Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Provincia de Crdoba
Direccin de Sistemas
Manual Ilustrativo
Webmin - Squid Firewall Servidor DHCP Delay Pools
web. Podemos acceder a dicha interfaz tanto desde un navegador en el servidor como desde
un equipo remoto. En ambos casos debemos abrir el navegador y dirigirnos a la siguiente direccin
web:
https://servicios.miescuela.local:10000
https://172.16.0.1:10000
Nota 1: se puede evitar la resolucin de nombre escribiendo la direccin de red.
Nota 2: note que se utiliza el protocolo HTTPS para una conexin segura.
Proxy Squid
La versin de Squid utilizada es la 2.7. Se omiten explicaciones que no tengan un fin prctico o
una posible implementacin para este grupo.
Qu es squid?
Squid es un Servidor Intermediario (Proxy) que tiene incorporado un sistema de cach. Un proxy
es una herramienta que acta de intermediario entre dos redes; en nuestro caso, entre Internet y nuestra
red local.
Si estas en el servidor pueden hacer clic sobre el icono de "Servicios" en el escritorio. Si estas
desde un equipo porttil y conectado a la red del colegio, debes: Abrir un navegador y en la barra
de direcciones escribir "servicios.miescuela.local:10000" (sin comillas). Das la orden de mostrar la
pgina y el navegador debera lanzar una advertencia, a la que respondes que ests de acuerdo y
decides continuar mostrando el contenido.
Dirigite al apartado Servidores y finalmente a Squid Servidor Proxy.
2.
Configuracin de Squid
Los archivos donde se encuentra toda la configuracin de Squid estn en la ruta /etc/squid En
la raz de este directorio encontramos el archivo de texto plano
configuracin de Squid.
squid.conf
que contiene la
Modos de trabajo
Proxy Transparente y Tradicional
Un proxy transparente combina un servidor proxy con NAT (Network Address Translation) de
manera que las conexiones son enrutadas dentro del proxy sin configuracin por parte del cliente, y
habitualmente sin que el propio cliente conozca de su existencia. Este es el tipo de proxy que utilizan los
proveedores de servicios de Internet (ISP). En un proxy tradicional cada equipo debe ser configurado
manualmente.
Servidores > Squid - Servidor Proxy > Configuracin del Redireccionamiento de Puertos
Teniendo en cuenta lo expuesto consideren que de no realizarse este redireccionamiento del
trfico hacia squid, este no podra cumplir con su trabajo. No se administrara la cach, tampoco se
filtraran URLs ni las dems restricciones que podramos aplicar usando nuestras ACLs.
Directiva en el <squid.config> que fija el modo de trabajo y el puerto (o puertos) donde escucha
las peticiones.
Cach Web
Se llama cach web a la cach que almacena documentos web (es decir, pginas, imgenes,
etctera) para reducir el ancho de banda consumido, la carga de los servidores y el retardo en la descarga.
Un cach web almacena copias de los documentos que pasan por l, de forma que subsiguientes
peticiones pueden ser respondidas por el propio cach, si se cumplen ciertas condiciones.
Antes de hacer el Backup del servidor borrar la cache. Para esto existe
una utilidad en Webmin en el apartado Servidor proxy Squid > Limpiar y reconstruir cache.
8 MB
cache_swap_low 90
cache_swap_high 95
Tamao mximo para los objetos a almacenar en la cache.
maximum_object_size 10240 MB
Paginas que contengan ciertos caracteres no deben almacenarse en cache.
cache_log /var/log/squid/cache.log
Directiva que indicar donde se guarda el log de registros
10
11
muestra mensajes de error, aunque no siempre es tan amable. Es aqu donde se hace difcil nuestra tarea.
Les dejamos algunos Tips, para prevenir problemas:
Restricciones Proxy
restricciones de acceso se apilan de tal manera que podemos ir
combinando las listas de control de acceso. Las restricciones lo que hacen es decir: tomamos una
lista (o sea una ALC) y todo lo que coincida (o no) con ella lo denegamos o lo
permitimos. A su vez se arma una lista de restricciones. Squid lee la lista de restricciones de arriba
hacia abajo aplicndolas. El orden es: primero permito y luego deniego.
Por otro lado, las
15
CDIGO HTML
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd">
<HTML>
<HEAD>
<META HTTP-EQUIV="Content-Type" CONTENT="text/html; charset=iso-8859-1">
<TITLE>Acceso Denegado</TITLE>
</HEAD>
<BODY bgcolor="#E6E6FA">
<font size="6" color="red" face="verdana">Acceso Denegado
<HR noshade size="1px">
<font size="2" color="black" face="verdana">
Mientras intentabas acceder a la siguiente URL: <A HREF="%U">%U</A><BR>
Si es necesario el profe puede solicitar al Adminitrador de la Red habilitar la navegacin en Internet para tu curso.<BR><BR>
<strong>Puedes navegar libremente en los siguientes sitios web:</strong><BR><BR>
<A HREF="http://www.conectarigualdad.gob.ar">Conectar Igualdad</A><BR>
<A HREF="http://www.exocampus.com">Exocampus</A><BR>
<A HREF="http://www.educared.org">Educared</A><BR>
<A HREF="http://www.anses.gob.ar">Anses</A><BR>
<A HREF="http://www.miescuela.local">Miescuela.local</A><BR>
<A HREF="http://www.englishexercises.org">English Exercises</A><BR>
<A HREF="http://translate.google.com">Google Traductor</A><BR>
<A HREF="http://www.wikipedia.org">Wikipedia</A><BR>
<A HREF="http://www.rae.es">Real Academia Espaola</A><BR>
16
En los recreos puedes navegar en Internet, para buscar informacin o para divertirte.<BR>
Pero recuerda que cuando toque el timbre debes apagar tu netbook y volver al aula ordenadamente.<BR><BR>
<HR noshade size="1px">
<strong>Recuerda que debes registrar tu equipo para que se active la garanta.
<A HREF="http://servicioswww.anses.gov.ar/conigreg/Pagina/menu_registracion.aspx">Registrar</A></strong>
<BR><BR><BR><BR>
<BR><BR><BR><BR>
</BODY>
</HTML>
17
CDIGO HTML
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd">
<HTML><HEAD><META HTTP-EQUIV="Content-Type" CONTENT="text/html; charset=iso-8859-1">
<TITLE>IPEM N 168 "DIEGO DE ROJAS"</TITLE>
<STYLE type="text/css"><!--BODY{background-color:#ffffff;font-family:verdana,sans-serif}PRE{font-family:sans-serif}--></STYLE>
</HEAD><BODY>
<H1> <IMG SRC="http://i717.photobucket.com/albums/ww173/prestonjjrtr/Smileys%20Holidays/Halloween/eyes_light.gif">
ACCESO DENEGADO <IMG SRC= "http://i164.photobucket.com/albums/u31/SlappyThePenguin/star-wars-smiley-5472.gif"> </H1>
<H2>El URL solicitado se encuentra bloqueado</H2>
<HR noshade size="1px">
<P>
Mientras se intentaba traer el URL:
<A HREF="%U">%U</A>
<P>
Ha ocurrido el siguiente problema:
<UL>
<LI>
<STRONG>
Acceso Denegado.
</STRONG>
<P>
Las reglas de control de acceso impiden que su petición sea
permitida en este momento. Contacte con el Administrador de Redes
si cree que esto es incorrecto.<BR>
<BR>
Tenga en cuenta que el acceso a REDES SOCIALES, tales como "Facebook", "Twitter" y "Google+", se encuentran restringidas para el
uso solamente en horarios de recreo:<BR>
<BR>
<STRONG>Horarios de Redes Sociales:</STRONG><BR>
<h4 ALIGN= "MIDDLE" >
<LI>09:20-09:30 - 1 RECREO TURNO MAANA<BR>
<LI>10:50-11:00 - 2 RECREO TURNO MAANA<BR>
<LI>12:20-12:30 - 3 RECREO TURNO MAANA<BR>
<LI>13:05-13:20 - HORARIO DE ALMUERZO<BR>
<LI>14:40-14:50 - 1 RECREO TURNO TARDE<BR>
<LI>16:10-16:20 - 2 RECREO TURNO TARDE<BR>
<LI>17:40-17:50 - 3 RECREO TURNO TARDE<BR>
</P>
</h4>
18
</UL>
<HR>
<H4 ALIGN="MIDDLE">
<table>
<tr>
<td>
<a href="mailto:NOESTANCIMPLICADODEBUSCAR@EUGENIO.COM"> <IMG SRC=
"http://img155.imageshack.us/img155/1903/diegocolor.jpg"ALIGN= "MIDDLE " ALT= "IPEM N 168 'Diego de Rojas'" WIDTH=80
HEIGTH=100> </a>
</td>
<td>
<a href="mailto:NoLesVoyADarMiMail@niapalo.com">Eugenio Regis</a> <BR>
Administrador de Redes <BR>
<a href="mailto:NOESTANCIMPLICADODEBUSCAR@EUGENIO.COM">IPEM N 168 "Diego de Rojas"</a> <BR>
Villa General Belgrano - Calamuchita<BR>
</td>
<td>
<a href="mailto:NoLesVoyADarMiMail@niapalo.com"> <IMG SRC=
"http://img854.imageshack.us/img854/1706/cartoonizer3.jpg"ALIGN= "MIDDLE " ALT= "Kuque" WIDTH=110 HEIGTH=100> </a>
</td>
</tr>
<tr>
<td colspan="3" align= "MIDDLE">
<table border>
<tr>
<td><a href="http://feibu.com/"> <IMG SRC=
"http://img408.imageshack.us/img408/2219/55771180.jpg"ALIGN= "MIDDLE " ALT= "FACEBOOK" WIDTH=80 HEIGTH=100> </a>
</td>
<td><a href="http://lawebdelpajarito.com/"> <IMG SRC=
"http://img812.imageshack.us/img812/8650/12973713.jpg"ALIGN= "MIDDLE " ALT= "TWITTER" WIDTH=80 HEIGTH=100> </a>
</td>
<td><a href="http://guglemas.com/"> <IMG SRC=
"http://img841.imageshack.us/img841/3484/92282004.png"ALIGN= "MIDDLE " ALT= "GOOGLE++" WIDTH=80 HEIGTH=100> </a>
</td>
</tr>
</table>
</td>
</tr>
</table>
</H4>
<HR>
IPTables
Es una herramientas que se construye sobre netfilter, el framework de alteracin de paquetes de
Linux 2.4.xy 2.6.x. Se trata de una modificacin importante de su predecesor, ipchains, y se utiliza para
controlar el filtrado de paquetes, traduccin de direcciones de red y manipulacin de paquetes.
La base de datos de netfilter puede ser alterada por la herramienta iptables. Cuando el equipo se
reinicia estas tablas se vacan. Al cargarse el ncleo nuevamente una rutina, a cargo de iptables, vuelve a
escribir las cadenas (o registros si se quiere) en las tablas. Esta es la estructura de la base de datos en
cuestin.
Tabla
Funcin
Filter
Filtrado
paquetes
Nat
Nombre de la Cadena
de FORWARD
20
INPUT
OUTPUT
Traduccin de PREROUTING
direcciones de
red
(Network
Address
Translation)
Mangle
Funcin de la cadena
POSTROUTING
OUTPUT
PREROUTING
POSTROUTING
OUTPUT
INPUT
FORWARD
21
22
De este algoritmo, solo nos interesa lo que suceda en la tabla Filter, el paso de un paquete por
esta tabla se describe en el siguiente diagrama.
Un paquete entra y es analizado. Si su destino es el propio servidor (o host local), se analizan las
reglas INPUT. Si el paquete no es descartado llega al proceso local de destino, es analizado y enviado para
ser escrutiniado por las reglas OUTPUT. En el caso de que el destino del paquete fuera otro host solo se
analizan las reglas FORWARD.
23
Como experiencia personal, les proponemos dos formas de trabajar. Una descargar este archivo
y trabajarlo desde otra aplicacin y luego de terminada la edicin, subirla al servidor con la seccin de
Cargas y Descargas. Y la otra forma seria usando directamente la herramienta Editar del aplet java.
Propuestas de configuracin
En este ltimo apartado recorreremos dos configuraciones analizando la sintaxis y explicando
que se pretendi hacer con cada lnea.
El primer ejemplo de archivo iptables.up.rules
# inicio de la lista de reglas de la cadena MAGLE
*mangle
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
COMMIT
# fin de la lista de reglas de la tabla MAGLE
# Estas definiciones estn intactas, tal cual como vienen tras la instalacin del SO.
# Noten que la poltica por defecto de cada una de las cadenas es Aceptar el paquete que no coincida con
ninguna de las reglas.
*filter
:FORWARD ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
# Descarto SSH que no sea de 172.16.0.10
24
COMMIT
*nat
:PREROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
-A POSTROUTING -o eth1 -j MASQUERADE
# redirecciona conexiones HTTP al Proxy Squid
-A PREROUTING -p tcp -m tcp -i eth0 --dport 80 -j REDIRECT --to-ports 3128
COMMIT
Bibliografa
http://www.netfilter.org/documentation/index.html
26
Servidores DHCP
El protocolo de configuracin dinmica de host (DHCP, Dynamic Host Configuration Protocol) es
un estndar IP diseado para simplificar la administracin de la configuracin de red de los hosts en una
red. Se implementa el uso de servidores para administrar la asignacin dinmica de configuraciones. Las
direcciones IP o tambin llamadas direcciones de Red, en rigor, se asignan a cada interfaz en cada nodo de
la red y debe ser nica. La direccin IP identifica al equipo host y la mscara de subred la subred a la que
pertenece. DHCP permite asignar dinmicamente una direccin IP a un cliente a partir de la base de datos
de direcciones IP del servidor DHCP de la red local. En las redes TCP/IP, DHCP reduce la complejidad y
cantidad de trabajo administrativo para volver a configurar los equipos.
/etc/dhcp3/dhcpd.conf.
27
28
En donde especificaremos el nombre que le daremos al nuevo equipo, en el ejemplo EugenioNB, cuya direccin de hardware escribimos separando de a pares con el signo : (dos puntos). Siguiendo
con la idea original si abrimos nuestro archivo de configuracin <dhcpd.conf> encontraremos lo explicado
en la siguiente seccin:
#Red Local - donde asignaremos el rango de las ips que tomaran cada uno de los hosts de nuestra red
host EugenioCel {
hardware ethernet ac:81:f3:1f:a6:b8;
fixed-address 172.16.8.84;
}
29
DELAY POOLS
Los Delays Pools son la alternativa que ofrece Squid para el control del ancho de banda (rate
limiting y traffic shaping); son una de las herramientas ms importantes que propone Squid. A pesar de
ello, estn poco documentadas y con frecuencia son mal empleadas.
El beneficio de estos radica en que controlan el ancho de banda, sin causar penalidades (retardo o
delay) sobre los objetos trados desde la cach. En lenguaje tcnico de Proxy, un CACH MISS es cuando el
objeto buscado NO se encuentra en la memoria cache y debe ser descargado desde un servidor remoto
en Internet, y es aqu donde actual los pooles de retardo. Contrario a lo anterior, un CACH HIT ocurre
cuando el objeto buscado SI es encontrado en esta memoria intermedia.
Internet
|
|
|
|~~~~~~|
|
|
| Pool |
/
/
\
/
/
\
/
/
\
Hosts
\
\
\
CLASE 2
Este es un Delay clase 1 con como mximo 256 Delay Pools clase 2 subordinados al primero. En
ingls tcnico un aggregate bucket y 256 individual buckets. En nuestra abstraccin un tanque principal y
256 tanques secundarios alimentados por el tanque principal. Con este Delay es posible controlar el canal
que usan 256 clientes. El tipo 2 permite definir un ancho de banda global y un lmite por cada usuario.
Este tipo te permite decir "hay un ancho de banda disponible de 1 Mbps de trfico desde Internet pero
cada usuario no puede usar ms de 64 kbps".
Ejemplo: delay_parameters 1 131072/131072 8192/8192
30
Internet
|
|
|
|~~~~~~|
|
|
| Pool |
/
/
\
\
/
/
\
\
/
/
\
\
|
| |
| |
| |
|
|~~~~~~| |~~~~~~| |~~~~~~| |~~~~~~|
|
| |
| |
| |
|
| Pool | | Pool | | Pool | | Pool |
Hosts
CLASE 3
Este es un Delay Pool clase 1 con 256 Delay Pools clase 2 y 65536 Delay Pools de clase 3
subordinados a este. En ingles tcnico un aggregate bucket, 256 network buckets, y 65536 individual
buckets. Est orientado para manejar la asignacin de ancho de banda en redes clase B.
El tipo 3 te permite definir un ancho de banda global, un lmite por cada subred, y un lmite por
cada usuario. Este tipo te permite decir "hay un ancho de banda disponible de 1 Mbps de trfico de
internet, pero cada subred no puede usar ms de 128kbps, y cada usuario individual no puede usar ms
de 64kbps".
Ejemplo: delay_parameters 1 131072/131072 16384/16384 8192/8192
Sintaxis
Convencin para expresar las propiedades de las Delay Pools en el archivo de configuracin
<squid.conf>
Primero definimos la cantidad de Pooles a utilizar delay_pools
la cantidad de Delay Pools a usar.
31
Ejemplo: delay_pools 3
delay_class N C
donde N es > 0 y representa el identificador y C representa la clase (puede ser 1, 2 o 3)
Ejemplos:
Directiva delay_access
Permite relacionar un pool con una ACL especfica y as asignar su uso a una determinada
condicin. Es similar a las reglas de acceso de Squid, y de la misma forma es necesario definir previamente
las ACls y los Pooles para luego definir si se permite o se deniega el acceso.
Ejemplo:
delay_parameters 1 131072/232144
32
Un Delay clase 1. Se usan mximo 1Mb/s de ancho de banda con rfagas de descarga de 2Mb. Solo
se limita el ancho de banda que usa en total sin importar cmo se distribuye el canal entre los clientes, lo
cual da la posibilidad a condiciones de competencia por el ancho de banda en todo momento.
Ejemplo:
33
34
Servidores > Squid - Servidor Proxy > Pools de retardo > Agregar Pool de Retardo
clase de pool: "1 -Agregar"
lmite agregado (para clases 1, 2 y 3) : 56kb /segundo, 100 kb mx.
Lmite individual (para las clases 2 y 3): Ilimitado
Lmite de red (para clase 3): Ilimitado
NOTA: DEBIDO A QUE EL WEBMIN HACE UNA MALA CONVERSIN DE LAS UNIDADES DE MEDIDA
RECOMENDAMOS PRIMERO HACERLAS MANUALMENTE Y EXPRESARLAS DIRECTAMENTE EN BYTES.
35
Servidores > Squid - Servidor Proxy > Pools de retardo > Agregar Pool de Retardo
Servidores > Squid - Servidor Proxy > Pools de retardo > Agregar Pool de Retardo
Finalmente hacemos clic en crear....
Servidores > Squid - Servidor Proxy > Pools de retardo > Agregar Pool de Retardo
Esta es la pgina resultante, pero no es todo...
36
37
38
40