TUTORIAL

Instalacin y configuracin de un servidor proxy

Docente: Ing. Jorge Jara

ESQUEMA DE CONEXIN FSICA

Se va a trabajar con el siguiente diagrama.

Proxy Server Clientes Proxy

192.168.200.11

192.168.200.10

192.168.yy.xx

Router

1. Instalar una segunda tarjeta de red (virtual) para la red privada en modo Host. Apague la mquina virtual de Linux. Seleccione VM --> Setting. Clic en el botn Add y luego en Siguiente. Seleccione Ethernet Adapter y haga clic en el botn siguiente. Seleccione Host-Only, y haga clic en el botn Finalizar. Esta tarjeta representa el acceso a la red privada. 2. Verificar el modo de trabajo de la tarjeta de red para la red publica. Iniciar la mquina virtual de Linux. Verificar que tenga configurada la tarjeta de red en modo NAT. Esta tarjeta representara el acceso a la red pblica.
CONFIGURACIN DEL PROTOCOLO TCP/IP EN EL SERVIDOR

1. Configurar el protocolo TCP/IP para cada una de las tarjetas de red del proxy en Linux.
Colocar los siguiente valores:

Valores

Proxy NIC Interna

Direccin IP Mascara de red Gateway DNS

192.168.200.10 255.255.255.0 -

La configuracin la puede realizar en el entorno grfico, o en los archivos de configuracin: #vi /etc/sysconfig/network-scripts/ifcfg-eth1

Reinicie el servicio network o reinicie la computadora.

Docente: Ing. Jorge Jara

INSTALACIN DEL SERVIDOR PROXY

2. Instale el servicio Squid. Verifique si est instalado el servicio squid: # rpm q a Si no est instalado, instale el servicio squid: # yum install squid

INICIALIZACION DEL SERVICIO 3. Verificar el estado del servicio squid

#service squid status

4. Activar el servicio squid:

# service squid start

5. Verificar que el puerto (3128) est activado:

# netstat a n | grep :3128

MONITOREANDO EL SERVICIO. 6. Mantener visualizado el contenido del archivo access.log:

# tail -f /var/log/squid/access.log Ms adelante visualizara su actividad, cuando se realice peticiones.

CONFIGURACION DEL CLIENTE PROXY. 7. Configure adecuadamente los parmetros TCP/IP en la computadora que ser el Cliente Proxy: Iniciar una mquina virtual de Windows XP Verificar que tenga configurada la tarjeta de red en modo Host-only. Colocar los valores que correspondan a la misma red del servidor Proxy: o Direccin IP : ____.____.____.____ o Mascar de subred : ____.____.____.____ Compruebe la conectividad de la computadora cliente con la tarjeta del Proxy de la red privada.
8. Configurar el navegador: Abra el navegador Seleccione, Men Herramientas Opciones de Internet pestaa Conexiones Botn Configuracin Lan [x] Servidor Proxy Direccin:[IP_SPROXY] Puerto:3128 9. En el cliente compruebe el acceso a www.yahoo.com , www.intel.com , www.google.com 10. En el servidor visualizar la ventana de monitoreo la actividad.

Docente: Ing. Jorge Jara

CONFIGURACION DEL SERVIDOR PROXY

11. Renombrar el archivo de configuracin para hacer una copia de respaldo.

# cp /etc/squid/squid.conf /etc/squid/squid.conf.bak

12. Configurar en el archivo squid.conf, el acceso de la red local.

# vi /etc/squid/squid.conf

#Puerto del proxy http_port 8080

#Directorio Cache cache_dir ufs /var/spool/squid 100 16 256

#Log cache_access_log /var/log/squid/access.log cache_log /var/log/squid/cache.log cache_store_log none

#IP del PROXY visible_hostname [ip_proxy]

####################### POLITICAS ############## # Declaracin de Listas de Acceso acl all src 0.0.0.0/0.0.0.0 acl redlocal src [RED]/[MASCARA]

# Definicin de Politicas http_access allow redlocal http_access deny all #################################################

Nota: [ip_proxy]: direccin IP del servidor Proxy.

Docente: Ing. Jorge Jara

[RED]/[MASCARA]: La direccin de red y su mscara la cual desea controlar o gestionar, en nuestro caso ser la red 10.0.0.0/255.0.0.0. CONFIGURACION DE POLITICAS.
13. Se realizara diversos casos, modificando la seccin de polticas del squid.conf. En cada caso planteado, los cambios que se realizan estn sombreados.

Aplicar los cambios con # service squid restart Para comprobar en cada caso cierre los navegadores de la computadora cliente.

Bloqueo del acceso a una computadora o grupo de computadoras.

14. Permitir el acceso a la red privada Configurar la poltica que permita el acceso a la red privada

acl all src 0.0.0.0/0.0.0.0 acl redlocal src [RED]/[MASCARA]

http_access allow redlocal http_access deny all

Comprobar si la computadora cliente puede acceder. Qu mensaje le muestra? ________________________________________________________________

15. Impedir el acceso a una computadora. Configurar la poltica que impida el acceso a una computadora.

acl all src 0.0.0.0/0.0.0.0 acl redlocal src [RED]/[MASCARA] acl PCBLOQUEADA src [IP_Cliente]

http_access deny PCBLOQUEADA http_access allow redlocal http_access deny all

Comprobar si la computadora cliente puede acceder. Qu mensaje le muestra? ________________________________________________________________

Docente: Ing. Jorge Jara

16. Verificar el archivo log de acceso. Visualizar el contenido del archivo /var/log/squid/access.log En este archivo puede verificar los mensajes enviados por el servicio Proxy. 17. Impedir el acceso a una relacin de computadoras. Generar archivo con la relacion de computadoras bloqueadas. # vi /etc/squid/listapcbloq IP_Cliente

Nota: Los datos se ingresan por cada lnea.

Configurar la poltica que impida el acceso a una relacin de computadoras.

acl all src 0.0.0.0/0.0.0.0 acl redlocal src [RED]/[MASCARA] acl LISTAPCBLOQ src /etc/squid/listapcbloq

http_access deny LISTAPCBLOQ http_access allow redlocal http_access deny all

Comprobar si la computadora cliente puede acceder.

18. Impedir el acceso a toda la red, excepto a una computadoras. Configurar la poltica respectiva.
acl all src 0.0.0.0/0.0.0.0 acl redlocal src [RED]/[MASCARA] acl PCAUTORIZADA src [IP_Cliente]

http_access allow PCAUTORIZADA http_access deny redlocal http_access deny all

Comprobar si la computadora cliente puede acceder. Probar cambiando la direccin IP de la computadora cliente. Retornar la direccin a su valor anterior la direccin IP de la computadora cliente.

Docente: Ing. Jorge Jara

Bloqueo del acceso a un dominio

19. Permitir a una computadora cliente el acceso solo a ciertos dominios. Configurar la poltica respectiva.
acl all src 0.0.0.0/0.0.0.0 acl redlocal src [RED]/[MASCARA] acl PC src [IP_Cliente] acl PCDOMAIN dstdomain .sunat.gob.pe .keymart.com

http_access deny PC !PCDOMAIN http_access allow redlocal http_access deny all

Comprobar si la computadora cliente puede acceder solo a los dominios indicados.

Controlando la descarga de archivos.

20. Bloquear descarga de cierto contenido. Generar archivo con la relacin de extensiones no permitidas: # vi /etc/squid/filtro
.mp3 .exe .zip

Configurar la poltica respectiva.

acl all src 0.0.0.0/0.0.0.0 acl redlocal src [RED]/[MASCARA] acl FILTRO url_regex i /etc/squid/filtro

http_access deny FILTRO http_access allow redlocal http_access deny all

Realice pruebas intentando descargar archivos de:

http://www.adobe.com/support/flashplayer/downloads.html

Docente: Ing. Jorge Jara

Controlando el acceso por tiempo.

21. Impedir el acceso a determinadas horas (tomar el horario del tutorial). Configurar la poltica respectiva.
acl all src 0.0.0.0/0.0.0.0 acl redlocl src [RED]/[MASCARA] acl HORARIO time 08:00-16:00

http_access deny HORARIO http_access allow redlocal http_access deny all

Comprobar si la computadora cliente puede acceder.

22. Configurar una poltica que deniegue el acceso a una PC, si es que no ingresa dentro un determinado horario.

Docente: Ing. Jorge Jara