o eth1 --dport 1:65535 -j ACCEPT -A FORWARD -p udp -s 172.16.8.84 -i eth0 -o eth1 --dport 1:65535 -j ACCEPT -A FORWARD -p tcp -s 172.16.8.85 -i eth0 -o eth1 --dport 1:65535 -j ACCEPT -A FORWARD -p udp -s 172.16.8.85 -i eth0 -o eth1 --dport 1:65535 -j ACCEPT -A FORWARD -p tcp -s 172.16.8.87 -i eth0 -o eth1 --dport 1:65535 -j ACCEPT -A FORWARD -p udp -s 172.16.8.87 -i eth0 -o eth1 --dport 1:65535 -j ACCEPT #Denegar Facebook por https -A FORWARD -p tcp -d 69.171.0.0/16 -i eth0 -o eth1 --dport 443 -j DROP -A FORWARD -p udp -d 69.171.0.0/16 -i eth0 -o eth1 --dport 443 -j DROP -A FORWARD -p tcp -d 66.220.0.0/16 -i eth0 -o eth1 --dport 443 -j DROP -A FORWARD -p udp -d 66.220.0.0/16 -i eth0 -o eth1 --dport 443 -j DROP -A FORWARD -p tcp -d 69.63.0.0/16 -i eth0 -o eth1 --dport 443 -j DROP -A FORWARD -p udp -d 69.63.0.0/16 -i eth0 -o eth1 --dport 443 -j DROP #Poltica de Puertos -A FORWARD -p tcp --dport 0:52 -i eth0 -o eth1 -j DROP -A FORWARD -p udp --dport 0:52 -i eth0 -o eth1 -j DROP -A FORWARD -p tcp --dport 53 -i eth0 -o eth1 -j ACCEPT -A FORWARD -p udp --dport 53 -i eth0 -o eth1 -j ACCEPT -A FORWARD -p tcp --dport 54:79 -i eth0 -o eth1 -j DROP -A FORWARD -p udp --dport 54:79 -i eth0 -o eth1 -j DROP -A FORWARD -p tcp --dport 80 -i eth0 -o eth1 -j ACCEPT -A FORWARD -p udp --dport 80 -i eth0 -o eth1 -j ACCEPT -A FORWARD -p tcp --dport 81:442 -i eth0 -o eth1 -j DROP -A FORWARD -p udp --dport 81:442 -i eth0 -o eth1 -j DROP -A FORWARD -p tcp --dport 443 -i eth0 -o eth1 -j ACCEPT -A FORWARD -p udp --dport 443 -i eth0 -o eth1 -j ACCEPT -A FORWARD -p tcp --dport 444:65535 -i eth0 -o eth1 -j DROP -A FORWARD -p udp --dport 444:65535 -i eth0 -o eth1 -j DROP # Otra poltica de puertos (recomendado por Marco Antonio de Hoyos) # vale destacar que no en todas las versiones del ncleo estas lneas son salidas. Son necesarias ciertas extensiones. -A FORWARD -p tcp -m multiport ! -d 172.16.0.2 -i eth0 -o eth1 -j REJECT --reject-with icmp-portunreachable ! --dports 80,53,443 -A FORWARD -p udp -m multiport ! -d 172.16.0.2 -i eth0 -o eth1 -j REJECT --reject-with icmp-portunreachable ! --dports 80,53,443 -A FORWARD -p tcp -m multiport ! -d serv0007.exocampus.net -i eth0 -o eth1 -j REJECT --reject-with icmpport-unreachable ! --dports 80,53,443 -A FORWARD -p udp -m multiport ! -d serv0007.exocampus.net -i eth0 -o eth1 -j REJECT --reject-with icmp-port-unreachable ! --dports 80,53,443 25 Ministerio de Educacin - Direccin de Sistemas| Marcelo Ponce Eugenio Regis
COMMIT *nat :PREROUTING ACCEPT [0:0] :OUTPUT ACCEPT [0:0] :POSTROUTING ACCEPT [0:0] -A POSTROUTING -o eth1 -j MASQUERADE # redirecciona conexiones HTTP al Proxy Squid -A PREROUTING -p tcp -m tcp -i eth0 --dport 80 -j REDIRECT --to-ports 3128 COMMIT
Bibliografa
http://www.netfilter.org/documentation/index.html
26
Servidores DHCP
El protocolo de configuracin dinmica de host (DHCP, Dynamic Host Configuration Protocol) es un estndar IP diseado para simplificar la administracin de la configuracin de red de los hosts en una red. Se implementa el uso de servidores para administrar la asignacin dinmica de configuraciones. Las direcciones IP o tambin llamadas direcciones de Red, en rigor, se asignan a cada interfaz en cada nodo de la red y debe ser nica. La direccin IP identifica al equipo host y la mscara de subred la subred a la que pertenece. DHCP permite asignar dinmicamente una direccin IP a un cliente a partir de la base de datos de direcciones IP del servidor DHCP de la red local. En las redes TCP/IP, DHCP reduce la complejidad y cantidad de trabajo administrativo para volver a configurar los equipos.
/etc/dhcp3/dhcpd.conf.
En esta oportunidad no profundizaremos al explicar la sintaxis del archivo de configuracin, solo mostraremos como asignar configuraciones estticas a equipos de nuestra red desde la interfaz Web de Webmin. Nos dirigimos dentro del apartado Servidores al enlace correspondiente al Servidor DHCP.
27
Servidores > Servidor DHCP En la seccin de Mquinas y Grupos de Mquinas, hacemos clic en el enlace Aadir una nueva mquina
28
En donde especificaremos el nombre que le daremos al nuevo equipo, en el ejemplo EugenioNB, cuya direccin de hardware escribimos separando de a pares con el signo : (dos puntos). Siguiendo con la idea original si abrimos nuestro archivo de configuracin <dhcpd.conf> encontraremos lo explicado en la siguiente seccin: #Red Local - donde asignaremos el rango de las ips que tomaran cada uno de los hosts de nuestra red
subnet 172.16.0.0 netmask 255.255.0.0 { option domain-name-servers 172.16.0.1; option domain-name "miescuela.local"; option routers 172.16.0.1; pool { range 172.16.1.1 172.16.9.254; } }
# y aqu agregaremos uno a uno los hosts que decidiremos tengan ip esttica. # este es otro ejemplo.
29
DELAY POOLS
Los Delays Pools son la alternativa que ofrece Squid para el control del ancho de banda (rate limiting y traffic shaping); son una de las herramientas ms importantes que propone Squid. A pesar de ello, estn poco documentadas y con frecuencia son mal empleadas. El beneficio de estos radica en que controlan el ancho de banda, sin causar penalidades (retardo o delay) sobre los objetos trados desde la cach. En lenguaje tcnico de Proxy, un CACH MISS es cuando el objeto buscado NO se encuentra en la memoria cache y debe ser descargado desde un servidor remoto en Internet, y es aqu donde actual los pooles de retardo. Contrario a lo anterior, un CACH HIT ocurre cuando el objeto buscado SI es encontrado en esta memoria intermedia.
\ \ \
CLASE 2 Este es un Delay clase 1 con como mximo 256 Delay Pools clase 2 subordinados al primero. En ingls tcnico un aggregate bucket y 256 individual buckets. En nuestra abstraccin un tanque principal y 256 tanques secundarios alimentados por el tanque principal. Con este Delay es posible controlar el canal que usan 256 clientes. El tipo 2 permite definir un ancho de banda global y un lmite por cada usuario. Este tipo te permite decir "hay un ancho de banda disponible de 1 Mbps de trfico desde Internet pero cada usuario no puede usar ms de 64 kbps". Ejemplo: delay_parameters 1 131072/131072 8192/8192 30 Ministerio de Educacin - Direccin de Sistemas| Marcelo Ponce Eugenio Regis
Internet | | | |~~~~~~| | | | Pool | / / \ \ / / \ \ / / \ \ | | | | | | | | |~~~~~~| |~~~~~~| |~~~~~~| |~~~~~~| | | | | | | | | | Pool | | Pool | | Pool | | Pool |
Hosts
CLASE 3 Este es un Delay Pool clase 1 con 256 Delay Pools clase 2 y 65536 Delay Pools de clase 3 subordinados a este. En ingles tcnico un aggregate bucket, 256 network buckets, y 65536 individual buckets. Est orientado para manejar la asignacin de ancho de banda en redes clase B. El tipo 3 te permite definir un ancho de banda global, un lmite por cada subred, y un lmite por cada usuario. Este tipo te permite decir "hay un ancho de banda disponible de 1 Mbps de trfico de internet, pero cada subred no puede usar ms de 128kbps, y cada usuario individual no puede usar ms de 64kbps". Ejemplo: delay_parameters 1 131072/131072 16384/16384 8192/8192
Sintaxis
Convencin para expresar las propiedades de las Delay Pools en el archivo de configuracin <squid.conf> Primero definimos la cantidad de Pooles a utilizar delay_pools la cantidad de Delay Pools a usar.
31
Ejemplo: delay_pools 3
delay_class N C
donde N es > 0 y representa el identificador y C representa la clase (puede ser 1, 2 o 3)
Ejemplos:
# el Delay Pool nmero 1 ser clase 3 delay_class 1 3 # el Delay Pool nmero 2 ser clase 1 delay_class 2 1 # el Dalay Pool nmero 3 ser clase 2 delay_class 3 2
Directiva delay_access
Permite relacionar un pool con una ACL especfica y as asignar su uso a una determinada condicin. Es similar a las reglas de acceso de Squid, y de la misma forma es necesario definir previamente las ACls y los Pooles para luego definir si se permite o se deniega el acceso.
Ejemplo:
delay_parameters 1 131072/232144
32 Ministerio de Educacin - Direccin de Sistemas| Marcelo Ponce Eugenio Regis
Un Delay clase 1. Se usan mximo 1Mb/s de ancho de banda con rfagas de descarga de 2Mb. Solo se limita el ancho de banda que usa en total sin importar cmo se distribuye el canal entre los clientes, lo cual da la posibilidad a condiciones de competencia por el ancho de banda en todo momento. Ejemplo:
33
Servidores > Squid - Servidor Proxy Utilizamos el link, Agregar un nuevo pool de retardo
34
Servidores > Squid - Servidor Proxy > Pools de retardo > Agregar Pool de Retardo clase de pool: "1 -Agregar" lmite agregado (para clases 1, 2 y 3) : 56kb /segundo, 100 kb mx. Lmite individual (para las clases 2 y 3): Ilimitado Lmite de red (para clase 3): Ilimitado NOTA: DEBIDO A QUE EL WEBMIN HACE UNA MALA CONVERSIN DE LAS UNIDADES DE MEDIDA RECOMENDAMOS PRIMERO HACERLAS MANUALMENTE Y EXPRESARLAS DIRECTAMENTE EN BYTES.
35
Servidores > Squid - Servidor Proxy > Pools de retardo > Agregar Pool de Retardo
Servidores > Squid - Servidor Proxy > Pools de retardo > Agregar Pool de Retardo Finalmente hacemos clic en crear....
Servidores > Squid - Servidor Proxy > Pools de retardo > Agregar Pool de Retardo Esta es la pgina resultante, pero no es todo...
36
Servidores > Squid - Servidor Proxy > Pools de retardo An no hemos terminado, debemos asignar las reglas de acceso. Hacemos clic en agregar una ACL nueva para este pool
37
Servidores > Squid - Servidor Proxy > Pools de retardo Salvan nuevamente
38
Servidores > Squid - Servidor Proxy > Pools de retardo y con eso tenemos terminado nuestro primer Delay Pool, el que le dar acceso a internet a cada uno de los host en nuestra red a una velocidad de 56 kbits/s. Aunque podemos tambin declarar esto u otra configuracin en la ubicacin /etc dentro del archivo <squid.conf> Como dijimos al principio primero declararemos la cantidad de Pools (haremos otro ejemplo que se ajusta a nuestros casos con conexiones de entre 1mbits/s y 1.5 mbits/s dados por nuestro ISP) # declararemos 2 Pools - uno para casos con privilegios y el otro general con restricciones de velocidad delay_pools 2 # declaramos quien tiene acceso y quien NO a cada uno de nuestros pools delay_access 1 allow mi_cel mi_NB Veronelli-NB mi_PC delay_access 1 deny !mi_cel !mi_NB !Veronelli-NB !mi_PC delay_access 2 allow localnet delay_access 2 deny !localnet # ahora decimos de que clase sern - cabe destacar que al menos uno tendr acceso sin restriccin as que como ser ilimitado deber ser de clase 1 delay_class 1 1 delay_class 2 2 # y ajustamos los parmetros con las velocidades y los tamaos que mejor se ajusten a nuestra configuracin # el primer delay estar ilimitado simbolizado con los -1/-1 39 Ministerio de Educacin - Direccin de Sistemas| Marcelo Ponce Eugenio Regis
# y en el segundo delay declaramos que la velocidad de descarga de nuestra red es de 1mbits/s (131072) pero con un limite de 2 megabytes (2097152) de descarga y a su vez cada host de nuestra red tendr un lmite de velocidad 96 kbits/s (12288) limitados cada 100 kilobytes (102400) de datos descargados. delay_parameters 1 -1/-1 delay_parameters 2 131072/2097152 12288/102400
40