Instituto Tecnológico de Costa RicaEscuela de Ingeniería ElectrónicaTécnico en Telemática.

Instalación y configuración básica de servicios en un servidor GNU/Linux. v 10_2011

Instructor: Ing. William Marín Moreno.

INTRODUCCIÓN.Toda persona que desconoce Linux, y aquellos que poco lo conocen, tienen cierto miedo a usarlo debido a que consideran que la administración y uso diario del mismo es difícil.

Si bien esto puede ser en parte cierto (no todo es fácil de destrozar sino que requiere de cierto conocimiento para hacer algunas cosas puntuales), la verdad es que los aspectos difíciles de administrar son aquellos que un usuario típico nunca usaría. Y en el caso de que el usuario tenga la curiosidad de

hacer cosas que no son fácilmente accesibles, entonces se vale decir que para lograrlo va a tener que tomarse un tiempito ya que en su contra parte, Windows, también cuesta tiempo.

El otro miedo, es la bendita consola. Esa consola que en muchos casos saca de apuros a muchos administradores, ya que en ella no hay tiempos de espera de ventanas que se dibujan, ni cuelgues inoportunos porque algo se dibujó mal o algún proceso caprichoso no salió de memoria. La misma adorada consola es parte de Windows y de otros Sistemas Operativos, el asunto es que básicamente no se ve tanto debido a que han puesto especial énfasis en evitar que el usuario acceda a ella, para evitar ese mismo miedo que se tiene con Linux.

Pero, como pingüino Linuxero debo admitir que si bien al comienzo todos tuvimos ciertos problemas (hasta con Windows en algún momento, y con cualquier programa/gadget nuevo…), al tiempo nos

1

damos cuenta de que hacer las cosas es bien sencillo y hasta muchas veces analizamos el costo de la misma solución en otro Sistema, debiendo acceder a un producto pago o shareware.

Para demostrar que la Administración de Linux en realidad es fácil, vamos a poner de ejemplo un programa que lo hace todo de manera gráfica… a ver que Windowsero sale a defender ahora con el argumento de que la consola da miedo… no, eso no… ya no… todo es simple y accesible con Webmin.

Webmin.

Webmin es una interfase basada en Web que permite la Administración de Sistemas Unix. La idea general de Webmin es poner de forma accesible la configuración de la mayoría de programas/servicios que se usan normalmente en Unix (Linux, etc), de modo que con todo se logra mediante formularios Web, pero a su vez, podemos editar los archivos de configuración en modo editor de texto (para aquellos Pros).

¿Qué se puede hacer?

Lo bueno de Webmin es que el programa no está limitado a lo que los desarrolladores del mismo quieran, sino que es modular. Esto quiere decir que podemos instalar nuevos módulos, los cuales pueden ser descargados del mismo sitio, en la sección Third-Party Modules.

Aún así, para no complicarla, por defecto viene una extensa cantidad de módulos que normalmente suelen venir cargados en casi cualquier distribución Linux.

Entre los módulos destacados (mencionaré solo algunos, más una breve reseña):

• Apache WebServer: Administrar las directivas y características del Servidor Web Apache.• Bandwidth Monitoring: Podemos generar reportes del tráfico que provocamos en una

conexión (Internet, Red, etc) de modo que si tenemos un ISP que nos cobra por tráfico, con esto tenemos un reporte real de nuestro consumo.

• Bootup and Shutdown: En Ubuntu tengo el BUM (Boot Up Manager) pero la verdad es que en muchos casos, los servicios que aparecen los desconozco y no me lista todos. Con esto, uno logra sacar todos los servicios que no se usan, y encima puede acceder al código que ejecutan.

• Change Password: Si bien es relativamente sencillo cambiar los passwords de los usuarios, ¿qué mejor que tenerlo todo accesible en una interfaz bonita?

• DHCP Server: Para todos aquellos que tengan una red, y necesiten tener un servidor DHCP (para que cada PC que se conecte a la red, tenga una IP asignada automáticamente), aquí tienen un administrador muy sencillo.

• Disk Quota: Si están en una red en donde hay muchos usuarios y estos requieren de tener una cuota asignada en disco (o quizás, para un servidor web/de archivos), este es el complemento ideal. Primero le creamos un usuario, y luego le asignamos la cuota desde aquí.

• Disk and Network FS: Aquí tenemos acceso a toda la información del disco (similar al comando df), representado gráficamente y con información extendida.

2

• File Manager: Para todo aquel acostumbrado a usar un cliente FTP, este módulo les será muy familiar, ya que permite asignar permisos de las carpetas con una interfase gráfica muy sencilla pero útil.

• GRUB Boot Loader: Si bien dudo que algún miedoso se ponga a jugar con el GRUB (el que maneja el inicio luego del BIOS), aquí tienen un módulo para administrar todo y agregar cada detalle que sea necesario.

• SSH Server: Un módulo para administrar el servidor de SSH que es el complemento ideal para aquellos que quieran compartir archivos de forma segura, evitando el conocido FTP, y a su vez brindando una terminal mucho mejor que Telnet.

• Samba Windows File Sharing: Lamentablemente, seguramente una computadora con Windows vive en tu red, con lo que podrás configurar las carpetas compartidas para que funcionen sin líos de configuración ni dolores de cabeza, bien fácil.

• Shorewall Firewall: Shorewall es un Firewall, a punto de decir que es el ZoneAlarm de Windows, lo bueno que tiene es que le puedes configurar de todo. El punto es que desde el módulo tienes acceso fácil a cada una de sus funciones, y podrás dejar tu computadora más asegurada que el búnker de Bin Laden.

• Software Packages: Para aquellos que le tienen miedo al APT-GET o APTITUDE, o cual fuera que usen (según la rama de Linux que usen), con esto lograrán instalar cualquier paquete sin ninguna complicación. Buscan, encuentran, instalan.

• y mucho más…!

Observaciones:

Cabe destacar que si no tenemos un software instalado en la PC al momento de entrar a su configuración, podemos acceder a descargarlo directo desde Webmin, con lo cual evitamos tener miedo de cualquier inconveniente que pueda suceder.

Conclusión:

Cabe destacar que quien escribe esta introducción (Federico Almada), ha probado Webmin (tras un intenso dolor de cabeza por configurar una conexión WiFi) y aprueba rotundamente el uso del mismo. Es de notar que pese a que a veces puede sonar más geek el hacer todo por línea de comandos (la bendita consola que tanto miedo provoca…), muchas veces uno puede confundirse y dejar al sistema colgado de hilos por un error de tipeo, con lo que necesariamente un programa que facilite la administración siempre es bienvenido. Aún así… cuando venga un amigo que no tiene ni idea, abren una consola y se hacen los guapos por un rato… total… la administración queda de la mano de Webmin… ;) Autor de la Introducción: Federico Almada (http://www.techtear.com/tag/administracion) . Adaptada por William Marín.

3

ContenidoIntroducción.................................................................................................................................1

Webmin...................................................................................................................................2Primera Parte: ............................................................................................................................5

Crear Máquinas virtuales con VirtualBox...............................................................................7Instalación de Ubuntu SERVER...........................................................................................15Verificar la conexión a red....................................................................................................24Instalación de Webmin.........................................................................................................27Ingresar a Webmin...............................................................................................................31

Segunda Parte..........................................................................................................................32Asignación de dirección IP estática interfaz LAN.................................................................32Instalación y configuración de un servidor DHCP................................................................35Instalación configuración básica del servidor Web Apache................................................39

Tercera Parte............................................................................................................................42Firewall/ NAT con iptables....................................................................................................42

Cuarta Parte..............................................................................................................................52CONFIGURACION DEL SERVIDOR PROXY SQUID.........................................................52

Quinta Parte..............................................................................................................................73Instalación. y configuración de un servidor FTP (PROFTPD).............................................73Compartir Archivos e Impresoras con SAMBA....................................................................77

Anexos......................................................................................................................................81Distribución del ancho de banda utilizando HTB e IPTables...............................................81

Ubuntu Server lightweight Gnome Desktop.............................................................................86

4

PRIMERA PARTE:

Figura 1a. Topología básica-simplificada de clase.

Figura 1b. Topología extendida de clase.

5

Figura 1c. Topología básica-simplificada de clase (direccionamiento).

Crear Máquinas virtuales con VirtualBox

• Revise el Video sobre instalación de VirtualBox en la sección de Videos del curso.• Presionar el botón NUEVA de la esquina superior izquierda de la pantalla para iniciar el

asistente.

• Presionar SIGUIENTE.

• En la sección “Nombre de la máquina virtual y tipo de sistema operativo, ingresar un nombre descriptivo (por ejemplo Servidor de la Clase) y seleccionar el sistema operativo (Linux, Ubuntu) y presionar SIGUIENTE.

7

• Asignar la cantidad de memoria RAM

• Crear disco duro virtual.

8

• Seleccionar el formato de disco duro por defecto (VDI:VirtualBox Disk Image)

• En Detalles de almacenamiento dejar por defecto en Reservado dinámicamente.

9

• En “Localización y tamaño del disco virtual” digitar un nombre al archivo del disco duro (por defecto será el mismo nombre de la máquina virtual, y luego asignar su tamaño (8GB es suficiente)

• Presionar SIGUIENTE y luego CREAR para crear el Disco Duro Virtual.

10

• Aparecerá un resumen de la máquina virtual que se creará, si todo es correcto seleccionar CREAR

• Listo!!, la máquina virtual ha sido creada y aparecerá en la lista de máquinas virtuales de la parte derecha.

11

• antes de encenderla por primera vez vamos a configurarle algunas cosas, para ello se debe seleccionar la máquina virtual (sombreada en color naranja) y presionar CONFIGURACION.

Nótense las secciones o categorías de la parte izquierda que se pueden configurar, revise cada una de ellas.

12

En la sección de Almacenamiento vamos a introducir el CD de instalación del sistema operativo (Ubuntu Server) en la unidad de CD virtual, para ellos seleccione la unidad de CD que se encuentra

bajo Controlador IDE y en la sección de atributos presione sobre el ícono de CD y seleccione la imagen (*.iso) de Ubuntu Server que el profesor le entregó.

13

En la sección de Red vamos a configurar en el servidor 2 tarjetas de red, una de ellas conectada a la conexión WAN de su ISP, y la otra a un Switch de su LAN, observe las dos figuras siguientes.

14

Instalación de Ubuntu SERVER.

William Marín. (http://www.ie.itcr.ac.cr/marin)

NOTAS: a. Revise el Video sobre instalación de Ubuntu server en Virtualbox en la sección de videos del curso.b. Se le recomienda que antes de realizar cualquier paso de ésta guía, lea detalladamente al menos los dos pasos siguientes. Observe la figura 1a, usted administrará el servidor y todo lo que se encuentre a su izquierda. Ésta es la topología básica de su LAN, usted es el administrador y debería conocerla de memoria. Puede utilizar la topología de la figura 1c para completar lo referente al direccionamiento IP tanto de la LAN como de la WAN.Note que el servidor posee dos conexiones de red, y que todo el tráfico que entre o salga de la LAN tiene que pasar por él.Antes de iniciar asegúrese de instalar una segunda tarjeta de red al computador, que servirá para conectarla a la red local.

1. Introduzca el CD de Ubuntu en la unidad de CD y reinicie el computador, asegúrese de que la secuencia de arranque en el Setup del BIOS de su computador está configurado para iniciar desde la unidad de CD, de no ser así, modifíquela desde el Setup del BIOS.

2. Al iniciar desde el CD, primeramente deberá seleccionar el idioma del menú.

A diferencia de Ubuntu Desktop, esta versión de Ubuntu server no permite ser utilizada como Live CD, por lo que no es posible tener una vista previa de su funcionamiento.

En la ventana de principal de instalación se muestran las siguientes opciones: • Instalar Ubuntu server: Inicia el proceso de instalación. • Verificar el CD en busca de defectos: Útil para verificar si el CD de instalación tiene algún

daño o error. Básicamente calcula el código MD5 de caca archivo en el CD y lo compara con una lista.

• Recuperar un sistema dañado: Carga los componentes básicos de un sistema GNU/Linux en memoria RAM y monta la información del disco duro. Esta opción es útil cuando se necesita realizar labores de mantenimiento o en aquellos casos en los que no se puede iniciar el sistema operativo del servidor servidor.

• Análisis de memoria: Esta opción realiza una seria de pruebas con el fin de verificar el estado de la memoria RAM.

• Arrancar desde el primer disco duro: Inicia el sistema operativo que se tenga previamente instalado en el disco duro.

Adicionalmente, se cuenta con las siguientes teclas de función.F1 – Ayuda. Muestra una referencia sobre dudas frecuentes F2 – Idioma. Permite elegir el idioma del asistente de instalación. F3 – Teclado. Permite seleccionar la distribución del teclado. F4 – Modos. Permite modos de arranque y de instalación alternativos. F5 – Accesibilidad. Permite seleccionar entre alto contraste, Lupa Lector de pantalla, terminal Braille,

Modificadores de teclado y teclado en pantalla. F6 – Otras opciones. Permite modificar los parámetros de instalación las opciones del menú principal.

15

3. Para iniciar la instalación de Ubuntu Server, seleccionar la opción INSTALAR UBUNTU SERVER, y luego se debe seleccionar el idioma que se utilizará durante el proceso de instalación.Seleccione SPANISH de la lista y presione ENTER.

16

4. A continuación deberá seleccionar un país o territorio1.

1 Aunque Costa Rica cuenta con un espejo (mirror) de repositorios, localizado en la UCR, su disponibilidad no es siempre la mejor. Es recomendable seleccionar Estados Unidos como territorio en éste paso. Puede consultar una lista detallada en https://launchpad.net/ubuntu/+archivemirrors

17

5. Luego se le presentará la opción para determinar el tipo de distribución de teclado que el servidor posee. Elija NO auto-detectar, deberá seleccionar el tipo de teclado manualmente (la distribución latinoamericana es la más común en Costa Rica). Si elige SI auto-detectar, deberá seguir las instrucciones que le aparecen, durante las cuales deberá presionar una serie de teclas según se le indica.

18

6. Como el servidor posee dos tarjetas de red, una conectada a la LAN y otra a la WAN, aparecerá a continuación de elegir aquella que se utilizará como tarjeta principal, elija la que conectó a la WAN.

7. Digite un nombre para el servidor:

19

8. Si se posee un servidor NTP, la hora se configurará automáticamente.9. Durante el proceso de particionado, se le presentará con las siguientes opciones

Guiado – Utilizar todo el disco. Esta opción utiliza todo el espacio del disco duro barrando todo la información que contenga.

Guiado – Utilizar el espacio libre contiguo mas grande. Esta opción utiliza el espacio del disco duro libre que se encuentre en disco duro.

Guiado – Utilizar el disco completo y configurar LVM. Esta opción utiliza todo el espacio del disco duro y lo configura con LVM

Guiado – Utilizar todo el disco y configurar LVM cifrado. Esta opción utiliza todo el espacio del disco duro y lo configura con LVM cifrando la información del disco duro.

Manual - Esta opción permite definir las particiones y sus tamaños. Se recomienda el uso de esta opción, para definir la particiones necesarios para el equipo. .

Durante esta fase siga detenidamente las instrucciones del profesor.

20

10. Espere que se instale el sistema base.

11. Seguidamente se le preguntará sobre el nombre de usuario (Login) del usuario que se encargará de las tareas administrativas del servidor. Digítelo y luego digite una contraseña para el usuario (se le pedirá que verifique la contraseña)

21

12. En caso de que el servidor deba conectarse al Internet através de un servidor proxy, deberá configurarlo en el siguiente paso. Deberá tener a mano:

• Nombre o dirección IP del proxy.• Nombre de usuario con derechos para utilizar el proxy.• Contraseña del usuario del proxy.• Puerto TCP/UDP del proxy.

La información sobre la configuración del proxy se debe digitar en la forma:

http://usuario:contraseña@proxy:puerto

(nótese los signos “:” y “@”), el nombre de usuario y contraseña son opcionales (en caso de que no se requiera) y el número de puerto es opcional si se utiliza el puerto TCP por defecto para http (80).

13. En nuestro caso, como el servidor NO requiere de un proxy para conectarse a Internet, se dejará en blanco este es espacio y se presiona Continuar. Ver figura siguiente:

14. En el siguiente paso, se le pedirá información sobre la forma en la que desea procesar actualizaciones de seguridad en el servidor, ya sea que desee que se instalen automáticamente, manualmente, o utilizando el servicio Landscape2 de Canonical-Ubuntu).

2Landscape es un servicio que permite administrar y supervisar las actualizaciones de su servidor utilizando una interfaz web. El costo anual del servicio es de $150 por servidor, y se puede obtener una prueba de 60 días del producto en www.canonical.com/contact/landscaperegister

22

15. Para ahorar tiempo y ancho de banda durante la clase, seleccione la opción “Sin actualizaciones automáticas”. Nótese que en un servidor en producción es recomendable seleccionar la opción “Instalar las actualizaciones de seguridad automáticamente” y presione continuar.

16. En el siguiente paso, puede instalar algunos servicios en el servidor automáticamente (ver figura siguiente), pero en ésta práctica los instalaremos luego, así que no seleccione ninguno y presione Continuar.Investigue ahora cuál es la función de cada uno de los servicios de la figura anterior y anote sus conclusiones en el espacio siguiente:_____________________________________________________

23

__________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________.Entrege una copia de lo que anotó al profesor.

17. Fin de la instalación !!. Retire el disco de la unidad 3y re-inicie el equipo:

18. Ya puede iniciar sesión en el servidor con el nombre de usuario y contraseña que configuró con anterioridad:

3O elimine la unidad virtual de CD en VirtualBox

24

Verificar la conexión a red.

19. Una vez instalado el sistema base del servidor, ingrese con el nombre de usuario y contraseña que configuró durante la instalación. Tómese unos momentos para practicar algunos de los comandos que el profesor le entregó como material adicional.Uno de los comandos que le será de utilidad, es el que permite ver la configuración IP del equipo.

20. El comando para mostrar la configuración IP del equipo es:ifconfig Digítelo, y tómese un momento para analizar el resultado, anote las diferencias con el equivalente en Windows (ipconfig)._______________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________.

21. El comando para consultar al DNS es el mismo que en Windows, digítelo y anote la dirección del DNS de la red:nslookup

22. Otro comando útil es el que permite desplegar el contenido de un archivo de texto, y generalmente se utiliza para listar el contenido de algunos archivos de configuración del sistema. Es básicamente el equivalente del comando type de Microsoft D.O.S y de Windows; y se utiliza de la siguiente manera:

cat ruta_y_nombre_del_archivo

25

Para probarlo, utilice la siguiente lista de archivos, note la información que contiene cada uno de ellos e investigue para qué sirven (puede preguntar al tío Google o a la tía Wiki)

/etc/resolv.conf _______________________________________________________________________________________________________________________________________________________./etc/hosts____________________________________________________________________________________________________________________________________________________________./etc/hostname ________________________________________________________________________________________________________________________________________________________./etc/network/interfaces__________________________________________________________________________________________________________________________________________________.

23. Verifique que a la interfaz conectada a la WAN (eth0 por defecto) se le asignó una dirección IP:En ésta práctica esa dirección es asignada por el servidor DHCP del laboratorio, pero puede interpretarla como la que le asignaría su proveedor de servicios de internet. Utilice los comandos que acaba de aprender para completar la información siguiente:

Interfaz:________________________________________________________.Dirección IP:____________________________________________________.Máscara de Subred:_______________________________________________.Servidor DNS:___________________________________________________.Puerta de enlace predeterminada:____________________________________.

26

24. Por último realice un par de pruebas de conectividad para asegurarse que su conexión con la WAN es correcta, realice un par de solicitudes ICMP (comando “ping”) a una estación que se encuentre en la WAN y a un sitio en Internet (Google por ejemplo), pruebe además que el servidor DNS responde sus solicitudes (comando nslookup)

OPCIONAL (en ésta práctica NO lo realizaremos, éste paso se detalla solamente con fines ilustrativos): Puede habilitar la cuenta de usuario root (Administrador), que viene deshabilitada por defecto en Ubuntu. Tome en cuenta que el usuario que creó durante el proceso tiene privilegios administrativos, y que para ejecutar cualquier comando con derechos de administrador basta con anteponer sudo al comando (Superuser DO = ejecutar como superusuario). Si le molesta digitar sudo puede habilitar la cuenta del superusuario root ,para ello digitesudo passwd root

Para comenzar a utilizar la cuenta de superusuario digite:su

a continuación digite una contraseña para el superusuario.Recuerde que si “se jala una torta”4 con el superusuario, generalmente ésta tendrá consecuencias catastróficas.

4En Costa Rica, “jalarse una torta” equivale a cometer un grave error.

27

Instalación de Webmin

(Herramienta de administración de servidores.)

Webmin es una herramienta de configuración de sistemas accesible vía web para OpenSolaris, GNU/Linux y otros sistemas Unix. Con él se pueden configurar aspectos internos de muchos sistemas operativos, como usuarios, cuotas de espacio, servicios, archivos de configuración, apagado del equipo, etcétera, así como modificar y controlar muchas aplicaciones de código abierto, como el servidor web Apache, PHP, MySQL, DNS, Samba, DHCP, entre otros.

Webmin está escrito en Perl, versión 5, ejecutándose como su propio proceso y servidor web. Por defecto se comunica a través del puerto TCP 10000, y puede ser configurado para usar SSL si OpenSSL está instalado con módulos de Perl adicionales requeridos.

Está construido a partir de módulos, los cuales tienen una interfaz a los archivos de configuración y el servidor Webmin. Esto hace fácil la adición de nuevas funcionalidades sin mucho esfuerzo. Debido al diseño modular de Webmin, es posible para cualquier interesado escribir extensiones para configuración de escritorio.

Webmin también permite controlar varias máquinas a través de una interfaz simple, o iniciar sesión en otros servidores webmin de la misma subred o red de área local.

Codificado por el australiano Jamie Cameron, Webmin está liberado bajo Licencia BSD5. Existe también Usermin que es la versión reducida del Webmin, generalmente utilizada para administración de estaciones de trabajo.6

El sitio principal de webmin es www.webmin.com, desde donde pueden descargarse actualizaciones así como una inmensa cantidad módulos extra para servidores específicos. Tómese unos instantes para ingresar al sitio y revisar los módulos disponibles, primero revise la categoría Standard Modules para que tenga una idea de los módulos estándar de Webmin. Luego, bajo la categoría Third Party Modules seleccione all modules, allí verá la lista completa de módulos creados por terceros (ajenos al creador de Webmin).

NOTAS: a. Por razones de ancho de banda NO descargue Webmin del sitio principal !b. Revise el video sobre instalación de Webmin en la sección de videos del curso.

25. Descargue la última versión del paquete Webmin desde el sitio que le indique el intructor, (anótelo a continuación:___________________________________________________), para ello, dado que no se tiene interfaz gráfica, se debe uilizar el comando wget. La sintáxis de utilización es la siguiente:wget URL_del_archivo

5Licencia de software otorgada principalmente para los sistemas BSD (Berkeley Software Distribution). Es una licencia de software libre permisiva y tiene menos restricciones en comparación con otras como la GPL. La licencia BSD al contrario que la GPL permite el uso del código fuente en software no libre.6http://es.wikipedia.org/wiki/Webmin .

28

26. Verifique la integridad del archivo descargado antes de proceder a instalarlo. Para ello se puede utilizar el comando md5sum de la siguiente forma:md5sum nombre_del_archivo_descargado

Compare el código md5 del archivo descargado con el especificado por el desarrollador de webmin (el profesor le indicará dónde obtenerlo)Recuerde digitar solamente las primeras letras del nombre del archivo y luego presionar el tabulador (para no tener que digitar todo el nombre).27. Una vez descargado el webmin, se debe instalar utilizando el comando dpkg (debian-package) que se explica más adelante. Tome en cuenta que webmin depende varias bibliotecas que NO están presentes en el sistema, pero se le advertirá cuáles son para poder instalarlas.

Digitar:

29

-i: Instalardpkg : Debian Package (Paquete de debian)

sudo: Ejecutar como super usuario (root)

sudo dpkg –i nombre_del_programa.deb

29. Nótese que ahora el sistema ya “se dió cuenta” de lo que necesita para poder instalar el paquete Webmin, y le indica cómo instalar TODAS las dependencias necesarias (vea la figura anterior).

Digite sudo apt-get –f install

(esto forzará la instalación de los paquetes seleccionados y arreglará los problemas de dependencias.)

Se le indicará el tamaño de los archivos requeridos para la instalación, a lo que debe responder S y luego ENTER. (ver figura)

30

Si todo se instaló correctamente, debe obtener la siguiente leyenda:

31

Ingresar a Webmin

En la imagen anterior se le indica (verifíquelo): “Webmin install complete” You can now login to...”30. Ejecute EN OTRA ESTACION7 el Navegador Firefox y digitar

• https://direccion_IP_del_servidor:10000

IMPORTANTE: Nótese que la dirección comienza con https y NO con http (asuntos de seguridad).

31. Se le pedirá que acepte un certificado de seguridad. Hágalo!Deberá aparecer la ventana de ingreso a Webmin, como se aprecia en la siguiente figura.

32. Digite el nombre del usuario con derechos de administración que creó durante la instalación, y su contraseña y voilá!!!

Tómese unos instantes para revisar las opciones que tiene en el menú de la izquierda. Note que el idioma por defecto es inglés, pero si lo desea puede cambiarlo por español en el Menú Webmin, submenú Change Languaje and Theme.Si modifica el lenguaje, presione el botón RECARGAR (o la tecla F5) de su navegador para que los cambios surtan efecto.

7Se supone que de aquí en adelante el administrador del servidor realizará la mayoría de su trabajo desde su computador personal, y solamente en algunas ocasiones interactúa directamente con el servidor. Esta es una de las ventajas de que el servidor no posea GUI, es un ahorro de recursos.

32

SEGUNDA PARTE.

Asignación de dirección IP estática interfaz LAN.

33. Para configurar una dirección estática, se debe editar el archivo de configuración /etc/network/interfaces, puede hacerlo desde Webmin (en la categoría Otros=>Explorador de Archivos) o desde la terminal del servidor .8

Para editarlo desde la terminal del servidor, utilizando el editor nano, digite:sudo nano /etc/network/interfaces

O si lo prefiere puede utilizar la interfaz gráfica de Webmin (para eso la installamos!), en el menú Otros, submenú Explorador de archivos. (vea la figura)

Tome en cuenta que en el archivo (y en general en la mayoría de archivos de configuración en GNU/Linux) todo lo que esté precedido por el símbolo # es un comentario, por lo que puede escribir lo que desee de manera tal que no olvide lo que realizó.Asegúrese de escribir cada palabra correctamente.Un poco más adelante se le presenta una muestra del archivo de configuración de las interfaces de red, analícelo y compárelo con su topología (puede guiarse con el diagrama de topología simplificado de la figura siguiente) y edite el de su servidor con la información que considere pertinente para su LAN y WAN (dirección IP, máscara de red, etc). Recuerde que usted es el administrador de la LAN, así que el esquema de direccionamiento es su entera responsabilidad. Solamente debe tener en cuenta que la puerta de enlace predeterminada (gateway) para la tarjeta de red de su LAN, es la dirección de la otra tarjeta de red (la conectada a la WAN). Complete la información de la siguiente tabla antes de editar el archivo.

InterfazConectada a LAN/WAN

Red. IP Máscara Gateway MACEstática

/dinámica

eth____

eth____

8Para conocer el nombre exacto de las interfaces de red de su sistema (nombre lógico) digite en la terminal:lshw | grep logical Nótese el símbolo “| “ (pipe)

33

A continuación se muestra un ejemplo del archivo que contiene la configuración de las interfaces de red, como en la mayoría de archivos de configuración en GNU/Linux todo lo que inicie con el símbolo “#” son comentarios (usted puede agregar los suyos si lo desea, obviamente no debe copiar los comentarios que se muestra en el ejemplo, solamente la configuración). *****************************************************************************# This file describes the network interfaces available on your system# and how to activate them. For more information, see interfaces(5).

# The loopback network interface. La interfaz de loopback auto lo eth0 eth1 iface lo inet loopback

# Interfaz primaria, conectada a la WAN (obtiene dirección por DHCP) iface eth0 inet dhcp

#Interfaz local LAN. Se le asigna direccionamiento estáticco. iface eth1 inet static address aaa.aaa.aaa.aaa # aaa.aaa.aaa.aaa debe sustituirse por la

# dirección ip que desee asignar al server. netmask mmm.mmm.mmm.mmm # kkk.kkk.kkk.kkk debe sustituirse por la

# máscara de red broadcast bbb.bbb.bbb.bbb # bbb.bbb.bbb.bbb debe sustituirse por la

# dirección de multi-difusión. network nnn.nnn.nnn.nnn # nnn.nnn.nnn.nnn debe sustituirse por la

# dirección de la red gateway ggg.ggg.ggg.ggg # ggg.ggg.ggg.ggg debe sustituirse por la

# dirección de la puerta de enlace # predeterminada, que para nuestro caso es la # dirección IP de la OTRA interfaz (asignada # por el DHCP)

*****************************************************************************

Recuerde lo que aprendió sobre direccionamiento IP en los cursos anteriores y revise que la configuración de red que acaba de realizar es correcta antes de guardar los cambios.

34. Para que los cambios se apliquen puede digitar el comando que reinicia la red:sudo /etc/init.d/networking restart

Dicho comando inicia nuevamente los servicios de red. En caso de que no se apliquen los cambios (verificar con ifconfig ), puede re-iniciar el servidor con el comando:

sudo reboot

o con el comando

sudo shutdown -r now

34

Listo!!, ya su servidor está listo para comenzar a instalar los servicios que se publicarán tanto dentro de la LAN como a la WAN. Consulte al profesor.

35

Instalación y configuración de un servidor DHCP

NOTA: Revise el video respectivo en la sección de videos del curso.40. A continuación se instalará un servidor DHCP; ¿recuerda la información que aparece en la línea de comandos de windows al digitar ipconfig /all ?. Prácticamente toda esa información fue asignada por el servidor DHCP a la estación (exceptuando la dirección MAC).Seleccione en el menú de la izquierda, bajo le sección SERVERS seleccione DHCP server

En la parte derecha de la pantalla 41. Una vez instalado así se verá la página de configuración del módulo

36

42. Agregar una subred: (Add a new subnet)

43. Introducir allí la información necesaria para la red local.

44. En el botón Edit Client Options completar la información necesaria. El DNS debe ser el mismo de su conexión a internet.Además no debe olvidar la puerta de enlace predeterminada o Default Gateway, en el Webmin aparece como Default Routers.

37

45. Luego, desde la página principal de configuración del módulo DHCP, se debe seleccionar la tarjeta de red en la que el servidor escuchará las peticiones DHCP, seleccionar Edit Network Interface y seleccionar la tarjeta de red conectada a la red interna:

46. Cada vez que aplique un cambio, para que surta efecto debe re-iniciar el servicio DHCP (esto es recomendable para cualquier servicio.). Para ello, en la página principal del servidor DHCP encontrará un enlace que dice Mudule Config, al ingresar en él, puede observar el comando que se utiliza para reiniciar el servicio, comom se le mustra en la siguiente figura:

47. Digite en una ventana de terminal dicho comando, anteponiendo la orden sudo:sudo /etc/init.d/dhcp3-server restartO puede utilizar el botón Start Server que se encuentra en la parte inferior.

Probando el servicio DHCP

48. Para probar el servicio DHCP, en OTRA estación de la red con MS Windows XP, presione el botón de inicio i seleccione Ejecutar. Digite allí cmd para salir a la línea de comandos y presione ENTER.

En la ventana que aparece digite ipconfig /all

Allí debería obtener la Dirección IP, Máscara de Red, Servidor DNS, y Puerta de Enlace Predeterminada que usted configuró en el Servidor DHCP.

38

Probablemente, aunque ya puede ingresar al servidor web (Apache) que instaló en el servidor, todavía no pueda navegar en Internet, ya que se requiere configurar un firewall para que se encargue de hacer NAT (se verá en la sección siguiente).

49. Pruebe la conectividad con el resto de las estaciones de la red por medio del comando ping.

50. Por último, desde el servidor DHCP, puede ver las estaciones a las que se les ha otorgado una dirección IP, para ello presione el botón List Active Leases, y allí debería obtenter algo como lo que se le muestra en la figura siguiente.

Notese que en la tabla puede ver la dirección IP, el nombre de la máquina y su dirección física.NO presione directamente sobre las direcciones IP de la lista, ya que esto lo que hace es eliminar la reservación de la dirección IP otorgada a dicha estación.

39

Instalación configuración básica del servidor Web Apache

El servidor HTTP Apache es un servidor web HTTP de código abierto para plataformas Unix (BSD, GNU/Linux, etc.), Windows, Macintosh y otras, que implementa el protocolo HTTP/1.1 y la noción de sitio virtual. Cuando comenzó su desarrollo en 1995 se basó inicialmente en código del popular NCSA HTTPd 1.3, pero más tarde fue reescrito por completo. Su nombre se debe a que Behelendorf eligió ese nombre porque quería que tuviese la connotación de algo que es firme y enérgico pero no agresivo, y la tribu Apache fue la última en rendirse al que pronto se convertiría en gobierno de EEUU, y en esos momentos la preocupación de su grupo era que llegasen las empresas y "civilizasen" el paisaje que habían creado los primeros ingenieros de internet. Además Apache consistía solamente en un conjunto de parches a aplicar al servidor de NCSA. Era, en inglés, a patchy server (un servidor "parcheado").

El servidor Apache se desarrolla dentro del proyecto HTTP Server (httpd) de la Apache Software Foundation.

Apache presenta entre otras características altamente configurables, bases de datos de autenticación y negociado de contenido, pero fue criticado por la falta de una interfaz gráfica que ayude en su configuración.

Apache tiene amplia aceptación en la red: desde 1996, Apache, es el servidor HTTP más usado.

Alcanzó su máxima cuota de mercado en 2005 siendo el servidor empleado en el 70% de los sitios web en el mundo, sin embargo ha sufrido un descenso en su cuota de mercado en los últimos años. (Estadísticas históricas y de uso diario proporcionadas por Netcraft, ver imagen siguiente.)

Porcentaje de implementación de servidores HTTP. 9

9http://news.netcraft.com/ May 2010 Web Server Survey

40

La mayoría de las vulnerabilidades de la seguridad descubiertas y resueltas tan sólo pueden ser aprovechadas por usuarios locales y no remotamente. Sin embargo, algunas se pueden accionar remotamente en ciertas situaciones, o explotar por los usuarios locales “malévolos” en las aplicaciones

compartidas que utilizan PHP como módulo de Apache.i

Nota: Revise el video de instalación del servidor Apache en la sección de videos del curso.

35. Ingrese a webmin y seleccione del menú de la izquierda:• Servers

o Apache webserver.Si no aparece el servidor Apache en el menú servers, posiblemente se encuentre en el menú Un-used modules. Dado que no ha sido utilizado todavía, una vez que lo configure, Webmin automáticamente lo moverá al menú Servers.

36. Si no lo tiene instalado, Webmin se lo indicará, pero con solo hacer clic donde webmin se lo indica, él lo descargará e instalará por usted !!

Es IMPORTANTE esperar a que webmin le indique que ya finalizó la instalación antes de salirse de la página actual, de lo contrario posiblemente se deberá desinstalar Apache (y éste proceso no es nada “amigable”). Una vez que finalice la instalación, recargue la ventana, y aparecerá ahora la interfaz de configuración de su servidor http.Note que por defecto, el directorio raíz del servidor web se encuentra en /var/www , por lo que en ese directorio es donde se deben copiar los archivos (páginas web) que contendrá su sitio web.

41

Por defecto, Apache instala una página web que permite probar si su sitio se configuró correctamente.

37. Abra otra ventana o pestaña del navegador Firefox y digite las siguiente dirección:

• http://direccion_IP_del_servidor

Una vez que ingrese (si todo ha sido instalado correctamente), verá un directorio llamado apache2-default, ingrese en él y verá el aviso It Works!!!! (funcionó).

38. Solo falta diseñar su sitio web y copiar las páginas y contenidos en /var/www, para ello puede utilizar un sitio de ejemplo descargando el archivo localizado en ______________________________(pregunte al profesor) 10 Puede descargar el archivo directamente en el servidor, pero necesitará una herramienta extra para poder descomprimirlo

10 Si desea desarrollar su propio sitio, puede comenzar por http://www.styleshout.com . Allí encontrará excelentes plantillas para iniciar.

42

TERCERA PARTE

Firewall/ NAT con iptables.

Nota: Revise el video respectivo en la sección de videos del curso.Network address translation (NAT por sus siglas en inglés), permite que el servidor se comporte como un enrutador, traduciendo (enmascarando) las peticiones desde la LAN interna hacia la WAN.

Concepto de Iptables

Esta es una herramienta que permite configurar las reglas del sistema de filtrado de paquetes desde el kernel de linux (netfilter), desde su versión 2.4.

Con esta herramienta podemos configurar un firewall adecuado a nuestras necesidades

A iptables se le debe proporcionar una serie de reglas, las cuales deben de seguir un orden estricto, ya que cada paquete será evaluado siguiendo las reglas en orden, y se ejecutará de primero (y únicamente) la primera regla que cumpla con los criterios establecidos por el administrador.

Por ejemplo, si las reglas están escritas en el siguiente orden:1. No permitir el protocolo ftp a ninguna estación.2. Permitir el ingreso a www.nación.com solamente a la estación del jefe.3. Perimitir ingresar a www.hotmail.com a cualquier estación.4. Que todas las estaciones puedan navegar libremente por internet.

Con las reglas anteriores, si el jefe desea usar ftp para descargar algún archivo, no podrá hacerlo, dado que ésa regla se evalúa de primero.

Estas reglas se plasman en los que se denominan targets que indican lo que se debe hacer con cada paquete.

Los Firewall

• Un Firewall protege tanto a los usuarios como a los datos de la red de los peligros de Internet o extranet. También para impedir que usuarios de la red ingresen a sitios prohibidos.

• Firewall de filtrado de paquetes: Funciona en las capas de transporte y red. Enrutamiento después de filtrar paquetes, basándose en el encabezado IP. Existen de enrutamiento y de Enmascaramiento (reescriben las direcciones de origen y destino)

43

Firewall con IPTABLES

GNU/Linux cuenta con una herramienta llamada Iptables, que permite brindar seguridad a la red basándose en una serie de reglas que se aplican sobre las cadenas que existen en una comunicación de datos:

• La cadena INPUT• La cadena OUTPUT • La cadena FORWARD

TABLAS

Las cadenas están agrupadas por tablas, las cuales son:• Filter : INPUT, OUTPUT y FORWARD.• NAT (Traducciones de Dirección de red) se utiliza con DNAT y SNAT (NAT destino y fuente)

el cual utiliza las cadenas PREROUTING Y POSTROUTING• MANGLE. Para modificar los bit de tipo de servicio (TOS) del encabezado del paquete IP

• Cada regla de una cadena es una prueba que se verifica contra el encabezado de un paquete para buscar una concidencia, cuando hay concidencia se aplica la acción, la cual puede ser:

o ACCEPT (aceptar la trama)o DROP (“deja caer” la trama, no se avisa al emisor)o REJECT (se rechaza la trama y se informa al emisor)o MASQUERADE (modificar el contenido de la trama)

44

45

46

A continuación se configurará el Firewall para hacer traducciones de direcciones de red (NAT) para permitir que los dispositivos conectados a la red interna puedan navegar por internet

51. En el menú de la izquierda seleccionar Networking....Linux Firewall.

52. Prestar atención (ANOTELA EN PAEL !!!!!) a la dirección donde se guardarán las reglas de filtrado que se van a crear:

53. Seleccionar "Do network address translation on external interface:" y seleccionar de la lista la interfaz de red que actualmente está conectada a la red externa (o a Internet). En el ejemplo de la figura la tarjeta de red conectada a internet es eth0.

47

54. Seleccionar la casilla de verificación Enable firewall at boot time y presionar el botón Setup Firewall.

55. Asegurarse de que se está mostrando la lista de reglas para hacer el NAT, verificando que a la derecha del botón Showing Iptable aparezca Network Address translation (NAT)

56. Debe también aparecer automáticamente, en la lista de reglas Packets after routing (POSTOUTING), una regla MASQUERADE como la que se aprecia en la siguiente figura:

Ahora vamos a introducir las reglas de filtrado de iptables, para que el firewall sepa qué hacer con cada paquete. La idea es agregar las reglas que permitan el tráfico proveniente de la red interna, la interfaz de loopback, y el tráfico relacionado a la conexión externa que viene en respuesta a las solicitudes hechas por las PC´s de la LAN.

56. Para permitir el tráfico de solicitudes que hacen las PC´s de la LAN, presionar el botón Add Rule que está bajo Packets before routing (PREROUTING).

Para el ejemplo siguiente se tiene la siguiente configuración de las tarjetas de red:Interfaz Función

eth0 Conectada a Interneteth1 Conectada a la LAN interna

57. Una vez que se presionó add rule, Seleccionar la casilla de verificación al lado de ACCEPT, (en color verde), puede agregar un comentario en el espacio Rule comment, y en Incomming Interface seleccionar equals to y la la tarjeta de red de la LAN:

48

58. Presione el botón Create que está al final para crear la regla, y agregue otra igual para la interfaz de loopback lo0.

59. Para finalizar debe permitir las respuestas de internet hacia la LAN, para lo que debe crear otra regla igual, solo que seleccionando en Incomming Interface la tarjeta de red conectada a internet (eth0 para el ejemplo). En ésta regla debe seleccionarse además, a la derecha de Connection States, debe seleccionarse DOS opciones:

• Existing Connection (ESTABLISHED)• Related to existing (RELATED)

No olvide presionar el botón Create para finalizar cada regla.Vea la figura siguiente:

49

60. Al final las reglas deben verse como en la siguiente figura:

Lo único que resta, es configurar el firewall para que siempre se active al encender el servidor, para ello:61. Ahora vaya a la sección System del menú de la izquierda e ingrese a Bootup and Shutdown

62. Seleccione Create a new bootup and shutdown action y nómbrela webmin-ipt (o como desee)

63. En el campo bootup commands digite

50

/bin/echo 1 > /proc/sys/net/ipv4/ip_forward/sbin/iptables-restore /etc/webmin/firewall/iptables.save

IMPORTANTE: • Nótese que son dos líneas diferentes.• Note que en la segunda línea aparece el nombre del archivo en el que están guardadas las

reglas, debe coincidir con el nombre que se le pidió que notara al inicio de la guía.

64. Busque en la lista el comando que acaba de crear, selecciónelo y presione Start Selected

SNAT.

Con lo anterior las máquinas de la LAN podrán solicitar servicios de la WAN, y solamente aquellos paquetes de la WAN que se interpreten como respuestas a una solicitud de la LAN podrán ingresar a ella (SNAT)

51

DNAT

Podría presentarse el caso que se desee publicar servicios de la LAN para que sean vistos desde la WAN (como por ejemplo un servidor web), en tal caso, se debe utilizar DNAT:

Nótese que en éste caso, solamente se redirecciona la solicitud a un servidor con una dirección IP distinta a la de entrada, pero podría redireccionarse también el puerto de TCP/UDP:

A continuación se le presentan tres escenarios distintos. Configure las reglas necesarias en el Firewall para implementar cada uno de ellos.

52

ESCENARIO 1

ESCENARIO 2

ESCENARIO 3

53

Desde la WAN, utilizando la dirección externa del servidor,

ingresar a la estación 1 con VNC y a la estación 2 con RDP

Denegar el acceso a URLs específicas a

distintas estaciones.

54

El cliente RDP (externo) de poder acceder a cualquiera de las estaciones

de la LAN con RDP.

CUARTA PARTE.

CONFIGURACION DEL SERVIDOR PROXY SQUID11

INTRODUCCIÓN

Un servidor Proxy HTTP, es básicamente un programa que acepta peticiones de clientes para las URL, obtiene, y devuelve los resultados al cliente. Los Proxys se utilizan en

redes en la que los clientes no tienen acceso directo a Internet, pero tienen que ser capaces de ver páginas Web y para la memoria caché de las páginas comúnmente solicitadas, de manera que si

más de un cliente quiere ver la misma página, sólo tiene que ser una vez descargada.

Muchas empresas y organizaciones tienen sus firewall configurados para bloquear todas las entradas y salidas del tráfico en los sistemas internos LAN. Esto puede hacerse por razones de seguridad, o para limitar lo que los empleados puedan tener acceso al Internet. Debido a la posibilidad de ver páginas Web es muy útil, un Proxy es a menudo establecido de manera que los sitios Web se pueden acceder a través de él.

Las grandes organizaciones y proveedores de servicios de Internet con muchos ordenadores cliente, pueden querer acceder a la Web ejecutando un servidor Proxy para reducir la carga sobre sus redes. Una de las principales tareas de un servidor Proxy es el caché de las páginas solicitadas por los clientes, cualquier página solicitada más de una vez será devuelta de la memoria caché en lugar de descargarse del servidor originario. Por esta razón, a menudo se recomienda que los clientes usen un Proxy para acceder a la Web.

Un Proxy es útil solamente si el los navegadores de los clientes están configurados para utilizarlo en lugar de conectarse a sitios Web directamente. Afortunadamente, cada navegador en existencia y casi todos los programas permiten descargar archivos a través de HTTP para diversos fines pueden ser configurado para usar un Proxy.

Los Proxys no son sólo para HTTP - también pueden apoyar solicitudes de los clientes con protocolos como Gopher y FTP. Incluso las conexiones encriptadas SSL puede ser manejado por un Proxy, a pesar de que no puede desencriptar la solicitud. En cambio, el Proxy simplemente envía todos los datos del cliente para el servidor de destino y viceversa.

Squid es el Proxy más popular servidor para sistemas Unix. Es libre y esta disponible para su descarga desde www.squid-cache.org, y se incluye como paquete estándar con todas las distribuciones de Linux y muchos 11 La mayoría de esta sección pertenece a la Wiki de Webmin. Colaboración de Daniel Benavides en http://doxfer.com/Webmin/. Adaptado por William Marín.

55

otros sistemas operativos. Squid soporta Proxy, caching y aceleración HTTP, y tiene un gran número de opciones de configuración para controlar el comportamiento de estas características.

Squid lee su configuración desde el archivo de texto squid.conf, que por lo general se encuentra en o bajo el directorio /etc. Este archivo consta de una serie de directivas, uno por línea, cada una de las cuales tiene un nombre y valor. Cada directiva establece algunas opciones, como el puerto TCP para escuchar un directorio o para almacenar en caché los archivos. en Webmin el módulo Squid edita este archivo directamente, haciendo caso omiso de cualquier comentario o directivas que no entiende.

Muchas versiones de Squid han sido liberadas a lo largo de los años, cada una de las cuales ha apoyado diferentes directivas de configuración o asignado diferentes significados a las mismas directivas. Esto significa que un archivo squid.conf de la versión 2.0 pueden no ser compatibles con Squid 2.5 - y uno de Squid 2.5 ciertamente no funcionará con la versión 2.0. Afortunadamente, Webmin sabe cuales directivas apoya cada despacho y sólo permite la edición de esos que se sabe que el funcionamiento según la versión.

Páginas Web almacenadas en caché se almacenan en archivos multi-nivel de estructura de directorios de ficheros para aumentar el rendimiento. Squid puede ser configurado para utilizar múltiples caché directorios separados, de modo que usted puede propagar ficheros a través de distintos discos para mejorar el rendimiento. Cada vez que una página es cacheable le pide que se almacene en un archivo, de modo que cuando una solicitud posterior para la misma página llega el archivo se puede leer los datos y sirve de ella. Debido a que algunas páginas Web cambian con el tiempo (o incluso son generadas dinámicamente), Squid mantiene un registro de la última modificación y fechas de vencimiento de páginas Web para que pueda borrar los datos de la caché cuando se está fuera de fecha.

El programa que actualmente maneja las peticiones de clientes tiene que ser un servidor que este funcionando permanentemente procesando llamados. También puede tener otros sub-procesos para tareas como búsquedas DNS o la autenticación del cliente, pero todo el procesamiento del protocolo HTTP se hace en el único proceso maestro. A diferencia de otros servidores como Apache o Sendmail, Squid no arranca sub-procesos para manejar las peticiones del cliente.

Squid pueden ser compilado en todas las distribuciones de Unix, Webmin apoya y trabaja casi idéntica en todas ellas. Esto significa que el módulo Webmin de la interfaz de usuario es el mismo a través de los sistemas operativos, a excepción de las rutas por defecto que utiliza para el Squid programas y ficheros de configuración.

EL MÓDULO DEL SERVIDOR PROXY SQUID

Si desea establecer o hasta configurar Squid desde Webmin, tendrá que utilizar el módulo Squid Proxy Server, que se encuentra bajo la categoría Servidores. Cuando se hace clic en el icono, la se muestra en la página la captura de la pantalla a continuación, en el supuesto de que Squid este instalado y configurado correctamente. Como puede ver, la página principal se compone sólo de una tabla de iconos, cada una de las cuales se puede hacer clic en para abrir un formulario para editar la configuración de esa categoría.

56

Webmin módulo Squid Proxy Server

Si no ha configurado o iniciado antes Squid en su sistema, el caché de directorio probablemente no ha sido establecido aún. El módulo de detección de este y mostrara un mensaje como *Su caché Squid directorio /var/spool/ squid no se ha inicializado* por encima de la mesa de iconos. Para inicializar la memoria caché, siga estos pasos:

1. Si no estás contento con el directorio caché que aparece, ahora es el momento de cambiarlo. Siga las instrucciones en la sección adición de directorios caché para definir sus propios directorios antes de continuar.

2. En el Unix escriba el nombre del usuario como campo que será el dueño del caché de archivos y el proceso se ejecutará como demonio. Normalmente esto será un usuario Squid creado para el propósito (y en el campo por defecto para los Squids en caso de que dicho usuario existe), pero de hecho cualquier usuario. Yo recomiendo el uso del módulo usuarios y grupos para crear un usuario llamado del Squid, cuyo directorio home es el directorio de caché si es necesario.

3. Haga clic en el botón Iniciar Cache. La configuración de Squid se actualizarán para utilizar su nombre de usuario elegido, y el comando squid-z se llevará a cabo para establecer el caché de directorios. Toda la salida que produce se mostrará de modo que usted pueda ver cómo la inicialización se está progresando.

4. Cuando el proceso haya finalizado, el regrese al módulo de la página principal y el mensaje de error debería haber desaparecido.

Si Squid no se instala, en su sistema (o esta instalado en una ubicación distinta a la que se espera Webmin), un mensaje de error como *The Squid fichero de configuración /etc/squid.conf no existe* aparecerá en la página principal en lugar de la el cuadro de iconos. Si realmente tiene instalado, lea la *Configurar el servidor módulo Squid Proxy* sección para obtener instrucciones sobre cómo cambiar los caminos de usos del módulo. Por otra parte, si realmente no está instalado debe usar el módulo de paquetes de software para instalar el paquete Squid de su distribución Linux CD o página Web.

Si no existe tal paquete de su sistema operativo, tendrá que descargar, compilar e instalar la última versión de Squid de www.squid-cache.org. Como siempre disponga de un compilador instalado en su sistema, este es un proceso relativamente simple, sin dependencias.

57

Una vez que se instala el servidor, tendrá que crear una acción que se ejecuta como un comando */usr/local/squid/bin/squid-Sy *, suponiendo que usted tiene Squid instalado en /usr/local/squid.

Squid Una vez se ha instalado e inicializado, puede empezar a utilizar este módulo. Cuando Squid esta en funcionamiento, cada página tiene dos enlaces en la parte superior - Aplicar los cambios que fuerza la configuración actual a ser re-leída, y Stop Squid que apaga el servidor Proxy. Si el servidor no está funcionando, esos vínculos se sustituyen con *Inicio* en su lugar, que como su nombre indica intenta iniciar.

Debido a que cada versión de Squid ha introducido nuevas directrices de configuración, este módulo de interfaz de usuario aparecerá diferente dependiendo de la versión de Squid que detecta en su sistema. Todas las instrucciones de este capítulo se han escrito para Squid 2,4 ya que es actualmente la más ampliamente implementado versión. Si usted está ejecutando una liberación posterior, los distintos campos pueden aparecer en los formularios o tienen más o menos opciones. Por ejemplo, cada nueva versión ha introducido diferentes tipos de ACL, autenticación y ha sido tratado en tres formas diferentes a través de la historia del programa. Sin embargo, los conceptos básicos han sido siempre la misma.

Cuando se está utilizando este módulo, asegúrese de que el navegador está configurado para no utilizar el Proxy Squid para acceder a su servidor Webmin. De lo contrario se corre el riesgo de cortar su propio acceso al módulo si haces un error de configuración o apagar el servidor. Todos los navegadores que puede utilizar un Proxy tienen un ámbito de inclusión en la lista de hosts para conectar directamente, en el que puede escribir el nombre de host de su servidor Webmin.

CAMBIAR DIRECCIONES DE PUERTOS EN EL PROXY

Por defecto, la escucha de peticiones del Proxy Squid es en el puerto TCP 3128 para todas las direcciones IP de su sistema. Debido a que este no es el puerto habitual asignado se ejecutan en (8000 y 8080 parece ser el más común), es posible que lo desee cambiar. Usted también puede editar la dirección de escucha de modo que sólo los clientes en su red interna se pueden conectar, si su sistema tiene más de una interfase de red.

Para especificar los puertos que usa Squid, siga estos pasos:

1. En el módulo principal de la página, haga clic en el icono puertos y conexión en red para abrir el formulario.

2. En el Proxy direcciones y puertos, seleccione continuación la opción A. En la tabla siguiente, cada fila define un puerto de escucha y, opcionalmente, una dirección de obligar a hacerlo. Todos los puertos existentes y direcciones aparecen en la lista, seguida de una sola fila en blanco para añadir una nueva. En el primer campo vacío en la columna Puerto, introduzca un número de puerto como el 8000 o 8080. En el nombre de la columna dirección IP, bien seleccionar a aceptar todas las conexiones en cualquiera de sus interfaces del sistema, o la segunda opción para ingresar una dirección IP en el cuadro de texto adyacente. El uso de este cuadro, Squid puede ser configurado para escuchar en el mayor número de puertos que lo desee. Sin embargo, debido a que sólo una línea en blanco aparece en un momento tendrá que guardar y volver a abrir la forma de añadir más de un nuevo puerto.

3. ICP es un protocolo utilizado por Squid para comunicarse con otros agentes en un grupo. Para escuchar en un puerto que no sea la predeterminada de 3130 para el ICP, rellene el puerto ICP campo. Esto no es necesario en general, sin embargo, otros Proxys usan este protocolo.

58

4. Squid normalmente aceptar conexiones ICP en cualquier dirección IP. Para cambiar esto, seleccione el segundo botón en la UDP Próximos campo de dirección y entrar en uno de sus interfaz del sistema de IPs en su campo de texto. Esto puede ser útil si todos los demás Proxys que su servidor pueda desea comunicarse con están en una sola LAN interna.

5. Haga clic en el botón Guardar en la parte inferior de la página para actualizar el archivo de configuración con la nueva configuración, a continuación, haga clic en Aplicar los cambios enlace a la página principal para activarlos.

Los puertos y la forma creación de redes

AGREGANDO DIRECTORIOS CACHÉ

En su configuración por defecto de costumbre, Squid utiliza un solo directorio para almacenar páginas en caché. En la mayoría de 100 MB de datos se almacenan en este directorio, que no es probable que sea suficiente si actúa un gran número de clientes activos. Si su sistema tiene más de un disco duro, tiene sentido para difundir la memoria caché a través de múltiples discos para mejorar el rendimiento. Esto puede hacerse mediante la especificación de varios directorios, cada una con su propio tamaño máximo.

En un sistema que se dedica a ejecutar un servidor Proxy, el importe máximo de caché en cada directorio debe ser aproximadamente el 90% del espacio disponible. Es imprudente o configurar Squid para permitir utilizar todo el espacio libre en disco, ya que muchos sistemas de ficheros sufren menor rendimiento. Por otra parte, el espacio en disco puede ser utilizado por los archivos de registro y datos del usuario. Si Squid llena todo el disco duro, los problemas pueden ocurrir debido a otros programas no son capaces de crear archivos temporales o escribir registros.

Para añadir un nuevo directorio de memoria caché y especificar el tamaño máximo de la ya existente, siga estos pasos:

1. Haga clic en el icono Opciones de caché en el módulo de la página principal de educar a la forma en que la captura de pantalla a continuación.

59

2. En el campo de caché directorios, seleccione la opción de publicación. Si fue elegido por defecto antes, Squid se han estado utilizando el único compilado en caché por defecto en el directorio que aparece entre paréntesis. Si desea seguir utilizando este directorio, debe ser explícitamente incluido en el cuadro. El tamaño predeterminado es de 100 MB, y utiliza 16 1 ª y 2 ª nivel de 256 directorios. Cada fila de la tabla se especifica un único directorio de memoria caché. Todos los directorios existentes (aparte de por defecto) se enumeran de manera que se puede editar, seguida de una sola fila en blanco. Cada fila tiene campos en las siguientes columnas:• Directorio de la ruta completa al más alto nivel directorio de memoria caché, por ejemplo,

/var/spool/squid/ o disk2/cache. Este directorio debe existir y ser propiedad de la utilización que se ejecuta como Squid (generalmente llamado Squid) - el módulo no lo va a crear para usted.

• El tipo de almacenamiento de tipo de las utilizadas en el directorio. Siempre debe seleccionar UFS aquí.

• Tamaño (MB) La máxima cantidad de datos que contendrá, en megabytes. Una vez se alcanza este límite, la más antigua-pidió a los archivos serán sustituidos por otros nuevos.

• 1er nivel dirs El número de subdirectorios que se creará bajo el directorio de memoria caché. El valor predeterminado de 16 es por lo general bien, pero es posible que desee aumentar este caso de grandes alijos.

• 2 º nivel dirs El número de subdirectorios que serán creados en virtud de cada una de primer nivel de directorio. Usted debe entrar sólo 256 menos que su caché va a ser muy grandes.

• Opciones Deje este campo en blanco - sólo se utiliza para otros tipos de directorios. Si se preguntan por qué Squid tiene que crear dos niveles en virtud de los subdirectorios de cada directorio de memoria caché, la razón es el bajo rendimiento de muchos sistemas de ficheros cuando un directorio contiene una gran cantidad de archivos. Dado que cada página HTML en caché o la imagen se almacena en un archivo separado, el número de archivos en un sistema ocupado Proxy puede ser enorme. Difundir a través de varios directorios resuelve este problema.

3. Después de añadir un directorio, haga clic en el botón Guardar en la parte inferior de la página. Si desea añadir más de uno tendrá que hacer clic en el icono Opciones de caché de nuevo para volver a mostrar la tabla con una nueva fila vacía.

4. Cuando haya terminado de definir los directorios, regreso al módulo de la página principal. Si uno nuevo se ha añadido, un mensaje de error al igual que su cache Squid directorios no han sido inicializadas se mostrará. Haga clic en el botón Iniciar Cache Squid para tener crear todas las sub-directorios en los nuevos directorios de caché. El servidor se apaga durante el proceso, y volver a comenzar cuando se ha completado.

5. Después de la inicialización está completa, haga clic en Aplicar cambios el vínculo en cualquier página para empezar a utilizar sus nuevos directorios.

60

Las opciones de caché de forma

EDICIÓN DE OPCIONES CACHING PROXY

Squid tiene numerosos ajustes que limitan el tamaño de caché de objetos, el tamaño de las peticiones de los clientes y los tipos de páginas de caché. Se pueden utilizar para detener el servidor de almacenamiento de enormes archivos (como descargar imágenes ISO), para limitar el tamaño de los archivos que los clientes pueden cargar o descargar, y para evitar la caché de páginas que cambian con frecuencia (como los generados por los scripts CGI). Los valores por defecto por lo general funcionan bien, sin embargo, con la posible excepción del tamaño de subida máxima que sólo es 1 MB.

Para editar las opciones de almacenamiento en caché, siga estos pasos:

1. Haga clic en el icono Opciones de caché de la página principal para mostrar el formulario para mostrar una vez más por encima.

2. Para definir el tamaño máximo de archivos que ha subido, seleccionar la segunda opción en la máxima solicitud tamaño corporal sobre el terreno, introducir un número en el cuadro de texto y seleccionar algunas unidades en el menú.

3. MB debería ser más que suficiente para cualquiera.4. Para detener la descarga de clientes archivos de gran tamaño, a llenar la máxima respuesta

tamaño corporal sobre el terreno de la misma manera. Esto podría ser usado por impedir el uso indebido de su red de clientes la descarga de grandes películas o archivos ISO, pero a menudo puede ser subvertido por la descarga de un archivo grande en trozos.

5. Si desea establecer un límite superior en el archivo de una página que puede ser almacenada en la caché, rellene el tiempo máximo de caché de campo en vez de dejar que los predeterminados. De lo contrario los datos se almacenan en caché para un máximo de un año, o hasta que expire la fecha fijada por el servidor de origen.

6. Así como la memoria caché los archivos descargados, Squid recordarán los mensajes de error de servidores y devolverlos a los clientes que soliciten la misma página. Puede cambiar la cantidad de tiempo que los errores se guardan en caché por introducir un número y la selección

61

de unidades de la solicitud Error caché tiempo sobre el terreno. Si se elige por defecto, los errores se almacenan en caché durante 5 minutos. Incluso esto puede ser molesto mucho si usted acaba de fijarse un error en un sitio Web aunque.

7. Squid cachea de las respuestas a las búsquedas de host para reducir la cantidad de DNS actividad, independientemente de la TTLS que el suministro de servidores DNS. Si está seleccionado por defecto en la caché de DNS lookup tiempo sobre el terreno, las respuestas será recordado por 6 horas. Si esto parece mucho para usted, seleccione el segundo botón y escriba su propia caché tiempo su lugar.

8. El No caché URL para ACLs campo puede ser usado para prevenir completamente la memoria caché para ciertos URL, servidores Web o clientes. Toda solicitud que coincide con una de las ACLs comprobado en este ámbito nunca serán caché, y, por tanto, siempre será descargue directamente. Puede utilizar esta función para bloquear el caching de páginas generadas dinámicamente mediante la creación de una ruta de URL para REGEXP ACL. Cgi o cgi-bin y seleccionando aquí. Véase el Uso de listas de control de acceso sección para más detalles sobre cómo ACLs trabajo y puede ser definido.

9. Pulse el botón Guardar en la parte inferior de la página, para volver al menú principal. Dado que algunas opciones adicionales se deposita en la memoria y el uso de disco, haga clic en el icono Uso de la memoria para mostrar que.

10. Para limitar la cantidad de memoria que va a utilizar Squid, rellene el uso de memoria límite de campo. Tenga en cuenta que este límite sólo efectos el máximo de memoria utilizada para el almacenamiento en tránsito y con frecuencia acceder a los archivos, y las respuestas negativas. Porque Squid utiliza la memoria para otros fines, sin duda, consumen más de lo que entre aquí. Si se selecciona por defecto, un límite de 8 MB a ser aplicada, que es probablemente demasiado baja para un servidor ocupado.

11. Para evitar el almacenamiento en caché de archivos grandes, llenar en el máximo tamaño de caché objeto sobre el terreno. El valor por defecto es sólo de 4 MB, así que si usted tiene un montón de espacio en disco que debería ser aumentado.

12. Pulse el botón Guardar en la parte inferior del formulario y luego la Aplicar cambios enlace en la página principal de activar todos los de su nueva configuración.

INTRODUCCIÓN A LAS LISTAS DE CONTROL DE ACCESO

ACLs (listas de control de acceso) son posiblemente Squid más potente característica. Un ACL es simplemente una prueba que se aplica a petición de un cliente para ver si éste coincide o no. Luego, sobre la base de la ACL que coincide con cada solicitud se puede optar por bloquear, impedir que la memoria caché, la fuerza que un retraso en la piscina, o entregarlos a otro servidor Proxy. Muchos tipos diferentes de ACL existe - por ejemplo, un tipo comprueba una dirección IP del cliente, coincide con la otra URL que se solicita, mientras que otros comprobar el puerto de destino, nombre de host del servidor Web, el usuario autenticado y así sucesivamente.

El uso más común de ACLs está bloqueando las conexiones de clientes fuera de su red. Si ejecuta un servidor Proxy, lo que está conectado y accesible desde Internet, hosts fuera de tu red local no debe permitirse que la utilicen. Malintencionado de personas suelen utilizar otros poderes para el blanqueo de conexiones utilizados para la piratería, el envío de spam o acceder a sitios Web que no debe permitirse.

Debido a que el representante especial CONNECT solicitud puede ser utilizado para conectar a cualquier puerto, una lista ACL se utiliza a menudo para bloquear su uso para cualquier puerto que no sea 443 (el SSL por defecto). Esto deja de usuarios a través de su servidor Proxy para conectarse a servidores que no sean servidores Web, tales como AIM, ICQ o MSN. Del mismo modo, una lista de

62

control de acceso puede configurarse para bloquear las normales peticiones HTTP como a los puertos 22, 23 y 25 que se utilizan normalmente para ssh, telnet y SMTP.

Sólo la definición de una lista de control de acceso a la configuración de Squid en realidad no hacer nada - que debe ser aplicado de alguna manera a tener efecto alguno. En esta sección se explica cómo usarlos para controlar el que se pide a su servidor son autorizados o rechazados. Otras secciones explican cómo se relacionan con la memoria caché y el acceso a otros servidores.

Cuando se recibe una solicitud, Squid primero determina que se halla en consonancia con ACLs. A continuación, se compara esta lista de partidos en contra de una lista de restricciones del Proxy, cada uno de los cuales contiene uno o varios ACLs una acción y llevar a cabo (ya sea Permitir o Denegar). Tan pronto como una restricción se comprueba que coincide con la ACL para la solicitud, su acción determina si la petición se acepta o niega. En caso de que no coincidan con las restricciones, lo contrario de la última acción en la lista se aplica. Por esta razón, el acto final en la mayoría de configuraciones de Squid es Permitir o Denegar todas.

ICP solicitudes presentadas por los demás apoderados se ha comprobado también que a ver que coinciden con ACLs, y comparado frente a una similar pero diferente lista de ICP restricciones para ver si se les permitirá o no. Véase la Conexión a otros apoderados sección más tarde por una explicación más compleja de lo que es ICP y cuando se utiliza.

La típica configuración por defecto de Squid incluye varios ACLs y las restricciones del Proxy. Por razones de seguridad, todos los pedidos desde cualquier lugar se les niega por defecto. Esto significa que usted tendrá que cambiar la lista de restricciones antes de que nadie pueda usar su poder. Siga leyendo para averiguar cómo.

Para ver las listas de ACLs definidas, las restricciones del Proxy y el ICP restricciones, haga clic en el icono de control de acceso en el módulo de la página principal. Como la imagen que aparece a continuación muestra una tabla de ACLs mostrando sus nombres, tipos, y los partidos se muestra a la izquierda. A la derecha están los cuadros de Proxy y PCI restricciones mostrando sus acciones y las ACLs que coinciden. La restricción cuadros han flechas arriba y abajo junto a cada entrada para moverlos a la lista, porque su fin.

63

Las listas de control de acceso

Antes los clientes pueden usar su Proxy tendrás que configurarlo para permitir el acceso de algunas direcciones. Las medidas en este sentido son las siguientes:

1. El control de acceso a la página, seleccione Cliente Dirección del menú a continuación la lista de las ACLs. Al hacer clic en Crear nuevo el botón ACL, un formulario para entrar en direcciones coincidentes aparecerá.

2. En el campo Nombre de ACL, introduzca un nombre corto, como tu red.3. En el campo vacío bajo Desde el IP introduzca la dirección IP a partir de la gama de permitir,

como 192.168.1.1.4. Si el campo a la propiedad intelectual en virtud de entrar en la dirección que termina en la

gama, como 192.168.1.100. Sólo los clientes que entran dentro de esta gama de coincidir con el ACL. No introduzca nada en el campo de máscara de red.

5. Alternativamente, puede especificar una red IP mediante la introducción de la dirección de red en el ámbito de la propiedad intelectual, y la máscara de red (como 255.255.255.0) en el campo de máscara de red. Para introducir más de uno, usted tendrá que guardar y volver a editar esta lista de control de acceso de forma que los nuevos campos aparecen en blanco.

6. Haga clic en el botón Guardar para añadir la lista de control de acceso y volver a la página de control de acceso que en su nueva lista de control de acceso serán enumerados.

7. Haga clic en Añadir Proxy restricción por debajo de la mesa Proxy restricciones.8. En el formulario que aparece, seleccione Permitir a partir de la acción sobre el terreno.9. En el Match ACLs lista, seleccione su nuevo yournetwork ACL.10. Haga clic en el botón Guardar en esta forma para volver a la página de control de acceso de

nuevo. La nueva restricción se mostrará en la parte inferior de la tabla, muy probablemente por debajo de la Denegar todas las entradas.

11. Haga clic en la flecha hacia arriba al lado de su nueva restricción a pasar por encima de todos los Denegar. Esto le dice Squid para permitir las conexiones de su red, y negar todos los demás.

12. Por último, haga clic en el vínculo Aplicar cambios en la parte superior de la página. El Proxy será utilizable por los clientes en su red interna, pero nadie más!

64

Estas instrucciones asumen que usted está comenzando con la configuración por defecto de Squid. Si el Proxy ya se ha configurado para permitir el acceso desde cualquier lugar (por el cambio de denegar todas las restricciones para permitir a todos), debe volver a cambiarlo de nuevo para bloquear clientes de fuera de su red. Para obtener más información sobre los tipos de ACL disponibles y cómo utilizarlos, lea las siguientes dos secciones.

CREACIÓN Y EDICIÓN DE ACLS

Antes de que pueda bloquear o permitir las solicitudes de algunos dirección, en cierta servidor o por alguna página que tendrá que crear un ACL. Los pasos básicos para hacer esto son los siguientes:

1. Seleccione el tipo de ACL para crear desde el menú desplegable que aparece debajo de la listas de control de acceso tabla y haga clic en el botón * Crear una nueva lista de control de acceso *.

2. En el formulario que aparece, introduzca un nombre para su nueva ACL ACL en el campo de nombre. Si más de uno tiene el mismo nombre, será tratado como corresponde en caso de cualquier ACL con ese nombre partidos. El nombre debe consistir únicamente de letras y números, sin espacios o caracteres especiales.

3. Complete el resto de la forma como se explica en el siguiente cuadro.4. El incumplimiento en el campo URL, introduzca una URL completa que los clientes que se les

niega de esta ACL será redirigida. Esto le permite definir páginas de error personalizado que se mostrará en lugar del default Squid respuestas.

5. Haga clic en el botón Guardar en la parte inferior del formulario.

Una vez que una ACL se ha creado puede editar haciendo clic sobre su nombre en la lista, el cambio de los campos y haga clic en Guardar. O su puede eliminarla (en caso de que no está en uso por parte de algunos Proxy o restricción ICP) con el botón "Eliminar". Como de costumbre, el vínculo Aplicar cambios deben ser utilizados para activar los cambios que se realicen.

Squid tiene un asombroso número de ACL tipos, aunque no todos están disponibles en todas las versiones del servidor. En el cuadro siguiente figura una lista de los que puede crear para Squid 2,4, y explica lo que hacen y lo que los ámbitos en el formulario de creación de una lista ACL para cada tipo de media:

Muchos tipos de ACL no son adecuados para determinadas situaciones. Por ejemplo, si un cliente envía una petición CONNECT la ruta de URL no está disponible, y, por tanto, una ruta de URL REGEXP ACL no funcionará. En casos como este es la ACL no supone automáticamente a la altura.

CREACIÓN Y EDICIÓN RESTRICCIONES DEL PROXY

Una vez que haya creado algunos ACLs, que pueden ponerse en uso mediante la creación, edición y se desplazan en torno a las restricciones del Proxy. Squid comparará cada una de las solicitudes a todas las restricciones definidas en fin, parando cuando se encuentra uno que se ajuste. La acción conjunto para que la restricción entonces determine si la petición se acepta o niega. Este sistema de procesamiento combinado con el poder de ACLs le permite establecer algunos increíblemente complejas reglas de control de acceso - por ejemplo, puede negar el acceso a todos los sitios con temblor en la URL entre 9 AM y 5 PM de lunes a viernes, excepto para determinados clientes direcciones.

65

Para crear un Proxy restricción, siga estos pasos:

1. Haga clic en el icono de control de acceso en el módulo de la página principal para abrir la página se muestra en la captura de pantalla anterior.

2. Haga clic en Añadir Proxy restricción a continuación la lista de las restricciones existentes para ir al formulario de creación.

3. Desde el campo de acción seleccione Permitir o Denegar en función de si desea se pongan en venta las solicitudes para ser procesado o no.

4. El Match ACLs lista puede ser usado para seleccionar varios ACLs que si todos son fiel a desencadenar la acción. Del mismo modo, la no coinciden ACLs campo puede ser usado para seleccionar ACLs que no coinciden con los de la acción para ser activado. Es perfectamente válido para hacer las selecciones de ambas listas para indicar que la acción debe ser activado sólo si todas las ACLs a la izquierda y si coinciden con los de la derecha no lo hacen. En su configuración por defecto de Squid tiene un ACL llamado a todos los partidos que todas las solicitudes. Puede ser útil para crear restricciones que permitir o negar a todo el mundo, uno de los cuales por lo general existe por defecto.

5. Haga clic en el botón Guardar para crear la nueva restricción y volver a la página de control de acceso.

6. Utiliza las flechas junto a ella en la mesa Proxy restricciones para moverlo al lugar correcto. Si su lista termina con un Denegar todas las entradas, tendrá que desplazarse fuera de la parte inferior para que tenga efecto alguno. Si la lista tiene una entrada que permite a todos los clientes de su red y que usted acaba de añadirse una restricción a denegar el acceso a algunos sitios, usted tendrá que pasar por encima de lo que permiten la entrada y para que pueda ser utilizado.

7. Cuando haya acabado la creación y posicionamiento de las restricciones, pulse el vínculo Aplicar cambios en la parte superior de la página para que sean activos.

Después de un Proxy restricción se ha creado puede editar haciendo clic en el vínculo que aparece en la columna Acción para su fila en la tabla. Esto traerá una edición de forma idéntica a la utilizada para la creación de la restricción, pero con Guardar y Eliminar botones en la parte inferior. El primero se guardará cualquier cambio que hagas en la acción o se pongan en venta ACLs, mientras que el segundo se eliminará la restricción por completo. Una vez más, el vínculo Aplicar cambios deben ser utilizados con posterioridad a la actualización o la supresión de una restricción para hacer el cambio activo. Si por alguna razón suprimir todas las restricciones del Proxy, Squid permitirá a todas las peticiones de todos los clientes, que probablemente no es una buena idea.

También en la página de control de acceso es un cuadro para la edición y la creación de las restricciones que se aplican a las solicitudes del PCI *A medida que la Conexión a otros apoderados* sección se explica, el PCI es un protocolo utilizado por proxys Squid en un grupo o jerarquía a fin de determinar qué otros servidores URL han caché. Puede agregar y editar las entradas en el PCI restricciones mesa exactamente de la misma forma que las restricciones de Proxy. Si realmente está ejecutando un clúster de servidores Proxy, puede tener sentido para bloquear el PCI solicitudes de otras fuentes distintas de su propia red. Si no es así, la configuración por defecto que permite a todos los paquetes PCI está bien.

CONFIGURACIÓN DE AUTENTICACIÓN DEL PROXY

Aunque es posible configurar Squid para permitir el acceso sólo a determinadas direcciones IP, puede que quiera a la fuerza a los clientes a autenticar el Proxy también. Esto podría tener sentido si se quiere dar sólo ciertas personas el acceso a la Web, y no puede utilizar la dirección IP de validación debido al

66

uso de direcciones asignadas dinámicamente en su red. También es útil para seguir la pista de que lo que ha solicitado a través del Proxy, como nombres de usuario se registran en los registros de Squid.

Todos los navegadores y programas que pueden hacer uso de un Proxy también apoyo Proxy de autenticación. Navegadores aparecerá una ventana de acceso para ingresar un nombre de usuario y contraseña que se enviará a los Proxy la primera vez que les pide, y automáticamente enviar la misma información para todas las solicitudes posteriores. Otros programas (como wget o rpm), exigen el nombre de usuario y contraseña que se especifica en la línea de comandos.

Cada nombre de usuario y contraseña recibidos por Squid se pasa a un programa de autenticación externa, ya sea que lo aprueba o lo niega. Normalmente este programa los controles contra los usuarios de un archivo, pero es posible escribir sus propios programas que utilizan todo tipo de métodos de validación de los usuarios - por ejemplo, podrían ser consultados en una base de datos, o un servidor LDAP, o el usuario de Unix lista. Webmin Webmin viene con un sencillo programa que lee los usuarios de un archivo de texto con el mismo formato que es utilizado por Apache, y este módulo les permite a los usuarios editar dicho archivo.

Entre las medidas que a su vez, para su autenticación Proxy Squid son las siguientes:

1. En el módulo principal de la página, haga clic en el icono de control de acceso para abrir el formulario.

2. Seleccione Auth en el menú debajo de la mesa de ACL y pulse Crear el nuevo botón ACL.3. En el formulario que aparece, introduzca auth para el ACL nombre y seleccione Todos los

usuarios en el exterior auth usuarios sobre el terreno. Después haga clic en el botón Guardar.4. Haga clic en Agregar restricción por debajo de Proxy Proxy restricciones mesa.5. Seleccione Denegar en el ámbito de acción, y elegir su nueva autorización de la ACL no se

corresponden con la lista ACL. Esto bloquear cualquier Proxy peticiones que no están autenticadas, lo que obliga a los clientes de acceso. Selección Permitir y, a continuación, la elección de autoridades de la Match ACLs campo puede ser usado para un propósito ligeramente diferente. Esto crea un servidor Proxy que permite restringir el acceso a todos los clientes autenticados, que puede ser colocado a la fuerza clientes fuera de su red para acceder a su cuenta mientras que no se requieren para aquellos dentro de la red.

6. Haga clic en el botón "Guardar" para regresar a la página de control de acceso de nuevo.7. Utilice la flecha hacia arriba junto a la nueva restricción a pasar por encima de cualquier

entrada en la tabla que permite el acceso de todos a su propia red. Si es por debajo de esa entrada, los clientes de la red será capaz de usar el Proxy sin necesidad de conectarse a todos. Por supuesto, esto puede ser lo que quieres en algunos casos.

8. Volver a la página principal, haga clic en el icono de programas de autentificación.9. Desde el programa de autenticación de campo Webmin seleccionar por defecto. Esto le dice al

módulo de utilizar el simple archivo de texto autenticador que viene con el módulo de modo que usted no tiene que escribir el suyo propio. Por supuesto, usted puede especificar su propio programa personalizado de selección del último botón y entrar en la ruta completa a un script con algunos parámetros en el cuadro de texto adyacente. Este programa debe leer continuamente las líneas que contengan un nombre de usuario y una contraseña (separados por un espacio) como entrada y salida para cada línea o bien el OK o ERR para el éxito o el fracaso, respectivamente. Squid se ejecute varias instancias del programa, ya que los procesos permanentes demonio cuando se inició.

10. La ventana de acceso que aparece en los navegadores incluye una descripción del servidor Proxy, lo que el usuario está accediendo a. Por defecto, esto es Squid Proxy-caché del servidor

67

Web, pero puede introducir sus propios (como Ejemplo Corporación Proxy) rellenando el Proxy de autenticación sobre el terreno.

11. Normalmente, se cache Squid de acceso válido durante 1 hora para evitar que se pongan en el programa de autenticación por cada solicitud. Esto significa que la contraseña cambios pueden tardar hasta una hora en surtir efecto, que puede ser confuso. Para reducir este límite a costa de una mayor carga del sistema y un poco más lento petición de procesamiento, editar el tiempo de caché de contraseñas para el campo.

12. Haga clic en el botón Guardar y, a continuación, haga clic en Aplicar cambios a la página principal.

Ahora que la autenticación está habilitada, cualquier intento de utilizar su poder de un navegador Web causará una ventana de acceso a aparecer. Dado que los usuarios no válidos se han definido aún de acceso no serán aceptadas, lo cual no es particularmente útil! Para crear algunos usuarios para la autenticación, siga estos pasos:

1. Haga clic en el icono del Proxy de autenticación en el módulo de la página principal para que aparezca un cuadro con Proxy los usuarios. En un primer momento, este campo aparecerá vacío.

2. Haga clic en el botón Agregar un nuevo Proxy los usuarios enlace de arriba o por debajo de la mesa para mostrar el formulario de creación de usuario.

3. Introduzca un nombre de inicio de sesión en el campo nombre de usuario y una contraseña para el usuario en el campo Contraseña. NOTA - El nombre de usuario debe ser introducido en minúsculas!

4. Para desactivar temporalmente este usuario sin borrar él, el cambio Activado? Campo a No.5. Pulse el botón Crear para añadir el usuario y, a continuación, haga clic en el vínculo Aplicar

cambios. Este último paso es necesario después de la creación de un usuario para que los cambios surtan efecto, como Webmin Squid autenticación del programa sólo lee el archivo de usuario cuando empecé.

Un usuario puede editar haciendo clic en su nombre en la lista de usuarios Proxy, cambiar el nombre de usuario, contraseña o permitido la situación y golpear el botón Guardar. También puede eliminar completamente un usuario con el botón "Eliminar" en su edición de forma. Una vez más, Aplicar cambios hay que hacer clic para hacer las modificaciones o supresiones activa. Asimismo, se cache Squid contraseñas válidas (como se ha explicado anteriormente) para reducir la carga sobre el programa de autenticación, por lo que un cambio de contraseña puede tomar algún tiempo para surtir efecto.

El módulo de gestión de usuario de la característica sólo funcionará si elige Webmin por defecto en el programa de autenticación de campo, o si su propio programa toma la ruta completa a un estilo de Apache usuarios archivo como parámetro. Si su programa valida usuarios contra algún otro servidor o base de datos, o si el módulo no puede averiguar qué fichero contiene los usuarios de mando, el Proxy de autenticación icono no aparecerá.

A veces puede que desee permitir que los usuarios habituales de Unix para acceder a su programa con la misma contraseña que utilizan para telnet y ftp. A pesar de que es posible escribir un programa que hace de Proxy de autenticación contra la base de datos de usuarios de Unix, existe otra solución - configurar el módulo para añadir, borrar y actualizar Proxy los usuarios de Unix cuando un usuario es creado, eliminado o renombrado. Esto es muy útil para mantener los nombres de usuario y contraseñas en sincronización sin necesidad de conceder el acceso a cada usuario de Unix. Una vez que haya

68

establecido la autenticación normal como se ha explicado anteriormente, la sincronización puede ser activada por los siguientes pasos:

1. En el módulo principal de la página, haga clic en el vínculo del módulo de configuración en la esquina superior izquierda.

2. Como sus nombres indican, los usuarios Crear Proxy al crear usuarios de la red, actualización de Proxy los usuarios al actualizar los usuarios del sistema y Eliminar Proxy los usuarios al eliminar usuarios del sistema de control de los campos de creación automática, modificación y supresión de Proxy los usuarios cuando lo mismo sucede con un usuario de Unix. Para cada uno puede seleccionar Sí o No. Recomiendo de inflexión en la sincronización de actualizaciones y supresiones, pero dejando fuera de las creaciones de manera que puede hacerla el control que le da acceso al Proxy.

3. Pulse el botón Guardar en la parte inferior del formulario para activar la nueva configuración. A partir de ahora, las acciones realizadas en la Webmin usuarios y grupos módulo también el efecto Squid lista de usuarios en las maneras en que usted ha elegido. Sin embargo, la adición de un usuario a la línea de comandos con useradd o cambiar una contraseña con el comando passwd no.

Ver UsersAndGroups para obtener más detalles sobre la forma de sincronización con otros módulos de las obras y cómo activarlo.

CONFIGURACIÓN DEL REGISTRO

Squid escribe a cada uno de los archivos de registro, uno para el registro de las solicitudes de acceso de cliente, una caché de eventos y otro para información de depuración. La más útil es el archivo de registro de acceso, que pueden ser analizados por un programa como Webalizer para generar informes sobre los clientes, pidió a las URL y los usuarios individuales. El registro está habilitado de forma predeterminada a caminos compilados en Squid y, por tanto, depende de su sistema operativo, pero se puede cambiar los destinos para los archivos de registro y algunos detalles del formato de registro de acceso.

Para configurar cómo y dónde se escriben los registros, siga estas instrucciones:

1. Haga clic en el icono de registro en el módulo de la página principal, que previsiblemente le llevará al registro.

2. Para cambiar la ubicación del cliente de acceso del archivo de registro, editar el contenido del archivo de registro de acceso sobre el terreno. Si se selecciona por defecto, el camino compilado en Squid se utilizará (que puede ser /usr/local/squid/log/access.log o /var/log/squid/ access.log).

3. Para cambiar la ubicación de la memoria caché de almacenamiento de registro, editar el archivo de registro de almacenamiento sobre el terreno. El valor por defecto es siempre la store.log en el mismo directorio que el archivo access.log.

4. Para cambiar el camino que el debug log está escrito a manera de editar el archivo de registro de depuración sobre el terreno. Una vez más, el valor por defecto es cache.log en el mismo directorio que access.log.

5. Squid normalmente utiliza su propio formato personalizado para el registro de acceso. Para forzar el uso del formato utilizado por Apache en lugar de ello, cambiar el uso httpd formato de registro? Campo a Sí. Este formato puede ser necesario para la transformación de algunas aplicaciones, pero no registra toda la información que la opción por defecto hace.

69

6. Para escribir Squid han resuelto cliente nombres de host para el registro de acceso en lugar de sólo las direcciones IP, seleccione Sí en el Registro de nombres de host completo? Campo. Esto evita la necesidad de resolverlos más tarde, cuando la generación de informes, pero se ralentizará el servidor debido al tiempo que invertir búsquedas DNS puede tomar.

7. El ident o RFC931 protocolo puede ser usado para encontrar el nombre del usuario de Unix que está haciendo una conexión con el Proxy de algunos host remoto. Lamentablemente, es a menudo discapacitados y no apoya a otros sistemas operativos, por lo que es de uso limitado. Sin embargo, puede configurar Squid RFC931 para incluir la información a los usuarios el acceso a su archivo de registro de la selección de algunas de las ACLs en el RFC931 ident Realizar búsquedas de ACLs sobre el terreno. Idealmente, usted debe crear un cliente especial Dirección ACL que coincide con sólo Unix hosts con el demonio ident en su red y seleccionar sólo. Si lo hace permitir búsquedas usuario remoto, el tiempo de ident RFC931 campo puede ser usado para fijar una cantidad máxima de tiempo que va a Squid esperar una respuesta de un cliente. Si se selecciona por defecto el servidor esperará como máximo 10 segundos para una respuesta antes de darse por vencido (pero que aún permite la solicitud).

8. Haga clic en el botón Guardar en la parte inferior de la página para registrar los cambios introducidos en este formulario, y luego el vínculo Aplicar cambios a activarlos.

Muchos paquetes de Linux Squid incluyen un archivo de configuración para el programa logrotate para tener los archivos de registro rotar, comprimido y eventualmente suprimido cuando se convierten en demasiado viejos. Si cambia los caminos a los archivos de registro siguiendo las instrucciones descritas anteriormente, la rotación ya no será realizada y los logs pueden consumir sin límites y la cantidad de espacio en disco. En un sistema ocupado, esto podría dar lugar a una escasez de espacio en el registro de ficheros que se evitarían si la rotación se encuentra en vigor.

CONEXIÓN A OTROS PROXYS

En lugar de recuperar pidió directamente las páginas Web, Squid se puede configurar para conectarse a otro servidor Proxy en lugar y algunas o todas las peticiones a él. Esta función es útil si su organización tiene un poder para cada departamento y un maestro para la caché de toda la red, y quiere tener todos los poderes departamento de consulta para el maestro pide que no pueden servir de sus propios escondites. También puede ser necesario si su proveedor de acceso a Internet se ejecuta un servidor Proxy y que desea configurar Squid para su red doméstica como así, y aún así hacer uso de la caché del ISP.

Al hacer uso de ACLs para categorizar las solicitudes, puede configurar Squid que transmita sólo algunas peticiones a otro Proxy, mientras que el resto de manipulación con normalidad. Por ejemplo, su Proxy puede manejar siempre las peticiones de páginas Web en su red local, pero sigue con interés todo lo demás a un maestro Proxy caché del sistema.

Para configurar su servidor para hacer uso de otro Proxy para las solicitudes salvo las dirigidas a una determinada red o dominio, siga estos pasos:

1. En el módulo principal de la página, haga clic en el icono de control de acceso.2. Crear un servidor Web de host o Dirección Web Server ACL que coincide con los servidores

Web del servidor Proxy que debe buscar directamente. Llame a la lista de control de acceso directo, por ejemplo.

3. Volver a la página principal y haz clic en el icono Otros cachés para abrir una página que contiene una lista de otros conocidos servidores Proxy (si lo hubiere), y una forma de opciones de configuración que controlan cuando se utilizan.

70

4. Haga clic en "Añadir otro caché para ir a la caché de acogida creación.5. En el nombre del campo, introduzca el nombre de host completo del capitán caché del servidor,

tales como bigproxy.example.com. No sólo tiene que introducir bigproxy, como Squid a veces tiene dificultad para resolver los no-canónico nombres DNS.

6. Desde el menú seleccione Tipo padre, que le dice a Squid que este otro Proxy se encuentra en un nivel más alto (y, por tanto, tiene más páginas en caché) que los suyos.

7. En el campo Proxy puerto entrará un número de puerto que el otro Proxy está a la escucha, como el 8080.

8. En el campo puerto PCI entrar en el puerto que utiliza el Proxy para el PCI solicitudes, que suelen ser 3130. Si no sabe o el capitán del Proxy no es compatible con PCI, de todos modos entrará 3130.

9. Pulse el botón Guardar en la parte inferior de la página para volver a la lista de otros escondites.10. En el formulario que aparece al final de esa página es una sección titulada ACLs a buscar

directamente, que es en realidad una lista ACL cuadro similar al Proxy restricciones cuadro se explica en la Creación y edición de la sección Proxy restricciones. Sin embargo, en lugar de permitir o denegar las solicitudes que determina cuáles son obtenidos directamente y que se remiten a otra caché. Utilice el botón Agregar para buscar ACLs enlace directamente a la primera añada una entrada para permitir que su lista de control de acceso directo y, a continuación, uno a negar todas las ACL. Esto le dice Squid directamente a buscar las páginas locales de los servidores Web, pero pasa todos los demás peticiones al Proxy elegido.

11. Por último, haz clic en Aplicar cambios en la parte superior de la página para tener Squid empezar a utilizar el otro servidor Proxy.

Si sólo quieres tener tu Proxy adelante todas las peticiones a otro, independientemente de su destino, paso por encima de 10 puede ser omitido por completo. Esto funciona porque Squid utilizará los otros Proxy configurado por defecto si no ACLs se han creado a fuerza de obtención directa de determinadas solicitudes.

En una gran red con muchos clientes, un solo sistema que ejecute Squid puede no ser capaz de mantener el volumen con las peticiones de los clientes. Por ejemplo, una gran compañía con cientos de empleados en funcionamiento todos los navegadores Web o un ISP que ha creado un Proxy para los clientes podría poner una enorme carga en un solo servidor Squid. Una solución sería actualizar a una versión más potente máquina - otra sería la de instalar Squid en múltiples sistemas de propagación y el Proxy de carga entre ellos.

Esto es típicamente realizada por la creación de un registro de direcciones DNS para cada sistema de Proxy, todos con el mismo nombre (como proxy.example.com), pero diferentes direcciones IP. Entonces, cuando un cliente busca la dirección IP para proxy.example.com que volver todas las direcciones, y elegir uno al azar de manera efectiva a conectar. Otra alternativa es instalar una capa cuatro interruptor que puede re-direccionar el tráfico hacia la misma dirección IP a diferentes destinos, tales como múltiples servidores Proxy. Esto es más cara (cuatro conmutadores de capa no es barata), pero más fiable, porque un servidor puede ser detectado y que no se utilicen.

Sin embargo, hay un problema con el uso de varios servidores - cada uno mantiene su propia caché, de modo que si dos clientes solicitar la misma página Web a partir de dos distintos poderes será descargado dos veces! Esto niega la mayor parte de los beneficios de la ejecución de un caching Proxy.

Afortunadamente, Squid tiene características que resolver este problema. Puede ser configurado para contactar con otros escondites en el mismo grupo para cada solicitud, y preguntarles si ya tienen la página en caché. Si es así, se recuperará de los demás en lugar de Proxy de los originarios Web. Debido

71

a que todos los agentes en una organización suelen ser conectado a través de una red rápida, es mucho más eficiente. El protocolo utilizado para este inter-cache de comunicación se llama PCI, y sólo es usado por Squid.

Para configurar dos o más apoderados para hablar unos con otros con el PCI, los pasos a seguir en cada sistema son los siguientes:

1. En el módulo principal de la página, haga clic en el icono Otros cachés.2. Haga clic en "Añadir otro caché para abrir el caché de acogida creación.3. En el nombre del campo introduzca el nombre de host completo de uno de los otros escondites.4. Desde el menú seleccione Tipo hermano, lo que indica que el caché de otros está en el mismo

«nivel» como éste.5. En el puerto del Proxy, escriba el puerto HTTP que el otro escucha en Proxy.6. En el puerto PCI, escriba el número de puerto que el Proxy otros usos para el PCI

(generalmente 3130).7. Pulse el botón Guardar para añadir el otro Proxy y volver a la lista otros escondites.8. Repita los pasos 2 a 7 para cada uno de los otros hosts del clúster.9. Por último, haga clic en Aplicar cambios en la parte superior de la página.

El resultado final debería ser que cada Proxy en el grupo dispone de entradas para todos los demás poderes, por lo que sabe ponerse en contacto con ellos para las solicitudes no en su propio caché.. Sin embargo, puede establecer ACLs a fin de evitar el uso de PCI y la fuerza directa de obtención de ciertas solicitudes, tal y como se puede cuando presenten solicitudes para un maestro caché.

LIMPIANDO EL CACHE

A veces puede ser necesario eliminar todos los archivos en su cache Squid, tal vez para liberar espacio en disco o la fuerza de volver a la carga de las páginas de sus servidores Web originarios. Esto puede hacerse fácilmente utilizando Webmin siguiendo estos pasos:

1. En el módulo principal de la página, haga clic en Borrar el y Reconstruir Caché icono. Una página de confirmación preguntando si está seguro de que realmente se mostrará en su navegador.

2. Para seguir adelante, impactó el *Borrar la caché y reconstruir* botón. Debido a que el servidor se detendrá durante el proceso de liquidación, no se debe hacer cuando el poder está en uso.

3. Una página que muestra el progreso de Webmin, ya que se apaga Squid, se eliminan todos los archivos de caché, re-inicializa los directorios y, por último, re-inicia Squid se mostrará. Este proceso puede tardar bastante tiempo si usted tiene un gran caché o está usando un sistema de ficheros que es lento para borrar archivos (como UFS en Solaris).

CONFIGURACIÓN DE UN PROXY TRANSPARENTE

Un Proxy transparente es uno que los clientes conectarse a sin ser conscientes de que, debido al uso de las reglas del firewall que re-conexiones directas en el puerto 80 para el sistema de Proxy. La ventaja de esta configuración es que usted no tiene que configurar manualmente todos los clientes Web para utilizar el Proxy -, sino que será conectado a él sin su conocimiento. También significa que los usuarios no pueden obtener en todo el caché y evitar así sus reglas de control de acceso por no configurar en sus navegadores.

72

Transparent Proxy tiene algunas partes de abajo aunque. No es posible capturar automáticamente FTP o HTTPS conexiones, o aquellos a los sitios Web en los puertos que no sean 80. It También es incompatible con el Proxy de autenticación, como los clientes no pueden decir la diferencia entre la petición del Proxy para acceder a su cuenta y que de un sitio Web. A pesar de autenticación puede aparecer a trabajar, realmente no.

La mayoría de las redes tienen un router que conecta a una LAN interna a la Internet. Para Proxy transparente para el trabajo, este router debe estar configurado para re-direccionar los paquetes salientes por el puerto 80 para el Proxy Squid y el puerto de acogida en lugar. En una pequeña red, el Proxy puede incluso ser ejecutados en el mismo router de acogida. Iptables firewall que viene con Linux pueden realizar dos tipos de re-dirección con ayuda de dispositivos especiales DNAT (Destination Network Address Translation) las normas en la tabla nat.

Debido a que la mayoría de los trabajos es en realidad el hecho de que las reglas del firewall re-direccionar los paquetes salientes, las instrucciones para configurar todo lo que son en la LinuxFirewall en la página Configuración de un Proxy transparente sección. Sin embargo, se escriben para los usuarios de Linux que han instalado IPtables. Si su router está corriendo un sistema operativo distinto (o es un router dedicado, como un hecho por Cisco), los pasos para la creación de reglas de cortafuegos, evidentemente, no se aplicará. Los de la Squid Proxy Server módulo son los mismos sin importar qué tipo de cortafuegos que se estén ejecutando bien.

VER LA CACHÉ GERENTE ESTADÍSTICAS

El Squid software viene con un simple programa llamado CGI cachemgr.cgi que puede conectarse al Proxy y solicitar estadísticas sobre la utilización de memoria, la caché y pierde hits y caché DNS lookup. A pesar de que normalmente se instala para ser ejecutado desde un servidor Web como Apache, puede acceder a ella desde dentro de este módulo de Webmin siguiendo estos sencillos pasos:

1. En la página principal, haga clic en el Cache Manager de Estadística de icono para abrir el programa del formulario de acceso.

2. Deje el campo Cache Anfitrión conjunto a localhost, a menos que se quiere conectar a otro servidor Proxy. La mayoría de ACLs por defecto se han establecido para negar la caché de acceso de administrador en cualquier lugar, excepto aunque localhost.

3. En el campo Cache Puerto, introduzca el número de puerto TCP del servidor Proxy que está a la escucha, como el 8080.

4. El Administrador de nombre y contraseña campos puede dejarse vacía si no se ha Squid configurados para requerir autenticación para recuperar las estadísticas, que no suele ser el caso.

5. Pulse el botón Continuar para acceder a su cuenta, y una página lista todos los diversos tipos de estadísticas disponibles aparecerá. Haga clic sobre cualquiera de los enlaces para visualizar la información detallada.

6. Cuando haya acabado de ver las estadísticas de caché, haga clic en Volver al índice del calamar en la parte inferior de la página para volver al módulo del menú principal.

Porque por defecto Squid acepta sin ninguna solicitud de autenticación mediante el protocolo cache_object especial de localhost, que nadie puede acceder a su sistema a través de telnet o SSH podría ejecutar su propia versión de cachemgr.cgi para ver estas estadísticas. A pesar de que la información disponible no es especialmente sensible, puede que desee configurar Squid para solicitar un nombre de usuario y contraseña, se presentarán para acceder a él.

73

Esto puede hacerse mediante la creación de autenticación externa y luego editar el gerente Permitir por defecto localhost Proxy restricción a fin de que las nuevas autoridades ACL es seleccionado en el Match ACLs columna también. O mejor aún puede crear otro exterior Auth ACL que tiene sólo unos pocos usuarios que están autorizados a ver las estadísticas enumeradas, y que para asignar el Proxy en lugar de restricción. Esto es aún más seguro, porque evita el problema de todos los telnet o SSH usuario que también tiene un Proxy de acceso normal poder acceder a las estadísticas.

ANALIZANDO LOS REGISTROS DE SQUID

Calamaris es un simple programa en Perl que puede generar un informe de sus archivos de registro de Squid. Si lo tienes instalado, el Calamaris * * Iniciar sesión Análisis icono aparecerá en el módulo de la página principal. Si no, tendrá que descargar e instalar de forma separada, ya que no está incluido en Squid. Algunas distribuciones de Linux tienen un paquete separado de ella, que puede instalarse fácilmente utilizando el módulo de paquetes de software. Si no, el programa puede ser descargado desde http://calamaris.cord.de/, compilado e instalado.

Al hacer clic sobre el icono desencadena la generación de un informe de todos sus registros de acceso de Squid. Por defecto, sólo la última 50000 entradas son procesados para evitar la excesiva carga sobre el sistema - sin embargo, esto se puede ajustar en el módulo de configuración de página (como se explica en la Configuración del Squid Proxy Server módulo de sección). Cuando el informe está completo, éste será mostrado en su navegador como una sola página HTML. En la parte superior están los enlaces a las tablas más abajo en la página, que contiene resúmenes, tales como las solicitudes de acogida, de dominio de destino y de cache afectados.

Incluso si usted ha permitido la rotación de los registros en su sistema periódicamente para renombrar y comprimir los registros de Squid, el módulo se incluye todavía los datos comprimidos en el informe. Se busca todos los archivos de registro en el directorio cuyos nombres comienzan con access.log (como access.log.02.gz) y comprime-si es necesario antes de alimentar a Calamaris. El más reciente archivos son siempre procesados primera aunque, por lo que cualquier registro de líneas límite en vigor corta edad entradas en lugar de las más nuevas.

El Webalizer Análisis LOGFILE módulo (en el capítulo 39) también puede utilizarse para generar informes más impresionantes de los registros de calamares, que contiene gráficos y gráficos circulares. El módulo puede incluso volver a crear un informe sobre el calendario (como todos los días) y se han dirigido por escrito a un directorio para verlo más adelante.

MÓDULO DE CONTROL DE ACCESO

Puede ser muy útil para dar a alguien el derecho a configurar Squid sin dejar daño o cambiar cualquier otra cosa en el sistema. Esto puede hacerse en Webmin mediante la creación de un Webmin los usuarios con acceso al módulo y luego la restricción de lo que él puede hacer con ella. Capítulo 52 explica la idea general que subyace a este tipo de control de acceso con más detalle, mientras que esta sección se refiere a restringir el acceso a Squid el módulo en particular.

Algunos de atención cuando es necesario restringir un usuario de este tipo aunque, según algunas características del módulo puede ser utilizado para modificar archivos o ejecutar comandos con privilegios de root. Por ejemplo, no es una buena idea dejar que un poco de confianza usuario cambiar el caché de directorios, como el establecimiento / o / etc como un alijo podría dañar los archivos en el

74

sistema. Características como Proxy y lista de control de acceso de usuario de edición son bastante seguros aunque, y son probablemente los más útiles para permitir un sub-administrador de usar.

Para crear un usuario que sólo puede configurar Squid, los pasos a seguir son los siguientes:

1. En el módulo de Webmin usuarios, crear un usuario o grupo con acceso a este módulo.2. Haga clic en Squid Proxy Server al lado del nombre del usuario en la lista en la página principal

para abrir el formulario de control de acceso.3. ¿Puede cambiar la configuración del módulo de edición? Campo a n, por lo que no puede

modificar los caminos a los comandos o el archivo de configuración de Squid.4. En las páginas de configuración permitido lista, seleccione los iconos que módulo debe ser

visible para el usuario. Tala, Cache Opciones y programas de ayuda y no debe ser elegido, como las páginas contienen opciones potencialmente peligrosas.

5. Porque Squid puede leer ACLs valores de los archivos separados y este módulo permite a los usuarios editar el contenido de estos archivos ACL, usted debe limitar el directorio en el que se pueden crear. Para ello, introduce un directorio que pertenecen sólo a la Webmin usuario en el directorio raíz de ACL archivos sobre el terreno, tales como / home / joe. Dejando a lo establecido / es una mala idea, ya que esto puede permitir al usuario editar cualquier archivo en su sistema como root.

6. Para evitar que el usuario de cerrar Squid, el cambio se puede iniciar y parar Squid? Campo a No. Él todavía será capaz de aplicar los cambios sin embargo, y probablemente vuelva a configurar el servidor por lo que es no-utilizable.

7. Pulse el botón "Guardar" para activar las restricciones.

CONFIGURAR MÓDULO DEL SERVIDOR SQUID PROXY

Al igual que la mayoría de los módulos, éste tiene varios ajustes que usted puede editar para configurar la interfaz de usuario y los caminos que utiliza para Squid programas y ficheros de configuración. Ellos pueden acceder haciendo clic en el vínculo del módulo de configuración en la página principal, y la forma en que aparece la interfaz de usuario son los campos enumerados en las opciones configurables, mientras que los relacionados con el programa de caminos se encuentran bajo la configuración del sistema.

Debido a que el módulo por defecto de las rutas coincide con los utilizados por el paquete de Squid para su distribución de Linux o sistema operativo (si es que hay uno), los campos en el segundo grupo por lo general no necesitan ser modificadas. Sin embargo, si usted no está usando el paquete suministrado Squid porque usted se ha compilado e instalado el programa desde el código fuente, estas rutas de acceso tendrán que ser cambiado.

75

QUINTA PARTE.

Instalación. y configuración de un servidor FTP (PROFTPD)

FTP significa Protocolo de Transferencia de archivos (File Transfer Protocol), y junto con SMTP y Telnet es uno de los protocolos más antiguos pero todavía ampliamente utilizado en Internet. FTP está diseñado para permitir algunos programas cliente la escritura, lectura y eliminación de archivos en un servidor remoto, sin importar el sistema operativo que tenga el servidor. Esencialmente, es un protocolo para compartir archivos, pero al contrario de otros como SMB y NFS, está mejor diseñado para ser utilizado en redes con conexión lenta o con alta latencia.

Típicamente FTP es utilizado para transferir archivos de un sistema a otro, y aunque en muchos casos ha sido reemplazado por HTTP, mantiene ciertas ventajas que lo hacen sobrevivir, entre ellas la posibilidad de permitir al cliente cargar (escribir) archivos en el servidor, asumiendo que el servidor ha sido configurado para permitirlo.

Cuando un cliente se conecta a un servidor FTP, el cliente debe en primera instancia autenticarse antes de que alguna transferencia de archivos pueda suceder; usualmente la mayoría de los clientes utilizarán el nombre de usuario anonimo (o anonymous en inglés) que solamente permite descargar archivos.

En sistemas Unix y GNU/Linux, los usuarios pueden utilizar los mismos nombres de usuario y contraseñas que utilizarían en forma local en el servidor.

Otra característica única de FTP, es la capacidad de convertir archivos de acuerdo a los formatos que se utilicen en el cliente y el servidor; lo anterior es especialmente útil para archivos de texto, dado que dichos archivos utilizan diferentes caracteres para representar una línea nueva en diferentes sistemas operativos como Windows, MacOS y Unix. Dicha habilidad de FTP debe deshabilitarse al transferir archivos binarios como imágenes, ejecutables e imágenes ISO, dado que todo dato que no sea texto podría corromperse.12

Existen muchso programas para utilizar como cliente de FTP, desde la línea de comandos hasta algunos con interfaz gráfica más elaborada como Filezilla, el cual puede ser descargado en forma gratuita de http://filezilla-project.org/

12Webmin Twiki. http://doxfer.com/Webmin/ProFTPDServer

76

77

78

79

80

81

82

Vista principal de FileZilla

Para instalar el servidor FTP, se debe realizar lo siguiente:65. Seleccionar del menú de la izquierda Unused Modules...ProFTPD

66. Seleccionar click here to to have it downloaded and installed using APT.....(esperar a que finalice)

Alternativamente, desde la línea de comandos, digitar:apt-get -y --force-yes -f install proftpd

67. Al finalizar la instalación del módulo, regrese a la página de webmin, y en la lista de servidores seleccione ProFTPD server

83

Con esto ya el servicio FTP estará activo. Si se ingresa con un cliente ftp (FileZilla por ejemplo), con el nombre de usuario y contraseña del administrador (root), por defecto aparecerá el contenido de /home/nombre_del_usuario/ pero se puede navegar por todo el sistema !!! (cuidado!, esto representa un riesgo de seguridad!!!!)

68. Para restringir al usuario a su directorio /home/ debe hacer lo siguiente:

En la configuración de ProFTPD, seleccionar Files and directories tal y como se muestra en la figura:

y en la casilla LIMIT USERS TO DIRECTORIES, marcar la casilla de verificación home directory. (ver figura siguiente)

Con esto cada usuario podrá ingresar a su propio directorio /home, pero no podrá compartir archivos con otros usuarios o descargar archivos publicados por otros.

84

Si se desea que todos los usuarios ingresen a un directorio común, primero debe crearse el directorio que será la raíz del sitio FTP (por ejemplo /var/ftp/ como se muestra en la figura siguiente), y siempre en la casilla LIMIT USERS TO DIRECTORIES, seleccionar la casilla de verificación y digitar la localización del directorio

69. Descargue e instale FileZilla desde http://filezilla-project.org/ en una de las máquinas clientes de la red LAN, y pruebe ingresar al servidor ftp utilizando las tres opciones de navegación anteriores (todo el sistema, solo el directorio /home del usuario, y un directorio público específico).

85

Compartir Archivos e Impresoras con SAMBA

¿Que es samba?

Es un conjunto de programas desarrollados originalmente por Andrew Tridgell, y mantenidos en la actualidad por The SAMBA Team, este conjunto de programas o servicios tiene por objeto ser una implementación bajo GNU del protocolo SMB.

¿Que es smb?

Es el acrónimo de Server Message Block, que es un protocolo de capa de presentación según el modelo OSI, fue desarrollado en 1985 por IBM, en la actualidad es el protocolo utilizado por Microsoft Windows para trabajar en redes locales.

De este modo, una máquina GNU/Linux con Samba puede enmascararse como servidor en la red Microsoft y ofrecer los siguientes servicios:

• Compartir uno o más sistemas de archivos. • Compartir impresoras, instaladas tanto en el servidor como en los clientes. • Ayudar a los clientes, con visualizador de Clientes de Red. • Autentificar clientes logeándose contra un dominio Windows. • Proporcionar o asistir con un servidor de resolución de nombres WINS.

Samba es la idea de Andrew Tridgell. El proyecto nació en 1991 cuando Andrew creó un programa servidor de archivos para su red local. Hoy, la suite Samba implica a un par de demonios que proporcionan recursos compartidos a clientes SMB sobre la red . Estos demonios son:

smbd : Un demonio que permite compartir archivos e impresoras sobre una red SMB y proporciona autentificación y autorización de acceso para clientes SMB.

nmbd : Un demonio que busca a través de Windows Internet Name Service (WINS), y ayuda mediante un visualizador.

86

Instalación y Configuración de Samba.

Nota: Revise el video respectivo en la sección de videos del curso.70. Seleccionar la pestaña SERVIDORES, y allí seleccionar “Compartición de Archivos mediante Samaba” (Samba Windows File Sharing) ,

71. Seleccionar el ícono “Red de Windows” (Windows Networking), y completar el campo de grupo de trabajo. Es sumamente importante que el grupo de trabajo sea exactamente el mismo que el de las estaciones Windows

Verifique además que que el nivel de seguridad se encuentre en “nivel de compartición” (Share Level), para que cuando comparta un recurso no solicite usuario ni contraseña..

87

72, Para compartir un recurso, regrese a “Compartición de Archivos mediante Samaba”(Samba Windows File Sharing), seleccione “Crear una nueva compartición de archivo” (Create a new file share), y complete la información que se le solicita:

73. Posteriormente hacemos clic sobre “Seguridad”, hacemos que el servidor admita invitados, en grupos válidos añadimos nuestro grupo network y presionamos salvar.

74. Para dar mayor seguridad, seleccione el ícono File Share Defaults y luego Security and Acces Control

Allí puede permitir o denegar las estaciones que podrán ver los recursos compartidos por medio de sus dirección IP cuales estaciones

Guarde los cambios y regrese a File Share Defaults, y marque YES tanto en Available como en Browsable

Para finalizar presione el botón RESTART SAMBA SERVERS para aplicar todos los cambios que realizó. Solo falta probar el acceso a los recursos compartidos desde una de las estaciones en Windows, puede hacerlos de dos formas:

a. En forma gráfica desde el entorno de red. Busque en la red el servidor y selecciónelo.

b. Presionando el botón de Windows, seleccione Ejecutar y digite \\dirección-ip-del-server (ojo que son dos “back slash” y que debe sustituir dirección-ip-del-server por la dirección IP de su servidor)

Una característca popular de Windows 95/98/NT/200/XP/Vista/7 es que es posible mapear o asignar una letra de unidad hacia un direcrotio de la red usando la opción "Conectar a Unidad de Red" desde el explorador de Windows. Una vez hecho, las aplicaciones podrán acceder a la carpeta a través de la red con una unidad de disco estándar.

88

This document is licensed under the Attribution-NonCommercial-ShareAlike 3.0 Unported license, available at http://creativecommons.org/licenses/by-nc-sa/3.0/.

89

ANEXOS

Distribución del ancho de banda utilizando HTB e IPTables13

Creative Commons Reconocimiento-NoComercial-CompartirIgual 2.5

En muchas ocasiones los administradores de red experimentan cuellos de botella prolongados debido al mal uso que algunos usuarios dan del acceso a internet. Gran parte de esos abusos son llevados a cabo por las descargas que se realizan ya sea música, video o software através de programas P2P. Si bien existen alternativas para limitar el ancho de banda como los Delay Pools de Squid, pero solo funciona para limitar el ancho de banda de aquellas descargas vía HTTP y para el FTP.

Para implementar una solución que permita distribuir al ancho de banda y la tasa de transferencia de una forma más justa que incluyan no solo a HTTP y FTP sino inclusive a los programas P2P existen herramientas como CBQ y HTB que realizan la tarea.

En este documento se presenta una guía básica y funcional para la correcta implementación de HTB+Iptables para una distribución justa del ancho de banda.

Hierarchical Token Bucket (HTB)

Para poder particionar el acceso a internet, HTB se vale de clases. Estas clases son instrucciones jerárquicas que indican cómo debe manejarse el canal y qué prioridad tiene una clase ante otra tomando el principio de colas. El primer paso es configurar la disciplina de encolamiento de HTB:[root@lanserver]#tc qdisc add dev eth0 root handle 1: htb default 13

Este comando crea la disciplina de encolamienta raíz de HTB en la interfaz eth0 que en este caso, es la interfaz del servidor GNU/Linux que conecta hacia la LAN. Puede sustituirse por la interfaz que en su caso particular sea la interfaz hacia la LAN. Se indica que la disciplina 1:13 será la disciplina por defecto en tanto se indican más cambios.[root@lanserver]#tc class add dev eth0 parent 1: classid 1:1 htb rate 140kbit ceil 140kbit

Esta instrucción indica la tasa máxima con la que la disciplina raíz cuenta para la división del canal. El parámetro rate establecerá el ancho de banda inicial permitido para la disciplina de encolamiento en cuestión y el parámetro ceil indica el ancho de banda máximo.[root@lanserver]#tc class add dev eth0 parent 1:1 classid 1:10 htb rate 80kbit ceil 140kbit prio 0

Con esta instrucción se crea la clase 1:10 y se indica utilizar un ancho de banda incial de 80kbit y un máximo de 140kbit cuando el canal no está en uso.tc class add dev eth0 parent 1:1 classid 1:11 htb rate 20kbit ceil ${CEIL}kbit prio 1tc class add dev eth0 parent 1:1 classid 1:12 htb rate 20kbit ceil ${CEIL}kbit prio 2tc class add dev eth0 parent 1:1 classid 1:13 htb rate 20kbit ceil ${CEIL}kbit prio 3

Lo anterior crea tres clases 1:11, 1:12 y 1:13. Estas clases utilizarán un ancho de banda incial de 20kbit cuando el canal está en uso y del máximo disponible del canal, 140kbit, cuando no exista carga en la red al igual que la clase anterior 1:10.

13Autor: Luis Vargas CastroCorreo: luisvargascastro arroba gmail punto com

90

[root@lanserver]#tc qdisc add dev eth0 parent 1:11 handle 120: sfq perturb 10[root@lanserver]#tc qdisc add dev eth0 parent 1:12 handle 130: sfq perturb 10[root@lanserver]#tc qdisc add dev eth0 parent 1:13 handle 140: sfq perturb 10

Lo anterior añade 3 clases hijas a cada una de las clases padre creadas anteriormente: 1:11, 1:12 y 1:13 que permitirán que se distribuya de forma justa la oportunidad de transmitir datos hacia la red basándose en un número arbitrario de flujos. Esta funcionalidad está basada en el encolamiento estocástico justo (Stochastic Fair Queuing) SFQ.

Note el parámetro sfq perturb 10. Esto le indica a la disciplina de encolamiento de quien la instrucción es hija, que implemente una interrupción o perturbación de la transmisión de 10 segundos. En la medida que sea necesario reajuste este parámetro siempre y cuando no vaya en detrimendo de la transmisión de datos que enrute hacia esta disciplina.

Clasificación de paquetes

Hasta ahora se ha creado la configuración inicial de qdisc pero no se han clasificado los paquetes hacia las distintas rutas. Para hacerlo utilizaremos IPTables y clasificaremos los paquetes hacia las distintas clases creadas anteriormente.tc filter add dev eth0 parent 1:0 protocol ip prio 1 handle 1 fw classid 1:10tc filter add dev eth0 parent 1:0 protocol ip prio 2 handle 2 fw classid 1:11tc filter add dev eth0 parent 1:0 protocol ip prio 3 handle 3 fw classid 1:12

Con lo anterior le hemos indicado al kernel que los paquetes que tienen una marca específica con el valor fwmark con los parámetros handle x fw vayan hacia clases específicas classid x:xx.

Debemos indicarle al kernel que debe realizar el reenvío de paquetes por las interfaces de red utilizadas para este caso. Edite el archivo /etc/sysconfig.ctl en el parámetro ipv4_forward=0 y cámbielo a 1:ipv4_forward=1

Ahora debería poder ver el tráfico fluyendo através de la clase 1:13 con el siguiente comando: [root@lanserver]#tc -s class show dev eth0

IPTables

Ahora puede empezar añadir reglas de clasificación a iptables ya sea por protocolo o bien por puerto según[root@lanserver]#iptables -t mangle -A PREROUTING -p icmp -j MARK --set-mark 0x1[root@lanserver]#iptables -t mangle -A PREROUTING -p icmp -j RETURN

o bien por puerto dependiendo lo que necesita:[root@lanserver]#iptables -t mangle -A PREROUTING -p tcp -m tcp --sport 22 -j MARK --set-mark 0x1[root@lanserver]#iptables -t mangle -A PREROUTING -p tcp -m tcp --sport 22 -j RETURN

observe el parámetro -j MARK --set-mark 0x1 y -j RETURN. Estos parámetros se encargan del marcado de paquetes según la prioridad; el primer parámetro indica el número de prioridad en forma hexadecimal 0xX desde 0 hasta 9 donde 0 es el indicador de mayor prioridad o más importancia, y 9 el de menor importancia.

Una buena práctica es priorizar con marca 0x1 todos aquellos paquetes propios de la comunicación de las redes LAN: SYN, ACK, RST pues un retardo en estos paquetes significaría un desastre de comunicaciones en la red:iptables -t mangle -A PREROUTING -m tos --tos Minimize-Delay -j MARK --set-mark 0x1iptables -t mangle -A PREROUTING -m tos --tos Minimize-Delay -j RETURNiptables -t mangle -A PREROUTING -m tos --tos Minimize-Cost -j MARK --set-mark 0x5

91

iptables -t mangle -A PREROUTING -m tos --tos Minimize-Cost -j RETURNiptables -t mangle -A PREROUTING -m tos --tos Maximize-Throughput -j MARK --set-mark 0x6iptables -t mangle -A PREROUTING -m tos --tos Maximize-Throughput -j RETURN

Con lo anterior indicamos a iptables 3 tipos de T.O.S. y le decimos con qué número de marcado identificarlos. Minimize-Delay, Minimize-Cost y Maximize-Troughput marcándolos con 0x1, 0x5 y 0x6 respectivamente. Es imporante mencionar que no existen solo estos T.O.S. y que es imporante introducir las reglas pertinentes según sea necesario por parte del administrador de la red. Para motivos de explicación de este manual y del posterior ejemplo éstas reglas son las necesarias.

Es una buena práctica repetir las instrucciones creadas para iptables con PREROUTING con el parámetro OUTPUT de modo que el tráfico generado localmente también sea clasificado. Puede terminarse cada sentencia de -A OUTPUT con -j MARK --set-mark 0x3 de modo que el tráfico local tenga prioridad.

Poniendo la teoría en práctica

Ejemplo. Una red local que cuenta con 15 PCs con acceso a internet sale por medio de un servidor GNU/Linux através de una línea ADSL de 1024Kbps con 140Kbps de tasa de transferencia; las aplicaciones habituales del internet en la LAN son correo electrónico, chat, mensajería, FTP, HTTP, y programas P2P. Usualmente los programas P2P consumen casi todo el ancho de banda de la red. Se desea distribuir de forma justa el ancho de banda de modo que todo funcione bien y no hayan cuellos de botella debido en especial a los programas P2P.

Creamos un script que configure a HTB y le damos permisos de ejecución para root. edite con su editor de textos preferido el nuevo que llamaremos bwtc y ubíquelo en /etc/: [root@lanserver]#gedit /etc/bwtc

añada el siguiente contenido:CEIL=140tc qdisc add dev eth0 root handle 1: htb default 13tc class add dev eth0 parent 1: classid 1:1 htb rate ${CEIL}kbit ceil ${CEIL}kbittc class add dev eth0 parent 1:1 classid 1:10 htb rate 80kbit ceil ${CEIL}kbit prio 0tc class add dev eth0 parent 1:1 classid 1:11 htb rate 20kbit ceil ${CEIL}kbit prio 1tc class add dev eth0 parent 1:1 classid 1:12 htb rate 20kbit ceil ${CEIL}kbit prio 2tc class add dev eth0 parent 1:1 classid 1:13 htb rate 20kbit ceil ${CEIL}kbit prio 3tc qdisc add dev eth0 parent 1:11 handle 120: sfq perturb 10 tc qdisc add dev eth0 parent 1:12 handle 130: sfq perturb 10 tc qdisc add dev eth0 parent 1:13 handle 140: sfq perturb 10tc filter add dev eth0 parent 1:0 protocol ip prio 1 handle 1 fw classid 1:10tc filter add dev eth0 parent 1:0 protocol ip prio 2 handle 2 fw classid 1:11tc filter add dev eth0 parent 1:0 protocol ip prio 3 handle 3 fw classid 1:12tc filter add dev eth0 parent 1:0 protocol ip prio 4 handle 4 fw classid 1:13

edite /etc/sysctl.conf y cambie el parámetro ipv4_forward=0 a 1:ipv4_forward=1

Configuración de IPTables para marcado de paquetes

Agregue las reglas necesarias a IPTables de la siguiente manera: (puede hacerlo directamente en consola con los comandos siguientes o bien editando el archivo /etc/sysconfig/iptables y agregando las reglas en la sección mangle, claro sin el prefijo iptables -t mangle) :

92

iptables -t mangle -A PREROUTING -p tcp -m tcp --tcp-flags SYN,RST,ACK SYN -j RETURNiptables -t mangle -A PREROUTING -p tcp -m tcp --tcp-flags SYN,RST,ACK SYN -j MARK --set-mark 0x1iptables -t mangle -A PREROUTING -p tcp -m tcp --sport 3128 -j MARK --set-mark 0x1iptables -t mangle -A PREROUTING -p tcp -m tcp --sport 3128 -j RETURNiptables -t mangle -A PREROUTING -p tcp -m tcp --sport 80 -j MARK --set-mark 0x1iptables -t mangle -A PREROUTING -p tcp -m tcp --sport 80 -j RETURNiptables -t mangle -A PREROUTING -p tcp -m tcp --sport 25 -j MARK --set-mark 0x3iptables -t mangle -A PREROUTING -p tcp -m tcp --sport 25 -j RETURNiptables -t mangle -A PREROUTING -p tcp -m tcp --sport 110 -j MARK --set-mark 0x3iptables -t mangle -A PREROUTING -p tcp -m tcp --sport 110 -j RETURNiptables -t mangle -A PREROUTING -p icmp -j MARK --set-mark 0x1iptables -t mangle -A PREROUTING -p icmp -j RETURN iptables -t mangle -A PREROUTING -m tos --tos Minimize-Delay -j MARK --set-mark 0x1iptables -t mangle -A PREROUTING -m tos --tos Minimize-Delay -j RETURNiptables -t mangle -A PREROUTING -m tos --tos Minimize-Cost -j MARK --set-mark 0x5iptables -t mangle -A PREROUTING -m tos --tos Minimize-Cost -j RETURNiptables -t mangle -A OUTPUT -p tcp -m tcp --tcp-flags SYN,RST,ACK SYN -j MARK --set-mark 0x1iptables -t mangle -A OUTPUT -p tcp -m tcp --tcp-flags SYN,RST,ACK SYN -j RETURNiptables -t mangle -A OUTPUT -p tcp -m tcp --sport 3128 -j MARK --set-mark 0x1iptables -t mangle -A OUTPUT -p tcp -m tcp --sport 3128 -j RETURNiptables -t mangle -A OUTPUT -p tcp -m tcp --sport 80 -j MARK --set-mark 0x1iptables -t mangle -A OUTPUT -p tcp -m tcp --sport 80 -j RETURNiptables -t mangle -A OUTPUT -p tcp -m tcp --sport 25 -j MARK --set-mark 0x1iptables -t mangle -A OUTPUT -p tcp -m tcp --sport 25 -j RETURNiptables -t mangle -A OUTPUT -p tcp -m tcp --sport 110 -j MARK --set-mark 0x1iptables -t mangle -A OUTPUT -p tcp -m tcp --sport 110 -j RETURNiptables -t mangle -A OUTPUT -p icmp -j MARK --set-mark 0x1iptables -t mangle -A OUTPUT -p icmp -j RETURN iptables -t mangle -A OUTPUT -m tos --tos Minimize-Delay -j MARK --set-mark 0x1iptables -t mangle -A OUTPUT -m tos --tos Minimize-Delay -j RETURNiptables -t mangle -A OUTPUT -m tos --tos Minimize-Cost -j MARK --set-mark 0x5iptables -t mangle -A OUTPUT -m tos --tos Minimize-Cost -j RETURNiptables -t mangle -A OUTPUT -m tos --tos Maximize-Throughput -j MARK --set-mark 0x6iptables -t mangle -A OUTPUT -m tos --tos Maximize-Throughput -j RETURN

Ejecute el comando: service iptables save

en caso que haya ingresado las reglas para iptables en la terminal o bien guarde el archivo si lo editó con su editor de textos preferido. Reinicie el servicio iptables con el comando service iptables restart

Dé privilegios de ejecución para el archivo /etc/bwtc:[root@lanserver]#chmod +x /etc/bwtc

ejecute el archivo de configuración de HTB (/etc/bwtc):[root@lanserver]#./etc/bwtc

y por último, monitoree el tráfico de red:[root@lanserver]#tc -s class show dev eth0

Última Edición jueves, marzo 01 2007 @ 05:43 CST; 3,803 Hits

93

Para referencias adicionales

Official Ubuntu Server Guide

https://help.ubuntu.com/9.04/serverguide/C/index.html

Algunas imagenes pertenecen a:

svilen mushkatov

http://nname.org/about/

Sandor Pinter

94

UBUNTU SERVER LIGHTWEIGHT GNOME DESKTOPFrom Joey IT Director at Little Rock Hematology Oncology

http://community.spiceworks.com/how_to/show/156

Ubuntu Server is a great platform, but sometimes you do need a few GUI interfaces. Installing ubuntu-desktop carries with it a drive load of uneccesary extras - OpenOffice, CD/media utilities, etc.

Here is a nice, minimalist, desktop for your Ubuntu servers

1. Install Ubuntu server to your preference, I typically do not select any server packages for installation, only the base system.

2. Add the minimum packages

Either sudo this command or run it as root:

apt-get install xorg gnome-core gdm gnome-applets gnome-system-tools gnome-utils ubuntu-artwork compiz-gnome firefox sysv-rc-conf

3. Optional: set the desktop to not start automatically on boot

Typically when you install a desktop in Ubuntu, it configures itself to start on boot. This is not always desired.

Run:

sysv-rc-conf

You will be presented with a screen that shows services and what runlevels they are configured to start on.

Find 'gdm' and uncheck the boxes for runlevels 2 and 3.

Now the desktop will only start if you run:

startx

at the console prompt. You can exit out of the desktop back to the console as well.

95

Join Ubuntu – active directory using likewise:

http://www.likewise.com/ubuntu/webinar/9.9.09-replay.php

96

i Introducción tomada de Wikipedia.