octubre 30, 2020, 09:55:30 pm

Noticias:

Para hacer tu consulta: debes registrarte y hacer un nuevo tema en la sección que consideres más adecuada. Ver: Acerca de este Foro.


Resultados de las pruebas Squid y Samba

Iniciado por pish, febrero 27, 2007, 05:10:45 pm

Tema anterior - Siguiente tema

pish

Pura vida gente!

Bueno acá les cuento los pormenores de las pruebas con squid y samba-pdc el viernes pasado
y de paso tengo un par de dudillas.

Con samba todo me fue de película.
Configuré el smb.conf para que funcionara como un pdc y de paso le incluí un script para
que las cuentas de máquinas se agreguen automáticamente.
También logré que se tuvieran perfiles móviles: me conecté con el usuario prueba1 desde
una pc con winxp y apliqué algunos cambios de escritorio además de crear algunas carpetas
allí en el escritorio. Me conecté desde otra pc también con winxp con ese usuario prueba1
y para mi sorpresa todas esas preferencias de escritorio se cargaron y las tuve al instante
además de que me mantuvo esas carpetas de escritorio creadas en la otra pc y sus
correspondientes archivos.
Pude mapear el grupo "Domain Admins" y asignarlo a ciertos usuarios con el fin de que
puedan tener privilegios de administración localmente en sus computadoras y así poder
instalar programas y otras cosas en sus estaciones de trabajo (esto fue una necesidad
específica que era obligatoria). Con samba todo fue un éxito.

La única pereza es tener que modificarle una clave de registro a las pc con winxp para
que puedan unirse al dominio: la clave "requiresignorseal" de NetLogon Parameters; pero
no es cosa del otro mundo.

Por otro lado vinieron las pruebas son el Squid.
Con el comando iptables hice el puente entre una tarjeta de red y la otra y funcionó
perfectamente. Luego, tenía varios documentos y manuales de squid impresos, pero para
mi sorpresa yo tengo el squid 2.6 y muchas de las opciones que
venían eran para versiones anteriores y el squid 2.6 ya no las reconocía; así que
comencé a romperme un poco más la cabeza para montarlo.
Una vez montado con el archivo de configuración default y un acl que reconociera la red
de área local procedí a probarlo conectándome desde una pc con winxp, pero era como si
el proxy no existiera, ni siquiera el archivo access.log reflejaba nada, estaba vacío.
Despúes de un par de tazas de café y ya como a las 3am procedí mejor a convertir el
proxy en un proxy transparente. Ejecuté el comando iptables con los parámetros requeridos
para redireccionar las solicitudes del puerto 80 al 3128. Además modifiqué la línea
respectiva en el squid.conf (http_port 192.168.0.1:3128 transparent) y voila!! ahora
sí el proxy se hizo presente y funcionó como debía además de ir llenando los archivos .log con la información pertinente.
Procedí a hacer algunas pruebas creando acls para denegar ciertas páginas y todo trabajó
perfecto. Probé el acceso a internet tanto con una pc con winxp y una con debian etch y
en ambas todo funcionó a las mil maravillas.
Acá también todo fue un éxito, nada más quedé con una dudilla que menciono a
continuación: lo único raro es que en la pc con winxp tuve que decirle al navegador que usara el
proxy para conectarse: No se supone que si el proxy es transparente a las máquinas cliente
ya no hay que configurarles nada?
A la pc con debian etch no tuve que configurarle nada.
Me encantaría saber si es que hay que configurar algo en el servidor proxy para que
no haya que configurarle nada a los navegadores de las máquinas cliente.
Tengo otra preguntilla (esto es ya una duda personal): es posible montar un servidor
proxy con squid si sólo se cuenta con 1 tarjeta de red?

En esta semana seguramente probaré integrarle el squidguard para ver cómo me va, ahí les
cuento cómo me fue.

Bueno, estas fueron las peripecias del viernes pasado y nuevamente muchas gracias por
la ayuda brindada en este sentido.
Cualquier sugerencia adicional que yo no haya considerado la apreciaré grandemente.

Un gran saludo :wink:

chaco

Algo no esta funcionando bien con el iptables en el nat para el proxy transparente, dado que en teoria con indicarles a la maquinas cliente el gateway, no habria que tocarla nada a el navegador.

Talvez podes tener un proxy creando una interfaz virtual, la cual se conectaria a la red interna.

PD:

Seria util que compartiera los archivos de configuracion dado que es un tema bastante recurrente
This is Unix-Land. In quiet nights, you can hear the Windows machines reboot"

pish

Gracias chaco!

Los archivos de configuración los tengo en la casa, apenas llegue los posteo acá en el foro. También voy a postear los comandos iptables que utilicé para ver si algo hice mal.

Pura vida :okas:

PD: por cierto, los perfiles móviles en samba los logré sin utilizar ldap. Quiero más adelante empaparme más de ldap para implementarlo junto con samba.

chaco

Asi harias la tarjeta de red virtual
en /etc/netwonking/interfaces
tenes que dejar :
auto eth0

iface eth0 inet static
        address La.ip.que.queres.tenga
        netmask la.mascara.que.queres
        network la.red.
        broadcast el broadcast


auto eth0:1
iface eth0:1 inet static
        address otra.ip
        netmask otra.mascara
        network otra.red
        broadcast otro.broadcast

un ejemplo:
auto eth0

iface eth0 inet static
        address 192.168.0.1
        netmask 255.255.255.0
        network 192.168.0.0
        broadcast 192.168.0.254


auto eth0:1
iface eth0:1 inet static
        address 192.168.1.1
        netmask 255.255.255.0
        network 192.168.1.0
        broadcast 192.168.1.254


luego:
ifdown eth0
ifup eth0
ifup eth0:1
This is Unix-Land. In quiet nights, you can hear the Windows machines reboot"

pish

Un millón de gracias!

Para terminarte de molestar: si se monta ese proxy usando la interfaz virtual de red, ya que sólo tendría 1 tarjeta de red: físicamente las terminales de la red estarían conectadas al mismo cpe o router del proxy?

Un saludo :wink:

chaco

Cita de: "pish"Un millón de gracias!

Para terminarte de molestar: si se monta ese proxy usando la interfaz virtual de red, ya que sólo tendría 1 tarjeta de red: físicamente las terminales de la red estarían conectadas al mismo cpe o router del proxy?

Un saludo :wink:

Si, aunque es casi una teoria dado que nunca he montado un proxy con una tarjeta virtual :)
This is Unix-Land. In quiet nights, you can hear the Windows machines reboot"

pish

Ok, estos fueron los comandos iptables que utilicé:
(eth0 es la interfaz conectada al internet, eth1 es la interfaz conectada a la lan).

1. Para puentear a eth0 con eth1 utilicé:
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

2. Para volver al proxy transparente utilicé:
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128
En el squid.conf las líneas cambiadas y agregadas fueron:
http_port 192.168.0.1:3128 transparent
visible_hostname localhost
acl redlocal src 192.168.0.0/255.255.255.0
http_access allow redlocal
http_access deny all

Nota: esa fue la configuración mínima que probé en el squid.conf

Saludos :wink:

chaco

Bueno, tambien seria bueno que pongas aqui el arquivo de samba :) Es un tema que mucha gente busca
This is Unix-Land. In quiet nights, you can hear the Windows machines reboot"

pish

Pura vida. Este es el archivo smb.conf

NOTA: no le quise implementar la opción de "netlogon" porque por ahora no va a ser necesario.

Cualquier sugerencia la agradeceré grandemente.

Un saludo :wink:

# /etc/samba/smb.conf
# archivo de configuracion de samba

[global]
# opciones generales
workgroup = home
netbios name = develop
server string = Samba PDC Version %v
socket options = TCP_NODELAY IPTOS_LOWDELAY SO_SNDBUF=8192 SO_RCVBUF=8192

# opciones para PDC
os level = 65
preferred master = yes
local master = yes
domain master = yes

# opciones de seguridad y conexion
security = user
encrypt passwords = yes
domain logons = yes
# comando para agregar el grupo Administradores de Dominio y ligarlo con mi grupo sambaadmins:
# net groupmap add rid=512 unixgroup=sambaadmins ntgroup="Domain Admins"
admin users = sambaadmins
log file = /var/log/samba/log.%m
log level = 2
max log size = 50
hosts allow = 127.0.0.1 192.168.0.0/255.255.255.0
interfaces = eth1
null passwords = no
hide unreadable = yes
hide dot files = yes
wins support = yes
name resolve order = wins lmhosts host bcast
dns proxy = no

# perfiles de usuario y carpeta personal
logon home = \\%L\%U\.profile
logon drive = H:
logon path = \\%L\profiles\%U

# scripts para agregar-borrar usuarios-maquinas
add user script = /usr/sbin/useradd -m %u
delete user script = /usr/sbin/userdel -r %u
add group script = /usr/sbin/groupadd %g
delete group script = /usr/sbin/groupdel %g
add user to group script = /usr/sbin/usermod -G %g %u
add machine script = /usr/sbin/useradd -s /bin/false -d /dev/null %u

# si se cambia el password samba, se actualiza el de linux automaticamente
unix password sync = yes
passwd program = /usr/bin/passwd %u
passwd chat = *Enter\snew\sUNIX\spassword:* %n\n *Retype\snew\sUNIX\spassword:* %n\n *password\supdated\ssuccessfully* .

unix charset = ISO8859-1

#===Recursos===
[homes]
path = /home/%U
comment = Home Directories
browseable = no
writeable = yes
valid users = %S
read only = no
guest ok = no
inherit permissions = yes

[profiles]
path = /home/samba/profiles
writeable = yes
browseable = no
default case = lower
preserve case = no
short preserve case = no
case sensitive = no
hide files = /desktop.ini/ntuser.ini/NTUSER.*/
create mask = 0600
directory mask = 0700
csc policy = disable

Buscar en el Foro: