[LUG.ro] Como configurar un servidor proxy en Debian

Angel Aranciba lugro@lugro.org.ar
Mon, 22 Aug 2005 17:52:24 -0300


El 22/08/05, Jalao LSN< escribió:
Hola
> Un amigo me pidio armar un servidor bajo linux y con un proxy para su
> cyber, estuve leyendo al respecto y se que Squid anda bien junto con
> Squidguard para bloquear paginas. Mi duda es que en este cyber se
> juega mucho al "Mu comando" , el "Lineage II" que son juego por
> internet, no se si al poner el proxy se podran seguir jugando estos
> sin problemas. Y si alguno sabe que puertos abrir o como configurar
> sobretodo para estos juegos me vendria bien una ayuda asi.

Yo hace tiempo que estoy usando Squid con Dansguardian. Es relamente 
muy bueno, te permite filtrar todo tipo de cosas, y hasta "escanea"
las paginas en busca de codigo malicioso. Quizas para un ciber sea
mucho, es muy configurable, pero sigue siendo rigido. Sobre Squidguard
no che :) .

Por le tmea de los puertos, el problema (como dijeron antes) no lo vas
a tener con squid (que no entiende anda de eso) sino con las rteglas
del iptables (o cualquier otro que uses) ahi es donde le decis que
queres que pase o que no. Ademas ahi podes hacer nat (tenes que 
hacerlo) para darle salida al mundo a las otras pcs.
unas reglas faciles para iptables que quizas te ayuden pueden ser algo as como:
----------------
IPTABLES=/sbin/iptables
EXTIF="eth0"
INTIF="eth1"
### Reglas generales por defecto
$IPTABLES -P INPUT ACCEPT
$IPTABLES -F INPUT
$IPTABLES -P OUTPUT ACCEPT
$IPTABLES -F OUTPUT
$IPTABLES -P FORWARD ACCEPT
$IPTABLES -F FORWARD
$IPTABLES -F -t nat

### Reglas de Entrada
# de la red al servidor aceptamos
$IPTABLES -A INPUT -i $INTIF -s $INTNET -d $UNIVERSE -j ACCEPT
# Los retornos y repuestas
$IPTABLES -A INPUT -i $EXTIF -s $UNIVERSE -d $EXTIP -m state --state
ESTABLISHED,RELATED -j ACCEPT
# Cualquier otra cosa que entre a la basura
$IPTABLES -A INPUT -j DROP

#### Reglas de Salida
#Cualquier cosa que salga apra la red local
$IPTABLES -A OUTPUT -o $INTIF -s $EXTIP -d $INTNET -j ACCEPT
$IPTABLES -A OUTPUT -o $INTIF -s $INTIP -d $INTNET -j ACCEPT
# Permitimo salida desde adentro para afuera
$IPTABLES -A OUTPUT -o $EXTIF -s $EXTIP -d $UNIVERSE -j ACCEPT
# Nada mas
$IPTABLES -A OUTPUT -j DROP

#### Reglas de Reenvio (para la red interna, sin incluir el serv)
# Permitimos el reenvio de todas desde a dentro, y solo las iniciadas
desde afuera
$IPTABLES -A FORWARD -i $EXTIF -o $INTIF -m state --state
ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A FORWARD -i $INTIF -o $EXTIF -j ACCEPT
#Nada mas
IPTABLES -A FORWARD -j DROP

## Algunas de nat
$IPTABLES -t nat -A POSTROUTING -o $EXTIF -j SNAT --to $EXTIP

-----------------------------------------------
Notas: fija de haber compilado el kernel para iptables, nat y todos
los accesorios que uses (hay muchas cosas mas pero depede de las
necesidades).
Las reglas son bastante generales y dan (para mi gusto) demasiada
libertad. Tene en cuenta ademas que el orden de las reglas influye,
asi que si vas a poner alguna menos permisiva, tiene uqe estar antes
que la mas permisiva.
Si por ejemplo queres hacer un proxi tranparente, suponiendo qeu
escucha en el puerto PROXIPORT se puede agregar algo asi como (para
las de la red):

$IPTABLES -t nat -A PREROUTING -i $INTIF -s $INTIP -p tcp
--destination-port 80 -j REDIRECT --to-port $PROXIPORT

hay mucha variedad, depende de el nivel de seguridad que le quieras
dar. Hacepto criticas por favor.

> Descargue los 7 primeros CD de Debian Sarge para la configuracion del
> servidor, la maquina que tengo para configuar es una Celeron 400 con
> 64 Mb de ram, HD de 4 Gb, video de 2 Mb (posiblemente consiga una agp
> de 8 mb y un HD de 20 Mb).  No voy a instalar las X asi no se hace tan
> pesado el sistema, estoy en lo correcto?

en cuanto a maquina enadas bien. Te recomendaria que (si se pùede) te
uqedes con la placa de 2 mb (total es al pedo) y le agreges memoria
(mientras mas de e ste mas mejor), el disco es im portante si y solo
si lo vas a usar. Digo, Si vas a instalar un serv web o algo asi, pero
sino con 2 g te sobra (ba.. no tanto pero) hasta para el Proxy.


> Bueno si alguien me da una mano les agradeceria.

ahi fue media mano ;). Chifla si tenes problemas o dudas.
 
> Saludos

chauchas
 
> Lenin
Angel