Proxy

Montando un proxy Montando un proxy

UNAD ZCBCUNAD ZCBCCarlos Fdo. Riaño - CEAD Girardot

transparentetransparenteen Ubuntu server

Montando un proxy transparenteUNAD ZCBC


Carlos Fdo. Riaño - CEAD Girardot

Como ya sabemos en un servidor proxy, la idea es filtrar el contenido de la red al que los usuarios están accediendo pero para ello siempre se debe configurar el navegador de cada uno de los clientes, trabajo que puede ser muy engorroso cuando muchos de ellos no son muy frecuentes y las maquinas no son fijas en la red que administramos.

la idea de un servidor proxy transparente es que los usuarios

se conecten a la red y que el contenido sea filtrado sin que

ellos se den cuenta y sin necesidad de configurar cada una de

las maquinas, esto se logra redireccionando todo el flujo de

información hacia el puerto del proxy pero desde el servidor.

primer paso....

Estructura de la red....

independiente de la estructura de la red debemos tener en cuenta que el

servidor va entre la conexión a internet y el resto de nuestra red.

Nuestro equipo debe contar con dos tarjetas de red una de ellas debe tener una ip fija en el rango en que trabajaremos nuestra red local y la otra puede tener ip estatica conectada a nuestro proveedor de internet o dependiendo de nuestra configuracion

ServidorProxy




Para configurar nuestras tarjetas de red debemos conectar una de ellas al proveedor de internet y utilizamos el comando ifconfig, eso nos mostrará las eth con sus propiedades y cual de ellas tiene asignada ip y nos dara una idea de como estan identificadas en el SO.

tengan presente cual de ellas va a ser la que se conecta a internet y cual a la red local.

para cambiar las direcciones de red colocamos “cd /etc/network/” y editamos el archivo interfaces. nos saldrá el archivo que aparece en la imagen.

ahora asignamos dirección a la tarjeta que utilizaremos para la red local

este es el rangode su red local

esta es la T. de red que va aconectarse con la red localauto eth1

iface eth1 inet staticaddress 192.168.10.1netmask 255.255.255.0gateway 192.168.1.1




Segundo paso....

Instalando un dhcp

Para que nuestro proxy funcione de manera transparente se deben direccionar los equipos a través de él. parte de eso se consigue desde el dhcp que conecta las maquinas es por eso que se hace necesario la instalación y configuración de el paquete dhcp3-server.

lo hacemos con el comando:

sudo apt-get install dhcp3-server

cuando finaliza la instalación vamos a la carpeta /etc/dhcp3 y editamos el archivo dhcpd.conf. Borramos todo el contenido del archivo y colocamos las siguientes lineas:

si no pertenecemos a un dominio colocamos cualquier cosaesta es la direccion de nuestro servidor

la mascara de nuestra red localla misma ip del servidor para que se direccione al serv samba

el servidor que va a dar las tablas de ruteotiempos para asignar direcciones a los clientes

los valores de la red local para la asignacion de direccionesrango de ip´s automaticas asignadas por el servidor

se coloca la ip del equipo que nos suministra conexion a internetmascara de la red del equipo que nos da servicio

de nuevo el servidorde nuevo el servidor que va a dar las tablas de ruteo

option domain-name "ceadgirardotunad.com";option domain-name-servers 192.168.10.1;option subnet-mask 255.255.255.0;option netbios-name-servers 192.168.10.1;option routers 192.168.10.1;default-lease-time 600;max-lease-time 7200;

subnet 192.168.10.0 netmask 255.255.255.0 {range 192.168.10.50 192.168.10.230;option domain-name-servers 192.168.1.1;option subnet-mask 255.255.255.0;option netbios-name-servers 192.168.10.1;option routers 192.168.10.1;}

DA

TO

S D

EL

SE

RV

IDO

RD

ATO

S D

E L

OS

CL

IEN

TE

S

Guardamos los cambios hechos y vamos a la carpeta /etc/init.d para iniciar el servicio, esto lo hacemos con el comando:

sudo ./hdcp3-server restart

si no hemos tenido ningún problema significa que podemos conectar equipos a la tarjeta de red y deben asignarseles dirección ip y compartir la conexión a internet.




ahora como en nuestras maquinas aparecerá que las tablas de ruteo las asignara el servidor, hay que editar las tablas de ruteo. Para eso vamos a crear en la carpeta /etc/init.d un archivo con un nombre cualquiera y con extención .sh y lo editamos con los siguientes valores:

Nombre o mensaje del proceso

con esto se inhabilitan las tablas que tiene por defectoy se habilitan las que vamos a poner mas abajo

con esto se habilita el reenvio en el servidor

aqui se redirecciona del puerto 80 al 3128 que es el proxy(estas 2 lineas se escriben en 1 sola)

en esta linea se da salida a internet a la red localla eth0 debe ser la que esta conectada el sevicio de internet

(estas 2 lineas se escriben en 1 sola)

echo "Aplicando redireccionamiento..."iptables -t nat -Fiptables -t nat -Xiptables -t nat -Ziptables -Fiptables -Xiptables -Z

echo 1 > /proc/sys/net/ipv4/ip_forward

iptables -t nat -A PREROUTING -s 192.168.10.0/8 - tcp --dport 80 -j REDIRECT --to-port 3128

iptables -t nat -A POSTROUTING -o eth0 -s 192.168.10.0/8 -j MASQUERADE

DA

TO

S D

E L

AS

TA

BL

AS

DE

RU

TE

O

Finalizado esto colocamos permisos de ejecución al archivo que creamos y editamos el archivo rc.local para que se ejecuten las reglas que acabamos de crear al iniciar el SO colocando esto al inicio del archivo:

cd /etc/init.d./archivoqecreamos.sh




tercer paso....

ahora si.....vamos con el squid

Para poder trabajar con el squid de forma transparente debemos descargar el código fuente y editar algunas cosas, ya que él por defecto viene configurado para que los equipos estén direccionados al servidor. para descargarlo podemos entrar a la pagina de squid y buscar archivo con extensión .tar.gz

Una vez tenemos el archivo lo descomprimimos en la carpeta /usr/local/src/ luego de estar descomprimido lo editamos, compilamos e instalamos, para eso utilizamos los comandos:

sudo ./configure --prefix=/usr/local/squid --enable-linux-netfilter --enable-follow-x-forwarded-for --enable-x-accelerator-vary

sudo make

sudo make install

se establece la ruta,activa el filtro y el reenvío

y aceleración de flujo.(se pone en 1 linea)

compila el codigo fuente

instala el paquete

luego creamos el usuario y el grupo de squid y le asignamos todos los permisos a ese usuario para la carpeta de squid:

sudo useradd squidsudo groupadd squid

cd /usr/local/squidchown -R squid *chgrp -R squid *

tip....si cuando estamos editando el código fuente y compilando reciben error, deben instalar el paquete de herramientas build-essential con el comando:

sudo apt-get built-essential




si todo esta bien podemos empezar a configurar nuestro servidor proxy, para eso vamos a la ruta /usr/local/squid/etc y editamos el archivo config.conf

lo primero es editar la linea http_port y vamos a identificar la ip y el puerto de nuestro servidor

http_port 192.168.10.1:3128 transparent

abajo en la linea que dice cache_dir vamos a identificar la ubicación del cache del servidor y el tamaño de dicha carpeta (el tamaño del directorio depende de la capacidad de la maquina):

cache_dir /usr/local/squid/car/cache 2048 15 256

en la linea que dice cache_effective_user colocamos el usuario de squid que creamos:

cache_effective_user squidcache_efective_group squid

las acl son las restricciones o servicios que vamos a activar para nuestros cliente, esto se configura dependiendo de las necesidades de cada administrador.

deben crear una acl para habilitar el servicio de internet a nuestra red local, para ello colocamos:

acl our_network 192.168.10.0/24http_acces allow our_network

recuerden que las direcciones ip deben cambiarlas de acuerdo a la configuración de la red local.




ahora vamos al directorio /usr/local/squid/sbin y damos el siguiente comando:

sudo ./squid -z

con esto se creara el cache del servidor de acuerdo a los valores que colocamos en la configuración.

por último para que no tengamos que iniciar el squid cada vez que inicie la maquina volvemos al directorio /etc/init.d y volvemos a editar el archivo rc.local, esta vez vamos a agregar las lineas para que el squid inicie automatico:

cd /usr/local/squid/sbin./squid

grabamos el archivo e iniciaos la maquina y si todo salio bien colocamos:

sudo ps ax

y nos debe mostrar en los procesos:

con esto podemos dar por terminado...solo falta conectar las maquinas y disfrutar de nuestro servidor......

Documents

Proxy