Академический Документы
Профессиональный Документы
Культура Документы
TUNFIRE
Autores:
Br. Jhonny Garzon
Br. Jess Alpino
Asesores tcnicos:
Noel Garcia
Rafael Martines
Primera entrega: Caracas, 1 de Noviembre de 2011
Segunda entrega: Caracas, 8 de Noviembre de 2011
Tercera estrega: Caracas, 26 de Enero de 2012
Instalacin de servicio DHCP
Instalacin
# aptitude install dhcp3-server
Configuracin
El servicio DHCP slo debe estar disponible para la red interna. Por eso, debe aceptar conexiones por
la interfaz interna (eth1, en este caso). Esto puede indicarse en el archivo de configuracin
/etc/default/isc-dhcp-server:
# Defaults for dhcp initscript
# sourced by /etc/init.d/dhcp
# installed at /etc/default/isc-dhcp-server by the maintainer scripts
#
# This is a POSIX shell fragment
# On what interfaces should the DHCP server (dhcpd) serve DHCP requests?
# Separate multiple interfaces with spaces, e.g. "eth0 eth1".
INTERFACES="eth1"
Activar el ip_forwaeding en el colocando el siguiente comando en un archivo que se lea al inicio del
sistema para que se active cada vez que se inicie el sistema.
Dentro se coloca las reglas de enmascaramiento para que la subnet pueda salir por la puerta de enlace
del servidor a internet:
#!/bin/sh
#FLUSH de reglas
iptables -F
iptables -X
iptables -Z
iptables -t nat -F
###ENMASCARAMIENTO
iptables -t nat -A POSTROUTING -s 10.66.0.0/24 -o eth0 -j MASQUERADE
#activacion del ip_forwarding
echo 1 > /proc/sys/net/ipv4/ip_forward
Antes de proceder a la instalacin se verifica que tipo de conexin hay, a internet puesto que para una
conexin vpn es indispensable.
En caso de que no se tenga una conexin de cantv alambrica. Se podr utilizar una conexin (mdem
USB) para este ejemplo se ha utilizado un mdem USB de Movistar.
Luego de instalar todos los paquetes necesarios se colocara las siguientes directivas en el archivo de
configuracin del wvdial en /etc/wvdial.conf
#[Dialer Defaults]
Init1 = ATZ
Init2 = ATQ0 V1 E1 S0=0 &C1 &D2 +FCLASS=0
Modem Type = Analog Modem
Baud = 9600
New PPPD = yes
Modem = /dev/ttyUSB0
ISDN = 0
Phone = *99#
Password = movistar
Username = movistar
Stupid mode = 1
Auto Reconnect = on
Auto DNS = on
Luego para levantar la interface de el mdem solo se escribe en la terminal el siguiente comando:
# wvdial &
Se coloca andpersand para que la tarea quede en un segundo plano, con esto debera levantar la
interface y con ella la asignacin de una ip y el acceso a internet. Luego de completar la instalacin del
mdem USB
Instalacin del servicio VPN Lan to Lan:
Estos son los supuestos para la instalacin
- Se tiene dos equipos, cada uno con dos tarjetas de red una conectada a la Internet el otro a una red
interna al menos 2 GB memoria Ram.
- Ambos equipos tienen slo el sistema base instalado, para mayor seguridad y aprovechar
mejor los recursos de hardware del servidor.
- Con estos comando se pegan los archivos de configuracin del OpenVPN en la carpeta openvpn.
# cd /usr/share/doc/openvpn/examples/easy-rsa/
# cp * /etc/openvpn-R
- Editar el archivo vars para colocar la configuraciones especificas del administrador que seran la
direccin del centro u oficina.
# nano /etc/openvpn/2.0/vars
Y los paquetes
# , /clean-all
# . /build-ca
./build-key clinete
Puede crear todas las llaves para su emisin a tantos clientes como desee, una vez que haya terminado
de crear todas las llaves para sus clientes openvpn ejecuta este comando.
. / Build-dh
Las llaves se estn generando ya, y la salida se ver as.
Generating DH parameters, 1024 bit long safe prime, generator 2
This is going to take a long time
..........................+......................................++*++*++*
Se copia el archivo de configuracion del servidor (server.conf) con los siguientes comandos.
# cd /usr/share/doc/openvpn/examples/sample-config-files/
# cp server.conf.gz /etc/openvpn/
# cd /etc/openvpn/
# gzip -d server.conf.gz
# nano server.conf
En primer lugar es necesario copiar los certificados del servidor al cliente, asegrese de hacer esto de
una manera segura, ya sea usando scp o una llave USB con el fin de mantener sus archivos seguros.
Ahora que se a copiado todos los archivos que el cliente abra una consola en el cliente y el
# cd /usr/share/doc/openvpn/examples/sample-config-files/
# cp client.conf /etc/openvpn/
# cd /etc/openvpn/
# nano client.conf
Eso es todo, a menos que se haya hecho algunos cambios en el servidor, como por ejemplo, el cambio
de la UDP a TCP con el puerto predeterminado, por lo que tendr que cambiar, que tambin en el lado
del cliente.
Iniciar el servidor
/etc/init.d/openvpn start
si todo va bien, debera ver algo como esto:
Sat Jul 14 11:12:11 2007 OpenVPN 2.0.9 i486-pc-linux-gnu [SSL] [LZO] [EPOLL] built on Jan 21 2007
Sat Jul 14 11:12:11 2007 Diffie-Hellman initialized with 1024 bit key
Sat Jul 14 11:12:11 2007 TLS-Auth MTU parms [ L:1542 D:138 EF:38 EB:0 ET:0 EL:0 ]
Sat Jul 14 11:12:11 2007 TUN/TAP device tun0 opened
Sat Jul 14 11:12:11 2007 /sbin/ifconfig tun0 10.8.0.1 pointopoint 10.8.0.2 mtu 1500
Sat Jul 14 11:12:11 2007 /sbin/route add -net 10.8.0.0 netmask 255.255.255.0 gw 10.8.0.2
Sat Jul 14 11:12:11 2007 Data Channel MTU parms [ L:1542 D:1450 EF:42 EB:135 ET:0 EL:0 AF:3/1 ]
Sat Jul 14 11:12:11 2007 GID set to nogroup
Sat Jul 14 11:12:11 2007 UID set to nobody
Sat Jul 14 11:12:11 2007 UDPv4 link local (bound): [undef]:1194
Sat Jul 14 11:12:11 2007 UDPv4 link remote: [undef]
Sat Jul 14 11:12:11 2007 MULTI: multi_init called, r=256 v=256
Sat Jul 14 11:12:11 2007 IFCONFIG POOL: base=10.8.0.4 size=62
Sat Jul 14 11:12:11 2007 IFCONFIG POOL LIST
Sat Jul 14 11:12:11 2007 Initialization Sequence Completed
Inicie el cliente
/etc/init.d/openvpn restart
Sat Jul 14 15:40:36 2007 OpenVPN 2.0.9 i486-pc-linux-gnu [SSL] [LZO] [EPOLL] built on Jan 21 2007
Sat Jul 14 15:40:36 2007 IMPORTANT: OpenVPN's default port number is now 1194, based on an official port number assignment by
IANA. OpenVPN 2.0-beta16 and earlier used 5000 as the default port.
Sat Jul 14 15:40:36 2007 WARNING: No server certificate verification method has been enabled. See
http://openvpn.net/howto.html#mitm for more info.
Sat Jul 14 15:40:36 2007 LZO compression initialized
Sat Jul 14 15:40:36 2007 Control Channel MTU parms [ L:1542 D:138 EF:38 EB:0 ET:0 EL:0 ]
Sat Jul 14 15:40:36 2007 Data Channel MTU parms [ L:1542 D:1450 EF:42 EB:135 ET:0 EL:0 AF:3/1 ]
Sat Jul 14 15:40:36 2007 Local Options hash (VER=V4): '41690919'
Sat Jul 14 15:40:36 2007 Expected Remote Options hash (VER=V4): '530fdded'
Sat Jul 14 15:40:36 2007 NOTE: UID/GID downgrade will be delayed because of --client, --pull, or --up-delay
Sat Jul 14 15:40:36 2007 UDPv4 link local: [undef]
Sat Jul 14 15:40:36 2007 UDPv4 link remote: 200.87.61.90:1194
Sat Jul 14 15:40:36 2007 TLS: Initial packet from 200.87.61.90:1194, sid=408d696e 88814e22
Sat Jul 14 15:40:37 2007 VERIFY OK: depth=1, /C=bo/ST=bo/L=santacruz/O=go2linux.org/CN=OpenVPN-
CA/emailAddress=gerencia@alketech.com
Sat Jul 14 15:40:37 2007 VERIFY OK: depth=0, /C=bo/ST=bo/O=go2linux.org/CN=server/emailAddress=gerencia@alketech.com
Sat Jul 14 15:40:38 2007 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Sat Jul 14 15:40:38 2007 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Sat Jul 14 15:40:38 2007 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Sat Jul 14 15:40:38 2007 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Sat Jul 14 15:40:38 2007 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA
Sat Jul 14 15:40:38 2007 [server] Peer Connection Initiated with 200.87.61.90:1194
Sat Jul 14 15:40:39 2007 SENT CONTROL [server]: 'PUSH_REQUEST' (status=1)
Sat Jul 14 15:40:39 2007 PUSH: Received control message: 'PUSH_REPLY,route 10.8.0.0 255.255.255.0,ping 10,ping-restart
120,ifconfig 10.8.0.6 10.8.0.5'
Sat Jul 14 15:40:39 2007 OPTIONS IMPORT: timers and/or timeouts modified
Sat Jul 14 15:40:39 2007 OPTIONS IMPORT: --ifconfig/up options modified
Sat Jul 14 15:40:39 2007 OPTIONS IMPORT: route options modified
Sat Jul 14 15:40:39 2007 TUN/TAP device tun0 opened
Sat Jul 14 15:40:39 2007 /sbin/ifconfig tun0 10.8.0.6 pointopoint 10.8.0.5 mtu 1500
Sat Jul 14 15:40:39 2007 /sbin/route add -net 10.8.0.0 netmask 255.255.255.0 gw 10.8.0.5
Sat Jul 14 15:40:39 2007 GID set to nogroup
Sat Jul 14 15:40:39 2007 UID set to nobody
Sat Jul 14 15:40:39 2007 Initialization Sequence Completed
Al final del documento se anexa una tabla con la subnet's a utilizar por cada sentro segn lineamientos
del la Divisin de Servidores.
En primer lugar, debe anunciar la subred 10.66.0.0/24 a los clientes VPN de ser accesible a travs de la
VPN. Esto se puede hacer fcilmente con la siguiente directiva en el archivo de configuracin del
servidor, server.conf.
A continuacin, se debe establecer una ruta en la puerta de entrada del lado del servidor LAN para la
ruta de la subred del cliente VPN (10.8.0.0/24) en el servidor OpenVPN (esto slo es necesario si el
servidor OpenVPN y el gateway LAN son diferentes mquinas).
Incluyendo varias mquinas en el lado del cliente cuando se utiliza un enrutado VPN (dev tun)
En un escenario tpico de acceso a la carretera-guerrero o remota, la mquina cliente se conecta a la
VPN, como una sola mquina. Pero supongamos que la mquina del cliente es una puerta de entrada
para una red local (tal como una oficina en casa), y le gustara que cada mquina en la LAN del cliente
para poder enrutar a travs de la VPN.
Para este ejemplo, se supondra que la red LAN del cliente est utilizando la subred 192.168.4.0/24, y
que el cliente VPN est utilizando un certificado con un nombre comn de client2. Nuestro objetivo es
la creacin de la VPN para que cualquier mquina en la LAN del cliente se puede comunicar con
cualquier mquina en la LAN del servidor a travs de la VPN.
* El cliente subred LAN (192.168.4.0/24 en nuestro ejemplo) no deben ser exportados a la VPN por el
servidor o cualquier otro cliente de los sitios que utilizan la misma subred. Cada subred que se une a la
VPN a travs de enrutamiento debe ser nico.
* El cliente debe tener un nombre nico en su certificado Common ("client2" en nuestro ejemplo), y la
bandera duplicado-cn no debe utilizarse en el fichero de configuracin de OpenVPN servidor.
En primer lugar, asegrese de que el reenvo IP y TUN / TAP est activado en la mquina cliente.
client-config-dir ccd
En la directiva anterior, deber ser el nombre de un directorio que ha sido creado previamente en el
directorio predeterminado donde el demonio del servidor OpenVPN funciona. En Linux esto tiende a
ser /etc/openvpn y en Windows por lo general es \Archivos de programa \OpenVPN\Config. Cuando
un nuevo cliente se conecta al servidor OpenVPN, el demonio de verificacin de este directorio para un
archivo que coincida con el nombre comn del cliente que se conecta. Si un archivo es encontrado, ser
ledo y procesado de directrices adicionales de archivo de configuracin que se aplicarn para el cliente
llamado.
El siguiente paso es crear un archivo llamado client2 en el directorio de la CLD. Este archivo debe
contener la lnea:
A continuacin, se agregaranla siguiente lnea en el fichero de configuracin del servidor principal (no
el archivo ccd/client2):
La razn por la que se agrega dos veces es que route controla el enrutamiento del ncleo con el
servidor OpenVPN (a travs de la interfaz TUN), mientras que iroute controla el enrutamiento desde el
servidor OpenVPN a los clientes remotos. Ambos son necesarios.
Despus, pregntese si le gustara para permitir el trfico de red entre la subred client2
(192.168.4.0/24) y otros clientes del servidor OpenVPN. Si es as, aada lo siguiente en el fichero de
configuracin del servidor server.conf.
Client to client
push "route 192.168.4.0 255.255.255.0"
El siguiente manual pretende entregar al usuario una gua para configurar un servidor PROXY SQUID
con autenticacin con un servidor LDAP.
Como muestra la Figura anterior, los clientes que intenten conectarse a cualquier sitio WEB deben
autenticarse. Esto lo hace solo la primera ves que abre un navegador.
Enviar su nombre de usuario y la clave cuando se le solicite.
Una ves enviado estos datos, el servidor PROXY debe verificar la existencia de tal usuario y validar
la clave en el servidor LDAP.
El servidor LDAP, una ves verificado y autenticado el usuario, le indica al servidor PROXY que el
usuario puede comenzar a navegar.
# nano /etc/squid3/squid.conf
# PARAM E T R O S G LOBALES
# Puerto de escucha y la ip
# Esta es la ip y el puerto que se deben colocar en las configuraciones del explorador de cada uno de los usuario
http_port 10.127.1.244:3128
# ICP Port - Puerto por el que se reciben solicitudes ICP (Inter-Cache Protocol)
icp_port 0
# Parametros de Apache
#acl apache rep_header Server ^Apache
# PARAM E T R O S D E CAC H E
# P A R A M E T R O S T I M E T O L I V E (TTL)
# TIempo que mantendra squid para una pagina que ha sido encontrada
positive_dns_ttl 6 hours
# Duracion de la IP autenticada
authenticate_ip_ttl 30 seconds
# D E C LARAC I O N DE REDES
#AC CE SO S BAS I CO S
#METODO DE A U T E N T I C A C I O N (OpenLDAP)
## Varibles que se le asignan a cada uno del los grupos del LDAP
acl U-VIP external GrupoLDAP Usuarios_VIP
acl U-ADMIN external GrupoLDAP Usuarios_ADMIN
acl U-Autorizados external GrupoLDAP Usuarios_Autorizados
acl U-Descargas external GrupoLDAP Usuarios_Descargas
acl U-Limitados external GrupoLDAP Usuarios_Limitados
acl U-Bloqueados external GrupoLDAP Usuarios_Bloqueados
acl U-Servidores external GrupoLDAP Usuarios_Servidores
acl U-MSN external GrupoLDAP Usuarios_Messenger
acl U-Especiales external GrupoLDAP Usuarios_Especiales
acl U-Serv external GrupoLDAP Usuarios_Servidores
acl U-RRHH external GrupoLDAP Usuarios_Pag_Gobierno
acl U-Twitter external GrupoLDAP Usuarios_Twitter
acl password proxy_auth REQUIRED
# R E G LAS D E AC C E S O
#http_access allow U-Serv sitiospermitidos
#http_access allow redlocal
##http_access allow U-ADMIN
#http_access allow U-Twitter twitter !youtube !facebook !messenger !sitiosbloqueados
##http_access allow U-MSN messenger !sitiosbloqueados-msn !youtube facebook !sitiosbloqueados !twitter
##http_access allow U-VIP !facebook !sitiosbloqueados !messenger !youtube !twitter
##http_access allow U-Descargas !facebook !sitiosbloqueados !messenger !youtube !twitter
##http_access allow U-Limitados !facebook !sitiosbloqueados !messenger !youtube !twitter
##http_access allow U-Especiales youtube !facebook !sitiosbloqueados !sitiosbloqueados-msn !messenger !twitter
##http_access allow U-Servidores !facebook !sitiosbloqueados !messenger !youtube !twitter
##http_access allow U-Autorizados !facebook !sitiosbloqueados !messenger !youtube !twitter
##http_access allow U-RRHH gobierno !facebook !sitioslibres !sitiosbloqueados !messenger !youtube !twitter !sitiosbloqueados-msn
##http_access deny U-Serv HORA_BLOQ
##http_access deny U-Bloqueados U-ADMIN
##http_access allow U-Serv !porno
http_access allow redlocal
coredump_dir /var/spool/squid3
# M I S C E LAN E O S
# Nombres de Maquinas
hosts_file /etc/hosts
# |D|E|L|A|Y| |P|O|O|L|
#acl day time 07:30-18:00 #Limitael ancho de banda durante el periodo especificado
#delay_pools 1
#delay_class 1 1
#delay_parameters 1 1000/1000
#delay_access 1 allow redlocal
#delay_access 1 deny all
Para que todas estas configuraciones funciones todas las llamadas a archivos externos deben ser
satisfechas segun su ruta.
ANEXOS
Tabla de subnet's postuladas para los CFS. Segun su sede Regional
Sede Distrito Capital Sudnet 10.127.0.0
C.F.S. Subnet de la LAN
23 de Enero 10.127.1.0
Caricuao 10.127.2.0
Banco Seguro 10.127.3.0
Centro Norte 10.127.4.0
Maracapana 10.127.5.0
Comercio 10.127.6.0
Industria 10.127.7.0
Textil 10.127.8.0
Polivalente 10.127.9.0
Categoris Admin Viip Autorizados Bloqueados Especiales Messenger Servidores Twitter
ads
Banking
Sports
Marketingware
Dialers
Naturismo
Sexualidad
Antispyware
Instantmessaging
Virusinfected
Frencheducation
Hacking
Sportnews
Manga
Artnudes
Porn
Pets/Mascotas
Religion
Mobile-phone
Cleaning
Medical
Homerepair
warez
shopping
Sect
Filehosting
Kidstimewasting
Games
Audio-video
Violence
Astrology
Personalfinance
Magazines
Government