Presentación

El presente es una recopilación de información sobre configuración básica de servidores tipo

PC con sistema operativo Suse Linux Enterprise Server. Puede servir como una guía paso a
paso para los estudiantes de asignaturas de redes, administración de servicios de red, entre
otras del mismo perfil.

A través de este material, se puede implementar una red, asumiendo que se ha instalado
previamente en el servidor, el sistema operativo Linux Suse Entreprise Server y que se tiene
un conocimiento previo sobre comandos de Linux, direccionamiento IP y cableado
estructurado.

Se ha tomado como referencia, un escenario, en el que contiene un servidor lLnux, una red
de área local con computadoras con sistema operativo Windows, con conexión alámbrica e
inalámbrica, y un proveedor de servicios de internet.

El contenido de este compendio, ha sido pilotado con estudiantes de los últimos años de
ingeniería electrónica, quienes lo han utilizado para la configuración del servidor, con
resultados altamente eficientes.

Espero sea de mucha ayuda…

Dr. Álvaro Noel Segovia Aguirre

Docente Titular Depto de Tecnología.
UNAN-Managua.
 ESTRUCTURA GENERAL DE LA RED.

La estructura de la red que se presenta en la figura 1.1, expresa con claridad la ubicación del
servidor y la conexión con el conmutador (o switch) y el enrutador. Corresponde a una red
sencilla sin subredes locales y todos los servicios instalados en un mismo servidor tipo PC.

Figura 1.1 Estructura general de la red

3
 Artículo I. 1. Descripción de la Red.

A continuación se detalla la conectividad de los equipos de la red a través de sus interfaces,

haciendo una breve descripción para cada uno de ellos.

1.1 El enrutador Linksys y sus Interfaces.

La figura 1.2a muestra los puertos LAN1 y WAN1 que son utilizados en el enrutador
Linksys. Las direcciones asignadas a cada puerto son las siguientes:

 LAN1: Dirección IP privada 10.10.10.1; conecta al enrutador con el servidor.

 WAN1: Dirección IP pública 209.124.105.226; conecta al enrutador con el Radio

MODEM y éste a una antena la cual se utiliza para el enlace con proveedor de
servicios de internet (ISP).

Figura 1.2a Especificación de las interfaces del Linksys

1.2 El servidor:

Utiliza dos tarjetas de red, eth0 y eth1. A través de eth1 (ip 10.10.10.2 /24) se conecta con el
enrutador para la conexión a internet y a través de eth0 (ip 192.168.0.1 /16) da servicio a
toda la red de área local sirviendo como puerta de enlace (Gateway) a la red interna.

Figura 1.2b Especificación de las interfaces del Servidor

1.3 El Switch: Es el dispositivo donde se conectan todos los clientes de la red de área local.

3
 2. SERVICIO DE NOMBRES DE DOMINIOS (DNS)

Para la configuración del DNS se deben configurar los siguientes archivos:

 /etc/hosts
 /etc/resolv.conf
 /etc/named.conf
 /var/lib/named/archivos de zona directa
 /var/lib/named/archivos de zona inversa

2.1 /etc/hosts, contiene la resolución del equipo servidor definido localmente usando
la dirección ip, el FQDN (nombre del servidor.dominio) y un Alias (nombre corto del
FQDN).

El contenido de /etc/hosts puede apreciarse en la figura 2.1.

192.168.0.1 ns1.tecnologia.edu.ni ns1

127.0.0.1 localhost

Figura 2.1 Contenido del archivo /etc/hosts

Como puede apreciarse la sintaxis de este archivo es:

Dirección ip FQDN Alias

2.2 /etc/resolv.conf: Para resolver los nombres de los servidores de internet.

Este archivo define varios parámetros y tiene la siguiente forma:

Domain tecnologia.edu.ni proveedor.com

Search tecnologia.edu.ni proveedor.com
nameserver 192.168.0.1
nameserver 209.124.105.226 #proveedor

Figura 2.2 Contenido del archivo /etc/resolv.conf

El parámetro domain indica el dominio al cual pertenece el “Host”, en este caso

tecnologia.edu.ni, mientras que el parámetro search es utilizado como un auxiliar
para la resolución de nombres. El parámetros nameserver, estos indican cuales son las
direcciones IP de los servidores DNS que deben ser utilizados.

3
2.3 /etc/named.conf

/etc/named.conf se puede dividir en dos áreas. Una es la sección “options” para

los ajustes generales, y la otra consiste en entradas de zonas “zone” para los dominios
individuales. Las líneas de comentario comienzan con el signo #. El archivo completo se
puede ver en la figura 2.3

# Copyright (c) 2001-2004 SuSE Linux AG, Nuernberg, Germany.

# All rights reserved.
#
# Author: Frank Bodammer, Lars Mueller <lmuelle@suse.de>
#
# /etc/named.conf
#
# This is a sample configuration file for the name server BIND 9. It
works as
# a caching only name server without modification.
#
# A sample configuration for setting up your own domain can be found in
# /usr/share/doc/packages/bind/sample-config.
#
# A description of all available options can be found in
# /usr/share/doc/packages/bind/misc/options.

options {

# The directory statement defines the name server's working

directory

directory "/var/lib/named";

# Write dump and statistics file to the log subdirectory. The

# pathenames are relative to the chroot jail.

dump-file "/var/log/named_dump.db";
statistics-file "/var/log/named.stats";

# The forwarders record contains a list of servers to which queries

# should be forwarded. Enable this line and modify the IP address
to
# your provider's name server. Up to three servers may be listed.

#forwarders { 192.0.2.1; 192.0.2.2; };

# Enable the next entry to prefer usage of the name server declared
in
# the forwarders section.

#forward first;

# The listen-on record contains a list of local network interfaces

to
# listen on. Optionally the port can be specified. Default is to
# listen on all interfaces found on your system. The default port
is
# 53.

listen-on port 53 { 127.0.0.1; };

3
 # The listen-on-v6 record enables or disables listening on IPv6
# interfaces. Allowed values are 'any' and 'none' or a list of
# addresses.

listen-on-v6 { any; };

# The next three statements may be needed if a firewall stands between

# the local server and the internet.

#query-source address * port 53;

#transfer-source * port 53;
#notify-source * port 53;

# The allow-query record contains a list of networks or IP addresses

# to accept and deny queries from. The default is to allow queries
# from all hosts.

allow-query { 192.168.0.1/16; 209.124.105.0/24; };

# If notify is set to yes (default), notify messages are sent to

other
# name servers when the the zone data is changed. Instead of
setting
# a global 'notify' statement in the 'options' section, a separate
# 'notify' can be added to each zone definition.

notify no;
};

# To configure named's logging remove the leading '#' characters of the

# following examples.
#logging {
# # Log queries to a file limited to a size of 100 MB.
# channel query_logging {
# file "/var/log/named_querylog"
# versions 3 size 100M;
# print-time yes; // timestamp log entries
# };
# category queries {
# query_logging;
# };
#
# # Or log this kind alternatively to syslog.
# channel syslog_queries {
# syslog user;
# severity info;
# };
# category queries { syslog_queries; };
#
# # Log general name server errors to syslog.
# channel syslog_errors {
# syslog user;
# severity error;
# };
# category default { syslog_errors; };
#
# # Don't log lame server messages.
# category lame-servers { null; };
#};

3
# The following zone definitions don't need any modification. The first
one
# is the definition of the root name servers. The second one defines
# localhost while the third defines the reverse lookup for localhost.

zone "." in {
type hint;
file "root.hint";
};

zone "localhost" in {
type master;
file "localhost.zone";
};
zone "0.0.127.in-addr.arpa" in {
type master;
file "127.0.0.zone";
};

zone “tecnologia.edu.ni” in {
type master;
file “db.tecnologia”;
};

zone “0.168.192.in-addr.arpa” in {
type master;
file “db.0.168.192”;

};
zone “proveedor.com” in {
type master;
file “db.proveedor”;
};
zone “105.124.209.in-addr.arpa” in {
type master;
file “db.105.124.209”;
};
};

# Include the meta include file generated by createNamedConfInclude. This

# includes all files as configured in NAMED_CONF_INCLUDE_FILES from
# /etc/sysconfig/named

include "/etc/named.conf.include";

# You can insert further zone records for your own domains below or create
# single files in /etc/named.d/ and add the file names to
# NAMED_CONF_INCLUDE_FILES.
# See /usr/share/doc/packages/bind/README.SUSE for more details.

Figura 2.3 Configuración del archivo /etc/named.conf

2.3.1 “options”:

La mayoría de las opciones están definidas por defecto y con una breve descripción de su
operación. A continuación se describen las opciones que fueron modificadas en el archivo:

3
allow-query { 192.168.0.1/16; 209.124.105.0/24; };

Especifica cuales hosts tienen permitido consultar el servidor de nombres, en este caso todos
los hosts de la red interna.

2.3.2 Zone.
La opción zone “ ” es considerada zona de dominio.

La zona es directa cuando se especifica el nombre del dominio por ejemplo:

zone “proveedor.com”

La zona es inversa cuando se especifican los primeros 3 octetos de la dirección ip en orden

inverso seguido del subdominio “.in-addr.arpa” por ejemplo:
zone “105.124.209.in-addr.arpa”

2.3.3 type y File;

Al especificar type master, significa que este servidor DNS contiene la información
principal sobre el dominio.

El parámetro file indica el nombre del archivo que contiene los parámetros específicos de
la Zona, este archivo es denominado Archivo de Zona y se encuentran en la ruta
/var/lib/named/

Nota: se debe comentar la línea include "/etc/named.conf.include";

2.4 Archivos de zonas en /var/lib/named:

“localhost.zone” “127.0.0.zone”
“db.tecnologia” “db.0.168.192”
“db.proveedor” “db.105.124.209”

En todos los archivos de zonas se encuentran algunos registros que definen los valores que
se pueden consultar, entre los más comunes:

IN (Internet) Es la clase que se aplica en Internet

A (Address): Dirección IP de un cliente
MX (Mail Xchange): Lista priorizada de dónde entregar el correo.
SOA (Start of Authority): Comienzo de los datos de la zona.
NS (Name Server): Indica un servidor de nombres.
PTR (Pointer): Alías para una dirección IP.
CNAME (Canonical Name): Nombre del dominio (alías)

2.4.1 Zonas Directas

A continuación se describen cada uno de los archivos de configuración para la resolución de
zonas directas.

Lo primero es copiar el archivo plantilla localhost.zone y guardarlo con el nombre del

archivo de zona directa a configurar, por ejemplo:

cp localhost.zone db.proveedor

3
En este archivo de zona sólo se incluye el servidor DNS (ns1) , servidor web y servidor de
correo (mail). El servidor dhcp y proxy no forman parte de esta zona.

1 $TTL 2D
2 @ IN SOA ns1 root.tecnologia.edu.ni. (
3 2008072441 ; serial
4 1D ; refresh
5 2H ; retry
6 1W ; expiry
7 2D ) ; minimum

8 IN NS ns1
9 IN MX 10 mail

10 IN A 209.124.105.226
11 ns1 IN A 209.124.105.226
14 web IN A 209.124.105.226
15 mail IN A 209.124.105.226

16 www IN CNAME web

Figura 2.5 Configuración del archivo de zona directa /var/lib/named/db.proveedor

A continuación se describe el archivo:

Línea 2: Aquí comienza la parte del registro de control SOA (Inicio de autoridad):

2. @ IN SOA ns1 root.proveedor.com.

 El símbolo @ corresponde al nombre de la zona de dominio especificada en el

archivos /etc/named.conf, en este caso @ es igual a proveedor.com

 El parámetro IN SOA define el servidor de nombres que actuará como principal en

esta zona. En este caso, el nombre se amplía de ns1 a ns1.proveedor.com ya
que no termina en punto.

 A continuación aparece la dirección de correo electrónico de la persona que se

encarga de este servidor de nombres. Como el símbolo @ ya tiene un significado
especial, se reemplaza por un punto. Por tanto, para root@proveedor.com se
debe escribir root.proveedor.com. Debe incluirse un punto al final para
impedir que la zona se añada.

 El paréntesis de apertura (incluye todas las líneas que se hayan en el registro SOA
hasta el paréntesis de cierre).

Línea 3: El número de serie (Serial) es un número al azar que debe aumentarse

después de cada modificación del archivo. El formato más común para indicarlo es mediante
una cifra de 10 dígitos formada por la fecha y el número de orden en la forma
AAAAMMDDNN.

3
3 2008072441 ; serial

Línea 8: IN NS especifica el servidor de nombres responsable de este dominio. En este caso

ns1.proveedor.com. El nombre del dominio se agrega automáticamente a ns1.

8 IN NS ns1

Línea 9: El registro MX indica el servidor de correo que acepta, procesa y remite los
mensajes de correo electrónico al dominio proveedor.com. En este ejemplo, se trata del
host mail.proveedor.com. El número situado delante del nombre del host se
corresponde con el valor de preferencia.

9 IN MX 10 mail

Líneas 10 a 15: A través del registro A (address o dirección ip) se utiliza para asignar la
dirección IP a los nombres de host. El dominio “proveedor.com” se añadirá a todos
ellos automáticamente.

El RR A (Addres) toma la forma:

10 IN A 209.124.105.226
11 ns1 IN A 209.124.105.226
14 web IN A 209.124.105.226
15 mail IN A 209.124.105.226

Figura 2.6 Uso de los registros IN A

Nota: La dirección IP 209.124.105.226 es la dirección IP pública asignada por el ISP. La red

10.10.10.0 es utilizada por el enrutador para el servidor a través de eth1.

Línea 16: En la figura 2.7 se puede observar que al utilizar el alias www se puede acceder al
servidor “web” (CNAME significa nombre canónico), es decir este registro enviará todas las
solicitudes de www.proveedor.com a web.proveedor.com.

16 www IN CNAME web

Figura 2.7 Uso del registro IN CNAME

3
 A continuación se muestra el archivo de configuración de zonas directa db.tecnologia. La
explicación de cada línea es similar a la del archivo anterior.

En este archivo de zona se incluye al servidor dhcp y proxy los cuales trabajan en la red
interna.

1 $TTL 2D
2 tecnologia.edu.ni. IN SOA ns1 root.tecnologia.edu.ni. (
3 2008072441 ; serial
4 1D ; refresh
5 2H ; retry
6 1W ; expiry
7 2D ) ; minimum

8 IN NS ns1
9 IN MX 10 mail

10 IN A 192.168.0.1
11 ns1 IN A 192.168.0.1
12 web IN A 192.168.0.1
13 mail IN A 192.168.0.1
14 dhcp IN A 192.168.0.1
15 proxy IN A 192.168.0.1

16 www IN CNAME web

Figura 2.8 Archivo /var/lib/named/db.tecnologia

2.4.2 Zona inversa .

Para la resolución inversa, solamente se copia el archivo 127.0.0.zone ubicado en

/var/lib/named y se le asigna el nombre del archivo de zona a configurar, en este caso
db.105.124.209 con la orden cp:

cp 127.0.0.zone 105.124.209.zone

A continuación se muestran los archivos de zona inversa:

1 $TTL 2D
2 @ IN SOA localhost. root.localhost. (
3 41 ; serial
4 1D ; refresh
5 2H ; retry
6 1W ; expiry
7 2D ) ; minimum

8 IN NS localhost.
9 IN PTR localhost.

3
 Figura 2.12a. Archivo 127.0.0.zone

Para la modificación, solamente se reemplaza la palabra localhost por el FQDN

(ns1.proveedor.com.).

1 $TTL 2D
2 @ IN SOA ns1.proveedor.com. root.proveedor.com. (
3 41 ; serial
4 1D ; refresh
5 2H ; retry
6 1W ; expiry
7 2D ) ; minimum

8 IN NS ns1.proveedor.com.

9 226 IN PTR ns1.proveedor.com.

10 226 IN PTR web.proveedor.com.
11 226 IN PTR mail.proveedor.com.

Figura 2.12b. Archivo de configuración /var/lib/named/db.105.124.209

Líneas 9 a 11: Al principio de la línea sólo se introduce el último octeto de la dirección IP

que es 226. El RR PTR es empleado para la resolución de dirección IP a nombres y es
utilizado en los archivos de zona para red.

9 226 IN PTR ns1.proveedor.com.

10 226 IN PTR web.proveedor.com.
11 226 IN PTR mail.proveedor.com.

A continuación se muestra el archivo de configuración de zona inversa interna:

1 $TTL 2D
2 @ IN SOA ns1.tecnologia.edu.ni.
root.tecnologia.edu.ni. (
3 2003072441 ; serial
4 1D ; refresh
5 2H ; retry
6 1W ; expiry
7 2D ) ; minimum

8 IN NS ns1.tecnologia.edu.ni.

9 1 IN PTR ns1.tecnologia.edu.ni.
10 1 IN PTR dhcp.tecnologia.edu.ni.
11 1 IN PTR proxy.tecnologia.edu.ni.
12 1 IN PTR web.tecnologia.edu.ni.
13 1 IN PTR mail.tecnologia.edu.ni.

14 2 IN PTR pc1.tecnologia.edu.ni.
15 3 IN PTR pc2.tecnologia.edu.ni.
16 4 IN PTR pc3.tecnologia.edu.ni.
17 5 IN PTR pc4.tecnologia.edu.ni.

3
 Figura 2.13 Archivo de configuración /var/lib/named/db.0.168.192

2.5 Inicio automático del DNS.

Para iniciar named es necesario activarlo en el editor de niveles de ejecución. Con el fin de
que siempre se inicie automáticamente al arrancar el sistema, se debe activar para los niveles
de ejecución 3, 4 y 5 en el editor de niveles de ejecución, esto es ejecutar:

linux:~ # chkconfig --level 345 named on

En los “Host” donde se esta ejecutando un “DNS Server” debe existir un proceso llamado
named, si se utiliza el comando ps –uax, se debe observar una línea con el parámetro
named, esto indica que el servidor DNS esta activo.

ps –aux | grep named

En caso de no estar activo, en todos los sistemas Unix existe un Script de arranque llamado
named que puede ser utilizado para arrancar el servidor DNS a través de la orden:

service named restart

2.6 Pruebas del DNS en el servidor.

BIND brinda tres herramientas para la prueba del servicio, dig, nslookup y host.
A continuación se muestran los ejemplos de cómo utilizarlas:

# nslookup tecnologia.edu.ni
# nslookup 192.168.0.1
# nslookup (cualquier IP de la red)
# dig tecnologia.edu.ni
# host -t MX tecnologia.edu.ni

3
 3. SERVIDOR WEB

El servidor web Apache2 ya viene preconfigurado por defecto en la versión de SLES 11.0,
por lo que solamente habrá que reiniciar el demonio apache2 para iniciar el servicio.

service apache2 restart

Una vez reiniciado apache, se debe utilizar el navegador web y escribir en la barra de
dirección:

http://www.tecnologia.edu.ni

Con lo cual mostrará la página de prueba que contiene apache en el directorio

/srv/www/htdocs/index.html

Si se desea que apache2 inicie de manera automática la próxima vez que inicie el sistema:

#chkconfig apache2 on

Lo anterior habilitará a apache2 en todos los niveles de corrida.

Apache esta preconfigurado por defecto. Se puede acceder directamente a la documentación

a través de la URL http://localhost/manual.

Se debe reiniciar el servidor web, a través del demonio apache2, utilizando el siguiente
comando:

# service apache2 restart

Identificación y resolución de problemas.

Cuando se presenta un problema, Apache muestra una página incorrectamente o no la

muestra en absoluto.

Algunos de los pasos a seguir son los siguientes:

En primer lugar consultar el registro de errores: puede que el problema pueda deducirse de
un mensaje de error allí presente. El archivo de registro de errores se encuentra en
/var/log/apache2/error_log.

Se recomienda seguir los archivos de registro en una consola mientras se accede al servidor
para ver cómo reacciona este en cada momento. Con este fin, ejecutar en una consola el
siguiente comando como root:

tail –f /var/log/apache2/error_log

3
También se puede utilizar el comando apache2ctl – t para revisar la sintaxis de
configuración.

4. SERVICIO DE CORREO ELECTRÓNICO

4.1 Instalación de ZIMBRA Colaboration Suite

Los pasos para la instalación de zimbra son sencillos y se describen a continuación:

Descomprimir el paquete donde viene el instalador de zimbra a través de la orden tar:

tar –xvzf zcs-6.0.2_GA_1912.SLES11_ 64.20091020140456.tgz

Una vez que el archivo se descomprime, se utiliza la terminal para entrar al directorio donde
se descomprimió y se ejecuta el instalador:

./install.sh

La instalación procede y se muestra todos los paquetes que se instalan de zimbra así como
los requerimientos de software necesarios. En caso de no encontrar un paquete del servidor,
se detiene la instalación y se procede a instalar el paquete solicitado.

Los paquetes se instalan presionando la tecla Y (si) o N (No) y luego entrar. Al momento de
instalar zimbra proxy, se presiona la tecla N (no) para evitar conflictos con el servidor Squid
y se prosigue con la instalación. (ver figura 4.1).

Figura 4.1 Instalación de paquetes

3
En el proceso se muestra si se desea continuar puesto que el programa será modificado, y se
debe presionar la tecla Y (si) como se muestra en la figura 4.1 anterior.

Por defecto zimbra no reconoce el registro MX asociado al servidor mail para resolverlo,
por lo tanto se debe poner solamente el nombre del dominio. (Ver figura 4.2)

Figura 4.2 DNS error

Si surge algún conflicto de puertos de servicio como el puerto 25 (postfix), u otro servicio,
se puede abrir otra terminal y detener estos, continuando con la instalación.

Service postfix stop

En el menú que se muestra a continuación, se observa la configuración de cada paquete de

zimbra. Se elige el número 3 para entrar a la configuración de ZIMBRA – store :

4.3 Menú de configuración

3
Dentro de zimbra –store existen varias opciones entre las cuales permiten cambiar la
contraseña de administrador (Admin), a la vez se cambia el puerto http de 80 a 8080 para
evitar conflictos futuros con el servidor web. En la siguiente figura 4.4 se muestra que las
opciones son 4 para el password y 10 para el puerto.

Figura 4.4: zimbra – store

El sistema indica que para regresar al menú principal se debe presionar la tecla "r", luego
con la tecla "a" se aplican todos los cambios. Cuando lo solicite el sistema, con la tecla "y"
se permite guardar la configuración finalizando la instalación de Zimbra.

Al finalizar la instalación se debe registrar como usuario ZIMBRA para ver si los servicios
están corriendo debidamente, en la terminal se ejecuta:

su - zimbra

Con el comando zmcontrol status se pueden ver los servicios si corren debidamente:

3
 Figura 4.5 Servicios de ZIMBRA corriendo correctamente

Si el caso fuera lo contrario y apareciera el error de que el Postfix no está corriendo, como
se muestra en la figura 4.6 a continuación.

Figura 4.6 Error de Postfix

Para corregir el error se debe proceder a bajar el Postfix del sistema con el comando:
service postfix stop

Luego se inician los módulos de zimbra con el comando zmcontrol start donde debe
aparecer resuelto el error y corriendo todos los servicios. Se finaliza con el comando exit.

Para entrar a la interfaz gráfica de zimbra como administrador se ingresa la siguiente línea
usando el protocolo https.

https://mail.tecnologia.edu.ni:7071/zimbraAdmin

Se deberá añadir una excepción del certificado de seguridad para que se pueda acceder a la
interfaz. El nombre del usuario es “Admin” y luego la contraseña definida anteriormente
durante el proceso de configuración.

3
Figura 4.7 Interfaz del Administrador

3
 5. SERVICIO DHCP

5.1 Configuración del servidor DHCP.

El archivo de configuración /etc/dhcpd.conf que se muestra en la figura 5.1 contiene

muchos casos de ejemplos de configuración del servidor DHCP, sin embargo para este caso
se selecciona uno de esos ejemplos y se adapta al rango de direcciones IP y al dominio,
borrando todos los demás ejemplos de configuración.

option routers 192.168.0.1;

option subnet-mask 255.255.0.0;
option domain-name-servers 192.168.0.1;
option domain-name-servers ns1.servidores.tecnologia.edu.ni;

shared-network 192.168.1.0 {
subnet 192.168.1.0 netmask 255.255.255.0 {
option broadcast-address 192.168.1.255;
pool {
default-lease-time 400;
max-lease-time 400;
range 192.168.1.100 192.168.1.200;
ddns-domainname "lab.tecnologia.edu.ni";
ddns-rev-domainname "1.168.192.in-
addr.arpa";
}
}
host lab1-1 {
option host-name “lab1-1.lab.tecnologia.edu.ni”
hardware ethernet 08:00:07:26:c0:a5;
fixed-address 192.168.1.1;
}
host lab1-2 {
option host-name “lab1-2.lab.tecnologia.edu.ni”
hardware ethernet 09:20:67:45:ca:d6;
fixed-address 192.168.1.2;
}
host lab1-3 {
option host-name “lab1-3.lab.tecnologia.edu.ni”
hardware ethernet 09:20:67:45:ca:d6;
fixed-address 192.168.1.3;
}

3
}

shared-network 192.168.2.0 {

subnet 192.168.2.0 netmask 255.255.255.0 {

option broadcast-address 192.168.2.255;
pool {
default-lease-time 400;
max-lease-time 400;
range 192.168.2.100 192.168.2.200;
ddns-domainname "wifi.tecnologia.edu.ni";
ddns-rev-domainname "2.168.192.in-
addr.arpa";
}

host wifi1 {
option host-name “wifi1.wifi.tecnologia.edu.ni”
hardware ethernet 08:00:07:26:c0:a5;
fixed-address 192.168.2.1;
}
host wifi2 {
option host-name “wifi2.wifi.tecnologia.edu.ni”
hardware ethernet 09:20:67:45:ca:d6;
fixed-address 192.168.2.2;
}
host wifi3 {
option host-name “wifi3.wifi.tecnologia.edu.ni”
hardware ethernet 09:20:67:45:ca:d6;
fixed-address 192.168.1.3;
}
}
shared-network 192.168.3.0 {
subnet 192.168.3.0 netmask 255.255.255.0 {
option broadcast-address 192.168.3.255;
pool {
default-lease-time 400;
max-lease-time 400;
range 192.168.3.100 192.168.3.200;
ddns-domainname "admon.tecnologia.edu.ni";
ddns-rev-domainname "3.168.192.in-
addr.arpa";
}
}

3
host admon1 {
option host-name “admon1.admon.tecnologia.edu.ni”
hardware ethernet 08:00:07:26:c0:a5;
fixed-address 192.168.3.1;
}
host admon2 {
option host-name “admon2.admon.tecnologia.edu.ni”
hardware ethernet 09:20:67:45:ca:d6;
fixed-address 192.168.3.2;
}
host admon3 {
option host-name “admon3.admon.tecnologia.edu.ni”
hardware ethernet 09:20:67:45:ca:d6;
fixed-address 192.168.3.3;
}
}

Figura 5.1 Archivo de configuración /etc/dhcpd.conf

La descripción de cada uno de los parámetros del archivo es la siguiente:

5.1.1 Parámetros globales.

option routers 192.168.0.1; Se define la puerta de enlace de la red.

option subnet-mask 255.255.255.0; Define la máscara de red.

option domain-name-servers 192.168.0.1; Se define la dirección del

servidor DNS de la red.

option domain-name-servers ns1.servidores.tecnologia.edu.ni;

Se define el nombre del servidor DNS de la red.

5.1.2 Parámetros no globales.

shared-network 192.168.3.0 Indica que la red 192.168.3.0 compartirá todos los

parámetros que se encuentren dentro de las llaves de agrupación.

subnet 192.168.3.0 netmask 255.255.255.0, Se define la máscara general de

red que se va a utilizar.

option broadcast-address 192.168.3.255; Define la dirección de difusión.

Pool Agrupa un conjunto de parámetros que son aplicados a cada uno de los host que
forman parte de la subred.

default-lease-time 400; Indica el tiempo de asignación en segundos de una

dirección IP.

3
max-lease-time 400; Indica el tiempo máximo de asignación en segundos. Este
parámetro se puede utilizar para evitar que los clientes tomen una dirección IP por tiempo
indefinido.

range 192.168.3.100 192.168.3.200; Establece el rango de direcciones que se

asignarán en la correspondiente subred.

ddns-domainname "wifi.tecnologia.edu.ni"; Indica el dominio en el que se

actualizan los DNS.

ddns-rev-domainname “3.168.192.in-addr.arpa”; Indica el

dominio inverso para la subred 192.168.3.0
Host wifi1; Nombre para asignar al host solicitado que se encuentre dentro de la subred.

option host-name “wifi1.wifi.tecnologia.edu.ni”; Comienza una

declaración de host con una serie de directivas para ese host.

hardware ethernet 08:00:07:26:c0:a5; Se utiliza para indicar el tipo de

hardware, Ethernet o token ring. Esta corresponde con la dirección MAC de la tarjeta de red.

fixed-address 192.168.3.1; Define la dirección estática para asignar a un host

5.2 Inicio automático de DHCP.

Para iniciar dhcpd es necesario activarlo en el editor de niveles de ejecución. Con el fin de
que siempre se inicie automáticamente al arrancar el sistema, se debe activar para los niveles
de ejecución 3 y 5 en el editor de niveles de ejecución, esto es ejecutar:

linux:~ # chkconfig --level 345 dhcpd on

linux:~ # service dhcpd start

5.3 Configuración de los clientes en Windows.

Para la configuración de los clientes en windows es necesario entrar en la configuración de

las propiedades de las conexiones de red y se habilita obtener una dirección ip
automáticamente, tal y como se muestra en la figura 3.3

3
 Figura 5.2 Configuración de los clientes en windows.

3.8 Comprobación de dhcp

El archivo /var/lib/dhcp/dhcpd.leases mantiene la lista de direcciones

asignadas, este archivo no debe modificarse manualmente, la información se almacena de
modo automático en la base de datos de asignación.

cat /var/lib/dhcp/db/dhcpd.leases

Este debe mostrar:

 Longitud de la asignación.
 A quién se ha asignado la dirección IP.
 Fechas iniciales y finales de la asignación.
 Dirección MAC de la tarjeta de interfaz de red utilizada para recuperar la asignación.
Artículo II. La hora es según GMT, no con la hora local.

6. SERVIDOR PROXY - SQUID

Opciones para Servidor Intermediario (Proxy).

3
Squid utiliza el archivo de configuración localizado en /etc/squid/squid.conf.
Existen un gran número de parámetros en este archivo, de los cuales se configuran los
siguientes:

 http_port
 caché_mem
 caché_dir
 cache_mgr
 Listas de control de acceso (acl)
 Reglas de control de acceso (http_access)
 httpd_accel_host
 httpd_accel_port
 httpd_accel_with_proxy

6.1 Parámetro http_port:

Los Puertos Registrados (rango desde 1024 hasta 49151) recomendados para Servidores
Intermediarios (Proxies) pueden ser el 3128 y 8080 a través de TCP. De modo predefinido
Squid utiliza el puerto 3128 para atender peticiones, sin embargo se puede especificar que lo
haga en cualquier otro puerto disponible como el 8080 o bien que lo haga en varios puertos
disponibles a la vez.

#
# You may specify multiple socket addresses on multiple
lines.
#
# Default: http_port 3128
http_port 3128
http_port 8080

Si se desea incrementar la seguridad, se puede vincular el servicio a una IP que solo se

pueda acceder desde la red local. En este caso el servidor utilizado posee una IP
192.168.0.1. Puede hacerse lo siguiente:

#
# You may specify multiple socket addresses on multiple
lines.
#
# Default: http_port 3128
http_port 192.168.0.1:3128
http_port 192.168.0.1:8080

6.2 Parámetro caché_mem.

El parámetro caché_mem establece la cantidad ideal de memoria para los objetos en

transito los cuales se almacenan en bloques de 4 kb. De modo predefinido se establecen 8
Mb, pero se puede especificar más memoria:

3
En este caso se establecen 64 MB como valor para este parámetro:
cache_mem 64 MB

6.3 Parámetro caché_dir: ¿Cuánto se desea almacenar de Internet en el disco duro?

Este parámetro se utiliza para establecer que tamaño se desea que tenga el caché en el disco
duro para Squid, es decir cuanto se desea almacenar de Internet en disco duro. De modo
predefinido Squid utiliza un caché de 100 MB, 16 directorios con 256 niveles cada uno.

cache_dir ufs /var/spool/squid 100 16 256

Se puede incrementar el tamaño del caché hasta donde lo desee el administrador. Mientras
más grande sea el caché, más objetos se almacenarán en éste y por lo tanto se utilizará
menos el ancho de banda. La siguiente línea establece un caché de 700 MB, 16 directorios y
256 niveles cada uno:

cache_dir ufs /var/spool/squid 700 16 256

6.4 Parámetro chache_mgr.

De modo predefinido, si algo ocurre con el caché, como por ejemplo que mueran los
procesos, se enviará un mensaje de aviso a la cuenta webmaster del servidor.

cache_mgr webmaster@tecnologia.edu.ni

6.5 Definición de Listas de Control de Acceso (ACL).

Las ACL sirven para definir a los usuarios por redes, listas negras, sitios denegados,
contenido que se puede bajar de internet etc.

Regularmente una lista de control de acceso se establece con la siguiente sintaxis:

acl [nombre de la lista] src [lo que compone a la lista]

Nuestra declaración de listas de control de acceso en archivo /etc/squid.conf es la

siguiente:

# Recommended minimum configuration:

acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl redlocal src 192.168.0.0/255.255.0.0
acl inocentes url_regex “/etc/squid/sitios-inocentes”
acl sitiosdenegados url_regex "/etc/squid/sitios-denegados"
acl listaextensiones urlpath_regex "/etc/squid/listaextensiones"
acl semana time MTWHF 08:00 – 21:00

A continuación una breve descripción de cada una de las ACL antes descritas:

 acl all src 0.0.0.0/0.0.0.0

3
Esta lista se denomina all, los números 0.0.0.0/0.0.0.0 representan todas las redes
con cualquier máscara de red, es decir Internet. Se hace esta declaración para referirse a
Internet.
 acl manager proto cache_object
 acl localhost src 127.0.0.1/255.255.255.255

Estas dos listas están configuradas por defecto en /etc/squid/squid.conf. La lista

llamada localhost, contiene la dirección 127.0.0.1 la cual representa la dirección local y
nativa de la tarjeta de red. Se hace esta declaración para referirse a la tarjeta de red.

 acl redlocal src 192.168.0.0/255.255.0.0

Si se desea establecer una lista de control de acceso que abarque a toda la red local, basta
definir la IP correspondiente a la red y la máscara de la subred. En este caso, se tiene una red
donde los clientes tienen direcciones IP 192.168.X.X con máscara de subred 255.255.0.0.

 acl inocentes url_regex "/etc/squid/sitios-inocentes"

Esta ACL hace referencia al archivo /etc/squid/sitios-inocentes el cual

contiene la lista de los dominios o palabras que se consideren apropiadas y que serán la
excepción de los sitios denegados.

 acl sitiosdenegados url_regex "/etc/squid/sitios-

denegados"

Esta ACL hace referencia al archivo /etc/squid/sitios-denegados el cual

contiene la lista de todos los sitios que no queremos que se accedan desde nuestra red,
también se pueden poner palabras o patrones. En SLES existen archivos que contienen miles
de sitios y direcciones los cuales se encuentran en la ruta
/var/lib/squidGuard/db/blacklist/, estos archivos son: domains, urls y
expression, se pueden agrupar en un solo archivo llamado sitios-denegados y
moverlo a la ruta /etc/squid/.

 acl listaextensiones urlpath_regex

"/etc/squid/listaextensiones"

Esta ACL hace referencia al archivo /etc/squid/listaextenciones para denegar o

permitir el acceso o descarga de ciertos tipos de extensiones de archivos.

Un Ejemplos del archivo /etc/squid/listaextenciones:

\.avi$ \.rpm$ \.ace$ \.rar$

\.mp4$ \.vob$ \.bat$ \.zip$
\.mp3$ \.wma$ \.exe$ \.rm$
\.mp4$ \.wmv$ \.lnk$ \.pps$
\.mpg$ \.wav$ \.pif$ \.ppt$

3
\.mpeg$ \.doc$ \.scr$ \.ra$
\.mov$ \.xls$ \.sys$ \.mbd$
\.ram$

 acl semana time MTWHF 08:00-21:00

Esta ACL consiste en denegar el acceso en horarios y días de la semana.

La sintaxis para crear ACL que definan horarios es la siguiente:

acl [nombre del horario] time [días de la semana] hh:mm-hh:mm

Los días de la semana se definen con letras, las cuales corresponden a la primera letra del
nombre en inglés, de modo que se utilizarán del siguiente modo:

 S Sunday - Domingo
 M Monday - Lune
 T Tuesday - Martes
 W Wednesday - Miércoles
 H Thursday - Jueves
 F Friday - Viernes
 A Saturday - Sábado

Esta regla define a la lista semana, la cual comprende un horario de 08:00 a 21:00 horas
desde el Lunes hasta el Viernes.

6.6 Reglas de Control de Acceso.

Estas definen si se permite o no el acceso hacia Squid. Se aplican a las Listas de Control de
Acceso. Deben colocarse en la sección de reglas de control de acceso definidas por el
administrador, es decir, a partir de donde se localiza la siguiente leyenda:

#
# INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS
#

La sintaxis básica es la siguiente:

http_access [deny o allow] [lista de control de acceso]

Para este caso la definición de las reglas de control de acceso se definen también en el
archivo /etc/squid.conf:

#
# INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS
#
http_access allow localhost
http_access allow semana redlocal inocentes !
sitiosdenegados !listaextensiones

3
http_access deny all

A continuación una breve descripción de las reglas antes descritas:

 http_access allow localhost

Permite el acceso total al localhost, es decir al mismo servidor.

 http_access allow redlocal

Permite el acceso a Squid a la Lista de Control de acceso denominada redlocal, la cual

está conformada por 192.168.0.0/255.255.0.0. Esto significa que cualquier cliente de las
subredes (192.16.0.1, 192.168.1.0, 192.168.2.0 y 192.168.3.0) podrá acceder a Squid.

 http_access allow semana redlocal

Se permite el acceso en el horario definido en la ACL denominada semana para las

entidades definidas en la ACL denominada redlocal.

 http_access allow semana redlocal inocentes

Se permite el acceso en el horario definido en la ACL semana a los clientes de la ACL

redlocal a todas las direcciones web que contiene la ACL inocentes.

 http_access allow semana redlocal inocentes !

sitiosdenegados

El símbolo de “!” deniega el acceso a la Lista de Control de Acceso denominada

sitiosdenegados.

La regla anterior permite el acceso a las Listas de Control de Acceso

redlocal e inocentes en el horario semana, pero le niega el acceso a todo lo
que coincida con lo especificado en la ACL denominada sitiosdenegados.

 http_access allow semana redlocal inocentes !

sitiosdenegados !listaextensiones

La regla anterior permite el acceso a las ACLs denominadas redlocal e inocentes

en el horario semana pero le niega el acceso a todo lo que coincida con lo especificado en
las ACL denominadas sitiosdenegados y listaextensiones.

6.7 Proxy Caché con aceleración.

Cuando un usuario hace petición hacia un objeto en Internet, este es almacenado en el caché
de Squid. Si otro usuario hace petición hacia el mismo objeto, y este no ha sufrido
modificación alguna desde que lo accedió el usuario anterior, Squid mostrará el que ya se
encuentra en el caché en lugar de volver a descargarlo desde Internet.

3
Esta función permite navegar rápidamente cuando los objetos ya están en el caché de Squid
y además optimiza enormemente la utilización del ancho de banda.

En la sección HTTPD ACCELERATOR OPTIONS deben agregarse los siguientes

parámetros:

httpd_accel_no_pmtu_disc on

6.8 Configuración del idioma de los mensajes de Squid.

Para poder hacer uso de las páginas de error traducidas al español, es necesario cambiar un
enlace simbólico localizado en /etc/squid/errors para que apunte hacia
/usr/share/squid/errors/Spanish en lugar de hacerlo hacia
/usr/share/squid/errors/English.

Se deben realizar los siguientes pasos:

 Eliminar primero el enlace simbólico actual:

rm –f /etc/squid/errors

 Colocar un nuevo enlace simbólico apuntando hacia el directorio con los archivos
correspondientes a los errores traducidos al español.

ln –s /usr/share/squid/errors/Spanish /etc/squid/errors

Nota: Este enlace simbólico debe verificarse, y regenerarse de ser necesario cada vez que
sea actualizado el Squid.

6.9 Inicio del servicio squid.

Una vez terminada la configuración, ejecutar el siguiente mandato para iniciar por primera
vez Squid:

#service squid start

Si se necesita reiniciar para probar cambios hechos en la configuración, utilizar lo siguiente:

#service squid restart

Si se desea que Squid inicie de manera automática la próxima vez que inicie el sistema:

#chkconfig squid on

Lo anterior habilitará a Squid en todos los niveles de corrida.

6.10 Depuración de errores.

3
Se puede realizar diagnóstico de problemas indicándole a Squid que vuelva a leer la
configuración, lo cual devolverá los errores que existan en el archivo
/etc/squid/squid.conf.

#/etc/init.d/squid reload

Cuando se trata de errores graves que no permiten iniciar el servicio, se puede examinar el
contenido del archivo /var/log/squid/squid.out con el comando less, more o
cualquier otro visor de texto.

#less /var/log/squid/squid.out

6.11 Configuración de los navegadores clientes y prueba del servidor.

Esta configuración exige que cada navegador esté configurado para utilizar el proxy. Hay
que indicarle al navegador que utilice como proxy el servidor que alberga Squid con la
dirección 192.168.0.1 y puerto 3128. Generalmente se accede a esta pantalla en las opciones
del navegador.

BIBLIOGRAFIA

 Referencias sobre acrónimos y glosario:

http://www.ati.es/novatica/glointv2.html>
http://www.cisco.com/univercd/cc/td/doc/cisintwk/ita/index.htm>
http://www.evar.com/voIP_glossary.html>
http://www.netspeak.com/tools/glossary.html>
http://webopedia.lycos.com/>

 Referencia sobre el sistema operativo Linux: www.linuxparatodos.com

 Repositorios de linux:
http://suse.inode.at/opensuse/distribution/versión/repo/oss/suse/i586/
ftp://suse.inode.at/opensuse/distribution/versión/repo/non-oss/suse/i586

 Paquete DHCP: ( www.isc.org.)

 Paquete IPROUTE ftp://ftp.inr.ac.ru/ip-routing