SERVICIO PROXY EN GNU/LINUX CENTOS 7.

ACTIVIDAD 1: CONFIGURACIÓN DE PROXY SQUID EN GNU/LINUX

PASOS
1. Crear un Servidor GNU/LINUX. En una Máquina Virtual (Virtual Box / VMware Work Station) deberá instalar el
Servidor GNU/LINUX Centos 7.0, con 2 interfaces de red WAN y LAN. (Puede reutilizar el Servidor creado en
Laboratorio de la Sesión 07).

 Puede consultar la guía de instalación de Centos 7 en el aula virtual, o visualizar los siguientes videos:
https://www.youtube.com/watch?v=KDyk7qoRm8g
https://www.youtube.com/watch?v=OlezI6z59vk
 Podrá descargar el ISO del GNU/LINUX Centos 7.0 del siguiente link:
https://mirror.megalink.com/centos/7.9.2009/isos/x86_64/CentOS-7-x86_64-DVD-2207-02.iso

2. Configuramos el Direccionamiento IP como se detalla:

Interfaz WAN
Se deberá elegir una Dirección IP de la Red que tenga acceso a Internet (Red de Laboratorio o Red de Casa). En este
ejemplo, con el comando “ipconfig”, validar en el host del Hypervisor (PC Laboratorio o PC / Laptop en casa) cual es
la red que tiene acceso a internet (para este ejemplo es la red 192.168.101.0/24), luego asignaremos la IPv4
192.168.101.205/24. (Usted debe asignar una IP disponible dentro de la red que tenga acceso a internet).

Para configurar los parámetros del Direccionamiento IP de la Interfaz WAN deberá realizar los siguientes pasos:

2.1 En la parte superior derecha, seleccionar el icono de “apagar”, luego al icono de “herramientas” (configuración),
tal como se muestra en la imagen:

2.2 En la ventana emergente de “Configuración”, seleccionar la opción de “Red”. Luego seleccionar el botón del
“engranaje” en el campo de Ethernet (ens33), tal como se muestra en la imagen:
2.3 En la ventana emergente “Cableada”, seleccionar la pestaña IPv4, luego elegir la opción “Manual”, luego
ingresar los parámetros del Direccionamiento IP de la Interfaz WAN (Usted debe asignar para la Interfaz WAN,
una IP disponible dentro de la red que tenga acceso a internet. En este ejemplo asignamos la IP
192.168.101.205), tal como se muestra en la imagen.

2.4 Abrir una terminal (consola CLI) en el servidor GNU/Linux mediante la siguiente ruta Aplicaciones >
Herramientas del sistema > Terminal. Luego loguearse como usuario con privilegio de administrador.

2.5 Luego verificamos si los parámetros configurados del Direccionamiento IP se han reflejado en la Interfaz WAN,
pero primero reiniciaremos el servicio de red mediante el comando “service network restart”. Seguidamente
ingresamos el comando “ifconfig”.
Interfaz LAN
Para la Interfaz LAN, deberá ingresar una Dirección IP de la Red que tenga acceso al entono LAN Virtualizado (Red de
virtualización de Virtual Box o VMware/WS). Asignaremos para la IPv4 172.30.30.1 /24.
Para configurar los parámetros del Direccionamiento IP de la Interfaz LAN deberá realizar los siguientes pasos:

2.6 Realizar lo indicado en los pasos 2.1 y 2.2. Luego seleccionar el botón del “engranaje” en el campo de Ethernet
(ens34), tal como se muestra en la imagen:

2.7 En la ventana emergente “Cableada”, seleccionar la pestaña IPv4, luego elegir la opción “Manual”, luego
ingresar los parámetros del Direccionamiento IP de la Interfaz LAN, tal como se muestra en la imagen.

2.8 Realizar lo indicado en los pasos 2.4 y 2.5. Para verificar si los parámetros configurados del Direccionamiento IP
se han reflejado en la Interfaz LAN, ingresamos el comando “ifconfig”.
3. Asignamos como nombre SRV01 al servidor, mediante el comando “hostnamectl set-hostname
srv01.mype.com.pe”. Verificamos el cambio de nombre con el comando “hostnamectl”

4. Actualizamos el Kernel del Centos 7, mediante el comando “yum -y update kernel”

5. Habilite en este servidor el servicio DNS-Bind en el servidor CentOS 7 creado en el Laboratorio de la Sesión 7. El
Servidor DNS se utilizará más adelante.

6. Ahora habilitaremos el servicio Proxy, para ello primero instalaremos los paquetes necesarios de SQUID, mediante
el comando “yum install -y squid”

7. En el Firewall del Sistema Operativo GNU/LINUX, asignaremos la Interfaz WAN a la Zona Public y a la Interfaz LAN a
la Zona Trusted, mediante los comandos:

“firewall-cmd --zone=public --change-interface=ens33 --permanent”

“firewall-cmd --zone=trusted --change-interface=ens34 --permanent”
Tal como se muestra en la siguiente imagen:
8. Ahora habilitaremos los puertos 3128 (TCP) con los que funciona el SQUID en el Firewall del Sistema Operativo
GNU/LINUX, mediante los siguientes comandos:

“firewall-cmd --zone=trusted --permanent --add-port=3128/tcp”

“firewall-cmd --zone=trusted --permanent --add-service=squid”
“firewall-cmd --reload”

Tal como se muestra en la siguiente imagen:

9. Verificamos que las configuraciones realizadas en los pasos 7 y 8 estén habilitadas, mediante el comando “firewall-
cmd --list-all-zones”

10. Ahora configuramos SELINUX a modo “Permissive” permanentemente. Para ello, edite el fichero config mediante el
comando “vim /etc/selinux/config”. Coloque SELINUX=permissive, tal como se muestra en la siguiente imagen:
11. Procedemos a habilitar y verificar el estado del Servicio Proxy en el servidor, mediante los siguientes comandos:

“systemctl start squid”

“systemctl enable squid”
“systemctl status squid”

12. Ya tenemos nuestro servicio Proxy instalado, solo nos quedaría proceder a la configuración del fichero squid.conf,
pero antes le haremos una copia de backup que lo llamaremos squid.conf.backup, mediante el comando "cp -R
/etc/squid/squid.conf /etc/squid/squid.conf.backup”

13. Tras la instalación de SQUID, podemos comprobar que se han creado diferentes directorios y ficheros. El
subdirectorio squid (dentro del directorio /etc). Podemos acceder al subdirectorio squid mediante el comando "cd
/etc/squid". Luego para visualizar su contenido utilizaremos el comando "ls", tal como se muestra la imagen.
14. Podemos ver dentro del subdirectorio squid se encuentra el fichero de configuración del servicio squid.conf.
Podemos ver el contenido del fichero de configuración squid.conf, mediante el comando “cat
/etc/squid/squid.conf”, tal como se muestra en la imagen:

15. Editamos en la configuración del fichero de configuración squid.conf, la Dirección IP de la interfaz de red 172.30.30.1
y el puerto 3128, por las que el Servidor Proxy recibirá las solicitudes de los clientes. Para ello modificamos la línea
59, mediante el comando “vim /etc/squid/squid.conf”, tal como se muestra en las siguientes imágenes:

CONTROLES DE ACCESO

Para poder controlar el tráfico de los clientes hacia Internet, es necesario establecer Listas de Control de Acceso que
definan una red o bien ciertos anfitriones en particular. A cada lista se le asignará una Regla de Control de Acceso
que permitirá o denegará el acceso a Squid.
16. De modo predeterminado en CentOS 7, Squid habilita una lista de control de acceso que incluye a todas las redes
locales, definidas en el RFC1918. Es decir, permite el acceso a 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16, fc00::/7 y
fe80::/10. Para mejorar la seguridad, todo lo anterior debe ser deshabilitado colocando el caracter "#" al inicio de
cada línea (comentar las líneas 8,9,10,11 y 12) en el fichero de configuración squid.conf, tal como se muestra en las
siguientes imágenes:

17. Para que el servicio Proxy de CentOS 7 permita pasar el tráfico, debemos crear una lista de control de acceso y
permitir dicha lista. Empezaremos definiendo en el fichero de configuración squid.conf, una nueva lista de control
de acceso para nuestra red local que denominaremos "mi-red-local". Si se desea establecer una lista de control de
acceso que abarque a toda la red local, basta definir la dirección de red y la máscara de red. En nuestro caso tenemos
una red LAN donde los hosts tienen direcciones del segmento IP 172.30.30.0/24. Todo lo anterior lo habilitaremos
agregando la línea 13 de configuración "acl mi-red-local src 172.30.30.0/24" al fichero de configuración squid.conf,
tal como se muestra en la siguiente imagen:

18. Una Regla de Control de Acceso define si se permite o deniega acceso hacia Squid. Se aplican a las Listas de Control
de Acceso. Deben colocarse en la sección de reglas de control de acceso definidas por el administrador. En nuestro
caso deshabilitaremos las reglas de control de acceso que vienen por defecto y habilitaremos una regla de control
de acceso aplicada a la Lista de control de acceso "mi-red-local" (creado en el paso anterior), por tanto, agregaremos
la línea 54 “http_access allow mi-red-local" al fichero de configuración squid.conf, tal como se muestra en la
siguiente imagen:
 BLOQUEO DE SITIOS Y PATRONES
19. Crearemos unos archivos que contendrán las listas de acceso o restricción a sitios, en nuestro caso crearemos dichos
archivos dentro del subdirectorio /etc/squid/listas, pero primero crearemos la carpeta listas, mediante el comando
"mkdir /etc/squid/listas", tal como se muestra en la siguiente imagen:

20. Luego crearemos un archivo llamado dominios-restringidos dentro del subdirectorio /etc/squid/listas, que
contendrán la lista de las URLs a las cuales no se les permitirá acceso, mediante el comando "vim
/etc/squid/listas/dominios-restringidos", tal como se muestra en la siguiente imagen:

21. Ahora crearemos otro archivo llamado patrones-restringidos dentro del subdirectorio /etc/squid/listas, que
contendrán cadenas de texto, que cuando aparezcan en una dirección de internet o URL, será automáticamente
bloqueado el acceso a dicho sitio, mediante el comando "vim /etc/squid/listas/patrones-restringidos", tal como se
muestra en la siguiente imagen:
22. Ahora debemos incluir los archivos creados en los pasos 20 y 21 en el archivo de configuración squid.conf, mediante
2 nuevas listas de control de acceso que denominaremos "dominios-restringidos" y "patrones-restringidos"; por
tanto, agregaremos la línea 26 y 27 acl dominios-restringidos dstdomain "/etc/squid/listas/dominios-restringidos"
y acl patrones-restringidos url_regex "/etc/squid/listas/patrones-restringidos", al fichero de configuración
squid.conf, tal como se muestra en la siguiente imagen:

Nótese que:
 El archivo "/etc/squid/listas/dominios-restringidos" se está definiendo como dominios de destino (dstdomain).
 El archivo "/etc/squid/listas/patrones-restringidos" se está definiendo como urls de rechazo (url_regex).

23. Luego habilitaremos 2 nuevas reglas de control de acceso aplicadas a las 2 Listas de control de acceso (creadas en
el paso anterior), por tanto, editaremos las líneas 51 y 52 “http_access deny dominios-restringidos" y “http_access
deny patrones-restringidas” en el fichero de configuración squid.conf, tal como se muestra en la siguiente imagen:

24.

Nótese que: En caso de que dentro del archivo de configuración squid.conf esté descomentada la opción "http_acces
deny all"(línea 56), es necesario comentarla, de lo contrario nos impedirá el acceso a cualquier página.
25. Verificamos que las configuraciones de Squid Proxy estén correctas, mediante el comando "squid -k parse", tal como
se muestra en la siguiente imagen:

26. Procedemos a reiniciar y verificar el estado del Servicio Proxy en el servidor, mediante los siguientes
comandos “systemctl restart squid” y “systemctl status squid”, tal como se muestra en la siguiente imagen:
27. Ahora probaremos la conectividad y el correcto funcionamiento del servido Proxy a través de un navegador web del
cliente (Terminal Windows 8/10 PRO). Previamente configuramos el navegador la opción de búsqueda a través de
un Proxy, tal como se muestra en las siguientes imágenes:
28. Los registros de acceso al Squid Proxy se encuentran en el archivo de registro predeterminado ubicado en
/var/log/squid/access.log. Para ver los registros en tiempo real, y validar las conexiones hacia el Proxy, utilizaremos
el siguiente comando "tail -f /var/log/squid/access.log" tal como se muestra en la siguiente imagen:
ACTIVIDAD 2: Configuración básica de Proxy SQUID

Instalación y configuración de SQUID

 Habilitar el Servidor CentOS 7 con 2 interfaces de red:

LAN (172.16.25.1/24).
WAN (Usted debe asignar una IP disponible dentro de la red que tenga acceso a internet).
 Habilitar el servicio de Proxy SQUID en el servidor en el servidor GNU/Linux Centos 7.
Dirección IP: 172.16.25.1
Puerto: 8080
Nombre de host: srv01.mycompany.local
 Habilitar el Servicio DNS-Bind en este servidor CentOS 7 (similar al creado en el Laboratorio de la
Sesión 7)
 Configure la fecha y hora en el servidor.
 Crear 3 Grupos de Direcciones IPs que asignaran a 3 áreas respectivamente (ver Tabla1).

Tabla 1
 Crear 2 Listas de páginas web (ver Tabla 2).

Redes Sociales Gubernamentales

Facebook Sunat
Youtube Essalud
Instagram Sunarp
TikTok Infocorp
LinkedIn Reniec
Twitter Policía Nacional Perú
Pinterest Minsa
Tabla 2
 Crear las reglas de control de acceso y Listas de control de acceso necesarias, para configurar
los permisos según la Tabla 3.

Tabla 3

 En una terminal Windows 8/10 PRO configure su Direccionamiento IP dentro del rango del Grupo
IPs-Marketing, y verifique lo accesos haciendo uso de un navegador. Verifique el acceso también
en el servidor mediante el comando “tail -f /var/log/squid/access.log”.
 En la misma terminal Windows 8/10 PRO cambie su Direccionamiento IP dentro del rango del
Grupo IPs-RRHH, y verifique lo accesos haciendo uso de un navegador. Verifique el acceso
también en el servidor mediante el comando “tail -f /var/log/squid/access.log”.
 En la misma terminal Windows 8/10 PRO cambie su Direccionamiento IP dentro del rango del
Grupo IPs-Gerencia, y verifique lo accesos haciendo uso de un navegador. Verifique el acceso
también en el servidor mediante el comando “tail -f /var/log/squid/access.log”.
 Realizar el pantallazo Paso a Paso, con una breve descripción, tal como la Actividad 1.
 Subir al aula virtual (blackboard) en el plazo establecido.