Servidor proxy-cach transparente Jos Antonio Muoz Jimnez nero 2!11 Jos Antonio Muoz Jimnez nero 2!11 Servidor Servidor proxy-cach proxy-cach transparente transparente 2 2 / / 27 27 jamj2000 at gmail dot com ndice de contenido Introduccin..........................................................................................................................................................................................3 Objetivo............................................................................................................................................................................................4 Recursos..........................................................................................................................................................................................4 Software...........................................................................................................................................................................................5 ontando la red local virtual................................................................................................................................................................! "onfiguracin din#mica de red $ara clientes..................................................................................................................................% "onfiguracin de S&'I(...................................................................................................................................................................)2 *robando S&'I( de forma no trans$arente.................................................................................................................................)4 "onfiguracin de (+,S-'+R(I+,..................................................................................................................................................)! "onfiguracin de S+R-.....................................................................................................................................................................20 "onfiguracin del cortafuegos...........................................................................................................................................................23 *robando el resultado final ...............................................................................................................................................................2! Jos Antonio Muoz Jimnez nero 2!11 Jos Antonio Muoz Jimnez nero 2!11 Servidor Servidor proxy-cach proxy-cach transparente transparente " " / / 27 27 I ntroducci n .ste documento $retende ser un mini/tutorial $ara el montaje de un $ro01/cac23 trans$arente $ara una red local. ,o se $retende entrar en detalle en cada una de las o$ciones de configuracin 4ue $ueden utili5arse6 sino m#s bien servir de orientacin en los $asos $rinci$ales de su $uesta en funcionamiento. 7a red local 4uedar# estructurada de la siguiente forma 8odelo sim$lificado9: Jos Antonio Muoz Jimnez nero 2!11 Jos Antonio Muoz Jimnez nero 2!11 Enrutador principal eth0: IP Publica eth1: 192.168.0.1 Proxy-cach eth0: 192.168.0.20 vboxnet0: 192.168.6.1 192.168.6.99 192.168.6.!! Servidor Servidor proxy-cach proxy-cach transparente transparente # # / / 27 27 .l software utili5ado 2a sido el siguiente: 'buntu )0.)0 (es;to$ i$tables ).4.4 S4uid 2.<.S=+>7.% (ansguardian 2.)0.).) Sarg 2.2.<.) ?ebmin ).530 dnsmas4 2.55 *ara reali5ar las $ruebas no es necesario dis$oner de una red local real. *ara reali5ar esta documentacin se 2a 2ec2o uso de una red simulada. 'tili5ando @irtual>o0 *'.7 8*ersonal 'se and .valuation 7icense9 3.2.)0. Objeti vo "uando finalicemos este mini/tutorial deberAas 2aber conseguido tener tu $ro01/cac23 configurado blo4ueando ciertos sitios indeseados 1 adem#s dis$ondr#s de un generador de informes 4ue te $ermitir# com$robar 4ue $#ginas visita cada usuario. Recursos @amos a necesitar mu1 $ocos recursos. *o4uAsimos. +ntes de em$e5ar necesitaras tener un e4ui$o con Ubuntu instalado 1 cuenta de administrador. Otra distribucin $odrAa valer6 $ero deberas de reali5ar las modificaciones o$ortunas. +demas debes de tener conexin a Internet. .so es todo. Jos Antonio Muoz Jimnez nero 2!11 Jos Antonio Muoz Jimnez nero 2!11 Servidor Servidor proxy-cach proxy-cach transparente transparente $ $ / / 27 27 Software *ara ciertas o$eraciones utili5aremos un terminal. *uedes utili5ar el 4ue viene en +$licaciones B +ccesorios B =erminal. (entro de 3l trabajaremos como administrador. *ara ello escribe el comando sudo su6 e introduce tu clave. .n el indicador del sistema deber# a$arecer el car#cter almo2adilla #. Si te a$arece el dlar $ es 4ue sigues como usuario sin $rivilegios. *ara establecer las reglas del cortafuegos necesitaremos el $a4uete iptables. ,ormalmente todas las distribuciones 7inu0 vienen con 3l. *odemos com$robar si dis$onemos de 3l escribiendo dic2o comando 1 $ulsando intro. Si nos a$arece un mensaje semejante a iptables v1.4.4: no command specified Try `iptables -h' or 'iptables --help' for more information. entonces tenemos la versin ).4.4. "omo software de $ro01/cac23 utili5aremos squid 1 dansguardian. .ste Cltimo trabaja sobre s4uid 1 $ro$orciona control $or contenido 1 $osee e0tensas listas negras. *or Cltimo necesitaremos el $a4uete sarg 4ue nos $ermitir# generar informes de los accesos de los usuarios. *ara instalar estos $a4uetes escribimos en el terminal 8como administrador9: apt-get install iptables squid dansguardian sarg +dem#s necesitaremos los $a4uetes VirtualBox 1 Webmin. .l $rimero nos $ermitir# crear una red local virtual con uno o varios e4ui$os detr#s de nuestro $ro01/cac23. .l segundo nos $ermite administrar el $ro01 de forma cmoda a trav3s de web. *ara la instalacin de estos $a4uetes 2e recurrido a los sitios oficiales donde dis$onen de $a4uetes .deb adecuados $ara distribuciones basadas en (ebian como 'buntu. Jos Antonio Muoz Jimnez nero 2!11 Jos Antonio Muoz Jimnez nero 2!11 Servidor Servidor proxy-cach proxy-cach transparente transparente % % / / 27 27 Montando la red local vi rtual 'na ve5 instalado todo el software anterior $rocederemos a configurar nuestra red virtual. *ara ello bastar# con ejecutar @irtual>o0 1 instalar al menos una m#4uina virtual. .n este caso 2e instalado ?indows D*. 7a interfa5 de red deber# configurarse como Adaptador slo-anfitrin. .llo aEadir# a nuestro 'buntu una interfa5 boxnet! con la cual nos comunicaremos con las m#4uinas virtuales detr#s del $ro01. >ueno6 se su$one 4ue 1a 2as instalado ?indows D* 1 establecido el ti$o de ada$tador. +ntes de iniciar ?indows D* des2abilitamos el servidor (F"* 4ue $ro$orciona @irtual>o0. .sto es necesario $uesto 4ue $uede interferir $osteriormente con nuestro cortafuegos. ,o tenga mu1 claro $or4ue es asA6 $ero en mis $rueba 2e tenido 4ue des2abilitarlo. *ara ello escribimos en el terminal. Jos Antonio Muoz Jimnez nero 2!11 Jos Antonio Muoz Jimnez nero 2!11 Servidor Servidor proxy-cach proxy-cach transparente transparente 7 7 / / 27 27 VBoxManage dhcpserver remove --ifname vboxnet0 *ara 2acer ,+= $or la interfa5 e0terna: i$tables /t nat /+ *OS=RO'=I,- /o et20 /j +S&'.R+(. o i$tables /t nat /+ *OS=RO'=I,- /o et20 /j S,+= //to/source )%2.)!G.0.20 ,O=+: .ste comando debemos ejecutarlo desde el mismo usuario con el cual ejecutamos @irtual>o0. 'na ve5 iniciado ?indows D* configuramos la cone0in de red de forma manual. *or ejem$lo: I*: )%2.)!G.5!.<< #scara: 255.255.255.0 *uerta de enlace: )%2.)!G.5!.) "'RIOSI(+(: (esde una ventana de S/(OS $odemos establecer la $uerta de enlace $or defecto con el comando route add 0.0.0.0 mask 0.0.0.0 19.1!".#!.1 -p 'na ve5 2ec2o todo lo anterior com$robamos 4ue tenemos cone0in desde ?indows D* a 'buntu 8nuestro $ro019. *ara ello bastar# con escribir en el terminal de S/(OS el comando ping 19.1!".#!.1 Jos Antonio Muoz Jimnez nero 2!11 Jos Antonio Muoz Jimnez nero 2!11 Servidor Servidor proxy-cach proxy-cach transparente transparente & & / / 27 27 Se muestra en la parte derecha de la imagen. En la parte izquierda he utilizado un escner de puertos (Zenmap) para ver los puertos que tiene abiertos el proxy Ubuntu. Esto ltimo no es necesario que lo hagas. Jos Antonio Muoz Jimnez nero 2!11 Jos Antonio Muoz Jimnez nero 2!11 Servidor Servidor proxy-cach proxy-cach transparente transparente ' ' / / 27 27 Confi guraci n di nmi ca de red para cli entes Si en lugar de dis$oner de un e4ui$o cliente dis$onemos de muc2os e4ui$os6 la configuracin de los $ar#metros de red $ara los e4ui$os de la red local se vuelve mu1 tediosa. *ara mejorar esta situacin es altamente recomendable dis$oner en nuestro $ro01 de un servicio (F"* 81 si adem#s tenemos (,S mejor9. *ara este cometido lo mejor es utili5ar el servidor (,S+S&. Instalamos dic2o servidor: apt-get install dnsmasq H co$iamos el siguiente contenido en el arc2ivo "etc"dnsmasq.conf: domain=midominio.net interface=vboxnet0 # Opciones para un mejor funcionamiento #-------------------------------------- domain-needed # bogus-priv # bogus-nxdomain=64.94.110.11 expand-hosts # Otras opciones de !"# #----------------------- dhcp-authoritative #dhcp-range=19$.16%.&6.10'19$.16%.&6.100'$&&.$&&.$&&.0'1$h dhcp-option=option(router'19$.16%.&6.1 dhcp-option=option(dns-server'19$.16%.&6.1 Jos Antonio Muoz Jimnez nero 2!11 Jos Antonio Muoz Jimnez nero 2!11 Servidor Servidor proxy-cach proxy-cach transparente transparente 1! 1! / / 27 27 dhcp-range=19$.16%.&6.0'static dhcp-host=)indo)s'19$.16%.&6.11'1$h #dhcp-host=00(11($$(**(44(&&')indo)s'19$.16%.*.11'1$h # +,ias' Origina, #---------------- cname=c,iente.midominio.net')indo)s.midominio.net cname=)in.midominio.net')indo)s.midominio.net cname=servidor.midominio.net'pc.midominio.net cname=ubuntu.midominio.net'pc.midominio.net .sto indica 4ue el servicio dnsmas4 atender# $eticiones en la interfa5 vbo0net0 1 asignara el dominio Imidominio.netJ a los clientes. .stablece la ruta $or defecto 1 el servidor (,S $ara los clientes. 7a lAnea dhcp-host=)indo)s'19$.16%.&6.11'1$h es im$ortante $ues indica 4ue al e4ui$o cu1o nombre es IwindowsJ le asignaremos la I* )%2.)!G.5!.)) $or )2 2oras. *reviamente deberemos 2aber establecido el nombre de dic2o e4ui$o. .sto lo 2acemos $ara dar siem$re la mismas I* al mismo e4ui$o 1 tener controlados a los clientes. ,ecesitamos una lAnea semejante a esta $or cada e4ui$o. *odemos 2acer lo mismo teniendo en cuenta la direccin +" de la tarjeta de red: dhcp-host=00(11($$(**(44(&&')indo)s'19$.16%.*.11'1$h Jos Antonio Muoz Jimnez nero 2!11 Jos Antonio Muoz Jimnez nero 2!11 Servidor Servidor proxy-cach proxy-cach transparente transparente 11 11 / / 27 27 Si no nos im$orta 4u3 I* recibe cada e4ui$o entonces en lugar de dhcp-range=19$.16%.&6.0'static escribimos dhcp-range=19$.16%.&6.10'19$.16%.&6.100'$&&.$&&.$&&.0'1$h .n este caso no necesitarAamos lAneas Id2c$/2ostJ +dem#s en el arc2ivo "etc"resol.conf del servidor deberemos $oner las siguientes lAneas: domain midominio.net search midominio.net nameserver 1$.0.0.1 nameserver 192.168..1 nameserver 8.!8.."" 7as 3 $rimeras lAneas $ermiten al servidor resolver los nombres de la red local con su $ro$io (,S. .l resto de lAneas son los (,S u$stream. Jos Antonio Muoz Jimnez nero 2!11 Jos Antonio Muoz Jimnez nero 2!11 Servidor Servidor proxy-cach proxy-cach transparente transparente 12 12 / / 27 27 Confi guraci n de SQUI S&'I( es el $ro01/cac23 $ro$iamente dic2o. +dem#s nos $ro$orciona una cac23 en disco donde va guardando todas las $#ginas visitadas $ara 4ue asA no tengan 4ue volver a $edirse a Internet la $r0ima ve5. .sto reduce el tr#fico con el e0terior 1 nos $ermite a$rovec2ar mejor nuestro anc2o de banda. Jos Antonio Muoz Jimnez nero 2!11 Jos Antonio Muoz Jimnez nero 2!11 Servidor Servidor proxy-cach proxy-cach transparente transparente 1" 1" / / 27 27 !unque es posible con"igurarlo a trav#s de $ebmin% probablemente resulte ms sencillo si abrimos el archivo de con"iguraci&n y lo editamos a mano. 'ara ello te recomiendo copies y pegues las siguientes l(neas dentro de %etc%squid%squid.conf http#port "128 transparent cache#mem 2!6 $% cache#dir &fs 'var'spool's(&id 1 16 2!6 ma)im&m#ob*ect#si+e 8 ,% visible#hostname pro)y cache#access#lo- 'var'lo-'s(&id'access.lo- offline#mode on ie#refresh on error#directory '&sr'share's(&id'errors'es acl all src ...'... acl localhost src 12....1'2!!.2!!.2!!.2!! acl localnet src 192.168.!6.'2!!.2!!.2!!. acl m<imedia &rl#re-e) yo&t&be.com video.-oo-le t&.tv acl *&e-os &rl#re-e) mini*&e-os *&e-os.com *&e-os*&e-os.com acl mensa*erias &rl#re-e) eb&ddy.com meebo.com t&enti e-messen-er acl porno-rafia &rl#re-e) se)tv pornot&be p&tas mocosoft) acl varios &rl#re-e) se)yono votamic&erpo forocoches meristation.com http#access deny m<imedia http#access deny *&e-os http#access deny porno-rafia http#access deny mensa*erias http#access deny varios http#access allo/ localhost http#access allo/ localnet http#access allo/ all ediante ?ebmin $odemos iniciar 1 $arar de forma sencilla el $ro01/cac23. ,O=+: S&'I( no iniciar# si no dis$ones de una cone0in a Internet. Jos Antonio Muoz Jimnez nero 2!11 Jos Antonio Muoz Jimnez nero 2!11 Servidor Servidor proxy-cach proxy-cach transparente transparente 1# 1# / / 27 27 !robando SQUI de forma no transparente Si S&'I( 2a iniciado de forma correcta6 $odemos $robar a navegar desde ?indows D*. Si intentamos acceder a internet en este momento com$robaremos 4ue no $odemos. .sto es debido a 4ue S&'I( atiende las $eticiones en el $uerto 3)2G 1 los navegadores 2acen $eticiones de $#ginas web al $uerto G0. Jos Antonio Muoz Jimnez nero 2!11 Jos Antonio Muoz Jimnez nero 2!11 Servidor Servidor proxy-cach proxy-cach transparente transparente 1$ 1$ / / 27 27 + estas alturas aCn no dis$onemos de un $ro01 trans$arente. *or tanto $ara $robar deberemos configurar el navegador de los e4ui$os 4ue se 2allan detr#s del $ro01. "omo com$render#s esto no es una mu1 buena t3cnica6 sobre todo si dis$onemos de muc2os e4ui$os. ,o obstante nosotros lo $robaremos $ara mostrar con se configuran los clientes cuando dis$onemos de un $ro01 no trans$arente. .n Internet .0$lorer6 vamos al menC Ferramientas B O$ciones de Internet. 7uego $ulsamos en la $estaEa "one0iones 1 des$u3s en el botn "onfiguracin de 7+,... arcamos la casilla del Servidor $ro01 tal como a$arece en la imagen. 'na ve5 reali5ados los $asos anteriores6 si todo 2a ido bien6 $odremos navegar. +lgunos sitios ser#n denegados $or S&'I(. .n la configuracin 4ue $resentamos en el a$artado anterior estaban denegadas 'R7s como 1outube.com6 minijuegos o tuenti.com. *or tanto estos sitios no $odremos verlos. 'na ve5 $robado el $ro01 no trans$arente dejamos el navegador como estaba al $rinci$io 1 seguimos con este tutorial. Jos Antonio Muoz Jimnez nero 2!11 Jos Antonio Muoz Jimnez nero 2!11 Servidor Servidor proxy-cach proxy-cach transparente transparente 1% 1% / / 27 27 Confi guraci n de "#S$U"RI "# +ntes de configurar el cortafuegos $ara tener un $ro01 trans$arente6 configuraremos (+,S-'+R(I+, 1 S+R- 1 dejaremos $ara el final la configuracin del cortafuegos. (+,S-'+R(I+, nos aEade funcionalidad 1 sobre todo una gestin de las listas negras m#s cmoda. (+,S-'+R(I+, atiende $eticiones en el $uerto G0G0 1 funciona sobre S&'I(. "uando instalamos dansguardian a$enas tenemos listas negras. *odemos descargar una mu1 com$leta 8 bigblac;list.tar.g5 9 desde 2tt$:KKurlblac;list.comKLsecMdownload 'na ve5 descargada la guardamos en el directorio adecuado. *ara ello ejecutamos en un terminal como administrador: cp bigblacklist.tar.g& %etc%dansguardian%lists cd %etc%dansguardian%lists tar &xvf bigblacklist.tar.g& Jos Antonio Muoz Jimnez nero 2!11 Jos Antonio Muoz Jimnez nero 2!11 Servidor Servidor proxy-cach proxy-cach transparente transparente 17 17 / / 27 27 Esto descomprimir dentro de )etc)dansguardian)lists)blac*lists un mogoll&n de listas clasi"icadas por temtica. +en en cuenta que% aunque el directorio se llame blac*lists% no todas las listas que aparecen aqu( son negras. + continuacin editamos el arc2ivo KetcKdansguardianKlistKbannedsitelist $ara blo4uear el acceso a ciertos sitios. (escomentamos o aEadimos las siguientes lAneas $ara blo4uear el acceso a redes sociales 1 sitios de mensajerAa instant#nea: .IncludeNKetcKdansguardianKlistsKblac;listsKsocialnetwor;ingKdomainsO .IncludeNKetcKdansguardianKlistsKblac;listsKinstantmessagingKdomainsO ,O=+: .s $osible 2acer lo mismo con las 'R7s mediante el arc2ivo KetcKdansguardianKlistKbannedurllist 1 con otros ti$os de listas. Jos Antonio Muoz Jimnez nero 2!11 Jos Antonio Muoz Jimnez nero 2!11 Servidor Servidor proxy-cach proxy-cach transparente transparente 1& 1& / / 27 27 Si deseamos com$robar el contenido 4ue se encuentra dentro de las $#ginas6 es decir el ti$o de $alabras 4ue a$arecen 1 las veces 4ue a$arecen6 $odemos blo4uear a4uellas $#ginas 4ue $osean gran cantidad de $alabras ofensivas. *odemos descargar una mu1 com$leta lista de frases ofensivas 8 $2raselistsoct23.tar.g5 9 desde 2tt$:KKcontentfilter.futuragts.comK$2raselistsK 'na ve5 descargada la guardamos en el directorio adecuado. *ara ello ejecutamos en un terminal como administrador: cp phraselistsoct'.tar.g& %etc%dansguardian%lists cd %etc%dansguardian%lists tar &xvf phraselistsoct'.tar.g& rm -r phraselists mv ()current phraselists( phraselists .ditamos el arc2ivo KetcKdansguardianKlistsKweig2ted$2raselist 1 comentamos las lAneas donde a$arece $olis2 1 swedis2. +l igual 4ue 2icimos con el arc2ivo anterior6 configuramos 3ste a nuestro gusto. *or Cltimo $ara terminar con (+,S-'+R(I+,6 instalaremos su mdulo $ara administrador desde ?ebmin. *odemos descargar el modulo $ara webmin 8dgwebmin/0.<.).wbm9 desde 2tt$:KKsourceforge.netK$rojectsKdgwebminmoduleKfilesKdgwebmin/ s tableK0.<Kdgwebmin/0.<.).wbm .ste mdulo $osee una configuracin de caminos no adecuada $ara 'buntu. *ara arreglar este $roblema $ulsa en la $arte i54uierda en (ans-uardian Piltro de "ontenido 1 a continuacin en el cuadro de la derec2a en la es4uina su$erior i54uierda en "onfiguracin de odulo. Jos Antonio Muoz Jimnez nero 2!11 Jos Antonio Muoz Jimnez nero 2!11 Servidor Servidor proxy-cach proxy-cach transparente transparente 1' 1' / / 27 27 .stablece los caminos tal como a$arecen en la imagen inferior. Jos Antonio Muoz Jimnez nero 2!11 Jos Antonio Muoz Jimnez nero 2!11 Servidor Servidor proxy-cach proxy-cach transparente transparente 2! 2! / / 27 27 Confi guraci n de S"R$ S+R- 8S4uid +nal1sis Re$ort -enerator9 es un generador de informes $ara S&'I(. *ero nosotros lo vamos a ada$tar $ara generar informes $ara (+,S-'+R(I+,6 $uesto 4ue trabajaremos $rinci$almente con este Cltimo. *ara ello debemos de editar el arc2ivo "etc"sarg"sarg.conf debes cambiar la lAnea accessQlog KvarKlogKs4uidKaccess.log $or accessQlog KvarKlogKdansguardianKaccess.log .sto indica 4ue 2aremos uso del registro de accesos de dansguardian en lugar del de s4uid como viene $or defecto. +dem#s deberemos modificar el arc2ivo "etc"dansguardian"dansguardian.conf 1 cambiar la lAnea logfileformat M 0 $or logfileformat M 3 .sto indica 4ue debemos registrar los accesos siguiendo el formato 4ue em$lea s4uid. *ara no me5clar datos de distintos formatos borramos el contenido del registro de accesos: echo *+ , %var%log%dansguardian%access.log 1 borramos arc2ivos anteriores rm %var%log%dansguardian%access.log.- Jos Antonio Muoz Jimnez nero 2!11 Jos Antonio Muoz Jimnez nero 2!11 Servidor Servidor proxy-cach proxy-cach transparente transparente 21 21 / / 27 27 *or Cltimo $ara terminar con S+R-6 instalaremos su mdulo $ara administrarlo desde ?ebmin. *odemos descargar el modulo $ara webmin 8sarg.wbm.g59 desde 2tt$:KKdownload.webmin.comKdownloadKmodulesK .ste mdulo $osee una configuracin de caminos no adecuada $ara 'buntu. *ara arreglar este $roblema $ulsa en la $arte i54uierda en -enerador de -enerador de Informes de +n#lisis de S4uid 1 a continuacin en el cuadro de la derec2a en la es4uina su$erior i54uierda en "onfiguracin de odulo. .stablece los caminos tal como a$arecen en la imagen inferior. Jos Antonio Muoz Jimnez nero 2!11 Jos Antonio Muoz Jimnez nero 2!11 Servidor Servidor proxy-cach proxy-cach transparente transparente 22 22 / / 27 27 + continuacin se muestra un informe de los sitios visitados $or el e4ui$o )%2.)!G.5!.)) el dAa 22 de .nero de 20)). Jos Antonio Muoz Jimnez nero 2!11 Jos Antonio Muoz Jimnez nero 2!11 Servidor Servidor proxy-cach proxy-cach transparente transparente 2" 2" / / 27 27 Confi guraci n del cortafuegos *ara el correcto funcionamiento del prox#-cac$% transparente deberemos redirigir las $eticiones 2ec2as al $uerto G0 2acia el $uerto G0G0. *or si algCn cliente des$istado tiene configurado el navegador $ara 2acer $eticiones al $uerto 3)2G deberemos redirigir tambi3n las $eticiones 2ec2as al $uerto 3)2G 2acia el $uerto G0G0. (e esta forma todas las $eticiones F==* $asar#n $or (+,S-'+R(I+,. .ste a su ve5 2ar# uso de S&'I(6 4uien finalmente 2ar# las $eticiones de las $#ginas web. iptables -t nat -0 123245T678 -i vbo)net -p tcp -* 239623:T --dport 8 --to-ports 88 iptables -t nat -0 123245T678 -i vbo)net -p tcp -* 239623:T --dport "128 --to-ports 88 iptables-save ; 'etc'iptables.&p.r&les 7as 2 $rimeras lAneas establecen el redireccionamiento de $uertos en la entrada de la interfa5 vbo0net0. 7a Cltima lAnea salva las reglas en el arc2ivo KetcKi$tables.u$.rules *ara com$robar si las reglas est#n a$lic#ndose 2acemos un listado: iptables -t nat -< , deber aparecer una salida igual a la siguiente- :hain 123245T678 =policy 0::31T> tar-et prot opt so&rce destination 239623:T tcp -- any/here any/here tcp dpt:/// redir ports 88 239623:T tcp -- any/here any/here tcp dpt:"128 redir ports 88 Jos Antonio Muoz Jimnez nero 2!11 Jos Antonio Muoz Jimnez nero 2!11 Servidor Servidor proxy-cach proxy-cach transparente transparente 2# 2# / / 27 27 :hain 45T15T =policy 0::31T> tar-et prot opt so&rce destination :hain 14?T245T678 =policy 0::31T> tar-et prot opt so&rce destination *ara cargar estas reglas en el inicio del sistema $odemos indicarlo en el arc2ivo "etc"net&or'"interfaces a&to lo iface lo inet loopbac@ pre-up iptables-restore . %etc%iptables.up.rules I*OR=+,=.: .s necesario activar el enrutamiento interno $ara 4ue los $a4uetes $uedan viajar de una interfa5 a otra. *ara ello ejecutamos en el terminal: echo 1 , %proc%s/s%net%ipv0%ip)for1ard .sto funcionar# mientras est3 el e4ui$o encendido. *ara 2acer este cambio $ermanente debe 2aber la siguiente lAnea en el arc2ivo "etc"s#sctl.conf: net.ipv0.ip)for1ard21 Jos Antonio Muoz Jimnez nero 2!11 Jos Antonio Muoz Jimnez nero 2!11 Servidor Servidor proxy-cach proxy-cach transparente transparente 2$ 2$ / / 27 27 I*OR=+,=.: .s altamente recomendable configurar las interfaces de red del servidor de forma est#tica $ara no llevarnos sor$resas. .sto $uede 2acerse modificando el arc2ivo "etc"net&or'"interfaces de la siguiente forma: auto lo iface lo inet loopbac@ pre-&p iptables-restore A 'etc'iptables.&p.r&les auto eth0 iface eth0 inet static address 19.1!".0.0 netmask ##.##.#.0 gate1a/ 19.1!".0.1 auto vboxnet0 iface vboxnet0 inet static address 19.1!".#!.1 netmask ##.##.##.0 "'RIOSI(+(: Si utili5amos como cortafuegos a firestarter debemos aEadir al arc2ivo "etc"firestarter"user-post las siguientes reglas: B61T -t nat -0 123245T678 -i vbo)net -p tcp -* 239623:T --dport 8 --to-ports 88 B61T -t nat -0 123245T678 -i vbo)net -p tcp -* 239623:T --dport "128 --to-ports 88 Jos Antonio Muoz Jimnez nero 2!11 Jos Antonio Muoz Jimnez nero 2!11 Servidor Servidor proxy-cach proxy-cach transparente transparente 2% 2% / / 27 27 !robando el resultado fi nal *#gina mostrada 8Sitio no $ermitido9 cuando accedemos a faceboo;.com desde un e4ui$o cliente: Jos Antonio Muoz Jimnez nero 2!11 Jos Antonio Muoz Jimnez nero 2!11 Servidor Servidor proxy-cach proxy-cach transparente transparente 27 27 / / 27 27 H cuando accedemos a )Gsoon.com 87Amite de $onderacin de frases $ermitidas9 Jos Antonio Muoz Jimnez nero 2!11 Jos Antonio Muoz Jimnez nero 2!11