PDF de programación - Guía para montaje de Servidor con Firewall y proxy transparente de WEB y POP3

Guía para montaje de Servidor con Firewall y proxy transparente de WEB y POP3

El objetivo de esta guía es montar un servidor que haga las funciones de: firewall + router + gateway + dhcp server
y proxy transparente de WEB y POP3 (con revisión de antivirus y spam) entre una red de área local y una red con
salida a internet.

Algunas notas introductorias:

 La distro utilizada para estas pruebas fue la Debian Etch 4.0 (mi preferida). Probablemente se pueda adaptar sin

mucho problema a otras distros de Linux.

 Las ubicaciones de los archivos tratados en este documento pueden variar dependiendo de la distro y versión que

tenga.

 El procedimiento del montaje descrito en esta guía se hizo con base en mi necesidad específica. De acuerdo con su
necesidad particular, puede que necesite llevar a cabo pasos adicionales/diferentes que los citados en este
documento.

 Esta guía se ha elaborado tomando como base diversa documentación obtenida en Internet en conjunto con partes

personalizadas a mi gusto.

 Todos los comandos ejecutados desde la consola deben llevarse a cabo como usuario root.

 Para cualquier script elaborado en este documento recordar que debe tener los permisos de ejecución para que pueda

servir, p.ej: chmod +x script.sh

 La configuración de red utilizada en este documento es la siguiente:

eth0 = 192.168.1.2 (conectada a internet)
eth1 = 192.168.0.1 (conectada a la red de área local)

Mucha suerte y paciencia con este montaje.

Ing. Rolando V. (Pish)

1

ÍNDICE GENERAL

SECCIÓN 1. Instalación del servidor DHCP, SSH y DNS.........................................................................................................3
1.1 Instalación del servicio bind9 (servidor DNS)...............................................................................................................3
1.2 Instalación del servidor dhcp3-server..........................................................................................................................3
1.3 Instalación del servicio ssh..........................................................................................................................................5

SECCIÓN 2. Instalación del proxy transparente para WEB.....................................................................................................6
2.1 Configuración de proxy transparente SQUID para WEB...............................................................................................6
2.2 Instalación del squidGuard para el filtrado del contenido WEB...................................................................................8

SECCIÓN 3. Instalación del proxy transparente para correo POP3.......................................................................................13
3.1 Instalación del antivirus ClamAV................................................................................................................................13
3.2 Instalación de SpamPd (usando SpamAssassin)........................................................................................................14
3.3 Instalación del proxy POP3 (p3scan)..........................................................................................................................17

SECCIÓN 4. Configuración del Firewall como Gateway y Router (iptables).........................................................................19

2

SECCIÓN 1. Instalación del servidor DHCP, SSH y bind9

1.1 Instalación del servicio bind9

Instalamos el servicio:

# apt-get install bind9

La instalación de este servicio es únicamente para poder brindar salida a internet a las máquinas cliente de la red de
área local. Configurar adecuadamente un servidor DNS no está en el alcance de este documento.

1.2 Instalación del servidor dhcp3-server

Instalamos el servidor DHCP con el siguiente comando:

# apt-get install dhcp3-server

OJO: al final de la instalación el servidor dhcp3-server intentará correr; sin embargo lo más probable es que muestre un
error. No preocuparnos por esto, ya que tenemos que configurar el servidor dhcp3.

El archivo de configuración a editar es /etc/dhcp3/dhcpd.conf y a continuación muestro el contenido sin las líneas
comentadas no importantes para no hacerlo largo:

# The ddns-updates-style parameter controls whether or not the server will
# attempt to do a DNS update when a lease is confirmed. We default to the
# behavior of the version 2 packages ('none', since DHCP v2 didn't
# have support for DDNS.)
ddns-update-style none;

# definiciones comunes para todas las redes soportadas...
option domain-name "home"; # puede ser “midominio.com”
option domain-name-servers 192.168.0.1;

default-lease-time 86400; # esto es en segundos. 86400=1 dia
max-lease-time 86400;

3

# Si el servidor es el oficial DHCP para la red activar la siguiente directiva:
authoritative;

# Use this to send dhcp log messages to a different log file (you also
# have to hack syslog.conf to complete the redirection).
log-facility local7;

# Definicion de una red de area local
subnet 192.168.0.0 netmask 255.255.255.0 {
# Rango de ips disponibles para asignación por dhcp
range 192.168.0.10 192.168.0.100;
# Gateway
option routers 192.168.0.1;
# Dirección de broadcast
option broadcast-address 192.168.0.255;
# Servidor WINS
option netbios-name-servers 192.168.0.1;
}

Si usted desea asignar una IP fija a una computadora específica puede agregar lo siguiente al archivo de configuración
/etc/dhcp3/dhcpd.conf:

# Asignación de una ip fija a una computadora concreta (se pueden poner tantas como se quiera)
host pcfija {
# Dirección MAC de la tarjeta de red.
hardware ethernet 00:D0:59:32:AF:6B;
# IP asignada
fixed-address 192.168.0.101; # esta direccion NO puede estar en el rango declarado arriba
}

La dirección MAC de la tarjeta de red se puede obtener con el comando "ifconfig" en linux o "ipconfig
/all" en dos/windows.

Ahora reiniciamos el servidor dhcp3 con el siguiente comando:

# /etc/init.d/dhcp3-server restart

4

1.3 Instalación del servicio ssh

Ahora vamos a instalar el servicio ssh para loggearnos al servidor remotamente vía consola:

# apt-get install ssh

Vamos a reducir el tiempo de login y en caso de quererlo así no permitiremos conexiones de root. Para esto editaremos
únicamente las siguientes líneas en el archivo /etc/ssh/sshd_config:

LoginGraceTime 45
PermitRootLogin no # esto es si no queremos que nadie se conecte como root remotamente

Ahora, sólo permitiremos acceder por ssh a los usuarios indicados explícitamente en el archivo /etc/loginusers. Para
esto, las siguientes líneas del archivo /etc/pam.d/ssh deben quedar así:

#auth required pam_env.so # [1]
#auth required pam_env.so envfile=/etc/default/locale
auth required pam_listfile.so sense=allow onerr=fail item=user file=/etc/loginusers

Creamos el archivo /etc/loginusers (# echo pish > /etc/loginusers) con el siguiente contenido:

pish

Reiniciamos el servicio ssh con el situiente comando:

# /etc/init.d/ssh restart

5

SECCIÓN 2. Instalación del proxy transparente para WEB

2.1 Configuración de proxy transparente SQUID para WEB

Procederemos a instalar el proxy transparente para la web. Para este fin, instalaremos el paquete squid:

# apt-get install squid

OJO: después de la instalación lo más probable es que squid no levante y muestre un error. Al igual que el caso con el
servidor DHCP, no preocuparnos ya que esto es porque necesitamos configurar a squid.

Antes de editar el archivo de configuración de squid: /etc/squid/squid.conf hagamos un respaldo de este archivo (por
simple prevención). A continuación se muestra el contenido del archivo /etc/squid/squid.conf más básico. Las líneas
comentadas no importantes se han removido, las que sí se muestren son extras para nuestro proxy: (asumimos los
parámetros de red ya citados)

http_port 192.168.0.1:3128 transparent
hierarchy_stoplist cgi-bin ?
acl QUERY urlpath_regex cgi-bin \?
# acl avi urlpath_regex -i \.avi$
# acl mpeg urlpath_regex -i \.m1v$ \.mpeg$ \.mpg$
# acl mpeg2 urlpath_regex -i \.m2v$ \.vob$
# acl mpeg_audio urlpath_regex -i \.mpa$ \.mp2$ \.mp3$ \.aac$
# acl asf urlpath_regex -i \.asf$ \.wma$ \.asx$ \.wmv$
# no_cache deny avi
# no_cache deny mpeg
# no_cache deny mpeg2
# no_cache deny mpeg_audio
# no_cache deny asf
cache deny QUERY
acl apache rep_header Server ^Apache
broken_vary_encoding allow apache
cache_mem 8 MB
access_log /var/log/squid/access.log squid
hosts_file /etc/hosts
refresh_pattern ^ftp:
refresh_pattern ^gopher:

1440 20%
1440 0%

10080
1440

6

0

20%

4320

# https
# snews
# rsync
# http
# ftp
# https
# gopher
# wais

refresh_pattern .
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443
acl SSL_ports port 563
acl SSL_ports port 873
acl Safe_ports port 80
acl Safe_ports port 21
acl Safe_ports port 443
acl Safe_ports port 70
acl Safe_ports port 210
acl Safe_ports port 1025-65535
acl Safe_ports port 280
acl Safe_ports port 488
acl Safe_ports port 591
acl Safe_ports port 777
acl Safe_ports port 631
acl Safe_ports port 873
acl Safe_ports port 901
acl purge method PURGE
acl CONNECT method CONNECT
# maximum_object_size 36864 KB # tamano maximo de archivo a cachear
# cache_dir ufs /var/spool/squid 25000 16 256 # 10GB en 16 niveles con 256 subniveles
http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

# http-mgmt
# gss-http
# filemaker
# multiling http
# cups
# rsync
# SWAT

# unregistered ports

# 192.168.0.0/24 significa: 192.168.0.x
# 192.168.0.0/16 significa: 192.168.x.x
acl lan src 192.168.1.2 192.168.0.0/24
# acl arch_bloqueados url_regex -i \.exe$ \.com$ \.bat$ \.pif$

htt