![Hemos de hacer que tenga habilitado el reenvío de paquetes, esto se consigue con la orden: [root@gato root]# echo 1 > /proc/sys/net/ipv4/ip_forward Esta instrucción escribe el archivo /proc/sys/net/ipv4/ip_forward que es un fichero de texto que sólo contiene el carácter "1".](https://image.slidesharecdn.com/servidir-proxy-1201107505921811-4/85/Servidir-Proxy-4-320.jpg)
![Ahora nos disponemos a limpiar todas las reglas de filtrado que pudieran existir en nuestra máquina, para ello ejecutamos: [root@gato root]# iptables –flush [root@gato root]# iptables --table nat --flush [root@gato root]# iptables --delete-chain [root@gato root]# iptables --table nat --delete-chain Y, por último vamos a enmascarar nuestra red local y permitir que navegue con las dos instrucciones siguientes: [root@gato root]# iptables --table nat --append POSTROUTING --out-interface eth1 -j MASQUERADE [root@gato root]# iptables --append FORWARD --in-interface eth0 -j ACCEPT](https://image.slidesharecdn.com/servidir-proxy-1201107505921811-4/85/Servidir-Proxy-5-320.jpg)
![ya estamos en condiciones de comprobar que cualquier ordenador de nuestra red local es capaz de comunicarse con cualquier equipo externo que posea una IP pública. Podríamos comprobarlo usando simplemente [usuario@info5 usuario]$ ping www.um.es](https://image.slidesharecdn.com/servidir-proxy-1201107505921811-4/85/Servidir-Proxy-6-320.jpg)
![[root@orquidia]# apt-get update [root@orquidia]# apt-get install squid](https://image.slidesharecdn.com/servidir-proxy-1201107505921811-4/85/Servidir-Proxy-12-320.jpg)
![[root@orquidia]# cd /etc/squid root@orquidia: /etc/squid# vi squid.conf](https://image.slidesharecdn.com/servidir-proxy-1201107505921811-4/85/Servidir-Proxy-13-320.jpg)
![acl [nombre de la lista] src [lo que compone a la lista] Si se tienen una red donde las máquinas tienen direcciones IP 192.168.1.n con máscara de sub-red 255.255.255.0, podemos utilizar lo siguiente: acl miredlocal src 192.168.1.0/255.255.255.0 acl acceso src "/etc/squid/acceso" acl restringidos url_regex "/etc/squid/restringido "](https://image.slidesharecdn.com/servidir-proxy-1201107505921811-4/85/Servidir-Proxy-18-320.jpg)
![Estas definen si se permite o no el acceso a Squid. Deben colocarse en la sección de reglas de control de acceso definidas por el administrador, es decir, a partir de donde se localiza la siguiente leyenda: # # INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS # http_access [deny o allow] [lista de control de acceso]](https://image.slidesharecdn.com/servidir-proxy-1201107505921811-4/85/Servidir-Proxy-19-320.jpg)
Servidir Proxy
- 2. Cada petición que hace nuestro navegador se delega al servidor Proxy y es este el que descarga la pagina o el elemento Web que se ha solicitado y se lo pasa a nuestro navegador Una computadora o dispositivo que ofrece un servicio de red que consiste en permitir a los clientes realizar conexiones de red indirectas hacia otros servicios de red. Controlar los accesos. Hacer cacheo de elementos. (Proxy Transparente) El Proxy escucha por defecto en el puerto TCP 3128
- 3. Permite al administrador lograr que toda solicitud HTTP (puerto de destino80/tcp) realizada por un cliente de la red interna sea automáticamente redirigida al Proxy, evitando la salida directa. Los motivos para realizar esto pueden depender del administrador, pero seguramente tengan que ver con políticas de administración de recursos, seguridad, performance, etc. Esto se realiza, como ya dijimos, mediante reglas de redireccionamiento de Netfilter (aplicadas con la utilidad Iptables). Es enmascarar tu red hacia fuera, puedes hacerlo con iptables (kernel 2.4.x):
- 4. Hemos de hacer que tenga habilitado el reenvío de paquetes, esto se consigue con la orden: [root@gato root]# echo 1 > /proc/sys/net/ipv4/ip_forward Esta instrucción escribe el archivo /proc/sys/net/ipv4/ip_forward que es un fichero de texto que sólo contiene el carácter "1".
- 5. Ahora nos disponemos a limpiar todas las reglas de filtrado que pudieran existir en nuestra máquina, para ello ejecutamos: [root@gato root]# iptables –flush [root@gato root]# iptables --table nat --flush [root@gato root]# iptables --delete-chain [root@gato root]# iptables --table nat --delete-chain Y, por último vamos a enmascarar nuestra red local y permitir que navegue con las dos instrucciones siguientes: [root@gato root]# iptables --table nat --append POSTROUTING --out-interface eth1 -j MASQUERADE [root@gato root]# iptables --append FORWARD --in-interface eth0 -j ACCEPT
- 6. ya estamos en condiciones de comprobar que cualquier ordenador de nuestra red local es capaz de comunicarse con cualquier equipo externo que posea una IP pública. Podríamos comprobarlo usando simplemente [usuario@info5 usuario]$ ping www.um.es
- 8. Dispone de un sistema de reglas complejo para el control de la navegación, y lo que es mas, un protocolo propio ICP , para intercomunicar proxyes Squid consiste de un programa principal como servidor, un programa para búsqueda en servidores DNS , programas opcionales para reescribir solicitudes y realizar autenticación y algunas herramientas para administración y y herramientas para clientes. Al iniciar Squid da origen a un número configurable de procesos de búsqueda en servidores DNS , cada uno de los cuales realiza una búsqueda única en servidores DNS , reduciendo la cantidad de tiempo de espera para las búsquedas en servidores DNS .
- 10. Al menos squid-2.5.STABLE1 httpd-2.0.x (Apache) Todos los parches de seguridad disponibles para la versión del sistema operativo que esté utilizando Ninguna versión de Squid anterior a la 2.5.STABLE6 se considera como apropiada debido a fallas de seguridad de gran importancia.
- 11. Squid utiliza el fichero de configuración localizado en /etc/squid/squid.conf . Existen un gran número de parámetros, como por ejemplo: http_port cache_dir Al menos una Lista de Control de Acceso Al menos una Regla de Control de Acceso httpd_accel_host httpd_accel_port httpd_accel_with_proxy
- 12. [root@orquidia]# apt-get update [root@orquidia]# apt-get install squid
- 13. [root@orquidia]# cd /etc/squid root@orquidia: /etc/squid# vi squid.conf
- 14. Squid por defecto utilizará el puerto 3128 para atender peticiones. # # You may specify multiple socket addresses on multiple lines. # # Default: http_port 3128 http_port 3128 http_port 8080
- 15. Especifica un límite máximo en el tamaño total de bloques acomodados, donde los objetos en tránsito tienen mayor prioridad.
- 16. Squid utilizará un cache de 100 MB, de modo tal que encontrará la siguiente línea: cache_dir ufs /var/spool/squid 100 16 256 Los números 16 y 256 significan que el directorio del cache contendrá 16 subdirectorios con 256 niveles cada uno.
- 17. Es necesario establecer Listas de Control de Acceso que definan una red o bien ciertas maquinas en particular. A cada lista se le asignará una Regla de Control de Acceso que permitirá o denegará el acceso a Squid. root@orquidia /etc/squid:# vi nom_lista
- 18. acl [nombre de la lista] src [lo que compone a la lista] Si se tienen una red donde las máquinas tienen direcciones IP 192.168.1.n con máscara de sub-red 255.255.255.0, podemos utilizar lo siguiente: acl miredlocal src 192.168.1.0/255.255.255.0 acl acceso src "/etc/squid/acceso" acl restringidos url_regex "/etc/squid/restringido "
- 19. Estas definen si se permite o no el acceso a Squid. Deben colocarse en la sección de reglas de control de acceso definidas por el administrador, es decir, a partir de donde se localiza la siguiente leyenda: # # INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS # http_access [deny o allow] [lista de control de acceso]
- 20. Una vez terminada la configuración, ejecute el siguiente mandato para iniciar por primera vez Squid: sudo /etc/inid.d/squid start Si necesita reiniciar para probar cambios hechos en la configuración, ejecute lo siguiente: sudo /etc/inid.d/squid restart Si desea que Squid inicie de manera automática la próxima vez que inicie el sistema, ejecute lo siguiente: /sbin/chkconfig squid on