V-1. SERVICIO DE REPRESENTACIN DE DIRECCIONES PROXY SQUID 1.

. Mostrar al SQUID funcionando (es decir, permitiendo que un navegador en el cliente acceda a un sitio web en el servidor) y que los mensajes del Squid ante el bloqueo de sitios estn en espaol. 1.1. Se habilita otra tarjeta de red de en virtual vox 1.1.1. Adaptador 1 Corresponde a eth0 en CentOS

1.1.2. Adaptador 2 Corresponde a eth1 en CentOS (Como se va a conectar con el PC Real hacemos la conexin Solo Anfitrion)

Configuracin PROXY y NAT Erika Salazar

1.2. Configuracin Direcciones IP en los equipos. 1.2.1. Servidor WEB (Windows 2008 Server- Maquina Virtual)

1.2.2. Servidor CentOS (CentOS Maquina Virtual) Eth0 Eth1 DNS

Configuracin PROXY y NAT Erika Salazar

1.2.3. Cliente(Windows Vista PC Real) Hay que instalar APACHE

1.3. En el archivo /etc/squid/squid.conf se escriben las siguientes lneas

1.4. Para que los errores salgan en espaol en el archivo /etc/squid/squid.conf se escriben las siguientes lneas:

Configuracin PROXY y NAT Erika Salazar

1.5. Reiniciamos el servicio squid

1.6. Pruebas de Funcionamiento (en el Cliente) 1.6.1. Se configura en el Cliente el Proxy:

1.6.2. Se ingresa a una Pagina Web del Servidor Web (http//:www.unicomfa.com.co)

Configuracin PROXY y NAT Erika Salazar

2. Controles de Acceso: Configurar: 2.1. Direcciones IP: Utilizando un archivo que contenga la direccin IP de un equipo al que se tiene denegado el acceso y demostrar. 2.1.1. En el archivo /etc/squid/squid.conf se escriben las siguientes lneas (# es para los comentarios) #Regla para bloquear un dir IP acl bloquear_ip src '/etc/squid/listas/bloq_ip.txt' http_access deny bloquear_ip 2.1.2. En el archivo /etc/squid/bloq_ip.txt se escriben la siguiente lnea (Dir IP del Cliente) 192.168.2.20 2.1.3. Pruebas de Funcionamiento (en el Cliente) 2.1.4. Se ingresa a una Pagina Web del Servidor Web (http//:www.unicomfa.com.co)

2.2. Descarga de Tipos de Archivos: Utilizando un archivo que contenga las extensiones archivos que se tiene denegado descargar, colocar al menos 2 extensiones de archivo y demostrar. 2.2.1. En el archivo /etc/squid/squid.conf se escriben las siguientes lneas (# es para los comentarios) #Regla para bloquear descarga de archivos mp3 acl bloquear_ext urlpath_regex -i \.mp3$ \.zip$ http_access deny bloquear_ext 2.2.2. Se ingresa a una Pagina Web del Servidor Web (http//:adm.unicomfa.com.co:45000/mp3)

Configuracin PROXY y NAT Erika Salazar

2.2.3. Se descarga un archivo mp3

2.3. Dominios: Utilizando un archivo que contenga los dominios facebook.com y youtube.com, denegar el acceso y demostrar. 2.3.1. En el archivo /etc/squid/squid.conf se escriben las siguientes lneas (# es para los comentarios) #Regla para bloquear dominios facebook y youtube acl denyThis dstdomain '/etc/squid/listas/bloq_dominio.txt' http_access deny denyThis 2.3.2. En el archivo /etc/squid/bloq_ip.txt se escriben la siguiente lnea (Dir IP del Cliente) .facebook.com .youtube.com 2.3.3. Se ingresa a una Pagina Web del Servidor Web (http://www.facebook.com)

Configuracin PROXY y NAT Erika Salazar

2.4. Da y Hora: Que no se pueda tener servicio de Proxy el da y la hora en la que se hace la demostracin5. 2.4.1. En el archivo /etc/squid/squid.conf se escriben las siguientes lneas (# es para los comentarios) #Regla para bloquear en una hora determinada acl bloquear_fecha time HFA 17:30-19:00 2.4.2. Se ingresa a una Pagina Web del Servidor Web (http//:www.unicomfa.com.co)

3. AL FINAL EL OREDEN DE LAS ACL ES: #Regla para bloquear en una hora determinada acl bloquear_fecha time HFA 15:30-17:00 http_access deny bloquear_fecha #Regla para bloquear dominios facebook y youtube acl denyThis dstdomain '/etc/squid/listas/bloq_dominio.txt' http_access deny denyThis #Regla para bloquear descarga de archivos mp3 acl bloquear_ext urlpath_regex -i \.mp3$ \.zip$ http_access deny bloquear_ext #Regla para bloquear un dir IP acl bloquear_ip src '/etc/squid/listas/bloq_ip.txt' http_access deny bloquear_ip #Para darle acceso a la red del cliente acl net_erika src 192.168.2.0/24 http_access allow net_erika

Configuracin PROXY y NAT Erika Salazar

4. Autenticacin de Usuarios: Configurar al SQUID para que solicite que el cliente se autentique para poder darle servicio (usar cualquier forma de autenticacin). Para verificar, realizar acceso desde el navegador en el cliente al sitio web en el servidor, deber solicitarse user y password. 4.1.1. En una ventana de terminal se escriben las siguientes lneas: [root@localhost squid]# mkdir autenticacion [root@localhost squid]# cd autenticacion/ [root@localhost autenticacion]# touch claves [root@localhost autenticacion]# chmod 600 claves [root@localhost autenticacion]# chown squid.squid claves [root@localhost autenticacion]# htpasswd claves erika New password: admin123 Re-type new password: admin123 4.1.2. En el archivo /etc/squid/squid.conf se escriben las siguientes lneas donde: /usr/lib/squid/ncsa_auth corresponde a la localizacin de el programa para autenticar y /etc/squid/autenticacin/claves al archivo que contiene las cuentas y sus claves de acceso. auth_param basic program /usr/lib/squid/ncsa_auth /etc/squid/autenticacion/claves 4.1.3. En el archivo /etc/squid/squid.conf se escriben las siguientes lneas: acl password proxy_auth REQUIRED 4.1.4. En el archivo /etc/squid/squid.conf en la regla que se tenia antes al final se le agrega la palabra password(# es para los comentarios) #Para darle acceso a la red del cliente acl net_erika src 192.168.2.0/24 http_access allow net_erika password 5. AL FINAL EL OREDEN DE LAS ACL ES: #Regla para bloquear en una hora determinada acl bloquear_fecha time HFA 15:30-17:00 http_access deny bloquear_fecha #Regla para bloquear dominios facebook y youtube acl denyThis dstdomain '/etc/squid/listas/bloq_dominio.txt' http_access deny denyThis #Regla para bloquear descarga de archivos mp3 acl bloquear_ext urlpath_regex -i \.mp3$ \.zip$ http_access deny bloquear_ext #Regla para bloquear un dir IP acl bloquear_ip src '/etc/squid/listas/bloq_ip.txt' http_access deny bloquear_ip #Regla de autenticacion acl password proxy_auth REQUIRED #Para darle acceso a la red del cliente acl net_erika src 192.168.2.0/24 http_access allow net_erika password

Configuracin PROXY y NAT Erika Salazar

V-2. SERVICIO DE TRADUCCIN DE DIRECCIONES NAT IPTABLES 1. Poner en funcionamiento la capacidad de NAT para que desde un navegador en el cliente se acceda a un sitio web en el servidor. 1.1. Configuracin Direcciones IP en los equipos. 1.1.1. Servidor WEB (Windows 2008 Server- Maquina Virtual)

1.1.2. Servidor CentOS (CentOS Maquina Virtual) Eth0 Eth1 DNS

Configuracin PROXY y NAT Erika Salazar

1.1.3. Cliente(Windows Vista PC Real) Hay que instalar APACHE

1.2. En un terminal de CentOS se escriben las siguientes lneas: [root@localhost ~]# echo 1 >> /proc/sys/net/ipv4/ip_forward Verificar que este habilitado: EL archivo debe contener un nmero 1 [root@localhost ~]# cat /proc/sys/net/ipv4/ip_forward [root@localhost ~]#nano /etc/sysconfig/network Le agregamos la siguiente lnea:
GATEWAYDEV="eth0" Guardamos y abrimos otra consola: [root@localhost ~]#service network restart Habilitamos NAT en el Gateway [root@localhost ~]#iptables -P FORWARD ACCEPT [root@localhost ~]#iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE [root@localhost ~]#service iptables save En la linea que dice net.ipv4.ip_forward = 0 cambiamos la variable y ponemos el nmero 1 en vez del 0, de esta manera haremos cambios permanentes al sistema permitiendonos que cada vez que prendamos el computador automaticamente podamos utilizar los dems clientes sin ningn problema. [root@localhost ~]#nano /etc/sysctl.conf

1.3. Pruebas de Funcionamiento (en el Cliente) 1.3.1. Verificamos que el proxy este deshabilitado:

Configuracin PROXY y NAT Erika Salazar

1.3.2. Ingresamos a una Pagina Web del Servidor WEB (http:www.unicomfa.com.co)

2. Poner en funcionamiento un NAT Inverso, es decir, que con un navegador en el equipo servidor, se pueda acceder a un sitio web en el equipo cliente, obviamente conservando las mismas redes IP del punto 1 y teniendo que instalar un servidor web como apache en el equipo cliente. 2.1. Se verifica que la configuracin IP del punto anterior este configurada. 2.2. En una ventana de terminal de CentOS se escribe: [root@localhost ~]# iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to 192.168.2.20:80 [root@localhost ~]#service iptables save 2.3. Pruebas de Funcionamiento (en el Servidor Web)

Configuracin PROXY y NAT Erika Salazar

3. A travs de IPTABLES y SQUID configurar la capacidad de proxy transparente6. Para verificar, dado que al navegador ya no se le configura proxy, en el cliente debe solicitarse una URL incorrecta para hacer evidente al Proxy cuando responda con un mensaje de error, ante tal peticin errnea. 3.1. En una ventana de terminal de CentOS escribimos: [root@localhost ~]# nano /etc/squid/squid.conf Modificamos el parmetro http_port 3128 y debe quedar de la siguiente manera http_port 3128 transparent En una ventana de terminal de CentOS escribimos: [root@localhost ~]# service squid restart 3.2. Agregamos la regla de NAT para permitir que la RED 192.168.2.0, donde se encuentran los clientes que requieren acceder a Internet, recordar que la interfaz eth0 es la que se conecta a Internet al servidor que tiene algn servicio En una ventana de terminal de CentOS escribimos: [root@localhost ~]# iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE 3.3. Agregamos la regla de iptables donde redireccionamos todo el trafico que va al puerto 80 (navegacin web), al puerto 3128 que es el puerto del proxy, la interfaz eth1 es la que se conecta a la red de los clientes. En una ventana de terminal de CentOS escribimos: [root@localhost ~]# iptables -t nat -A PREROUTING -i eth1 -s 192.168.2.0/255.255.255.0 -p tcp --dport 80 -j REDIRECT --to-port 3128 [root@localhost ~]# service iptables save 3.4. Pruebas de Funcionamiento (en el Cliente) 3.4.1. Verificamos que el proxy este deshabilitado:

3.4.2. Ingresamos a una Pagina Web bloqueda por el proxy (http:www.facebook.com)

Configuracin PROXY y NAT Erika Salazar