Servicios de Red

LABORATORIO N° 06

Servicio Proxy en Linux

CÓDIGO DEL CURSO: II4030

Alumno(s) Nota

Luis Miguel Navarro Huaraca

 Nro. DD-
106
Servicio Proxy en Linux
Página
2/24

I.OBJETIVOS

● Implementar el servicio squid en una red con equipos Linux.

● Definir reglas de acceso a recursos para clientes que acceden a Internet.

II.SEGURIDAD

Advertencia:
En este laboratorio está prohibida la manipulación del hardware,
conexiones eléctricas o de red; así como la ingestión de alimentos o
bebidas.

III.FUNDAMENTO TEÓRICO

El laboratorio está detallado paso a paso. Es importante que revise su texto para poder
responder algunas de las preguntas planteadas.

IV.NORMAS EMPLEADAS

No aplica

V.RECURSOS

● En este laboratorio cada alumno trabajará con un equipo con Windows 8.1 o posterior.

● Este equipo debe tener instalado el programa VMware Workstation o VirtualBox para la
definición y administración de los equipos virtuales.
● Cada equipo debe contar con una plantilla de Ubuntu Server 20.04.

VI.METODOLOGÍA PARA EL DESARROLLO DE LA TAREA

● El desarrollo del laboratorio es grupal (máximo dos personas).

 Nro. DD-
106
Servicio Proxy en Linux
Página
3/24

VII.PROCEDIMIENTO

A. CREACIÓN DE LOS EQUIPOS VIRTUALES

1. Clonar la máquina virtual brindada por el docente (en canvas).

2. Esta solicitará un usuario y password, utilice las siguientes credenciales:

Usuario: tecsupadm
Password: ARCTecsup2

3. El hostname del sistema operativo deberá contar con la siguiente estructura: primera letra de su
primer nombre, seguido de su apellido paterno y de la palabra proxy. Un nombre válido sería
jdiaz-proxy para alguien que se llame Juan Diaz. Puede ser el nombre de cualquier miembro del
equipo.
4. Cambie el hostname del sistema operativo y adjunct una captura del resultado:

5. Antes de empezar con las actividades no olvide actualizar los repositorios:

$ sudo apt update

6. Si cuenta con tiempo y una buena conexión a internet puede actualizar todos los paquetes del
sistema operativo:
$ sudo apt upgrade -y

Configuración estática de red

1. Haciendo uso de los comandos de verificación de red en Ubuntu Server, complete la

siguiente tabla:
Dirección IP 192.168.111.14

Prefijo 24

Puerta de enlace 192.168.111.2

 Nro. DD-
106
Servicio Proxy en Linux
Página
4/24

2. Deberá configurar la interfaz ethernet de Ubuntu Server mediante su archivo de configuración

con los siguientes parámetros:
Opción Valor

Dirección IP 192.168.111.14

Prefijo 8

Puerta de enlace 192.168.111.2

Servidor DNS 8.8.8.8, 8.8.4.4

NOTA
No olvide siempre probar la conectividad a internet y la resolución de nombres de dominio al
establecer la nueva configuración estática de red

3. Crear dos equipos virtuales Windows 10 y asignar la siguiente configuración:

Opción Valor

Nombre de Equipo Cli + número_grupo_asignado + -01 Ej. Cli00-01

Grupo de Trabajo REDES

Dirección IP 192.168.111.101

Máscara de subred 255.255.255.0

Servidor DNS 8.8.8.8 / 8.8.4.4

Puerta de enlace 192.168.111.2

 Nro. DD-
106
Servicio Proxy en Linux
Página
5/24

Opción Valor

Nombre de Equipo Cli + número_grupo_asignado + -02 Ej. Cli00-02

Grupo de Trabajo REDES

Dirección IP 192.168.111.102

Máscara de subred 255.255.255.0

Servidor DNS 8.8.8.8 / 8.8.4.4

Puerta de enlace 192.168.111.2

4. Adjunte capturas de pantalla de los comando de verificación de la configuración de red de

los distintos equipos:
 Nro. DD-
106
Servicio Proxy en Linux
Página
6/24

B. INSTALACIÓN Y CONFIGURACIÓN INICIAL DEL SERVICIO SQUID

1. Instale el paquete squid en Ubuntu Server:

$ sudo apt install -y squid

2. Espere a que termine la instalación y muestre ningún error

3. Verifique que el servicio web ya esté habilitado y funcionando, caso contrario utilice systemctl
para arrancarlo y habilitarlo:
$ systemctl status squid

4. Se configurará el servicio proxy en el puerto 8080/tcp. Actualice las reglas en el cortafuegos

para que permita dicho tráfico:
$ sudo ufw allow port_number/protocol

5. Valide que el estado del cortafuegos coincida con los servicios publicados:

6. Configure el puerto TCP 8080 como puerto para Squid:

 Nro. DD-
106
Servicio Proxy en Linux
Página
7/24

● Genere un respaldo del archivo /etc/squid/squid.conf con el nombre

squid.conf.old en la misma carpeta.
● Edite el archivo squid.conf y actualice la siguiente línea:
Línea Valor

http_port 8080

2106

7. Defina los parámetros del caché para el servicio Proxy.

● Descomentar la siguiente línea en el archivo squid.conf
Línea Valor

cache_dir ufs /var/spool/squid 100 16 256

3884

● Haciendo uso de los comentarios brindados en el mismo archivo, explique el significado de

la directiva que se ha descomentado.
-cache_dir: Esto indica que estás configurando un directorio de caché.

-ufs: Es el tipo de almacenamiento en caché que se va a utilizar. "ufs" significa "Unix File
System", lo que implica que se utilizarán archivos regulares en el sistema de archivos de
Unix para almacenar en caché los objetos web.

-/var/spool/squid: Esta es la ruta al directorio donde se almacenarán los archivos en caché.

Por lo general, Squid almacena sus archivos en caché en este directorio en sistemas
basados en Unix/Linux.

-100: Este número representa el tamaño máximo en megabytes del almacenamiento en

caché. En este caso, se ha configurado para que el almacenamiento en caché tenga un
tamaño máximo de 100 MB.

-16: Este valor representa el número máximo de subdirectorios dentro del directorio de
caché principal. Squid divide el directorio de caché en subdirectorios para mejorar el
rendimiento al buscar objetos en caché. En este caso, se han configurado 16 subdirectorios.
 Nro. DD-
106
Servicio Proxy en Linux
Página
8/24

-256: Este número representa el número máximo de directorios de segundo nivel. Cada
subdirectorio principal (definido por el valor anterior, "16" en este caso) puede contener un
número limitado de subdirectorios de segundo nivel para mejorar aún más la organización
del almacenamiento en caché. En este caso, se han configurado 256 directorios de segundo
nivel.

8. Reinicie y pruebe el servicio squid:

● Reinicie el servicio squid:
$ sudo systemctl restart squid.service

● Pruebe que el puerto de squid esté abierto:

$ ss -ltn | grep :8080

9. Consulte e interprete el contenido del directorio caché:

$ ls -l /var/spool/squid // deberá mostrar 16 carpetas
$ sudo ls -l /var/spool/squid/00 // deberá mostrar 256 carpetas
 Nro. DD-
106
Servicio Proxy en Linux
Página
9/24

10. Indique en qué directorios se guardarán los registros (logs) generados por el servicio:
● Editar la siguiente línea en el archivo squid.conf con el valor dado:
Línea Valor

cache_store_log daemon:/var/log/squid/store.log

4720

● Los registros (logs) de acceso y caché por defecto ya se guardan en la carpeta

/var/log/squid/

11. Reconfigure el servicio squid:

$ sudo squid -k reconfigure
 Nro. DD-
106
Servicio Proxy en Linux
Página
10/24

NOTA
No se emplea el comando systemctl restart debido a que ello implica detener el servicio y que
las conexiones actuales establecidas se pierdan. Con el comando anterior se aplican los cambios
sin detener el servicio.

C. CONFIGURACIÓN DEL CLIENTE PROXY

1. Encienda el primer cliente de Windows (CliXX-01).

2. Ingrese a la ventana Propiedades de Internet (inetcpl.cpl), seleccione la pestaña Conexiones,

hacer clic en Configuración de LAN, en la nueva ventana deberá habilitar el servidor proxy,
colocar la dirección IP de Ubuntu Server y el puerto 8080.
 Nro. DD-
106
Servicio Proxy en Linux
Página
11/24

3. Guardar los cambios.

4. Tome una captura de los cambios realizados en la ventana Configuración de la red de área
local (LAN) donde se visualice la dirección IP del servidor Ubuntu y el puerto 8080

5. Verificar que el servicio Squid se encuentre activo. Si no se encuentra activo, iniciarlo

nuevamente.

6. Desde CliXX-01, intente acceder a https://www.google.com.pe y http://neverssl.com ¿Pudo

hacerlo? Si no lo consiguió, indique brevemente a qué se refiere el mensaje mostrado:
 Nro. DD-
106
Servicio Proxy en Linux
Página
12/24

D. CONTROL DE ACCESO

1. Elimine todas las políticas de acceso presentes, esto bloqueará todos los accesos:
● Comentar las siguientes líneas en el archivo squid.conf
Línea Valor

1529 #http_access deny !Safe_ports

1532 #http_access deny CONNECT !SSL_ports

 Nro. DD-
106
Servicio Proxy en Linux
Página
13/24

● Guarde los cambios.

● Aplique la nueva configuración con el siguiente comando:

$ sudo squid -k reconfigure

2. Defina un alias para su red local (sus clientes):

● Elimine el archivo de configuración para ACLs y políticas dado por defecto
$ sudo rm /etc/squid/conf.d/debian.conf

● Con el editor de texto de su preferencia genere un nuevo archivo de nombre ubuntu.conf

en la carpeta /etc/squid/conf.d/ y coloque el siguiente contenido:
acl redlocalXX src ???.???.???.???/?? #Dirección de red

● Explique el significado de la línea anterior:

● Guarde los cambios.

 Nro. DD-
106
Servicio Proxy en Linux
Página
14/24

3. Conceda el acceso a Internet al grupo de direcciones definido y deniegue acceso al resto:

● Añada lo siguiente al final del archivo ubuntu.conf
http_access allow redlocalXX

● Explique el significado de la línea anterior:

● Guarde los cambios.

4. Aplique los cambios del servicio squid:

$ sudo squid -k reconfigure

5. Desde CliXX-01 intente acceder nuevamente a una página Web. ¿Se puede? ¿Por qué?
 Nro. DD-
106
Servicio Proxy en Linux
Página
15/24

Porque se le otorgo el acceso a la red especificada en el archivo Ubuntu.conf

6. Cambie el orden las políticas:

● Dentro del archivo squid.conf realice los siguientes cambios:
Línea Valor

1546 #include /etc/squid/conf.d/*

1555 http_access deny all

1556 include /etc/squid/conf.d/* #agregar esta línea

 Nro. DD-
106
Servicio Proxy en Linux
Página
16/24

7. Aplique los cambios del servicio squid.

8. Desde CliXX-01, acceda a las siguientes direcciones:

● https://www.intel.com

● https://www.gsmarena.com
 Nro. DD-
106
Servicio Proxy en Linux
Página
17/24

● http://www.reniec.gob.pe

● http://neverssl.com

9. Vea las últimas líneas del registro la actividad realizada en el servidor proxy:
$ sudo tail -f /var/log/squid/access.log
 Nro. DD-
106
Servicio Proxy en Linux
Página
18/24

NOTA
Para detener el comando anterior presione Ctrl + C.

10. Deshaga los cambios hechos en el archivo, elimine la línea 1556 y descomenta la línea 1546.

squid.conf

ELIMINANDO:

DESCOMENTANDO:

Una vez echo eso tendremos acceso a las páginas que no

pudimos entrar.
E.BLOQUEO DEL ACCESO DE UNA COMPUTADORA

1. En los siguientes pasos, cambiar la XX por el número asignado.

● Configure el servicio proxy en CliXX-02 tal como lo configuró en CliXX-01.
 Nro. DD-
106
Servicio Proxy en Linux
Página
19/24

● Defina la ACL llamada pcprohibidaXX que haga referencia a la IP de CliXX-02. Trate de

colocar las ACL juntas para mantener orden y mejorar la legibilidad.
● Añada la siguiente política dentro del archivo ubuntu.conf, tome en cuenta la posición
donde es colocada la nueva política.
http_access deny pcprohibidaXX #Nueva política
http_access allow redlocalXX

2. Aplique los cambios del servicio squid.

3. Complete la tabla:
¿Si / No?

¿CliXX-01 puede acceder a páginas web? si

¿CliXX-02 puede acceder a páginas web? no

 Nro. DD-
106
Servicio Proxy en Linux
Página
20/24

F. BLOQUEO DE ACCESO EN BASE A UN DOMINIO

1. En los siguientes pasos cambiar la XX por el número que tiene asignado.

● Defina la siguiente ACL dentro del archivo ubuntu.conf
acl dompermitidoXX dstdomain .onpe.gob.pe

● Defina una nueva política, procurando colocarla según se muestra a continuación

http_access deny pcprohibidaXX
http_access deny !dompermitidoXX #Nueva política
http_access allow redlocalXX

● Interprete el significado de la nueva política:

● Guardar los cambios.

2. Aplique los cambios del servicio squid.

3. Complete la tabla:
¿Si / No?

¿CliXX-01 puede acceder a la página web

www.onpe.gob.pe?

¿CliXX-02 puede acceder a la página web

 Nro. DD-
106
Servicio Proxy en Linux
Página
21/24

www.onpe.gob.pe?

¿CliXX-01 puede acceder a alguna otra

página web?

¿CliXX-02 puede acceder a alguna otra

página web?

G. BLOQUEO DE UN DOMINIO A UNA COMPUTADORA

1. En los siguientes pasos cambiar la XX por el número que tiene asignado.

2. Defina la siguiente política:
● Actualice las políticas de acceso de forma que coincida con lo que se muestra a continuación:
http_access deny pcprohibidaXX !dompermitidoXX
http_access allow redlocalXX

● Guarde los cambios

3. Aplique los cambios dentro del servicio squid.

4. Complete la tabla:
¿Si / No?

¿CliXX-01 puede acceder a la página web

www.onpe.gob.pe?

¿CliXX-02 puede acceder a la página web

www.onpe.gob.pe?

¿CliXX-01 puede acceder a alguna otra

página web?

¿CliXX-02 puede acceder a alguna otra

página web?

H. CONTROL DE DESCARGA DE ARCHIVOS

1. Crear un control de acceso para evitar que se descarguen los archivos con extensión mp3, exe y
zip.
● Defina la siguiente ACL dentro del archivo ubuntu.conf
acl downloadXX urlpath_regex "/etc/squid/downloadExtXX.reg"

● Defina el archivo downloadExtXX.reg dentro de la carpeta /etc/squid/ con el siguiente

contenido:
\.[Ee][Xx][Ee](\?.*)?$
\.[Mm][Pp]3(\?.*)?$
\.[Zz][Ii][Pp](\?.*)?$

● Añada una nueva política como se muestra a continuación:

 Nro. DD-
106
Servicio Proxy en Linux
Página
22/24

http_access deny pcprohibidaXX !dompermitidoXX

http_access deny downloadXX #Nueva política
http_access allow redlocalXX

● Guardar los cambios

2. Aplique los cambios dentro del servicio squid.

3. Desde CliXX-01, con un navegador web verifique que no puede descargar archivos con
extensión mp3, exe o zip y capture una imagen del mensaje que se muestra en el navegador al
descargar este tipo de archivos:

I. CONTROL DE ACCESO POR HORARIO

1. Defina una política que permita el acceso al uso de los recursos de la red entre las 8:00 y 18:00
horas.
● Defina la siguiente ACL dentro del archivo ubuntu.conf
acl horarioXX time 08:00-18:00

● Añada una nueva política como se muestra a continuación:

http_access deny !horarioXX #Nueva política
http_access deny pcprohibidaXX !dompermitidoXX
http_access deny downloadXX
http_access allow redlocalXX

2. Tome una captura del contenido del archivo ubuntu.conf

3. Aplique los cambios dentro del servicio squid.

4. Verifique si funciona la restricción de acceso en el tiempo indicado.

J. EJERCICIOS

1. Elimine todas las reglas creadas y defina la(s) ACL y regla(s) necesaria(s) que permita(n) el
acceso a redes sociales (Instagram, Facebook, LinkedIn, etc) durante la hora de refrigerio (de
12:00 a 14:00) de Lunes a Viernes y se denieguen fuera de estos horarios. Tome una captura
de las ACL y las reglas creadas:

2. Elimine todas las reglas creadas y defina la(s) ACL y regla(s) necesaria(s) que deniegue(n) el
acceso a cualquier página web los fines de semana (sábados y domingos) a la red corporativa
(192.168.X.0/26) de la empresa excepto a la red de gerencia (192.168.X.64/28). Capture una
imagen del ACL y la restricción de la regla creada.
 Nro. DD-
106
Servicio Proxy en Linux
Página
23/24
 Nro. DD-
106
Servicio Proxy en Linux
Página
24/24

VIII.OBSERVACIONES

IX.CONCLUSIONES

●
https://www.youtube.com/watch?v=WD7sCbAfmZo