Proxy con una sola tarjeta de red

[carlitossanchez]

Que tal amigos estoy tratando de hacer un proxy con una sola tarjeta de red, pero estoy confundido en la manera de como conectar la red. He buscado en google y la mejor manera de hacerlo es con 2 tarjetas de red, pero en mi trabajo me exigen con una sola. Alguien ha hecho esto o tiene idea de como hacerlo??? Estoy trabajando con squid e iptables. Si alguien tiene un archivo squid.conf preconfigurado bien bien mandemelo porfa

[odaiba]

Se puede crear adaptadore virtuales pero esa configuracion da problemas, teniendo eth0 y eth0:1

[starboy]

El squid.conf, puede variar mucho dependiende de que tanto quieres bloquear y de que forma lo quieres hacer, yo actualmente estoy manejando un server con ubuntu 8.10 Server con squid y me va muy bien pero yo si manejo dos trajetas es mas practico, pero pues igual y aqui damos con la forma de hacerlo con una sola, puedes plantear el panorama de tu situacion y te podriamos hechar una mano, entre todos algo debe de salir.
 

[carlitossanchez]

Hola que tal muchas gracias por responder, mi entorno de red es el siguiente:

a)--- existe 2 servidores, uno en windows con server 2003, y el otro con ubuntu 8.04

b)--- tengo un parque informatico de 6 computadoras a las que se debe controlar el acceso a internet, el ancho de banda, descargas, etc..

c)--- 2 computadoras deben tener acceso normal a la red, mas el servidor de windows ya que el correo se maneja con exchange

d)--- debes en cuando se debe quitar la restriccion a la computadora que se le autorice,


como lo puedo hacer?? si me puedes ayudar, y pues para evitar problemas ya puse una segunda tarjeta de red, asi le veo mas facil pero igual necesito una ayudita

[starboy]

Hola.

Pues aprovechando la ocacion hice un pequeño como espero te sirva lo pego aqui para darle la continuidad al hilo tambien lo puedes consultar http://vive-libre.com/blog/2009/03/03/configuracion-de-ubuntu-server-810-dhcp-squid-iptables no no es spam

Despues de instalar un servidor con Ubuntu Server en este caso 8.10, lo que normalmente necesitamos es proveer de servicio de internet y con ello establecer ciertas reglas para controlar el acceso a siertas paginas, para mantener fluido el trafico de nuestra red, el primer paso seria configurar el servidorDHCP, para asignar las ip automaticamente.

Para este caso en particular tomaremos de referencia la siguinete informacion

Direccion de red interna: 192.168.2.0/24

Interface con salida a internet: eth0

Interface conectada a la red interna: eth1

Ip de eth1: 192.168.2.1

Ip de eth0: 192.168.1.100

En este caso salimos a internet por medio de un modem 2wire de Telmex, aun que esto no importa demaciado, solo es para referencia.

Lo primero que debemos da hacer es configurar las ip estaticas, como estamos usando una version de servidor asumimos que no tenemos interface grafica asi que nuestro editor de archivos sera VI , pero pueden usar el que mas les acomode.

En vi hay dos modos de trabajo edicion y comandos, para edita un archivo hay que precionar la tecla [insert] para salir del modo de edicion y pasar a comandos precionamos la tecla [esc]  si queremos guardar el archivo entramos a modo de comandos y tecleamos :w si queremos salir es :q si queremos guardar y salir :wq para forzar cualquier accion agregamos el ! forzar el guardar :w! o forzar la salida :q!
sudo apt-get install vim

sudo vi /etc/network/interfaces

Ahi pondremos esto
# This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).

# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface
auto eth0
iface eth0 inet static
address 192.168.1.100
netmask 255.255.255.0
network 192.168.1.0
broadcast 192.168.1.255
gateway 192.168.1.254
dns-nameservers 192.168.1.254

auto eth1
iface eth1 inet static
address 192.168.2.1
netmask 255.255.255.0

Que significa esto?

Esto nos inidica cual es la interface de loopback nada interesante
# This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).

# The loopback network interface
auto lo
iface lo inet loopback

Se define la configuracion para eth0 que es la tarjeta que nos conectara a internet
# The primary network interface
auto eth0

Aqui indicamos que la direccion es de tipo estatico
iface eth0 inet static

La variable addres  es una ip del rango que nos asigna el modem para salir a internet
address 192.168.1.100
netmask 255.255.255.0

La red por defecto
network 192.168.1.0
broadcast 192.168.1.255

Es la puerta de enlace que nos da salida a internet
gateway 192.168.1.254

Y los DNS en este caso usamos el mismo modem para que nos resuelva hacia internet, esto datos cambian segun la configuracion de la red que les da salida a internet
dns-nameservers 192.168.1.254

Esta es la configuracion de la tarjeta de red a la que se conectara la red interna, solo hay que indicar la direccion IP y mascara, ya que nos conectaremos a internet por la otra tarjeta de red.
auto eth1
iface eth1 inet static
address 192.168.2.1
netmask 255.255.255.0

Para que cargue la nueva configuracion reiniciaremos los servicio de red
sudo /etc/init.d/networking restart

Si todo esta bien configurado veremos algo como esto
* Reconfiguring network interfaces...

* if-up.d/mountnfs[eth0]: waiting for interface eth1 before doing NFS mounts
[ OK ]

El siguiente paso es configurar el DHCP, para asignar las direcciones ip de forma automatica, para esto usaremos dhcp3-server
sudo apt-get install dhcp3-server

Primero hay que indicar en que interface de red es donde va a escuchar para eso editamos el siguiente archivo
sudo vi /etc/default/dhcp3-server

En nuestro caso la tarjeta que va a proveer el servicio es la eth1 que va a la red interna
# Defaults for dhcp initscript
# sourced by /etc/init.d/dhcp
# installed at /etc/default/dhcp3-server by the maintainer scripts

#
# This is a POSIX shell fragment
#

# On what interfaces should the DHCP server (dhcpd) serve DHCP requests?
#       Separate multiple interfaces with spaces, e.g. "eth0 eth1".
INTERFACES="eth1"

Ahora hay que configurar el dhcp, en el siguiente archivo.
sudo vi /etc/dhcp3/dhcpd.conf

Tendremos un muy extenso archivo de configuracion de lo cual solo nos servira lo siguiente, lo demas lo podemos eliminar
ddns-update-style interim;

authoritative;

subnet 192.168.2.0 netmask 255.255.255.0{
range 192.168.2.100 192.168.2.200;
option domain-name-servers 192.168.1.254;
option routers 192.168.2.1;
option broadcast-address 192.168.2.255;
default-lease-time 36000;
max-lease-time 180000;
}

Empezamos por definir sobre que red se va atrabajar y la mascara
ddns-update-style interim;

authoritative;

subnet 192.168.2.0 netmask 255.255.255.0{

Indicamos el rando de direcciones que deseamos que asigne en este caso asiganras desdela ip 192.168.2.100 hasta la ip 192.168.2.200
range 192.168.2.100 192.168.2.200;

Indicamos los DNS
option domain-name-servers 192.168.1.254;

La puerta de enlace, en este caso el servidor ubuntu, ya que todas las maquinas de la red se conectaran a nosotros para proveerlos de internet.
option routers 192.168.2.1;

Estos son los valores que en dado caso se tendrian que modificar segun su configuracion de red. Solo quedaria reiniciar el servicio de DHCP
sudo /etc/init.d/dhcp3-server restart

Si todo esta bien obtendremos esto
* Stopping DHCP server dhcpd3                                           [ OK ]
* Starting DHCP server dhcpd3                                            [ OK ]

Ahora instalaremos el proxy, en este caso Squid
sudo apt-get install squid

Es muy importante para poder compartir el internet tener activado al Froward, para esto crearemos un archivo que se ejecutara al inicio del arranque donde tambien se cargaran las iptables, ya que estas configuraciones, se pierden cada vez que se apaga el equipo, este archivo se llamara iptables.cf, o como gusten llamarle
sudo vi /etc/init.d/iptables.cf

Y pondremos lo siguiente
iptables -X
iptables -Z
iptables -t nat -F

iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
iptables -t nat -A POSTROUTING -s 192.168.2.0/24 -o eth0 -j MASQUERADE

iptables -t nat -A PREROUTING -s 192.168.2.0/24 -d ! 192.168.2.0/24 -p tcp --dport 80 -j REDIRECT --to-port 3128

iptables -A INPUT -s 192.168.2.0/24 -i eth1 -j ACCEPT

iptables -A FORWARD -s 192.168.2.0/24 -i eth1 -p tcp --dport 993 -j ACCEPT
iptables -A FORWARD -s 192.168.2.0/24 -i eth1 -p tcp --dport 110 -j ACCEPT
iptables -A FORWARD -s 192.168.2.0/24 -i eth1 -p tcp --dport 465 -j ACCEPT
iptables -A FORWARD -s 192.168.2.0/24 -i eth1 -p tcp --dport 25 -j ACCEPT
iptables -A FORWARD -s 192.168.2.0/24 -i eth1 -p tcp --dport 80 -j ACCEPT
iptables -A FORWARD -s 192.168.2.0/24 -i eth1 -p tcp --dport 443 -j ACCEPT

iptables -A FORWARD -s 192.168.2.0/24 -i eth1 -p tcp --dport 53 -j ACCEPT
iptables -A FORWARD -s 192.168.2.0/24 -i eth1 -p udp --dport 53 -j ACCEPT

echo 1> /proc/sys/net/ipv4/ip_forward

Que es esto?

Las iptables nos ayudaran a decidir que dejar pasar por la red y por donde dejarlo pasar, en este caso, solo configuraremos las iptables para que nos redireccionen todo el del puerto 80 hacia el puerto 3128 que es el puerto del squid, para que no tengamos que configurar el proxy en todas las maquinas , y ya que compartimos el internet enmascaramos todo lo que venga de la red interna y que saldra por la interface eth0, permitiremos tambien el forward para el dhcp y tambien para el correo, para no tener problemas con los clientes de correo.

Borramos las reglas que se esten ejecuntando
iptables -X
iptables -Z
iptables -t nat -F

Aceptamos coneciones saliente, entrantes, el forward, prerouting y postrouting
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT

Esta es una configuracion muy basica asi que por el momento no nos preocuparemos por el tema de la seguridad (eso es otro HowTo)

Habilitamos el enmascaramiento, para que la red interna pueda salir a internet por la conexion del server
iptables -t nat -A POSTROUTING -s 192.168.2.0/24 -o eth0 -j MASQUERADE

Activamos el redireccionamiento para el proxy tranparente, tambien indicamos que lo redireccionaremos siempre y cuando el destino no sea una direccion dentro de la misma red, digase servidores web locales todo lo demas al proxy
iptables -t nat -A PREROUTING -s 192.168.2.0/24 -d ! 192.168.2.0/24 -p tcp --dport 80 -j REDIRECT --to-port 3128

Habilitamos el forward para los puertos especificos de correo y dhcp,  pop,  imap, simap, smtp, ssmtp y dhcp
iptables -A FORWARD -s 192.168.2.0/24 -i eth1 -p tcp --dport 993 -j ACCEPT
iptables -A FORWARD -s 192.168.2.0/24 -i eth1 -p tcp --dport 110 -j ACCEPT
iptables -A FORWARD -s 192.168.2.0/24 -i eth1 -p tcp --dport 465 -j ACCEPT
iptables -A FORWARD -s 192.168.2.0/24 -i eth1 -p tcp --dport 25 -j ACCEPT
iptables -A FORWARD -s 192.168.2.0/24 -i eth1 -p tcp --dport 80 -j ACCEPT
iptables -A FORWARD -s 192.168.2.0/24 -i eth1 -p tcp --dport 443 -j ACCEPT

iptables -A FORWARD -s 192.168.2.0/24 -i eth1 -p tcp --dport 53 -j ACCEPT
iptables -A FORWARD -s 192.168.2.0/24 -i eth1 -p udp --dport 53 -j ACCEPT

Y por ultimo habilitamos el forward
echo 1> /proc/sys/net/ipv4/ip_forward

Con esto es mas que suficiente, ahora hay que darle permisos de ejecucion
sudo chmod a+x /etc/init.d/iptables.cf

Ahora para que se ejecute al arranque instalaremos un pequeño programa que nos ayuda a configurar los archivos que se ejecutan al iniciar el sistema
sudo apt-get install rcconf

y lo ejecutaremos con
sudo rcconf

Veran esta pantalla solo hay que marcar el iptables.cf y todo listo si nececitan correr un archivo al arranque solo concedanle permisos y de la misma forma  : D.

Ahora hay que configurar el Squid, para eso editaremos el siguiente archivo.
sudo vi /etc/squid/squid.conf

De igualmanera, podemos borrar todo y dejar solo lo siguiente
http_port 3128 transparent

cache_mem 16 MB

cache_dir ufs /var/spool/squid 700 16 256

ie_refresh on

offline_mode on

acl all src 0.0.0.0/0.0.0.0
acl red_local src 192.168.2.0/24
acl plus src "/etc/squid/plus.lst"
acl sites url_regex "/etc/squid/sites.lst"
acl files url_regex -i .exe .flv .mp4 .mp3 .avi .wma .mov .acc .wav .bat .asf .mpeg .3gp .swf
acl localhost src 127.0.0.1/255.255.255.255

http_access deny red_local !plus sites
http_access deny red_local !plus files
http_access allow red_local
http_access allow localhost
http_access deny all

Para que esto funciones habremos de crear dos archivos, uno donde se guardaran las paginas que deseamos bloquear, y otro donde tendremos una lista de las ip que  tendran derechos privilegiados
vi /etc/squid/sites.lst

Aqui pondremos las paginas bloqueadas, esta es mi lista, algunas paginas de video redes sociales, mensageros web etc.
hi5.com
www.metroflog.com
mx.youtube.com
es.youtube.com
www.youtube.com.us
www.youtube.com
www.youtube.com.mx
www.dailymotion.com
www.tu.tv
www.ebuddy.com
www.meebo.com
webmessenger.msn.com
www.webmessenger.msn.com
www.iloveim.com
www.spacelive.com
home.spaces.live.com/
www.myspace.com/
spaces.live.com/
www.radiusim.com/
www.messengerfx.com
messengerfx.com/
www.facebook.com/
fulltono.com/
www.fulltono.com/
rapidshare.com
megaupload.com
www.veoh.com/
www.megavideo.com/
www.proxybutton.com/
www.videoblogs.com/
video.google.com/
imo.im
www.koolim.com/
koolim.com/
voltv.es/
www.imhaha.com
imhaha.com
proxify.com/
www.proxify.com/
www.megaclick.com/
www.my-proxy.com
www.blogger.com/
cbox.ws
megaclilck.com/
facebook.com/
youporn.com
www.lajaula.net
www.alianzo.com
www.goear.com
www.zshare.com
zshare.net
skydrive.live.com

Y sigue la lista de direcciones privilegiadas
sudo vi /etc/squid/plus.lst

Y agregamos las ip que deseemos
192.168.2.150

192.168.2.135

Ahora regresando al archivo de configuracion del squid

Indicamos que por el puerto 3128 escucharemos y que sera proy tranparente
http_port 3128 transparent

Estos valores dejarlos tal cual
cache_mem 16 MB

cache_dir ufs /var/spool/squid 700 16 256

ie_refresh on

offline_mode on

Las acl o definiciones de control de acceso, son las que nos permitiran hacer referencias hacia ciertos elementos ya sea ip, direciones etc

La definicion all indica un origen definido por todo el rango de direciones ip
acl all src 0.0.0.0/0.0.0.0

La siguiente definicion hace referencia al conjunto de ip comprendidas dentro de nuestra red
acl red_local src 192.168.2.0/24

La definicion plus hace referencia alas ip que se encuentran listadas dentro del archivo que creamos
acl plus src "/etc/squid/plus.lst"

La definicion sites hace referencia ala lista de sitios restringidos
acl sites url_regex "/etc/squid/sites.lst"

La definicion files es un conjunto de extenciones las cuales se van a restringir para su descarga, hay que tener un poco de cuidado, por ejemplo los archivos .bin pueden ser desde binarios de linux, como imagenes de cd o archivos comprimidos, si añaden esa extencion se daran cuenta que las busquedas de google desencadenaran el bloqueo del proxy y no les dejara buscar nada, ya que dentro de la url de la busqueda se generan este tipo de extenciones, la cadena .mp bloquea el yahoo mail, asi que sehan cuidadosos es este sentido, y evitense dolores de cabeza.
acl files url_regex -i .exe .flv .mp4 .mp3 .avi .wma .mov .acc .wav .bat .asf .mpeg .3gp .swf

Y por ultimo la definicion del loopback
acl localhost src 127.0.0.1/255.255.255.255

Ahora ay que generar las reglas, para permitir o denegar el acceso usamos http_acces despues la accion deny o allow aquien se lo vamos a aplicar y que le vamos a restringir

Aqui denegamos a todas las direciones de la red que sean diferente a las definidas en la lista plus los sitios definidos por la lista sites
http_access deny red_local !plus sites

De igual forma denegamos a todas las ip de la red local que sean diferentes a las definidas por la lista plus el acceso a los archivo definidos en la lista files
http_access deny red_local !plus files

Muy importante todas las reglas siempre deben de ir antes de estas ultimas de lo contrario el proxy aparentara que no esta funcionando, ya que las reglas llevan un orden de ejecucion
http_access allow red_local
http_access allow localhost
http_access deny all

Cada vez que se haga un cambio en las reglas habra que reiniciara el servicio, esto interrunpuria todo el trafico que este pasando por el proxy, hasta que recargue el servcio  segun la velocidad del servidor y la carga de trafico unos 20 o 30 segundo.

Espero sea de utilidad, y como siempre espero sus comentarios, criticas y chiste.

Pd. este post fue motivado por algunas dudas de los amigos del foro de Byte.

Asi que esto es todo

Byte.

[carlitossanchez]

muchas gracias voy a intentar guiandome en tu configuracion, cualquier cosa te molesto

[carlitossanchez]

Amigo startboy como estas,

sabes que segui la configuracion de tu proxy y en el servidortodo esta bien, hago ping a google y a las diferentes maquinas dentro de mi red interna, por otro lado desde cualquiera de las maquinas igualmente me da el dhcp  y todo bien dentro de la consola hago ping al servidor, a la ip publica a google, a yahoo pero al momento de abrir el navegador pues simplemente no navega para nada, inclusive le especifico el proxy y el puerto pero nada de nada no vale desde ninguna maquina, pero si tengo ping por ejemplo a google.com!!!!!

Que puede ser???

Gracias la ayuda

[starboy]

Hola.

Es rraro, podrias postear o mandar por correo tu configuracion de las iptables y el squid, para checarlo.

Saludos.

[carlitossanchez]

creo que ya encontre el error, vi en los log del squid y me da esto

2009/03/16 11:50:55| Starting Squid Cache version 2.6.STABLE18 for i386-debian-linux-gnu...
2009/03/16 11:50:55| Process ID 4899
2009/03/16 11:50:55| With 1024 file descriptors available
2009/03/16 11:50:55| Using epoll for the IO loop
2009/03/16 11:50:55| DNS Socket created at 0.0.0.0, port 40462, FD 6
2009/03/16 11:50:55| Adding nameserver 192.168.1.1 from /etc/resolv.conf
2009/03/16 11:50:55| Adding nameserver 192.168.1.100 from /etc/resolv.conf
2009/03/16 11:50:55| Adding nameserver 200.107.10.52 from /etc/resolv.conf
2009/03/16 11:50:55| Adding nameserver 200.107.60.58 from /etc/resolv.conf
2009/03/16 11:50:55| User-Agent logging is disabled.
2009/03/16 11:50:55| Referer logging is disabled.
2009/03/16 11:50:55| Unlinkd pipe opened on FD 11
2009/03/16 11:50:55| Swap maxSize 102400 KB, estimated 7876 objects
2009/03/16 11:50:55| Target number of buckets: 393
2009/03/16 11:50:55| Using 8192 Store buckets
2009/03/16 11:50:55| Max Mem  size: 8192 KB
2009/03/16 11:50:55| Max Swap size: 102400 KB
2009/03/16 11:50:55| Local cache digest enabled; rebuild/rewrite every 3600/3600 sec
2009/03/16 11:50:55| /var/spool/squid/swap.state: (13) Permission denied
FATAL: storeUfsDirOpenSwapLog: Failed to open swap log.
Squid Cache (Version 2.6.STABLE18): Terminated abnormally.
CPU Usage: 0.030 seconds = 0.030 user + 0.000 sys
Maximum Resident Size: 0 KB
Page faults with physical i/o: 0


crees tu que solo es una falta de permiso??

[NoNick]

Qué tal,

Checa los permisos del archivo y directorio y deben de verse más o menos así,

-rw-rw-r--

Saludos,

[Diabliyo]

Hola:

starboy el script de IPTABLES que proporcionas es inseguro y no existe control en los paquetes :S... Ya que, que sucede si el cliente arma una peticion a 192.168.1.254 ??... Simplemente IPTABLES lo dejaria pasar, en este caso, el Proxy (squid) seria saltado y el usuario podria navegar libremente saltandose las reglas de denegacion !!... en fin, es mi mas sincera critica constructiva.

calitossanches, te aconsejo que efectivamente sigas los scripts de starboy, pero que hagas una variacion un poco amplia, la idea es asi:

PC Servidor
- Debes levantar SQUID en eth0 (la inteface unica de red que tienes).
- Debes levantar un DHCP-Server (usa dnsmasq) y ponlo en eth0.
- Usa IPTABLES para solo y unicamente abrir los puertos que quieras, Ejm: 80 (internet) y 8080 (squid).

En IPTABLES debes ser muy estricto para que los usuarios no se salten tu firewall y al squid, ya que si lo logran, van a disfrutar de hacer lo que les plasca... Te aconsejo que en IPTABLES forzes a que CUALQUIER PAQUETE que llegue a tu interface eth0 con una direccion IP 192.168.1.* (tu red lan) la redirecciones hacia el puerto 8080, de esta forma se la estarias pasando a SQUID y aplicara las ACLs establecidas, despues oviamente activando el archivo /proc/sys/net/ipv4/ip_forward a 1 indicas que se establece forwarding de paquetes:

Código:

echo 1 > "/proc/sys/net/ipv4/ip_forward"

En el DHCP-Server (dnsmasq) debes establecerles a los clientes como gateway la IP de tu interface eth0, asi aun que el usuario configure su Firefox para enviarle a 192.168.1.254 (router internet), tendria que pasar el paquete por la eth0 , oviamente deberas cerar una regla en IPTABLES para que, todo lo que venga por la eth0 con una IP 192.168.1.* con destino a 192.168.1.254 lo denieges (-j DROP), asi, aun que configuren su firefox para "saltarse" el firewall y squid, no lo lograran xD...

Y listo, red segura, controlada y sin que los clientes burlen los servicios

Scripts pues Google ayudaria mucho para que entiendas IPTABLES, ya que no sirve de mucho dartelos echos , existen scripts en la red ya echos y que mejor , existen manuales para que aprendas como usar IPTABLES. De entrada ya te di la idea

OTRO GRAN CONSEJO

Si pudieras implementar dos tarjetas de red seria mucho mejor , ya que, en lo personal no aconsejo usar una sola tarjeta de red a nivel empresa :S, ya que la demanda de informacion y uso de la red es excesiva :S, y se genera un tubo de botella que se siente pesadizimo cuando se esta transfiriendo informacion en la red ... Ya que, cuando por ejemplo Estas bajando o enviando un archivo a otra PC, toda la informacion de entrada y salida viaje de un punto hacia el servidor (eth0) y de regreso desde el Servidor (eth0) hacia el demandante, asi que en eth0 se genera un tubo de botella que si viaja muuucha informacion, esto alentara la red y servicios :S...

Lo conveniente es usar una sola tarjeta de red para una red pequena (tipo cyebrcafe)...

La Solucion al tubo de botella es la implementacion de dos tarjetas de red, en donde por ejemplo: eth0 la usamod para recepcion y eth1 para envios... Este proceso o tecnica la encuentras como EtherChannel. La configuracion es simple, si sabes usar IPTABLES lo tienes echo

bye