Vous êtes sur la page 1sur 66

Cortafuegos iptables y squid + script grifo.

I.E.S. ALJADA
Departamento de Informtica
Tcnico Superior en Administracin de Sistemas Informticos y en Red

Instalacin de servidor proxy (squid) y servidor de archivos


(SAMBA y Proftp).

Autor:
D. Rubn Quesada Rodrguez
Tutor:
D. Natalia Van Iseghem Van Heden

Murcia, 5 de 06 de 2014

Pagina

ndice de contenido
Introducin....................................................................................................1
Proxy de web........................................................................................2
Posibles usos........................................................................................2
Proxy transparente...............................................................................2
Un servidor SAMBA es:......................................................................3
Un servidor ftp es:................................................................................3
Isc-dhcp-server es:...............................................................................3
Bind9 es:..............................................................................................3
Esquema de red ............................................................................................4
Pasos previos y preparacin de la maquina virtual.......................................4
Configuracin de los adaptadores de red.....................................................24
Instalacin de servicio webmin...................................................................41
Instalacin servidor SAMBA y proftpd-base..............................................46
Instalacin squid..........................................................................................51
Configuracin de iptables para el servidor de archivos...............................58
Bibliografa..................................................................................................62

Pagina

Pagina 0

El proyecto seleccionado es la instalacin de un servidor proxy

u servidor de archivos.

Voy a desarrollar que es y para que sirve un servidor proxy.

Explicar que es un servidor SAMBA y FTP.

Voy a realizar un servidor proxy y un servidor de archivos, en el cual

el servidor de archivos va a tener solo el servidor ftp, SAMBA, y SSH y el


otro servidor va a contener un servidor DNS, squid, SSH, DHCP, en el cual
el servidor squid va a tener servidor cache y control de acceso web y a
dems voy a realizar el proxy transparente.
Los servicios que voy a utilizar son:

Webmin

Proftp

SAMBA

OpenSSH

Iptables

squid

isc-dhcp-server

bind9

El entorno que voy a utilizar es Ubuntu 14.04 server.

Pagina 1

El uso ms comn es el de servidor proxy es que es un ordenador que


intercepta las conexiones de red que un cliente hace a un servidor de destino.

Proxy de Web
Se trata de un proxy para una aplicacin especfica: el acceso a la web con los
protocolos HTTP y HTTPS. Aparte de la utilidad general de un proxy puede
proporcionar una cach compartida para las pginas web y contenidos descargados,
actuando entonces como servidor proxy-cache. Esta cach es compartida por
mltiples usuarios con la consiguiente mejora en los tiempos de acceso para
consultas coincidentes y liberando de carga a los enlaces de acceso a Internet.

Posibles usos
Reduccin del trfico mediante la implementacin de cach en el proxy. Las
peticiones de pginas Web se hacen al servidor Proxy y no a Internet directamente.
Por lo tanto se aligera el trfico en la red y descarga los servidores destino, a los que
llegan menos peticiones.
Mejora de la velocidad en tiempo de respuesta mediante la implementacin de
cach en el proxy. El servidor Proxy crea un cach que evita transferencias idnticas
de la informacin entre servidores durante un tiempo (configurado por el
administrador) as que el usuario recibe una respuesta ms rpida.
El proxy puede servir para implementar funciones de filtrado de contenidos. Para
ello es necesaria la configuracin de una serie restricciones que indiquen lo que no
se permite. Observar que esta funcionalidad puede ser aprovechada no slo para que
ciertos usuarios no accedan a ciertos contenidos sino tambin para filtrar ciertos
ficheros que se pueden considerar como peligrosos como pueden ser virus y otros
contenidos hostiles servidos por servidores web remotos.

Proxy transparentes
Un proxy transparente combina un servidor proxy con un cortafuegos de manera
que las conexiones son interceptadas y desviadas hacia el proxy sin necesidad de
configuracin en el cliente, y habitualmente sin que el propio usuario conozca de su
existencia. Este tipo de proxy es habitualmente utilizado por las empresas
proveedoras de acceso de Internet.
- Voy a realizar mi trabajo realizando un squid con filtrado de contenidos y que
ademas es transparente para el usuario evitando configuraciones en los navegadores
de manera manual.

Pagina 2

Un servidor SAMBA es: una implementacin libre del protocolo de


archivos compartidos de Microsoft Windows (antiguamente llamado SMB,
renombrado recientemente a CIFS) para sistemas de tipo UNIX. De esta
forma, es posible que computadoras con GNU/Linux, Mac OS X o Unix en
general se vean como servidores o acten como clientes en redes de
Windows.
Un servidor ftp es: un protocolo de red para la transferencia de
archivos entre sistemas conectados a una red TCP (Transmission Control
Protocol), basado en la arquitectura cliente-servidor. Desde un equipo
cliente se puede conectar a un servidor para descargar archivos desde l o
para enviarle archivos, independientemente del sistema operativo utilizado
en cada equipo.
Isc-dhcp-server es: un protocolo de red que permite a los clientes
de una red IP obtener sus parmetros de configuracin automticamente.
Se trata de un protocolo de tipo cliente/servidor en el que generalmente un
servidor posee una lista de direcciones IP dinmicas y las va asignando a
los clientes conforme stas van estando libres.
Bind9 es : Es una base de datos distribuida, con informacin que
se usa para traducir los nombres de dominio, fciles de recordar y usar por
las personas, en nmeros de protocolo de Internet (IP) que es la forma en la
que las mquinas pueden encontrarse en Internet.

Pagina 3

Esquema de red.
In te r n e t

A u la 2

A u la 1

1 9 2 .1 6 8 .4 .0 /2 4
1 9 2 .1 6 8 . 1 .2 0 0
1 9 2 .1 6 8 .4 .1
1 9 2 .1 6 8 .3 .1
1 9 2 .1 6 8 .5 .1

1 9 2 .1 6 8 .3 .0 /2 4
C lie n t e

C lie n t e

C lie n t e

C l ie n t e

C li e n t e

C lie n t e

1 9 2 .1 6 8 .5 .2

- Este es el esquema de red.

Pasos previos y preparacin de la maquina virtual.

Nos vamos a inicio Herramientas del sistema Oracle VM

Virtualbox.

Pagina 4

Una vez abierto vamos a crear una maquina virtual. Para ello

de damos a Nueva.

- Ponemos un nombre a la maquina y elegimos el sistema operativo


a instalar en este caso Ubuntu 32bit y le damos a Siguiente.

Pagina 5

- Ponemos la memoria de nuestra maquina que le e dado 256Mb ya


que no tiene escritorio la maquina consume menos recursos.

Creamos un disco duro para la instalacin de la maquina virtual. Le


damos a crear.

Pagina 6

Elegimos el tipo de disco duro que vamos a emplear. Y le damos a


siguiente.

Dejamos la opcin por defecto por que de la otra manera consume


mas disco duro el el equipo anfitrin.

Pagina 7

Elegimos el tamao del disco duro y le damos a crear.

-Arrancamos la maquina dndole a iniciar.

Pagina 8

Una vez arrancada nuestra maquina virtual elegimos la iso de


nuestra distribucin linux.

La seleccionamos y le damos a abrir.

Pagina 9

Despus le damos a iniciar.

- elegimos el idioma y le damos a intro.

Pagina 10

-elegimos la primera opcin para la instalacin de ubuntu. Y


seguimos los pasos de instalacin que ya conocimos.

Una vez instalado el sistema instalamos el OpenSSH.

Pagina 11

-Despus clonamos la maquina para crear la maquina que tendra el squid


dns dhcp webmin e iptables.

Marcamos la casilla de reiniciar la mac y le ponemos nombre a nuestra


maquina. Y le damos a Next.

Pagina 12

y realizamos una clonacin Completa. Y le damos a clonar.

-despues de la clonacion arrancamos la maquina y le cambiamos el


nombre modificando el siguiente fichero.

- Ponemos el nombre a la maquina y guardamos el fichero.


Pagina 13

- Tambin tenemos que modificar el fichero hosts o si no nos puede dar


problemas nuestra maquina.

- y vemos el nuevo nombre de la maquina virtual.

Actualizamos los repositorios y actualizamos nuestras 2 maquinas.


Con ello terminamos los pasos previos de instalacin de nuestros
servidores.
Pagina 14

- Ahora vamos a crear nuestra maquina cliente. Le damos a Nueva.

- Le ponemos un nombre y le damos a next.

Pagina 15

- Ponemos el tamao de memoria para nuestro cliente y le damos a


Next.

Creamos un disco duro dndole a crear.

Pagina 16

-Elegimos el tipo de disco duro y le damos a Next.

Dejamos la opcin por defecto y le damos a Next.


Pagina 17

Y le damos a crear el tamao no importa demasiado ya que es para


realizar pruebas y no se van a instalar muchos programas.

Arrancamos la maquina y dejamos la unidad anfitrin ya que lo tengo


en CD y le damos a Iniciar. Y realizamos la instalacin como ya
sabemos.

Pagina 18

Una vez instalada nuestra maquina nos vamos a Dispositivos e


insertamos la imagen de Guest Additions.

Pagina 19

Se abre el asistente automticamente y le damos a Next.

Dejamos la ruta por defecto y le damos a Next.

- Seleccionamos los componentes a instalar, en este caso lo dejamos


por defecto y le damos a Install.
Pagina 20

Nos sale el mensaje el mensaje de que no a superado la prueba de


Windows le damos a continuar a todos los carteles que salgan.

y reiniciamos la maquina.

Pagina 21

- Despus con la maquina apagada realizamos una clonacion para


simular un cliente en Aula2.

Le ponemos un nombre a la maquina y le damos a Next.

Pagina 22

y realizamos la clonacin completa y le damos a clonar.

y esperamos.

Estas son nuestras maquinas para el proyecto.

Pagina 23

Configuracin de los Adaptadores de red.

Nos situamos en la 1 maquina creada y le damos a Configuracin.

- Nos vamos al apartado red y elegimos en el adaptador de Red, Red


interna y le damos una nombre el cual debe coincidir con el de la otra
maquina. Y le damos a aceptar.

Pagina 24

- Segunda maquina: le damos a Configuracin.

- En el primer Adaptador va a ser adaptado puente para la salida a


internet.

Pagina 25

- Nos situamos en la segunda pestaa Adaptador 2, elegimos red


interna, desplegamos el men nombre y elegimos archivos.

- Nos situamos en la tercera pestaa y le ponemos de nombre aula1.

Pagina 26

- Nos situamos en la cuarta pestaa y ponemos el nombre aula2 y le


damos a aceptar.

- Tercera maquina: le damos a configuracin.

Pagina 27

- Nos vamos a red ponemos que esta conectado a red interna y en


el nombre desplegamos la lista y elegimos aula1 ya que es el nombre
que hemos definido en el servidor y que se comunique con ese
adaptador y le damos a Aceptar.

Cuarta maquina: Le damos a configuracin.

Pagina 28

Lo conectamos a red interna con el nombre aula2 y le damos a


Aceptar.

Arrancamos nuestra maquina squid, nos logueamos y editamos el


fichero interfaces para configurar los interfaces de red.

Pagina 29

Ya tenemos nuestro fichero de interfaces configurado. Y lo


guardamos.

Y reiniciamos las interfaces.

Pagina 30

- En el servidor archivos tambin configuramos la interfaz.

Y reiniciamos los interfaces.

Realizamos una comprobacin a ver si se conecta la maquina


archivos con el servidor con el servidor squid.

Pagina 31

En el cliente aula1 ponemos una direccin ip que este dentro de su


rango establecido en el servidor. Y aceptamos

- y realizamos un ping al servidor al ver si se conecta correctamente.

Pagina 32

lo mismo para aula 2, ponemos la direccin ip y Aceptamos.

Y realizamos la comprobacin con un ping.

- Despus nos vamos al siguiente fichero para poner los servidores DNS.

Pagina 33

Ponemos un DNS como el de Google y guardamos el fichero.

Despus en el servidor squid vamos a instalar el servicio dns. Que se


llama bind9.

Despues configuramos el siguiente fichero para decir donde se


encuentran los archivos del servidor dns.

Configuramos la ruta donde se encuentra la rutas directas.


Pagina 34

Copiamos el siguiente fichero para tener una plantilla.

Y abrimos el fichero.

Ponemos en nuestro servidor dns la www y el servidor archivos.

- Despus lo renombramos de db.local a Principal.local.db

Despus abrimos el siguiente fichero.

Pagina 35

Y dentro de el escribimos lo siguiente. Y guardamos el fichero.

Probamos que los ficheros estan correctos con los siguientes


comandos.

Despus hacemos la prueba con nslookup.

- Ahora configuramos los reenviadores. Para que el servidor tenga


salida hacia Internet.

Pagina 36

Ponemos los DNS de nuestra compagina ya que es la recomendada.

Y reiniciamos el servicio bind9.

Configuracin servidor DHCP


Despus vamos a proceder a instalar el servidor Dhcp, para ello usamos el
siguiente comando.

Pagina 37

- Ahora vamos a poner las interfaces que van a tener DHCP. Para ello
editamos el siguiente fichero.

Aqui ponemos las interfaces que van a tener DHCP en este caso es el Aula1
y el Aula2. Y guardamos el fichero.

Ahora vamos a definir las reservas de direcciones ip y los rangos para


nuestras aulas.

Pagina 38

Primero ponemos el nombre del dominio, y tambin podemos cambiar el


tiempo de concesin que en este caso lo dejare como esta.

Aqu tenemos establecidas las direcciones de los 2 interfaces en el cual tiene


una reserva hecha para cada profesor del aula.

Pagina 39

Y reiniciamos el servicio.

En estas capturas le e cambiado el nombre de usuario a los equipos para que


coincidan con los del DHCP para las concesiones Aula1 tiene el host
Profesor1 y el Aula2 tiene como nombre del host Profesor2.

Ahora activaremos el enrrutamiento. Para ello vamos a modificar el


siguiente fichero.

Y des-comentamos la siguiente linea para cuando se reinicie el equipo el


enrrutamiento siga activo.

Pagina 40

Instalacin del servicio webmin.

Aadimos los repositorios de webmin al servidor.

Descargamos la clave GPG de webmin y despus la exportamos.

Actualizamos los repositorios para que nos encuentre el nuevo que hemos
aadido anterior mente.

Y lo instalamos con apt-get.


Pagina 41

- Y entramos con uno de nuestros clientes por ej: Aula1. Ponemos el


usuario y contrasea. Y le damos a Login.

- Una vez dentro lo traducimos al espaol para ello Desplegamos la


lista Webmin y elegimos change Language and theme, y en el lado
derecho en webmin UI language cambiamos el idioma del interfaz. Y
le damos a Make Changes.

Pagina 42

Y ya tenemos gran parte de webmin traducida al Espaol.

Despus nos vamos a ir al apartado Red desplegamos y a


Cortafuegos Linux. Elegimos permitir todo el trafico marcamos
Habilitar el firewall al arrancar y le ddamos a configurar Firewall.

Pagina 43

Despus vamos a aadir una regla para que nuestros clientes


puedan salir a internet, para ello desplegamos el menu y nos
situamos en NAT despues le damos a Aadir regla con los paquetes
POSTROUTING.

Y aqu ponemos: direccion o red origen igual a 192.168.3.0/24 y en la


interfaz saliente igual a eth0 y en la accion a ejecutar
Enmascaramiento y le damos a Salvar que esta debajo de la pagina.
Pagina 44

Lo mismo pero para el Aula2.

Lo mismo para el servidor de archivos.

Una vez que tengamos todas las reglas definidas para la salida a
Internet le damos a Aplicar configuracin.

Pagina 45

Realizamos una prueba de conexin de Aula1 y Aula2.

Instalacin servidor SAMBA y proftpd-base.

- Lo primero es establecer un DNS para que el equipo salga a


Internet. Para ello vamos a modificar el siguiente fichero.

- y ponemos la siguiente direccin ip que es la de nuestro servidor


DNS y guardamos el fichero. Y reiniciamos la maquina para que se
establezca la direccin ip.

- Despus instalamos samba con apt-get.


Pagina 46

Instalamos el proftpd-basic con apt-get.

- despus nos sale la siguiente ventana a la que dejamos la opcin


por defecto y le damos a Aceptar.

Pagina 47

Ahora vamos a crear a los usuarios, los primeros usuarios a crear


son los profesores, ya que as el directorio tiene los permisos de
escritura, y despus los usuarios alumnos sobre esa misma
carpeta en la cual solo tendr permisos de lectura y ejecucin.
Creamos el usuario profesor1 y su directorio personal es
/home/Aula1. Con la Contrasea 123456

Despus creamos el segundo profesor. Con el directorio


personal /home/Aula2. Con la contrasea 123456.

Pagina 48

Despus creamos los alumnos, he creado el usuario alumno1


encima de la carpeta del profesor1 con la contrasea alumno1.

Despus creamos el usuario alumno2 encima de la carpeta Aula2.


Con la contrasea alumno2.

Pagina 49

Le damos permiso de lectura y escritura para el usuario y grupo


propietario y otros le damos permisos de lectura y ejecucin que
afecta a los usuarios alumnos.

Lo primero es aadir a los usuarios a samba para que puedan


utilizarlo.

Pagina 50

Despus modificamos el siguiente fichero en el cual aadiremos a los


usuarios en sus correspondientes carpetas, recordar que cualquier
usuario puede leer y ejecutar pero los profesores solo pueden
escribir en sus carpetas personales.

- Despus reiniciamos el servicio.

Instalacin de squid.

Lo instalaremos con apt-get.

Pagina 51

Ahora vamos a configurar el siguiente fichero.

- Nos vamos a la linea 1060 y creamos la linea que apunta a un


fichero y ponemos allow para permitir la salida a Internet de nuestros
usuarios. Ahora vamos a poner las reglas encima de esa linea.

Arriba vamos a definir las acl de las paginas web prohibidas, como
pueden se las de publicidad, porno etc... y abajo hemos puesto la
accin a realizar con el fichero en este caso que la red definida en el
fichero salga a Internet y las palabras prohibidas. Y si queremos
meter direccines solo tenemos que cambiar url_regex por dst.

Pagina 52

Ahora vamos a crear la lista de direcciones ip permitidas. Lo primero


es crear la carpeta listas. Y despues crear el fichero listas.txt.

Una vez creado el fichero lo guardamos en la carpeta listas.

Ahora creamos el fichero url_prohibidas.txt en en que meteremos


palabras para que el proxy actu y prohba las paginas que contiene
dichas palabras.

Le metemos unas palabras a nuestro fichero que sean palabras


prohibidas.

- ahora pare dejar el proxy transparente ponemos transparent delante


del puerto en la linea 1467.

despus escribimos a mano las 2 lineas la primera sirve para la RAM


cahe que utiliza el squid recomendable poner un tercio de la memoria
de la maquina. Y la linea de abajo la utilizaremos para la clave
cache_dir seguida de la palabra ufs que es el formato utilizado por

Pagina 53

squid, de la carpeta donde queremos que se almacene la cache, el


tamao de la cach en MB, el nmero de subdirectorios de primer
nivel y el nmero de subdirectorios de segundo nivel.

Despues vamos a aplicar una regla para configurar el cortafuegos


del servidor para que redirija las peticiones al puerto 80 hacia el
puerto 3128 y as las reciba squid . Le damos a Aadir regla en
PREROUTING.

En esta ventana configuramos la regla tenemos que marcar


Redireccin, poner la interfaz entrante que es eth2 y el protocolo de
red TCP. Y le damos a salvar.

Pagina 54

Despus le damos a clonar regla.

En la regla clonada Cambiamos la interfaz entrante por eth3. Para


que la red Aula2 pase tambin por el proxy. Y le damos a crear.

Despus le damos a aplicar configuracin.

Pagina 55

Aqu podemos ver que en la pagina pccomponentes le hemos echo


click a un banner y nos a saltado el squid.

Tambin nos aparecen los cuadros de banner en blanco o con la


pagina del proxy en cada uno de ellos.

Pagina 56

- Si el servidor proxy no es transparente hay que configurarlo en los


navegadores, para Internet explorer y Google chome nos vamos a
Panel de control Opciones de internet.

Despus nos vamos a la pestaa Conexiones y le damos a


configuracin de LAN.
Pagina 57

Marcamos la casilla de utilizar servidor proxy y ponemos la ip y el


puerto y marcamos la casilla de no usar servidor proxy para
direcciones locales y le damos a Aceptar y as se configura si no
fuera transparente.

Configuracin de iptables para el servidor de archivos.

Ahora aadiremos una regla para que los usuarios de Aula1 y


Aula2 se puedan comunicar con el servidor de archivos. Para ello
le damos a Aadir regla.

Pagina 58

En Ips y puertos para DNAT, le ponemos la direccin ip del


servidor de archivos, despus en la interfaz entrante ponemos
Igual a eth2 que es nuestra red Aula1, en el protocolo de red
ponemos igual a TCP, y en puerto TCP o UDP Destino igual a
rango de puertos 20:21. Despus le damos a crear.

Despus entramos en la misma regla y le damos a clonar regla.

Despus solo tenemos que cambiar el interfaz entrante por eth3.

Pagina 59

Despus le damos al botn aplicar configuracin.

Despus realizamos las pruebas en los clientes.

Despus vamos a aadir los puertos SAMBA, para que los


clientes se puedan conectar por el. Para ello vamos a clonar la
reglas NAT Destino.

Pagina 60

Una vez clonada la regla solo tenemos que cambiar los puertos por
137,138,139,445, y el rango de puestos para que el Aula2 pueda
acceder la carpeta compartida SAMBA de nuestro servidor y
clonamos la regla.

El la clonacin de la regla anterios solo tenemos que cambiar el


interfaz entrante a eth2, para que los usuarios del aula2 puedan
acceder a la carpeta compartida del servidor.

Y realizamos la comprobacin de que entra a nuestro servidor


SAMBA.

Pagina 61

Bibliografa
http://www.ubuntu-es.org/node/128334#.U6CfEihle70
http://ayudainformatic.wordpress.com/2013/03/02/instala

r-y-configurar-un-servidor-proxy-squid3-en-ubuntudebian/
http://tuxjm.net/docs/Manual_de_Instalacion_de_Servido

r_Proxy_Web_con_Ubuntu_Server_y_Squid/htmlmultiples/ch03s04.html
http://blog.desdelinux.net/bloquear-publicidad-con-squid-

y-easylist/

Pagina 62