Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Paso 1:
Configurar las placas de red, eth0 (192.168.0.7/24), es la que
nos dar la salida a internet (ethX).
Configurar eth1 como red local (192.168.10.1/24), ser
nuestra red local (ethY).
Configurar las iptables para que trabaje como router.
#iptables F
#iptables t nat F
#modprobe iptable_nat
#echo 1 > /proc/sys/net/ip_forward
CentOS 6
#iptables t nat A POSTROUTING o ethX j SNAT --to M.Y.Z.W
CentOS 5
#iptables A POSTROUTING t nat s W.Z.Y.M o ethX
MASQUERADE
Paso 2:
Configurar las iptables para que el proxy funcione de manera
transparente.
Debemos redireccionar todo nuestro trfico LAN que ingresa
por la interfaz al proxy:
#iptables t nat A PREROUTING i ethY p tcp --dport 80 j
DNAT --to-destination M.Y.Z.W:3128
#iptables t nat A PREROUTING i ethY p tcp --dport 80 j
DNAT --to-destination M.Y.Z.W:8080
En Centos 6:
#setsebool P squid_use_tproxy 1
Paso 4:
Instalar squid y configurar el archivo squid.conf (ya lo tengo
configurado)
[FALL]
- Reiniciamos el squid:
#service squid restart
Ajustes en el Firewall
Es necesario abrir el muro cortafuegos el puerto 80 por TCP
(HTTP) para la red de rea local. Asumiremos que ya estn
abiertos los puertos correspondientes al resto de los servicios
involucrados, es decir los puertos 67 (bootps), 68 (bootpc) y
53 (domain) por TCP y UDP.
Shorwewall
Editaremos el archivo /etc/shorewall/rules:
gedit /etc/shorewall/rules
DEST
PROTO
net
net
net
net
loc
tcp
tcp
tcp
udp
8080
DEST
PORT
20,21,443
22
53
53
tcp
80
SOURCE
PORT(S)1
DEST
PROTO
net
net
net
net
loc
tcp
tcp
tcp
udp
8080
net:200.1.2.3
DEST
PORT
20,21,443
22
53
53
tcp
80
tcp
SOURCE
PORT(S)1
22
DEST
PROTO
net
net
net
net
loc
tcp
tcp
tcp
udp
8080
net:200.1.2.3
net:8.8.8.8
net:8.8.8.8
DEST
PORT
20,21,443
22
53
53
tcp
80
tcp
tcp
udp
SOURCE
PORT(S)1
22
53
53
DEST
PROTO
net
net
loc
tcp
tcp
8080
net:200.1.2.3
net:8.8.8.8
net:8.8.8.8
net:8.8.4.4
net:8.8.4.4
fw
tcp
DEST
PORT
20,21,80,443
22
tcp
80
tcp
tcp
udp
tcp
udp
80,8080
SOURCE
PORT(S)1
22
53
53
53
53
Servicio iptables
Asumiendo que Squid escucha peticiones en el puerto 8080 y
que la red de rea local corresponde a 172.16.1.0/28,
ejecutaremos lo siguiente para abrir los puertos 80/TCP (HTTP)
y 8080/TCP (webcache) del servidor y cerrar la salida desde la
red de rea local hacia los puertos 20 (ftp-data), 21 (ftp), 22
(ssh) y 443 (https) en el exterior:
iptables -A INPUT -s 172.16.1.0/28 -m state --state NEW \
-m tcp -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -s 172.16.1.0/28 -m state --state NEW \
-m tcp -p tcp --dport 8080 -j ACCEPT
iptables -A FORWARD -p tcp --dport 20:21 -j DROP
iptables -A FORWARD -p tcp --dport 22 -j DROP
iptables -A FORWARD -p tcp --dport 443 -j DROP
iptables -A FORWARD -p tcp --dport 53 -j DROP
iptables -A FORWARD -p udp --dport 53 -j DROP
INPUT -s 172.16.1.0/28
INPUT -s 172.16.1.0/28
FORWARD -p tcp --dport
FORWARD -p tcp --dport
FORWARD -p tcp --dport
FORWARD -p tcp --dport
FORWARD -p udp --dport
Procedimientos
Asumiremos que ya tenemos configurado el servidor proxycach con Squid, un servidor DHCP y un servidor DNS.
Debemos tener en cuenta de reemplazar los valores de este
ejemplo por los valores que correspondan a nuestra red de
rea local.
Resolucin del nombre de anfitrin
Editamos el archivo /etc/hosts:
gedit /etc/hosts
localhost.localdomain localhost
localhost6.localdomain6 localhost6
m20.alcancelibre.org.mx
m20
servidor.red-local.net servidor
wpad.red-local.net
wpad
IN
172.16.1.1
wget http://www.alcancelibre.org/linux/secrets/wpad.dat \
-O /var/www/wpad/wpad.dat
Configuracin de Apache
Generamos el archivo /etc/httpd/conf.d/wpad.conf:
gedit /etc/httpd/conf.d/wpad.conf
ip-forwarding off;
domain-name "red-local.net";
ntp-servers 0.pool.ntp.org, 1.pool.ntp.org, 2.pool.ntp.org, 3.pool.ntp.org;
wpad-url code 252 = text;
wpad-url "http://wpad.red-local.net/wpad.dat\n";
include "/etc/rndc.key";
zone localdomain. {
primary 127.0.0.1;
key rndc-key;
}
IN
IN
A
TXT
172.16.1.1
"service: wpad:!http://wpad.red-local.net:80/wpad.dat"
Comprobaciones
Si todo lo anterior concluy sin errores, slo resta verificar que
la configuracin de los anfitriones con Windows.
En internet explorer ingresamos a Opciones de Internet ->
Conexiones -> Configuraciones LAN y verificamos que est
habilitada la casilla Autodetectar Configuracin de Proxy. En
algunos casos es posible que se tenga que definir tambin el
URI
del
archivo
de
configuracin
(http://wpad.redlocal.net/wpad.dat)