Clase 4 Linux Intranet

Servidor Proxy
Requerimientos
*Servidor Xeon core duo o superior
*Memoria de 4GB
*Disco 500Gb
*2 tarjetas de red
*1 proveedor de servicios de internet
*Software de Proxy
Funcionamiento
* El Cliente realiza una peticin (www.yahoo.com)
*Es recibida por el puerto del servidor proxy.
*El servidor Proxy realiza la busqueda del site y recibe el contenido del site.
*La pagina es almacenada en el cache del servidor proxy,
*El servidor Proxy , entrega el contenido del site al cliente que lo solicito,
*Si el servidor Proxy recibe un nuevo requerimiento vuelve a repetir el
procedimiento.
Configuracin del cliente
La siguiente configuracin es utilizada para realizar requerimientos al servidor
Proxy.
*Todos los navegadores poseen la opcin de configurar una salida mediante un
servidor Proxy.
*Los datos a necesitar son:
- Ip del servidor Proxy (192.168.1.1)
- Puerto (3128) por el cual fue configurado para aceptar requerimientos de
los clientes.

Tipos de Servidor Proxy

*Proxy con una tarjeta de red.
*Proxy con dos tarjetas de red.
Proxy con una tarjeta de red:
*Es utilizado para memoria cache,
*Cuando un el servidor Proxy es el nico autorizado para salir hacia a la red
externa (Interna).
*Utilizado cuando existe un enlace dedicado hacia internet.
Diagrama:

switch

protocolo
tcp/ip

cliente

router

Servidor
proxy

eth0
eth0

internet

Proxy con dos tarjetas de red:

* Usado para proteger a la red interna.
*Adicionalmente de cache.
* Todo el trfico pasa por el servidor Proxy.
* Una tarjeta de red conectada a la red interna y la otra a la red externa
(desprotegida).
* Desde la red externa no puede ver a la red interna (Direcciones privadas)
Diagrama:

protocolo
tcp/ip

switch

switch

Servidor
proxy

cliente
eth0

internet

router
eth1

Red privada (Ip privadas)

Red externa (Ip publicas)

Squid
*Software de proxy para unix.
*Software GNU (gratuito).
* Financiado por la free Software Fundacion.
* Smbolo.
-(Calamar)
Caracteristicas :
*Cache de paginas Web,
* controla el acceso de salida,
* Almacena en memoria las busquedas de DNS,
* Soporta Http, FTP , Ssl,
* no soporta real audio , Nntp y otros.
Squid Instalacin.
* Comprobando la instalacion.
# rpm -q squid
*Si no est instalado , ingrese el comando
#yum -y install squid.
* si desea activarlo en forma permanente.
# setup
servicios del sistema
[*] squid
<Ok>

Directorio de configuraciones
# cd /etc/ squid
# ls
cachemgr.conf mime.conf squid.conf
cachemgr.conf.default mime.conf.default squid.conf.default
errorpage.css msntauth.conf
errorpage.css.default msntauth.conf.default
*mime.conf >> Iconos a dispalyar cuando ingresa un ftp.
*squid.conf >> archivo de configuracin del squid.

Squid configuracin I (squid.conf)

*Este archivo , posee varios parmetros de configuracin , se detallar lo importante para activar el squid,
* Edite el archivo con el vi.
#pwd
/etc/squid
# vi squid.conf

Squid configuracin II (squid.conf)

http_port 3128
# parmetro que indica el puerto a recibir las peticiones de los clientes , el cual deber de estar libre sin
interferencia de otro servicio.
Slo si se desea hacer proxy transparente agregar el parmetro trasparent al final.
En el esquema de 2 tarjetas de red.

Squid configuracin III (squid.conf)

Cache_dir directorio tamao nivel1 nivel2
# Parametro que configura el cache a crearse.
- Directorio: Ubicacion a crearse el cache.
-Tamao : tamao mximo del cache, depende del espacio expresado en Mbytes
-Nivel1 : Directorio a crearse para el cache
-Nivel2 : Directorio a crearse dentro de cada directorio de cada nivel.
cache_dir ufs /var/spool/squid 1400 16 256

Listas de acceso:
las listas de acceso son definidas por el administrador root para permitir que los clientes o a los clientes
ingresen a ciertas paginas.
Estas son consultadas con ehttp://www.viabcp.com.pe/l administrador de la empresa.

Sintaxis:
acl

aclname
(etiqueta)

acltype
src

>>por direcciones ips

port

>> puertos Acceso

dstdomain

>> dominios

url_regex

>> lista de contenido

urlpath_regex >> lista de extensiones

Time

http_access [deny o allow]

acl mired src 172.17.3.0 netmask 255.255.255.0
http_access allow mired

acl permitidos url_regex /etc/squid/permitidos

http_access allow permitidos
bn.com.pe

>> fecha y hora.

mintra.gob.pe
viabcp.pe
profuturoafp.peasociacionafp.com.pe
elperuano.pe

acl denegados url_regex /etc/squid/denegados

http_accsess deny denegados
xxx
cholotubehttp://www.facebook.com/
nenas
youtube
facebook
http://www.viabcp.com.pe/
ir a la barra del navegador:

editar >> preferencias>>avanzado >>red >>configuracin

acl facebook dstdomain http://facebook.com

http_access deny facebookasociacionafp.com.pe

acl puertos de acceso port 25 80 110 143 53

http_access allow puertos de acceso

E. final
Crear 1 servidor Proxy
que deniegue todo excepto las paginas de gobierno , bancos , afps y el peruano.
para reiniciar utilice:
# service squid restart
o ms rpido
# squid -k reconfigure
1
2 # Recommended minimum configuration:
3#
4 acl manager proto cache_object
5 acl localhost src 127.0.0.1/32 ::1
6 acl to_localhost dst 127.0.0.0/8 0.0.0.0/32 ::1
7
8 # Example rule allowing access from your local networks.
9 # Adapt to list your (internal) IP networks from where browsing
10 # should be allowed
11 #acl localnet src 10.0.0.0/8 # RFC1918 possible internal network
12 acl localnet src 172.17.3.0/24 # RFC1918 possible internal network
13 acl localnet src 192.168.0.0/16 # RFC1918 possible internal network
14 acl localnet src fc00::/7
# RFC 4193 local private network range
15 acl localnet src fe80::/10
# RFC 4291 link-local (directly plugged) machines
16
17 acl SSL_ports port 443
18 acl Safe_ports port 80
# http
19 acl Safe_ports port 21
# ftp
20 acl Safe_ports port 443
# https
21 acl Safe_ports port 70
# gopher
22 acl Safe_ports port 210
# wais
23 acl Safe_ports port 1025-65535 # unregistered ports
24 acl Safe_ports port 280
# http-mgmt
25 acl Safe_ports port 488
# gss-http
26 acl Safe_ports port 591
# filemaker
27 acl Safe_ports port 777
# multiling http .bbvacontinental.pe
28 acl CONNECT method CONNECT
29
30 #
31 # Recommended minimum Access Permission configuration:
32 #
33 # Only allow cachemgr access from localhost
34 http_access allow !manager localhost
35 http_access allow manager
36
37 # Deny requests to certain unsafe ports
38 http_access deny !Safe_ports
39
40
41 # Deny CONNECT to other than secure SSL ports
42 http_access deny CONNECT !SSL_ports
43
44 acl gobierno dstdomain .gob.pe
45 http_access allow gobierno http://www.viabcp.com.pe/
46
47 acl bancos dstdomain .bn.com.pe
48 acl bancos dstdomain .bancomercio.com.pe
49 acl bancos dstdomain .bancognb.com.pe
50 acl bancos dstdomain .viabcp.com.pe
51 acl bancos dstdomain .scotiabank.com.pe
52
53 http_access allow bancos 59 acl afps dstdomain .profuturo.com.pe
60 acl afps dstdomain .integra.com.pe 59 acl afps dstdomain .profuturo.com.pe
60 acl afps dstdomain .integra.com.pe
61 acl afps dstdomain .afphabitahttp://www.viabcp.com.pe/t.com.pe
62 acl afps dstdomain .prima.com.pe
63
64 http_access allow afps
61 acl afps dstdomain .afphabitat.com.pe
62 acl afps dstdomain .prima.com.pe
63 http://www.viabcp.com.pe/
64 http_access allow afps
54
55

56
57
58
59 acl afps dstdomain .profuturo.com.pe
60 acl afps dstdomain .integra.com.pe
61 acl afps dstdomain .afphabitat.com.pe
62 acl afps dstdomain .prima.com.pe
63
64 http_access allow afps
65
:set nu