Herramientas de usuario

Herramientas del sitio


public:guifinet:doc:recetas:guifinetservidorcompleto

Cómo Instalar y configurar un servidor completo guifi.net

¡¡¡¡ Documento en construcción !!!!

Servicios a instalar

Sistema base Debian o Ubuntu

Debian

La versión que vamos a instalar es la debian estable, a fecha 7/3/2010 es la 5.0.4, cuyo nombre en código es lenny. Se pueden encontrar instrucciones de instalación en http://www.debian.org/releases/stable/installmanual, para equipos actuales de 64 bits, seleccionar la opción AMD64.

Ubuntu

Utilizando el liveCD …

Particionado del disco

Durante la instalación pedirá que indiquemos las particiones a realizar, el particionado depende de las necesidades y del equipo del que se disponga, como ejemplo en el servidor de castello.guifi.net con 160GBytes se ha realizado el siguiente particionado:

mperez@castello:~$ df -k
S.ficheros         Bloques de 1K   Usado    Dispon Uso% Montado en
/dev/sda1             28834716    677244  26692748   3% /
tmpfs                  1037436         0   1037436   0% /lib/init/rw
udev                     10240       712      9528   7% /dev
tmpfs                  1037436         0   1037436   0% /dev/shm
/dev/sda6             57677500    184268  54563380   1% /copias
/dev/sda8             50980676   2537140  45853860   6% /home
/dev/sda5              3842376     73256   3573932   3% /tmp
/dev/sda2              4806936    703012   3859736  16% /var
/dev/sda7              4806904    351428   4211292   8% /var/cache/apt

Actualizar el sistema

Una vez instalado conviene actualizar los paquetes utilizando el Gestor de Actualizaciones del entorno gráfico o desde una consola mediante las órdenes:

apt-get update
apt-get upgrade

Instalar el servidor ssh

Para poder conectarse por ssh remotamente hay que instalar el servidor

apt-get install openssh-server

Activar el forwarding permanente

Si el servidor tiene que actuar como router hay que activar el forwarding.

Editar el fichero /etc/sysctl.conf y poner:

net.ipv4.ip_forward = 1

normalmente esta linea estará comentada, hay que descomentarla.

Esto hace que el forwarding se active al arrancar, si sólo queremos hacer una prueba hay que hacer:

echo "1" > /proc/sys/net/ipv4/ip_forward

Cortafuegos

Instalar el siguiente script (adaptandolo si es necesario) en /etc/network/if-up.d con el nombre firewall

#!/bin/sh
IPTABLES=/sbin/iptables

  # 1) Definir la norma de cada cadena básica
  $IPTABLES -P INPUT ACCEPT
  $IPTABLES -P FORWARD ACCEPT
  $IPTABLES -P OUTPUT ACCEPT

  $IPTABLES -F

  #$IPTABLES -t nat -A POSTROUTING -o eth0 -j SNAT --to 10.228.130.162
  $IPTABLES -t nat -A POSTROUTING -s 192.168.1.0/24 -d 0.0.0.0/0 -j SNAT --to 10.228.152.37

  # 2) Aceptar paquetes en estado establecido y relacionado
  $IPTABLES -A INPUT -i lo -j ACCEPT
  $IPTABLES -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

  $IPTABLES -I INPUT -p icmp -j ACCEPT

  $IPTABLES -A INPUT -m state --state NEW -p tcp --dport 22 -j ACCEPT
  $IPTABLES -A INPUT -m state --state NEW -p tcp --dport 25 -j ACCEPT
  $IPTABLES -A INPUT -m state --state NEW -p tcp --dport 53 -j ACCEPT
  $IPTABLES -A INPUT -m state --state NEW -p udp --dport 53 -j ACCEPT
  $IPTABLES -A INPUT -m state --state NEW -p tcp --dport 80 -j ACCEPT

  # Para el SNMP
  $IPTABLES -A INPUT -m state --state NEW -p udp --dport 161  -j ACCEPT

  # Para quagga
  $IPTABLES  -A INPUT -p 89 -j ACCEPT

  $IPTABLES -A INPUT -j DROP

y hacerlo ejecutable

chmod 755 firewall

Para parar el firewall hay que ejecutar:

iptables -F
iptables -F -t nat

Webmin

Descargar el fichero http://sourceforge.net/projects/webadmin/files/webmin/1.510/webmin_1.510_all.deb/download o la versión que corresponda (mirar en http://webmin.com/)

dpkg --install webmin_1.510_all.deb

Si existen fallos de dependencias, ejecutar:

apt-get -f install

Ahora ya se puede acceder a webmin con un navegador en la dirección https://localhost:10000/ o por internet o guifi.net en la dirección del servidor.

Se puede configurar el idioma de la interfaz de webmin en Webmin –> Cambio de Idioma y Tema

También se puede limitar el acceso en Webmin –> Configuración de Webmin –> Control de Acceso a IP

Si se ha puesto en marcha el cortafuegos y se quiere dar acceso desde fuera, hay que abrir el puerto 10000:

$IPTABLES -A INPUT -m state --state NEW -p tcp --dport 10000 -j ACCEPT

Videotutorial para instalar webmin en ubuntu 11.4

Servidor web Apache

root@ftp2000-desktop:~# apt-get install apache2
Leyendo lista de paquetes... Hecho
Creando árbol de dependencias       
Leyendo la información de estado... Hecho
Se instalaron de forma automática los siguientes paquetes y ya no son necesarios.
  linux-headers-2.6.31-14 linux-headers-2.6.31-14-generic
Utilice «apt-get autoremove» para eliminarlos.
Se instalarán los siguientes paquetes extras:
  apache2-mpm-worker apache2-utils apache2.2-bin apache2.2-common libapr1 libaprutil1 libaprutil1-dbd-sqlite3 libaprutil1-ldap
Paquetes sugeridos:
  apache2-doc apache2-suexec apache2-suexec-custom
Se instalarán los siguientes paquetes NUEVOS:
  apache2 apache2-mpm-worker apache2-utils apache2.2-bin apache2.2-common libapr1 libaprutil1 libaprutil1-dbd-sqlite3 libaprutil1-ldap
0 actualizados, 9 se instalarán, 0 para eliminar y 0 no actualizados.
Necesito descargar 2013kB de archivos.
Se utilizarán 6738kB de espacio de disco adicional después de esta operación.
¿Desea continuar [S/n]? 
Des:1 http://es.archive.ubuntu.com karmic/main libapr1 1.3.8-1 [116kB]
Des:2 http://es.archive.ubuntu.com karmic/main libaprutil1 1.3.9+dfsg-1ubuntu1 [91,1kB]                                                                                         
Des:3 http://es.archive.ubuntu.com karmic/main libaprutil1-dbd-sqlite3 1.3.9+dfsg-1ubuntu1 [27,5kB]
Des:4 http://es.archive.ubuntu.com karmic/main libaprutil1-ldap 1.3.9+dfsg-1ubuntu1 [25,2kB]
Des:5 http://es.archive.ubuntu.com karmic-updates/main apache2.2-bin 2.2.12-1ubuntu2.2 [1309kB]
Des:6 http://es.archive.ubuntu.com karmic-updates/main apache2-utils 2.2.12-1ubuntu2.2 [155kB]
Des:7 http://es.archive.ubuntu.com karmic-updates/main apache2.2-common 2.2.12-1ubuntu2.2 [285kB]
Des:8 http://es.archive.ubuntu.com karmic-updates/main apache2-mpm-worker 2.2.12-1ubuntu2.2 [2314B]
Des:9 http://es.archive.ubuntu.com karmic-updates/main apache2 2.2.12-1ubuntu2.2 [1426B]
Descargados 2013kB en 18s (111kB/s)
Seleccionando el paquete libapr1 previamente no seleccionado.
(Leyendo la base de datos ...  00%
152401 ficheros y directorios instalados actualmente.)
Desempaquetando libapr1 (de .../libapr1_1.3.8-1_i386.deb) ...
Seleccionando el paquete libaprutil1 previamente no seleccionado.
Desempaquetando libaprutil1 (de .../libaprutil1_1.3.9+dfsg-1ubuntu1_i386.deb) ...
Seleccionando el paquete libaprutil1-dbd-sqlite3 previamente no seleccionado.
Desempaquetando libaprutil1-dbd-sqlite3 (de .../libaprutil1-dbd-sqlite3_1.3.9+dfsg-1ubuntu1_i386.deb) ...
Seleccionando el paquete libaprutil1-ldap previamente no seleccionado.
Desempaquetando libaprutil1-ldap (de .../libaprutil1-ldap_1.3.9+dfsg-1ubuntu1_i386.deb) ...
Seleccionando el paquete apache2.2-bin previamente no seleccionado.
Desempaquetando apache2.2-bin (de .../apache2.2-bin_2.2.12-1ubuntu2.2_i386.deb) ...
Seleccionando el paquete apache2-utils previamente no seleccionado.
Desempaquetando apache2-utils (de .../apache2-utils_2.2.12-1ubuntu2.2_i386.deb) ...
Seleccionando el paquete apache2.2-common previamente no seleccionado.
Desempaquetando apache2.2-common (de .../apache2.2-common_2.2.12-1ubuntu2.2_all.deb) ...
Seleccionando el paquete apache2-mpm-worker previamente no seleccionado.
Desempaquetando apache2-mpm-worker (de .../apache2-mpm-worker_2.2.12-1ubuntu2.2_all.deb) ...
Seleccionando el paquete apache2 previamente no seleccionado.
Desempaquetando apache2 (de .../apache2_2.2.12-1ubuntu2.2_all.deb) ...
Procesando disparadores para man-db ...
Procesando disparadores para ufw ...
Procesando disparadores para ureadahead ...
Configurando libapr1 (1.3.8-1) ...

Configurando libaprutil1 (1.3.9+dfsg-1ubuntu1) ...

Configurando libaprutil1-dbd-sqlite3 (1.3.9+dfsg-1ubuntu1) ...
Configurando libaprutil1-ldap (1.3.9+dfsg-1ubuntu1) ...
Configurando apache2.2-bin (2.2.12-1ubuntu2.2) ...
Configurando apache2-utils (2.2.12-1ubuntu2.2) ...
Configurando apache2.2-common (2.2.12-1ubuntu2.2) ...
Enabling site default.
Enabling module alias.
Enabling module autoindex.
Enabling module dir.
Enabling module env.
Enabling module mime.
Enabling module negotiation.
Enabling module setenvif.
Enabling module status.
Enabling module auth_basic.
Enabling module deflate.
Enabling module authz_default.
Enabling module authz_user.
Enabling module authz_groupfile.
Enabling module authn_file.
Enabling module authz_host.

Configurando apache2-mpm-worker (2.2.12-1ubuntu2.2) ...
 * Starting web server apache2                                                                                                                                                   apache2: Could not reliably determine the server's fully qualified domain name, using 127.0.1.1 for ServerName
                                                                                                                                                                          [ OK ]

Configurando apache2 (2.2.12-1ubuntu2.2) ...

Procesando disparadores para libc-bin ...
ldconfig deferred processing now taking place

Falta hacer lo del certificado que indican en http://guifi.net/node/9502, ??? es necesario????

proxy cache / web cache

Siguiendo los pasos de http://guifi.net/node/9502 y http://guifi.net/ca/proxy.

root@ftp2000-desktop:~# apt-get install squid
Leyendo lista de paquetes... Hecho
Creando árbol de dependencias       
Leyendo la información de estado... Hecho
Se instalaron de forma automática los siguientes paquetes y ya no son necesarios.
  linux-headers-2.6.31-14 linux-headers-2.6.31-14-generic
Utilice «apt-get autoremove» para eliminarlos.
Se instalarán los siguientes paquetes extras:
  squid-common squid-langpack
Paquetes sugeridos:
  squidclient squid-cgi logcheck-database resolvconf winbind
Se instalarán los siguientes paquetes NUEVOS:
  squid squid-common squid-langpack
0 actualizados, 3 se instalarán, 0 para eliminar y 0 no actualizados.
Necesito descargar 1346kB de archivos.
Se utilizarán 8651kB de espacio de disco adicional después de esta operación.
¿Desea continuar [S/n]? 
Des:1 http://es.archive.ubuntu.com karmic/main squid-langpack 3.HEAD.20090706-1ubuntu1 [230kB]
Des:2 http://es.archive.ubuntu.com karmic-updates/main squid-common 2.7.STABLE6-2ubuntu2.2 [352kB]                                                                              
Des:3 http://es.archive.ubuntu.com karmic-updates/main squid 2.7.STABLE6-2ubuntu2.2 [764kB]
Descargados 1346kB en 17s (78,1kB/s)
Preconfigurando paquetes ...
Seleccionando el paquete squid-langpack previamente no seleccionado.
(Leyendo la base de datos ...  00%
152972 ficheros y directorios instalados actualmente.)
Desempaquetando squid-langpack (de .../squid-langpack_3.HEAD.20090706-1ubuntu1_all.deb) ...
Seleccionando el paquete squid-common previamente no seleccionado.
Desempaquetando squid-common (de .../squid-common_2.7.STABLE6-2ubuntu2.2_all.deb) ...
Seleccionando el paquete squid previamente no seleccionado.
Desempaquetando squid (de .../squid_2.7.STABLE6-2ubuntu2.2_i386.deb) ...
Procesando disparadores para ureadahead ...
Procesando disparadores para man-db ...
Configurando squid-langpack (3.HEAD.20090706-1ubuntu1) ...
Configurando squid-common (2.7.STABLE6-2ubuntu2.2) ...

Configurando squid (2.7.STABLE6-2ubuntu2.2) ...
Creating squid spool directory structure
2010/03/18 14:01:15| Creating Swap Directories
 * Restarting Squid HTTP proxy squid                                       [ OK ] 

Configuración utilizando webmin

Desde un terminal crear el directorio /usr/etc/passwd:

mkdir /usr/etc
touch /usr/etc/passwd

Acceder con el navegador a webmin en https://127.0.0.1:10000/ o https://ipDelServidor:10000/ y acceder a Servidores → Squid - Servidor Proxy. Si esta opción no aparece es porque no está actualizada la lista de módulos, seleccionando Refresh Modules debería aparecer

|

Seleccionar la opción Programas de Autenticación y poner los siguietes valores:

Programa de autenticación básica 	/usr/lib/squid/ncsa_auth /usr/etc/passwd
Número de programas de autentificación 	5
Tiempo de caché de autentificación 	2    horas
Hechizo de autentificación  	        Squid proxy-caching web server

Al darle al botón Salvar se vuelve al meú de configuración de squid. Ahora hay que seleccionar la opción Control de Acceso y pulsar, en Listas de control de acceso, al final, el botón Crear nueva ACL de tipo Autenticación externa, como se indica en la siguiente figura:

y en el menú Autenticación externa, poner en Nombre ACL: usuaris_autenticats

En la pestaña Restricciones de proxy, pulsar sobre Añadir restricción proxy y poner los valores que se indican en la figura y pulsar el botón Salvar

En la lista se ha de bajar la opción Denegar all a l'última posición, tal como se muestra en la figura

Por último hay que pulsar el enlace «Aplicar Cambios» que aparece en la parte superior derecha.

Otros

  • QoS: tc??
  • servidor de túneles: Openvpn
  • Servidor voip y videoconferencia: Asterisk
  • Servidor de gráficas guifi.net
  • Autenticación: Free Radious
  • DNS: PowerDNS?
  • Copias de seguridad (sistema y logs): backup2l??
  • enrutamiento: quagga
  • SNMP (si el también hace de router, ha de enviar las gráficas).

Notas de instalación en servidores previos

Instalación de un servidor utilizando un ordenador viejo (portatil):

  • El portátil está conectado por rj45 a un buffalo, dos nanos asociadas a dos APs (La Coma y el IESMiquelPeris) en modo bridge.
  • Asociar cada nano con su ap y ponerla en modo bridge. Esto tiene algunos problemas, por ejemplo cuando un ordenador de la red interna pide una ip por dhcp, le puede contestar alguno de los APs de guifi.net y asignarle una IP. Por el momento lo soluciono dando ips fijas :-(
  • Ponerle la ip del rango del AP al PC (si sólo tiene una interfaz hay que crearla como un alias). Hacerlo permanente en interfaces.
# This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).

# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface

#iface eth0 inet dhcp
#auto eth0

auto eth0
iface eth0 inet static
address 192.168.1.157
netmask 255.255.255.0
network 192.168.1.0
broadcast 192.168.1.255
post-up ifup eth0:2
pre-down ifdown eth0:2
post-up ifup eth0:3
pre-down ifdown eth0:3


iface eth0:2 inet static
address 10.228.152.37
netmask 255.255.255.224
network 10.228.152.32
broadcast 10.228.152.63
gateway 10.228.152.33


iface eth0:3 inet static
address 10.228.144.62
netmask 255.255.255.224
network 10.228.144.32
broadcast 10.228.144.63

las lineas

post-up ifup eth0:2
pre-down ifdown eth0:2
post-up ifup eth0:3
pre-down ifdown eth0:3

no son en principio necesarias, pero en algun caso no levanta los alias si no se ponen.

  • Hacer NAT de la red privada:
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -d 0.0.0.0/0  -j SNAT --to 10.228.152.37

y hacerlo permanente (También se puede poner junto al firewall del punto posterior)

editar /etc/network/interfaces y poner las siguientes líneas al final:

iface eth0 inet static
      address 192.168.0.200
      netmask 255.255.255.0
      network 192.168.0.0
      post-up iptables -A POSTROUTING -t nat -j MASQUERADE -s 192.168.0.0/24
      post-up echo 1 > /proc/sys/net/ipv4/ip_forward

!!!Pendiente de probar!!!

  • Firewall en el router (pendiente)
#!/bin/sh
IPTABLES=/sbin/iptables

  # 1) Definir la norma de cada cadena básica
  $IPTABLES -P INPUT ACCEPT
  $IPTABLES -P FORWARD ACCEPT
  $IPTABLES -P OUTPUT ACCEPT

  $IPTABLES -F

  #$IPTABLES -t nat -A POSTROUTING -o eth0 -j SNAT --to 10.228.130.162
  $IPTABLES -t nat -A POSTROUTING -s 192.168.1.0/24 -d 0.0.0.0/0 -j SNAT --to 10.228.152.37

  # 2) Aceptar paquetes en estado establecido y relacionado
  $IPTABLES -A INPUT -i lo -j ACCEPT
  $IPTABLES -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

  $IPTABLES -I INPUT -p icmp -j ACCEPT

  $IPTABLES -A INPUT -m state --state NEW -p tcp --dport 22 -j ACCEPT
  $IPTABLES -A INPUT -m state --state NEW -p tcp --dport 25 -j ACCEPT
  $IPTABLES -A INPUT -m state --state NEW -p tcp --dport 53 -j ACCEPT
  $IPTABLES -A INPUT -m state --state NEW -p udp --dport 53 -j ACCEPT
  $IPTABLES -A INPUT -m state --state NEW -p tcp --dport 80 -j ACCEPT

  # Para el SNMP
  $IPTABLES -A INPUT -m state --state NEW -p udp --dport 161  -j ACCEPT

  # Para quagga
  $IPTABLES  -A INPUT -p 89 -j ACCEPT

  $IPTABLES -A INPUT -j DROP

y hacerlo permanente.

  • Instalar quagga, configurar el zebra y el ospf. El modo bridge de las nanos,

parece que sí que pasan los hellos pero no las rutas. Hay que definir que la red no es multicast e indocar los vecinos (ver http://wiki.quagga.net/index.php/Main/FAQ y http://wiki.quagga.net/index.php/Main/CfEx#toc9)

Ficheros en /etc/quagga:

coscoll:/etc/quagga# cat daemons 
zebra=yes
bgpd=no
ospfd=yes
ospf6d=no
ripd=no
ripngd=no
isisd=no
coscoll:/etc/quagga# cat zebra.conf 
! -*- zebra -*-
!
! zebra sample configuration file
!
! $Id: zebra.conf.sample,v 1.1.1.1 2002/12/13 20:15:30 paul Exp $
!
hostname serradal. 
password zebraaa
enable password zebraaa
!
! Interface's description. 
!
!interface lo
! description test of desc.
!
!interface sit0
! multicast

interface eth0
  description virtual para el enlace con al coma

!
! Static default route sample.
!
!ip route 0.0.0.0/0 10.228.152.33 
!

log file /var/log/quagga/zebra.log
coscoll:/etc/quagga# cat ospfd.conf 
! -*- ospf -*-
!
! OSPFd sample configuration file
!
!
hostname serradal 
password zebraaa
enable password zebraaa
!
interface eth0
!  ip ospf network point-to-point
   ip ospf network non-broadcast

router ospf
  ospf router-id 10.228.152.37
  network 10.228.152.32/27 area 0
  network 10.228.144.32/27 area 0
  neighbor 10.228.152.33
  neighbor 10.228.144.33
!
log file /var/log/quagga/ospf.log 

Otros enlaces interesantes sobre snmp y herramientas de visualización:

http://www.debuntu.org/how-to-monitor-your-servers-with-snmp-and-cacti

http://edin.no-ip.com/content/snmp-rrdtool-cacti-debian-lenny-mini-howto

Enlaces

public/guifinet/doc/recetas/guifinetservidorcompleto.txt · Última modificación: 2012/01/07 10:50 por boronat