ADMINISTRACINDEREDESENLINUX

Dedicatoria: Paramisdoshijos:NicolsyDavidquesonmiinspiracinylaraznporlaquecadamaaname levantoyquieroseguiradelante,paramiesposoqueesmimejoramigoyestconmigosiempreya mispadresqueapesardetodosiempremehandadosuapoyoincondicional.

Pgina1/26

ADMINISTRACINDEREDESENLINUX

MANUAL DE CONFIGURACION DE UN SERVIDOR SOBRE GNU/LINUX

El siguiente pretendeserunaguadeayudaprctica paramuchos quesientaninteres por el softwarelibreyportodaslasventajasquenosproporciona.

1 Introduccin
ParacomenzaresnecesariomencionarqueGNU/LinuxsignificaGNUIsNotUNIX,elcreadordeeste proyectoesRichardStallmanquienlohizoconelobjetivodeobtenerunSistemaOperativocompletamente Libre. GNU/Linux es un equipamiento lgico libre(no gratuito), el usuario tiene la libertad de redistribuir y modificar a de acuerdo a necesidades especficas, siempre que se incluya el cdigo fuente. Cuandonosreferirnosalibre,lohacemosenrelacinalalibertadynoalprecio.LaGPL(acrnimode GeneralPublicLicence,quesetraducecomoLicenciaPblicaGeneral),alacualLinusTorvaldsincorpora Linux, est diseada para asegurar que el usuario tenga siempre la libertad de distribuir copias del equipamientolgico(ycobrarporelserviciosiaslodesea).LaGPLtienecomoobjetivogarantizaral usuario la libertad de compartir y cambiar equipamiento lgico libre, es decir, asegurarse de que el equipamientolgicosiemprepermanezcalibreparatodoslosusuarios.LaGPLesaplicablealamayoradel equipamientolgicodelaFreeSoftwareFoundationascomoacualquierotroprogramacuyosautoresse comprometanausarlo.1

1.1 Requerimientos del Sistema

Para un funcionamiento adecuado en un servidor se recomienda un equipo con buenas caractersticas

2 Jerarqua del sistema de ficheros

/ /boot /tmp /usr /etc /root /home

raz Archivosdearranque Archivostemporalesdelsistema Librerasdeayuda,documentacin Archivos de configuracin de programas instalados Archivospersonalesderoot(Superusuario) Archivosdelosusuariosdelsistema

1 JoelBarriosDueas.ImplementacindeServidoresconGNU/Linux.Mxico,2008
Pgina2/26

ADMINISTRACINDEREDESENLINUX

/var /bin

Archivosdeserviciosdelsistema Archivos binarios que pueden ser ejecutados porcualquierusuariodelsistema.

Si se borra un archivo de esta carpeta, no podr ser ejecutado por ningunusuario.

/sbin /dev

Archivos binarios que pueden ser ejecutados soloporelroot Mdulos de los dispositivos, convertidos en alias para que puedan ser utilizados por usuariosyprogramas. Carperta para montar los dispositivos extrables. Montardispositivosdealmacenamientofijo.

/media /mnt

2.1 Particiones Recomendadas para instalar GNU/Linux

Esrecomendableinstalarlassiguientes8particiones:

Particin /boot /swap

Caractersticas

EspacioRecomendado

Lugardondesealmacenanlos Mnimo 75MB, mxiomo archivosdearranque 200MB,recomendable100MB MemoriadeIntercambio Debeasignarseeldobledela memoria RAM, pero se recomienda1024MBcuandola RAMsuperaestevalor. Despues de hacer todas las particionessepuedeasignarel espacio que sobre, debe ser mayora1024MB

raz

/tmp

Particin que contiene los Nopuedesermenora350MB, archivos temporales. Se recomendable el tamao del autoreciclaenunmesymedio. DVDdeinstalacin+350MB. Particinqueposeeelsustento Mnimo3GB,recomendablede lgico,ayuda,utilitarios 5GBa8GB

/usr

Pgina3/26

ADMINISTRACINDEREDESENLINUX

/home

Particin que almacena la En un servidor dedicado se informacindelosusuarios recomienda el 40% de lo que quedadelDiscodurodespues de haber realizado las particionesanteriores. Se especifica mejor en la figura1

/var

Aqu se encuentran los En un servidor dedicado se serviciosdelsistemas recomienda el 60% de lo que quedadelDiscodurodespues de haber realizado las particionesanteriores. Se especifica mejor en la figura1

3 Instalacin de Centos 5.4

AlarrancarconelDVD,nosaparacerlasiguientepantallaenlaqueescribiremoslinuxtexty damosenter:

En la siguiente pantalla presionamos si deseamos comprobar si funicionan los discos de instalacinprecionamosOk,casocontrarioskip. DespuessemustralapantalladebienvenidadeinstalacindeCentOS. EsrecomendableinstalarelservidorenInglsporqueavecespuedendarseerroresquenotienen traduccinyporlotantonosemuestran.

Pgina4/26

ADMINISTRACINDEREDESENLINUX

Luegoseleccionamoselidiomadeltecladoyacontinuacin

Sieldiscoesnuevoselepedirqueinicializelaunidad,damosclicenYes

Para crear las particiones de manera personalizada, lo que permite tener mayor control seleccionamosCreatecustomlayout

Acontinuacinseinicialaherramientaparagestionardiscosduros,paracrearunaparaticin seleccionamosnewydamosenter

Pgina5/26

ADMINISTRACINDEREDESENLINUX

Primeroselecionamoselpuntodemontajeencasodelbootescribimos/bootentipodearchivo seleccionamosext3yleasignamosuntamaode100MB,presionamosokyrepetimoselmismo procedimientoparaelrestodeparticiones.Exceptoparaelswap,enMountPointnovanadayen tipodearchivoseleccionamosswap.

Nota: El tamao de las particiones/vary/homedependedeltipodeservidorqueserequiera(verfigura1). Unavezquehayamosparticionadonuestrodisco,nosaparecelatabladeparticionescompleta, damosclicenOKycontinuamos.

EnlasiguientepantallaseleccionamosalgestordearranqueGRUByseguimos

Pgina6/26

ADMINISTRACINDEREDESENLINUX

Lapantallasiguienteseutilizacuandosenecesitaenviaralguncomandoalkernel,sinolavaa utilizardeclickensiguiente, laspantallasdespuesdeestasonencasodequedeseeconfigurarelarranque.Esrecomendable configurarunacontraseaparaelGRUBsitieneunaredhostil,esdecirquevariosusuarios tienenaccesofsicoalservidor. Alterminarconestoustedpuedeconfigurarlaprioridaddearranquedelossistemasoperativos, encasodequesolotengalinuxdeclicenok. Cuandonosdelaopciondeconfigurarlainterfazdered,especificaremosqueloharemosluego, cuandotengamosqueescribirelhostname,escogemoslaopcionmanualmenteydebemoshacerlo delasiguientemanera:nombre.dominio.com.Ejemplo:mail.nicdav.com Luegoseleccionamoslazonahoraria. Acontinuacinindicamoslaclavedelroot:

Debemos configurar al servidor con los requerimientos mnimos para esto desmarcamos las casillasqueestnmarcadas:

Terminadaestaconfiguracin,loquevieneeslainstalacindelSistemaOperativo,estotardar algunosminutos,alfinalnosmostrarunmensajequeindicaqueseinstalelsitemaconxitoy pedirreiniciarelsistema.

Pgina7/26

ADMINISTRACINDEREDESENLINUX

4 Configuracin del Servidor

Antesdeiniciarlaconfiguracionesnecesarioconocerelmanejodelinux: 4.1 Cambiar la contrasea del root:

Paracambiarlacontraseadelrootesnecesarioteneraccesofsicoalservidor, Unavezqueiniciemoslamquina,presionandoelcursordearribaoabajo,aparecerlasiguiente panatalla:

Nosposicionamosenestalneaypresionamoslateclae Enseguidanosaparecertresopcionesdelascuales,

sobre la opcin de kernel presionamos nuevamente la tecla e, al hacer esto se nos permite modificarestalnea,alfinalagregamossingle,presionamoslateclaenterparagrabarybpara bootear Cuandosehayabooteadosellegaraunintrpretedecomandosdelashellsh3.2# paracambiarlacontraseadelrootdebemosusarelcomandopasswddelasiguientemanera:
sh3.2#passwdroot

Unavezcambiadalacontrasealepedirquevuelvaaescribirla.Parabootearnuevamenteya conloscambiosrealizadorpuedetipearelcomandoreboot. Ahorayapuedeingresarconlanuevacontrasea.

Pgina8/26

ADMINISTRACINDEREDESENLINUX

4.2ManejodeComandos A continuacin una lista de comandos que son muy tiles. 1. ls Lista ficheros en colores. Blanco: Archivos de texto y configuracin Verde: Archivos ejecutables. Azul: Reservado para carpetas. Rojo: Archivos comprimidos. Celeste: Links, enlaces simblicos. Naranja: Para archivos virtuales. Magenta: Imgenes

2. pwd: Es usado para mostrar el directorio donde el usuario se encuentra. 3. mkdir sirve para crear directorios a menos que ya exista uno llamado del mismo modo. 4. cd: Permite desplazarse dentro del rbol de directorios. cd vuelve a su directorio de login cd ~ vuelve tambin a su directorio de login cd / le lleva al directorio raz del sistema completo cd .. le traslada a un directorio superior cd ~otheruser le lleva al directorio login del usuario otheruser, si otheruser le ha dado permiso cd /dir1/subdirfoo sin tener en cuenta en que directorio est, este recorrido absoluto le llevar directamente a subdirfoo, un subdirectorio de dir1 cd ../../dir3/dir2 este recorrido relativo lo llevar dos directorios ms arriba, luego a dir3, luego al directorio dir2. 5. clear : limpia la ventana de terminal. 6. History: Muestra el historial de comandos introducidos en la terminal, 7. touch: Sirve para crear un archivo. 4.3 Permisos en el sistema de archivos Para listar los archivos y los permisos que cada uno posee, se puede utilizar cualquiera de los comandos ls-l ll

El primer carcter indica el tipo, este puede ser: archivo d carpeta l enlace el bloque de los 3 caracteres que siguen indica los permisos:
Pgina9/26

ADMINISTRACINDEREDESENLINUX

r lectura w escritura x ejecucion - sin permiso los siguientes 3 caracteres indican los permisos del grupo del usuario. Los 3 que siguen indican los permisos de cualquier usuario El nmero que les sigue es el espacio en disco A continuacin el usuario propietario a este le sigue el grupo del usuario Luego tenemos un numero que indica el ndice Finalmente tenenos la fecha y el nombre del archivo. 4.3.1AsignacindePermisosalosArchivos Se puede asignar permisos a los archivos mediante el comando chmod, para esto hay que tener en cuanta los siguientes aspectos: Se puede asignar permisos con nmeros y con caracteres de la siguiente manera: Modo Ejecucin Escritura Lectura Ejemplo: Con nmeros 1 2 4 chmod214 Con caracteres x w r

Elprimernmeroeselpermisoparaelpropietario, elsegundovaloreselpermisoparaelgrupoy eltercervaloreselpermisoparaunusuarioannimo Tambinsepuedecombinarestospermisossumandolosnmerosyconvinadoloscaracteresdela siguientemanera: Modo EjecucinyEscritura Lecturayejecucin LecturayEscritura Lectura,escrituray Ejecucin 4.4ManejodePaquetera Parainstalar:
Pgina10/26

Con nmeros 3 5 6 7

Con caracteres wx rx rw rwx

ADMINISTRACINDEREDESENLINUX

rpmivh<archivodeinstalacion>.rpm<dependencia> Paraverificarsiunpaqueteestinstalado: rpmq<programa> Paradesinstalarunpaquete: rpme<archivo>.rpm Paraactualizar: rpmUvh<archivo>.rpm 4.5GestordePaqueteraYUM Yumesungestordepaquetera,funcionadelasiguientemanera: 1. Buscarepositoriosdisponiblesenladireccindelosrepositoriosdisponibles /etc/yum.repos.d/nombreRepositorio.repo 2. Preguntaalosarchivosladisponibilidaddelpaquete. 3. Sielpaqueteestdisponiblepreguntaalusuariosilodeseainstalar. 4. Sielusuarioacepta,descargalospaquetesdentrodeldirectorio/var/cache/yum 5. Instalaelprograma,dependenciasyorden. 6. Finalmentedaunreportealusuario. 4.6Creacinderepositorioslocales Dentrodelacarpeta/etc/yum.repos.d EntrarenelarchivoCentOSBase.repo(antesdeeditarestearchivo,guardarunrespaldo) Borrarlaslneasquevienendespusde: [base] name= agregar: name=mirepo baseurl=file///var/dvd>Esteesellugarendondetengamoscopiadoeldvddeinstalacin gpgcheck=0 enable=1 guardamosloscambios:esc:wq! Probarinstalandoalgomedianteyuminstallpaquete. Paraeliminarlacachdelyum:entrareneldirectorio/var/cache/yum/yeliminartodoel contenidodeestacarpeta: rmrvf***
Pgina11/26

ADMINISTRACINDEREDESENLINUX

4.7UtilizacindeunArchivo Recomendacionesparautilizararchivos: Nuncaborrarlascabeceras(primeraslneas). Nodejarespaciosalborde. Noborrarlaslneasquedigan:#DONOTREMOVEWARNING. Guardarunrespaldoantesdemodificarunarchivodeconfiguracin. Siseabreunarchivoconelcomandovi: paraeditarsedebepresionarlateclaI parasalirdemodoedicinpresionarlateclaesc paraeliminaresc+dd paradeshaceresc+u paraborrarlneasdespusdelaposicinactualesc+nmerodelneas+dd para copiar una palabra, posicionarse sobre la palabra a copiar, presionar esc + yy, posicionarseenellugardondequierepegarypresionaresc+p paracopiarlineas,igualqueelanteriorsoloquesedebepresionaresc+nmerodelneas paracopiar. Parairaunalneadeterminadapresionaresc+elnmerodelnea+gg. Para buscar una palabra, presionar esc + / + palabra. Se contina la bsqueda al presionaresc+/. paraguardar:esc+w! Parasalirsinguardar:esc+q! Parasaliryguardar:esc+:+wq! 4.8DocumentacinyAyuda La ayuda y documentacin de todo lo que se instale, se encuentra dentro del directorio /usr/share/doc

5 Configuracin Bsica de la Red de un Servidor

Paraconfigurarlared,usaremoselsiguientediagramaderedcomoreferencia: 5.1 Configuracin de parmetros de Red: 1. Enelarchivo /etc/hostsseasocianlasdireccionesipconelnombredelamquina,se debenespecificarlasdireccionesipseguidodelnombredelamquinayelalias:

Pgina12/26

ADMINISTRACINDEREDESENLINUX

2. En el archivo /etc/sysconfig/network, es importante, en caso de que no se cuente con direccionesipv6,asegurarsedequeelparmetroNETWORKING_IPV6estenno,yaque encasocontrario,laredsevuelvelenta.Asegurarsetambinqueelnombredelhostseael mismoqueseespecificenelpunto1.

3. Eneldirectorio/etc/sysconfig/networkscripts/estntodoslosparmetrosindividualesde lared,porcadainterfacederedexisteunarchivoifcfgeth_,porejemploparalaeth0 existeunarchivollamadoifcfgeth0,aqulaconfiguracindebeestarlomsparecidoala siguientetabla:

InterfaceLAN # DEVICE=eth0 HWADDR= ONBOOT=yes BOOTPROTO=static IPADDR=192.168.100.254 NETMASK=255.255.255.0 GATEWAY= BROADCAST=192.168.100.255 NETWORK=192.168.100.0 #

InterfaceInternet

IPADDR=192.268.15.70 NETMASK=255.255.255.0 GATEWAY=192.168.15.1 BROADCAST=192.168.15.255 NETWORK=192.168.15.0 ONBOOT=yes

4. Paraqueelservicioipv6sebajeporcompletoesnecesariodepurarunmdulo,paraesto
Pgina13/26

ADMINISTRACINDEREDESENLINUX

dentrodelarchivo/etc/modprobe.confnoscolocamosdebajodelltimoaliasyelprimer optionescribimosipv6off,guardamos

paradepurarelmdulo:depmoda/sbin/modprobe

5. Reiniciamoseldemonio:servicenetworkrestart 6. Probarsifunciona:hostnameyhostmamef

Encasodequeunodeestosdoscomandosnofuncionen,significaquehayalgnerror,revisarque elhostmameyladireccinipen/etc/hostsyen/etc/sysconfig/network. Sialhaceresto,elerrorpersiste,ejecutarestoscomandos: hostnamenombre.dominio.comejm:mail.nicdavsistems.com domainnamenombre.dominio.comejm:mail.nicdavsistems.com

6 Configuracin del Firewall con Shorewall

ShorewallnoesunpaquetepropiodeRedHat,porloqueesnecesarioldescargarloaparte,estose puederealizardesdeestadireccinweb:http://www.shorewall.net/download.htm Unavezquetengamoselpaqueterpm,loquenosqueda,esinstalarlo,seutilizarelsiguiente comando: rpmivhshorewall Enalgunoscasossueleocurrirunerrordedependenciadepaquetes,shorewallnecesitatener instalado iproute,sinoseencuentraestepaqueteseproduciresteerror,perotambinsuele ocurrirconversiones<=alkernel2.2a2.4.Esteerrorseresuelvecon: rpmivhnodepsshorewall Antesdecontinuar,valesaberque: unazonaesunareddedatosunidosfsicaylgicamente Elnombredeunazonapuedetenerhasta5letras: zonaloc>verdelocal zonanet>rojainternet
Pgina14/26

ADMINISTRACINDEREDESENLINUX

zonadmz>naranjaservidores zonawii>>azulwireless Shorewallseadministracomoundemonio, 1. para levantar el servicio en el archivo /etc/shorewall/shorewall.conf, cambiar la lnea StartUP_Enable=NoaYes

2. Definirlaszonasenelarchivo/etc/shorewall/zones Despuesdelalneafwfirewall,agregarlaszonasquenecesite:

3. Paraagregarlasinterfaces,dentrodelarchivo/etc/shorewall/interfaces,agregar:

Encasodeobtenerlaippblicamediantedhcp,enoptionagregardhcp.
Pgina15/26

ADMINISTRACINDEREDESENLINUX

4. AgregarPolticas,enelarchivo/etc/shorewall/policy Existen5tiposdeAyudas: 1. ACCEPT:Permiteekaccesodeunaredaotra,abriendolos36535puertostantoen tcpcomoenudp. 2. REJECT:Bloqueatodoslospuertosdeunazonaaotra,tantoentcpcomoenudp, devolviendounmensajedeaccesodenegado. 3. DROP:Bloqueatodoslospuertosdeunazonaaotra,tantoentcpcomoenudppero sindevolverningnmensaje.(Estaopcinhacequeelservidorpasedesapercibido). Enelarchivoantesmencionado,agregar: all all fw all DROP REJECT

Estaslneasbloquearntodoslospuertos,enunservidorsedebenabrirunicamentelospuertos indispensables.

5. AgregarReglas:enelarchivo/etc/shorewall/rulesagregarlassiguientesreglasantesdela ltimalnea: Ping/ACCEPTallall #PUERTOSABIERTOSPARALALOC ACCEPT ACEEPT ACCEPT loc loc net net net fw tcp udp tcp 3128,80,53,http,https,telnet,ftp 53,10000:20000 80,53

#PUERTOSABIERTOSPARALANET

Pgina16/26

ADMINISTRACINDEREDESENLINUX

Nota:Hayquetenerencuentaqueesimportantelaprioridad,porlotantosiqueremosqueuna configuracinsobresalgaanteotra,deberirantes.Porejemplo,sisequierebloquearunaipdela localanetenelpuertotcp20,deberairantesdeloconfiguradoanteriormente. 6.1 Segmentacin de Ancho de Banda: Parahacermsentendibleestaseccin,utilizaremosunejemplo: Empresa:XYZ Provedor:XXX AnchoBanda:1024Kbps Tipo:Simtrico #deEquipos:38 CapacidaddeDescarga:128Kbps

#Departamentos 1Ventas 2Soporte 3Desarrollo 4Gerencia 5Conferencias 6Servidores 7Financiero 8Bodega 9TelefonaIP

#deEquipos 15 4 5 4 1 2 3 2 2

AB. Mximo AB. Mnimo Prioridad CEIL RATE 256 64 128 128 32 128 128 32 128 17 16 30 32 32 128 43 16 64 3 4 2 2 5 1 3 5 1

Opciones

default

Nota:Sedebedeclaraundepartamentopordefaultencasodeunacomputadorainesperada.

Pgina17/26

ADMINISTRACINDEREDESENLINUX

6.1 Compartir Internet, Enmascaramiento LaInterfacequesaleainternet,enestecasoeth0,puedecompartirelinternetalaredlocal (192.168.100.0)yademsenmascararconladireccinpblica(200.25.210.195). SielproveedornosdamsdeunaIppblicapodemosenmascararconunaipdistintaaladeeth0. Estoseconfiguradentrodelarchivo/etc/shorewall/masq #INTERFACE etho SOURCE 192.168.100.0/24 ADDRESS 200.25.210.195

7 DNS CACH
Proxy:Esunintermediario,tieneelpoderdecontrolaraotros ProxyCache:AceleradorWeb,permitehacerunperformanceenelanchodebanda,almacena pginaswebenelservidor.Funcionaas: 1. Sehaceunapeticindetipodnsalservidoryelservidorainternet, 2. Internetdevuelvelaipalservidoryelservidoralaredlocal,cuandosesabelaip 3. sehaceotrapeticindetipohttp 7.1 Servidor DNS ParacrearunservidorDNSesnecesarioinstalarbind,quenosbrindaestafuncionalidad, yuminstallbindchrootbindlibs Esnecesariotenerunarchivonamed.confeneldirectorio/var/named/chroot/etc/. Este archivolopodemoscopiardesdelaayudacomoennuestrocaso:cp/usr/share/doc/bind 9.3.4/sample/etc/named.conf/var/named/chroot/etc/ Cuandolohayamoscopiado,editarlo,buscarlapartequediga: options{ }; borrartodoloqueestdespuesdeesto.

Pgina18/26

ADMINISTRACINDEREDESENLINUX

Unaveziniciadoelservicionamed,configurarlosdnsenlosclientes,asignarlosDNSde nuestroservidor,nolosdelproveedor,ejemplo: Enlaip192.168.100.6 mask255.255.255.0 gw:192.168.100.254 dns:192.168.100.254 8 CONFIGURACION DEL SERVIDOR PROXY MEDIANTE SQUID 1. Esnecesarioinstalarsquid: yuminstallsquid. 2. Editarelarchivodeconfiguracindesquid: vi/etc/squid/squid.conf 1. Descomentarlalneaenlaqueseespecificaqueelpuertoescuchadesquidesel 3128.http_port3128

2. Buscarlalneaquedicecache_mem,agregar1/8delamemoriaRAMdelservidor, siestamemoriaesde64MBcolocar8MB,siesde128,agregar16,etc.

3.Buscarlalneaqueempiezaconcachedirufs debeestaralgoparecidoa: cachedirufs/var/spool/squid 100 16 256,enesta lneaseindicaenesteorden:ladireccincacheneldiscoduro,eltamaoenMBde

Pgina19/26

ADMINISTRACINDEREDESENLINUX

lacachquesevaaalmacenareneldiscoduro,sieltamaodeldiscoesgrandeyla empresa es pequea se puede dejar 1024, si la empresa es grande se recomienda 2048MB, en los dos ltimos valores se especifica el modo de almacenamiento: 16 carpetas,256subdirectorios.

8.1 ACLS Unaaclesunalistadecontroldeacceso,selespuedeconsiderarcomovariablesconespacioen memoriaquepuedentenerdiferentevalor. 8.1 Tipos de ACL: urlregex:Hacereferenciaalcontenidodeunadireccinhtmlourldeunnavegador. urlpath_regex:Hacereferenciaalaextensindeunaurl. src:Hacereferenciaaunaipogrupodeipsdeunared. arp:Hacereferenciaaunamacogrupodemacsdentrodeunared. time:Hacereferenciaaunacondicindetiempo.Esimportantetenerencuentaquepara aclsdeestetiponosedebencrearlistas,solosedeclaran,seutilizanletrasmaysculas para losdasdelasemana:MLunes,TMartes,WMircoles HJueves,FViernes, A Sbado,SDomingo. 8.1.1 Sintaxis para declarar una ACL: acl nombre tipo valor 8.2 Declaracin de Reglas: Esimportanteenelmomentodedeclararlasreglas,laprioridad,unareglaquesedeclareprimero vaatenermayorprioridadquelasotras. 8.2.1 Sintaxis para declarar una regla: http_access allow/deny acl/host/src condiciones

Enelarchivo/etc/squid/squid.conf,sedebendeclararjustodespusdelalneaaclto_localhostsrc 127.0.0.1/255.255.255 Utilizaremosunejemploparaentenderestodemejormanera. LaempresaXYZdecideimplementarunsistemaproxyenelcualexisten2redesdedatos: 192.168.47.0/24 192.168.84.0/24

Pgina20/26

ADMINISTRACINDEREDESENLINUX

Sepide: Daraccesoainternetatodoalagerencia,exceptoaextencionespeligorsas,lasipsde gerenciason:192.168.47.10,192.168.47.11,192.168.47.13,192.168.47.16,192.168.47.24, 192.168.47.32 y 192.168.84.63, 192.168.84.62, 192.168.84.61, 192.168.84.93, 192.168.84.96 Bloquearelaccesoatodo,exceptoapginasdelgobiernosaldepartamentoFinanciero: 192.168.47.7,192.168.47.9,192.168.47.81,192.168.47.82,192.168.47.83y192.168.84.51, 192.168.84.52,192.168.84.53,192.168.84.54 Alrestodelaredbloquearelaccesoaextencionespeligrosas,multimedia,porno,pginas prohibidas. Tomarencuentapginasinocentes, Noingresarenhorariosquenoseandeoficina. CreacindelasAcls: Noolvidarellugarexactoendondedebenir, aclgerenciasrc/etc/squid/listas/gerencia aclextpeligrosasurlpath_regex/etc/squid/listas/extpeligrosas aclgerenciasrc/etc/squid/listas/gerencia aclfinancierosrc/etc/squid/listas/financiero aclpermitidasurl_regex/etc/squid/listas/permitidas aclredlocalsrc/etc/squid/listas/redlocal aclalmuerzotimeMTWHF13:0014:59 aclnochetimeMTWHF19:0023:59 aclmadrugadatimeMTWHF00:007:59 aclfinsemanatimeMTWHF00:0023:59 CrearReglas: http_accessallowgerencia!extpeligrosas http_accessdenyfinancieroalmuerzonochemadrugadafinsemana!permitidas http_access allow redlocal !almuerzo !noche!madrugada !finsemana permitidas !inocentes ! porno!prohibidas!extpeligrosas!multimedia Cuandoseterminedehaceresto,noolvidartenerlaslistascreadasenelarchivoespecificado /etc/squid/listas/nombrelista. Sedebereinicarelserviciodesquid,sihayerrores,sedebenarreglar.

Pgina21/26

ADMINISTRACINDEREDESENLINUX

8.1 Proxy Transparente Configuraellinuxdetalmaneraquecualquiersolicitudhechaalpuerto80seredireccioneal 3128. Configuracin Dentrodelarchivo/etc/squid/squid.conf buscamoshttp_port3128 Agremanostransparent: http_port3128transparent. Para queestaconfiguracionfuncioneesnecesarioabrirelpuertoenelfirewall: vi/etc/shorewall/rules ACCEPT ACCEPT loc loc fw net tcp udp 3128,80,53 53

REDIRECT loc 3128 tcp 80>Estalneahacequeredireccioneloquevengadela locporelpuerto80alpuerto3128. 9 CONFIGURACION DEL SERVIDOR DE CORREO SendMail Dovecot Spamassassin Clamd MailScanner

Parainstalarelservidordecorreoesnecesarioestospaquetesyenesteordendeinstalacin:

Los dos ltimos paquetes no forman parte de Red Hat, as que es necesario descargarlos de Internet. Instalacin yuminstallsendmailsendmailcfdovecotspamassassinmuttsquirrelmail Cuando se termine de instalar, dentro del archivo /etc/mail/access, despues de la lnea connect:127.0.0.1RELAY: #LaIPlocaldelservidor Connect:192.168.100.254RELAY #Laipdelasredeslocalesquepuedenenviarcorreo Connect:192.168.100RELAY(Quieredecirquetodadireccinqueempiezecon192.168.100 puedeenviarcorreo) #lasIpsquepuedenenviarcorreolocalmente 102.168.100.12 OK
Pgina22/26

ADMINISTRACINDEREDESENLINUX

#Listasnegras correo@molesto.com REJECT dominiomolesto.com REJECT 200.10.10.115 #Listasblancas area4.com ups.edu.ec ACCEPT ACCEPT

#70%India,China,Corea,Taiwan,HongKong,Australia 222,221,220,219,218,212,211,210,203,202,140.109,133,61,60,59,58,00Guardamosestearchivo, Enelarcivosendmail/ Buscar:127.0.0.1 enlalneaDAEMON_OPTIONS('Port=smtp,Addr=127.0.0.1,Name=MTA')dnl borrarAddr=127.0.0.1,detalmaneraquequede: DAEMON_OPTIONS('Port=smtp,Name=MTA')dnl Buscarunresolv FEATURE('accept_unresolvable_domains')dnl agreardnlalinicio,paraevitarsuplantacindeidentidad: dnlFEATURE('accept_unresolvable_domains')dnl Guardarelarchivo. Enelarchivolocalhostmame agregareldominio: nicdavsystems.com Guardarelarchivo Copiarlocalhostnamearelaydomains Crearunusuariodeserviciosdelsistema: useradds/sbin/nologin passwdUsuario Enelarchivo/etc/aliases alfinaldelarchivo: #Personwhoshouldgetroot'smail
Pgina23/26

Usuario

ADMINISTRACINDEREDESENLINUX

root:

usuariocreado

Guardarelarchivo Editarelarchivo/etc/dovecot.conf Buscar#protocols=imapimapspop3pop3s Borrarimapsypop3sydescomentar: protocols=imappop3 Guardararchivo. IniciarServicios: servicesendmailstart servicedovecotstart servicespamassassinstart chkconfigsendmailon chkconfigdovecoton chkconfigspamassassinon Los tres ltimos comandos hacen que los servicios se inicien automticamente al iniciar el servidor. Instalar: yuminstallgcc*automake*autoconf*rpmbuildrpmdevelrpmdevel ParainstalarclamavyMailscanneresnecesariotenerlospaquietesdescargadosycopiarlosen /usr/src. Ejm:cp/root/archivos/clamav/clamav0.94.tar.gz/usr/src cp/root/archivos/MailScanner/MailScanner4.71.1001.rpm.tar.gz/usr/src Descomprimirestosarchivos,entrarenlascarpetasdecadauno,enorden,primeroclamavy hacer makeclean ./configure make makeinstall makeconfig Nota:NoreiniciarelservidorcuandoseterminedeinstalarMailScanner. EntrarenelarchivodeconfiguraciondeMailScanner
Pgina24/26

ADMINISTRACINDEREDESENLINUX

/etc/MailScanner/MailScanner.cof Buscar%repordir%=/etc/MailScanner/reports/en,cambiarenporesparaobtenerreportesen espaol. Buscar # %orgname%=yoursite,cambiarasustitio %orglongname%=yourorganizationnamehere>emblemadesuempresa %website%=www.nicdavsystmes.com Paradeshabilitarelenviodecadenasdemail,Buscar DeliverUnparsableTNEF=no>asegurarsedequeestenno BuscarVirusScanners=auto>cambiaraclamav BuscarQurentineInfections=yes>cambiarano BuscarAllowIframeTags=disarm BuscarAllowFormTags=disarm BuscarAllowScriptTags=disarm BuscarSpamCheck=yes Guardarelarchivo. Cuandouncorreoentrapuedesercalificado, 6>cuandoelcorreoesclasificadocomospam 10>cuandoelcorreoyaesunspamconfirmado BuscarSpamActions=deliverattachmentheaderEstoesunspamposiblemente,sinoloes, notifquelo BuscarHighScoringSpamAction=deletenotify Sinosedesearecibircorreosconextensionesnopermitidas: enelarchivo/etc/MailScanner/filenamerule.conf,sepuedeagregar,ejm deny\.mp3$Archivosdeaudio Ahoraesnecesariodetenerelserviciodesendmail: servicesendmailstop chkconfigsendmailoff chkconfigMailScanneron serviceMailScannerstart Estohacequenoseinicieelsendmanil2veces,cuandosesubleelMailScanner,sesubetambien
Pgina25/26

ADMINISTRACINDEREDESENLINUX

alsendmailautomticamente. Tambinsedebenabrirlospuertosdelosserviciosconfigurados,en /etc/shorewall/rulesagregarlospuertosquenoestn. ACCEPT ACCEPT ACCEPT ACCEPT ACCEPT ACCEPT REDIRECT fw fw loc net loc loc loc net net fw fw net net tcp udp tcp tcp tcp udp 25,53,80,2703 7,55,6277,24441 53,80,3128,25,110 110,25>paraenviarcorreoalfw,80sitengoservidorweb 25,110,23,80,53 53 80>proxytransparente

3128 tcp

Pgina26/26