SERVICIOS DE RED

LABORATORIO N° 6

SERVICIO PROXY EN LINUX

CODIGO DEL
CURSO: II4030

RODRIGO CABRERA ESPINOZA

Alumno(s): Nota
GREYSI MABEL TICONA HANCCO
Grupo: C20-5A Ciclo: IV

Requiere No Puntaje
Criterio de Evaluación Excelente Bueno
mejora acept. Logrado
Instalación y configuración inicial del servidor y
4 2-3 1 0
cliente
Control de acceso a la red local 4 2-3 1 0
Bloqueo de acceso a una computadora, a un
4 2-3 1 0
dominio y de un dominio a una computadora
Control de descarga de archivos y de acceso
4 2-3 1 0
por horario
Redacta un informe técnico documentando los
4 3 1-2 0
procesos del servicio proxy en Linux

REDES Y COMUNICACIONES DE DATOS

PROGRAMA DE FORMACIÓN REGULAR
 Nro. DD-106
Laboratorio de Algoritmos y Estructuras de Datos Página 2 de 2
 Nro. DD-106
Laboratorio de Servicios de Red Página 3 de 21

I.- OBJETIVOS:
 Implementar el servicio squid en una red con equipos Linux.
 Definir reglas de acceso a recursos para clientes que acceden a Internet.

II.- SEGURIDAD:
Advertencia:
En este laboratorio está prohibida la manipulación del hardware,
conexiones eléctricas o de red; así como la ingestión de alimentos o
bebidas.

III.- FUNDAMENTO TEÓRICO:

El laboratorio está detallado paso a paso. Es importante que revise su texto para poder responder algunas de las
preguntas planteadas.

IV.- NORMAS EMPLEADAS:

No aplica

V.- RECURSOS:
 En este laboratorio cada alumno trabajará con un equipo con Windows 7 o posterior.
 Este equipo debe tener instalado el programa VMware Workstation para la definición y administración de los
equipos virtuales.
 Cada equipo debe contar con una plantilla de Fedora Linux 19 (o posterior) y Windows 7 para la clonación de los
equipos solicitados.

VI.- METODOLOGÍA PARA EL DESARROLLO DE LA TAREA:

 El desarrollo del laboratorio es en grupos de dos personas.

VII.- PROCEDIMIENTO:

CREACIÓN DE LOS EQUIPOS VIRTUALES

1. Abra el VMware Workstation.

2. Defina un equipo virtual con las siguientes características:

Opción Valor
Clon de La plantilla de Linux indicada por el instructor
Nombre Redes2 – Proxy Server
Memoria 1024 MB
Red Bridged
Otros CD / DVD

Opción Valor
Clon de La plantilla de Windows 7 indicada por el instructor
Nombre Redes2 – Proxy Client
Memoria 1024 MB
Red Bridged
Otros CD / DVD

3. Inicie el equipo servidor y configúrelo de acuerdo a los siguientes datos (XX es un valor asignado por el instructor):

Opción Valor
Dirección IP 172.11.3.1XX
Máscara de subred 255.255.252.0
Puerta de enlace 172.11.0.1
 Nro. DD-106
Laboratorio de Servicios de Red Página 4 de 21

Opción Valor
1. Utilice la herramienta gráfica de configuración de red (Conexiones de
red ).
2. Configure la “Conexión cableada 1”
Nombre de Equipo ProxyServerXX
1. Edite el archivo /etc/sysconfig/network y cambie/agregue la
línea que hace referencia al nombre de la siguiente manera:
HOSTNAME=ProxyServerXX
2. Edite el archivo /etc/hosts y agregue la línea:
127.0.0.1 ProxyServerXX
3. Ejecute los siguientes comandos para cambiar el nombre del equipo y
reiniciar el servicio de red:
hostnamectl set-hostname ProxyServerXX
systemctl restart NetworkManager

4. Configure el equipo como cliente DNS de un servidor de red:

 Edite el archivo /etc/resolv.conf, elimine cualquier línea que inicie con nameserver y agregue la
siguiente:
nameserver 172.11.0.2

 Pruebe haciendo ping a algún destino de Internet (ejemplo www.google.com.pe).

5. Inicie el equipo cliente y configúrelo de acuerdo a los siguientes datos:

Opción Valor
Nombre de Equipo ProxyClientXX
Grupo de Trabajo REDES
Dirección IP 172.11.3.2XX
Máscara de subred 255.255.252.0
Servidor DNS 172.11.3.10
 Nro. DD-106
Laboratorio de Servicios de Red Página 5 de 21

INSTALACIÓN Y CONFIGURACIÓN INICIAL DEL SERVICIO SQUID

1. En el equipo ProxyServerXX, instale los paquetes squid y webmin:

 En una ventana de consola, consulte el estado de los paquetes bind y webmin:
rpm -q squid
rpm -q webmin
 Copie los archivos rpm (provistos por el instructor) en la carpeta Descargas del Linux. Puede usar Ctrl+C en el
equipo real y Ctrl+V en el virtual Linux para dicha acción.
 Abra una ventana Terminal (con privilegios de usuario root) e instale los paquetes indicados (la instalación del
squid puede tomar varios minutos):
su Indique la contraseña de root
cd Descargas/
yum install squid
rpm -Uvh webmin-1.700-1.noarch.rpm
 Inicie el servicio squid:
systemctl start squid

Captura 01: Instalación de paquetes completada

 Nro. DD-106
Laboratorio de Servicios de Red Página 6 de 21

2. Modifique la configuración del Firewall para permitir el acceso al servicio:

 Ingrese a la herramienta gráfica Cortafuego. Provea la contraseña administrativa.
 En la lista Vista actual, seleccione Configuración persistente.
 Seleccione la ficha Puertos.
 Agregue los puertos 8080 TCP y 10000 TCP para habilitar los servicios instalados (Squid y Webmin).
 Seleccione el menú Opciones > Recargar Firewalld. Ya puede cerrar la ventana Cortafuego.

3. Configure el puerto TCP 8080 como puerto para el squid:

 Abra una ventana navegador de Internet (Firefox).
 Ingrese a la dirección https://localhost:10000 y provea el usuario root con su respectiva contraseña. Se debe
mostrar la interfaz de administración Webmin para diversos servicios.

 Ingrese a Servers y luego a Squid Proxy Server.

 Haga clic en Ports and Networking.
 En la sección Proxy addresses and ports, seleccione la opción Listed below y en la casilla Port escriba 8080.
 Haga clic en Save.
 Nro. DD-106
Laboratorio de Servicios de Red Página 7 de 21

4. Defina los parámetros del cache para el servicio Proxy:

 En la consola Webmin, en Servers > Squid Proxy Server, haga clic en Cache Options.
 En la sección Cache directories, seleccione la opción Listed.
 En el cuadro Directory, escriba /var/spool/squid
 En la cuadro Type seleccione UFS
 En el cuadro Size escriba 100
 En el cuadro 1st level dirs escriba 16
 En el cuadro 2nd level dirs escriba 256
 Haga clic en Save.

5. Configure el nombre visible del host:

 En la consola Webmin, en Servers > Squid Proxy Server, haga clic en Administrative Options.
 En la casilla Visible hostname escriba proxy.tecsupXX.edu
 Haga clic en Save.

6. Renicie y pruebe el servicio squid:

 Inicie el servicio squid:
systemctl restart squid
 Pruebe que el puerto de squid esté abierto:
netstat -punta | grep ":8080"

7. Inicialice la caché del servicio:

 En la consola Webmin, en Servers > Squid Proxy Server, haga clic en Apply configuration.
 Haga clic en el icono Clear and rebuild cache y confirme la acción.

8. Consulte el contenido del directorio caché:

cd /var/spool/squid
 Nro. DD-106
Laboratorio de Servicios de Red Página 8 de 21

ls //mostrará 16 directorios
cd 01
ls //mostrará 256 directorios.

9. Indique en qué directorios se guardarán los registros generados por el servicio:

 En la consola Webmin, en Servers > Squid Proxy Server, haga clic en Logging.
 En la casilla Access log files coloque el valor de : /var/log/squid/access.log
 En la casilla Debug log file coloque el valor de : /var/log/squid/cache.log
 En la casilla Storage log file coloque el valor de : /var/log/squid/store.log
 En las tres opciones previas, seleccione los nuevos valores en lugar de Default.
 Guarde los cambios (botón Save).

10. Reinicie o reconfigure el servicio squid (solamente uno de los siguientes comandos):
systemctl restart squid
squid -k reconfigure

CONFIGURACIÓN DEL CLIENTE PROXY

1. En el equipo cliente, configure el navegador de su equipo para que utilice el servidor proxy.

Captura 02: Configuración de cliente Proxy

 Nro. DD-106
Laboratorio de Servicios de Red Página 9 de 21

2. Intente acceder a http:/www.google.com.pe, ¿pudo hacerlo? Si no lo consiguió, indique brevemente a qué se refiere el
mensaje mostrado
Puede ocurrir que el servidor proxy no este funcionando correctamente, que la configuración se haya cambiado o algo
este bloqueando nuestras conexiones

CONTROL DE ACCESO

1. Elimine todas las políticas de acceso, esto bloqueará todos los accesos:
 En la consola Webmin, en Servers > Squid Proxy Server, haga clic en Access Control.
 Nro. DD-106
Laboratorio de Servicios de Red Página 10 de 21

 En la sección Proxy Restriccion, active todas las casillas de la lista y haga clic en Delete.
 Elimine también la lista ICP Restrictions.
 Aplique los cambios realizados.

2. Defina un alias para su red local (sus clientes):

 En la consola Webmin, en Servers > Squid Proxy Server, haga clic en Access Control.
 En la sección Access Control List, en la lista del botón Create New ACL escoja Client Address.
 Haga clic en Create new ACL.
 Asigne los siguientes datos y al terminar haga clic en Save:
o ACL Name: redlocalXX
o From IP: 172.11.3.200
o To IP: 172.11.3.230
 Guarde los cambios.

3. Conceda el acceso a Internet al grupo de direcciones definido y deniegue acceso al resto:

 En la ficha Proxy restrictions, haga clic en Add Proxy restriction.
 En Action, seleccione Deny
 En la lista Match ACLs seleccione el alias all
 Guarde los cambios.

 Haga clic en Add Proxy restriction.

 En Action, seleccione Allow
 En la lista Match ACLs seleccione redlocalXX
 Guarde los cambios.
 Nro. DD-106
Laboratorio de Servicios de Red Página 11 de 21

Capturas 03 y 04: ACL y restricciones a rangos de IP

4. Reconfigure o reinicie el servicio squid por consola.

5. Intente, desde el cliente, acceder nuevamente a una página Web. ¿Se puede? ¿Por qué?
No, porque al momento de realizar la configuración de conceder el acceso a Internet a un grupo de direcciones definido se
denegó el acceso al resto, aplicando mal la regla

6. Cambie el orden las políticas:

 En la consola Webmin, en Servers > Squid Proxy Server, haga clic en Access Control.
 En la sección: Proxy restrictions, use las flechas  y  para reubicar las reglas y quede así:
o Allow | redlocalXX
o Deny | all
 Nro. DD-106
Laboratorio de Servicios de Red Página 12 de 21

7. Reconfigure o reinicie el servicio squid por consola.

8. Desde el cliente, acceda a las siguientes direcciones:

 http://www.intel.com

 http://www.gsmarena.com
 Nro. DD-106
Laboratorio de Servicios de Red Página 13 de 21

 http://www.reniec.gob.pe

 http://www.rpp.com.pe
 Nro. DD-106
Laboratorio de Servicios de Red Página 14 de 21

9. Cierre el navegador, luego ábralo, limpie los archivos temporales y acceda a las direcciones indicadas anteriormente.
¿Es el acceso más rápido? ¿Por qué?
Por que a las paginas que entramos se registran en la memoria temporal del proxy lo cual acelera al momento que
volvemos a buscar, E l proxy guarda informes de todas las conexiones que hacen los usuarios.

10. Vea las últimas líneas del registro la actividad realizada en el servidor proxy:
tail -f /var/log/squid/access.log

Nota: recuerde que la política de negación total debe estar al final, ya que el análisis de políticas se realiza desde arriba
hacia abajo.

BLOQUEO DEL ACCESO DE UNA COMPUTADORA

1. Configure un navegador de su compañero para que sea un cliente de su servidor proxy y compruebe que su compañero
puede acceder a Internet

2. Impediremos que la computadora de su compañero puede acceder a Internet por medio del servidor proxy:
 Definición del ACL:
 Sección: Access control lists
 En el botón Create New ACL seleccione Client Address
 Clic en Create new ACL
 Nro. DD-106
Laboratorio de Servicios de Red Página 15 de 21

 ACL name: pcprohibida

 From IP: IP_de_su_compañero

 Aplicación de políticas:
 Sección: Proxy restrictions
 Clic en Add proxy restriction
 Acción: Deny
 Sección: Match ACLs; Etiqueta: pcprohibida
 Orden de políticas:
 Deny | pcprohibida
 Allow | redlocal
 Deny | all

Capturas 05 y 06: ACL y restricciones a equipos específicos

3. Reconfigure o reinicie el servicio squid por consola. Solicite a su compañero si puede acceder a Internet.

4. Vea las modificaciones realizadas al archivo /etc/squid/squid.conf, las cuales deben parecerse a (en distintas líneas del
archivo de configuración):
acl redlocal src 172.11.3.200-172.11.3.230
acl pcprohibida src 172.11.3.2XX
 Nro. DD-106
Laboratorio de Servicios de Red Página 16 de 21

http_access deny pcprohibida

http_access allow redlocalXX
http_access deny all

BLOQUEO DEL ACCESO A UN DOMINIO

1. Bloquear el acceso a todos los dominios de Internet excepto al dominio sunat.gob.pe.

 Definición del ACL:
 Sección: Access control lists
 En el botón Create New ACL seleccione Web Server Hostname
 Clic en Create new ACL
 ACL name: dompermitido
 Domains: .sunat.gob.pe
 Aplicación de políticas:
 Sección: Proxy restrictions
 Clic en Add proxy restriction
 Acción: Deny
 Sección: Don’t match ACLs; Etiqueta: dompermitido
 Orden de políticas:
 Deny | pcprohibida
 Deny | !dompermitido
 Allow | redlocalXX
 Deny | all

Capturas 07 y 08: ACL y restricciones a dominios de Internet

 Nro. DD-106
Laboratorio de Servicios de Red Página 17 de 21

2. Reconfigure o reinicie el servicio squid por consola. Verifique que sólo puede acceder a la página web
www.sunat.gob.pe

3. Vea las modificaciones realizadas al archivo /etc/squid/squid.conf, las cuales deben parecerse a:
acl redlocal src 172.11.3.200-172.11.3.230
acl pcprohibida src 172.11.3.2XX
acl dompermitido dstdomain .sunat.gob.pe

http_access deny pcprohibida

http_access deny ! dompermitido
http_access allow redlocalXX
http_access deny all

BLOQUEO DE UN DOMINIO A UNA COMPUTADORA

1. Elimine las políticas de acceso concernientes a la computadora de su compañero:

 Sección: Proxy restrictions
 Marque y elimine las reglas generadas para: pcprohibida y !dompermitido

2. Defina una regla de acceso para que la computadora de su compañero no pueda acceder a Internet pero sí al dominio
sunat.gob.pe
 Sección: Proxy restrictions
 Clic en Add Proxy Restriction
 Acción: Deny
 Sección: Match ACLs; Etiqueta: pcprohibida
 Nro. DD-106
Laboratorio de Servicios de Red Página 18 de 21

 Sección: Don’t match ACLs; Etiqueta: dompermitido

 Orden de políticas:
 Deny | pcprohibida !dompermitido
 Allow | redlocalXX
 Deny | all

3. Reconfigure o reinicie el servicio squid por consola. Verifique que su compañero pueda acceder solamente a la página
web www.sunat.gob.pe

4. Vea las modificaciones realizadas al archivo /etc/squid/squid.conf, las cuales deben parecerse a:
acl redlocal src 172.11.3.200-172.11.3.230
acl pcprohibida src 172.11.3.2XX
acl dompermitido dstdomain .sunat.gob.pe

http_access deny pcprohibida !dompermitido

http_access allow redlocalXX
http_access deny all
 Nro. DD-106
Laboratorio de Servicios de Red Página 19 de 21

CONTROL DE DESCARGA DE ARCHIVOS

1. Crear un control de acceso para evitar que se descargue los archivos con extensión mp3, exe y zip.
 Definición del ACL:
 Sección: Access control lists
 En el botón Create new ACL seleccione Url Regexp
 Clic en Create new ACL
 ACL name: download
 Regular expressions (active la casilla Ignore case?) y llene la lista:
o .mp3
o .exe
o .zip
 Aplicación de políticas:
 Sección: Proxy restriccions
 Clic en Add proxy restriction
 Acción: Deny
 Sección: Match ACLs; Etiqueta: download
 Orden de políticas:
 Deny | pcprohibida ! dompermitido
 Deny | download
 Allow | redlocal
 Deny | externo

Capturas 09 y 10: ACL y restricciones de contenido

2. Reconfigure o reinicie el servicio squid por consola. Desde su equipo cliente, verifique que no puede descargar archivos
con extensión mp3, exe o zip.
 Nro. DD-106
Laboratorio de Servicios de Red Página 20 de 21

3. Vea las modificaciones realizadas al archivo /etc/squid/squid.conf, las cuales deben parecerse a:
acl redlocalXX src 172.11.3.200-172.11.3.230
acl pcprohibida src 172.11.3.2XX
acl dompermitido dstdomain .sunat.gob.pe
acl download url_regex -i .mp3 .exe .zip

http_access deny pcprohibida !dompermitido

http_access deny download
http_access allow redlocalXX
http_access deny all

CONTROL DE ACCESO POR HORARIO

1. Defina una política que no permita el acceso entre las 8:00 y 22:00h.
 Definición del ACL:
 Sección: Access control lists
 En el botón Create new ACL seleccione: Date and Time
 Clic en Create new ACL
 ACL name: horario
 Days of the Week: All
 Hours of the day: [Ingrese_el_rango_solicitado]
 Aplicación de políticas:
 Sección: Proxy restrictions
 Clic en: Add proxy restriccion
 Acción: Deny
 Sección: Don’t match ACLs
 Etiqueta: horario
 Orden de políticas:
 Deny | ! horario
 Deny | pcprohibida ! dompermitido
 Deny | download
 Allow | redlocalXX
 Deny | all

Capturas 11 y 12: ACL y restricciones por horario

2. Reconfigure o reinicie el servicio squid por consola. Verifique si funciona la restricción de acceso en el tiempo indicado.
 Nro. DD-106
Laboratorio de Servicios de Red Página 21 de 21

3. Vea las modificaciones realizadas al archivo /etc/squid/squid.conf, las cuales deben parecerse a:
acl redlocalXX src 172.11.3.200-172.11.3.230
acl pcprohibida src 172.11.3.2XX
acl dompermitido dstdomain sunat.gob.pe
acl download url_regex .mp3 .zip .exe
acl horario time 08:00-22:00

http_access deny !horario

http_access deny pcprohibida !dompermitido
http_access deny download
http_access allow redlocalXX
http_access deny all