Clase 4 Linux Intranet Servidor Proxy

Requerimientos*Servidor Xeon core duo o superior*Memoria de 4GB*Disco 500Gb *2 tarjetas de red*1 proveedor de servicios de internet*Software de Proxy

Funcionamiento

* El Cliente realiza una peticin (www.yahoo.com)*Es recibida por el puerto del servidor proxy.*El servidor Proxy realiza la busqueda del site y recibe el contenido del site.*La pagina es almacenada en el cache del servidor proxy,*El servidor Proxy , entrega el contenido del site al cliente que lo solicito,*Si el servidor Proxy recibe un nuevo requerimiento vuelve a repetir el procedimiento.

Configuracin del cliente

La siguiente configuracin es utilizada para realizar requerimientos al servidor Proxy.

*Todos los navegadores poseen la opcin de configurar una salida mediante un servidor Proxy.*Los datos a necesitar son:- Ip del servidor Proxy (192.168.1.1)- Puerto (3128) por el cual fue configurado para aceptar requerimientos de los clientes.

Tipos de Servidor Proxy

*Proxy con una tarjeta de red.*Proxy con dos tarjetas de red.

Proxy con una tarjeta de red:*Es utilizado para memoria cache,*Cuando un el servidor Proxy es el nico autorizado para salir hacia a la red externa (Interna). *Utilizado cuando existe un enlace dedicado hacia internet.

Diagrama:internet switchrouter

Servidor proxy

protocoloclientetcp/ip

eth0

eth0

Proxy con dos tarjetas de red:

* Usado para proteger a la red interna.*Adicionalmente de cache.* Todo el trfico pasa por el servidor Proxy.* Una tarjeta de red conectada a la red interna y la otra a la red externa(desprotegida).* Desde la red externa no puede ver a la red interna (Direcciones privadas)

Diagrama:

internet

switchswitch

Servidor proxy

protocolocliente

tcp/ip

router

eth0 eth1

Red privada (Ip privadas) Red externa (Ip publicas)

Squid

*Software de proxy para unix.*Software GNU (gratuito).* Financiado por la free Software Fundacion.* Smbolo.-(Calamar)

Caracteristicas :*Cache de paginas Web,* controla el acceso de salida,* Almacena en memoria las busquedas de DNS,* Soporta Http, FTP , Ssl,* no soporta real audio , Nntp y otros.

Squid Instalacin.

* Comprobando la instalacion.# rpm -q squid

*Si no est instalado , ingrese el comando #yum -y install squid.

* si desea activarlo en forma permanente.# setup servicios del sistema[*] squid

Directorio de configuraciones# cd /etc/ squid # lscachemgr.conf mime.conf squid.conf cachemgr.conf.default mime.conf.default squid.conf.defaulterrorpage.css msntauth.conferrorpage.css.default msntauth.conf.default

*mime.conf >> Iconos a dispalyar cuando ingresa un ftp.

*squid.conf >> archivo de configuracin del squid.

Squid configuracin I (squid.conf)

*Este archivo , posee varios parmetros de configuracin , se detallar lo importante para activar el squid,

* Edite el archivo con el vi.

#pwd /etc/squid

# vi squid.conf

Squid configuracin II (squid.conf)

http_port 3128

# parmetro que indica el puerto a recibir las peticiones de los clientes , el cual deber de estar libre sin interferencia de otro servicio.

Slo si se desea hacer proxy transparente agregar el parmetro trasparent al final.En el esquema de 2 tarjetas de red.

Squid configuracin III (squid.conf)

Cache_dir directorio tamao nivel1 nivel2# Parametro que configura el cache a crearse.- Directorio: Ubicacion a crearse el cache.-Tamao : tamao mximo del cache, depende del espacio expresado en Mbytes-Nivel1 : Directorio a crearse para el cache-Nivel2 : Directorio a crearse dentro de cada directorio de cada nivel.

cache_dir ufs /var/spool/squid 1400 16 256

Listas de acceso:las listas de acceso son definidas por el administrador root para permitir que los clientes o a los clientes ingresen a ciertas paginas. Estas son consultadas con ehttp://www.viabcp.com.pe/l administrador de la empresa.

Sintaxis:

acl aclname acltype (etiqueta) src >>por direcciones ips

port >> puertos Acceso

dstdomain >> dominios

url_regex >> lista de contenido

urlpath_regex >> lista de extensiones

Time >> fecha y hora.

http_access [deny o allow]

acl mired src 172.17.3.0 netmask 255.255.255.0http_access allow mired

acl permitidos url_regex /etc/squid/permitidos http_access allow permitidosbn.com.pe mintra.gob.pe viabcp.pe profuturoafp.peasociacionafp.com.peelperuano.pe

acl denegados url_regex /etc/squid/denegadoshttp_accsess deny denegadosxxxcholotubehttp://www.facebook.com/nenasyoutubefacebook

http://www.viabcp.com.pe/

ir a la barra del navegador: editar >> preferencias>>avanzado >>red >>configuracin

acl facebook dstdomain http://facebook.com http_access deny facebookasociacionafp.com.pe

acl puertos de acceso port 25 80 110 143 53http_access allow puertos de acceso

E. finalCrear 1 servidor Proxyque deniegue todo excepto las paginas de gobierno , bancos , afps y el peruano.para reiniciar utilice:# service squid restarto ms rpido# squid -k reconfigure1 2 # Recommended minimum configuration:3 #4 acl manager proto cache_object5 acl localhost src 127.0.0.1/32 ::16 acl to_localhost dst 127.0.0.0/8 0.0.0.0/32 ::17 8 # Example rule allowing access from your local networks.9 # Adapt to list your (internal) IP networks from where browsing10 # should be allowed11 #acl localnet src 10.0.0.0/8 # RFC1918 possible internal network12 acl localnet src 172.17.3.0/24 # RFC1918 possible internal network13 acl localnet src 192.168.0.0/16 # RFC1918 possible internal network14 acl localnet src fc00::/7 # RFC 4193 local private network range15 acl localnet src fe80::/10 # RFC 4291 link-local (directly plugged) machines16 17 acl SSL_ports port 44318 acl Safe_ports port 80 # http19 acl Safe_ports port 21 # ftp20 acl Safe_ports port 443 # https21 acl Safe_ports port 70 # gopher22 acl Safe_ports port 210 # wais23 acl Safe_ports port 1025-65535 # unregistered ports24 acl Safe_ports port 280 # http-mgmt25 acl Safe_ports port 488 # gss-http26 acl Safe_ports port 591 # filemaker27 acl Safe_ports port 777 # multiling http.bbvacontinental.pe28 acl CONNECT method CONNECT29 30 #31 # Recommended minimum Access Permission configuration:32 #33 # Only allow cachemgr access from localhost34 http_access allow !manager localhost35 http_access allow manager36 37 # Deny requests to certain unsafe ports38 http_access deny !Safe_ports39 40 41 # Deny CONNECT to other than secure SSL ports42 http_access deny CONNECT !SSL_ports43 44 acl gobierno dstdomain .gob.pe45 http_access allow gobiernohttp://www.viabcp.com.pe/46 47 acl bancos dstdomain .bn.com.pe48 acl bancos dstdomain .bancomercio.com.pe49 acl bancos dstdomain .bancognb.com.pe50 acl bancos dstdomain .viabcp.com.pe51 acl bancos dstdomain .scotiabank.com.pe52 53 http_access allow bancos 59 acl afps dstdomain .profuturo.com.pe60 acl afps dstdomain .integra.com.pe 59 acl afps dstdomain .profuturo.com.pe60 acl afps dstdomain .integra.com.pe61 acl afps dstdomain .afphabitahttp://www.viabcp.com.pe/t.com.pe62 acl afps dstdomain .prima.com.pe63 64 http_access allow afps61 acl afps dstdomain .afphabitat.com.pe62 acl afps dstdomain .prima.com.pe63 http://www.viabcp.com.pe/64 http_access allow afps54 55 56 57 58 59 acl afps dstdomain .profuturo.com.pe60 acl afps dstdomain .integra.com.pe61 acl afps dstdomain .afphabitat.com.pe62 acl afps dstdomain .prima.com.pe63 64 http_access allow afps65 :set nu