AXIGEN

http://www.rinconastur.com/php/php17.php

Obtención del software

Aunque en los repositorios oficiales de Ubuntu están disponibles varios servidores de correo nos hemos inclinado por incluir aquí este otro, Axigen, porque aúna buenas prestaciones con la sencillez de su instalación y configuración.

La operatividad de este servidor de correo está limitada inicialmente a 30 días. Una vez registrado (utilizando el fichero de registro axigen_lk.bin que nos envian por correo electrónico al registrarnos) la única restricción que permace es la limitación a cinco cuentas de usuario que resulta más que suficiente para los propósitos de esta instalación.

Instalación del software

El fichero que utilizaremos para instalar el servidor –axigen-8.0.0.i386.deb.run– puedes encontrarlo en el sitio http://www.axigen.com donde deberías registrarte (gratuitamente) para poder acceder a las opciones de descarga y para recibir, en la dirección de correo que hayas facilitado al registrarte, el fichero axigen_lk.bin que te permitirá desbloquear la restricción de uso por 30 días.

Para realizar la instalación podremos copiar el fichero axigen-8.0.0.i386.deb.run a nuestro escritorio, abrir la terminal de consola, situar el prompt en el propio Escritorio ó en el mismo directorio donde tengamos el fichero de instalación y escribir lo siguiente:

sudo sh axigen-8.0.0.i386.deb.run

y seguir los pasos de un proceso cuya secuencia puedes ver en las sucesivas imágenes que te mostramos aquí debajo.

  ¡Cuidado!

Ni que decir tiene que axigen-8.0.0.i386.deb.run es el nombre de la versión actual. En el momento en que se produzcan actualizaciones habrá que sustituirlo por el nombre del fichero obtenido en la descarga.

Red para proxy transparente‏

Premisas.
1) Se entenderá en todo momento que el sistema instalado es Ubuntu 12.04 Server con la opción LAMP instalada y configurada.
2) El sistema tendrá dos tarjetas de red, eth0 y eth1. La tarjeta de red eth1 estará conectada directamente al router y la tarjeta eth0 estará conectada a un switch.
3) La red interna (las máquinas contectadas al switch) tendrá ip en el formato 192.168.2.X
4) La red externa (la que conecta con el router) tendrá ip en el formato 192.168.1.X

Configurando la red

Para que la red conectada a eth0 pueda acceder a internet (que está en eth1) debemos habilitar el “ip forwarding”. Editaremos el siguiente archivo:

sudo nano /etc/sysctl.conf

Y nos aseguramos de que esta activado, recordemos que 1 es activado y 0 desactivado.

net.ipv4.ip_forward=1

También necesitaremos decirle al sistema que aplique un par de reglas para que cuando reciba un intento de acceder a una web lo redireccione a Dansguardian para que lo analice y permita o no el acceso. Hay muchas maneras de hacer esto pero a mi me gusta crear un pequeño script que arranque al inicio del sistema.

Crearemos un fichero llamado reglas_iptables en /etc/init.d

sudo nano /etc/init.d/reglas_iptables

y le añadiremos las siguientes lí­neas:

#! /bin/sh
iptables -F
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 8080
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE

Guardamos y le damos permiso de ejecución:

sudo chmod +x /etc/init.d/reglas_iptables

Crearemos un enlace simbólico en /etc/rc2.d/ para que se ejecute al iniciar.

sudo ln -sf /etc/init.d/reglas_iptables /etc/rc2.d/S20reglas_iptables

Ahora configuraremos las tarjetas de red (si es que aún no lo habeis hecho ya). Esto lo hacemos editando el fichero interfaces.

sudo nano /etc/network/interfaces

Y dejándolo como sigue:

auto eth1
iface eth1 inet static
address 192.168.1.2
netmask 255.255.255.0
network 192.168.1.0
broadcast 192.168.1.255
gateway 192.168.1.1
dns-nameservers 8.8.8.8

#Segunda tarjeta red
auto eth0
iface eth0 inet static
address 192.168.2.1
netmask 255.255.255.0
network 192.168.2.0
broadcast 192.168.2.0

Con estos cambios le hemos dicho al sistema que la tarjeta eth1 que poseera la direccion ip 192.168.1.2, se conectará al router que tiene la ip 192.168.1.1 y usará los servidores de nombres (dns) de google, que son 8.8.8.8. Esta tarjeta es la que da acceso a internet.
Tambien le decimos que la tarjeta eth0 poseerá la dirección 192.168.2.1, esta tarjeta es la que se comunica con nuestra red interna.

Dicho esto solo queda reiniciar el equipo o los servicios y cruzar los dedos para que no me haya equivocado al escribir este pequeño y básico tutorial.

Reiniciamos servicios

sudo service squid restart
sudo service dansguardian restart
sudo /etc/init.d/reglas_iptables

squid3 + iptables (tranparente)‏

SQUID3

sudo gedit /etc/squid3/squid.conf

3128 es el puerto de Squid y debemos indicar la dirección IP del servidor

http_port 192.168.10.149:3128 transparent


Si nuestra máquina tiene suficiente memoria, le quitamos la almohadilla a la opción cache_men, y utilizamos un valor coherente a nuestra máquina.

cache_mem 256 MB


La opción cache_dir y la ajustamos como en la siguiente línea, aunque aquí los valores de caché dependerán de nuestras preferencias y máquina.

cache_dir ufs /var/spool/squid3 2048 16 256


Y activamos las siguientes opciones, para asegurar que ningún usuario pueda acceder a los recursos gestionados por Squid.

cache_effective_user proxy
cache_effective_group proxy


Descomentamos la opción half_closed_clients y la dejamos en off, esto permitirá a Squid cerrar las peticiones de los clientes que se queden a medias cuando cierran la conexión TCP.

half_closed_clients off

Ahora limitamos el tamaño máximo de los objetos que se guardarán en memoria, esto puede ahorrarnos problemas con el tamaño de la caché. Descomentamos la siguiente línea y la dejamos en 1024 KB.

maximum_object_size 1024 KB

También vamos a indicar cuando debe Squid vaciar la caché, esto nos permitirá un mejor mantenimiento. Descomentamos las siguientes líneas.

cache_swap_low 90
cache_swap_high 95

En mi caso dejo los valores que nos dan por defecto. Como última modificación en las opciones de configuración de Squid, buscamos la opción memory_pools, la descomentamos y la ponemos en off.

memory_pools off

Esta opción, hará que Squid libere la memoria RAM que no esté utilizando.

Por último, tras la siguiente línea,

#
# INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS
#

Añadiremos la regla para permitir el acceso a Internet de nuestra red interna.

acl ai4 src 192.168.10.0/24
http_access allow ai4

Y con esto ya podemos reiniciar Squid.

sudo service squid3 restart



IPTABLES

# Limpia las reglas anteriores
iptables -F
iptables -X
iptables -t nat -F
iptables -t nat -X
iptables -t mangle -F
iptables -t mangle -X


echo 1 > /proc/sys/net/ipv4/ip_forward


# Politica de filtro por defecto
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT

# Acceso ilimitado a loop back
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT


# Establece el servidor como router para la red
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
iptables -A FORWARD -i eth0  -j ACCEPT

# acceso ilimitado a la LAN
iptables -A INPUT -i eth0 -j ACCEPT
iptables -A OUTPUT -o eth0 -j ACCEPT

# Redirige las peticiones de la red interna hacia el proxy
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to 192.168.10.149

# Redirige la entrada al proxy
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128

PROXY TRANSPARENTE

/proc/sys/net/ipv4/ip_forward
0

sudo echo 1 > /proc/sys/net/ipv4/ip_forward

sudo cat /etc/sysctl.conf

# Uncomment the next line to enable packet forwarding for IPv4
#net.ipv4.ip_forward=1

sudo sysctl -w net.ipv4.ip_forward=1
net.ipv4.ip_forward = 1

sudo sysctl -a

Activar el IP Forwarding o enrutamiento (reenvío).‏

El IP Forwarding sirve para darle capacidad de Router a nuestro servidor es decir que pueda recibir y reenviar los paquetes por una o varias interfaces, ya sea que realice una transformación de dichos paquetes o no.

Para esto solo tenemos que ejecutar el siguiente comando:

sudo echo "1" > /proc/sys/net/ipv4/ip_forward

También podemos ejecutar:

sudo sysctl -w net.ipv4.ip_forward=1

sudo sysctl -p

sudo sysctl -a


Luego de esto tenemos que reniciar nuestro servicio de red ejecutando:

service networking restart




Opciones de seguridad en Linux a través de /proc

#Redireccionamiento IP (Activar Forward para sistemas que actúan como cortafuegos o routers)

;Temporal

echo 1 > /proc/sys/net/ipv4/ip_forward

 

; Permanete

gedit /etc/sysctl.conf                                                      ;Editar archivo y modificar parámetro: net.ipv4.ip_forward=1

sysctl -p                                                                              ;Ejecutamos para que efectué el cambio

 

 

#Desactivar PING

;Temporal

echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all

 

;Permanente

gedit /etc/sysctl.conf                                                      ;Editar archivo y modificar parámetro: net.ipv4.icmp_echo_ignore_all=1

sysctl -p                                                                              ;Ejecutamos para que efectué el cambio

 

 

#Desactivar peticion de broadcast

;Temporal

echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts

 

;Permanente

gedit /etc/sysctl.conf                                                      ;Editar archivo y modificar parámetro: net.ipv4.icmp_echo_ignore_broadcasts=1

sysctl -p                                                                              ;Ejecutamos para que efectué el cambio

 

 

#Desactivar mensajes de error mal formateados por red

;Temporal

echo 1 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses

 

;Permanente

gedit /etc/sysctl.conf                                                      ;Editar archivo y modificar parámetro: net.ipv4.icmp_ignore_bogus_error_responses=1

sysctl -p                                                                              ;Ejecutamos para que efectué el cambio

 

 

#Deshabilitar la aceptación de redirecciones (Para evitar modificar las tablas de direccionamiento del ordenador)

;Temporal

echo 0 > /proc/sys/net/ipv4/conf.all.accept_redirects

 

;Permanente

gedit /etc/sysctl.conf                                                      ;Editar archivo y modificar parámetro: net.ipv4.conf.all.accept_redirects=0

sysctl -p                                                                              ;Ejecutamos para que efectué el cambio

 

 

#Protección contra ataques DoS de inundación SYN

;Temporal

echo 1 > /proc/sys/net/ipv4/tcp_syncookies

 

;Permanente

gedit /etc/sysctl.conf                                                      ;Editar archivo y modificar parámetro: net.ipv4.tcp_syncookies=1

sysctl -p                                                                              ;Ejecutamos para que efectué el cambio

 

 

#Protección contra direcciones IP no válidas (Op.1 rechazar únicamente las suplantaciones evidentes, Op.2 realizar una comprobación exhaustiva)

;Temporal

echo 2 > /proc/sys/net/ipv4/conf.all.rp_filter

 

;Permanente

gedit /etc/sysctl.conf                                                      ;Editar archivo y modificar parámetro: net.ipv4.conf.all.rp_filter=2

sysctl -p                                                                              ;Ejecutamos para que efectué el cambio

 

 

#Desactivar Control de Rutas (El protocolo TCP/IP permite establecer la ruta exacta a seguir. Excepto en circunstancias muy especiales)

;Temporal

echo 0 > /proc/sys/net/ipv4/conf.all.accept_source_route

 

;Permanente

gedit /etc/sysctl.conf                                                      ;Editar archivo y modificar parámetro: net.ipv4.conf.all.accept_source_route=0

sysctl -p                                                                              ;Ejecutamos para que efectué el cambio

 

 

#Registro de actividades sospechosas (Registro de intento de envío de paquetes con dirección no válida, paquetes con cambio de rutas y otras situaciones similares.)

;Temporal

echo 1 > /proc/sys/net/ipv4/conf.all.log_martians

 

;Permanente

gedit /etc/sysctl.conf                                                      ;Editar archivo y modificar parámetro: net.ipv4.conf.all.log_martians=1

sysctl -p                                                                              ;Ejecutamos para que efectué el cambio

 

#Desactivar IPv6

;Temporal

echo 1 > /proc/sys/net/ipv6/conf/all/disable_ipv6

 

;Permanente

gedit /etc/sysctl.conf                                                      ;Editar archivo y modificar parametro: net.ipv6.conf.all.disable_ipv6=1

sysctl -p    

PROXY SQUID3

sudo service squid3 status

sudo cp /etc/squid3/squid.conf /etc/squid3/squid.conf.seg 

sudo gedit /etc/squid3/squid.conf

#########################################


# Recommended minimum configuration:
#
acl manager proto cache_object
acl localhost src 127.0.0.1/32 ::1
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32 ::1

# Example rule allowing access from your local networks.
# Adapt to list your (internal) IP networks from where browsing
# should be allowed
#acl localnet src 10.0.0.0/8    # RFC1918 possible internal network
#acl localnet src 172.16.0.0/12    # RFC1918 possible internal network
#acl localnet src 192.168.0.0/16    # RFC1918 possible internal network
#acl localnet src fc00::/7       # RFC 4193 local private network range
#acl localnet src fe80::/10      # RFC 4291 link-local (directly plugged) machines

acl ai4 src 192.168.10.0/24

acl SSL_ports port 443
acl Safe_ports port 80        # http
acl Safe_ports port 21        # ftp
acl Safe_ports port 443        # https
acl Safe_ports port 70        # gopher
acl Safe_ports port 210        # wais
acl Safe_ports port 1025-65535    # unregistered ports
acl Safe_ports port 280        # http-mgmt
acl Safe_ports port 488        # gss-http
acl Safe_ports port 591        # filemaker
acl Safe_ports port 777        # multiling http
acl CONNECT method CONNECT


http_access allow manager localhost
http_access deny manager

# Deny requests to certain unsafe ports
http_access deny !Safe_ports

# Deny CONNECT to other than secure SSL ports
http_access deny CONNECT !SSL_ports


# Example rule allowing access from your local networks.
# Adapt localnet in the ACL section to list your (internal) IP networks
# from where browsing should be allowed
#http_access allow localnet
http_access allow localhost
http_access allow ai4

# And finally deny all other access to this proxy
http_access deny all



# Squid normally listens to port 3128
http_port 3128

cache_mem 256 MB

cache_dir ufs /var/spool/squid3 100 16 256

access_log /var/log/squid3/access.log squid

# Leave coredumps in the first cache dir
coredump_dir /var/spool/squid3


########################################################



sudo cat /var/log/squid3/access.log
sudo cat /var/log/squid3/cache.log