P r á c t i c a 1 3. C o n f i g u r a c i ó n d e s e r v i d o r d h c p y p r o x y

(1)

P r á c t i c a 1 3

C o n f i g u r a c i ó n d e s e r v i d o r d h c p y p r o x y

Ejercicio 1. Configuración del servidor dhcp

1. Conéctate a tu máquina virtual Centos y utiliza la cuenta de root.

2. Edita la configuración del servidor dhcp para incluir lo siguiente:

Haz que los valores aportados de dns no se actualicen automáticamente.

El nombre de dominio que se le debe proporcionar al cliente debe ser cursosl.com.

Se le debe proporcionar al cliente la dirección ip de la máquina centos como servidor dns.

Especifica que el tiempo de concesión de los parámetros de red sea tres horas.

Haz que la máscara de red sea la apropiada para tu red, por ejemplo 255.255.255.0

Establece la puerta de enlace por defecto para tu red.

Declara una subred con tu ip de red y su máscara de red.

Dentro de la subred, declara un host con nombre ubuntu para tu máquina ubuntu que se identificará por la dirección mac de su interfaz de red eth0 (tipo ethernet) y al cual se le asignará la misma ip que tiene la máquina ubuntu ahora mismo. Puedes obtener la dirección mac de la tarjeta de red ejecutando un ifconfig.

Si tienes problemas revisa /var/log/messages.

3. Comprueba en qué puerto está escuchando el servicio dhcp.

4. Conéctate a tu máquina ubuntu como root a través de la propia terminal de la máquina, cambia la configuración de la tarjeta de red eth0 de manera que coja la ip de un servidor dhcp (es recomendable que copies la configuración existente antes para volver a aplicarla más tarde si te hace falta) y reinicia el servicio de red para que le asignen los parámetros. Comprueba que se ha realizado correctamente la asignación.

Comprueba el fichero donde se reflejan las asignaciones.

5. Seguramente ambas máquinas no estén sincronizadas en cuanto a la hora se refiere. Esto puede ser un problema en entornos de producción donde hace falta que todos los servidores se encuentren sincronizados en hora.

Ejecuta ntpdate es.pool.ntp.org en centos para asignarle el servidor de hora es.pool.ntp.org y haz que ubuntu obtenga el mismo servidor de hora

mediante dhcp.

Comprueba que funciona correctamente.

(2)

6. Modifica la configuración del servidor dhcp de tal forma que cuando solicite sus datos la máquina ubuntu se le proporcione también como nombre de host: ubuntu-dhcp.

Comprueba que funciona correctamente. ¿Ha cambiado el nombre de host?

¿Por qué? Modifica lo que sea necesario para que se produzca este cambio.

7. Modifica la configuración del servidor dhcp para que en lugar de asignar la ip de manera estática a la máquina ubuntu, asigne ips que vayan entre los valores xx:xx:xx:100 - xx:xx:xx:200.

Comprueba que funciona correctamente.

8. En ubuntu, configura el cliente dhcp de manera que rechace las ofertas provenientes del servidor centos. Comprueba que, efectivamente se rechazan las ofertas del servidor centos.

Elimina el bloqueo.

9. Prueba a cambiar en el cliente dhcp el tiempo de concesión por 1800

segundos. Comprueba solicitando de nuevo la configuración al servidor dhcp si prevalece la configuración del cliente o la del servidor.

10. El servicio dhcp puede dar problemas e interferir con el resto de las

prácticas. Deshabilita el servicio, déjalo deshabilitado por defecto y vuelve a configurar la ip de la máquina ubuntu manualmente.

Solución

1. Accedemos a la máquina vía putty o bien a través de la propia terminal que lleva incorporada y usamos la cuenta de root:

su -

2. Para establecer los parámetros proporcionados editamos el fichero /etc/dhcpd.conf y lo dejamos con la siguiente configuración:

(sustituir las ips por las adecuadas para tu red)

(3)

La mac de la tarjeta de red eth0 de tu máquina ubuntu puedes obtenerla ejecutando un ifconfig:

Reiniciamos el servicio para que los cambios surtan efecto:

/etc/init.d/dhcpd restart

3. Comprobamos en qué puertos está escuchando el servicio dhcp:

netstat -lnp | grep dhcp

Comprobamos que está escuchando en el puerto 67.

4. Nos conectamos a la máquina ubuntu y cambiamos la configuración de la tarjeta de red eth0. Para ello editamos el fichero /etc/network/interfaces y lo dejamos de la siguiente forma:

A continuación reiniciamos el servicio de red:

/etc/init.d/networking restart

Si nos fijamos, al reiniciar el servicio de red habrá aparecido lo siguiente:

(4)

En la pantalla anterior se describe el proceso que se ha seguido para la asignación de los parámetros de red a la interfaz eth0. Se ha enviado una petición de asignación dhcp a través de la red y esta ha sido escuchada por el servidor centos (DHCPDISCOVER) que ha ofrecido la ip 10.0.0.72 a la máquina ubuntu (DHCPOFFER), la máquina ubuntu ha aceptado la propuesta del servidor(DHCPREQUEST) y centos le confirma que le asigna esa

información (DHCPACK) con lo que los parámetros de red han sido correctamente asignados.

Si comprobamos el contenido de /var/lib/dhcp3/dhclient.leases veremos que aparecen los datos de la asignación:

cat /var/lib/dhcp3/dhclient.leases

5. En centos ejecutamos el comando descrito:

ntpdate es.pool.ntp.org

Una vez que el servidor centos se sincroniza con el servidor de hora anterior, modificamos la configuración del servicio dhcp para que la máquina ubuntu utilice el mismo servidor. Para ello modificamos el fichero /etc/dhcpd.conf añadiendo lo siguiente como parámetro global:

(5)

Ahora para comprobar que funciona, desde ubuntu volvemos a solicitar la configuración de red:

dhclient eth0

Si pruebas a mostrar la hora en ambas máquinas con el comando date ambos mostrarán la misma hora.

6. Modificamos la configuración de /etc/dhcpd.conf y añadimos la siguiente línea:

option host-name "ubuntu-dhcp";

Ahora si nos vamos a la máquina ubuntu y volvemos a solicitar la configuración de red:

dhclient eth0

y ejecutamos hostname comprobaremos que sigue apareciendo el nombre ubuntu a secas. Esto es porque ya hay definido un nombre de host para ubuntu en /etc/hostname y se respeta. Para hacer que el nombre de host nos lo asigne también el servidor dhcp, eliminamos cualquier entrada que aparezca en /etc/hostname y volvemos a solicitar la configuración de red:

dhclient eth0

Ahora si ejecutamos hostname comprobaremos que el nuevo nombre se asigna correctamente:

(6)

7. Modificamos la configuración del servidor dhcp en /etc/dhcpd.conf y lo dejamos de la siguiente manera:

Ahora si vamos a la máquina ubuntu y volvemos a solicitar la asignación de los parámetros de red:

dhclient eth0

Comprobamos que se ha asignado correctamente una ip del rango especificado.

8. Buscamos el archivo de configuración del cliente dhclient en ubuntu:

locate dhclient

Entre todas las rutas que aparecerán buscamos algo que esté en /etc que es donde se encuentran los ficheros de configuración. El fichero en cuestión es /etc/dhcp3/dhclient.conf.

En dicho fichero rechazamos las ofertas provenientes del servidor centos añadiendo la siguiente línea:

(7)

A continuación comprobamos que, efectivamente se rechazan las ofertas del servidor centos:

dhclient eth0

Eliminamos la línea añadida a /etc/dhcp3/dhclient.conf

9. Cambiamos el tiempo de concesión por 1800 en /etc/dhcp3/dhclient.conf:

Volvemos a solicitar la información al servidor:

dhclient eth0

Ahora si nos vamos a /var/lib/dhcp3/dhclient.leases y observamos la última concesión comprobaremos que prevalece el tiempo configurado en el cliente:

10. Lo primero que hacemos es detener el servicio:

/etc/init.d/dhcpd stop

Una vez detenido el servicio, hacemos que no se inicie por defecto con el arranque del sistema:

chkconfig dhcpd off Lo comprobamos:

chkconfig --list | grep dhcpd

(8)

Por último volvemos a asignar la ip manualmente a la máquina ubuntu en /etc/network/interfaces, que en mi caso sería:

Por último reiniciamos el servicio de red:

/etc/init.d/networking restart

(9)

Ejercicio 2. Configuración del servidor proxy

1. Conéctate a tu máquina virtual Centos y utiliza la cuenta de root.

2. Intenta iniciar squid. ¿te ha dejado? Busca en los logs el fallo y soluciónalo.

3. Comprueba en qué puerto está escuchando el servicio squid.

4. Configúrate en el navegador de tu máquina ubuntu un servidor proxy con la ip de tu máquina centos y prueba a acceder a www.google.es. ¿te ha

dejado? ¿por qué?

5. Permite el acceso a internet a través del proxy a tu máquina ubuntu. Para ello crea una acl llamada ubuntu con los datos de tu máquina ubuntu y permítele el acceso.

Compruébalo.

6. Configura el servidor proxy de manera que no permita el acceso ni al dominio hotmail.com ni a marca.com mediante una acl llamada prohibidos.

Compruébalo.

7. Crea una acl llamada denegados que impida el acceso a todos los sitios que contengan las palabras "goo" y "her" las cuales se almacenarán en el fichero /etc/squid/denegados.

Prueba a acceder a www.google.es para comprobarlo.

8. Vamos a hacer que los usuarios de la máquina ubuntu no puedan acceder a internet ni los lunes, ni los martes ni los jueves (modifica alguno de estos días con el día actual en el que estés). Para ello crearemos una acl de tiempo denominada hoy_no que comprenderá esos tres días en horario de 00:00 a 23:59

Comprueba que no puedes acceder a ninguna web desde la máquina ubuntu.

9. No queremos que los usuarios de la máquina centos tengan ningún tipo de limitación a la hora de acceder a contenidos. Haz mediante una acl llamada

"local" que los usuarios de centos puedan acceder a todos los contenidos.

Compruébalo accediendo a www.google.es

10. Crea una acl llamada puerto_denegado que incluya el puerto 443 y afecte a ambas máquinas. Prueba desde centos a acceder a la web que está en la máquina centos a través del puerto 443. ¿Te ha dejado? Modifica la configuración del navegador para que también utilice el proxy para conexiones SSL.

11. Modifica la configuración del servidor proxy para que vuelque los logs de acceso en el fichero /etc/squid/personalizado.log.

Compruébalo.

(10)

Solución

1. Accedemos a la máquina vía putty o bien a través de la propia terminal que lleva incorporada y usamos la cuenta de root:

su -

2. Si intentamos iniciar squid nos dará un error:

/etc/init.d/squid start

Revisamos los logs en busca del error para poder solucionarlo:

tail /var/log/messages

En el log nos aparece el error que está impidiendo que se inicie squid y nos dice cómo solucionarlo: habilitando el parámetro visible_hostname.

Editamos el fichero /etc/squid/squid.conf y añadimos la siguiente línea:

Ahora iniciamos el servicio:

/etc/init.d/squid start

Se inicia con normalidad.

3. Comprobamos el puerto en el que está escuchando el servicio squid:

netstat -lnp | grep squid

(11)

4. Nos configuramos el servidor proxy en la máquina ubuntu. Para ello abrimos mozilla firefox desde aplicacionesinternetnavegador web firefox. y nos vamos a editarpreferencias

A continuación pinchamos en la sección "avanzado" y en la pestaña "red" y ahí mismo en la parte superior, en "configuración"

Una vez dentro, pinchamos en "configuración manual del proxy" y especificamos la ip y el puerto de la máquina centos al que nos conectaremos:

(12)

Ahora si intentamos acceder a www.google.es por ejemplo comprobaremos que no nos ha sido posible y nos da el error "Access Denied"

Esto ocurre porque squid está configurado por defecto para no permitir el acceso a través de el.

5. Vamos a hacer que la máquina ubuntu pueda navegar saliendo por el

servidor proxy de centos. Para ello editamos el fichero /etc/squid/squid.conf y añadimos las siguientes dos líneas:

(modifica la ip por la de tu máquina ubuntu)

Intenta que esas dos líneas estén lo más arriba posible en el fichero con el objetivo de que no sean obstruidas por otras configuraciones de seguridad presentes en el mismo.

A continuación reiniciamos el servicio:

/etc/init.d/squid restart

Ahora si probamos a acceder a www.google.wes desde la máquina ubuntu comprobaremos que no tenemos ningún problema.

6. Para impedir el acceso a dichos dominios, editamos el fichero /etc/squid/squid.conf y añadimos lo siguiente:

El "." delante del nombre de los dominios hacen que haga "match" también con todo lo que lleve delante: www.marca.com, correo.marca.com… Si no pusiéramos este punto, los usuarios podrían acceder especificando cualquier subdominio.

Es importante de nuevo, colocar la acl de prohibición delante de la permisiva porque de lo contrario no tendría ningún efecto.

(13)

Reiniciamos el servicio:

Ahora si probamos a acceder a www.marca.com desde la máquina ubuntu comprobamos que no es posible:

7. Lo primero que debemos hacer es crear el fichero en cuestión:

touch /etc/squid/denegados

A continuación cambiamos el propietario por squid de manera que tenga acceso a el:

chown squid /etc/squid/denegados Editamos el fichero y añadimos lo siguiente:

Después editamos el fichero de configuración de squid /etc/squid/squid.conf y lo dejamos de la siguiente forma:

(14)

Ahora si probamos a acceder a www.google.es desde ubuntu comprobaremos que no nos deja:

8. Editamos el fichero /etc/squid/squid.conf y lo dejamos de la siguiente forma:

Cuidado con el orden de las sentencias.

Ahora si probamos a acceder a cualquier página distinta de las denegadas anteriormente nos aparecerá lo siguiente:

El mensaje de error ahora es diferente y nos indica que no se nos permite el acceso en este momento.

9. Editamos el fichero de configuración /etc/squid/squid.conf y lo dejamos de la siguiente forma:

(15)

A continuación necesitamos establecer el proxy en la configuración del navegador web al igual que en la máquina ubuntu.

Si probamos a acceder a www.google.es comprobaremos que no tenemos ningún problema.

10. Creamos la acl en cuestión. El contenido de /etc/squid.squid.conf quedaría así:

A continuación si probamos a acceder desde centos a la página www.cursosl.com:443 comprobaremos que podemos visualizarla.

Para que funcione la configuración del servidor proxy, debemos ir a las opciones del navegador web y donde se establece el servidor proxy marcar la opción "usar el mismo proxy para todo"

Ahora si probamos a acceder de nuevo al sitio web no lo visualizaremos:

(16)

11. Editamos el fichero /etc/squid/squid.conf y modificamos lo siguiente:

A continuación creamos el fichero:

touch /etc/squid/personalizado.conf

Y le cambiamos los permisos para que squid pueda escribir en el:

chown squid /etc/squid/personalizado.log Reiniciamos el servicio para que surtan efecto los cambios:

Ahora si entramos en www.google.es desde centos por ejemplo y comprobamos el contenido del log: