WinProxy 1.5

Manual del Usuario

Martin Viktora Paul Marrington Última modificación : 10 de abril , 1997

Programa WinProxy
© 1996 Martin Viktora
     Martin Rubas

La Autentificación y el manejo de cache usan el algoritmo MD5.
Derivado de RSA Data Security, Inc. MD5 Message-Digest Algorithm.

Todos los nombres de productos mencionados son marcas registradas de sus dueños respectivos.

Registro de dominios .com.es, .es, .net, .com, .org a los mejores precios

Contenido

1.Introducción
2.Acerca de WinProxy, Método de operación
3.Información Básica
   3.1 Requerimientos del sistema
   3.2 Instalación
4.Configuración
   4.1 Servidor Proxy
   4.2 Cache
   4.3 Gateway
   4.3.1 Gateway para Telnet
   4.3.2 Gateway para FTP
   4.3.3 Gateway para RealAudio (proxy)
   4.3.4 Noticias
   4.4 Mail
   4.4.1 Gateway para Mail
   4.4.2 Servidor Mail
   4.5 Servidor de Sockets y DNS
   4.6 Marcado
   4.7 Manejo de Usuarios, Control de Acceso
   4.8 Seguridad
5. Configuración TCP/IP
   5.1 Direcciones IP
   5.2 DNS
A Redes multisegmentos
B Ejemplo de configuración de Servidor Mail
C Información para ISPs

1. Introducción

Este documento está enfocado a los usuarios de WinProxy. Describe WinProxy, sus métodos de operación y detalles de configuración. La última versión de este manual siempre estará disponible en el web. Si existe información erronea o insufuciente, por favor haganoslo saber. Cualquier sugerencia es bienvenida.
Nuestra Dirección es: info@centrored.com

2. WinProxy:- Modo de Operación

Un servidor proxy permite a muchos ordenadores en una red de área local acceder a Internet desde una única conexión. Un servidor proxy también provee un firewall, un ordenador puesta entre la red de área local e Internet. Los Firewalls proveen protección de la natural apertura de Internet. Comúnmente los firewalls apagan el ruteo de paquetes en el host, previniendo el acceso a través de la capa de direcciones IP. Ataques basados en direcciones IP no pueden penetrar la red de área local. Comunicación a través de un firewall requiere uno de los siguientes sistemas:

Servidor Proxy

Gateway

Servidor de SOCKETS

Estos son programas corriendo en el servidor firewall que se conectó directamente a Internet o Intranet. Las computadoras en la red de área local accesan Internet indirectamente a través del servidor firewall/proxy.

Para que la computadora A se conecte a la computadora B, debe de conectarse a la computadora C primeramente. Después que la conexión este establecida,A manda a C una petición para onectarse a B. Intercambio de datos entre A y B es posible ahora. C puede relacionar datos entre A y C sin ninguna cnversión, o proveer transformación de protocolos.

La computadora C puede checar la autorización de la petición, usando reglas predefinidas. Esto provee de control sobre el acceso de usuarios a los servicios de Internet.

Un servidor proxy introduce otras características interesantes:

La necesidad de una simple dirección IP
Las computadoras en una red de área local pueden tener una dirección IP. Una dirección IP actual se necesita sólo para la computadora C. Por ejemplo:
Una red de área local con una computadora conectada a Internet vía una liga de acceso telefónico (modem) o una red de área local con una computadora teniendo dos interfaces de red (i.e. tarjetas ethernet). Una interfaz se conecta a la red de área local y la otra a un segmento de acceso público.

Uso de un cache compartido
La computadora C puede guardar datos en el cache compartido. Peticiones repetidas son sacadas del cache en vez del sitio original. Esto conserva el ancho de banda de la línea mientras se decrementan los tiempos de respuesta.

3. Información Básica

3.1 Requerimientos del Sistema

Sistema Operativo:

Windows 95 o Windows NT con el protocolo TCP/IP instalado (vea la configuración TCP/IP).

Hardware :

WinProxy requiere la configuración básica de hardware del sistema operativo dado con espacio en disco suficiente para el cache. Con un número grande de usuarios y caches más grandes, los requerimientos de memoria, disco, velocidad del procesador y ancho de banda de la línea tembién se incrementarán.

Nosotros recomendamos lo siguiente como mínimo:

5 usuarios: 20 MB de cache, procesador 486 66Mhz con 8 MB de RAM
10 usuarios: 80 MB de cache, procesador Pentium 60Mhz con16 MB de RAM
más de 10 usuarios: Servidor NT dedicado o workstation NT con una carga reducida, Pentium 120 MHz con 32 Mb de RAM

3.2 Instalación y descripción de archivos

Bajar el archivo de WinProxy desde Internet y correrlo. Escriba el directorio en el que desea instalar el WinProxy y seleccione Instalar.

Si está instalando en Windows NT y tiene privilegios de Administrador, puede instalar WinProxy con soporte de servicio. WinProxy podrá ser ejecutado como una aplicación común y como un servicio. Como es un servicio, puede configurarse para comenzar automáticamente cuando NT comience, permitiendo usar el proxy por otras estaciones de trabajo aún cuando nadie ha ingresado al servidor. Use el ícono de Servicios en el Panel de Control para configurar el servicio el WinProxy que se ejecute cuando el servidor se inicie.

Una vez que los archivos se hayan copiado se le pedirá crear un grupo en el Administrador de Programas. El grupo se llamará WinProxy e incluirá la versión. Si instala el WinProxy con soporte de servicio, entonces este grupo será común para todos los usuarios.

WinProxy instala los siguientes archivos:

winproxy.exe	- Aplicación
proxy.pac	- archivo de autoconfiguración (necesita editarse si se planea usar)
config.htm	- ayuda en-línea para configuración
readme.txt	- información básica

4. Configuración

Para que funcione Winproxy, el protocolo TCP/IP debe ser instalado en todos los ordenadores. Para instrucciones de instalación de TCP/IP LAN lea 5. Configuración TCP/IP antes de continuar. Dése cuenta que esto es diferente de instalar TCP/IP para un adaptador de acceso telefónico.

Winproxy se configura usando un navergador. Abra su navegador y pida la URL http://host:3129/admin donde host es el nombre TCP/IP del ordenador donde corre WinProxy. Necesita un navegador que pueda mostrar documentos con frames. Para la configuración, existen páginas on-line disponibles.

WinProxy proporciona las siguientes funciones:

proxy server para los protocolos HTTP, HTTPS, FTP and GOPHER

una cache compartida para todos esos protocolos

gateway para los servicios Telnet, FTP, SMTP, NEWS y POP3

Servidor de correo

servidor de SOCKS v4, v5 y reenviador DNS

conexiones de acceso telefónico bajo demenda

gestión de usuarios y grupos con restricciones de acceso

acceso seguro de la LAN a Internet

Cada elemento representa un subsistema dentro de WinProxy. El comportamiento de estos subsistemas está controlado por valores accesibles desde las páginas de configuración de WinProxy.

Importante : Por simplicidad llamaremos al ordenador en el que corre WinProxy ProxyHost, representando el nombre DNS o la dirección IP de dicho ordenador. Asumiremos también que WinProxy está siendo ejecutado en un ordenador con acceso a Internet vía conexión de acceso telefónico o bien un segundo interfaz ethernet.

red2.gif (3049 bytes)

4.1 Servidores Proxy

Preparando WinProxy

Un servidor proxy proporciona a los usuarios de una red de área local servicios de Internet tales como WWW, FTP, GOPHER desde sus navegadores. Normalmente WinProxy espera peticiones en el puerto 3128. Este valor por defecto puede cambiarse en el campo 'Proxy Port' de Network.

Su navegador necesitará ser configurado para poder usar WinProxy. Abajo hay varias configuraciones simples para navegadores populares:

Preparando los clientes

Netscape Navigator-Communicator

Selecione el menú Options->Network Configuration->Proxies
escoja Manual Proxy Configuration
pulse el botón View
introduzca el nombre del ordenador del proxy para los campos HTTP, FTP, GOPHER and Security Proxy. El número de puerto a usar es el 3128.

Alternativamente, use un fichero de autoconfiguración. La localización de este fichero se especifica en la página Advanced. Puede encontrar un plantilla de este fichero en el directorio donde fue instalado WinProxy. Edite este fichero e introduzca el nombre del ordenador que hospeda WinProxy. Escoja Configuración Automática del Proxy en la Caja de Diálogo de Proxy del Navigator (o Communicator) y cambie el campo Localización de la configuración (URL) a ProxyHost:3129/autoconfig.

NCSA Mosaic

Seleccione el elemento de menú Options->Preferences->Proxy
Introduzca el nombre del ordenador donde corre el proxy para los campos HTTP, FTP, GOPHER. El número de puerto, 3128, se introduce después de dos puntos como parte del nombre (p.e. ProxyHost:3128)

MS Internet Explorer 3.0

Seleccione los elementos de menú View->Options->Connections
Para la versión de WEindows 95, pulse el botón de Proxy
Habilite el 'check box' de Use the same proxy for all protocols.
Introduzca el nombre de ordenador del proxy y el número de puerto en el espacio proporcionado.

Proxy Padre
Si su PSI corre un servidor proxy en una máquina rápida con una gran cache y usted tiene una conexión de alta velocidad, puede configurarlo como un proxy padre en la página Advanced.Todas las peticiones serán tomadas de este servidor.

4.2 La Caché

Los datos recogidos de Internet por el servidor proxy y pasados a los navegadores de la red de área local pueden ser almacenados en una caché compartida. Si el mismo, u otro navegador solicita la misma información, ésta se toma de la caché. Ya que la caché está en un ordenador local, es mucho más rápido que acceder a Internet.

Configurando los parámetros de la Caché

El tamaño de la caché puede ser configurado en la página Cache. Este valor es el tamaño máximo en Megabytes. Después de alcanzar este límite, se realiza recolecciónn de basura sobre los objetos más antiguos en primer lugar. La cache se reduce por esta recolección de basura hasta un 85 por ciento de su tamaño máximo.

Los valores para Max.HTTP Size, Max.FTP Size and Max. GOPHER Size determinan el tamaño máximo de los objetos almacenados en la caché para estos protocolos. Objetos m´s grandes se pasan sin ser almacenados en la caché. No configure el valor para FTP demasiado grandeya que un fichero grande eliminará muchos objetos HTTP más pequeños. Si no desea usa caché, desactívela deseleccionando el checkbox enable Caching.

Los otros dos checkbox determinan qué hacer cuando el usuario corta una conexión usando el botón de stop del navegador o seleccionando una página nueva antes de que la página actual haya sido cargada completamente. Si etá seleccionada la opción Continue Aborted, WinProxy continuará cargando las páginas en la caché. Con esta opción habilitada es fácil construir un gran número de conexiones concurrentes si se va saltando de página en página. Si el chekbox Keep Aborted está seleccionado, WinProxy almacenará objetos incompletos (páginas).

Time To Live

Los valores en la página Time-To-Live determinan el número de días que los objetos (páginas web) son mantenidos en la caché. Cualquier petición de objetos más antiguos que ésta son recargados desde Internet. TTL puede ser configurado para protocolos individuales y/o URLs individuales. Para especificar URLs individuales use la sección TTL Advanced. Cada entrada tiene la forma dias@url, donde url pùede incluir asteriscos para especificar un grupò de URLs relacionadas.

Ejemplos :
12@*www* establece una vida de caché de 12 días para todos los objetos cuya URL contenga www (almost all World Wide Web pages).
2@ftp://*.zip establece una vida de 2 días para todos los objetos descargados via FTP conuna externsión de .zip

4.3 Gateways

4.3.1 Gateway para Telnet

El protocolo Telnet permite a los usuarios de una red de área local conectarse a cualquier host de Internet y trabajar con él en modo remoto. Esto se usa normalmente para conectarse a máquinas UNIX, asumiendo que un usuario tiene una cuenta en dicha máquina. Para usar Telnet a través de WinProxy active el checkbox Telnet Gateway en la página Network. El Gateway de Telnet escucha en el puerto 23. Este valor puede ser cambiado en el campo Puerto. Para usar un gateway de Telnet, ejecute un cliente telnet y conecte en primer lugar al ordenador ProxyHost. Se le solicitará entonces introducir el nombre del host al cual se quiere conectar.

4.3.2 Gateway de FTP

FTP (File Transfer Protocol) es un protocolo usado para transferir ficheros entre ordenadores. El Gateway de FTP de WinProxy permite a los usuarios de la red de área local accder a servidores FTP en Internet. Si planea usar un Gateway de FTP, active el checkbox FTP Gateway en la página Network. Normalmente los gateway de FTP escuchan en el puerto 21. Este valor puede ser cambiado en el campo Port.

Para usar el gateway de FTP, ejecute un cliente de FTP y conectese al ordenador que corre WinProxy primero. Cuando le pida el nombre de usuario, teclee usuario@host donde host es la máquina a la que se quiere conectar y usuario es el nombre de la cuenta.(p.e. ftp@ftp.bestsite.com).

Puede usar también WS_FTP. Para configurar WS_FTP: ponge el nombre de host del ordenador ProxyHost en la información de Firewall y el tipo de Firewall a 'USER sin logon'. Siguiere usar un puerto diferente para el Gateway de FTP, configúrelo en el campo 'Port'.

4.3.3 Gateway de RealAudio (proxy)

El Gateway de Realaudio permite recibir sonido en directo a través de Internet. WinProxy soporta transporte tanto UDP como TCP. Si pretende usar un Gateway de Realaudio, active el checkbox de Realaudio Gateway enla página de Network. Normalmente el Gatewayt de Realaudio escucha en el puerto 1090. La configuración de su Reproductor de Realaudio es la siguiente: menú View-> Preferences -> Proxy, activar Usar Proxy, introducir el ordenador ProxyHost en el campo de host y en el número de puerto, 1090.

4.3.4 News

Los Gateways de Noticias prporcionan a los usuarios de la red de área local acceso a servicios de noticias USENET. Para habilitar el Gateway de Noticias, introduzca el nombre o la dirección IP de su host de Noticias en la página Network. En el cliente de noticias ponga ProxyHost como servidor de noticias.

4.4 Correo

SMTP (Simple Mail Transfer Protocol) es el protocolo más comunmente usado en Internet para el correo electrónico. Los mensajes de e-mail pueden ser pasados a varios ordenadores antes de llegar a su destino. El protocolo SMTP requiere que los mensajes sean entregados dentro de un tiempo límite, típicamente 3 días. Si el host de destino no es ancanzable cuando ese tiempo se acaba, el mensaje es devuelto al remitente.

SMTP no es adecuado para estaciones de trabajo individuales o para líneas telefónicas porque:

los ordenadores que trabajan como servidores SMTP deben tener una conexión permanente a Internet para recibir correos electrónicos.
Los servidores SMTP son responsables de la entrega de mensajes. Si el host de destino no es alcanzable, deben guardar el mensaje e intentar entregarlo de nuevo a intervalos regulares.

Por esto el "viaje" de los mensajes via SMTP acaba en máquinas que corren continuamente en grandes organizaciones o en sitios PSI. Los usuarios descargan sus correos desde estos hosts usando el protocolo POP3. Este protocolo permite a los uisuarios conextar con el servidor en cualquier momento y descargar su correo bajo demanda.

Una cuenta de correo con acceso telefónico enviará el correo voia SMTP y recibirlo desde Internet via POP3. WinProxy puede ser instalado para poveer soporte de correo electrónico en alguna de estas tres maneras:

Gateway de Correo

Las peticiones de SMTP y POP3 de la red de área local son reenviadas a los ordenadores especificados en la configuración de WinProxy.

Configurando WinProxy
Active la opción SMTP/POP3 Gateway en la página de Mail y sálvela. Siga el enlace de Settings. Introduzca sus servidores SMTP y POP3 en los campos correspondientes.

Configurando clientes

Hay muchos programas clientes para enviar y recibir e-mail desde Internet (p.e. Pegasus Mail, Netscape Navigator, Outlook Express, Eudora...). Por favor, acuda a la documentación existente para estos programas. Se le pide introducir la dirección de un servidor SMTP y POP3. Ponga estas direcciones como la del ProxyHost. El nombre de usuario POP3 (cuenta) y la clave deben ser las válidas para el servidor POP3 remoto.

Mail Server

WinProxy puede funcionar como un servidor SMTP/POP3. El servidor SMTP WinProxy está diseñado para conexión telefónica. El correo electrónico puede ser enviado a través de la red de área local en cualquier momento. Cuando WinProxy está conectado a Internet enviará el correo almacenado y leerá el correo entrante de los servidores POP3 especificados. Esto puede ser llevado a cabo manualmente, en ciertos momentos o a intervalos regulares.

Los usuarios deben estar al tanto de cuando la conexión de Internet se establece para enviar y recibir su correol. Su correo se baja desde el servidor POP3 por sí mismo cuando el WinProxy conecta a Internet y el correo que él envía a WinProxy es enviado a Internet. Por tanto, los usuarios pueden enviar y recibir correo, esté o no conectado WinProxy a Internet.
El correo de una cuenta puede ser copiado a un grupo de usuarios de WinProxy.
Si cualquier usuario desea recibir correo en distintas cuentas de correo de Internet, WinProxy puede almacenarlo en una cuenta de correo local.
Puedes tener tu propio dominio de Internet (p.e. company.com). Puedes crear cualquier número de direcciones de correo para ese dominio (p.e. sales@comany.com, boss@company.com, ...). El correo para este dominio es almacenado en un buzón de correo en el host de tu ISP. Cuando WinProxy baja correo desde ese buzón clasifica los mensajes de acuerdo a la cabecera To: y distribuye los mensajes a los buzones de correo locales apropiados.

Nota: Debes consultar a tu ISP para que te proporcione un dominio.

En resumen: WinProxy baja el correo desde los buzones remotos (servidores POP3) y lo distribuye a los buzones locales de WinProxy. Los usuarios pueden bajarse el correo desde esos buzones locales a su ordenador. El proceso de salida de correo es similar, WinProxy pasa el correo al servidor SMTP en Internet.

Configurando WinProxy

Activar la opción SMTP/POP3 Server en la página Mail y Save. Seguir el enlace en Settings. Introducir tu dirección SMTP en el campo Remote SMTP server. El correo puede ser enviado y recibido desde Internet en el time especificado. La opción every procesará el correo en los intervalos especificados de time. El campo hora está en el formato hh:mm donde hh son horas y mm son minutos. La opción at procesará el correo en un time especificado en el día. Puedes proporcionar distintos time separándolos por un espacio. Si habilitas la opción Allow to Dial WinProxy conectará tu ISP para el proceso de correo y alcanzar los servidores remotos SMTP y POP3. La información sobre las cuentas de correo locales y remotas está almacenada en Account List. Los elementos pueden ser añadidos y borrados de esa lista. Remote POP3 account especifica los buzones de correo remotos. La entrada es de la forma username@pop.server. Cambiar el Password de entrada para cada cuenta. La entrada E-mail especifica la dirección de correo electrónico de Internet. Si esta entrada es igual que el Remote POP3 Account, déjala en blanco. Esta entrada es usada para reconocer correo para usuarios locales. Cuando cualquiera de ellos envía correo a WinProxy, WinProxy va a través de todos los registros realizando la búsqueda del correo y cuando lo encuntra es inmediatamente distribuido a la cuenta de correo local apropiada. La última entrada, Move To Local Account especifica el usuario de WinProxy (cambiar en la página Users ) que actualmente coge el correol. Si tu escoges un grupo de usuarios, el correo es distribuido a cada usuario en el grupo. Hay una opción especial llamada { RULE }. Utilizarla, cuando recibes correo para tu propio dominio desde un buzón de correo. En este caso el correo es clasificado de acuerdo a la cabecera To: . Las reglas de clasificación están definidas en la página Sorting Rules. El correo que no puede ser solucionado es almacenado de acuero a la regla con @ por sí mismo o de acuerdo al Report Problems To .

Para chequear la validez de los registros en la Account List, invocar el proceso de correo desde la página de Manual .

Configurando clientes
Hay muchos programas clientes de correo (p.e. Pegasus mail for Windows, Netscape Navigator, MS Explorer 3.0 - Internet Mail, MS Exchange, Eudora). Consultar la documentación disponible para estos programas. Será necesario introducir las direcciones de los servidores SMTP y POP3. Establecer estas direcciones en el ordenador ProxyHost. El nombre de usuario POP3 (cuenta) y el Password debe ser cambiado en el WinProxy username y password.

Ver Apendice B para un ejemplo de configuración de servidor de correo.

4.5 Servidor SOCKS y DNS

   Si deseas utilizar el WinProxy como un servidor SOCKS, escoger la casilla apropiada en la página Network. El puerto por defecto del servidor SOCKS de 1080 puede ser cambiado en la entrada de campo de puerto SOCKS.
   Si que tus usuarios se autentifiquen con SOCKS version 5, habilitar el Use SOCKS5 Authentication. Tú también podrás controlar el acceso al hosts/ports destino con la Access List. Las líneas para el control de acceso a SOCKS5 son de la forma : socks://host:port.
   Si planeas usar SOCKS version 4, probablemente necesitarás modificar el servidor DNS. Introduce la dirección IP de un servidor DNS de Internet. WinProxy reenviará las peticiones del DNS al host.

4.6 Conexiones Dial-up

WinProxy puede establecer conexiones dial-up con tu proveedor de Internet. Hay tres formas de iniciar la conexión:

On Demand - la conexión se inicia cuando el nombre de DNS es desconocido en la red de área local o el host destino es inalcanzable.
Scheduled Dial - connections are made at defined intervals

Nota: Si el Dial On Demand está activado y escribes mal el nombre de DNS para un ordenador local, WinProxy conectará tu ISP para buscar el nombre en Internet. Puede parecer como si una conexión se iniciara sin razón aparente.

La configuración de una conexión dial-up puede cambiarse en la página Dial de WinProxy. Chequee directamente la conexión telefónica antes de intentarlo con WinProxy.

escoger el nombre de conexión RAS deseado de la lista proporcionada.
habilitar o deshabilitar conexión automática
cambiar el valor del timeout en el campo Hang up After. Si no hay tráfico en la línea durante este periodo de tiempo la conexión se cerrará automáticamente.
introduce tu nombre de usuario y password en los campos Username y Password para la conexión seleccionada en (1).

Nota : Si tu ISP no soporta protocolo de autentificación PAP o CHAP y tienes que conectarte a tu ISP a través de un terminal window, intenta lo siguiente:

Windows NT 3.51 - crear un script log-on adecuado a tu conexión. Hay un plantilla en WINNT35\system32\ras\switch.inf file. Si hay algún problema, contacta con tu ISP.
Windows 95 - introducir la información requerida en el Terminal window en el ordenador ProxyHost.
Windows 95 - también puedes crear un script log-on para este sistema operativo. Mirar la página principal de WinProxy para más información.

4.7 Administración de usuarios, control de accesos

WinProxy soporta administración de usuarios y de grupos de usuarios. Estas son utilizadas para determinar las restricciones para las páginas web seleccionadas y para las opciones de configuración de Mail Server.

Usuarios y Grupos son administrados desde la página Accounts. WinProxy tiene un grupo construido llamado Admins que no puede ser borrado. Los usuarios que pertenecen al grupo Admins no tienen restricción de acceso.

Lista de acceso
Esta es una lista de URLs restringidas para algunos usuarios o grupos. Cada entrada es de la forma scheme://host/path. Los asteriscos pueden ser usados para una cadena arbitraria. Si un usuario intenta acceder a una URL que se encuentra en la lista, se le requiere nombre y password. Para acceder a la URL, el usuario debe estar presente en la Lista de acceso o ser miembro de un grupo presente en la Lista para la URL requerida. Pulsar el botón de Edición para ver la lista de usuarios y grupos con acceso permitido a la URL seleccionada. Los grupos son mostrados primero entre llavess. Cuando se añade una nueva URL, nadie tiene acceso a ella.

Restricción de acceso al interfaz web de WinProxy
Las restricciones de acceso también se aplican a la interfaz web de WinProxy. El nombre del host del ordenador donde se ejectuta Winproxy es convertido a WinProxy antes de chequear la Lista de Acceso. Para limitar el acceso de usuarios al interfaz web de administración de WinProxy añadir la siguiente línea a la Lista de Acceso: http://WinProxy/admin/*
Si intentas restringir el acceso al interfaz web, no olvides añadir al final algún usuario que tenga acceso al interfaz o que sea miembro del grupo Admins. Si olvidas esto, nadie podrá acceder al interfaz web.

Notas

No todos los navegadores soportan las funciones de autentificación que se necesitan para el acceso al proxy. En este caso el navegador no puede acceder a ninguna URL de la Lista de Accesot. Pueden acceder a cualquier otra URL. La autentificación Proxy es soportada por Netscape Navigator y MSIE 3.0.
Al usuario se le pregunta por su nombre y password sólo una vez cuando se abre el navegador. Entonces el navegador añade automáticamente el nombre de usuario y el password cada vez que se solicite.

Ejemplos

1. Necesitamos usuarios de un grupo de usuarios [users] para que tengan acceso sólo a los siguientes dominios : domain.com, work.com y el usuario boss a cualquier sitio. Debemos cambiar la Lista de Acceso y el acceso de usuario / grupo de acuerdo a la siguiente tabla :

Lista de Accesos usuarios / grupos

* boss

*.domain.com* [users]

*.work.com* [users]

Lista de Accesos	usuarios / grupos
*	boss
.domain.com	[users]
.work.com	[users]

2. Necesitamos que nadie pueda acceder al dominio bad.com :

Lista de Accesos usuarios / grupos

*.bad.com*

Lista de Accesos	usuarios / grupos
.bad.com

4.8 Seguridad

Si estás preocupado por la seguridad, el firewall (cortafuegos) de WinProxy proporciona tranquilidad. La tendencia hoy en día, es no utilizar conectividad directa si no es absolutamente necesario. Con WinProxy puedes construir fácilmente un efectivo cortafuegos. Debes también apagar el enrutamiento de paquetes en el ProxyHost. Esto no es necesario para Window 95.

Si el enrutamiento de paquetes es apagado, la única manera de entrar a tu sistema desde Internet es usando un servicio ejecutándose en el host cortafuegos. Para no permitir posibles intrusos accediendo a tu sistema a través de WinProxy, cambiar la dirección del Interfaz de seguridad. Esta es una dirección IP de un interfaz de red (network card) que puede considerarse como seguro. Usualmente, esta es la dirección IP de tu ordenador en la red de área local. La dirección del interfaz seguro puede ser cambiada en la página Advanced en el campo Secure Interface. Puedes introducir una lista de direcciones IP separadas por puntos y comas.

5. Configuration TCP/IP

El TCP/IP debe estar correctamente configurado en el ordenador ProxyHost y en todos los ordenadores que acceden a Internet a través de Winproxy.

ProxyHost debe ejecutarse en un ordenador que utilize Windows NT o Windows 95. Los ordenadores que acceden a Internet a través de Winproxy pueden utilizar cualquier sistema operativo que soporte TCP/IP (Windows, Unix, Macintosh, VMS, ...).

Si TCP/IP no está instalado, hay 2 opciones:

consultar al administrador del sistema para que lo instale ó
instalarlo tu mismo de acuerdo a las siguientes directrices

Consideremos una red de área local con cuatro ordenadores. Los nombres de estos ordenadores (en Netbios) son : Chris, Eric, Jack yAllan. El ordenador Jack se utiliza para conectar a Internet a través de un modem. Estos ordenadores utilizan Windows 95, Windows NT y Windows 3.1.

5.1 Direcciones IP

Todos los ordenadores en una red TCP/IP requieren una única dirección IP. Una dirección IP es un número de 32 bits. Por conveniencia, se escribe como números decimales con cada byte separado por un punto con el formato a.b.c.d .

El documento RFC 1597 recomienda que la selección de direcciones para redes locales se lleve a cabo desde un espacio de direcciones privado. La organización IANA tiene reservados tres bloques de direcciones para ser utilizadas en redes privadas. El primer bloque es un conjunto de direcciones de red de clase A, el segundo bloque es un conjunto de 16 direcciones de red contiguas de clase B, y el tercer bloque es un conjunto de 255 direcciones de red contiguas de clase C.

Las direcciones son :

Clase A : 10.0.0.0 - 10.255.255.255
Clase B : 172.16.0.0 - 172.31.255.255
Clase C : 192.168.0.0 - 192.168.255.255

Estas direcciones no son utilizadas para Internet.

Utilizaremos la clase C para nuestro ejemplo (una red de más de 255 ordenadores). Seleccionaremos la dirección de red 192.168.1.0 . La tabla siguiente muestra las direcciones IP de nuestros ordenadores:

Nombres de ordenadores	Sistemas Operativos	Direcciones IP
Chris	Windows 95	192.168.1.1
Eric	Windows 95	192.168.1.2
Jack	Windows NT	192.168.1.3
Allan	Windows 3.1	192.168.1.5

Para fijar estas direcciones para cada sistema operativo, utilizar las siguientes instrucciones:

Windows 95 y Windows NT 4.0
Desde el botón de Inicio, seleccionar Configuración -> Panel de control -> Red
Seleccionar el protocolo TCP/IP. Si el protocolo no está en la lista, seleccionar Agregar -> Protocolo -> Agregar. De la lista que aparece, seleccionar Microsoft como el vendedor y despues el protocolo de red TCP/IP.
Seleccionar Propiedades y la pestaña de direcciones IP. Habilitar la opción Especificar una dirección IP
En el campo de la dirección IP introducir la dirección de la tabla. Para el campo de la máscara de subred introducir el valor 255.255.255.0 . Pulsar Aceptar al completar la instalación. Insertar el CD de Windows 95 si es requerido.
Introducir la misma dirección IP para el Default Gateway
Reiniciar el ordenador

Windows NT 3.51

Desde el Administrador de Programas, grupo Principal seleccionar Panel de Control y el icono de Red
Desde la lista Software de Red Instalado seleccionar el protocolo TCP/IP y pulsar Configuración. Si el protocolo TCP/IP está en la lista, saltar al punto 4.
Add Software. Desde la lista de Software de Red seleccionar Protocolo TCP/IP y componentes asociados, Insertar discos de instalación. Después que los ficheros sean cargados, pulsar Aceptar en el diálogo Configuración de Red
En el campo de la dirección IP introducir la dirección de la tabla. Para el campo de la máscara de subred introducir el valor 255.255.255.0 . Pulsar Aceptar al completar la instalación.
Reiniciar el ordenador

Windows 3.1
El protocolo TCP/IP no es una parte del sistema operativo. Para ejecutar TCP/IP se requiere una implementación externa del TCP/IP como Microsoft TCP/IP o Trumpet Winsock. Los detalles de configuración están documentados en esos paquetes. Los drivers de Microsoft TCP/IP están disponibles desde cualquier lugar anónimo de descarga de ftp bajo el nombre WFWT32.EXE. Al lugar de descarga ftp de Microsoft ftp se accede desde www.microsoft.com con la cabecera free software

Ahora ya puedes utilizar TCP/IP en tu red de área local. Para chequearlat, utlizar la utilidad ping desde línea de comandos. Deberías estar capacitado para "ver" el resto de ordenadores en la red local.
Intenta:

C:\WINDOWS>ping 192.168.1.1

C:\WINDOWS>ping 192.168.1.3

C:\WINDOWS>ping 192.168.1.3

C:\WINDOWS>ping 192.168.1.5

Nota : En este punto, tu puedes utilizar sólo direcciones IP. En todos los lugares del documento donde te pregunten por el nombre del ProxyHost, debes utilizar la dirección IP del ordenador Jack : 192.168.1.3 . Para dar los nombres a los ordenadores, hay que seguir las siguientes instrucciones.

5.2 DNS

Debido a que las direcciones IP son difíciles de recordar, las redes TCP/IP proporcionan un mecanismo para asignar nombres a las direcciones IP. Los nombres en las redes TCP/IP son organizados usando un Domain Name System o DNS. Estos nombres puede ser diferentes a los de Netbios (los nombres visibles como "Network Neighbors" en Windows 95 o NT 4).
A cada dirección IP se le asigna un sólo nombre y, opcionalmente, varios alias. Hay dos formas de traducir los nombres DNS a direcciones IP.

a través de un servidor DNS
usando tablas estáticas localizadas en cada ordenador de la red local

Los servidores DNS son utilizados en redes grandes. Como en nuestro ejemplo la red es pequeña usaremos tablas de nombre estáticas. Asignaremos los nombres DNS iguales a los de Netbios.

El software de TCP/IP lee en un fichero de texto llamado hosts en el ordenador local para encontrar los nombres DNS. Este fichero se encuntra en diferentes carpetas dependiendo de que sistema operativo se utilize:

Windows 95	\Windows
Windows NT	\WINNT\SYSTEM32\DRIVERS\ETC
Windows 3.1	\ETC

Cada línea del fichero contiene un registro del formulario:

IP_dirección DNS_nombre [alias]

Las líneas que comienzan con un # son utilizadas para comentarios. Editar este fichero con un editor de texto como el NotePad.

El fichero de nuestro ejemplo se parecerá a esto:

# fichero hosts
# este fichero to traduce nombres DNS a direcciones IP
#
127.0.0.1     localhost
192.168.1.1   chris
192.168.1.2   eric
192.168.1.3   jack    winproxy
192.168.1.5   allan
# fin del fichero hosts

Este fichero puede ser copiado a su carpeta correspondiente en todos los ordenadores.

Ahora puedes utilizar nombres DNS en la red local. Debes asegurarte de que puedes hacer ping a los otros ordenadores usando sus nombres.

Intentar: 
C:\WINDOWS>ping chris 
C:\WINDOWS>ping eric
C:\WINDOWS>ping jack
C:\WINDOWS>ping allan

Ahora puedes utilizar jack cada vez que seas preguntado por ProxyHost.

A. Redes multisegmento

Este apendice explica un problema que a menudo aparece en las redes multisegmento cuando utilizamos una conexión dial-up. Consideremos el siguiente dibujo:
red1.gif (4401 bytes)

   Hay dos redes; la primera red tiene como dirección 192.168.1.0, la segunda red tiene 192.168.2.0. Están conectadas por un router con direcciones IP 192.168.1.1 y 192.168.2.1. El ordenador 192.168.1.3 está conectado a Internet.
   En este ejemplo nos referiremos a los ordenadores por su dirección IP.. ProxyHost sería 192.168.1.1 .
   El problema es que ese ordenador se utiliza como ruta para alcanzar la otra red. La ruta por defecto apunta al interfaz router apropiado. En el momento en que el ordenador 192.168.1.3 se conecta a Internet, la ruta por defecto se sobreescribe y apunta al Internet gateway. Ahora el ordenador 192.168.1.3 puede "ver" los ordenadores en la red 192.168.2.0. Como consecuencia de esto los ordenadores de la red 192.168.2.0 no pueden conectarse al ordenador 192.168.1.3.

Para solucionar esto, reemplazar la ruta por defecto por un uno normal en la table de enrutamiento. En el ordenador 192.168.1.3 ejecutar el siguiente comando en el prompt:

c:\>route ADD 192.168.2.0 MASK 255.255.255.0 192.168.1.1

Si un paquete aparece destinado a la red 192.168.2.0 con la máscara de red 255.255.255.0 es enviado a través del router con la dirección IP 192.168.1.1. Utilizar switch -p bajo Windows NT para hacer esta ruta persistente entre el "system boots". Bajo Windows 95, añadir este comando al fichero AUTOEXEC.BAT.

Después de este comando el ordenador 192.168.1.3 "verá" los ordenadores de la red 192.168.2.0.

B. Una muestra de la configuración del Mail Server

I. Un simple ejemplo

Consideremos 4 usuarios. Cada uno de ellos tiene una cuenta de WinProxy, creada en la página Users. Sus nombres son: boss, peter, bob y martin.Hay también un grupo[sales] con boss y peter como miembros. Nos gustaría procesar el correoe-mail de acuerdo a la siguiente tabla:

Cuenta POP3 remota Dirección de E-mail Quien recibirá el correo

smith@mbox.prov.com smith@mbox.prov.com boss

peter@bigboy.uni.edu peter@bigboy.uni.edu peter

bob@mbox.dsf.com bob@computers.com bob

geiger@pop.serv.com geiger@mbox.serv.com martin

martin@mbox.prov.com martin@mbox.prov.com martin

sales@mbox.prov.com sales@mbox.prov.com boss, petr

Cuenta POP3 remota	Dirección de E-mail	Quien recibirá el correo
smith@mbox.prov.com	smith@mbox.prov.com	boss
peter@bigboy.uni.edu	peter@bigboy.uni.edu	peter
bob@mbox.dsf.com	bob@computers.com	bob
geiger@pop.serv.com	geiger@mbox.serv.com	martin
martin@mbox.prov.com	martin@mbox.prov.com	martin
sales@mbox.prov.com	sales@mbox.prov.com	boss, petr

Los registros en la Lista de cuentas debería parecerse a esto:

Para chequear la validez de los registros en la Lista de cuentas recurrir al proceso de e-mail de la página Manual.

II. Un ejemplo completo utilizando reglas de clasificación

Consideremos una compañía con 6 usuarios. Cada uno de ellos tiene una cuenta de WinProxy con los nombres de: boss, peter, bob, martin, david y jane.El grupo [sales] tiene a boss y peter como miembros. El grupo [developers] tiene a martin, bob y jane como miembros. El grupo[users] tiene a todos los usuarios como miembros. La compañía tiene su propio dominio llamado company.com. El E-mail para este dominio se reparte del buzón simple company en el ordenador del ISP mbox.prov.com. Cada usuario tiene su propia dirección de e-mail dentro del dominio. La compañía también crea direcciones para información sobre las ventas llamada sales@company.com. El correo para esta dirección debería repartirse a los usuarios del grupo [sales]. Los usuarios martin y bob reciben correo de otros ordenadores. bob también se ha suscrito a la lista de correo conf-l@prov.com.Queremos correo de esta lista para repartirlo a los usuarios martin y jane también. La compañía también quiere tener una lista de correo interna en la dirección info-l@firma.cz.

La Lista de cuentas debería parecerse a:

Echale un vistazo a la segunda línea en la Lista de cuentas.La dirección de correo es justo @company.com. Todos los usuarios de company.com son locales.

Para chequear la validez de los registros en la Lista de cuentas recurrir al proceso de e-mail de la página Manual.

Notas:

No debería haber ningún problema para tener nuestro propio dominio para recibir correo. Para un ISP es tan demandado como una simple cuenta de correo. El precio debería ser similar al de una simple cuenta de correo. Si tu ISP no es receptivo a la idea, cambiate de ISP.
(para especialistas) El e-mail header To: no necesita llevar la dirección del destinatario. En la mayoría de los casos los e-mail de las listas contienen en su cabecera la dirección de correo de la lista. El ejemplo soluciona el problema de la siguiente manera: un usuario (bob) es miembro de una lista de correo y envía correo desde esa lista que es copiado a otros usuarios (bob, martin, jane). El correo de la lista entra como una copia simple.

Surge una problema cuando dos o más usuarios están suscritos a la misma lista de correo. El correo es recibido más de una vez. Es imposible decidir para quien es el correo. El correo puede ser repartido de acuerdo a la cabecera X-Envelope-To:. Esta cabecera debe ser tomada desde el propio e-mail antes de que este sea almacenado en el buzón de correo. Por favor, háganos saber si necesita más información acerca de esta solución.

C. Información para ISPs

Como configurar sendmail para almacenar e-mail para un dominio dentro de una cuenta de correo simple (UNIX, sendmail)
Hay que añadir las siguientes lineas al fichero /etc/sendmail.cf , ruleset S98:

R$*<@company.com.>$*                     $#local $: company

Como añadir una "X-Envelope-To header" dentro de un e-mail (UNIX, sendmail)

Necesitas modificar sendmail.cf: en el siguiente lugar:

1. en el ruleset S0 (o S98 ) añadir la siguiente linea:

R$*<@company.com.>$*     $# xlocal $@ company $: $1<@company.com.>$2

$# xlocal ... nuestro "falso" mailer
$@ company .... el nombre del buzón de correo local
$: $1<@comany.com.>$2 ... la dirección del destinatario, que será una "X-Envelope-To header"

2. dentro de la definición del mailer:

Mxlocal,      P=/usr/local/etc/bin/xlocal, F=lsDFMA, S=10/30, R=21,
              T=DNS/RFC822/SMTP,
              A=xlocal $u procmail $h

$u ... la dirección que irá en el "X-Envelope-To":   $1<@company.com.>$2
$h ... nombre del buzón de correo 
A=xlocal $u procmail $h ... línea de comandos; usamos procmail como mailer local

  Mailer's flags:
l  mailer local
s  limpiar la dirección de basura 
D  añadir Date: header (si existe)
F  añadir From: header (si existe)
M  añadir Message-Id: header (si existe)
A  ARPA compatible mailer

Aquí está el código fuente para el "falso" xlocal mailer.
Compilación:

cc xlocal.c
mv a.out xlocal