Ldap free nas_postfix

Generalitat de Catalunya
Departament d’Educació
CICLE FORMATIU GRAU SUPERIOR
ADMINISTRACIÓ SISTEMES INFORMÀTICS
Curs: 2010-2011
Memòria Presentada per:
Antonio Alcalá Cuevas
Alberto Jara
Silvia Gracia Bolinches
Sabadell, 27 de Maig de 2011

Índex
Introducció..........................................................................................5
Presentació.....................................................................................5
Objectius........................................................................................5
Esquema de la Xarxa..............................................................................7
Manual d'instal·lació IPCOP......................................................................8
Presentació.....................................................................................8
Objectiu.........................................................................................8
Requeriments...................................................................................8
Procediment: .................................................................................14
Manual de configuració.....................................................................22
Manual d'instal·lació Addons...............................................................23
Manual d'instal·lació Addon Zerina...........................................................24
Presentació....................................................................................24
Objectiu........................................................................................24
Requeriments.................................................................................24
Procediment: .................................................................................25
Manual d'instal·lació Addon Advproxy.......................................................33
Presentació....................................................................................33
Objectiu........................................................................................33
Requeriments.................................................................................33
Procediment: .................................................................................33
Manual d'instal·lació SARG.....................................................................35
Presentació....................................................................................35
Objectiu........................................................................................35
Requeriments.................................................................................35
Procediment: .................................................................................36
Manual d'instal·lació Cop+.....................................................................37
Presentació....................................................................................37
Objectiu........................................................................................37
Requeriments.................................................................................37
Procediment: .................................................................................37
Manual d'instal·lació Nettfilter................................................................41
Presentació....................................................................................41
Objectiu........................................................................................41
Requeriments.................................................................................41
Procediment: .................................................................................41
Manual d'instal·lació Addon BlockOutTraffic................................................43
Presentació....................................................................................43
Objectiu........................................................................................43
Requeriments.................................................................................43
Procediment: .................................................................................43
Manual de configuració per defecte de IPCOP.........................................45
Manual d'instal·lació PROFTPD................................................................51

Presentació....................................................................................51
Objectiu........................................................................................51
Requeriments.................................................................................51
Procediment: .................................................................................52
Manual de configuració.........................................................................55
Manual d'instal·lació Joomla...................................................................65
Presentació....................................................................................65
Objectiu........................................................................................65
Requeriments.................................................................................65
Procediment: .................................................................................66
Manual d'instal·lació Servidor Correu POSTFIX a la DMZ.................................84
Presentació....................................................................................84
Objectiu........................................................................................86
Requeriments.................................................................................86
Procediment: .................................................................................86
Manual d'instal·lació Distribució Mandriva Enterprise Server 5.2.....................98
Presentació....................................................................................98
Objectiu........................................................................................98
Requeriments.................................................................................99
Procediment: .................................................................................99
Manual de configuració....................................................................104
Manual d'instal·lació Servidor DNS Intern.................................................112
Presentació..................................................................................112
Objectiu......................................................................................112
Requeriments...............................................................................112
Procediment: ...............................................................................112
Manual d'integració d'una màquina Windows a Samba.................................116
Procediment: ...............................................................................116
Manual d'integració d'una màquina Linux a LDAP.......................................119
Procediment: ...............................................................................119
Manual d'instal·lació Servidor correu Postfix LAN.......................................125
Presentació..................................................................................125
Objectiu......................................................................................125
Requeriments...............................................................................126
Procediment: ...............................................................................126
....................................................................................................145
Manual d'instal·lació OCSInventory i GLPI.................................................146
Presentació..................................................................................146
Objectiu......................................................................................146
Requeriments...............................................................................146
Procediment: ...............................................................................147
Manual d'instal·lació NoMachine............................................................168
Presentació..................................................................................168
Objectiu......................................................................................168
Requeriments...............................................................................168
Procediment: ...............................................................................169

Manual d'instal·lació TeamViewer.......................................................178
Presentació..................................................................................178
Objectiu......................................................................................178
Requeriments...............................................................................178
Procediment: ...............................................................................179
Manual d'instal·lació Openfiler..............................................................185
Presentació..................................................................................185
Objectiu......................................................................................185
Requeriments...............................................................................185
Procediment: ...............................................................................186
Manual d'instal·lació FreeNAS...............................................................204
Presentació..................................................................................204
Objectiu......................................................................................204
Requeriments...............................................................................205
Procediment: ...............................................................................205
Manual d'instal·lació Bacula..................................................................218
Presentació..................................................................................218
Objectiu......................................................................................218
Requeriments...............................................................................218
Procediment: ...............................................................................219

CFGS ASI Curs: 2010-2011
Crèdit de Síntesi
Introducció
Presentació
El present projecte és fruit del treball de recerca e implantació que hem dut a
terme durant el període de crèdit de Síntesis de l'any 2011 per al curs CFGS
Administració de sistemes informàtics.
Com a futurs administradors hem volgut reflectir les necessitats informàtiques
d'una empresa envers als serveis que ha d'oferir i gaudir habitualment.
Actualment, la majoria d'empreses estan informatitzades en xarxa: quasi tota la
informació que fan servir està format digital, incorporen servidors a la xarxa local per
la gestió interna i alhora oferixen serveis web, de correu o inclús de fitxers per la
xarxa externa, evidentment han d'implantar mecanismes de seguretat per preservar la
confidencialitat de les dades i l'estabilitat dels serveis sense que això suposi una gran
inversió econòmica.
Així doncs, el nostre projecte consisteix en muntar la topologia de servidors i
xarxes que qualsevol empresa podria necessitar sense obviar mai la seguretat al
mínim cost possible per fer-ho les eines que utilitzarem seran de llicència GPL i ens
recolzarem en la virtualització per estalviar i aprofitar encara més els recursos dels
que disposem.
Els coneixements requerits per duur a terme aquest projecte els hem extret d'una
banda de la formació que hem rebut i d'altra banda encara més gran del treball
d'investigació i esforç tant personal com en grup.
"Nuestra recompensa se encuentra en el esfuerzo y no en el resultado. Un
esfuerzo total es una victoria completa.” <Mahatma Gandhi>
Els documents que segueixen son les manuals d'instal·lació i de configuració de
cadascuna de les eines que hem fet servir per tal d'assolir el nostre objectiu.
Objectius
En primera instància els objectius d'aquest projecte són:
• Utilitzar Software Lliure i Virtualització
• Implementar seguretat en múltiples nivells
◦ Xarxa
▪ Instal·lació d'un tallafocs (Firewall)
▪ Monitoritzar el tràfic i l'estat de la xarxa
▪ Instal·lació Proxy
▪ Creació de VPN
▪ Filtratge Web
▪ Prevenció de Virus i Spam al correus
Introducció 5/229
Títol:FreeTelecom
Autors/es: Antonio Alcalá, Alberto
Jara i Silvia Gracia

Crèdit de Síntesi
◦ Dades
▪ Encriptació de les dades
▪ Autenticació d'usuaris
▪ Contol d'inventari
• Crear una zona desmilitaritzada que ofereixi serveis de:
◦ Servidor Web – Creació lloc propi
◦ Servidor de Correu
◦ Servidor de Fitxers (FTP)
• Oferir Serveis a la LAN tals com:
◦ Autenticació Centralitzada
◦ Compartició de fitxers en Samba i NFS
◦ DNS intern
◦ Control Remot (Només als administradors)
◦ Correu Intern
◦ Bases de dades
◦ Control d'inventari
◦ Gestor d'incidències
Introducció 6/229
Títol:FreeTelecom

Crèdit de Síntesi
Manual d'instal·lació IPCOP
Presentació
És tracta d'una distribució de Linux dissenyada per oferir el servei de Firewall, és
a dir controlarà l'accés d'entrada i sortida d'una xarxa. L'administració d'aquest
firewall es fa a través d'una interfície amigable via web.Originalment va néixer com
una extensió (fork) de la distribució SmoothWall.
IPCop està capat i solament té instal·lades les eines justes per a la seva funció
com firewall, limitant el dany que podria fer un intrús que comprometés el sistema. Si
es desitja ampliar la funcionalitat existeixen extensions, comunes amb SmoothWall,
que permeten instal·lar tot tipus d'utilitats com per exemple instal·lar Nmap per
escanejar Ips. La seva interfície d'usuari és totalment web; encara que permet també
accés per SSH.
Objectiu
IPCop té com a objectius ser un tallafocs-proxy senzill, amb pocs requeriments maquinari
orientat a usuaris domèstics o a petites empreses amb funcionalitats bàsiques i avançades,
mitjançant la Configuració de mòduls addicionals per tal de donar més funcionalitat al
servidor, tals com VPN, anant (a manera d'exemple) des del simple filtrat de paquets fins a
l'assignació d'ample de banda fix a cada lloc de treball, servidor de DHCP, la configuració de
xarxes virtuals VPN, filtre d'urls, control de virus i spam al correu electrònic,etc.... IPCop
s'actualitza des de l'Interfície Web de manera molt senzilla, incloent actualitzacions del
Kernel.
Requeriments
➢ Programari:
Imatge IP_COP v.1.4.21
Addons:
• Urlfilter
Completa integració amb la Interfície Gràfica d'Usuari per a la configuració i
la visualització dels logs.
Bloqueig per categories molt flexible.
Treballa amb totes les llestes negres compatibles amb squidGuard.
Actualitzacions de les llistes negres dinàmiques i programades.
Restriccions de temps i categories basades en usuaris.
• Openvpn(Zerina)
Creació de connexions virtuals privades tant per a hosts com Net2Net (Entre
dos servidors)
• Advproxy
Integració a la Interfície Gràfica d'Usuari per a la configuració del proxy web
Seguretat: IPCOP 8/229
Títol: FreeTelecom

Crèdit de Síntesi
avançat.
Autenticació d'usuaris locals, incloent administració de grups d'usuaris.
Autenticació identd (RFC 1413)
Autenticació LDAP, inclou Active Directory, eDirectory i OpenLDAP.
Autenticació Windows, inclou dominis Windows NT/2003 i Samba.
Autenticació RADIUS.
Administració Estesa de la cache.
Control d'Accés Web per IP i adreça MAC.
Restriccions basades accessos de temps.
Filtrat de tipus ACARONI
Bloqueig de navegadors o clients.
Suport automàtic per a la configuració client (PAC i WPAD)
• BlockoutTraffic
Completa integració a la Interfície Gràfica d'Usuari.
Control del tràfic cap a i a través de IPCop.
Restriccions del tràfic per adreces MAC, IP i interfícies de xarxa.
Agrupació d'adreces per a una major organització.
Definició de serveis específics.
Agrupació de serveis.
Regles de temps basades en el tallafocs.
Control dels log de tallafocs.
• Copfilter:
Addon per escanejar i filtrar tot el teu tràfic d'Internet per detectar virus i
spam. Per a això, combina un munt d'eines de codi obert, ajustades per
funcionar sense conflictes. Una vegada instal·lat i configurat, tot el tràfic
(és a dir, correu -POP i SMTP- FTP i Web) és filtrat de manera transparent,
impedint l'accés a qualsevol contingut contaminat. Les funcions que
incorpora són:
◦ A nivell de correu electrònic:
▪ Escanejat contra virus i spam de tots els missatges entrants (POP3)
▪ Escanejat contra virus i spam de tots els missatges entrants i sortints
(SMTP)
▪ Sanejat dels missatges HTML eliminant etiquetes perilloses.
▪ Escanejat d'adjunts al correu, reanomenant els perillosos.
▪ Afegeix una nota a les capçaleres de cada missatge indicant que el
correu ha estat escanejat.
Títol: FreeTelecom

Crèdit de Síntesi
▪ El correu es descarta o es posa en aïllament (“ quarentena”) si té
virus o sembla spam
◦ A nivell de Tràfic Web
▪ Escanejat del tràfic HTTP, continu, transparent, sense retards i sense
bloquejar descàrregues.
▪ Bloqueig de la majoria de llocs de phishing o explotant debilitats en
navegadors.
▪ Escanejat del tràfic FTP amb cert retard (el fitxer és descarregat i
escanejat en segon pla).
▪ Elimina anuncis, bàners, finestres emergents, etc.
◦ A nivell de Xarxa
▪ Tots els serveis funcionen de forma transparent, sense haver de
reconfigurar cap client.
▪ Pot utilitzar-se qualsevol client de correu (Outlook, Thunderbird,
Evolution...) en qualsevol sistema operatiu (Windows, Linux,
MacOS...).
▪ Suport d'àlies d'IP per a entrades MX en servidors de correu diferents a
la IP assignada.
◦ A nivell de Monitoratge
▪ Informació detallada de cada servei instal·lat.
▪ Monitoratge dels serveis. Si algun caigués, és reiniciat
automàticament, amb notificació per e-mail.
▪ Els serveis poden arrencar-se o detenir-se per separat des d'un
interfície gràfic.
◦ Administració i Maneig
▪ Maneig de tota la configuració antivirus i antispam mitjançant
interfície gràfic, podent configurar-se diferents nivells d'alarma i
notificació.
▪ Tests antivirus (en correu, web i ftp) i antispam des del propi
interfície per verificar el sistema.
◦ Generació d'estadístiques
▪ Antivirus (text): total de virus, per data, hora, mes, any, llistat dels
200 últims.
▪ Antivirus (gràfic): mostra setmanal dels tipus de virus detectats.
Títol: FreeTelecom

Crèdit de Síntesi
▪ Antispam (text): total d'e-mails amb spam per mes, dia, any, llistat
dels últims 200.
▪ Totals i mitjanes per dia/mes, grandària, temps d'escanejat,
puntuació mitjana.
▪ Web/FTP (text): estadístiques mostrant els virus i les IP d'origen.
◦ Control d'actualitzacions
▪ Automàtica d'actualitzacions de signatures antivirus.
▪ Automàtica d'actualitzacions de jocs de regles antispam.
▪ L'última versió disponible de Copfilter es mostra automàticament en
l'interfície.
◦ Notificacions per correu a l'usuari
▪ En comptes d'un correu infectat amb virus, l'usuari rep una notificació
que se li enviat un virus, incloent detalls com a remitent, tema i
capçaleres del missatge original. Opcionalment, amb còpia a
l'administrador.
▪ Resum diari de totes les adreces que van enviar spam en 24 hores.
◦ Notificacions per correu a l'administrador
▪ Actualitzacions de signatures d'antivirus i regles antispam.
▪ Serveis que van fallar i si va funcionar el reinicio automàtic.
• Cop+
Aquest addon proporciona la funcionalitat de DansGuardian al IP Cop.
DansGuardian és un programari que controla els continguts de les pàgines
webs de manera que podem concretar si determinades extensions seran
carregades al navegador o no, altrament incorpora un antivirus per als
fitxers que es descarreguen.
• SARG
Sarg és un Squid Analysis Report Generator que et permet veure "on" estan
navegant els teus usuaris dins d'Internet. Sarg genera informes en html, amb
molts camps, com: usuaris, Adreces IP, bytes transmesos, llocs web,top
100...
Exemple dels informes aquí: http://sarg.sourceforge.net/squid-
reports/index.html
• Nettraffic
Aquest addon permet veure el tràfic de xarxa entre les NIC's del IPCOP,
podent analitzar molt tràfic en qualsevol de les nostres xarxes, en qualsevol
Títol: FreeTelecom

Crèdit de Síntesi
moment i en qualsevol direcció. A més permet configurar avisos si un
especific nivell de tràfic es rebutjat.
➢ Maquinari:
CPU 386
RAM: 32MB
DISC DUR: 300MB
XARXA:
Entre 2 i 4 targes 10/100 Mbps Ethernet
Cables ethernet
Durant la Instal·lació:
Monitor
Lector cdrom
Teclat
Tarja Gràfica
Requereix d'un maquinari dedicat i permet gestionar l'accés a Internet, la seguretat i la
interacció de fins a quatre xarxes diferents que, en l'argot del IPCop, es denominen
GREEN, BLUE, ORANGE i RED. Les mateixes tenen les següents característiques:
GREEN: Aquesta és la interfície de xarxa de la nostra LAN o xarxa d'àrea local.
Aquí és on connectarem tots els nostres equips que necessitin major protecció, com a
servidors que no hagin de tenir presència en Internet i llocs de treball. Els dispositius
que es trobin connectats a aquesta interfície tindran accés a les interfícies RED, BLUE
i ORANGE, o sigui que podran sortir a Internet (i connectar-se als equips que es trobin
en qualsevol d'aquestes altres tres xarxes) per qualsevol port, però al seu torn els
equips de la interfície RED (equips en Internet) no poden iniciar connexions a cap
equip que es trobi en les interfícies GREEN, BLUE i ORANGE. En altres paraules,
estaran protegits de l'exterior, en el sentit que no són accessibles des d'Internet.
BLUE: És la interfície que s'assigna normalment per connectar un access point de
manera que es puguin connectar dispositius sense fils. De tota manera serveix per
connectar qualsevol altra xarxa que es necessiti sigui aquesta sense fil o no. Els
dispositius que es trobin en aquesta xarxa, no podran iniciar una connexió als
dispositius que es trobin en la interfície GREEN, però excepte aquesta excepció,
comptaran amb el mateix nivell d'accés i protecció que expliquen els dispositius
connectats a la interfície GREEN. No és necessari activar aquesta interfície en una
instal·lació de IPCop si no es compta amb més d'una xarxa, o no es va a utilitzar un
router sense fil.
ORANGE: Aquesta és la interfície que s'utilitzarà per muntar una DMZ o zona
desmilitaritzada. Principalment s'utilitza per muntar servidors web, de correu, de ftp,
etc. que hagin de tenir presència en Internet; o sigui que siguin accessibles des
Títol: FreeTelecom

Crèdit de Síntesi
d'Internet, però que en el cas que es produeixi alguna intrusió a algun equip d'aquesta
xarxa, això no comprometi la seguretat de la nostra xarxa interna (GREEN). Els equips
que formin part de la xarxa ORANGE no podran iniciar connexions a cap dels
dispositius que es trobin en les interfícies GREEN i BLUE. No és necessari activar
aquesta interfície en una instal·lació de IPCop si no es pensa utilitzar una DMZ.
RED: És la interfície de xarxa que ens connectarà directament al nostre proveïdor
d'Internet. Pot ser una connexió ADSL, cable modem, una línia dedicada o fins a
inclusivament un mòdem telefònic comú. Qualsevol instal·lació de IPCop comptarà
amb aquesta interfície habilitada. (Suporta tant dispositius ethernet com a USB) Com
a aclariment cal destacar que els equips que estan a la mateixa xarxa, ja sigui
aquesta GREEN, BLUE o ORANGE, tenen la possibilitat d'iniciar connexions entre ells.
En el cas de comptar amb un router wifi, si bé és convenient, no és obligatori que
aquest estigui connectat a la interfície blue, ja que es podrà connectar sense
problemes a la interfície GREEN.
A la imatge següent podem apreciar com venen configurades les regles per a cada
interfície per defecte
Títol: FreeTelecom

Crèdit de Síntesi
Procediment:
Les dades del nostre servidor Firewall / Proxy són:
◦ Hostname : Ipcop10
◦ Domini: cicles.ies
◦ IP: 10.0.0.1
Com ja hem comentat Ip cop és una distribució completa de gnu/Linux és a dir
que no s'instal·la com un paquet més si no que que inclou el seu propi nucli i entorn,
per tant, no pot conviure amb una altra distribució.
Per començar necessitarem disposar del maquinari adient (vegeu requeriments) i
el cd de ip_cop 1.4.2,iniciarem l'equip des del cd i seguirem el procés d'instal·lació
de la següent manera:
A la pantalla inicial ens avisa de que totes les particions del disc seran eliminades,
destruint les seves dades. I a la següent triem l'idioma (22 disponibles)
Títol: FreeTelecom

Crèdit de Síntesi
Ens dona la benvinguda.
La instal·lació es pot fer des d'una imatge que estigui a la xarxa (http/ftp) o bé
des d'una unitat fisica com el cdrom / usb-key, nosaltres tenim la Iso grabada en un cd
per tant escollim cdrom.
Com ja hem comentat abans,lP cop s'instal·la a tot el disc dur, el següent missatge
ens adverteix de que farà servir /dev/hda per crear les seves particions i el sistema
de fitxers.
Títol: FreeTelecom

Crèdit de Síntesi
Si haguéssim instal·lat anteriorment IP Cop podríem haver fet un backup de les
regles establertes i la configuració general, la següent pantalla ens permet restaurar
aquesta configuració indicant-li on es troba el fitxer de backup. Com que és el primer
cop que l'instal·lem aquest pas el saltem.
Un Firewall s'ha de situar a l'entrada/sortida de la Lan cap a l'exterior (WAN), per
controlar el tràfic, així doncs en un esuqem ade xarxa simple tindrem una zona no
segura a una banda del firewall i la xarxa segura a l'altra banda.
Altramenrt la zona segura es pot dividir en la zona desmilitaritzada, la zona de
xarxa sense fils i la zona interna (LAN).
IP Cop té la seva nomenclatura per cada zona de xarxa, anomeará vermella a la
part de xarxa que es comunica amb la WAN, és a dir a la zona no segura.
La zona Taronga (Orange) és correspon a la DMZ, la Blau (Blue) és la zona sense
fils i la Verda (Green) és la LAN.
Cadascuna d'aqueste zones es configura individualment, podent assignar rang d'ips
diferents, cal però un tarja de xarxa per cada zona.
La següent pantalla intenta detectar els drivers de la tarja de xarxa que és
correspon a la zona VERD, podem cliclar a “Prueba” per tal de que ho busqui
automaticament o bé “Selecciona” per escollir el driver que farm servir d'una llista.
Títol: FreeTelecom

Crèdit de Síntesi
Ens demanarà l'adreça de xarxa per la zona GREEN (LAN), li podem posar qualsevol
IP privada, nosaltres hem escollit una classe A per distingir-la clarament de la resta,
perquè creiem que és d'on penjaran més equips i per tant necessitem un gran ventall
d'IPs dintre d'aquesta xarxa.
La seguënt pantalla no és només un missatge de felicitacions, ens indica com
accdeir a la pagina web d'administració d'IP Cop. Bé podem fer-lo pel por 81 o el port
segur 445 (https).
Títol: FreeTelecom

Crèdit de Síntesi
Seguidament hem de establir un paràmetres bàsics de configuració tals com
l'idioma, zona horària, nom de l'equip, nom del domini
El ISDN o RDSI en castellà és la Xarxa Digital de Serveis Integrats, fa referència al
conjunt de protocols CCITT/ITU que no son més que l'evolució de les xarxes actuals,
aquest tipus de xarxa permet fer connexions extrem a extrem a nivell digital
(transmissió digital de senyal analògics) oferint multituds de serveis de forma
integrada (amb la mateixa interficie es transmet veu, dades, tèlex, commutació
circuits...). Nosaltres, però, fem servir ADSL per connectar-nos a la xarxa, per tant
deshabilitem el RDSI.
Títol: FreeTelecom

Crèdit de Síntesi
Comença la configuració de l'esquema de xarxa: Abans hem configurat nomes la
LAN (Green), ara anem a modificar la configuració per afegir la Orange i la Red.
Hem decidit crear una DMZ (Orange), una LAN (Green) i sortida a la WAN (Red)
Per cada zona hem de definir els drivers de les Nic utilitzades, ho podem fer
automàticament o bé manualment. Un cop posats els drivers continuem configurant
les NIC's que falten repetint el procés anterior de la Green, per la Orange i per la Red.
Títol: FreeTelecom

Crèdit de Síntesi
A la escola li van canviar l'adreça de la Red a una 192.168.130.xxx
Títol: FreeTelecom

Crèdit de Síntesi
Donem el password de l'usuari root per accedir via Shell, el de admin per accedir
via web i el de backup, amb la qual cosa la instal·lació es dona per finalitzada. A
partir d'ara totes les configuracions les farem via web.
Títol: FreeTelecom

Crèdit de Síntesi
Manual de configuració
Ho primer que fem a l'accedir via web és permetre ssh i actualitzar l'IPCOP a
l'última versió que hi ha estable la 1.4.21. Ja que ens ho diu a la pantalla de
benvinguda. Aixó es fa baixant el paquet .tgz.pgp de la web oficial d'IPCOP.
Títol: FreeTelecom

Crèdit de Síntesi
Manual d'instal·lació Addons
Ara ja podem començar a instal·lar addons. Per instal·lar qualsevol addon s'ha de
seguir el mateix procediment:
1. descarregar l'arxiu (normalment .tar.gz)
2. mitjançant scp portar-lo al nostre servidor (fem sevir l'eina gràfica sshClient que
porta incorporada la connexió ssh (port 222, us:root pass:****** i scp gràfic) o
primer la comanda
#scp -P 222 ruta_nom_del_addon root@ipcop10.cicles.ies:/carpeta_on_ho_desem
això demanarà la contrasenya de root i desprès per instal·lar fem un
ssh -P 222 root@ipcop10.cicles.ies)
3. descomprimir-lo
4. ./install
Nosaltres per tenir-ho ordenat hem creat una carpeta /addons, aquí tenim tots els
arxius de les addons que volem instal·lar comprimits. Quan volem instal·lar un, creem
una carpeta am el seu nom i el descomprimim allà o el situem a la carpeta que
demani.
Títol: FreeTelecom

Crèdit de Síntesi
Manual d'instal·lació Addon Zerina
Presentació
Zerina es tracta d'un servei de Xarxa Privada Virtual (VPN) per IpCop basat en
openVPN que permet treballar amb connexions Net2Net (interconnectar 2 xarxes amb
firewalls IpCop a través d'internet -dues seus que comparteixen recursos, estalvi en
servidors) o la connexió d'ordinadors (Host2Net mitjançant Roadwarrior) per disposar
dels recursos de xarxa per als nostres treballadors amb mobilitat (normalment
comercials amb portàtils,etc).
Objectiu
Disposar d'un sistema que permeti als nostres treballadors amb mobilitat accedir a
la documentació i serveis de l'empresa des de qualsevol lloc amb connexió a internet
de manera segura, com si estiguessin a la “nostra LAN”.
Requeriments
➢ Programari per al servidor:
Tenir instal·lada una versió IpCop superior a la 1.4.15
Imatge ZERINA-0.9.7a14
http://mh-lantech.css-hamburg.de/ipcop/download.php?list.28
➢ Programari per als clients:
Depenent del SO del nostre client (ordenador que vol accedir als recursos de
Títol: FreeTelecom

Crèdit de Síntesi
l'empresa) hem de triar una de les opcions que troben a la web oficial de OpenVPN.
Per Debian i ubuntu el paquet ve instal·lat.
http://openvpn.net/index.php/open-source/downloads.html
Procediment:
Un cop tenim el nostre addon al directori que volem d'IPCOP fem:
#tar -xzf /addons/ZERINA-0.9.7a14-Installer.tar.gz /addons/Zerina
#cd /addons/Zerina
#./install
Això no ens ho deixa fer la instal·lació, surt una errada que diu que la versió del
ipCop no és la 1.4.15, llavors editant l'arxiu install amb el nano canviem la següent
línia ficant la nostra versió i tornem a instal·lar.
Títol: FreeTelecom

Crèdit de Síntesi
Part Servidor
Un cop feta la instal·lació ja podem procedir a la configuració via web
https://192.168.1.150:445/cgi-bin/index.cgi
us:admin
pass:******
Fem click en connectar i anem al Menú VPNs -> OPENVPN
Ara hem de triar el tipus de connexió que volem o totes dues si volem connexió
entre les nostres seus i generar els certificats per poder tenir una connexió segura.
El primer que hem de fer a la web de configuració és Generar els certificats
Arrel/Anfitrió
Títol: FreeTelecom

Crèdit de Síntesi
Omplim els camps (millor sense accents, ens ha donat errades) i fem click a
generar
Un cop generats la pantalla ens queda de la següent manera i hem de configurar
el rang per als nostres clients i activar l'opció per a que es puguin connectar
mitjançant la interfície vermella, que és la que dona accés des de Internet i fer click
al botó Reiniciar OpenVPN
Títol: FreeTelecom

Crèdit de Síntesi
Com nosaltres només connectarem ordinadors amb mobilitat, només generem
certificats per a cada usuari, així tindrem controlada cada connexió de manera
independent (per saber com es fa la connexió Net2Net mirar aquest manual
http://www.kriptopolis.org/node/4062 ). Per fer això fem click al botó Agregar de
l'apartat Roadwarrior.
Omplim els camps i fem click a guardar. Així per a tots els usuaris que hagin de fer
servir el servei OpenVPN.
Títol: FreeTelecom

Crèdit de Síntesi
Part Client
Un cop creats hem de descarregar els certificats generats, tant els de l'usuari
concret (mira imatge anterior, fent clic i descarregant el zip) com els Arrel i Anfitrió
(fent clic a sobre de la icona del disquet a cadascun, com es veu a la imatge on
s'havien generat els certificats) i adjuntar-los a la configuració del client
(descomprimits), a l'ordinador que hagi de fer servir l'usuari concret (això vol dir que
si aquest usuari a de deixar l'ordinador a una altre persona, la configuració ha de
canviar depenent de l'usuari que faci servir l'ordinador o que el client OpenVPN només
estigui actiu per a aquell usuari).
Primer fem la instal·lació del client (cas windows ,next,next,next ...) i reiniciem
l'ordinador. Un cop fet, anem a Menú Inici -> Programes ->OpenVPN -> ShortCuts ->
OpenVPN configuration file directory
Tal com s'aprecia a la imatge i introduïm els nostres certificats (4 per ser exactes)
a allà i iniciem el programa Client openVPN des de l'accés directe de l'escriptori o des
de Inicio -> Programas -> OpenVPN -> OpenVPN GUI
Títol: FreeTelecom

Crèdit de Síntesi
Ens apareixerà una icona amb 2 ordinadors vermells al costat del rellotge. Li fem
click a sobre amb el botó dret i click amb el botó esquerra a connect
Si tot funciona correctament, veure pantalles amb la icona de openvpn en groc, al
costat del rellotge ens apareixerà la icona dels 2 ordinadors vermells anteriors de
color verda (hem de tenir en compte que si no disposem de una ip pública estàtica,
haurem de fer servir un domini dyndns i obrir els ports del nostre router per poder
connectar-nos des de l'exterior, per fer això a cada router serà una mica diferent,
amb la qual cosa s'haurà de mirar exactament com ho fem per a cada model)
És molt important que comuniquen als usuaris dels clients VPN que per sortir ho
primer que han de fer es desconnectar la sessió, fent click amb el botó dret a sobre
de la icona dels 2 ordinadors verds i clic amb el botó esquerra a Disconnect, per
assegurar-nos que no queda cap sessió vpn oberta sense fer servir. Teòricament al cap
d'un temps el servidor si veu que no hi ha activitat desconnecta la sessió, però sempre
és més el tancament manual per part del client
Títol: FreeTelecom

Crèdit de Síntesi
En debian, farem servir els mateixos certificats que en windows. Hem d'anar a
Sistema/Administració/Gestor de paquets Synaptic. Llavors busquem e instal·lem el
paquet network-manager-openvpn-gnome (com imatge a continuació).
Seguidament fem clic botó dret al icona de xarxa i editar connexions i després
fem clic al icona de xarxa/Connexions VPN/Configurar VPN...
En la finestra VPN fem importar i seleccionem el fitxer dels certificats .ovpn (en
la mateixa carpeta han de ser els 4 arxius que mostra l'imatge a continuació per que
funcioni correctament):
Finalment fem clic al icona de xarxa altra vegada i en connexions VPN surt el nom
de la nostra VPN. La seleccionem i ja estaríem connectats correctament al VPN,
hauria de canviar l'icona de xarxa amb un cadenat si tot a sortit correctament:
Títol: FreeTelecom

Crèdit de Síntesi
Referències:
http://www.it.uniovi.es/docencia/Cursos/ServiciosLinux/materi
al/Cursoservicios_IPCop.pdf
http://www.openvpn.eu/index.php?id=35
http://thinkhole.org/wp/2006/03/28/ipcop-openvpn-howto/
http://openvpn.net/
http://www.kriptopolis.org/node/4062
http://www.linuxzone.es/tutorial-sobre-ip-cop/
Títol: FreeTelecom

Crèdit de Síntesi
Manual d'instal·lació Addon Advproxy
Presentació
És un addon per a IPCOP que esten la seva funcionalitat proxy web amb un munt
de característiques addicionals versàtil i útil.
El paquet conté un binari de squid que torna a compilar amb opcions de
configuració avançada per a una màxima flexibilitat. La interfície gràfica d'usuari
avançada de proxy li dóna accés a la configuració molt més que la incorporada en el
proxy GUI per defecte.
Objectiu
Estendre les funcionalitats del proxy per defecte, amb les característiques
comentades anteriorment.
Requeriments
➢ Programari:
descarregar el paquet de http://www.advproxy.net/download.html
➢ Maquinari:
El requerits per al sistema operatiu
Procediment:
El mateix que per instal·lar qualsevol Addon
Per començar la configuració entrem via web a IPCOP i anem al Menú Servicios →
Advanced Proxy Ho primer que fem és definir l'idioma al apartat advanced web proxy
Títol: FreeTelecom

Crèdit de Síntesi
Baixem per veure més opcions com la de control d'accés per port de destí admesos
i els ssl
Quines xarxes permetem, quina adreça no tindrà cap restricció o quina no
deixarem passar, també ho podem fer per MAC. Podem controlar també els dies i la
franja horària en la que està permesa la navegació
El tipus MIME d'un arxiu és simplement una descripció del que és l'arxiu ja que al
navegador amb l'extensió no és suficient (exemple tipus application/pdf ).
Títol: FreeTelecom

Crèdit de Síntesi
Podem fer que comprovi un navegador i fer servir algun tipus de autenticació.Un
cop configurat tot això guardem i reiniciem
Referències:
http://www.advproxy.net/
Manual d'instal·lació SARG
Presentació
Sarg és un Squid Analysis Report Generator que et permet veure "on" estan
navegant els teus usuaris dins d'Internet.
Objectiu
Generar informes en html, amb molts camps, com: usuaris, Adreces IP, bytes
transmesos, llocs web, top 100... que podrem fer servir per saber si l'ús d'internet és
l'adequat i si no és així poder saber si hem de tancar alguna URL en concret.
Requeriments
➢ Programari:
Addon descarregat de
http://mh-lantech.css-hamburg.de/ipcop/download.php?view.185
➢ Maquinari:
Títol: FreeTelecom

Crèdit de Síntesi
Procediment:
Més que un manual de configuració és un manual d'ús, que es descriu a cop de
ratolí
Referències:
http://sarg.sourceforge.net/
Títol: FreeTelecom

Crèdit de Síntesi
Manual d'instal·lació Cop+
Presentació
És un servei que podem implementar per al filtrat de continguts a la nostra xarxa.
Dansguardian funcionarà com un filtrat de continguts i control d'accés, deixant a
Squid solament la tasca de proxy cache.
Objectiu
Configurar un filtrat de paquets d'una manera senzilla, poden fer servir llistes
blanques i negres (aquestes es poden exportar). Filtrar per URL's i per domini.
Requeriments
➢ Programari:
Addon descarregat de http://home.earthlink.net/~copplus/index.html
➢ Maquinari:
Procediment:
El mateix que per instal·lar qualsevol Addon, però aquest s'ha de fer al directori
arrel.
Per començar la configuració entrem via web a IPCOP i anem al Menú Servicios →
Content Filter , on ho primer que troben és el seu estat, poder reiniciar-lo i veure els
logs
Al següent apartat podrien configurar grups d'usuaris per aplicar-li filtratges
diferents, mitjançant les diferents llistes, segons el nostre criteri (blanca passa, negra
prohibeix).
Títol: FreeTelecom

Crèdit de Síntesi
Títol: FreeTelecom

Crèdit de Síntesi
Si hem afegit youtube.com a la llista negra com diu l'exemple quan intentem
accedir Dansguardian ens mostra aquesta pantalla.
També permet importar i actualitzar llistes negres de manera automàtica i buscar
de noves mitjançant una frase
Al Menú Logs Content Filter podem observar tots els intents de navegació,→
permesos i denegats, i així comprovar si el que acaben d'actualitzar funciona
correctament seleccionant per les dates que volem.
Títol: FreeTelecom

Crèdit de Síntesi
Referències:
http://dansguardian.org/
Títol: FreeTelecom

Crèdit de Síntesi
Manual d'instal·lació Nettfilter
Presentació
Aquest addon permet veure el tràfic de xarxa entre les NIC's del IPCOP, podent
analitzar molt tràfic en qualsevol de les nostres xarxes, en qualsevol moment i en
qualsevol direcció. A més permet configurar avisos si un especific nivell de tràfic es
rebutjat
Objectiu
L'objectiu és poder analitzar el tràfic que circula per les nostres targetes per
poder detectar anomalies.
Requeriments
➢ Programari:
descarregar l'addon de http://blockouttraffic.de/nt_download.php
➢ Maquinari:
Procediment:
Per començar anem a Menú Estado Net-Traffic→
I s'obrirà una pantalla on podem observar tot el tràfic d'entrada i de sortida de
cada targeta. Podem dir-li la data per analitzar, aquell moment determinat i canviar
la configuració per que ens avisi si es passa d'un volum de tràfic.
Títol: FreeTelecom

Crèdit de Síntesi
Referències:
http://blockouttraffic.de/nt_index.php
Títol: FreeTelecom

Crèdit de Síntesi
Manual d'instal·lació Addon BlockOutTraffic
Presentació
BlockoutTraffic bloquejarà tot el tràfic que es permet en una instal·lació normal
de IPCop. Les regles han de ser creades per permetre el tràfic, la qual cosa significa
treball, però permet una major influència en el tràfic a través del firewall.
Objectiu
Aconseguir una configuració més acurada de les regles de control de tràfic, tal
com s'explica al començament del apartat seguretat, que el reenviaments de ports
que porta per defecte IPCOP
Requeriments
➢ Programari:
descarregar l'Addon de http://blockouttraffic.de/download.php
➢ Maquinari:
Procediment:
El mateix que per instal·lar qualsevol addon.
NOTA: l'addon que hi ha és per la versió de IPCOP 1.4.4. És possible que per
aquesta raó cada cop que l'activem no funconi, encara que configurem regles abans,
com per exemple obrir el por 80.
Per a recuperar el sistema treballem directament sobre la màquina física IPCOP.
Descomprimim el tar.gz del BlockOutTraffic i executem ./unsistall
Títol: FreeTelecom

Crèdit de Síntesi
Referències:
http://blockouttraffic.de/index.php
Títol: FreeTelecom

Crèdit de Síntesi
Manual de configuració per defecte de IPCOP
Per defecte IPCOP també compte amb diverses funcionalitats que ens serveixen
per administrar el nostre firewall, configuracions de regles de tràfic des de la LAN al
exterior
i a la inversa des de l'exterior cap a la LAN o la DMZ.
Títol: FreeTelecom

Crèdit de Síntesi
I per accedir de la DMZ a la LAN
Podem activar la resposta a pings des de fora a
Ens permet configurar diferents serveis, com un servidor DHCP, assignar IP's fixes
per MAC i observar la llista de connexions dinàmiques, entre altres.
Títol: FreeTelecom

Crèdit de Síntesi
Pot fer de servidor horari de la LAN
Títol: FreeTelecom

Crèdit de Síntesi
Des de Juny de 2010 snort ha deixat d'oferir les regles mitjançant el Oink codi per
fer servir la detecció d'intrusions, s'ha de fer descarregant un fitxer compatible amb
la teva versió de snort, amb la qual cosa IPCOP no ho permet.
Al menú Estado podem monitoritzar diferents paràmetres del sistema, com el
consum dels recursos, gràfics de xarxa, etc
Títol: FreeTelecom

Crèdit de Síntesi
Títol: FreeTelecom

Crèdit de Síntesi
Manual d'instal·lació PROFTPD
Presentació
Proftpd és un servidor de FTP (File Transfer Protocol) per a sistemes GNU/Linux de
codi lliure (Llicència GPL); com tot servidor FTP, és fa servir per transferir arxius
entre aquest, anomenat servidor, i el client ftp.
Clients FTP n'hi ha moltíssims, nosaltres escollirem Filezilla pel fet de ser
multiplataforma, gratuït, senzill i altament funcional.
Les característica més rellevant de proftpd és que permet fer autenticació
d'usuaris no només contra els usuaris existents al servidor ftp, sinó també, envers
servidors ftp virtuals, servidors ldap o bases de dades (sql) amb suport de RADIUS,
SSL, TLS. És tracta d'un dels productes més utilitzats atès la seva flexibilitat,
modulabilitat , facilitat d'us i de configuració.
Objectiu
Implantació d'un servidor FTP per al domini de la DMZ, el qual, d'una banda
proporcionarà la capa FTP per al servidor web amb Joomla i d'altra banda serà el
servidor públic del nostre domini amb accés anònim i accés autenticat contra el
sistema.
L'accés anònim permetrà descarregar fitxers de l'arrel i escriure en una carpeta
que anomenarem “pujades”.
L'accés autenticat “engabiarà” al usuari en la seva zona de forma que no pugi
accedir a nivells superiors de directori; Aquests usuaris tindran tots els privilegis sobre
la seva arrel.
Per comprovar la funcionalitat instal·larem el client Filezilla.
Requeriments
➢ Programari:
Sistema Operatiu Debian Squeeze
Proftpd
Client FTP : Filezilla
➢ Maquinari:
Servidor DMZ: ProFTPd 51/229
Títol:FreeTelecom

Crèdit de Síntesi
Procediment:
Les dades del nostre servidor FTP de la DMZ són:
◦ Hostname : joomla
◦ Domini: dmzcicles.ies
◦ IP: 172.16.0.20
La instal·lació de Proftpd sobre Debian és summament senzilla, només cal que
obrim un terminal i executem apt-get install proftpd
Una altra opció és descarregar el codi font disponible a la web oficial en format
tar.gz. Un cop descarregat només caldrà descomprimir i compilar el paquet de forma
habitual seguit la seqüència:
tar -xvzf
cd proftpd*
./compile
make
make install
Nosaltres però hem optat solució més ràpida i còmode, farem servir apt-get
Títol:FreeTelecom

Crèdit de Síntesi
Com es pot veure a la imatge, la instal·lació ens suggereix una sèrie de paquets
que són els mòduls addicionals per al proftpd : proftpd-mod-mysql...
A continuació s'ens presenta l'assistent de configuració inicial:
A la primera plana hem d'escollir el tipus de servidor que volem muntar, podem
escollir entre inetd o standalone, si escollim inetd li estem dient que aquest servidor
serà un servei més de la maquina on s'instal·la mentre que amb l'opció standalone
estem fent que sigui un servidor dedicat, com que l'objectiu és implantar-lo a la dmz,
amb accés anònim i i que estigui en constant execució escollirem standalone ja que
no tenim constància del tràfic que hi haurà.
Un cop seleccionat podrem veure que s'han creat dos usuaris nous al sistema:
proftpd i ftp, a més del directori personal del usuari ftp, aquest serà el nostre usuari
anònim.
Añadiendo el usuario del sistema `proftpd' (UID 110) ...
Añadiendo un nuevo usuario `proftpd' (UID 110) con grupo `nogroup' ...
Añadiendo el usuario del sistema `ftp' (UID 111) ...
Añadiendo un nuevo usuario `ftp' (UID 111) con grupo `nogroup' ...
Creando el directorio personal `/home/ftp' ...
«/usr/share/proftpd/templates/welcome.msg» -> «/home/ftp/welcome.msg.proftpd-new»
Ja tenim el servidor FTP instal·lat.
Títol:FreeTelecom

Crèdit de Síntesi
Per tal d'accedir al servidor necessitarem un client FTP que es connecti a aquest,
com ja hem comentat fem servir Filezilla, la seva instal·lació és tan senzilla o més
que la del servidor, només hem d'obrir un terminal i fer apt-get install filezilla.
Ens apareixerà el client instal·lat al menú Aplicacions – Internet- Filezilla
Abans d'executar el client anem a configurar el servidor FTP
Títol:FreeTelecom

Crèdit de Síntesi
La instal·lació de proftpd ens ha generat el fitxer de configuració
/etc/proftpd/proftpd.conf, aquest és l'únic fitxer que farem servir per configurar el
nostre servidor tal com hem indicat als objectius.
Hem comentat que volíem fer un directori d'accés anònim on es pugi escriure,
aquest cal crear-lo abans o després de la configuració, és indiferent.
# mkdir /home/ftp/pujades
# chmod 755 /home/ftp/pujades/
# chown ftp /home/ftp/pujades
Li hem canviat els permisos al directori per a que el propietari pugui fer de tot, el
membres del grup i la resta nomes podran llegir i executar.
També canviem al propietari, el directori ha estat creat com ha root, amb chown
fem que ftp sigui el propietari.
El fitxer de configuració /etc/proftpd/proftpd.conf quedarà de la següent manera
(el codi està modificat: s'han esborrat línies comentades i s'han afegit comentaris
personals per clarificar els paràmetres)
#Fitxer configuració /etc/proftpd/proftpd.conf
#Aspectes genareals: no cal tocar res...
# Includes DSO modules
Include /etc/proftpd/modules.conf
# Set off to disable IPv6 support which is annoying on IPv4 only boxes.
UseIPv6 on
# If set on you can experience a longer connection delay in many cases.
IdentLookups off
#****Opcions Servidor
ServerName "FTP Joomla"
#Nom del servidor
ServerType standalone
# El tipus del servidor: inetd o standalone
DeferWelcome off
#Missatge de benvinguda, és un boleà que el podem posar a on i llavors especificar el missatge a continuació,
nosaltres ho farem quan l'usuari accedeixi..
AccessGrantMsg "Login Correcte!"
# Missatge de benvinguda al login
AccessDenyMsg "Login Incorrecte..."
#Missatge per advertir que les credencials no son vàlides per al sistema al fer login
MultilineRFC2228 on
# Compatibilitat amb altres servidors ftp, segueix l'estàndard
DefaultServer on
#Opcions per defecte habilitades
ShowSymlinks on
Títol:FreeTelecom

Crèdit de Síntesi
# Ens permetrà veure els vincles simbòlics del usuari connectat o no
TimeoutNoTransfer 600
# Temps en segons abans de desconnectar-se per manca de transaccions
TimeoutStalled 600
# Temps en segons abans de cancel·lar una descarrega que està bloquejada
TimeoutIdle 1200
#Temps en segons abans de desconnectar-se per manca de tota activitat
DisplayLogin welcome.msg
# missatge de benvinguda al ftp, abans del missatge d'accés, és un fitxer que es pot editar i fer banners per exemple
DisplayChdir .message true
#habilita l'opció de crear un fitxer ocult anomenat .message a cada directori per tal de mostrar un missatge diferent
a mesura que ens moguem per l'arbre permès
ListOptions "-l"
#Si ens connectem per terminal podrem fer servir -l per llistar les opcions
DenyFilter *.*/
#Filtre intern del proftpd, ens pot servir per restringir la pujada de certs fitxers o tipus de fitxers (per l'extensió),
així ho permetem tot
DefaultRoot ~
#Opció per engabiar als usuaris al seu directori personal, prohibint que es puguin desplaçar a altres directoris
superiors, així cada usuari te accés nomes a la seva gàbia
RequireValidShell off
#Especifica si l'usuari connectat ha de tenir una shell vàlida o no, en el nostre cas posarem /bin/false, per tant la
opció es queda en off
Port 21
#Port del servidor
MaxInstances 30
#Nombre de connexions concurrents, fetes per processos, que pot rebre el servidor en tipus standalone, serveix per
prevenir atacs DoS
User proftpd
Group nogroup
#Nom d'usuari i grup que executa el servidor, root també pot
Umask 022 022
#mascara per restringir l'escriptura de forma general als membres del grup i a la resta, el funcionament d'umask és
una resta sobre els permisos de l'usuari
AllowOverwrite on
#Habilita l'opció de reescriure
#Logs i configuarció interna de quotes i ample de banda
TransferLog /var/log/proftpd/xferlog
SystemLog /var/log/proftpd/proftpd.log
# Els dos logs per defecte del servidor, útils per consultar errors o veure accessos al servidor
<IfModule mod_quotatab.c>
QuotaEngine off
</IfModule>
<IfModule mod_ratio.c>
Ratios off
Títol:FreeTelecom

Crèdit de Síntesi
</IfModule>
# Deixem aquestes opcions per defecte, es podria restringir la quantitat de MB Pujats/Descarregats i la velocitat de
les transferències
<IfModule mod_delay.c>
DelayEngine on
</IfModule>
# Per defecte habilitat per preveure atacs de Timing
<IfModule mod_ctrls.c>
ControlsEngine off
ControlsMaxClients 2
ControlsLog /var/log/proftpd/controls.log
ControlsInterval 5
ControlsSocket /var/run/proftpd/proftpd.sock
</IfModule>
#Normalment aquest paràmetre no es toca, serveix per poder alterar el comportament del servei ftp tipus standalone
mentre es troba en execució, les opcions mes interessants son els logs ,l'interval que és cada quant temps s'ha de
mirar el socket per veure qui hi ha connectat i el nombre de clients que poden accedir a controlar el servei.
<IfModule mod_ctrls_admin.c>
AdminControlsEngine off
</IfModule>
# Si estigues en “on” habilitaria un altre modul de manipulació del servei per als administradors
#Declaració dels directoris i accés als recursos
# Ja hem habilitat “l'engabiament”, per tant podem declarar límits sobre usuaris concrets d'aquesta manera
<Limit LOGIN>
AllowUser adminftp
AllowUser unaltre
</Limit>
#Els permisos sobre els seu directori dependran dels permisos linux establerts en la creació de /home/nomusuari,
normalment tots. La contrasenya és la mateixa que la del sistema.
#El funcionament és semblant al html, funciona amb tags que s'obren i es tanquen, dintre de cada tag es poden
declarar altres per filar prim a les necessitats, en aquest cas obrim el tag Anonymus i el configurem així:
<Anonymous /home/ftp>
# Indiquem que l'accés anònim és farà sobre el directori /home/ftp
User ftp
Group nogroup
#L'usuari i el grup anònim és ftp i nogroup respectivament, ja els ha creat la instal·lació, no hem de fer res
UserAlias anonymous ftp
#Afegim un alies sobre ftp, de forma que puguem fer login anònim amb el nombre anonymous, això és
perquè molts clients ftp, al no posar credencials et posen aquest 'usuari per defecte
RequireValidShell off
# Aquest usuari te la shell /bin/false i no necessita cap shell habilitada per accedir al servei
MaxClients 10
#Nombre màxim de clients connectas de forma anònima concurrentment
Títol:FreeTelecom

Crèdit de Síntesi
#Sense tancar el tag anonymous declarem els permisos per als directoris que conté
<Directory /home/ftp>
#declaració del directori sobre el qual establim els permisos amb el tag Limit
<Limit WRITE>
DenyAll
</Limit>
#cap usuari pot escriure en /home/ftp ni directoris ni fitxers
<Limit READ LOGIN>
AllowAll
</Limit>
#però tots poden fer login i llegir el contingut
</Directory>
#Els tags s'han de tancar, no cal que el codi estigui ben tabulat però l'administrador ho agrairà
<Directory /home/ftp/pujades>
#Declarem el directori pujades, el qual té uns permisos diferents
Umask 022 022
#Aquesta opció és redundant atès que en opcions general ja he filtrat per aquesta màscara, en un
principi hauria de servir per a que nomes el propietari pogués fer canvis però com que tots els usuaris anònims es
connecten amb el mateix usuari propietari, tots poden fer canvis
<Limit READ STOR>
AllowAll
</Limit>
#En aquest directori està permès llegir i escriure
els límits son conjunts de comandes FTP, podríem posar el conjunt WRITE el qual engloba STOR però a diferencia
d'aquest write permet crear subdirectoris, i hem decidit no donar aquest permís
</Directory>
</Anonymous>
# Tanquem la resta de tags i ja tenim la part de l'usuari anònim configurada
Destaquem la senzillesa alhora de fer servir el Limits de comandes FTP sobre els
directoris, aquestes estan englobades en conjunt de forma que podem establir el
conjunt generals o concretat al permís correcte, la llista de Límits disponibles és la
següent però recomanem visitar prèviament la llista de totes les comandes FTP per
entendre quin permís estem assignant:
• ALL
◦ Totes les comandes FTP: http://www.proftpd.org/docs/howto/FTP.html
• DIRS
◦ CDUP, CWD, LIST, MDTM, MLSD, MLST, NLST, PWD, RNFR, STAT, XCUP, XCWD,
XPWD
• LOGIN
• READ
◦ RETR, SIZE
Títol:FreeTelecom

Crèdit de Síntesi
• WRITE
◦ APPE, DELE, MKD, RMD, RNTO, STOR, STOU, XMKD, XRMD
Fins aquí tindríem el fitxer del servidor configurat per les nostres necessitats, ara
bé ProFTPd és molt modulable i com a tal ens permet fer servidors ftp molt potents
amb fins i tot dominis virtuals.
Només ens falta crear als usuaris que tindran acces amb comptes del sistema, hem
establert que no requeriran shell i que estan engabiats als seu home, per tant el
procediment serà:
Declarar /bin/false a /etc/shells: afegint a final de línia /bin/false, es pot fer
amb un editor de textos o amb comandes
echo /bin/false >> /etc/shells
Afegir l'usuari adminftp o qualsevol altre amb aquesta shell, i el directori
personal amb l'opció -m de useradd
useradd -s /bin/false -m admin ftp
Assignar una contrasenya al usuari creat
passwd adminftp
És moment de verificar la configuració que hem dissenyat, cal però reiniciar el
servei abans d'executar el client per tal de que el fitxer sigui recarregat.
/etc/init.d/proftpd restart
Títol:FreeTelecom

Crèdit de Síntesi
Si hi hagués cap error al fitxer, el servei no es reiniciaria i ens advertiria de l'error.
Anem a deixar un tag obert per veure el missatge d'error que ens mostraria.
Ho solucionem i reiniciem el servei amb /etc/init.d/proftpd restart
Ara ja podem verificar el funcionament amb un client FTP, com ara Filezilla.
L'obrim i ens topem amb una interfície molt fàcil de fer anar, a la part superior es
on es poden fer connexions ràpides cap al servidor FTP.Per comprovar la connexio
d'acces anònim moes hem d'indicar la IP del servidor, a la DMZ configurada serà la IP
172.16.0.20, a la captura es veu una altra ip perque està feta des de casa.
Títol:FreeTelecom

Crèdit de Síntesi
Un cop connectats veurem a l'esquerra els nostres directoris local i a la dreta els
directoris del ftp
Si provem a escriure a l'arrel no ens deixarà, el missatge d'error és: “Error crítico
de transferència de fichero”,altrament veurem que la pestanya de transferència
fallida marca l'error.
Títol:FreeTelecom

Crèdit de Síntesi
Podem fer canvis al directori pujades, penjarem un fitxer qualsevol i veurem com
la pestanya de transferències satisfactòries augmenta.
A Filezilla podem enregistrar els llocs ftp, guardarem aquest ftp amb les des de
del usuari ftp i ens connectarem
Títol:FreeTelecom

Crèdit de Síntesi
Un cop connectats anem a crear un directori per verificar els permisos que té.
Per fer-ho anem a Servidor- introducir comando personalizado
Si hem llegir la llista de comandes sabrem que amb MKD es poden crear directoris:
Actualitzem la vista i ens ha d'aparèixer la carpeta
Tenim tots els permisos sobre aquest usuari. Més endavant farem servir aquest
usuari per la configuració de Joomla.
Títol:FreeTelecom

Crèdit de Síntesi
Referències:
http://www.proftpd.org/localsite/Userguide/linked/userguide.html
http://www.proftpd.org/docs/howto/FTP.html
Títol:FreeTelecom

Crèdit de Síntesi
Manual d'instal·lació Joomla
Presentació
Joomla! és un sistema de gestió de continguts (CMS) de codi obert construït amb
PHP sota llicència GPL que permet crear llocs webs i aplicacions web.
Un CMS no és més que un conjunt de programari que permeten organitzar i
facilitar la creació de documents i altres continguts de forma compartida, en aquest
cas Joomla és una aplicació web que es recolza en MySQL per tal de gestionar llocs
web i continguts web.
S'inclouen característiques com: fer caché de pàgines per millorar el rendiment,
indexació web, feed RSS, versions imprimibles de pàgines, flaix amb notícies, blogs,
fòrums, polls (enquestes), calendaris, recerca en el lloc web, e internacionalització
del llenguatge.
Objectiu
Implementació d'un lloc web associat al nostre domini que sigui accessible des de
l'exterior i que permeti publicar noticies, gestionar als usuaris, crear incidències,
contactar amb l'administrador...
Requeriments
➢ Programari:
MySQL 5
Apache 2.2
PHP 5.x
Joomla Spanish
➢ Maquinari:
Servidor DMZ : Joomla 65/229
Títol: FreeTelecom

Crèdit de Síntesi
Procediment:
Primer de tot instal·lem els requeriments de software: mysql, apache i php
També es podria fer amb LAMP, però és més interessant així, obrim un terminal i
executem apt-get install mysql-server apache2 php5 php5-mysql
Durant la instal·lació ens demana la contrasenya de mysql per al usuari root
Títol: FreeTelecom

Crèdit de Síntesi
Un cop finalitzada la instal·lació d'aquests paquets editem el fitxer
/etc/apache2/conf.d/fqdn , aquest fitxer serveix per indicar on es troba instal·lat
apache, si no existeix el creem. El contingut ha de ser
ServerName localhost
Editem el fixer /etc/apache2/sites-available/default per tal d'agregar la línia que
indicarà a l'apache que ha de fet servir index.php com a pàgina d'inici
DirectoryIndex index.php index.html index.htm
Per verificar la instal·lació de php creem el fitxer /var/www/inici.php el qual
contindrà:
<? phpinfo(); ?>
Títol: FreeTelecom

Crèdit de Síntesi
Accedirem al fitxer pel navegador per verificar que el mètode de php s'executa
sense errors:
Cal crear el directori Joomla al directori d'apache:
mkdir /var/www/Joomla
El següent pas es descarregar JoomlaSpanish de la web oficial, anirem llavors al
directori on s'hagi descarregat i el copiarem al directori d'apache Joomla que acabem
de crear.
cp '/home/administrator/Descargas/Joomla_1.5.23-Spanish-pack_completo.zip'
/var/www/Joomla/
Un cop copiat, ens situem al directori i el descomprimim
cd /var/www/Joomla
unzip /var/www/Joomla/Joomla_1.5.23-Spanish-pack_completo.zip
Títol: FreeTelecom

Crèdit de Síntesi
Si fem un ls -l veurem que apache no és el propietari dels arxius que acabem de
descomprimir, llavors és necessari canviar la propietat de tots els arxius , aquests han
de ser propietat del usuari apache essent aquest www-data del grup www-data
Com que són molts els fitxers crearem una variable que els contingui tots i amb un
mini script de bash canviarem la propietat, així doncs a un terminal escrivim:
cd /var/www/Joomla
PLACES='
administrator/backups
administrator/components
administrator/modules
administrator/templates
cache
components
images
images/banners
images/stories
language
plugins
media
modules
templates
'
Amb això hem creat la varaible PLACES, ara la recorrem amb un for de bash i li
assignem els permisos.
De nou al terminal escrivim:
for i in $PLACES; do sudo chown -R www-data:www-data $i; done
Per poder operar bé amb tots els fitxers hem de canviar els permisos. Als tots els
fitxers que pengen de /var/www/Joomla els hi posarem 644, per fer-ho al terminal
escriure'm:
Títol: FreeTelecom

Crèdit de Síntesi
find . -type f -exec chmod 644 {} ;
Als directoris els hi posarem els permisos 755
find . -type d -exec chmod 755 {} ;
Ara crearem la base de dades per a joomla, llavors en un terminal d'usuari
escriurem (ens demanarà la contrasenya de la instal·lació) :
mysqladmin -u root -p create joomladb
Ens connectem a mysql i creem al usuari admin que tindrà tots els privilegis sobre
la bbdd de joomladb
Títol: FreeTelecom

Crèdit de Síntesi
Ara podem accedir al instalador web de joomla per mi
Al passar a la següent plana podem veure com el fitxer configuaration.php surt
com a no escribible
No és cap error en tant que la configuració encara no s'ha creat, aquest fitxer no
existeix de moment però si ens molesta el que podem fer és crear-lo a mà
Títol: FreeTelecom

Crèdit de Síntesi
Per evitar que ens surti l'error de permís d'escriptura sobre php farem les
comandes:
# touch /var/www/Joomla/configuration.php
# chown www-data:www-data /var/www/Joomla
# chown www-data:www-data /var/www/Joomla/configuration.php
# chmod 644 /var/www/Joomla/configuration.php
tornem a carregar la web 127.0.0.1/Joomla
La següent plana és només la llicència, està bé llegir-se-la, és GNU/GPL
Títol: FreeTelecom

Crèdit de Síntesi
En aquesta plana posarem al usuari admin o al usuari admin atès que ambdos
tenen tots els privilegis sobre la bases de dades joomladb
La capa FTP de Joomla és molt útil per importar mòduls, components, plantilles,
cal però tenir un servidor FTP i un usuari per habilitar-la, nosaltres ja vam crear el
Títol: FreeTelecom

Crèdit de Síntesi
servidor a la DMZ, en aquest mateix equip, per tant no hi ha cap problema per
habilitar-la.
Ara ens demanarà uns paramètres generals d'aquest joomla com son el nom de
lloc i les dades de l'administrador del lloc; és interessant instal·la les dades d'exemple
atès que t'omplen el lloc i resulta més fàcil entendre com funciona la gestió interna.
Ja està instal·lat, cal però eliminar el directori /var/www/installation amb:
rm -R /var/www/installation
Títol: FreeTelecom

Crèdit de Síntesi
Ara que ja tenim el nostre Joomla creat i operatiu, podem fer login com
administrador i començar a configurar-lo al nostre gust.
Títol: FreeTelecom

Crèdit de Síntesi
Una de les seves grans característiques és la possibilitat d'importar mòduls ja creats
que ens serviran per personalitzar la nostra web.
Per administrar el lloc web ens dirigirem a la url:
http://127.0.0.1/joomla/administrator
http://cicles.es.no-iop.org/joomla//administrator
Per accedir al lloc web anirem a:
http://127.0.0.1/joomla/
http://cicles.es.no-iop.org/joomla/
Per poder accedir des de fora hem obert el port 80 al router
i hem re-dirigit el tràfic a IPCOP
Títol: FreeTelecom

Crèdit de Síntesi
Nosaltres hem aprofitat el domini ciclesies.no-ip.org per crear el nostre lloc web el
qual conté la típica plana d'accés i d'enregistrament al lloc, instal·lada per defecte:
Abans del Login Després del Login
Títol: FreeTelecom

Crèdit de Síntesi
Hem vinculat el RSS que
hem volgut al nostre
lloc fent servir un
modul que incorpora
anomenat mod_slick_rss
Hem importat per mitjà
de la capa FTP un
mòdul de calendari que
és pot vincular a Google
Calendar per a la pàgina
principal de lloc web
Títol: FreeTelecom

Crèdit de Síntesi
S'ha afegit un gestor d'incidencies,anomenat Issue-Manager, només per als usuaris
registrats,
Aquest és comunica amb la part de gestor situada a la plana del administrador de
Joomla
Títol: FreeTelecom

Crèdit de Síntesi
Segons el perfil d'usuari es podran escriure articles, tant si ets autor com editor
L'administrador crea les seccions i categories in els usuaris poden escriure els
articles.
Títol: FreeTelecom

Crèdit de Síntesi
L'aparença del lloc l'hem gestionat per mitjà d'una plantilla i modificant el codi
html i el css per adaptar-la a les nostres necessitats.
La pàgina principal té aquest aspecte
Títol: FreeTelecom

Crèdit de Síntesi
En quant a configuració podrem en qualsevol moment consultar-la en el gestor de
configuració, i veure tant la gestió d'usuaris
Com les dades de configuració interna
Tipus d'Usuaris i Permisos d'Accés
Es poden dividir en dues categories principals:
– Invitats, usuaris que navegant troben el lloc web. Depenen de com esta
configurat el lloc, podran navegar lliurement pel contingut o tenir restriccions
d'accés.
– Usuaris Registrats, amb nom d'usuari i contrasenya, els hi permet accedir a la
part restringida del lloc.
Títol: FreeTelecom

Crèdit de Síntesi
Els Usuaris Registrats es divideixen en 2 grups:
– Usuaris del Lloc (Front-end), posseeixen privilegis depenent del nivell que son:
Usuari Accessos i Permisos
Registrat
No pot crear, editar o publicar contingut en un lloc Joomla!. Pot enviar nous
Enllaços Web per a ser publicats i pot tenir accés a continguts restringits per a
invitats.
Autor
Poden crear el seu propi contingut, especificar aspectes de com es presentara el
contingut e indicar la data en la que es tindria que publicar el material.
Editor
Tenen les possibilitats del autor, i a més la capacitat de editar el contingut dels
seus propis articles i de qualsevol altre Autor.
Supervisor
Poden executar totes les tasques dels Autors, Editors, i a més tenen la capacitat
de publicar un article.
– Usuaris del Administrador (Back-end), tenen més privilegis que els anteriors i
també varien per nivell:
Usuari Accés i Permisos
Mànager
Tenen els permisos d'un Supervisor però amb accés al panel d'administració del
Back-end. En aquest panel tenen accés a tots els controls associats al contingut,
però no tenen capacitat per a canviar les plantilles, o afegir o eliminar extensions
de Joomla!. Tampoc poden afegir usuaris o alterar els perfils d'usuaris existents.
Administrador
A més de totes les activitats relacionades amb el contingut que pot executar un
Mànager, poden afegir o eliminar extensions al lloc web, canviar plantilles o
alterar el disseny de les pàgines, i fins i tot alterar els perfils d'usuari a un nivell
igual o inferior al seu. No poden editar perfils de Súper-Administrador o canviar
certes característiques globals del lloc web. De fet ni veuran als usuaris de tipus
Súper-Administrador.
Súper-Administrador
Tenen el mateix poder que un “root” en un sistema tradicional Linux i disposen
de possibilitats il·limitades per a executar totes les funcions administratives de
Joomla!. Nomes ells tenen la capacitat de crear nous usuaris amb els permisos de
Súper-Administrador o assignar permís a usuaris ja existents.
L'únic usuari que existeix després d'una instal·lació de Joomla! Es el Súper-Administrador. Aquesta
es la compta “admin” creada durant el proces d'instal·lació.
Referències:
http://ayudajoomla.com/joomla/tutoriales/248-instalar-joomla-en-linux-ubuntu-
con-lamp.html
Títol: FreeTelecom

Crèdit de Síntesi
Manual d'instal·lació Servidor Correu POSTFIX a la DMZ
Presentació
El servidor de correu és un dels serveis més útils dintre d'una empresa atès que és
una eina de comunicació ràpida, eficient i econòmica. Es compon de tres parts el MTA
(Mail Transfer Agent), el MDA (Mail Delivery Agent) i el MUA (Mail User Agent).
El primer, MTA, és l'encarregat d'enviar el correu des d'ell mateix cap a un altre
MTA, fent servir el protocol SMTP (port 25,465 segur), es per això que també els
anomenem servidors SMTP o servidor de correu sortint, alguns exemples són Postfix,
Sendmail i Exim
El protocol SMTP es regula de la següent manera:
• Accepta missatges entrants i comprova les adreces d'aquest
• Si son adreces locals, és a dir ell és el destí, emmagatzema el missatge per
la posterior recuperació
• Si no és una adreça local estableix una connexió punt a punt amb un altre
servidor smpt i li envia el missatge, així fins que arribi al destí, és a dir que
l'adreça del missatge es correspongui al domini local del servidor
El segon, MDA, és la part del servidor que s'encarrega de rebre i d'emmagatzemar
els missatges així com de redirigir-los a les bústies dels usuaris. També se'ls anomena
servidors de correu entrant. Utilitza el protocol POP3 (port 110,995 segur) o IMAP
(port143, 993 segur). Els MUA's més coneguts són el Courier, Cyrus i Dovecot.
La diferència entre POP3 i IMAP radica en aquests aspectes:
• POP3 permet llegir el missatges encara que no estiguem connectats a la
xarxa ja que descarrega els missatges a la màquina local, alliberant així
espai de la bústia del servidor (s'eliminen)
• POP3 necessita un client de correu instal·lat localment per poder accedir a
la bústia, escriure missatges...
• IMAP no descarrega a la maquina local els missatges sinó només les
capçaleres, la visualització dels missatges es fa de forma remota, llavors el
correu sempre està a la mateixa bústia del usuari per tant es pot consultar
des de diverses màquines, no és imprescindible un client de correu local.
• Amb l'IMAP el correu es guarda fins que l'usuari l'elimini, no quan es
descarreguen les capçaleres d'aquest
El tercer, el MUA , és el frontend de l'usuari, la part que funciona com un client
atès que permet a l'usuari escriure i llegir els missatges, molt sovint són webs com
poden ser rouncube, webmail, gmail...però també hi ha interfícies locals com ara
thunderbird, evolution o Outlook per als clients Windows
Servidor DMZ: Postfix 84/229
Títol: FreeTelecom

Crèdit de Síntesi
Així doncs uns servidor de correu funciona de la següent manera:
1. El client de correu, MUA, envia el missatge escrit per l'usuari al servidor MTA
més proper
2. Els servidor SMTP, rep el missatge, comprova l'adreça de destí i si no es
correspon a una de les seves destinacions, establirà una connexió punt a
punt amb un altre servidor smtp i reexpedirà el missatge (hi hauran
consultes dns per resoldre el servidor smtp adient)
3. El punt 2 finalitza quan el missatge arriba al servidor smtp de la zona,
aquest com tots, rebrà el missatge, corroborarà que l'adreça forma part de
les seves destinacions i el reexpedirà al MDA
4. El MDA rebrà el missatge, mirarà a quin usuari correspon aquella adreça de
destí i col·locarà el missatge a la cua de la bústia d'aquell usuari
5. Finalment, el client MUA del usuari destinatari accedirà a la Bustia i
mostrarà per pantalla (frontend) el missatge rebut, aquest permetrà fer les
operacions bàsiques: respondre, esborrar, classificar..
Postfix és el que anomenen un MTA (Mail Transfer agent), molt configurable i
estable, que permet l'autenticació d'usuaris amb seguretat (sasl,tls), la implantació
d'antivirus, antispam, filtres de correu (AmavisNew, Spamassasin, ClamAv..)
Títol: FreeTelecom

Crèdit de Síntesi
Objectiu
L'objectiu és crear el servidor de correu per al nostre domini, aquest estarà
format per dos servidors smpt un a la DMZ i un altre a la LAN, en aquesta secció
s'explicarà la instal·lació i configuració del servidor situat a la DMZ.
Les funcions que ha de complir aquest servidor són:
• Ha de permetre el enviar correu a l'exterior, per això serà necessari fer la
reexpedició de correu cap un altre servidor smpt situat al nùbol,
concretament el servidor smtp de gmail, caldrà obrir el port 25 (smpt) del
encaminador de la xarxa.
• Ha de rebre el correu de l'exterior i reexpedir-lo al servidor smpt situat a la
LAN, cal fer una regla d'encaminament al router i al IPCOP atès que estem a
la DMZ
• Recordem que estem darrere del firewall ip cop, per tant serà necessari fer
un dmz pinhole per permetre la comunicació des de la DMZ cap a la LAN
• El filtratge de correu és realitza al ipcop i a la LAN, aquest servidor no
incorpora spamassasin, ni clamav, ni amavisnew.
Requeriments
➢ Programari:
Postfix
libsasl2
libsasl2-modules
➢ Maquinari:
Procediment:
Les dades del nostre servidor smtp de la DMZ són:
◦ Hostname : srvmail
◦ Domini: dmzcicles.ies
◦ IP: 172.16.0.8
Títol: FreeTelecom

Crèdit de Síntesi
El primer que hem de fer és obrir un terminal i escriure apt-get install postfix
Com podem veure la instal·lació de postfix és incompatible amb el MTA instal·lat
per defecte al sistema operatiu, Exim es desinstal·larà.
També podem observar que en suggereix un conjunt de paquets interessants com
son postfix-ldap o postfix-mysql, paquets que utilitzarem més endavant per autenticar
usuaris.
Títol: FreeTelecom

Crèdit de Síntesi
S'ens obrirà l'assistent de configuració, i ens preguntarà quin tipus de servidor de
correu volem muntar, nosaltres escollirem “Internet con smarthost” atès que volem
fer servir el servidor smpt de gmail com a intermediari per enviar el nostre correu
sortint.
Un smarthost és un tipus de servidor reenviador (relay mail) que permet fer de
pont entre dos servidors smtp, agafant el correu sortint de la nostra màquina i re-
enviant-lo al smtp final, cal però que la nostra màquina tingui credencials vàlides al
smarthost i configuri la autenticació per SMTP-AUTH i/o POP
Títol: FreeTelecom

Crèdit de Síntesi
Ens pregunta pel nombre de domini de la màquina, FQDN.
Ara li hem d'especificar qui serà el nostre smarthost, escriurem
[smtp.gmail.com]:587 ja que aquest és el servidor smtp de gmail que treballa pel port
587
Val a dir que aquest assistent el podem tornar a invocar amb més opcions
Títol: FreeTelecom

Crèdit de Síntesi
executant dpkg-reconfigure o bé podem anar directament al fitxer de configuració i
realitzar allà els canvis, que és el que nosaltres farem.
Per connectar amb els servidor smtp de gmail cal fer-ho per autenticació segura
és per aquest motiu que instal·larem els mòduls de sasl: apt-get install libsasl2-
modules libsasl2-2
Nosaltres ja el teníem instal·lat.
Altrament, la comunicació amb gmail es basa en certificats autenticats , així
doncs, serà necessari generar-ne un o bé instal·lar ca-certificates per extreure el
certificat que necessitem
apt-get install ca-certificate
Els certificats que farem servir es troben a /etc/ssl/certs/
• Thawte_Premium_Server_CA.pem
• Equifax_Secure_CA.pem
Títol: FreeTelecom

Crèdit de Síntesi
Els dos fitxers principals de configuració del postfix són main.cf i master.cf,
aquests es troben a /etc/postfix.
Començarem exportant els certificats necessaris del servidor de gmail amb
aquestes comandes:
cat /etc/ssl/certs/Thawte_Premium_Server_CA.pem | tee -a /etc/postfix/cacert.pem
cat /etc/ssl/certs/Equifax_ _Secure_CA.pem | tee -a /etc/postfix/cacert.pem
De fet, amb només l'últim ens bastaria però no arriscarem i exportarem ambdós.
Hem de crear uns quant arxius, el primer serà el fitxer necessari pel smarthost. El
nom d'aquest fitxer serà /etc/postfix/sasl_password i tindrà aquest contingut:
[smtp.gmail.com]:587 cicles.ies@gmail.com:cicles_super3
Com es pot veure el que estem fent es assignar unes credencials vàlides per al
nostre servidor smtp.gmail.com, on cicles.ies@gmail.com es correspon a una adreça
real de gmail i cicles_super3 és la paraula de pas; evidentment haurem de protegir
aquest fitxer amb els permisos adients per tal què ningú pugui llegir el seu contingut.
chmod 400 /etc/postfix/sasl/sasl_passwd
Un altre fitxer que crearem serà la taula transport, aquest fitxer l'utilitzarà
postfix per fer el reenviament al servidor smpt que es correspongui a un determinat
domini. El nom d'aquest fitxer serà /etc/postfix/transport i el seu contingut serà:
gmail.com smtp:[smtp.gmail.com]:587
cicles.ies relay:[mandrivapdc.cicles.ies]
ciclesies.no-ip.org relay:[mandrivapdc.cicles.ies]
Els comptes de correu del servidor smtp de la LAN són del domini ciclesies.no-
ip.org, ja s'explicarà com és crea un domini no-ip quan tractem el servidor de la LAN,
gràcies al fitxer transport, postfix sap on ha de reenviar el missatge mirant el domini
al qual pertany l'adreça de destí. Si no s'especifica el port s'agafa el port per defecte
25.
El fitxer aliases serveix per mapejar al usuaris existents al servidor, nosaltres no
volem tenir als usuaris en la DMZ sinó que els tindrem a la LAN i farem que aquest
servidor mapeji als usuaris remotament per mitjà d'un fitxer anomenat
/etc/postfix/ldap-aliases.cf el qual contindrà la consulta a ldap:
server_host = 10.0.0.11
search_base = ou=People,dc=cicles,dc=ies
query_filter = (&(objectClass=mailAccount)(mailalias=%s)(mailenable=OK))
result_attribute = mail
version = 3
Títol: FreeTelecom

Crèdit de Síntesi
La IP del Server_Host és la que es correspon al servidor ldap situat a la LAN, la
consulta ens retorna l'adreça de mail dels usuaris donats d'alta al servidor de correu
de la LAN, si ens parem a llegir-la s'entén prou bé el que fa.
Hem de tenir en compte que el paràmetre alias_map no pot quedar buit, si no fem
la consulta a ldap podem fer que apunti al fitxer /etc/aliases el qual conté els usuaris
dels sistema.
Un cop creats tots els fitxers, cal però, transformar-los a un format que postfix
pugui entendre, cal que xifrem els fitxers que són propis del sistema, en el nostre cas
transports i sasl_passwd, això ho farem amb la comanda postmap des d'un terminal.
postmap /etc/postfix/sasl/sasl_passwd
postmap /etc/postfix/transport
Cada cop que es modifiqui un fitxer serà necessari executar la comanda postamp
sobre el fitxer.
Obrim amb qualsevol editor el fitxer main.cf ubicat a /etc/postfix, i afegim els
paràmetres necessaris, els ressaltarem en blau per què es vegin els canvis:
• Autenticació amb gmail, amb els paràmetres smtp_sasl*
• Xarxes a les quals s'ha de reenviar el correu ,paràmetre mynetworks
• Forçarem el reenviament cap al servidor situat a la LAN, el qual s'anomena
mandrivapdc.cicles.ies
• Afegirem els dominis de la LAN a la variable mynetworks
• Vincles als fitxers alias i transport
# See /usr/share/postfix/main.cf.dist for a commented, more complete version
# Debian specific: Specifying a file name will cause the first
# line of that file to be used as the name. The Debian default
# is /etc/mailname.
#myorigin = /etc/mailname
smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU)
biff = no
# appending .domain is the MUA's job.
#No afegim .domini a les adreces i així evitem ésser font d'spam
append_dot_mydomain = no
# Uncomment the next line to generate "delayed mail" warnings
#delay_warning_time = 4h
readme_directory = no
#si l'habilitem ens creara la documentació de postfix al directori
Títol: FreeTelecom

Crèdit de Síntesi
# TLS parameters
smtpd_tls_cert_file=/etc/ssl/certs/ssl-cert-snakeoil.pem
smtpd_tls_key_file=/etc/ssl/private/ssl-cert-snakeoil.key
smtpd_use_tls=yes
smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache
smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache
# See /usr/share/doc/postfix/TLS_README.gz in the postfix-doc package for
# information on enabling SSL in the smtp client.
myhostname = srvmail
alias_maps = hash:/etc/aliases
# el contingut d'aquest fitxer és el fqdn d'aquesta màquina
#alias_database = hash:/etc/aliases
#Comentem aquesta linea perque hem definit el alias_maps amb ldap
myorigin = /etc/mailname
# el nom de la variable es prou clar, indica des d'on surt el missate, és a dir quin servidor smpt som
mydestination = srvmail.dmzcicles.ies, srvmail, localhost.localdomain, localhost, ciclesies.no-
ip.org, mandrivapdc.cicles.ies, mandrivapdc
# A mydestination cal declarar els dominis sobre els qual tenim accés, per tal de fer arribar el correu i no reenviar-lo
cap enfora
relayhost = [smtp.gmail.com]:587
#definició del smarthost apuntant a gmail
mynetworks = 172.16.0.0/16 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128 10.0.0.0/8
#indiquem a quines xarxes tenim accés per reenviar el correu, és similar al mydestinations però a nivell de ip
#mailbox_command = procmail -a "$EXTENSION"
#comentem o esborrem la linea de mailbox_command
mailbox_size_limit = 0
recipient_delimiter = +
inet_interfaces = all
#autenticació GMAIL
smtp_sasl_auth_enable = yes
smtp_sasl_password_maps = hash:/etc/postfix/sasl/sasl_passwd
#és important que verifiquem que el fitxer l'hem creat en aquesta ruta, aquest fitxer ha estat xifrat amb postmap
smtp_sasl_security_options = noanonymous
smtp_tls_CAfile = /etc/postfix/cacert.pem
#és important que verifiquem que el fitxer l'hem creat en aquesta ruta
smtp_use_tls=yes
#Reenviament cap a la lan
relay_domain = mandrivapdc.cicles.ies
luser_relay = catchall
#luser_relay li indica a postfix que ha de fer en cas de que el usuari no existeixi en el sistema, ni en cap base de
dades, per defecte el comportament es rebutjar el missatge però amb catchall l'emmagatzema
local_recipient_maps =
#cadena buida vol dir que tot el tràfic que arribi es reenvia segons la taula transport
#vincle als fitxers del sistema i ldap
transport_maps = hash:/etc/postfix/transport
#és important que verifiquem que el fitxer l'hem creat en aquesta ruta, aquest fitxer ha estat xifrat amb postmap
alias_maps = ldap:/etc/postfix/ldap-aliases.cf
Títol: FreeTelecom

Crèdit de Síntesi
La comanda postconf -n ens mostrarà com queda el nostre fitxer, per què els
canvis s'apliquin cal reiniciar el servei amb /etc/init.d/postfix restart o bé, si el
servei ja estava en execució podem només recarregar amb /etc/init.d/postfix reload.
Si la sintaxis no és correcta ens mostrarà un missatge d'error.
Reiniciem el servei i provem d'enviar un missatge de correu al exterior.
Títol: FreeTelecom

Crèdit de Síntesi
Els fitxers de log es troben a /var/log/mail.err, /var/log/mail.warn,
/var/log/mail.log i /var/log/mail.info
Podem veure que no hi ha res al fitxer d'errors ni de warning. Al fitxer mail.log podem
veure com s'ha realitzat la operació
Encara que a la darrera línia posi removed, no ens hem d'espantar això vol dir que
s'ha eliminat de la cua de missatges perquè s'ha enviat correctament, anem a
comprovar-ho a la bústia de destí.
Podem veure que el mail ha estat enviat des de la adreça de gmail declarada al
fitxer /etc/postfix/sasl_passwd, és a dir cicles.ies@gmail.com, el servidor smtp que
Títol: FreeTelecom

Crèdit de Síntesi
l'envia i el firma també és el servidor de gmail
Podríem intentar solucionar aquest mapeig amb la creació d'alguns fitxers que
serveixen per canviar les capçaleres dels missatges, no ens ha donat temps per
aprofundir en aquest aspecte però si esteu interessats podeu cercar informació sobre
el fitxer “generic”, “canonical_map”, “relay_sender_transport”.
Per exemple el fitxer “generic” per al usuaris del sistema contindrà això:
root@srvmail.dmzcicles.ies cicles.ies@gmail.com
user@srvmail.dmzcicles.ies cicles.ies@gmail.com
Altrament es pot configurar gmail per a que envii els correus com si fos una altre
usuari, per fer-ho farem login a gmail amb el compte cicles.ies@gmail.com i
vincularem una adreça del nostre servidor smpt
Malauradament només ens permet
afegir una adreça.
Títol: FreeTelecom

Ldap free nas_postfix

Recommandé

Recommandé

Contenu connexe

Similaire à Ldap free nas_postfix

Similaire à Ldap free nas_postfix (20)

Ldap free nas_postfix