{"id":1589,"date":"2013-08-01T08:02:29","date_gmt":"2013-08-01T07:02:29","guid":{"rendered":"http:\/\/www.javiercarrasco.es\/?p=1589"},"modified":"2013-08-01T08:02:29","modified_gmt":"2013-08-01T07:02:29","slug":"proxy-transparente-con-squid-dhcp-en-ubuntu-13-04-32-bits","status":"publish","type":"post","link":"https:\/\/www.javiercarrasco.es\/?p=1589","title":{"rendered":"Proxy transparente con Squid + DHCP en Ubuntu 13.04 32 bits"},"content":{"rendered":"

\"Ubuntu1304\"<\/a>Bueno, este mes de julio he dispuesto de m\u00e1s tiempo para poder instalar y configurar en una de las aulas de inform\u00e1tica el ordenador del profesor como PROXY TRANSPARENTE<\/strong> y servidor DHCP<\/strong> en Ubuntu 13.04 32 bits<\/strong>.<\/p>\n

Para este caso dispongo de un servidor con dos tarjetas de red, una de ellas ser\u00e1 la que est\u00e9 conectada al router<\/em> que nos da acceso a Internet (eth0<\/strong>) y la otra estar\u00e1 de cara al aula, la red interna (eth1<\/strong>).<\/p>\n

En primer lugar debemos configurar nuestras interfaces de red, la primera, eth0<\/strong> se configurar\u00e1 por DHCP desde el router<\/em>, y la segunda, eth1<\/strong>, tendr\u00e1 una IP est\u00e1tica a nuestra elecci\u00f3n, para mi caso 192.168.0.1, como puerta de enlace la misma y DNS para navegar.<\/p>\n

DHCP<\/strong><\/h2>\n

Una vez configuradas las tarjetas de red, empezamos con el DHCP. Para instalar ejecutamos desde una consola el siguiente comando.<\/p>\n

$ sudo apt-get install isc-dhcp-server<\/pre>\n
En algunos casos puede ser que funcione dhcp3-server<\/code> (obsoleto) en vez de isc-dhcp-server<\/code>.<\/p>\n
Seguidamente debemos especificar la interfaz por la que serviremos las direcciones IP a nuestros clientes, recordar, la interfaz interna. Editamos el fichero \/etc\/default\/isc-dhcp-server<\/code> con nuestro editor favorito y buscamos la opci\u00f3n INTERFACES<\/strong> para indicar cual ser\u00e1 la nuestra.<\/p>\n
$ sudo gedit \/etc\/default\/isc-dhcp-server<\/pre>\n
Dej\u00e1ndolo como se muestra a continuaci\u00f3n.<\/p>\n
# Defaults for isc-dhcp-server initscript\n# sourced by \/etc\/init.d\/isc-dhcp-server\n# installed at \/etc\/default\/isc-dhcp-server by the maintainer scripts\n\n#\n# This is a POSIX shell fragment\n#\n\n# Path to dhcpd's config file (default: \/etc\/dhcp\/dhcpd.conf).\n#DHCPD_CONF=\/etc\/dhcp\/dhcpd.conf\n\n# Path to dhcpd's PID file (default: \/var\/run\/dhcpd.pid).\n#DHCPD_PID=\/var\/run\/dhcpd.pid\n\n# Additional options to start dhcpd with.\n#\tDon't use options -cf or -pf here; use DHCPD_CONF\/ DHCPD_PID instead\n#OPTIONS=\"\"\n\n# On what interfaces should the DHCP server (dhcpd) serve DHCP requests?\n#\tSeparate multiple interfaces with spaces, e.g. \"eth0 eth1\".\nINTERFACES=\"eth1\"<\/pre>\n
Ahora debemos configurar los par\u00e1metros del servicio DHCP, para eso vamos a \/etc\/dhcp<\/code> y antes de nada hacemos un backup<\/em> de dhcpd.conf<\/code>.<\/p>\n
$ sudo cp dhcpd.conf dhcpd.conf.original<\/pre>\n
Y editamos el fichero.<\/p>\n
$ sudo gedit dhcpd.conf<\/pre>\n
Lo podemos borrar por completo y a\u00f1adir \u00fanicamente nuestra configuraci\u00f3n, aqu\u00ed dejo la que he utilizado yo para el aula.<\/p>\n
option domain-name \"server-inf01.public\";\noption domain-name-servers ns1.server-inf01.public, ns2.server-inf01.public;\n\ndefault-lease-time 600;\nmax-lease-time 7200;\n\n# AulaInformatica\nsubnet 192.168.0.0 netmask 255.255.255.0 {\n\trange 192.168.0.10 192.168.0.40;\n\toption domain-name-servers tu_DNS1, tu_DNS2;\n\toption domain-name \"inf01.server.public\";\n\toption routers 192.168.0.1;\n\toption broadcast-address 192.168.0.255;\n\tdefault-lease-time 600;\n\tmax-lease-time 7200;\n}<\/pre>\n
Guardamos y ya podemos reiniciar el servicio y comprobar.<\/p>\n
$ sudo service isc-dhcp-server restart<\/pre>\n
En ocasiones, puede ser que necesitemos hacer reservas<\/strong> de direcciones IP, asignar la misma IP siempre al mismo equipo. En el mismo fichero de configuraci\u00f3n, \/etc\/squid\/dhcpd.conf<\/code>, podemos a\u00f1adir las siguientes l\u00edneas.<\/p>\n
#Reservas\nhost inf01-13 {\n\thardware ethernet 00:1d:60:96:53:85;\n\tfixed-address 192.168.0.13;\n\toption routers 192.168.0.1;\n\toption domain-name \"inf01.server.public\";\n}<\/pre>\n
Deberemos tener este conjunto de l\u00edneas por cada una de las reservas que queramos tener.<\/p>\n
Ya tenemos el segundo paso terminado.<\/p>\n
PROXY TRANSPARENTE SQUID
\n<\/strong><\/h2>\n
En primer lugar debemos instalar Squid en nuestra m\u00e1quina, desde un terminal ejecutamos el siguiente comando.<\/p>\n
$ sudo apt-get install squid3<\/pre>\n
El siguiente paso ser\u00e1 configurar nuestro Squid, editamos el fichero squid.conf<\/code> que encontraremos en \/etc\/squid3<\/code>.<\/p>\n
$ sudo gedit \/etc\/squid3\/squid.conf<\/pre>\n
Deberemos modificar las siguientes opciones.<\/p>\n
http_port 3128<\/pre>\n
por esta otra<\/p>\n
http_port 192.168.0.1:3128 transparent<\/pre>\n
3128 es el puerto de Squid y debemos indicar la direcci\u00f3n IP del servidor, la que se encuentre en la parte interna.<\/p>\n
Si nuestra m\u00e1quina tiene suficiente memoria, le quitamos la almohadilla a la opci\u00f3n cache_men<\/code>, y utilizamos un valor coherente a nuestra m\u00e1quina, en mi caso la he dejado como se muestra.<\/p>\n
cache_mem 512 MB<\/pre>\n
Buscamos la opci\u00f3n cache_dir<\/code> y la ajustamos como en la siguiente l\u00ednea, aunque aqu\u00ed los valores de cach\u00e9 depender\u00e1n de nuestras preferencias y m\u00e1quina.<\/p>\n
cache_dir ufs \/var\/spool\/squid3 2048 16 256<\/pre>\n
Y activamos las siguientes opciones, para asegurar que ning\u00fan usuario pueda acceder a los recursos gestionados por Squid.<\/p>\n
cache_effective_user proxy\ncache_effective_group proxy<\/pre>\n
Descomentamos la opci\u00f3n half_closed_clients<\/code> y la dejamos en off<\/code>, esto permitir\u00e1 a Squid cerrar las peticiones de los clientes que se queden a medias cuando cierran la conexi\u00f3n TCP.<\/p>\n
half_closed_clients off<\/pre>\n
Ahora limitamos el tama\u00f1o m\u00e1ximo de los objetos que se guardar\u00e1n en memoria, esto puede ahorrarnos problemas con el tama\u00f1o de la cach\u00e9. Descomentamos la siguiente l\u00ednea y la dejamos en 1024 KB.<\/p>\n
maximum_object_size 1024 KB<\/pre>\n
Tambi\u00e9n vamos a indicar cuando debe Squid vaciar la cach\u00e9, esto nos permitir\u00e1 un mejor mantenimiento. Descomentamos las siguientes l\u00edneas.<\/p>\n
cache_swap_low 90\ncache_swap_high 95<\/pre>\n
En mi caso dejo los valores que nos dan por defecto. Como \u00faltima modificaci\u00f3n en las opciones de configuraci\u00f3n de Squid, buscamos la opci\u00f3n memory_pools<\/code>, la descomentamos y la ponemos en off<\/code>.<\/p>\n
memory_pools off<\/pre>\n
Esta opci\u00f3n, har\u00e1 que Squid libere la memoria RAM que no est\u00e9 utilizando.<\/p>\n
Por \u00faltimo, tras la siguiente l\u00ednea,<\/p>\n
#\n# INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS\n#<\/pre>\n
A\u00f1adiremos la regla para permitir el acceso a Internet de nuestra red interna.<\/p>\n
acl mi_red src 192.168.0.0\/24\nhttp_access allow mi_red<\/pre>\n
Y con esto ya podemos reiniciar Squid.<\/p>\n
$ sudo service squid3 restart<\/pre>\n
IPTABLES<\/strong><\/p>\n
Ya s\u00f3lo nos faltan las IPTABLES, estas son muy duras de entender y no es que las domine, pero podemos encontrar varios scripts<\/em> por internet<\/a> que hacen lo que necesitamos.<\/p>\n
Yo me he quedado con el siguiente que se adapta bastante a lo que necesito.<\/p>\n
#!\/bin\/sh\n# IP del servidor SQUID\nSQUID_SERVER=\"192.168.0.1\"\n# Interface conectada a Internet\nINTERNET=\"eth0\"\n# Interface interna\nLAN_IN=\"eth1\"\n# Puerto Squid\nSQUID_PORT=\"3128\"\n\n# Limpia las reglas anteriores\niptables -F\niptables -X\niptables -t nat -F\niptables -t nat -X\niptables -t mangle -F\niptables -t mangle -X\n# Carga los modulos IPTABLES para NAT e IP con soporte conntrack\nmodprobe ip_conntrack\nmodprobe ip_conntrack_ftp\necho 1 > \/proc\/sys\/net\/ipv4\/ip_forward\n# Politica de filtro por defecto\niptables -P INPUT DROP\niptables -P OUTPUT ACCEPT\n# Acceso ilimitado a loop back\niptables -A INPUT -i lo -j ACCEPT\niptables -A OUTPUT -o lo -j ACCEPT\n# Permite UDP, DNS y FTP pasivo\niptables -A INPUT -i $INTERNET -m state --state ESTABLISHED,RELATED -j ACCEPT\n# Establece el servidor como router para la red\niptables --table nat --append POSTROUTING --out-interface $INTERNET -j MASQUERADE\niptables --append FORWARD --in-interface $LAN_IN -j ACCEPT\n# acceso ilimiato a la LAN\niptables -A INPUT -i $LAN_IN -j ACCEPT\niptables -A OUTPUT -o $LAN_IN -j ACCEPT\n# Redirige las peticiones de la red interna hacia el proxy\niptables -t nat -A PREROUTING -i $LAN_IN -p tcp --dport 80 -j DNAT --to $SQUID_SERVER:$SQUID_PORT\n# Redirige la entrada al proxy\niptables -t nat -A PREROUTING -i $INTERNET -p tcp --dport 80 -j REDIRECT --to-port $SQUID_PORT\n# Registrar todo\niptables -A INPUT -j LOG\niptables -A INPUT -j DROP<\/pre>\n
Pod\u00e9is encontrar el original aqu\u00ed<\/a>.<\/p>\n
El inconveniente est\u00e1 en que las IPTABLES debes ejecutarlas cada vez que arranquemos la m\u00e1quina, por eso crearemos un script<\/em> y haremos que se ejecute siempre al iniciar el equipo.<\/p>\n
Copiamos el script en \/etc\/init.d\/<\/code>.<\/p>\n
$ sudo cp iptables_proxy.sh \/etc\/init.d<\/pre>\n
Cambiamos el propietario y los permisos del script.<\/p>\n
$ sudo chown root:root iptables_proxy.sh\n$ sudo chmod 700 iptables_proxy.sh<\/pre>\n
A continuaci\u00f3n editamos el fichero \/etc\/init.d\/rc.local<\/code>.<\/p>\n
$ sudo gedit \/etc\/init.d\/rc.local<\/pre>\n
Y a\u00f1adimos las siguientes l\u00edneas bajo ### END INIT INFO<\/code>.<\/p>\n
### END INIT INFO\n\ncd \/etc\/init.d\n.\/iptables_proxy.sh<\/pre>\n
Ya podremos reiniciar nuestra m\u00e1quina y comprobar que se ejecuta y realiza su funci\u00f3n correctamente, espero os sirva de ayuda.<\/p>\n
Au!!<\/p>\n
Fuentes:<\/strong>
\nSebest<\/a>
\n Ubuntu Server Guide<\/a>
\n tldp.org<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"
Bueno, este mes de julio he dispuesto de m\u00e1s tiempo para poder instalar y configurar en una de las aulas de inform\u00e1tica el ordenador del profesor como PROXY TRANSPARENTE y servidor DHCP en Ubuntu 13.04 32 bits. Para este caso dispongo de un servidor con dos tarjetas de red, una de ellas ser\u00e1 la que […]<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[3],"tags":[30,37,68,115,120,125],"class_list":["post-1589","post","type-post","status-publish","format-standard","hentry","category-cuaderno-linux","tag-comandos","tag-dhcp","tag-iptables","tag-scripts","tag-squid3","tag-ubuntu"],"_links":{"self":[{"href":"https:\/\/www.javiercarrasco.es\/index.php?rest_route=\/wp\/v2\/posts\/1589","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.javiercarrasco.es\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.javiercarrasco.es\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.javiercarrasco.es\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.javiercarrasco.es\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=1589"}],"version-history":[{"count":0,"href":"https:\/\/www.javiercarrasco.es\/index.php?rest_route=\/wp\/v2\/posts\/1589\/revisions"}],"wp:attachment":[{"href":"https:\/\/www.javiercarrasco.es\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=1589"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.javiercarrasco.es\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=1589"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.javiercarrasco.es\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=1589"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}