7$5($65($/,=$'$6 3$626 1º Instalación del Sistema Operativo RED HAT LINUX 9 2º Instalación y configuración de los servicios: a) Apache. b) Correo electrónico SQUIRRELMAIL. c) SSH. d) FTP (con un usuario sin confinamiento). e) FireWall. f) Servidor PROXY SQUID. g) Sarg. h) Creación de grupos y cuotas de disco. i) Creacion de un script para crear usuarios. 352%/(0$6(1&2175$'26(1/$&21),*85$&,Ï1'(/5287(5 A causa de la "dudosa" calidad del modem-router con que contamos y las pocas opciones de configuración de que dispone, el dominio iesalandalus.org era perfectamente accedido por el "resto del mundo" pero era invisible a los equipos internos a la LAN, por lo que fue necesario configurar un servidor de nombres de dominio (DN)S en el servidor LINUX mediate los paquetes bind-9.2.1-16 y caching-nameserver-7.2-7, usando la direccion del servidor en lalan 192.168.1.200 como DNS para todos los equipos, se solucionó el problema satisfactoriamente.
&RQILJXUDFLyQEiVLFDVHUYLGRU3UR[\648,' El proxy squid para Linux, trabaja a nivel de aplicación y funciona como un Gateway o puerta de acceso, para todos los ordenadores de la red LAN que tienen acceso al Servidor donde se monta el Proxy. Squid es ideal para acelerar el acceso a www, y para controlar el acceso a sitios web (utilizando paquetes como squidguard). Entre otras cosas, Squid puede hacer Proxy y cache con los protocolos HTTP, FTP, GOPHER y WAIS, Proxy de SSL, cache transparente, WWCP, aceleración HTTP, cache de consultas DNS, entre otras cosas.,qvwdodflyq\frqiljxudflyq En nuestro caso hemos instalado el Proxy Squid en Red Hat 9, sobre una máquina servidora, que actúa como servidor y puerta de acceso a toda la Red LAN del departamento de Informática. Squid es un paquete que ya viene incluido en Red Hat 9. La instalación por defecto de squid es suficiente para cumplir su función de acceso a páginas web. De todas formas es conveniente realizar algunas modificaciones en el archivo squid.conf para que el funcionamiento sea efectivo. El archivo squid.conf es un archivo autocomentado, donde se descomentan las líneas que queremos modificar. Las líneas vienen comentadas según la configuración por defecto. Squid utiliza el fichero de configuración localizado en HWFVTXLGVTXLGFRQI Existen muchos parámetros que pueden ser configurados, en nuestro caso solamente configuraremos los básicos para el acceso a Internet y el control de acceso a url.
Los parámetros que configuraremos serán los siguientes: KWWSBSRUW Por defecto squid escucha en el puerto 3128, esto puede ser modificado para que escuche en cualquier otro puerto, o agregarle algún puerto adicional. En nuestro caso solamente será necesario utilizar el puerto por defecto. http_port 3128 FDFKHBPHP El parámetro cache_mem establece la cantidad ideal de memoria para lo siguiente: Objetos en tránsito. Objetos Hot. Objetos negativamente almacenados en el caché. Los datos de estos objetos se almacenan en bloques de 4 Kb. El parámetro cache_mem especifica un límite máximo en el tamaño total de bloques acomodados, donde los objetos en tránsito tiene mayor prioridad. Sin embargo los objetos +RW y aquellos negativamente almacenados en el caché podrán utilizar la memoria no utilizada hasta que esta sea requerida. Por defecto se establecen 8 MB. Puede especificarse una cantidad mayor si así se considera necesario, dependiendo esto de los hábitos de los usuarios o necesidades establecidas por el administrador. Si los servidores cuentan con más de 126 MB de memoria RAM podrá especificarse 16 MB de cache_mem, nosotros contamos con 1 GB de memoria RAM y hemos configurado la cache_mem a 16 MB aunque podríamos utilizar hasta 160 MB. #cache_mem 8 MB cache_mem 16 MB
FDFKHBGLU Este parámetro determina la cantidad de cache que se almacena en el disco duro, esto estará predeterminado, sobre todo, por el tamaño de disco duro o el espacio disponible para almacenar datos. Cuanto mayor sea la cache de disco más información se almacena y menos utilización tiene que hacer del ancho de banda de la conexión. Habrá que tener en cuenta si tenemos una diversidad muy alta en cuanto a los contenidos que se acceden en nuestra red LAN. En nuestro caso al ser un centro educativo los contenidos serán muy parecidos y casi siempre partirán de alguna página de búsqueda. Nosotros hemos decidido definir cache_dir a 500 MB por defecto viene a 100 MB. La línea que se modifica es la siguiente: cache_dir ufs /var/spool/squid/cache 500 16 256 Los números 16 y 256 significan que el directorio del cache contendrá 16 subdirectorios con 256 niveles cada uno. La ruta de acceso es donde se creará la estructura de cache y se guardará la información. Muy importante no exceder el tamaño de cache definido del tamaño de disco disponible, ya que de lo contrario de bloqueará el servicio. &RQWUROHVGHDFFHVR. Es necesario establecer /LVWDVGH&RQWUROGH$FFHVR que definan una red o bien ciertas maquinas en particular. A cada lista se le asignará una 5HJOD GH &RQWURO GH $FFHVR que permitirá o denegará el acceso a Squid. En nuestro caso hemos definido solamente dos listas de control de acceso (acl); una que define las IP s de las máquinas que tienen acceso al proxy, que para nosotros
son todas las máquina de nuestra LAN. La otra acl define que url o palabras contenidas en la url tendrán el acceso denegado. La primera acl se define de la siguiente manera: acl arealocal src 192.168.1.0/255.255.255.0 Donde arealocal es la etiqueta que define las direcciones IP de toda nuestra LAN con su correspondiente mascara de subred. La otra acl será: acl denegados url_regex "/etc/squid/denegados" donde la etiqueta denegados hace referencia a un archivo texto denegados, donde definiremos todas las url s o palabras de url que no queremos que los alumnos tengan acceso. Este archivo se escribe en texto plano escribiendo cada palabra en una línea. Por ejemplo: sex mp3 chat www.playboy.com con esto denegamos el acceso a todas las webs que contengan alguna de esas palabras en su url y a la web de playboy. Este archivo puede ser ampliado cuando se quiera, agregándole más líneas. Otras acl importantes son las que definen los puertos seguros, en nuestro caso hemos mantenido la configuración por defecto, agregándole los puertos SSL, y alguno que nosotros hemos creído conveniente. acl SSL_ports port 443 563 acl Safe_ports port 80 21 22 443 563 70 210 1025-4660 4673-6659 7006-65535 acl Safe_ports port 280 # http-mgmt acl Safe_ports port 488 # gss-http acl Safe_ports port 591 # filemaker acl Safe_ports port 777 # multiling http acl CONNECT method CONNECT
5HJODVGH&RQWUROGH$FFHVR Una vez definidas las listas de control de acceso, hay que definir las reglas de control de acceso. Estas reglas definen si se permite o no el acceso a Squid. Se aplican a las /LVWDVGH&RQWUROGH$FFHVR. En nuestro caso la configuración es la siguiente: #Default configuration (Configuración por defecto) http_access allow manager localhost http_access deny manager http_access deny!safe_ports http_access deny CONNECT!SSL_ports # # INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS # Nuestra configuración http_access deny denegados http_access allow localhost http_access allow arealocal http_access deny all Con esta configuración denegamos el acceso a todo lo de la etiqueta denegados y permitimos acceder a todo lo de la etiqueta arealocal. &DFKHFRQDFHOHUDFLyQ Cuando un usuario hace petición hacia un objeto en Internet, este es almacenado en el cache de Squid. Si otro usuario hace petición hacia el mismo objeto, y este no ha sufrido modificación alguna desde que lo accedió el usuario anterior, Squid mostrará el que ya se encuentra en el cache en lugar de volver a descargarlo desde Internet. Esta función permite navegar rápidamente cuando los objetos ya están en el cache de Squid y además optimiza enormemente la utilización del ancho de banda.
En la sección +773'$&&(/(5$725 237,216 deben habilitarse los siguientes parámetros: httpd_accel_host obelisco httpd_accel_port 0 httpd_accel_with_proxy on Donde obelisco es el nombre de nuestro servidor. Con esta configuración mínima ya es posible hacer funcionar el Proxy Squid, lo más importante de está configuración sería definir la lista de control de acceso de nuestra red de área local para que todos los equipos puedan utilizar el proxy. En los equipos bastaría con definir como puerta de acceso la dirección del servidor.