You are on page 1of 23

INSTITUTO NACIONAL DE CAPACITACIÓN Y EDUCACION SOCIALISTA

GERENCIA GENERAL DE INFORMATICA
DIVISION DE SERVIDORES

Manual de instalación de Servidor seguridad y enlace para los CFS de las
Regiones, con los servicios de Dhcp, Proxy Squid3, Vpn y Firewall.

TUNFIRE

Autores:
Br. Jhonny Garzon
Br. Jesús Alpino
Asesores técnicos:
Noel Garcia
Rafael Martines
Primera entrega: Caracas, 1 de Noviembre de 2011
Segunda entrega: Caracas, 8 de Noviembre de 2011
Tercera estrega: Caracas, 26 de Enero de 2012

Instalación de servicio DHCP

Su principal tarea consiste en asignar de
manera automática las direcciones IP a los
puestos de una red TCP/IP. Esencialmente el
funcionamiento de este protocolo consiste en
que, cuando un cliente DHCP (uno de los
ordenadores de nuestra Intranet) se inicia, envía
un mensaje de difusión de manera que
cualquier servidor DHCP pueda detectarlo. En
este mensaje indica que se está iniciando y que
necesita una nueva dirección IP.

Instalación
# aptitude install dhcp3-server

Configuración
El servicio DHCP sólo debe estar disponible para la red interna. Por eso, debe aceptar conexiones por
la interfaz interna (eth1, en este caso). Esto puede indicarse en el archivo de configuración
/etc/default/isc-dhcp-server:
# Defaults for dhcp initscript
# sourced by /etc/init.d/dhcp
# installed at /etc/default/isc-dhcp-server by the maintainer scripts
#
# This is a POSIX shell fragment
# On what interfaces should the DHCP server (dhcpd) serve DHCP requests?
# Separate multiple interfaces with spaces, e.g. "eth0 eth1".
INTERFACES="eth1"

Lo mas importante de la configuración está contenida en el archivo /etc/dhcp/dhcpd.conf.
En este archivo se indica el nombre del dominio (option domain-name "home.lan";), las direcciones de
los servidores DNS (option domain-name-servers 192.168.1.100, 192.168.1.1;).
También se puede definir la duración normal y máxima de atribución de la dirección IP atribuida
(default-lease-time 600; max-lease-time 7200;). El cliente podrá pedir siempre una nueva atribución
antes de que expire la actual, pudiendo recibir o no la misma dirección IP.
Finalmente, debe indicarse cuál es el rango de direcciones disponibles para ser atribuidas en el
segmento de red 192.168.1.0 (range 192.168.1.32 192.168.1.63;), cuál es la dirección del router (option
routers 192.168.1.1;) y finalmente, cuál es la dirección para broadcast (option broadcast-address
192.168.1.255;)

Configuracion del interfaces para asignar la dirección ip fija.
# nano /etc/network/interfaces

cf Dentro se coloca las reglas de enmascaramiento para que la subnet pueda salir por la puerta de enlace del servidor a internet: #!/bin/sh #FLUSH de reglas iptables -F iptables -X iptables -Z iptables -t nat -F ## Establecemos politica por defecto iptables -P INPUT ACCEPT iptables -P OUTPUT ACCEPT iptables -P FORWARD ACCEPT iptables -t nat -P PREROUTING ACCEPT iptables -t nat -P POSTROUTING ACCEPT ###ENMASCARAMIENTO iptables -t nat -A POSTROUTING -s 10.Con las siguientes configuraciones: auto lo eth0 eth1 iface lo inet loopback iface eth0 inet dhcp iface eth1 inet static address 192.int".0. .Se crea un archivo en el directorio /etc/init.d/firewall.168.0.120.0.0.2.d/firewall. option domain-name-servers 10.d/firewall.168.66.255.0 broadcast 192.0 network 192.cf reload Ejemplo de configuracion ISC dhcpd para Debían #Se coloca el nombre del dominio de nuestro servidor option domain-name "ince.d/ # nano /etc/init.168.255.0/24 -o eth0 -j MASQUERADE #activacion del ip_forwarding echo 1 > /proc/sys/net/ipv4/ip_forward Luego se ejecuta el comando: # /etc/init.cf # chmod +x /etc/init.2.244 netmask 255.255 Activar el ip_forwaeding en el colocando el siguiente comando en un archivo que se lea al inicio del sistema para que se active cada vez que se inicie el sistema. .

log-facility local7.168.1.63.d/isc-dhcp-server start Para detenerlo # /etc/init.1.0 { range 192.255.1.gnome #wdial Luego de instalar todos los paquetes necesarios se colocara las siguientes directivas en el archivo de configuración del wvdial en /etc/wvdial.default-lease-time 600.255. Instalación del Módem USB Movistar Huawei: Primero se deben instalar los siguientes paquetes: # Modem Manager # usb-modeswitch # usb-modeswitch-data # gnome-ppp # dhcpd # network-manager # network-manager.d/isc-dhcp-server stop Antes de proceder a la instalación se verifica que tipo de conexión hay.conf #[Dialer Defaults] Init1 = ATZ Init2 = ATQ0 V1 E1 S0=0 &C1 &D2 +FCLASS=0 .168. En caso de que no se tenga una conexión de cantv alambrica.168. max-lease-time 7200.1. option broadcast-address 192.255. subnet 192.1.1. a internet puesto que para una conexión vpn es indispensable. } Para iniciar el servicio de DHCP # /etc/init.168.168. Se podrá utilizar una conexión (módem USB) para este ejemplo se ha utilizado un módem USB de Movistar.0 netmask 255. authoritative. option routers 192.32 192.

con esto debería levantar la interface y con ella la asignación de una ip y el acceso a internet. Luego de completar la instalación del módem USB Instalación del servicio VPN Lan to Lan: .Modem Type = Analog Modem Baud = 9600 New PPPD = yes Modem = /dev/ttyUSB0 ISDN = 0 Phone = *99# Password = movistar Username = movistar Stupid mode = 1 Auto Reconnect = on Auto DNS = on Luego para levantar la interface de el módem solo se escribe en la terminal el siguiente comando: # wvdial & Se coloca andpersand para que la tarea quede en un segundo plano.

export EASY_RSA="`pwd`" # # This variable should point to # the requested executables export OPENSSL="openssl" export PKCS11TOOL="pkcs11-tool" export GREP="grep" . 1.3 Squeeze.Con estos comando se pegan los archivos de configuración del OpenVPN en la carpeta openvpn.Se tiene dos equipos. # don't edit this file in place in # /usr/share/openvpn/easy-rsa -- # instead.Ambos equipos tienen sólo el sistema base instalado. para mayor seguridad y aprovechar mejor los recursos de hardware del servidor.Estos son los supuestos para la instalación . # This variable should point to # the top level of the easy-rsa # tree. you should copy the whole # easy-rsa directory to another location # (such as /etc/openvpn) so that your # edits will not be wiped out by a future # OpenVPN package upgrade. cada uno con dos tarjetas de red una conectada a la Internet el otro a una red interna al menos 2 GB memoria Ram.0/vars Con las siguientes configuraciones: # easy-rsa parameter settings # NOTE: If you installed from an RPM.Se debe dirigir a la carpeta de configuración del openvpn # cd /etc/openvpn . # nano /etc/openvpn/2. # cd /usr/share/doc/openvpn/examples/easy-rsa/ # cp * /etc/openvpn-R . . # aptitude install openvpn openssl rdate Ahora del lado del servidor de introducen estos comandos. .0. Instalar el software necesario Se introducen estos comandos en el servidor y el cliente para la instalación.Se instalara como sistema operativo Debían 6. .Editar el archivo “vars” para colocar la configuraciones especificas del administrador que seran la dirección del centro u oficina.

.ve" Luego ejecutar el paquete vars # . I will be doing a rm -rf on $KEY_DIR # PKCS11 fixes export PKCS11_MODULE_PATH="dummy" export PKCS11_PIN="dummy" # Increase this to 2048 if you # are paranoid. What you are about to enter is what is called a Distinguished Name or a DN...++++++ writing new private key to 'ca... This will slow # down TLS negotiation performance # as well as the one-time DH parms # generation process.. export KEY_SIZE=1024 # In how many days should the root CA key expire? export CA_EXPIRE=3650 # In how many days should certificates expire? export KEY_EXPIRE=3650 # These are the default values for fields # which will be placed in the certificate../clean-all.. . # Don't leave any of these fields blank.......... /clean-all # .com..# This variable should point to # the openssl.. /build-ca Y la salida tendrá este aspecto como sigue: Generating a 1024 bit RSA private key .. /vars Y los paquetes # ..key' ----- You are about to be asked to enter information that will be incorporated into your certificate request.. # # WARNING: clean-all will do # a rm -rf on this directory # so make sure you define # it correctly! export KEY_DIR="$EASY_RSA/keys" # Issue rm -rf warning echo NOTE: If you run ... export KEY_CONFIG=`$EASY_RSA/whichopensslcnf $EASY_RSA` # Edit this variable to point to # your soon-to-be-created key # directory..cnf file included # with easy-rsa.++++++ . There are quite a few fields but you can leave some blank . export KEY_COUNTRY="VE" export KEY_PROVINCE="DC" export KEY_CITY="Caracas" export KEY_ORG="Inces" export KEY_EMAIL="servpn@servpm.

.org Ahora se crean los certificados para el servidor . company) [OpenVPN-TEST]:go2linux.. ----- Country Name (2 letter code) [KG]:bo State or Province Name (full name) [NA]:bo Locality Name (eg. the field will be left blank.cnf Check that the request matches the signature Signature ok The Subject's Distinguished Name is as follows countryName :PRINTABLE:'bo' stateOrProvinceName :PRINTABLE:'bo' localityName :PRINTABLE:'santacruz' organizationName :PRINTABLE:'go2linux.. your name or your server's hostname) []:OpenVPN-CA Email Address [me@myhost......++++++ writing new private key to 'server. the field will be left blank... What you are about to enter is what is called a Distinguished Name or a DN...org' commonName :PRINTABLE:'server' emailAddress :IA5STRING:'webmaster@go2linux. / Build-key-server server Y la salida tendrá este aspecto como sigue: Generating a 1024 bit RSA private key .mydomain]:webmaster@go2linux..org Organizational Unit Name (eg..++++++ .org' Certificate is to be certified until Jul 11 14:14:14 2017 GMT (3650 days) Sign the certificate? [y/n]:y 1 out of 1 certificate requests certified.key' ----- You are about to be asked to enter information that will be incorporated into your certificate request..org Using configuration from /etc/openvpn/openssl.. There are quite a few fields but you can leave some blank For some fields there will be a default value.'..For some fields there will be a default value.mydomain]:webmaster@go2linux.. city) [BISHKEK]:santacruz Organization Name (eg. company) [OpenVPN-TEST]:go2linux.. ----- Country Name (2 letter code) [KG]:bo State or Province Name (full name) [NA]:bo Locality Name (eg.....org Please enter the following 'extra' attributes to be sent with your certificate request A challenge password []:challenge An optional company name []:go2linux. commit? [y/n]y Write out database with 1 new entries Data Base Updated . section) []: Common Name (eg. section) []: Common Name (eg. If you enter '..... your name or your server's hostname) []:server Email Address [me@myhost. city) [BISHKEK]:santacruz Organization Name (eg.. If you enter '.org Organizational Unit Name (eg...'..

the field will be left blank.Ahora debe crear el certificado para el sitio del cliente: ..org Using configuration from /etc/openvpn/openssl.. / Build-dh . commit? [y/n]y Write out database with 1 new entries Data Base Updated Puede crear todas las llaves para su emisión a tantos clientes como desee..org Organizational Unit Name (eg.mydomain]:webmaster@go2linux...cnf Check that the request matches the signature Signature ok The Subject's Distinguished Name is as follows countryName :PRINTABLE:'bo' stateOrProvinceName :PRINTABLE:'bo' localityName :PRINTABLE:'santacruz' organizationName :PRINTABLE:'go2linux. What you are about to enter is what is called a Distinguished Name or a DN.key' ----- You are about to be asked to enter information that will be incorporated into your certificate request.org' commonName :PRINTABLE:'home' emailAddress :IA5STRING:'webmaster@go2linux. If you enter '.org' Certificate is to be certified until Jul 11 14:22:34 2017 GMT (3650 days) Sign the certificate? [y/n]:y 1 out of 1 certificate requests certified.....'. There are quite a few fields but you can leave some blank For some fields there will be a default value.++++++ writing new private key to 'home.. ----- Country Name (2 letter code) [KG]:bo State or Province Name (full name) [NA]:bo Locality Name (eg./build-key clinete Y la salida tendrá este aspecto como sigue: Generating a 1024 bit RSA private key . ..org Please enter the following 'extra' attributes to be sent with your certificate request A challenge password []:challenge An optional company name []:go2linux... city) [BISHKEK]:santacruz Organization Name (eg... your name or your server's hostname) []:home Email Address [me@myhost.. section) []: Common Name (eg... company) [OpenVPN-TEST]:go2linux....++++++ . una vez que haya terminado de crear todas las llaves para sus clientes openvpn ejecuta este comando..

conf Con la siguientes configuraciones dentro de archivo de configuracion “server..1..0 255.8.....++*++*++* Configurar el lado del servidor Se copia el archivo de configuracion del servidor (server.log verb 3 Para mejorar la seguridad descomentar estas dos líneas usuario nobody grupo nogroup ......0/keys/server..0. 1024 bit long safe prime.......txt #Las subnets que va a reconocer y enrutar el servidor VPN con NAT push "route 192.255.0/keys/dh1024.crt cert /etc/openvpn/2..... generator 2 This is going to take a long time .+..168.255.255.0.. y la salida se verá así.....255.key # This file should be kept secret dh /etc/openvpn/2.0 client-to-client keepalive 10 120 comp-lzo user nobody group nogroup persist-key persist-tun #max-client 3 status openvpn-status.168.pem #La subnet que va a utilizar el servidor VPN para los clientes server 10.....con” Se coloca la ip publica del servidor local 10.255.0/keys/ca..conf) con los siguientes comandos.0 255..168.0 255..1. # cd /usr/share/doc/openvpn/examples/sample-config-files/ # cp server..255....0" #Archivo que contiene la subnet del cliente para enrutar los paquetes de vuelta al servidor client-config-dir ccd #regla para enrutar los paquetes de ida hacia al cliente route 192...crt key /etc/openvpn/2..0/keys/server..Las llaves se están generando ya.0..... Generating DH parameters...0 255..gz /etc/openvpn/ # cd /etc/openvpn/ # gzip -d server...255........255.201 #el puerto por el cual se va a comunicar con el cliente port 1#194 proto udp dev tun tls-server #Llaves y certificados ca /etc/openvpn/2.conf.conf.2.0 ifconfig-pool-persist ipp..gz # nano server...0" push "route 192.

crt home.d/openvpn start .201 1194 resolv-retry infinite nobind #tls-client #user nobody #group nogroup persist-key persist-tun #Llaves del servidor creadas para el cliente ca /etc/openvpn/cliente1/ca.conf Con las siguientes configuraciones: client dev tun proto udp #Colocamos la ip publica del servidor VPN y el puerto remote 10.crt home. que también en el lado del cliente. a menos que se haya hecho algunos cambios en el servidor.key (debe mantenerse en secreto) Y se encuentran en el directorio del servidor /etc/openvpn/2. como por ejemplo.key #ns-cert-type server comp-lzo tun-mtu 1500 keepalive 10 120 verb 3 Eso es todo. los archivos necesarios son: ca.0. asegúrese de hacer esto de una manera segura.crt cert /etc/openvpn/cliente1/client1. por lo que tendrá que cambiar.crt key /etc/openvpn/cliente1/client1.0/keys/ Ahora que se a copiado todos los archivos que el cliente abra una consola en el cliente y el # cd /usr/share/doc/openvpn/examples/sample-config-files/ # cp client. el cambio de la UDP a TCP con el puerto predeterminado. ya sea usando scp o una llave USB con el fin de mantener sus archivos seguros.conf /etc/openvpn/ # cd /etc/openvpn/ # nano client. Iniciar el servidor /etc/init.0.Configurar el cliente En primer lugar es necesario copiar los certificados del servidor al cliente.

87.html#mitm for more info.8.0.0. r=256 v=256 Sat Jul 14 11:12:11 2007 IFCONFIG POOL: base=10.org/CN=server/emailAddress=gerencia@alketech.0 gw 10.0.net/howto.8.2 mtu 1500 Sat Jul 14 11:12:11 2007 /sbin/route add -net 10.8.ifconfig 10. /C=bo/ST=bo/L=santacruz/O=go2linux. Sat Jul 14 15:40:36 2007 WARNING: No server certificate verification method has been enabled.0.8.0. 1024 bit RSA Sat Jul 14 15:40:38 2007 [server] Peer Connection Initiated with 200.2 Sat Jul 14 11:12:11 2007 Data Channel MTU parms [ L:1542 D:1450 EF:42 EB:135 ET:0 EL:0 AF:3/1 ] Sat Jul 14 11:12:11 2007 GID set to nogroup Sat Jul 14 11:12:11 2007 UID set to nobody Sat Jul 14 11:12:11 2007 UDPv4 link local (bound): [undef]:1194 Sat Jul 14 11:12:11 2007 UDPv4 link remote: [undef] Sat Jul 14 11:12:11 2007 MULTI: multi_init called.61.255. cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA.9 i486-pc-linux-gnu [SSL] [LZO] [EPOLL] built on Jan 21 2007 Sat Jul 14 11:12:11 2007 Diffie-Hellman initialized with 1024 bit key Sat Jul 14 11:12:11 2007 TLS-Auth MTU parms [ L:1542 D:138 EF:38 EB:0 ET:0 EL:0 ] Sat Jul 14 11:12:11 2007 TUN/TAP device tun0 opened Sat Jul 14 11:12:11 2007 /sbin/ifconfig tun0 10.8.90:1194. debería ver algo como esto: Sat Jul 14 11:12:11 2007 OpenVPN 2.255.90:1194 Sat Jul 14 15:40:36 2007 TLS: Initial packet from 200.6 10.ping-restart 120.0.0. /C=bo/ST=bo/O=go2linux.4 size=62 Sat Jul 14 11:12:11 2007 IFCONFIG POOL LIST Sat Jul 14 11:12:11 2007 Initialization Sequence Completed Inicie el cliente /etc/init.8.5 mtu 1500 Sat Jul 14 15:40:39 2007 /sbin/route add -net 10. OpenVPN 2.0.87.0 gw 10. sid=408d696e 88814e22 Sat Jul 14 15:40:37 2007 VERIFY OK: depth=1.0.255.0-beta16 and earlier used 5000 as the default port.61.org/CN=OpenVPN- CA/emailAddress=gerencia@alketech.8.0 netmask 255. --pull.5 .0.255.0. See http://openvpn.com Sat Jul 14 15:40:38 2007 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key Sat Jul 14 15:40:38 2007 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication Sat Jul 14 15:40:38 2007 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key Sat Jul 14 15:40:38 2007 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication Sat Jul 14 15:40:38 2007 Control Channel: TLSv1.8.0 255.8.90:1194 Sat Jul 14 15:40:39 2007 SENT CONTROL [server]: 'PUSH_REQUEST' (status=1) Sat Jul 14 15:40:39 2007 PUSH: Received control message: 'PUSH_REPLY.255.0.8.0.0 netmask 255.0.255. based on an official port number assignment by IANA.si todo va bien.8.61.0. Sat Jul 14 15:40:36 2007 LZO compression initialized Sat Jul 14 15:40:36 2007 Control Channel MTU parms [ L:1542 D:138 EF:38 EB:0 ET:0 EL:0 ] Sat Jul 14 15:40:36 2007 Data Channel MTU parms [ L:1542 D:1450 EF:42 EB:135 ET:0 EL:0 AF:3/1 ] Sat Jul 14 15:40:36 2007 Local Options hash (VER=V4): '41690919' Sat Jul 14 15:40:36 2007 Expected Remote Options hash (VER=V4): '530fdded' Sat Jul 14 15:40:36 2007 NOTE: UID/GID downgrade will be delayed because of --client.5' Sat Jul 14 15:40:39 2007 OPTIONS IMPORT: timers and/or timeouts modified Sat Jul 14 15:40:39 2007 OPTIONS IMPORT: --ifconfig/up options modified Sat Jul 14 15:40:39 2007 OPTIONS IMPORT: route options modified Sat Jul 14 15:40:39 2007 TUN/TAP device tun0 opened Sat Jul 14 15:40:39 2007 /sbin/ifconfig tun0 10. or --up-delay Sat Jul 14 15:40:36 2007 UDPv4 link local: [undef] Sat Jul 14 15:40:36 2007 UDPv4 link remote: 200.6 pointopoint 10.8.d/openvpn restart la salida debe ser similar a este: Sat Jul 14 15:40:36 2007 OpenVPN 2.9 i486-pc-linux-gnu [SSL] [LZO] [EPOLL] built on Jan 21 2007 Sat Jul 14 15:40:36 2007 IMPORTANT: OpenVPN's default port number is now 1194.1 pointopoint 10.route 10.87.com Sat Jul 14 15:40:37 2007 VERIFY OK: depth=0.ping 10.

debe anunciar la subred 10. la máquina cliente se conecta a la VPN.0/24 y la IP VPN de direcciones usa 10.0" A continuación.0/24 a los clientes VPN de ser accesible a través de la VPN. Nuestro objetivo es la creación de la VPN para que cualquier máquina en la LAN del cliente se puede comunicar con cualquier máquina en la LAN del servidor a través de la VPN.8.0. .0/24) en el servidor OpenVPN (esto sólo es necesario si el servidor OpenVPN y el gateway LAN son diferentes máquinas). Se debe asegurar que ha activado IP y TUN / TAP envío en el servidor OpenVPN.0.0/24 como se cita en la directiva del servidor en el archivo de configuración de OpenVPN servidor. * El cliente debe tener un nombre único en su certificado Common ("client2" en nuestro ejemplo). Incluyendo varias máquinas en el lado del cliente cuando se utiliza un enrutado VPN (dev tun) En un escenario típico de acceso a la carretera-guerrero o remota.0 255. y que el cliente VPN está utilizando un certificado con un nombre común de client2.168. En primer lugar. push "route 10.4. hay algunos requisitos básicos que deben seguirse: * El cliente subred LAN (192.0. Pero supongamos que la máquina del cliente es una puerta de entrada para una red local (tal como una oficina en casa). Cada subred que se une a la VPN a través de enrutamiento debe ser único. Al final del documento se anexa una tabla con la subnet's a utilizar por cada sentro según lineamientos del la División de Servidores. y le gustaría que cada máquina en la LAN del cliente para poder enrutar a través de la VPN.66. Para este ejemplo. se supondra que la red LAN del cliente está utilizando la subred 192.66.0. vamos a suponer que la LAN en el servidor utiliza una subred de 10.0/24 en nuestro ejemplo) no deben ser exportados a la VPN por el servidor o cualquier otro cliente de los sitios que utilizan la misma subred.255. y la bandera duplicado-cn no debe utilizarse en el fichero de configuración de OpenVPN servidor.255.66.0.168.conf. como una sola máquina. Antes de la instalación. se debe establecer una ruta en la puerta de entrada del lado del servidor LAN para la ruta de la subred del cliente VPN (10.4.8.0/24. Esto se puede hacer fácilmente con la siguiente directiva en el archivo de configuración del servidor.Sat Jul 14 15:40:39 2007 GID set to nogroup Sat Jul 14 15:40:39 2007 UID set to nobody Sat Jul 14 15:40:39 2007 Initialization Sequence Completed Configuraciones adicionales para comunicar LAN to LAN A los efectos de este ejemplo. server.

Cuando un nuevo cliente se conecta al servidor OpenVPN.168.0 255.4. añada lo siguiente en el fichero de configuración del servidor server. A continuación. En Linux esto tiende a ser “/etc/openvpn” y en Windows por lo general es \Archivos de programa \OpenVPN\Config.4. Ambos son necesarios. asegúrese de que el reenvío IP y TUN / TAP está activado en la máquina cliente.0" . se agregaranla siguiente línea en el fichero de configuración del servidor principal (no el archivo ccd/client2): route 192. Después.168.conf.255.0 La razón por la que se agrega dos veces es que route controla el enrutamiento del núcleo con el servidor OpenVPN (a través de la interfaz TUN). el demonio de verificación de este directorio para un archivo que coincida con el nombre común del cliente que se conecta.255.0/24 debe ser enviado a client2.0 Esto le dirá al servidor OpenVPN que la subred 192.4. agregue la siguiente directiva en el archivo de configuración del servidor server. Si el archivo de configuración del servidor actualmente no hacen referencia a un directorio de configuración de cliente. El siguiente paso es crear un archivo llamado client2 en el directorio de la CLD. se tratara con los cambios de configuración necesarios en el servidor.255. mientras que iroute controla el enrutamiento desde el servidor OpenVPN a los clientes remotos.En primer lugar.0 255.conf: client-config-dir ccd En la directiva anterior. Client to client push "route 192.168.4.255. será leído y procesado de directrices adicionales de archivo de configuración que se aplicarán para el cliente llamado. A continuación. deberá ser el nombre de un directorio que ha sido creado previamente en el directorio predeterminado donde el demonio del servidor OpenVPN funciona. Si un archivo es encontrado.168.168.255.4. Este archivo debe contener la línea: iroute 192.0 255.255. Si es así.0/24) y otros clientes del servidor OpenVPN. pregúntese si le gustaría para permitir el tráfico de red entre la subred client2 (192.

• Enviar su nombre de usuario y la clave cuando se le solicite. Para instalar Squid escribe en un terminal: # sudo aptitude install squid La configuración de Squid se hace editando el archivo /etc/squid/squid. una ves verificado y autenticado el usuario. • Una ves enviado estos datos. el servidor PROXY debe verificar la existencia de tal usuario y validar la clave en el servidor LDAP.conf # nano /etc/squid3/squid.1.Puerto por el que se reciben solicitudes ICP (Inter-Cache Protocol) icp_port 0 # Parametros de Apache #acl apache rep_header Server ^Apache . los clientes que intenten conectarse a cualquier sitio WEB deben autenticarse.244:3128 # ICP Port .El siguiente manual pretende entregar al usuario una guía para configurar un servidor PROXY SQUID con autenticación con un servidor LDAP.### # Proyecto de Actualizacion de Servidores ### # 26/05/2010 ### ################################################## # PARAM E T R O S G LOBALES # Puerto de escucha y la ip # Esta es la ip y el puerto que se deben colocar en las configuraciones del explorador de cada uno de los usuario http_port 10. Como muestra la Figura anterior.127. • El servidor LDAP. Esto lo hace solo la primera ves que abre un navegador.conf Ejemplo de archivo de configuración del squi.conf ################################################## ### Archivo de Configuracion de SQUID Version3 ### # Gerencia General de Informatica ### # Departamento de Servidores ### # -------------------------------------------. le indica al servidor PROXY que el usuario puede comenzar a navegar.

basandose en una URL # y utilizando expresiones regulares. cache_dir ufs /var/spool/squid3 4096 64 512 # Nivel de % min y max aceptada por el squid.# PARAM E T R O S D E CAC H E # Tiempo de actualizacion de objetos relacionados con # los protocolos FTP.0/8 acl redlocal src 10.1. y se comenzaran # a borrar tras alcanzar un nivel max. en esta situación fue # creada una expresion regular para cgi e? acl QUERY urlpath_regex cgi-bin \? # No hace cache de la acl QUERY cache deny QUERY # D E C LARAC I O N DE PU ERTOS C ON F IABLE S . tamano y cantidad # de directorios padre. 0 20% 4320 # Tamano maximo de la cache (2 GB) cache_mem 2048 MB # Define la ubicacion de la cache del disco. los objetos # se mantendran en cache hasta alcanzar un nivel min. y directorios hijo. Es decir.ve yahoo # Grupo que administra la cache del squid cache_effective_group proxy # P A R A M E T R O S T I M E T O L I V E (TTL) # Tiempo para procesar nuevamente una pagina que no ha sido encontrada negative_ttl 50 seconds # TIempo que mantendra squid para una pagina que ha sido encontrada positive_dns_ttl 6 hours # Duracion de la IP autenticada authenticate_ip_ttl 30 seconds # D E C LARAC I O N DE REDES acl manager proto cache_object acl localhost src 127.0/24 # Declaracion de la acl de Usuarios Maximos acl maxuser max_user_ip -s 1 # Crea una lista de control de acceso.gob.0.0.1/32 acl to_localhost dst 127. GOPHER. cache_swap_low 90 cache_swap_high 95 # Indica el tamano max de un objeto en la cache maximum_object_size 4096 KB # No almacena en cache ciertos objetos (cgi-bin) hierarchy_stoplist cgi-bin ? hotmail inces.0.0.127. HTTP refresh_pattern ^ftp: 1440 20% 10080 refresh_pattern ^gopher: 1440 0% 1440 refresh_pattern .

Banco del Tesoro acl SSL_ports port 14443 # https .120 auth_param basic children 50 auth_param basic realm Web-Proxy auth_param basic credentialsttl 1 minute .dc=int" -f "uid=%s" -h 10.Banco Banesco acl SSL_ports port 563 # snews acl SSL_ports port 666 # Darkstat acl SSL_ports port 667 # Darkstat acl SSL_ports port 873 # rsync acl SSL_ports port 2083 # Cafince acl SSL_ports port 3000 # NTOP acl SSL_ports port 10000 # rsync/webmin acl SSL_ports port 1863 acl Safe_ports port 80 # http acl Safe_ports port 21 # ftp acl Safe_ports port 443 # https acl Safe_ports port 444 # https .0.acl SSL_ports port 443 # https acl SSL_ports port 12443 # https .Banco del Tesoro acl Safe_ports port 70 # gopher acl Safe_ports port 210 # wais acl Safe_ports port 1025-65535 # unregistered ports acl Safe_ports port 280 # http-mgmt acl Safe_ports port 488 # gss-http acl Safe_ports port 591 # filemaker acl Safe_ports port 666 # Darkstat acl Safe_ports port 667 # Darkstat acl Safe_ports port 777 # multiling http acl Safe_ports port 631 # cups acl Safe_ports port 873 # rsync acl Safe_ports port 901 # SWAT acl Safe_ports port 2083 # Cafince acl Safe_ports port 3000 # NTOP acl Safe_ports port 8082 # Universidad Santa Maria acl Safe_ports port 9000 # SWAT acl purge method PURGE acl CONNECT method CONNECT #AC CE SO S BAS I CO S http_access allow manager localhost http_access deny manager http_access allow purge localhost http_access deny purge !localhost http_access deny !Safe_ports http_access deny CONNECT !SSL_ports # Denegacion de Conexiones desde IP > 1 http_access deny maxuser # Permite replicas de solicitudes a los usuarios de la red http_reply_access allow redlocal #METODO DE A U T E N T I C A C I O N (OpenLDAP) auth_param basic program /usr/lib/squid3/squid_ldap_auth -v3 -b "dc=ince.0.

0.# LI STAS D E C O N TR O L D E AC C E S O ## Donde se especifican los grupos del arbol ldap external_acl_type GrupoLDAP %LOGIN /usr/lib/squid3/squid_ldap_group -b "ou=Grupos.dc=ince.dc=int" -f "(&(objectclass=posixGroup)(cn=%a)(memberUid=%v))" -h 10.120 #acl cocina url_regex /etc/squid3/lists/blacklists/culinary #acl ads url_regex /etc/squid3/lists/blacklists/ads #acl bancos url_regex /etc/squid3/lists/blacklists/banking #acl bancos1 url_regex /etc/squid3/lists/blacklists/bank #acl deport url_regex /etc/squid3/lists/blacklists/sports #acl jobsearch url_regex /etc/squid3/lists/blacklists/jobsearch #acl gardenin url_regex /etc/squid3/lists/blacklists/gardening #acl cerveceria url_regex /etc/squid3/lists/blacklists/beerliquorinfo #acl entretenimiento url_regex /etc/squid3/lists/blacklists/entertainment #acl celebracion url_regex /etc/squid3/lists/blacklists/celebrity #acl aborto url_regex /etc/squid3/lists/blacklists/abortion #acl periodicos url_regex /etc/squid3/lists/blacklists/news #acl chats url_regex /etc/squid3/lists/blacklists/chat #acl reaffected url_regex /etc/squid3/lists/blacklists/reaffected #acl actualizacion url_regex /etc/squid3/lists/blacklists/updatesites #acl pezca url_regex /etc/squid3/lists/blacklists/phishing #acl gamblig url_regex /etc/squid3/lists/blacklists/gambling #acl red_social url_regex /etc/squid3/lists/blacklists/social_networks #acl carajitos url_regex /etc/squid3/lists/blacklists/child #acl correos url_regex /etc/squid3/lists/blacklists/webmail #acl caza url_regex /etc/squid3/lists/blacklists/hunting #acl tabaco url_regex /etc/squid3/lists/blacklists/tobacco #acl agua url_regex /etc/squid3/lists/blacklists/weather #acl agrasivas url_regex /etc/squid3/lists/blacklists/aggressive #acl solopagas url_regex /etc/squid3/lists/blacklists/onlinepayment #acl acce_remoto url_regex /etc/squid3/lists/blacklists/remote-control #acl firme url_regex /etc/squid3/lists/blacklists/verisign #acl red_social2 url_regex /etc/squid3/lists/blacklists/socialnetworking #acl malware url_regex /etc/squid3/lists/blacklists/malware #acl drogas url_regex /etc/squid3/lists/blacklists/drugs #acl adult_mixtos url_regex /etc/squid3/lists/blacklists/mixed_adult #acl humor url_regex /etc/squid3/lists/blacklists/humor #acl adultos url_regex /etc/squid3/lists/blacklists/adult #acl list_blanca url_regex /etc/squid3/lists/blacklists/whitelist #acl blogs url_regex /etc/squid3/lists/blacklists/blog #acl beer_sale url_regex /etc/squid3/lists/blacklists/beerliquorsale #acl higiene url_regex /etc/squid3/lists/blacklists/hygiene #acl economia url_regex /etc/squid3/lists/blacklists/ecommerce #acl alcohol url_regex /etc/squid3/lists/blacklists/alcohol #acl juegos_online url_regex /etc/squid3/lists/blacklists/onlinegames #acl escritorio url_regex /etc/squid3/lists/blacklists/desktopsillies #acl busq_archivos url_regex /etc/squid3/lists/blacklists/filesharing #acl contracep url_regex /etc/squid3/lists/blacklists/contraception #acl prensa url_regex /etc/squid3/lists/blacklists/press #acl ringtones url_regex /etc/squid3/lists/blacklists/ringtones #acl correos2 url_regex /etc/squid3/lists/blacklists/mail #acl vacaciones url_regex /etc/squid3/lists/blacklists/vacation #acl finacieras url_regex /etc/squid3/lists/blacklists/financial #acl accion_online url_regex /etc/squid3/lists/blacklists/onlineauctions #acl celulares url_regex /etc/squid3/lists/blacklists/cellphones #acl spias url_regex /etc/squid3/lists/blacklists/spyware #acl radio url_regex /etc/squid3/lists/blacklists/radioacl #acl pistolas url_regex /etc/squid3/lists/blacklists/guns #acl proxy url_regex /etc/squid3/lists/blacklists/proxy #acl armas url_regex /etc/squid3/lists/blacklists/weapons #acl fecha url_regex /etc/squid3/lists/blacklists/dating .0.

#acl cuidado_carajitos Url_regex /etc/squid3/lists/blacklists/childcare #acl ropa url_regex /etc/squid3/lists/blacklists/clothing #acl libros url_regex /etc/squid3/lists/blacklists/books #acl comer_soft url_regex /etc/squid3/lists/blacklists/marketingware #acl res_linea url_regex /etc/squid3/lists/blacklists/dialers #acl naturismo url_regex /etc/squid3/lists/blacklists/naturism #acl sexualidad url_regex /etc/squid3/lists/blacklists/sexuality #acl antiespia url_regex /etc/squid3/lists/blacklists/antispyware #acl msn_instantaneo url_regex /etc/squid3/lists/blacklists/instantmessaging #acl arjel url_regex /etc/squid3/lists/blacklists/arjel #acl infectadas url_regex /etc/squid3/lists/blacklists/virusinfected #acl edu_frances url_regex /etc/squid3/lists/blacklists/frencheducation #acl hackers url_regex /etc/squid3/lists/blacklists/hacking #acl noti_deportivas url_regex /etc/squid3/lists/blacklists/sportnews #acl manga url_regex /etc/squid3/lists/blacklists/manga #acl arnudes url_regex /etc/squid3/lists/blacklists/artnudes acl porno url_regex "/etc/squid3/lists/blacklists/porn/urls3" #acl mascotas url_regex /etc/squid3/lists/blacklists/pets #acl religion url_regex /etc/squid3/lists/blacklists/religion #acl telf_mobil url_regex /etc/squid3/lists/blacklists/mobile-phone #acl limpieza url_regex /etc/squid3/lists/blacklists/cleaning #acl medicina url_regex /etc/squid3/lists/blacklists/medical #acl repar_hoogar url_regex /etc/squid3/lists/blacklists/homerepair #acl busque_motores url_regex /etc/squid3/lists/blacklists/searchengines #acl comunidades url_regex /etc/squid3/lists/blacklists/warez #acl compras url_regex /etc/squid3/lists/blacklists/shopping #acl sectas url_regex /etc/squid3/lists/blacklists/sect #acl archivos_host url_regex /etc/squid3/lists/blacklists/filehosting #acl jewelry url_regex /etc/squid3/lists/blacklists/jewelry #acl tim_carajito url_regex /etc/squid3/lists/blacklists/kidstimewasting #acl juegos url_regex /etc/squid3/lists/blacklists/games #acl audio_video url_regex /etc/squid3/lists/blacklists/audio-video #acl violencia url_regex /etc/squid3/lists/blacklists/violence #acl astrologia url_regex /etc/squid3/lists/blacklists/astrology #acl fin_personal url_regex /etc/squid3/lists/blacklists/personalfinance #acl revistas url_regex /etc/squid3/lists/blacklists/magazines #acl gobierno url_regex /etc/squid3/lists/blacklists/government acl sitiospermitidos url_regex "/etc/squid3/rules/sitioslibres" ## Varibles que se le asignan a cada uno del los grupos del LDAP acl U-VIP external GrupoLDAP Usuarios_VIP acl U-ADMIN external GrupoLDAP Usuarios_ADMIN acl U-Autorizados external GrupoLDAP Usuarios_Autorizados acl U-Descargas external GrupoLDAP Usuarios_Descargas acl U-Limitados external GrupoLDAP Usuarios_Limitados acl U-Bloqueados external GrupoLDAP Usuarios_Bloqueados acl U-Servidores external GrupoLDAP Usuarios_Servidores acl U-MSN external GrupoLDAP Usuarios_Messenger acl U-Especiales external GrupoLDAP Usuarios_Especiales acl U-Serv external GrupoLDAP Usuarios_Servidores acl U-RRHH external GrupoLDAP Usuarios_Pag_Gobierno acl U-Twitter external GrupoLDAP Usuarios_Twitter acl password proxy_auth REQUIRED acl HORA_BLOQ time M 16:00-16:53 # R E G LAS D E AC C E S O #http_access allow U-Serv sitiospermitidos #http_access allow redlocal ##http_access allow U-ADMIN .

0.log squid # Directorio de Mensajes de Error error_directory /etc/squid3/errors # Nombre del Servidor Squid visible_hostname srvtunfire # |D|E|L|A|Y| |P|O|O|L| #acl day time 07:30-18:00 #Limitael ancho de banda durante el periodo especificado #delay_pools 1 #delay_class 1 1 #delay_parameters 1 1000/1000 #delay_access 1 allow redlocal #delay_access 1 deny all Para que todas estas configuraciones funciones todas las llamadas a archivos externos deben ser satisfechas segun su ruta. .gob.120 # Ocultar Version de Squid3 httpd_suppress_version_string on # Correo de Administracion de Squid cache_mgr tunfire@tunfire.#http_access allow U-Twitter twitter !youtube !facebook !messenger !sitiosbloqueados ##http_access allow U-MSN messenger !sitiosbloqueados-msn !youtube facebook !sitiosbloqueados !twitter ##http_access allow U-VIP !facebook !sitiosbloqueados !messenger !youtube !twitter ##http_access allow U-Descargas !facebook !sitiosbloqueados !messenger !youtube !twitter ##http_access allow U-Limitados !facebook !sitiosbloqueados !messenger !youtube !twitter ##http_access allow U-Especiales youtube !facebook !sitiosbloqueados !sitiosbloqueados-msn !messenger !twitter ##http_access allow U-Servidores !facebook !sitiosbloqueados !messenger !youtube !twitter ##http_access allow U-Autorizados !facebook !sitiosbloqueados !messenger !youtube !twitter ##http_access allow U-RRHH gobierno !facebook !sitioslibres !sitiosbloqueados !messenger !youtube !twitter !sitiosbloqueados-msn ##http_access deny U-Serv HORA_BLOQ ##http_access deny U-Bloqueados U-ADMIN ##http_access allow U-Serv !porno http_access allow redlocal icp_access allow redlocal icp_access deny all coredump_dir /var/spool/squid3 # M I S C E LAN E O S # Nombres de Maquinas hosts_file /etc/hosts # Servidores de DNS locales en todo casa de que existan dns_nameservers 10.0.ve # Archivo de eventos (LOG) access_log /var/log/squid3/access.

ANEXOS .

127.0 Polivalente 10.4.0 Textil 10. Segun su sede Regional Sede Distrito Capital Sudnet 10.127.8.5.127. Subnet de la LAN 23 de Enero 10.S.0 .127.0 Caricuao 10. Tabla de subnet's postuladas para los CFS.3.0 Maracapana 10.0 Comercio 10.9.127.2.0.0 Banco Seguro 10.1.6.7.0 Centro Norte 10.127.127.0 C.127.127.F.0 Industria 10.127.

Categoris Admin Viip Autorizados Bloqueados Especiales Messenger Servidores Twitter ads □ □ □ □ □ □ □ □ Banking □ □ □ □ □ □ □ □ Sports □ □ □ □ □ □ □ □ Marketingware □ □ □ □ □ □ □ □ Dialers □ □ □ □ □ □ □ □ Naturismo □ □ □ □ □ □ □ □ Sexualidad □ □ □ □ □ □ □ □ Antispyware □ □ □ □ □ □ □ □ Instantmessaging □ □ □ □ □ □ □ □ Virusinfected □ □ □ □ □ □ □ □ Frencheducation □ □ □ □ □ □ □ □ Hacking □ □ □ □ □ □ □ □ Sportnews □ □ □ □ □ □ □ □ Manga □ □ □ □ □ □ □ □ Artnudes □ □ □ □ □ □ □ □ Porn □ □ □ □ □ □ □ □ Pets/Mascotas □ □ □ □ □ □ □ □ Religion □ □ □ □ □ □ □ □ Mobile-phone □ □ □ □ □ □ □ □ Cleaning □ □ □ □ □ □ □ □ Medical □ □ □ □ □ □ □ □ Homerepair □ □ □ □ □ □ □ □ warez □ □ □ □ □ □ □ □ shopping □ □ □ □ □ □ □ □ Sect □ □ □ □ □ □ □ □ Filehosting □ □ □ □ □ □ □ □ Kidstimewasting □ □ □ □ □ □ □ □ Games □ □ □ □ □ □ □ □ Audio-video □ □ □ □ □ □ □ □ Violence □ □ □ □ □ □ □ □ Astrology □ □ □ □ □ □ □ □ Personalfinance □ □ □ □ □ □ □ □ Magazines □ □ □ □ □ □ □ □ Government □ □ □ □ □ □ □ □ .