Dam Si Si10 Completa

15/5/2015 DAM_SI:SI10Completa.Administracindelared(LinuxIII).

data:text/htmlcharset=utf8,%3Cdiv%20class%3D%22node%22%20style%3D%22color%3A%20rgb(0%2C%200%2C%200)%3B%20fontfamily%3A% 1/34

Esquemabsicodered.

Administracindelared(LinuxIII).

MaravisitaaJuan.

Juan, vamosamejorar la red de la empresa y para eso necesitoque utilices un servidor para que acte como router y leproporcione a le empresa los servicios msimportantes. Encaminamiento y DHCP, y luego leinstalaremosmsservicios.

MuybienMara,hevistoporInternetqueLinuxfuncionamuybienconredes.Dehechosumximapotenciaseutilizaparaactuarcomoservidor.Ahoramismomepongoaconfigurarelservidor.

1.Esquemabsicodered.

Juansedisponeadisearlared,peroantesdeempezar,vaahacerunesquema de red, ya que este esquema le ser de utilidad, paramantenerlaredyparacuandotengaquehacercambiosenlamisma.

ConlafuerteexpansinquehatenidoInternetsehageneralizadolautilizacinderedesen lasempresasyennuestroshogares.Hoyendaparaunempresaes totalmente necesario disponer de una red interna que le permita compartirinformacin,conectarseaInterneteincluso,ofrecersusserviciosenInternet.

Enestaunidadaprendersa configurar el sistemaGNU/Linux para convertirloen un potente router que provea a la red de los servicios necesarios:encaminamiento,DHCPy DNS.Parapoderaprendermejoraadministrarelsistemanuestroobjetivoesconfigurar la infraestructuraderedquesemuestraenlasiguientefigurayquepuedeutilizarseenunaempresaodomicilio.

Alahoradeconfigurarlaredhayquetenerencuentalossiguientesobjetivos:

Configurar iptablespara darle acceso a Internet a los clientes de laredinterna.Configurar el servidor DHCP para que asigne de forma automtica lasdirecciones que van desde la 10.0.0.100 a la 10.0.0.254. Las dems direcciones las asignar eladministradordelareddeformamanual.Adems,sedisponedeunaimpresoraderedquetieneladireccinMAC(AA:BB:CC:DD:EE:FF)a laque

Casoprctico

Casoprctico



Comandoifconfig.

selequiereasignarsiemprelaIP10.0.0.254.Configurarel servidordenombresparaqueadministreeldominiomiempresa.com. Adems, se tiene quecrear los siguientes registros: www.miempresa.com y ftp.miempresa.com apuntan a la IP10.0.0.1mail.miempresa.comesequivalenteawww.miempresa.comyelservidordecorreoelectrnicoseencuentraenmail.miempresa.com.Por ltimo, se configuran los serviciosWeb y FTP para que la empresa tenga su propio servidor depginaswebyFTP.

1.1.Configuracindelared.Una vez que tienes claro el esquema de red que vas a implementar, el primerpasoquedebes realizaresconfigurarcorrectamente lasdiferentes interfacesdereddenuestroservidor(queactacomorouter)ydelosclientes.

Bsicamente existen dos formas de configurar las tarjetas de red de nuestroequipo: manualmente o dinmicamente a travs de un servidor DHCP. Acontinuacinsevanaverambosmtodosdeconfiguracin.

1.1.1.Configuracindelaredcableada.ParaconfigurarunainterfazderedesnecesarioasignarleunadireccinIP con su respectiva mscara de red. El comandoms utilizado paraconfigurarlaredes ifconfig(InterfaceConfiguration).Porejemplo:

#ifconfigeth0192.168.1.2netmask255.255.255.0up

Enestecasoestasconfigurandolainterfazeth0 (primera tarjetade reddetectada) con la direccin IP 192.168.1.2 y con mscara de red255.255.255.0. El parmetro up indica que la tarjeta debe activarse,pero puede omitirse puesto que al asignarle los parmetros de red la tarjeta se activar por defecto. Paradesactivarunainterfazderedejecuta:

#ifconfigeth0down

Paraactivarunainterfazderedejecuta:

#ifconfigeth0up

Paracomprobarlaconfiguracindelasinterfacesderedejecutaelcomandoifconfig.Talycomopuedesveren lasiguiente figura la interfaz eth0 tiene la direccin 192.168.118.142 (la ha obtenido de forma automtica) y lainterfazeth1tieneladireccinIP10.0.0.1.

Paraqueelequipopuedaconectarseaunareddiferentede laqueseencuentra (porejemplo, Internet)necesitaestablecerlapuertadeenlace.Lapuertadeenlaceeselequipoquepermitecomunicarvariasredes.Porejemplo,si el equipo se encuentra conectado a la red 192.168.0.0/24 en la interfaz eth0 y la puerta de enlace es192.168.0.1,debesejecutarelsiguientecomando:



Configuracindered.

#routeaddnet0/0gw192.168.0.1eth0

Si quieres puedes realizar la configuracinmediante el entorno grficoxWindows. Para ello, en el men Sistema > Preferencias ejecuta laherramientaConexionesdered.

1.1.2.Configuracindelaredinalmbrica.Desde los sistemas GNU/Linux es posible configurar la red inalmbrica a travs del comando iwconfig o atravsdelasistentedeConexin.Paraaccederalaredinalmbricadeformagrfica,enelmendeherramientassuperior, pulsa en el icono de la red inalmbrica y selecciona la red a la que deseas conectarse. Si la redinalmbricarequiereautentificacin,indicalacontrasea WEPo WPAypulsaelbotnConectar.

Automticamente,elasistenteestablecelaconexinalaredinalmbricaymuestraenpantallaunmensajedequeelprocesoseharealizadocorrectamente.

1.1.3.Ficherosdeconfiguracin.Elproblemadeconfigurarlasinterfacesderedconifconfigesquenoseguardanlosdatos de configuracin en ningn fichero, al reiniciar el equipo se pierde laconfiguracin. A continuacin se van a ver los diferentes ficheros de configuracinqueintervienenenlaconfiguracindelareddelequipo.

La configuracin de las interfaces de red se guarda en elfichero/etc/network/interfaces.Siguiendoelesquemaderedpropuestoanteriormente,la interfaz de red eth0 es la encargada de conectarse a Internet mientras que lainterfazeth1pertenecealaredinterna.Losparmetrosdeconfiguracindeeth0 lostiene que facilitar el proveedor de Internet o los puedes obtener automticamenteutilizandoDHCP.

Fichero/etc/network/interfaces.

autoeth0

ifaceeth0inetdhcp



autoeth1

ifaceeth1inetstatic

address10.0.0.1

netmask255.255.255.0

network10.0.0.0

broadcast10.0.0.255

#gateway10.0.0.1

Aunque lo normal es que eth0 obtenga la direccin IP de forma automtica al iniciar el equipo puedes hacerlomanualmenteejecutando:

#dhclienteth0

Configuracindelnombredelequipo.

Paraconfigurarelnombredelequipohayquemodificarelfichero/etc/hostnameeindicarelnombredelequipo.

ConfiguracindelservidorDNS.

Existendos formaspara la resolucindenombres: de forma local o a travsdeun servidor denombres (DNS).Para la resolucin de nombres de forma local se utiliza el fichero /etc/hosts en donde se guarda el nombre y ladireccinIPdelasmquinaslocales.Porejemplo:

127.0.0.1localhost.localdomainlocalhost

193.147.0.29www.mec.es

Paraestablecerlosservidoresderesolucindenombres(DNS)debeseditarelfichero/etc/resolv.conf.Porejemplo:

nameserver8.8.8.8

nameserver150.214.156.2

Actualizarloscambios.

Unavezrealizadalaconfiguracindelsistemaparaqueseapliquenloscambiosenlas interfacesderedhayquereiniciarelservicioohacerunreloadejecutando:

#/etc/init.d/networkingforcereload

Indicalaopcinincorrecta.

Autoevaluacin



Enelarchivo/etc/resolv.confseguardanlosservidoresdenombres.

Elcomandoifconfigeslanicaformadeconfigurarlared.Enelfichero/etc/network/interfacesseguardalaconfiguracindelasinterfacesdered.ElservicioDHCPpermiteobtenerlaconfiguracinIPdeformaautomtica.

Comandoping.

1.1.4.Comprobacin.Para comprobar la conexin a Internet puedes ejecutar elcomando ping indicando como parmetro cualquier direccin deInternet.Porejemplo:

$pingwww.google.es

Si al realizar el ping se recibe respuesta entonces la comunicacin se est realizando correctamente. Si por elcontrarioindicaquetodoslospaquetessehanperdido(100%packetloss)debescomprobarlaconfiguracinderedo los parmetros de configuracin. En la figura anterior puedes ver como el servidor www.google.es respondecorrectamentealcomandoping.

ParacomprobarlaconfiguracindelareddeformagrficaesposibleutilizarlasHerramientasdered.ParaelloenelmenSistema>AdministracinejecutalaaplicacinHerramientasdered.

La aplicacin Herramientas de red incluye informacin relacionada con nuestros dispositivos de red. Permiterealizar ping a un determinado host. Incluye la posibilidad de ver el estado de las conexiones de mi equipo,utilizandonetstat.Permiteutilizartracerouteparaverlarutaentremiequipoyunequiporemoto.Tieneunapestaapara explorar puertos, que me permite analizar y/o visualizar los puertos que estn abiertos o cerrados de undeterminadoequipo.Tieneunherramientadebsqueda.Usandofingersepuedeautenticarlosusuariosqueestnsiendousadosenundeterminadohostdelared.Finalmenteconwhoissepueden identificar todos losdetallesdelaadquisicindeundeterminadodominio.

1.2.iptables.La tecnologade firewalldeGNU/Linuxhaevolucionadodesdesencillos filtrosdepaquetes linealeshasta losmotoresactualesdeinspeccindepaquetesdeestado.LosncleosdeLinux2.0empleanunaimplementacindereglas de filtrado de paquetes que utilizan tres pilas: INPUT (trfico de entrada), OUTPUT (trfico de salida)yFORWARD(paquetesquese reenvanaotroequipo).Lospaquetes llegana lapartesuperiorde laspilasysefiltran a travs de las reglas hasta que exista una coincidencia.En este punto, cada paquete se puede aceptar,descartar, rechazar o reenviar. Si el paquete no coincide con ninguna de las reglas, pasa a la directivapredeterminada,quenormalmentedescartaelpaquete.

Aunquelacapacidadnativadefirewallde losncleosdeLinux2.0eramsqueadecuadaparagenerar firewalls,enlasiguienteversindelncleo2.2apareciIpchainsqueincorpornuevasyeficacescaractersticas:permite la



definicindenuevaspilasymejoralaadministracindelasreglasdeunapila.

Apartirdeldesarrollodelncleo2.3, losprogramadoresdeLinuxcomenzaronatrabajareniptables(tambinllamadonetfilter). Iptablesmejor lasventajasdeadministracindeconjuntosdereglasalpermitirlacapacidaddecrearyanularasociacionesdeconjuntodereglasconsesionesexistentes.Coniptables,el firewallsepuedeprogramarparaasociarel trfico devuelto generado a partir de una regla INPUT anterior. El trfico que entracorrectamenteenelhostpuedesalirautomticamentedelhostalserdevuelto, indicandosimplementequegeneredinmicamenteunaregladedevolucin.

Las ventajas de la tecnologa de inspeccin de paquetes de estado (SPI,State PacketInspection) no se limitan a la eficacia de las reglas. Ipchains no permite diferenciar la"verdaderanaturaleza"deltrficodelared.Porejemplo,unfirewall ipchainsprogramadopara permitir el trfico FTP de salida tambin tendr una regla INPUT asociada parapermitir la devolucin de paquetes. Si un atacante puede fabricar paquetes FTPdevueltos,Ipchainspermitesuentrada.ConSPInoexisteningunasesinparaasociarestospaquetesfalsificadosy,portanto,elfirewalllosrechazara.

Nosehapodidocargarelcomplemento.

Osiloprefierespuedesdescargarteeldocumentoexplicandolaconfiguracindeiptables.

1.2.1.Resolucindelsupuestoprctico.AcontinuacinsevaaconfigurarelcortafuegosparaquepermitaquelaredInternapuedaconectarseaInternet.

Paraestablecerqueelsistemaactecomorouterhayqueejecutar:

#echo"1">/proc/sys/net/ipv4/ip_forward

Limpialaconfiguracindelcortafuegos:



#iptablesF

#iptablestnatF

Indicaquelaredinternatienesalidaalexteriorpor NAT:

#iptablestnatAPOSTROUTINGs10.0.0.0/24d0/0jMASQUERADE

Sepermitetodoeltrficodelaredinternaytodolodemssedeniega:

#iptablesAFORWARDs10.0.0.0/24jACCEPT

#iptablesAFORWARDmstatestateRELATED,ESTABLISHEDjACCEPT

#iptablesAFORWARDjDROP

Guardalaconfiguracindelcortafuegosejecutando:

#iptablessave>/etc/iptables.rules

Ymodificaelfichero/etc/sysctl.confparaestablecerlavariablenet.ipv4.ip_forward=1.

Paracomprendermejoriptablessevaarealizarunamejoradelsupuestoenlaquelaredinternaslotieneaccesoalexteriorparaverpginasweb(puerto80/TCP)yparalaresolucindenombres(53/UDPy53/TCP).Adems,sevaapublicarunservidorwebinternoqueseencuentraenladireccin10.0.0.100.

Limpialaconfiguracindelcortafuegos:

#iptablesF

#iptablestnatF

IndicaquelaredinternatienesalidaalexteriorporNAT.

#iptablestnatAPOSTROUTINGs10.0.0.0/24d0/0jMASQUERADE

Sepermitesloeltrficoweb(80/tcp)yDNS(53/udpy53/tcp).Todolodemssedeniega:

#iptablesAFORWARDs10.0.0.0/24pTCPdport80jACCEPT

#iptablesAFORWARDs10.0.0.0/24pTCPdport53jACCEPT

#iptablesAFORWARDs10.0.0.0/24pUDPdport53jACCEPT

#iptablesAFORWARDmstatestateRELATED,ESTABLISHEDjACCEPT

#iptablesAFORWARDjDROP

Redirigeeltrficowebqueentraporlainterfazexterna(eth0)alservidordelaredinterna:



#iptablestnatAPREROUTINGieth0ptcpdport80jDNATto10.0.0.100:80

Guardalaconfiguracindelcortafuegosejecutando:


Finalmente,modificaelfichero/etc/network/interfacesyescribealfinal:

preupiptablesrestore



AsociacinfijadedireccionesIPaclientes,medianteelusodeladireccinMAC.Periododevalidezdelasasignaciones.Servidoresdenombresywins.SitienenonoautoridadparaasignardireccionesIP.

1.3.1.Resolucindelsupuestoprctico.En primer lugar, es necesario realizar la instalacin delservidorDHCPejecutando:

#aptgetinstalldhcp3server

ConfigurarelservidorDHCPparalaasignacindinmicadedireccionesIP,detal formaquesepresteservicioa la red10.0.0.0/24y,porotro lado, realizarunareservaalporttilcondireccinMAC(AA.BB:CC:DD:EE:FF)paraqueseleasignesiempreladireccinIP10.0.0.254.

Paracomenzarconlaconfiguracin,debesindicar losparmetrosgeneralesdelservidorycomunesalosequiposde lared, la informacinnecesariaparaquestesepacmocomportarse.As,sielservidordhcp.ejemplo.eseselque tiene laautoridadsobre la zona, sequierequeel tiempomximodeasignacindeunadireccin IPseadeunasemana(maxleasetime).Paraelloelfichero/etc/dhcp3/dhcpd.confdebetenerelsiguientecontenido:

authoritative;

oneleaseperclienton;

serveridentifier10.0.0.1;

defaultleasetime604800;

maxleasetime604800;

ddnsupdatestyleadhoc;

Posteriormente,sedeben introducir losparmetrosgeneralesquese transmitirna losclientesde la red.La red10.0.0.0conlamscaradered255.255.255.0tienecomopuertadeenlaceladireccinIP10.0.0.1yquiereutilizarlosservidoresdenombres8.8.8.8y194.224.52.36.Adems,hayque tenerencuentael rangodedirecciones IPquedeseaasignarporDHCPqueenelejemploesdesdeladireccin10.0.0.100ala10.0.0.254.

Apartirdeestosparmetrosdeconfiguracindebesescribirenelficherolasiguienteconfiguracin:

subnet10.0.0.0netmask255.255.255.0{

range10.0.0.10010.0.0.254;

optionsubnetmask255.255.255.0;

optionbroadcastaddress10.0.0.255;

optionrouters10.0.0.1;

optiondomainnameservers8.8.8.8,194.224.52.36;

optiondomainname"miempresa.com";

}

Como se desea realizar la reserva de la direccin IP 10.0.0.254 para el porttil con la direccin MACAA:BB:CC:DD:EE:FFdebesaadirlassiguienteslneas:

hostportatil{

hardwareethernetAA:BB:CC:DD:EE:FF;


data:text/htmlcharset=utf8,%3Cdiv%20class%3D%22node%22%20style%3D%22color%3A%20rgb(0%2C%200%2C%200)%3B%20fontfamily%3A 10/34

PermitequelosclientesobtenganladireccinIPdeformaautomtica.PermiterealizarreservasdedireccionesIP.PermiteoptimizarlasdireccionesIPdelared.Permitedarunamayorseguridad.

fixedaddress10.0.0.254;

}

Paracomprobarquelaconfiguracindelservidordhcpdseharealizadocorrectamenteejecuta:

#dhcpd3eth1

Siendoeth1lainterfazdereddondequierequeelservidordhcpdofrezcasusservicios.

Unavezconfiguradocorrectamenteelservidor,iniciaelservicioejecutando:

#servicedhcp3serverstart

Finalmente,configuraelsistemaparaqueseinicieautomticamenteelserviciodhcpaliniciarelequipo:

#chkconfigdhcp3serveron

DeestaformaelservidordhcpdirasignandoautomticamentelasdireccionesIPalosequiposqueseconectenala red. Para comprobar las asignaciones que se han realizado puedes consultar elfichero/var/lib/dhcp3/dhcpd.leasesdonde,comopuedesveracontinuacin,semuestranlosdatosdecadaconcesindedireccinIP:

DatosmsimportantesdelservicioDHCP.

Nombredelservicio: dhcp3server

Ficherodeconfiguracin: /etc/dhcp3/dhcpd.conf

Concesionesdedirecciones: /var/lib/dhcp3/dhcpd.releases

Comandosmsutilizados: dhcpd3dhclient

QufuncinNOrealizaelservicioDHCP?

2.Compartirarchivoseimpresoras(Samba).

Autoevaluacin



AnayJuanestncadaunoutilizandosuordenador.

Juan, tengo aqu todos los documentos que me pediste pero ocupanmuchoespacioynotengoUSBcmotelospaso?

Muyfcil,vamosacompartirunacarpetaporredymelopasas.

Asdefcilcmosehace?

Sambaes elmtodoms utilizado para permitir la integracin entresistemas,yaquepermitequelosequiposWindowsyGNU/Linuxpuedancompartircarpetaseimpresorasentres.

Sambaes una coleccin de programas que hacen que Linux sea capazdeutilizarelprotocoloSMB(ServerMessageBlock)quees labaseparacompartir ficheros e impresoras en una red Windows. Los posiblesclientes para un servidor SMB incluyen Windows y otros sistemasGNU/Linux.

Sambaestacompuestoportrespaquetes:sambacommon(archivoscomunes),sambaclient(cliente)ysamba(queeselservidor).Porlotanto,lospaquetesquenecesitasinstalardependendelusoquequierasdarlealequipo.

Parainstalarelclienteyservidordesambaesnecesarioejecutar:

#aptgetinstallsamba4smbclient

Acontinuacin,iniciaelservicioejecutando:

#servicesamba4start

ParaqueSambafuncionecorrectamenteprimerodebesdardealtalosusuariosdelsistemayluegoconfigurarlosrecursosacompartir.

2.1.Gestindeusuarios.Sambarealizaunagestindeusuariosindependientealadelsistemaoperativo.PorestaraznnecesitasdardealtaalosusuariosquevayanautilizarSamba.

El comando smbpasswd se utiliza para administrar los usuarios deSamba, y suscontraseas.Lasintaxisdelcomandoes:

#smbpasswdopcionusuario

Dondeopciones laopcinarealizaryusuarioeselnombredelusuarioconelquequierestrabajar.

Casoprctico



As por ejemplo, para aadir el usuario juan debes ejecutar el comando smbpasswd a juan e introducir sucontrasea:

#smbpasswdajuan

NewSMBpassword:

RetypenewSMBpassword:

Addeduserjuan.

Yparaeliminarlohayqueejecutar:

#smbpasswdxjuan

Deleteduserjuan.

Parapoderaadirunusuarioensambastetienequeexistirenelsistema.Paradardealtaunusuarioenelsistemautilizaelcomandoadduser.

Para ver todos los usuarios de Samba en las primeras versiones bastaba con ver el contenido delfichero /etc/samba/smbpasswdpero en las actuales versiones los usuarios y contraseas seguardanen la basededatosdeSamba.

ParaverlosusuariosdeSambadebesejecutarelsiguientecomando:

#pdbeditwL

juan:500:XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX:3527DA04C3D767E36C618ED59764BD43:[U]:LCT4B661D14:

encarni:503:XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX:0D7F1F2BDEAC6E574D6E18CA85FB58A7:[U]:LCT4C6569B6:

2.2.Compartircarpetas.Para compartir una carpeta hay que modificar el fichero de configuracin desamba /etc/samba/smb.conf. En la siguiente tabla puedes ver las opciones msimportantesparacompartircarpetas.

El ejemploms sencillo que se puede realizar es compartir una carpeta de formapblicaparatodoslosusuarios.Paraelloaada:

[publico]

path=/publico

public=yes

readonly=yes

Opcionesmsutilizadasdesmb.conf.

Opcin. Comentario.

[recurso] Nombredelrecursocompartido.



browseable Indicasisepuedeexplorardentrodelrecurso.Losposiblesvaloressonnoyyes.

comment Proporcionainformacinadicionalsobreelrecurso(noafectaasuformadeoperar).

createmode Especificalospermisospordefectoquetienenlosficheroscreados.

directorymode Especificalospermisospordefectoquetienenlosdirectorioscreados.

forceuser Especificaelusuariopropietarioquetienenlosficherosycarpetasquesecrean.

forcegroup Especificaelgrupopropietarioquetienenlosficherosycarpetasquesecrean.

guestok Indicasisepermiteelaccesoausuariosannimos.Losposiblesvaloressonnoyyes.

path Carpetaacompartir.

public Indicasieldirectoriopermiteelaccesopblico.Losposiblesvaloressonnoyyes.

readonly Indicaqueeldirectorioesslolectura.Losposiblesvaloressonnoyyes.

validusers

Indicalosusuariosquepuedenaccederalacarpeta.Paraaadirungrupoentonceshayqueponerelnombredelgrupoprecedidodela@.

writable Indicaquesepuedemodificarelcontenidodelacarpeta.

writelist Indicalosusuariosquepuedenmodificarelcontenido.

Osiloprefieres,puedesestablecerqueelrecursoseaaccesiblesolamenteporunosdeterminadosusuarios:

[miscosas]

path=/datos/

comment=Datosyaplicaciones

validusers=juan,encarni,@master

Lgicamentelosusuariossehantenidoquecrearpreviamenteyelgrupomasterdebeexistirenelfichero/etc/group.

master:x:502:juan,encarni

Acontinuacinseamplaelejemploperoestableciendoelpermisodeescrituraparaelusuario juanyelpermisodelecturaparaelusuarioencarniyelgrupomaster.Adems,cuandounusuariocreaunficheroocarpetastesecreaenelsistemaconunpropietario(juan:juan)yunosdeterminadospermisos(770).

[miscosas]

path=/datos/

comment=Datosyaplicaciones

validusers=juan,encarni,@master

writeable=yes



Opcionesdelservidor.

writelist=juan

readlist=juan,@master

forceuser=juan

forcegroup=juan

createmode=770

directorymode=770

Cuandosecomparteunacarpetaesnecesarioestablecer lospermisosenel ficherodeconfiguracinyenelsistemadeficheros.Paraellopuedesutilizarloscomandos:chmod,chownychgrp.

Finalmente,paraqueseapliquenloscambiosreiniciaelservicio:

#servicesamba4restart

2.3.Compartirimpresoras.Existen dos formas de compartir las impresoras que se encuentran conectadas al equipo para que las puedanutilizartodoslosclientesdelared:atravsdelaherramientagrficasystemconfigprinteroutilizandosamba.

Existen impresorascon tarjetade redquepermitena losclientes imprimirdirectamentesinnecesidaddeningnservidor.

systemconfigprinter

La herramienta Impresoras, que se encuentra dentro delmen Sistema > Administracin, permite compartir lasimpresorasdelsistemadeunaformagrfica.Aliniciarlaherramienta,elsistemamuestralasimpresorasactivas.

Lastareasmsfrecuentesquesepuedenrealizanson:

CompartirlasimpresorasatravsdeInternet.Paraqueotrosequipos puedan utilizar las impresoras del servidor ve almenServidoryseleccionaConfiguracin.En laventanaquesemuestra activa la casilla Publicar impresorascompartidasyPermitirlaimpresindesdeInternet.Compartiruna impresora. Selecciona la impresora quedeseascompartir,pulsaelbotnderecho,seleccionePropiedadesyenlapestaaControldeaccesoindica losusuariosquepuedenutilizarlaimpresora.Administrarlosgruposdeimpresin.Permitequevarias impresorasformenunmismogrupo,deformaquecuandoseenvauntrabajoseproceseenlaimpresoraqueseencuentredisponible.Paragestionarlostrabajosdelaimpresoraseleccionalaimpresora,pulsaelbotnderechoyseleccionaVer la colade impresin.En laventanaqueaparecepermiteveryadministrar todos los trabajosde laimpresora.



Samba

ParacompartirunaimpresorahayqueaadirenelficherodeconfiguracindeSamba/etc/samba/smb.confunnuevorecursosiguiendolasiguienteestructura:

[printers]

comment=Allprinters

path=/var/spool/samba

browseable=no

printable=yes

public=no

writable=no

createmode=0700

ElaccesoalasimpresorasGNU/LinuxdesdeWindowsfuncionadelamismaformaquelosdirectorios.Elnombrecompartido es el nombre de la impresora Linux en el fichero printtab. Por ejemplo, para acceder a laimpresoraHP_laserjet,losusuariosdeWindowsdeberaccedera\\smbserv\HP_laserjet.

Amododeresumen,enlatablasemuestranlosparmetrosutilizadosenlaseccin[printers].

Opcionesmsutilizadasdesmb.conf(seccinprinters).

Parmetro. Comentario.

comment Proporcionainformacinsobrelaseccin(noafectaalaoperacin).

pathEspecificalarutadeaccesoalacoladeimpresinospool(quepordefectoes/var/spool/samba).EsposiblecrearundirectoriodespoolparaSambayhacerqueapunteal.

browseable Comoconlosdirectoriosraz,siindicaNOseaseguradequeslopuedenverlasimpresoraslosusuariosautorizados.

printable SedebeponerYES,sinosehaceasnofuncionarnlasimpresoras.

public SiseponeYES,cualquierusuariopodrimprimir(enalgunasredesseponeNOparaevitarlaimpresinexcesiva).

writable Lasimpresorasnosonescribibles,porlotantoescribaNO.

2.4.Asistentesdeconfiguracin.Dado el gran uso que se realiza de Samba para compartir informacin entre sistemas Windows y GNU/Linux,existenvariasinterfacesquefacilitanelprocesodeconfiguracindelsistema.Lasinterfacesmsimportantesson:

Swat.EsunainterfazwebespecficaparaadministrarSamba.Pararealizarlainstalacindebesejecutar:

#aptgetinstallswat

Finalmente, inicia el navegador y escribe la direccin http://127.0.0.1:901 y aparece la interfaz deadministracindeswat.

Webmin.Comosiemprewebminpermiteconfigurarcualquierserviciodelservidor.Paraaccederalmdulo



Administracindesambautilizandoswat.

deconfiguracinpulseenServers.SambaWindowsFileSharing.

systemconfigsamba. Por ltimo, tambin dispones de la herramienta de xWindows para administrarsamba.Parainstalarladebesejecutar:

#aptgetinstallsystemconfigsamba

Adems,esnecesarioinstalarlassiguientesdependencias:

#aptgetinstallgksupythongtk2pythonglade2

2.5.Cliente.Ademsdeactuarcomoservidordeficheros,elequipopuedeutilizarsecomoclienteparaaccederalosrecursoscompartidosquehayenotrosservidores.

Existen varias formas para acceder desde GNU/Linux a carpetas e impresorascompartidas.La formamssencillaesmediantedosprogramasclientequevienenen la instalacin de Samba: smbclient y smbprint. Aunque esta solucin funciona,est algo limitada, particularmente en el acceso a ficheros. Smbclient proporcionauna formasimilaraunservidorFTPparaaccederaun recurso remotocompartido.NopermiteelusodecomandosnormalesdeUnixcomocpymvparamanipular losficheros y, por lo tanto, no permite acceder a los recursos compartidos de otrasaplicaciones (a diferencia de los sistemas de ficheros remotos montadoscon NFS, que aparecen para las aplicaciones GNU/Linux como sistemas deficheroslocales).

EsteproblemasepuedeevitarmontandoelsistemadeficheroscompartidossambaenGNU/Linux,comosehaceconsistemasdeficherosNFSylocales.

La formams sencilla de acceder a un recurso compartido de Samba esmontarlo en una carpeta y as poderaccederalcontenidodelrecursodelamismaformaquelohacesconcualquierotracarpetadelsistema.

Para montar el recurso primero hay que crear la carpeta donde se va a montar el recurso y luego ejecuta elcomandomount.

$mkdir/prueba



$mounttcifsouser=usuario,pass=contrasena//10.0.0.1/recurso/prueba

Donde:

tcifs.Indicaeltipodeficherosquesevaautilizarqueenestecasoescifs.ouser=usuario,pass=contrasena.Indicaelnombredelusuarioylacontraseaconlaquiereacceder.//10.0.0.1/recurso.IndicaladireccinIPyelnombredelrecursoalquequieresacceder./prueba.Eseldirectoriodondesevaamontarelrecursocompartido.

Paraversisehamontadocorrectamenteel recursopuedesejecutarelcomandomountoentraren lacarpetayversucontenido.

Paraqueel recursosemonteautomticamenteal iniciarelequipohayqueaadiral fichero /etc/fstab lasiguientelnea:

//10.0.0.1/recurso/pruebacifsrw,username=login,password=pass00

Dondeusernameypasswordespecificanelnombreylacontraseadelusuarioconelqueaccederalservidor.

DatosmsimportantesdelservicioSamba.

Nombredelservicio: samba4

Ficherodeconfiguracin: /etc/samba/smb.conf

Comandosmsutilizados: smbpasswdsmbclientpdbeditmount

Puertosutilizados: 137/UDP,138/UDP,139/TCPy445/TCP

3.NFS.

AnavisitaaJuanporquetieneunproblema

Juan,tengoquehacerquedosservidorescompartaninformacinentresyhepensadoenutilizarSAMBAtalycomomeenseastehacepoco.Eslamejoropcin?

Samba esta pensado para compartir carpetas e impresoras entreequipos Windows. Si ambos equipos son GNU/Linux lo mejor es queutilicesNFS que es un servicio mucho ms seguro. Mira te enseo autilizarlo,esmuyfcil!

NFS(NetworkFileSystem)esunservicioquepermitequelosequiposGNU/Linuxpuedancompartircarpetasentres.ElservicioNFSsebasaenelmodelocliente/servidordeformaqueunservidorcomparteunacarpetaparaquelosclientespuedanutilizarla.Deestaforma,unavezqueunclientemontaunacarpetacompartidapuedeutilizarlanormalmentecomosisetrataradeunacarpetadelsistemadeficheroslocal.

Parainstalarelservicionfsdebesejecutar:

Casoprctico



#aptgetinstallnfskernelservernfscommonportmap

Antesdeiniciarlaconfiguracinhayqueiniciarelservicioejecutando:

#servicenfskernelservicestart

3.1.Compartirunacarpeta.Para indicar los directorios que se desean compartir hay que modificar el fichero/etc/exportsdelasiguienteforma:

(permisos)(permisos)...

Los permisos que se pueden establecer son:rw (lectura y escritura) y ro (lectura).Porejemplo,paracompartirlacarpeta/datosparaqueelequipo192.168.20.9puedaacceder en modo lectura y escritura, y el equipo 192.168.20.8 tan slo puedaaccederenmodolecturaseescribe:

/datos192.168.20.9(rw)192.168.20.8(ro)

LacarpetasecompartesolamentealaIPestablecidaenelfichero/etc/exportsporelusuarionfsnobody.

De forma que la carpeta que estas compartiendo tiene que tener los permisos para el usuario nfsnobody. Paraestablecerlospermisosejecuta:

#chmod660/datosR

#chownnfsnobody/datosR

#chgrpnfsnobody/datosR

Como el usuario nfsnobody tiene un UID y GID diferente en cada equipo es recomendable asignarle el mismoidentificadormodificandolosficheros/etc/passwdy/etc/groupstantoenlosequiposclientescomoservidores.

Unavezcompartidalacarpeta,reiniciaelservicioejecutando:

#servicenfskernelservicerestart

3.2.Configuracindelcliente.Paraaccederal directorioquecomparteel servidorhayquemontarlo, ya seamanualmente,oautomticamentealiniciarelequipo.

Paramontarelsistemadeficherosenelclientehayqueejecutar:

#mount192.168.20.100:/datos/prueba



Telnet.Samba.NFS.

Donde:

192.168.20.100:/datoseslacarpetaquesehacompartidoenelservidorenelfichero/etc/exports./mnt/trabajoeslacarpetadondesemontalacarpetacompartida.

Sideseasmontarlacarpetaautomticamentealiniciarelsistema,hayquemodificarelfichero/etc/fstabaadiendolasiguientelnea:

192.168.20.100:/datos/pruebanfsrw,hard,intr00

Donde:

rw. Indica que se monta el directorio en modo lectura/escritura. Para montarlo slo en modo lecturaescribaro.hard. Indicaquesi al copiarun ficheroen la carpeta compartida sepierde la conexinconel servidor sevuelvaainiciarlacopiadelficherocuandoelservidorseencuentreactivo.intr.Evitaque lasaplicacionessequeden"colgadas"al intentarescribiren lacarpetasinoseencuentraactiva.

DatosmsimportantesdelservicioNFS.

Nombredelservicio: nfs

Carpetascompartidas: /etc/exports

Comandosmsutilizados: mount

Puertos: 2049/TCPy2049/UDP

QuserviciospermitecompartirdatosconotroequipoLinux?

MostrarInformacin

4.Accesoremotoalsistema.

Pufff,Hemospuestoel servidoren laplantadearriba y cadavezque tengoque instalar algo tengoquesubirarealizarlatarea.Estoycansadadetantasescaleras!

Porqunolohacesdeformaremota?

Cmosehaceeso?

Muy fcil, nosconectamosporsshoporvncal equipo y lo utilizamos directamente desde cualquierordenador.Cuandoterminemoselcaf,vamosyteenseo.

Autoevaluacin

Casoprctico



PginaoficialopenSSH.

LosserviciosmsutilizadosparaaccederdeformaremotaaunsistemaGNU/Linuxson:

Telnet.Permiteaccederalsistemadeformaremotadeunamaneranosegura.Open SSH. Permite acceder al sistema por terminal, pero de forma segura ya que se cifran lascomunicaciones.

VNC. Mientras que los servicios telnet y SSH permiten conectarse al servidor por medio de unterminal, el servidor VNC permite utilizar el servidor utilizando el escritorio instalado en elsistema:GNOMEoKDE.

4.1.SSH.SSH es un protocolo que permite conectarse de forma segura a unservidorparapoderadministrarlo.Enrealidad,esmsqueeso,yaquese ofrecen ms servicios como la transmisin de ficheros, elprotocoloFTPseguroe,incluso,sepuedeusarcomotransportedeotrosservicios.

ElprotocoloSSHgarantizaquelaconexinserealizadesdelosequiposdeseados (para lo que usa certificados) y establece una comunicacincifrada entre el cliente y el servidor, mediante un algoritmode cifradorobusto (normalmente con 128 bits) que se utilizar paratodoslosintercambiosdedatos.

AcontinuacinvasavercmoinstalaryconfigurarelservicioOpenSSHporserelservidorSSHmsutilizado.

AlserSSHelmecanismomsfrecuenteparaaccederaunservidor,OpenSSHseinstalapordefectoalrealizarlainstalacindelsistema.NoobstantepuedesrealizarlainstalacindeOpenSSHejecutando:

#aptgetinstallssh

Einiciarelservicioejecutando:

#servicesshstart

Finalmente,sideseasqueelservicioseejecuteautomticamentealiniciarelsistemaejecutars:

#chkconfigsshon



Para evitar los ataques de fuerza bruta, una de las mejores soluciones es utilizar fail2ban. Siutilizas fail2ban cuando se realizan 5 intentos fallidos de autentificacin en el sistema, fail2ban secomunicaconelcortafuegosiptablesybloqueatudireccinIP.

fail2ban.


4.1.1.Configuracin.El servidor openSSH utiliza el fichero de configuracin /etc/ssh/sshd_config ynormalmentenoesnecesariomodificarlo.Losparmetrosmsimportantesson:

PortyListenAdress. Por defecto el servicio ssh trabaja en el puerto 22 yresponde por todas las interfaces del sistema. Los siguientes parmetrospermitencambiarelpuertoyladireccin,enlasqueatenderpeticiones:

Port22

ListenAddress0.0.0.0

PermitRootLogin.Establecesisepermiteonoelaccesodelusuariorootalservidor.

PermitRootLoginno

Parasaberms



ConexinremotaporSSHconPuTTY.

AllowUsers. Permite restringir el acceso a los usuarios del sistema. Al utilizar elparmetroAllowUsersindicalosusuariosquepuedanaccederalsistema.

AllowUserscesarsonia

Tambinesposibleindicarelequipoanfitrindesdeelquepuedenconectarse.Enelsiguienteejemploslolosusuarioscesarysoniapuedenconectarsealservidordesdeelequipo10.0.0.2.

[email protected]@10.0.0.2

Mensajesdeentradayconexin:

PrintMotdyes

Banner/etc/issue.net

Configuracindeseguridadycontroldeacceso:

IgnoreUserKnownHostsno

GatewayPortsno

AllowTcpForwardingyes

Usodesubsistemasparaotrasaplicaciones,comoporejemplo,FTP.

Subsystemsftp/usr/lib/openssh/sftpserver

Unavezconfiguradoelservidor,paraqueseapliquenloscambios,debesejecutar:

#/etc/init.d/sshrestart

4.1.2.Clientessh.Cuandose trabajaconservidores lonormalesadministrarlosde formaremotaatravsdeSSHoWebmin.SiutilizasunequipoLinuxyquieresconectartealservidortanslohayqueejecutar:

$ssh

DondeequipopuedeindicarelnombredelequipooladireccinIPdelmismo.

SiutilizasWindowsyquieresconectartealservidorenGNU/LinuxlomejoresutilizarlaaplicacinPuTTY.

Putty.



Elcomandoscppermitecopiarficherosenequiposremotosatravsdesshscp/etc/passwd10.0.0.2:/root.

Esposibleconfigurarelservidorparapermitirlautilizacindeloscomandossshyscpsinnecesidaddeescribirlacontrasea.Paramsinformacinvisitalasiguientepgina.

SSHySCPsincontrasea.

DatosmsimportantesdelservicioSSH.

Nombredelservicio: sshd

Ficherodeconfiguracin: /etc/ssh/sshd_config

Hostalosqueselespermiteelacceso: /etc/host.allow

EquiposautorizadosparaaccederporSSHsincontrasea: $HOME/.ssh/authorized_keys

Comandosmsutilizados: ssh,scpysftp

Puertoutilizado: 22/TCP

4.2.VNC.VNC es un programa con licencia GPL que utiliza el modelocliente/servidor y permite acceder a un equipo remoto utilizando suentornogrfico.

Pararealizarlainstalacindelservidorvncdebesrealizarlossiguientespasos:

Instalaelservidordevncejecutando:

#aptgetinstalltightvncserver

Indicalacontraseadelservidorvncejecutandoelcomando:

#vncpasswd

Ejecutaelsiguientecomandoparacrearautomticamentelosficherosdeconfiguracineiniciarelservicio:

#vncserver

Parasaberms



AccesoalservidorporVNCconVinagre.

DatosmsimportantesdelservicioVNC.Nombredelservicio: vncserver

Ficherodeconfiguracin: /etc/sysconfig/vncservers

Comandosmsimportantes: vncpasswdvncserver

Puertos: 6000/tcp,6001/tcp,6002/tcpy6003/tcp.

4.2.1.Cliente.Para acceder al servidor puede utilizar cualquier cliente VNC. Porejemplo, en sistemas GNU/Linux puede utilizar Vinagre y ensistemasWindowspuedeutilizartightVNC.

Vinagre(GNU/Linux).

Si quieres acceder desde un equipoGNU/Linux a un servidor VNC, lamejoropcinesutilizarel clientevinagre.Parautilizar vinagre primerodebesinstalarloejecutando.

#aptgetinstallvinagre

VealmenAplicaciones,InternetyejecutalaaplicacinRemoteDesktopViewer.PulsaelbotnConnect, indicaladireccindelservidorVNC(porejemplo,10.0.0.1:5901)ypulsaConnectparaaccederalservidorVNC.

tightVNC(Windows).

tightVNC es un cliente/servidor VNC que se encuentra licenciado bajo GPL. Para acceder desde Windows alservidorVNCdeberealizarlossiguientespasos:

DescargartetightVNC.

tightVNC.

InstalaenelequipoelvisortightVNC.EjecutatightVNCViewerquepuedesencontrardentrodelmendeaplicacionestightVNC.EntihgtVNCServerindicaladireccinIPdelservidoryelpuerto(porejemplo,10.0.0.1:5901).

Finalmente, pulsa el botn Connect, introduce la contrasea del servidor VNC establecida durante elprocesodeinstalacinyyatienesaccesoalescritoriodelservidor.



ElservicioSSHpermiteelaccesoremotoatravsdeunterminal.ElservicioVNCpermiteconectarmeaunequipodeformagrfica.ElservicioTelnetesseguro.ElprogramatightVNCpermiteconectarmeaunequipoWindows.



5.ServidorWeb.

Para mejorar la imagen de la empresa vamos a tener nuestropropioservidorweb.Hastaahoraestbamosutilizandounservidorexterno pero como vamos a incorporar muchos nuevos servicios,vamosautilizarelnuestro.Juannecesitoquehagastesatarea.

Deacuerdo, perohe vistoquehaymuchos servidoreswebCulutilizo?

Aunque hay muchos servidores web, con diferencia, el ms

Autoevaluacin

Casoprctico



PginawebdepruebadeApache.

utilizado es Apache. As que lomejor es instalar Apache en el servidor. Adems, esmuy sencillo ypermiterealizarunmontndetareasconl.

ParainstalarelservidorApachefcilmentedesde repositoriosejecutaelcomando:

#aptgetinstallapache2

Elservicioseiniciaautomticamente:

#chkconfigapache2on

Parainiciarahoraelservicio:

#serviceapache2start

Una vez instalado, apache publica automticamente el contenido del directorio /var/www. De esta forma, parapublicarunapginawebdebescrearlaendichodirectorio.

Paraaccederalawebprincipaldelservidorescribeenlabarradedireccioneshttp://localhost/ohttp://direccin_ip/:


5.1.Instalarmdulophp.PHP es un lenguaje de programacin interpretado por el servidor de pginas web de forma que stas se

puedengenerardeformadinmica.PHPnosloseutilizaparaestepropsito,sinoqueademssepuedeutilizar



Ejecucindephpinfo().

desdeunainterfazdelneadecomandosoparalacreacindeaplicacionesconinterfacesgrficas.

Enladireccinweboficialdelproyectopuedesencontrarunaampliadocumentacinsobreellenguaje:manuales,sintaxisutilizada,interfazparalaprogramacindelasaplicaciones,etctera.

SitiooficialdePHP.

ParainstalarPHPautomticamenteejecuta:

#aptgetinstallphp5

Para comprobar que PHP se ha instalado con xito puedes crear unficherophpyubicarloeneldirectoriorazdelservidorweb.Porejemplopara mostrar toda la informacin til disponible y detalles sobre lainstalacinactualdePHP,editaelfichero/var/www//info.php.

#nano/var/www/info.php

Elcontenidodelficheroincluyeunasentenciaparaejecutarlafuncinphpinfo()quepermiteobtenerlainformacinsobreelmdulophp.

As,alejecutarelficheroenunapeticin HTTPelservidorlanzalasentenciaymuestraelcontenidosolicitado,deformadinmica.AntesdeprobaraejecutaresteficheroreiniciaelservidorApache:

#serviceapache2restart

Ahoras,iniciaunnavegadorwebyescribeenlabarradedireccioneshttp://localhost/info.php.Comopuedesverenla siguiente figura, PHP se encuentra correctamente instalado. Si observas con detenimiento la informacinmostradapuedesver,porejemplo,quetrabajaatravsdeApache,losmdulosactualmentehabilitados,etctera.

5.2.Configuracin.Laconfiguracindeapachesealmacenaeneldirectoriodeconfiguracin/etc/apache2.Acontinuacinsevanaverlasopcionesdeconfiguracinmsutilizadasparacadaunodelosficheros:

/etc/apache2/ports.conf. Permite establecer los puertos de escucha para lascomunicacioneshttpnormales(puerto80)ylascomunicacionesseguras https(puerto443).

Parasaberms



Listen*:80

Listen*:443

/etc/apache2/apache2.conf.Unadelasopcionesmsimportantesesquese puede establecer el usuario y grupo al que pertenecen los procesos queejecutaelservidor:

Userwwwdata

Groupwwwdata

Apachealmacenaenlacarpeta/etc/apache2/sitesavailablelaconfiguracindecadaunodelossitioswebdeapache.Pordefectoseencuentranlossitiosdefaultydefaultssl.Cadasitiotienelasiguienteestructura:

ServerAdminservermaster@localhost

#Servernamewww.miempresa.com#comentadoendefault

DocumentRoot/var/www

DirectoryIndexindex.htmldefault.html

Donde:

ServerAdmineselcorreoelectrnicodeladministradordelsitioweb.ServernameeselnombreFQDNdelsitioweb.Paraeldominiodefaultnose indicaningnnombre,peroparaatenderpeticionesespecficasdedominios(porejemplo,www.miempresa.com)ssedebeestablecer.DocumentRoot.Indicalaubicacindondeseencuentralaspginaswebdelsitio.DirectoryIndex.Indicaelnombredelosficherosqueenvapordefectoelservidorweb.

Nuevositio

Pordefectoelservidorwebpublicaeldirectorio/var/www/para todos losdominiosperoesposiblepersonalizardeforma independientecadadominio.Porejemplo,paraaadireldominiowww.miempresa.comquesealojaen lacarpeta /portales/miempresa hay que crear el fichero /etc/apache2/sitesavailable/miempresa.com con el siguientecontenido:

ServerNamewww.miempresa.com

DocumentRoot/portales/miempresa

Activarelsitio

#a2ensitemiempresa.com

Yreiniciarelservidorweb



Accesoalserviciohttps.

#serviceapache2restart

Lgicamenteparaqueel servidorwebatiendaundeterminadodominio laentradaDNS (porejemplo,www.miempresa.com)debeapuntaralservidorweb.

Sitioseguro(https).

Con el auge de los negocios en Internet se ha popularizado el uso decomunicaciones cifradas entre los clientes y el servidor Web, siendo latecnologadeencriptacinmsutilizadaelSecuritySocketLayer(SSL).

Para poder utilizar una pgina segura bajo https hay que realizar lossiguientespasos:

Activarelmdulossl:a1Activar el sitio defaultssl aunque si quieres puedes crear unnuevositioweb:a2Reiniciarelservidorweb:a3

Unavezfinalizadoelproceso,accedeaunnavegadorwebyescribehttps://IP_Servidor.

Puedesgenerartupropiocertificadodeseguridadutilizandoelcomandoopenssl.

Para aprender a realizar ms operaciones sobre Apache es recomendable que consultes la webww.adminso.es

www.adminso.es

Porltimo,parainiciarypararelservidorwebpuedesutilizarelcomandoservicedeformaquesiquieresiniciarelservicioejecuta:

#serviceapache2start

Adems,puedespararelservicio(stop),reiniciarlo(restart)ovolveracargarlaconfiguracin(reload).

DatosmsimportantesdelservidorApache.

Nombredelservicio: apache2(Ubuntu)

Ficherodeconfiguracin: /etc/httpd/conf/httpd.conf

Directorioweb: /var/www(Ubuntu)

Comandosmsutilizados: htpasswd

Parasaberms



Puertos: 80/tcpy443/tcp

6.ServidorFTP.

CarlosvaaveraJuanporquetieneunproblema.

HojaJuan,mira,tengounproblemayesqueyahehecholawebdelaempresa pero no s cmo subirla al servidor. Cmo se hace?Te lamandoporcorreo?

No,nohacefaltaelcorreo.Esmuchomsfcil!Mira,voyainstalarelservidorFTPyaspodrsconectarteyactualizar lawebde laempresacuandoquieras,

Genial,vamosavercmolohaces!

Vsftpd (VerySecureFTP)esun servidorFTPmuy pequeo y seguro.Para instalar el servidor FTP en el sistema debes de instalar elpaquete vsftpd (Demonio FTP muy seguro). Puedes realizar lainstalacinatravsdelalneadecomandosoatravsdesynaptic.

#aptgetinstallvsfttpd

Unavezinstaladoelpaquetedebesiniciarelservicioejecutando:

#servicevsftpdstart

Paracomprobarqueelservidorestfuncionandocorrectamentepuedesconectartealservidor:

$ftplocalhost

Connectedtolocalhost(127.0.0.1).

220(vsFTPd2.3.0)

Name(localhost:root):usuario

331Pleasespecifythepassword.

Password:

230Loginsuccessful.Havefun.

RemotesystemtypeisUNIX.

Usingbinarymodetotransferfiles.

ftp>ls

200PORTcommandsuccessful.ConsiderusingPASV

150Herecomesthedirectorylisting.

rwrr110031003179Mar1518:00examples.desktop

226DirectorysendOK.

Casoprctico



ftp>quit

221Goodbye.

Sielservidorestcorrectamenteinstaladoperonopermiteelaccesodesdeelexterior,esmuyposiblequenotengaselrouterconfiguradoparadejarpasareltrficodelservidorFTP.

Para aprender a configurar y a proteger el servidor vsftpd es recomendable que consultes la webww.adminso.es.

www.adminso.es

NuncaconfigureselservidorFTPparapermitirelaccesoannimonipermitaslaescriturasinenjaularalosusuariosdelsistema.

DatosmsimportantesdelservidorVSFTP.

Nombredelservicio: vsftpd

Ficherodeconfiguracin: /etc/vsftpd.conf

Puertoutilizado: 21/tcp


Parasaberms



ElservidorApachetrabajanormalmenteenlospuertos80y443.ElservidorFTPtrabajanormalmenteenelpuerto21.ElservidorApachetrabajanormalmenteenlospuertos80y445.ElservidorFTPpuedetrabajarenelpuerto44.


AnexoI.Configuracindeiptables.Iptablespuedemanejarvariastablas,perolasmsimportantesson:

Filter. Es la tabla predeterminada que permite el filtrado de las comunicaciones. La tabla Filter estcompuestaportrespilas:

INPUT.Referenciaeltrficodeentrada.OUTPUT.Referenciaeltrficodesalida.FORWARD.Referenciaeltrficoqueelrouterreenvaaotrosequipos.

NAT.Elservicioquepermitedaraccesoa Internetauna red interna.Esta tablapermitedefinirel tipodecomunicacionesentrelaredexternaylasredesinternas.LatablaNATtienedospilas:

POSTROUTING. Permite establecer las comunicaciones desde la red interna al exterior. Porejemplo,parahacerquelaredinternatengaInternet.PREROUTING. Permite establecer las comunicaciones desde la red externa a la red interna. Porejemplo,seutilizaparaquedesdeelexteriorsetengaaccesoaunservidorinterno.

Loscomandosbsicosdeiptablesson:

iptablesL.Muestraelestadodelatablapredeterminada(filter).SiquiereverelestadodelatablaNATejecutaiptablestnatL.iptablesAj.Permiteaadirunareglaparaqueelcortafuegosrealiceunaaccinsobreuntrficodeterminado.iptablesDj.Permitequitarunaregladelcortafuegos.iptablesF.Limpialatabladecortafuegos.SiquiereslimpiarlatablaNATejecutaiptablestnatF.iptablesP.Permiteestablecerpordefectounaaccindeterminadasobreunapila.Porejemplo,siquieresquepordefectoel routerdeniegue todoel trficode lapilaFORWARDejecuta elcomandoiptablesPFORWARDDROP.

Como se ha comentado antes, con el comando iptables A jpuedes definir la accin quequierasquerealiceelcortafuegosconundeterminadotrfico.En la tabla101puedesver losparmetrosqueseutilizanparaespecificareltrfico.

LasaccionesquesepuedenrealizarenlatablaFILTERson:

jACCEPT.Aceptaeltrfico.jDROP.Eliminaeltrfico.jREJECT.Rechazaeltrficoeinformaalequipodeorigen.jLOGlogprefix"IPTABLES_L".Registraeltrficoquecumpleloscriteriosen/var/log.

LasaccionesquesepuedenrealizarenlatablaNATson:

jMASQUERADE.Haceenmascaramientodeltrfico(NAT)deformaquelaredinternasalealexteriorconladireccinexternadelrouter.jDNATto.Seutilizaparaquedesdeelexteriorsetengaaccesoaunservidorqueseencuentraenlaredinterna.

Autoevaluacin



Tabla10.1.Parmetrosparaespecificarlasreglasdeiptables.

Tabla10.1.Parmetrosparaespecificarlasreglasdeiptables.

Elemento. Sintaxis. Ejemplo. Descripcin.

Interfaz.

i ieth0 Interfazdeentrada.

o oeth1 Interfazdesalida.

Direccin.

s

s10.0.0.0/24 Reddeorigen.

d d0/0 Reddedestino.

Puerto.

p pTCP Tipodeprotocolo.Lasopcionesson:TCP,UDPoICMP.

dport

pTCPdport80

Indicaelpuertodedestino.Enelejemplodehacereferenciaalpuertodedestinohttp(80/TCP).

sport

pUDPsport53

Indicaelpuertodeorigen.EnelejemplosehacereferenciaalpuertodedestinoDNS(53/UDP).

Estado.mstatestate

mstatestateESTABLISHED

Indicaelestadodelaconexin.Losposiblesestadosson:NEW,INVALID,RELATEDyESTABLISHED.

Accin. j jACCEPTIndicalaaccinquesevaarealizarconundeterminadotrfico.Lasposiblesaccionesson:ACCEPT,DROP,REJECT,LOG,DNATyMASQUERADE.

Deestaformapuedes"jugar"conlosparmetrosdeunadeterminadareglaparapoderespecificarlaaccinqueseaplica.Acontinuacinpuedesver tresreglas,parapermitirel trficoquereenvaelrouter,quevandesde lamsgeneralalamsespecfica:

iptablesAFORWARDjACCEPT.Permitetodoeltrfico.iptables A FORWARD s 192.168.0.0/24 j ACCEPT. Permite slo el trfico de la red interna192.168.0.0/24.iptablesAFORWARDs192.168.0.0/24pTCPdport80jACCEPT.Permitesloeltrficodelaredinterna192.168.0.0/24enelpuerto80.

Si deseas bloquear comunicaciones por su pas de origen te recomiendo que visites la pgina webipinfodb.com.

ipinfodb.com

Unavezconfiguradoelcortafuegosparaguardarlaconfiguracinejecuta:


Parasaberms



Dondeelfichero/etc//iptables.rulesguardalaconfiguracindeiptables.Silodeseaspuedesmodificarlodirectamenteycargarsuconfiguracinejecutando:

#iptablesrestore

Documents

Dam Si Si10 Completa