1dam SSF Ut10 Apuntes

SI10_Contenidos
1 de 49
http://www3.gobiernodecanarias.org/medusa/eforma/fpd/2014-15/plugi...
Administracin de la red (Linux III).

Caso prctico
Mara visita a Juan.
-Juan, vamos a mejorar la red de la empresa y para eso necesito
servidor para que acte como router y le
que utilices un
proporcione a le empresa los servicios ms importantes.
Encaminamiento y
DHCP, y luego le instalaremos ms
servicios.
-Muy bien Mara, he visto por Internet que Linux funciona muy bien
con redes. De hecho su mxima potencia se utiliza para actuar como servidor. Ahora mismo me pongo
a configurar el servidor.
16/10/2014 3:08
SI10_Contenidos
2 de 49
1.- Esquema bsico de red.
Caso prctico
Juan se dispone a disear la red, pero antes de empezar, va a hacer un
esquema de red, ya que este esquema le ser de utilidad, para
mantener la red y para cuando tenga que hacer cambios en la misma.
Con la fuerte expansin que ha tenido Internet se ha generalizado la utilizacin

de redes en las empresas y en nuestros hogares. Hoy en da para un empresa
es totalmente necesario disponer de una red interna que le permita compartir
informacin, conectarse a Internet e incluso, ofrecer sus servicios en Internet.
En esta unidad aprenders a configurar el sistema GNU/Linux para convertirlo
en un potente router que provea a la red de los servicios necesarios:
encaminamiento, DHCP y
DNS. Para poder aprender mejor a administrar el
sistema nuestro objetivo es configurar la infraestructura de red que se muestra
en la siguiente figura y que puede utilizarse en una empresa o domicilio.
A la hora de configurar la red hay que tener en cuenta los siguientes objetivos:
Configurar
iptables para darle acceso a Internet a los clientes de la
red interna.
Esquema bsico de red.
Configurar el servidor DHCP para que asigne de forma automtica las
direcciones que van desde la 10.0.0.100 a la 10.0.0.254. Las dems direcciones las asignar el
administrador de la red de forma manual.
Adems, se dispone de una impresora de red que tiene la direccin MAC (AA:BB:CC:DD:EE:FF) a la que
se le quiere asignar siempre la IP 10.0.0.254.
Configurar el servidor de nombres para que administre el dominio miempresa.com. Adems, se tiene que
crear los siguientes registros: www.miempresa.com y ftp.miempresa.com apuntan a la IP 10.0.0.1;
mail.miempresa.com es equivalente a www.miempresa.com; y el servidor de correo electrnico se
encuentra en mail.miempresa.com.
Por ltimo, se configuran los servicios Web y
FTP para que la empresa tenga su propio servidor de
pginas web y FTP.
16/10/2014 3:08
SI10_Contenidos
3 de 49
1.1.- Configuracin de la red.

Una vez que tienes claro el esquema de red que vas a implementar, el primer
paso que debes realizar es configurar correctamente las diferentes interfaces
de red de nuestro servidor (que acta como router) y de los clientes.
Bsicamente existen dos formas de configurar las tarjetas de red de nuestro
equipo: manualmente o dinmicamente a travs de un servidor DHCP. A
continuacin se van a ver ambos mtodos de configuracin.
16/10/2014 3:08
SI10_Contenidos
4 de 49
1.1.1.- Configuracin de la red cableada.

Para configurar una interfaz de red es necesario asignarle una
direccin IP con su respectiva mscara de red. El comando ms
utilizado para configurar la red es
ifconfig (Interface Configuration).
Por ejemplo:
# ifconfig eth0 192.168.1.2 netmask 255.255.255.0 up
En este caso estas configurando la interfaz eth0 (primera tarjeta de

Comando ifconfig.
red detectada) con la direccin IP 192.168.1.2 y con mscara de red
255.255.255.0. El parmetro up indica que la tarjeta debe activarse, pero puede omitirse puesto que al asignarle
los parmetros de red la tarjeta se activar por defecto. Para desactivar una interfaz de red ejecuta:
# ifconfig eth0 down
Para activar una interfaz de red ejecuta:
# ifconfig eth0 up
Para comprobar la configuracin de las interfaces de red ejecuta el comando ifconfig. Tal y como puedes ver en la
siguiente figura la interfaz eth0 tiene la direccin 192.168.118.142 (la ha obtenido de forma automtica) y la
interfaz eth1 tiene la direccin IP 10.0.0.1.
Para que el equipo pueda conectarse a una red diferente de la que se
encuentra (por ejemplo, Internet) necesita establecer la puerta de
enlace. La puerta de enlace es el equipo que permite comunicar varias
redes. Por ejemplo, si el equipo se encuentra conectado a la red
192.168.0.0/24 en la interfaz eth0 y la puerta de enlace es
192.168.0.1, debes ejecutar el siguiente comando:
# route add net 0/0 gw 192.168.0.1 eth0
Configuracin de red.
Si quieres puedes realizar la configuracin mediante el entorno grfico xWindows. Para ello, en el men Sistema
> Preferencias ejecuta la herramienta Conexiones de red.
16/10/2014 3:08
SI10_Contenidos
5 de 49
1.1.2.- Configuracin de la red inalmbrica.

Desde los sistemas GNU/Linux es posible configurar la red inalmbrica a travs del comando
iwconfig o a
travs del asistente de Conexin. Para acceder a la red inalmbrica de forma grfica, en el men de herramientas
superior, pulsa en el icono de la red inalmbrica y selecciona la red a la que deseas conectarse. Si la red
inalmbrica requiere autentificacin, indica la contrasea
WEP o
WPA y pulsa el botn Conectar.
Acceso de la red inalmbrica.
Automticamente, el asistente establece la conexin a la red inalmbrica y muestra en pantalla un mensaje de que
el proceso se ha realizado correctamente.
Establecida conexin inalmbrica
16/10/2014 3:08
SI10_Contenidos
6 de 49
1.1.3.- Ficheros de configuracin.

El problema de configurar las interfaces de red con ifconfig es que no se guardan
los datos de configuracin en ningn fichero, al reiniciar el equipo se pierde la
configuracin. A continuacin se van a ver los diferentes ficheros de configuracin
que intervienen en la configuracin de la red del equipo.
La configuracin de las interfaces de red se guarda en el fichero /etc/network
/interfaces. Siguiendo el esquema de red propuesto anteriormente, la interfaz de red
eth0 es la encargada de conectarse a Internet mientras que la interfaz eth1
pertenece a la red interna. Los parmetros de configuracin de eth0 los tiene que
facilitar el proveedor de Internet o los puedes obtener automticamente utilizando
DHCP.
Fichero /etc/network/interfaces.
auto eth0
iface eth0 inet dhcp
auto eth1
iface eth1 inet static
address 10.0.0.1
netmask 255.255.255.0
network 10.0.0.0
broadcast 10.0.0.255
# gateway 10.0.0.1
Aunque lo normal es que eth0 obtenga la direccin IP de forma automtica al iniciar el equipo puedes hacerlo
manualmente ejecutando:
# dhclient eth0
Configuracin del nombre del equipo.

Para configurar el nombre del equipo hay que modificar el fichero /etc/hostname e indicar el nombre del equipo.
Configuracin del servidor DNS.
Existen dos formas para la resolucin de nombres: de forma local o a travs de un servidor de nombres (DNS).
Para la resolucin de nombres de forma local se utiliza el fichero /etc/hosts en donde se guarda el nombre y la
direccin IP de las mquinas locales. Por ejemplo:
127.0.0.1
193.147.0.29
localhost.localdomain
localhost
www.mec.es
Para establecer los servidores de resolucin de nombres (DNS) debes editar el fichero /etc/resolv.conf. Por
ejemplo:
nameserver 8.8.8.8
nameserver 150.214.156.2
16/10/2014 3:08
SI10_Contenidos
7 de 49
Actualizar los cambios.

Una vez realizada la configuracin del sistema para que se apliquen los cambios en las interfaces de red hay que
reiniciar el servicio o hacer un reload ejecutando:
# /etc/init.d/networking force-reload
Autoevaluacin
Indica la opcin incorrecta.
En el archivo /etc/resolv.conf se guardan los servidores de nombres.
El comando ifconfig es la nica forma de configurar la red.
En el fichero /etc/network/interfaces se guarda la configuracin de las interfaces de red.
El servicio DHCP permite obtener la configuracin IP de forma automtica.
16/10/2014 3:08
SI10_Contenidos
8 de 49
1.1.4.- Comprobacin.
Para comprobar la conexin a Internet puedes ejecutar el comando
ping indicando como parmetro cualquier direccin de Internet. Por
ejemplo:
$ ping www.google.es
Comando ping.
Si al realizar el ping se recibe respuesta entonces la comunicacin se est realizando correctamente. Si por el
contrario indica que todos los paquetes se han perdido (100% packet loss) debes comprobar la configuracin de
red o los parmetros de configuracin. En la figura anterior puedes ver como el servidor www.google.es responde
correctamente al comando ping.
Para comprobar la configuracin de la red de forma grfica es posible utilizar las Herramientas de red. Para ello
en el men Sistema > Administracin ejecuta la aplicacin Herramientas de red.
Herramientas de red.
La aplicacin Herramientas de red incluye informacin relacionada con nuestros dispositivos de red. Permite
realizar ping a un determinado host. Incluye la posibilidad de ver el estado de las conexiones de mi equipo,
utilizando netstat. Permite utilizar traceroute para ver la ruta entre mi equipo y un equipo remoto. Tiene una pestaa
para explorar puertos, que me permite analizar y/o visualizar los puertos que estn abiertos o cerrados de un
determinado equipo. Tiene un herramienta de bsqueda. Usando finger se puede autenticar los usuarios que estn
siendo usados en un determinado host de la red. Finalmente con whois se pueden identificar todos los detalles de
la adquisicin de un determinado dominio.
16/10/2014 3:08
SI10_Contenidos
9 de 49
1.2.- iptables.
La tecnologa de
firewall de GNU/Linux ha evolucionado desde sencillos filtros de
paquetes lineales hasta los motores actuales de inspeccin de paquetes de estado. Los
ncleos de Linux 2.0 emplean una implementacin de reglas de filtrado de paquetes
que utilizan tres pilas: INPUT (trfico de entrada), OUTPUT (trfico de salida) y
FORWARD (paquetes que se reenvan a otro equipo). Los paquetes llegan a la parte
superior de las pilas y se filtran a travs de las reglas hasta que exista una coincidencia.
En este punto, cada paquete se puede aceptar, descartar, rechazar o reenviar. Si el
paquete no coincide con ninguna de las reglas, pasa a la directiva predeterminada, que
normalmente descarta el paquete.
Aunque la capacidad nativa de firewall de los ncleos de Linux 2.0 era ms que
adecuada para generar firewalls, en la siguiente versin del ncleo 2.2 apareci
Ipchains que incorpor nuevas y eficaces caractersticas: permite la definicin de
nuevas pilas y mejora la administracin de las reglas de una pila.
A partir del desarrollo del ncleo 2.3, los programadores de Linux comenzaron a trabajar en iptables (tambin
llamado netfilter). Iptables mejor las ventajas de administracin de conjuntos de reglas al permitir la capacidad de
crear y anular asociaciones de conjunto de reglas con sesiones existentes. Con iptables, el firewall se puede
programar para asociar el trfico devuelto generado a partir de una regla INPUT anterior. El trfico que entra
correctamente en el host puede salir automticamente del host al ser devuelto, indicando simplemente que
genere dinmicamente una regla de devolucin.
Las ventajas de la tecnologa de inspeccin de paquetes de estado (SPI, State Packet Inspection) no se limitan a
la eficacia de las reglas. Ipchains no permite diferenciar la "verdadera naturaleza" del trfico de la red. Por
ejemplo, un firewall ipchains programado para permitir el trfico FTP de salida tambin tendr una regla INPUT
asociada para permitir la devolucin de paquetes. Si un atacante puede fabricar paquetes FTP devueltos,
Ipchains permite su entrada. Con SPI no existe ninguna sesin para asociar estos paquetes falsificados y, por
tanto, el firewall los rechazara.
Resumen textual alternativo
O si lo prefieres puedes descargarte el documento explicando la configuracin de iptables.
16/10/2014 3:08
SI10_Contenidos
10 de 49
1.2.1.- Resolucin del supuesto prctico.

A continuacin se va a configurar el cortafuegos para que permita que la red Interna
pueda conectarse a Internet.
Para establecer que el sistema acte como router hay que ejecutar:
# echo "1" >/proc/sys/net/ipv4/ip_forward
Limpia la configuracin del cortafuegos:

# iptables -F
# iptables -t nat -F
Indica que la red interna tiene salida al exterior por
NAT:
# iptables -t nat -A POSTROUTING -s 10.0.0.0/24 -d 0/0 -j MASQUERADE
Se permite todo el trfico de la red interna y todo lo dems se deniega:

# iptables -A FORWARD -s 10.0.0.0/24 -j ACCEPT
# iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
# iptables -A FORWARD -j DROP
Guarda la configuracin del cortafuegos ejecutando:

# iptables-save >/etc/iptables.rules
Y modifica el fichero /etc/sysctl.conf para establecer la variable net.ipv4.ip_forward=1.

Para comprender mejor iptables se va a realizar una mejora del supuesto en la que la red interna slo tiene acceso
al exterior para ver pginas web (puerto 80/TCP) y para la resolucin de nombres (53/UDP y 53/TCP). Adems,
se va a publicar un servidor web interno que se encuentra en la direccin 10.0.0.100.
Limpia la configuracin del cortafuegos:
# iptables -F
# iptables -t nat -F
Indica que la red interna tiene salida al exterior por NAT.
# iptables -t nat -A POSTROUTING -s 10.0.0.0/24 -d 0/0 -j MASQUERADE
Se permite slo el trfico web (80/tcp) y DNS (53/udp y 53/tcp). Todo lo dems se deniega:
16/10/2014 3:08
SI10_Contenidos
11 de 49
# iptables -A FORWARD -s 10.0.0.0/24 -p TCP --dport 80 -j ACCEPT

# iptables -A FORWARD -s 10.0.0.0/24 -p TCP --dport 53 -j ACCEPT
# iptables -A FORWARD -s 10.0.0.0/24 -p UDP --dport 53 -j ACCEPT
# iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
# iptables -A FORWARD -j DROP
Redirige el trfico web que entra por la interfaz externa (eth0) al servidor de la red interna:
# iptables -t nat -A PREROUTING -i eth0 p tcp --dport 80 -j DNAT -- to 10.0.0.100:80
Guarda la configuracin del cortafuegos ejecutando:
Finalmente, modifica el fichero /etc/network/interfaces y escribe al final:
pre-up iptables-restore </etc/iptables.rules
16/10/2014 3:08
SI10_Contenidos
12 de 49
1.3.- DHCP.
El mantenimiento y la configuracin de la red en los equipos de una red
pequea es relativamente fcil. Sin embargo, cuando se dispone de una
red grande con equipos heterogneos, la administracin y asignacin
de direcciones IPs as como la configuracin de los equipos, se
convierte en una tarea compleja de difcil mantenimiento y gestin.
Cualquier cambio en la configuracin de red, el servidor de nombres, la
direccin IP asignada, la puerta de enlace, etctera, conlleva un
excesivo tiempo para ejecutar la tarea.
Por otra parte, en entornos con equipos mviles, la gestin y asignacin de direcciones supone una tarea
compleja que, aunque puede resolverse con la asignacin de direcciones IP estticas, conlleva la asociacin fija
de una direccin IP al mismo equipo, para evitar conflictos, y la imposibilidad de su reutilizacin si un porttil no
est conectado a la red local en un momento determinado.
ste es el mismo problema que se presenta en el entorno de trabajo de un ISP: o se dispone de un sistema de
asignacin dinmica y flexible que permita reutilizar las direcciones de tal forma que slo los equipos conectados
en un momento determinado a la red tienen asignada una direccin IP, o se dispone de una direccin IP distinta
por cada cliente es inviable con el nmero de usuario conectados a Internet. El servidor DHCP surge ante la
necesidad de realizar la asignacin dinmica y automtica de las direcciones IP de una red.
El servidor DHCP se encarga de gestionar la asignacin de direcciones IP y de la informacin de configuracin de
la red en general. Para ello, necesita de un proceso (dhcpd) y un fichero de configuracin (/etc/dhcpd.conf) que
proporciona la informacin necesaria al proceso.
Los datos mnimos que un servidor de DHCP proporciona a un cliente son: direccin IP, mscara de red, puerta
de enlace (gateway) y servidor DNS.
El protocolo DHCP incluye dos mtodos de asignacin de direcciones IP:
Asignacin dinmica. Asigna direcciones IPs libres de un rango de direcciones establecido por el
administrador en el fichero /etc/dhcpd.conf. Es el nico mtodo que permite la reutilizacin dinmica de
las direcciones IP.
Asignacin por reservas. Si quieres que un dispositivo o equipo tenga siempre la misma direccin IP
entonces la mejor forma es establecer una reserva. Para ello, en el fichero de configuracin para una
determinada direccin MAC se asignar una direccin IP. Este mtodo es muy til para aquellos
dispositivos que no cambian de direccin IP. Por ejemplo, es deseable que una impresora en red tenga
siempre la misma direccin IP ya que si cambia de direccin IP debes configurar nuevamente la impresora
en todos los equipos clientes que la utilicen.
En el fichero /etc/dhcpd.conf se almacena toda la informacin referente a la asignacin de direcciones IPs a los
clientes. Esta informacin incluye:
Rango de direcciones IP a otorgar a los clientes.
Asociacin fija de direcciones IP a clientes, mediante el uso de la direccin MAC.
Periodo de validez de las asignaciones.
Servidores de nombres y wins.
Si tienen o no autoridad para asignar direcciones IP.
16/10/2014 3:08
SI10_Contenidos
13 de 49
1.3.1.- Resolucin del supuesto prctico.

En primer lugar, es necesario realizar la instalacin del servidor DHCP
ejecutando:
# apt-get install dhcp3-server
Configurar el servidor DHCP para la asignacin dinmica de direcciones IP,

de tal forma que se preste servicio a la red 10.0.0.0/24 y, por otro lado, realizar una reserva al porttil con direccin
MAC (AA.BB:CC:DD:EE:FF) para que se le asigne siempre la direccin IP 10.0.0.254.
Para comenzar con la configuracin, debes indicar los parmetros generales del servidor y comunes a los
equipos de la red, la informacin necesaria para que ste sepa cmo comportarse. As, si el servidor
dhcp.ejemplo.es es el que tiene la autoridad sobre la zona, se quiere que el tiempo mximo de asignacin de una
direccin IP sea de una semana (max-lease-time). Para ello el fichero /etc/dhcp3/dhcpd.conf debe tener el siguiente
contenido:
authoritative;
one-lease-per-client on;
server-identifier 10.0.0.1;
default-lease-time 604800;
max-lease-time 604800;
ddns-update-style ad-hoc;
Posteriormente, se deben introducir los parmetros generales que se transmitirn a los clientes de la red. La red
10.0.0.0 con la mscara de red 255.255.255.0 tiene como puerta de enlace la direccin IP 10.0.0.1 y quiere
utilizar los servidores de nombres 8.8.8.8 y 194.224.52.36. Adems, hay que tener en cuenta el rango de
direcciones IP que desea asignar por DHCP que en el ejemplo es desde la direccin 10.0.0.100 a la 10.0.0.254.
A partir de estos parmetros de configuracin debes escribir en el fichero la siguiente configuracin:
subnet 10.0.0.0 netmask 255.255.255.0 {

range 10.0.0.100 10.0.0.254;
option subnet-mask 255.255.255.0;
option broadcast-address 10.0.0.255;
option routers 10.0.0.1;
option domain-name-servers 8.8.8.8, 194.224.52.36;
option domain-name "miempresa.com";
}
Como se desea realizar la reserva de la direccin IP 10.0.0.254 para el porttil con la direccin MAC
AA:BB:CC:DD:EE:FF debes aadir las siguientes lneas:
host portatil {
hardware ethernet AA:BB:CC:DD:EE:FF;
fixed-address 10.0.0.254;
}
Para comprobar que la configuracin del servidor dhcpd se ha realizado correctamente ejecuta:
16/10/2014 3:08
SI10_Contenidos
14 de 49
# dhcpd3 eth1
Siendo eth1 la interfaz de red donde quiere que el servidor dhcpd ofrezca sus servicios.
Una vez configurado correctamente el servidor, inicia el servicio ejecutando:
# service dhcp3-server start
Finalmente, configura el sistema para que se inicie automticamente el servicio dhcp al iniciar el equipo:
# chkconfig dhcp3-server on
De esta forma el servidor dhcpd ir asignando automticamente las direcciones IP a los equipos que se conecten
a la red. Para comprobar las asignaciones que se han realizado puedes consultar el fichero /var/lib/dhcp3
/dhcpd.leases donde, como puedes ver a continuacin, se muestran los datos de cada concesin de direccin IP:
Datos ms importantes del servicio DHCP.

Nombre del servicio:
Fichero de configuracin:
Concesiones de direcciones:
Comandos ms utilizados:
dhcp3-server
/etc/dhcp3/dhcpd.conf
/var/lib/dhcp3/dhcpd.releases
dhcpd3
dhclient
Autoevaluacin
Qu funcin NO realiza el servicio DHCP?
Permite que los clientes obtengan la direccin IP de forma automtica.
Permite realizar reservas de direcciones IP.
Permite optimizar las direcciones IP de la red.
Permite dar una mayor seguridad.
16/10/2014 3:08
SI10_Contenidos
15 de 49
2.- Compartir archivos e impresoras (Samba).
Caso prctico
Ana y Juan estn cada uno utilizando su ordenador.
-Juan, tengo aqu todos los documentos que me pediste pero ocupan
mucho espacio y no tengo USB cmo te los paso?
-Muy fcil, vamos a compartir una carpeta por red y me lo pasas.
-As de fcil cmo se hace?
Samba es el mtodo ms utilizado para permitir la integracin entre

sistemas, ya que permite que los equipos Windows y GNU/Linux
puedan compartir carpetas e impresoras entre s.
Samba es una coleccin de programas que hacen que Linux sea capaz
de utilizar el protocolo SMB (Server Message Block) que es la base
para compartir ficheros e impresoras en una red Windows. Los posibles
clientes para un servidor SMB incluyen Windows y otros sistemas
GNU/Linux.
Samba esta compuesto por tres paquetes: samba-common (archivos comunes), samba-client (cliente) y samba (que
es el servidor). Por lo tanto, los paquetes que necesitas instalar dependen del uso que quieras darle al equipo.
Para instalar el cliente y servidor de samba es necesario ejecutar:
# apt-get install samba4 smbclient
A continuacin, inicia el servicio ejecutando:
# service samba4 start
Para que Samba funcione correctamente primero debes dar de alta los usuarios del sistema y luego configurar
los recursos a compartir.
16/10/2014 3:08
SI10_Contenidos
16 de 49
2.1.- Gestin de usuarios.

Samba realiza una gestin de usuarios independiente a la del sistema operativo.
Por esta razn necesitas dar de alta a los usuarios que vayan a utilizar Samba.
El comando smbpasswd se utiliza para administrar los usuarios de Samba, y sus
contraseas. La sintaxis del comando es:
# smbpasswd -opcion usuario
Donde -opcion es la opcin a realizar y usuario es el nombre del usuario con el

que quieres trabajar.
As por ejemplo, para aadir el usuario juan debes ejecutar el comando smbpasswd -a juan e introducir su
contrasea:
# smbpasswd
-a juan
New SMB password:

Retype new SMB password:
Added user juan.
Y para eliminarlo hay que ejecutar:
# smbpasswd -x juan
Deleted user juan.
Para poder aadir un usuario en samba ste tiene que existir en el sistema. Para dar de alta un usuario
en el sistema utiliza el comando adduser.
Para ver todos los usuarios de Samba en las primeras versiones bastaba con ver el contenido del fichero
/etc/samba/smbpasswd pero en las actuales versiones los usuarios y contraseas se guardan en la base de datos de
Samba.
Para ver los usuarios de Samba debes ejecutar el siguiente comando:
# pdbedit -w -L
juan:500:XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX:3527DA04C3D767E36C618ED59764BD43:[U
]:LC
encarni:503:XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX:0D7F1F2BDEAC6E574D6E18CA85FB58A7:[U
16/10/2014 3:08
SI10_Contenidos
17 de 49
2.2.- Compartir carpetas.

Para compartir una carpeta hay que modificar el fichero de configuracin de samba
/etc/samba/smb.conf. En la siguiente tabla puedes ver las opciones ms importantes
para compartir carpetas.
El ejemplo ms sencillo que se puede realizar es compartir una carpeta de forma
pblica para todos los usuarios. Para ello aada:
[publico]
path = /publico
public = yes
read only = yes
Opciones ms utilizadas de smb.conf.

Opcin.
Comentario.
[ recurso ]
Nombre del recurso compartido.
browseable
Indica si se puede explorar dentro del recurso. Los posibles valores son no y yes.
comment
create mode
Proporciona informacin adicional sobre el recurso (no afecta a su forma de operar).

Especifica los permisos por defecto que tienen los ficheros creados.
directory
mode
Especifica los permisos por defecto que tienen los directorios creados.
force user
Especifica el usuario propietario que tienen los ficheros y carpetas que se crean.
force group
guest ok
path
public
read only
valid users
writable
write list
Especifica el grupo propietario que tienen los ficheros y carpetas que se crean.
Indica si se permite el acceso a usuarios annimos. Los posibles valores son no y yes.
Carpeta a compartir.
Indica si el directorio permite el acceso pblico. Los posibles valores son no y yes.
Indica que el directorio es slo lectura. Los posibles valores son no y yes.
Indica los usuarios que pueden acceder a la carpeta. Para aadir un grupo entonces hay que
poner el nombre del grupo precedido de la @.
Indica que se puede modificar el contenido de la carpeta.
Indica los usuarios que pueden modificar el contenido.
O si lo prefieres, puedes establecer que el recurso sea accesible solamente por unos determinados usuarios:
[miscosas]
path = /datos/
comment = Datos y aplicaciones
valid users = juan,encarni,@master
16/10/2014 3:08
SI10_Contenidos
18 de 49
Lgicamente los usuarios se han tenido que crear previamente y el grupo master debe existir en el fichero
/etc/group.
master:x:502:juan,encarni
A continuacin se ampla el ejemplo pero estableciendo el permiso de escritura para el usuario juan y el permiso
de lectura para el usuario encarni y el grupo master. Adems, cuando un usuario crea un fichero o carpeta ste se
crea en el sistema con un propietario (juan:juan) y unos determinados permisos (770).
[miscosas]
path = /datos/
comment = Datos y aplicaciones
valid users = juan, encarni,@master
writeable = yes
write list = juan
read list = juan,@master
force user = juan

force group = juan
create mode = 770
directory mode = 770
Cuando se comparte una carpeta es necesario establecer los permisos en el fichero de configuracin
y en el sistema de ficheros. Para ello puedes utilizar los comandos: chmod, chown y chgrp.
Finalmente, para que se apliquen los cambios reinicia el servicio:
# service samba4 restart
16/10/2014 3:08
SI10_Contenidos
19 de 49
2.3.- Compartir impresoras.

Existen dos formas de compartir las impresoras que se encuentran conectadas al equipo para que las puedan
utilizar todos los clientes de la red: a travs de la herramienta grfica system-config-printer o utilizando samba.
Existen impresoras con tarjeta de red que permiten a los clientes imprimir directamente sin necesidad
de ningn servidor.
system-config-printer
La herramienta Impresoras, que se encuentra dentro del men Sistema > Administracin, permite compartir las
impresoras del sistema de una forma grfica. Al iniciar la herramienta, el sistema muestra las impresoras activas.
Impresoras.
Las tareas ms frecuentes que se pueden realizan son:

Compartir las impresoras a travs de Internet. Para que
otros equipos puedan utilizar las impresoras del servidor ve al
men Servidor y selecciona Configuracin. En la ventana que
se muestra activa la casilla Publicar impresoras compartidas y
Permitir la impresin desde Internet.
Compartir una impresora. Selecciona la impresora que
deseas compartir, pulsa el botn derecho, seleccione
Propiedades y en la pestaa Control de acceso indica los
Opciones del servidor.
usuarios que pueden utilizar la impresora.
Administrar los grupos de impresin. Permite que varias impresoras formen un mismo grupo, de forma
que cuando se enva un trabajo se procese en la impresora que se encuentre disponible.
Para gestionar los trabajos de la impresora selecciona la impresora, pulsa el botn derecho y
selecciona Ver la
cola de impresin. En la ventana que aparece permite ver y administrar todos los
trabajos de la impresora.
Samba
Para compartir una impresora hay que aadir en el fichero de configuracin de Samba /etc/samba/smb.conf un
nuevo recurso siguiendo la siguiente estructura:
[printers]
comment = All printers
path = /var/spool/samba
browseable = no
printable = yes
public = no
writable = no
create mode = 0700
El acceso a las impresoras GNU/Linux desde Windows funciona de la misma forma que los directorios. El nombre
compartido es el nombre de la impresora Linux en el fichero printtab. Por ejemplo, para acceder a la impresora
HP_laserjet, los usuarios de Windows deber acceder a \\smbserv\HP_laserjet.
A modo de resumen, en la tabla se muestran los parmetros utilizados en la seccin [printers].
16/10/2014 3:08
SI10_Contenidos
20 de 49
Opciones ms utilizadas de smb.conf (seccin printers).

Parmetro.
comment
Comentario.
Proporciona informacin sobre la seccin (no afecta a la operacin).
path
Especifica la ruta de acceso a la cola de impresin o spool (que por defecto es /var/spool
/samba). Es posible crear un directorio de spool para Samba y hacer que apunte a l.
browseable
Como con los directorios raz, si indica NO se asegura de que slo pueden ver las impresoras
los usuarios autorizados.
printable
public
writable
Se debe poner YES, si no se hace as no funcionarn las impresoras.

Si se pone YES, cualquier usuario podr imprimir (en algunas redes se pone NO para evitar la
impresin excesiva).
Las impresoras no son escribibles, por lo tanto escriba NO.
16/10/2014 3:08
SI10_Contenidos
21 de 49
2.4.- Asistentes de configuracin.

Dado el gran uso que se realiza de Samba para compartir informacin entre sistemas Windows y GNU/Linux,
existen varias interfaces que facilitan el proceso de configuracin del sistema. Las interfaces ms importantes
son:
Swat. Es una interfaz web especfica para administrar Samba. Para realizar la instalacin debes ejecutar:
# apt-get install swat
Finalmente, inicia el navegador y escribe la direccin http://127.0.0.1:901 y aparece la interfaz de

administracin de swat.
Webmin. Como siempre webmin permite configurar cualquier servicio del servidor. Para acceder al
mdulo de configuracin pulse en Servers. Samba Windows File Sharing.
Administracin de samba utilizando swat.
Administracin de samba utilizando webmin.
system-config-samba. Por ltimo, tambin dispones de la herramienta de xWindows para administrar

samba. Para instalarla debes ejecutar:
# apt-get install system-config-samba
Adems, es necesario instalar las siguientes dependencias:
# apt-get install gksu python-gtk2 python-glade2
system-config-samba
16/10/2014 3:08
SI10_Contenidos
22 de 49
2.5.- Cliente.
Adems de actuar como servidor de ficheros, el equipo puede utilizarse como
cliente para acceder a los recursos compartidos que hay en otros servidores.
Existen varias formas para acceder desde GNU/Linux a carpetas e impresoras
compartidas. La forma ms sencilla es mediante dos programas cliente que vienen
en la instalacin de Samba: smbclient y smbprint. Aunque esta solucin funciona,
est algo limitada, particularmente en el acceso a ficheros. Smbclient proporciona
una forma similar a un servidor FTP para acceder a un recurso remoto compartido.
No permite el uso de comandos normales de Unix como cp y mv para manipular los
ficheros y, por lo tanto, no permite acceder a los recursos compartidos de otras
aplicaciones (a diferencia de los sistemas de ficheros remotos montados con
NFS, que aparecen para las aplicaciones GNU/Linux como sistemas de ficheros
locales).
Este problema se puede evitar montando el sistema de ficheros compartidos samba en GNU/Linux, como se hace
con sistemas de ficheros NFS y locales.
La forma ms sencilla de acceder a un recurso compartido de Samba es montarlo en una carpeta y as poder
acceder al contenido del recurso de la misma forma que lo haces con cualquier otra carpeta del sistema.
Para montar el recurso primero hay que crear la carpeta donde se va a montar el recurso y luego ejecuta el
comando mount.
$ mkdir /prueba
$ mount -t cifs o user=usuario,pass=contrasena //10.0.0.1/recurso /prueba
Donde:
-t cifs. Indica el tipo de ficheros que se va a utilizar que en este caso es cifs.
-o user=usuario,pass=contrasena. Indica el nombre del usuario y la contrasea con la quiere acceder.
//10.0.0.1/recurso. Indica la direccin IP y el nombre del recurso al que quieres acceder.
/prueba. Es el directorio donde se va a montar el recurso compartido.
Para ver si se ha montado correctamente el recurso puedes ejecutar el comando mount o entrar en la
carpeta y ver su contenido.
Para que el recurso se monte automticamente al iniciar el equipo hay que aadir al fichero /etc/fstab la siguiente
lnea:
//10.0.0.1/recurso /prueba cifs rw,username=login,password=pass 0 0
Donde username y password especifican el nombre y la contrasea del usuario con el que acceder al servidor.
Datos ms importantes del servicio Samba.

samba4
/etc/samba/smb.conf
smbpasswd smbclient pdbedit mount
Puertos utilizados:
137/UDP, 138/UDP, 139/TCP y 445/TCP
16/10/2014 3:08
SI10_Contenidos
23 de 49
3.- NFS.
Caso prctico
Ana visita a Juan porque tiene un problema
-Juan, tengo que hacer que dos servidores compartan informacin
entre s y he pensado en utilizar SAMBA tal y como me enseaste
hace poco. Es la mejor opcin?
-Samba esta pensado para compartir carpetas e impresoras entre
equipos Windows. Si ambos equipos son GNU/Linux lo mejor es que
utilices NFS que es un servicio mucho ms seguro. Mira te enseo a
utilizarlo, es muy fcil!
NFS (Network File System) es un servicio que permite que los equipos
GNU/Linux puedan compartir carpetas entre s. El servicio NFS se
basa en el modelo cliente/servidor de forma que un servidor comparte
una carpeta para que los clientes puedan utilizarla. De esta forma, una
vez que un cliente monta una carpeta compartida puede utilizarla
normalmente; como si se tratara de una carpeta del sistema de
ficheros local.
Para instalar el servicio nfs debes ejecutar:
# apt-get install nfs-kernel-server nfs-common portmap
Antes de iniciar la configuracin hay que iniciar el servicio ejecutando:
# service nfs-kernel-service start
16/10/2014 3:08
SI10_Contenidos
24 de 49
3.1.- Compartir una carpeta.

Para indicar los directorios que se desean compartir hay que modificar el fichero
/etc/exports de la siguiente forma:
<directorio> <IP>(permisos) <IP>(permisos)...
Los permisos que se pueden establecer son: rw (lectura y escritura) y ro (lectura).

Por ejemplo, para compartir la carpeta /datos para que el equipo 192.168.20.9
pueda acceder en modo lectura y escritura, y el equipo 192.168.20.8 tan slo
pueda acceder en modo lectura se escribe:
/datos 192.168.20.9(rw) 192.168.20.8(ro)
La carpeta se comparte solamente a la IP establecida en el fichero /etc/exports por el usuario nfsnobody.

De forma que la carpeta que estas compartiendo tiene que tener los permisos para el usuario nfsnobody. Para
establecer los permisos ejecuta:
# chmod 660 /datos -R

# chown nfsnobody /datos -R
# chgrp nfsnobody /datos -R
Como el usuario nfsnobody tiene un UID y GID diferente en cada equipo es recomendable asignarle el mismo
identificador modificando los ficheros /etc/passwd y /etc/groups tanto en los equipos clientes como servidores.
Una vez compartida la carpeta, reinicia el servicio ejecutando:
# service nfs-kernel-service restart
16/10/2014 3:08
SI10_Contenidos
25 de 49
3.2.- Configuracin del cliente.

Para acceder al directorio que comparte el servidor hay que montarlo, ya sea
manualmente, o automticamente al iniciar el equipo.
Para montar el sistema de ficheros en el cliente hay que ejecutar:
mount 192.168.20.100:/datos /prueba
Donde:
192.168.20.100:/datos es la carpeta que se ha compartido en el servidor en el fichero /etc/exports.
/mnt/trabajo es la carpeta donde se monta la carpeta compartida.
Si deseas montar la carpeta automticamente al iniciar el sistema, hay que modificar el fichero /etc/fstab aadiendo
la siguiente lnea:
192.168.20.100:/datos
/prueba
nfs
rw,hard,intr
0 0
Donde:
rw. Indica que se monta el directorio en modo lectura/escritura. Para montarlo slo en modo lectura escriba
ro.
hard. Indica que si al copiar un fichero en la carpeta compartida se pierde la conexin con el servidor se
vuelva a iniciar la copia del fichero cuando el servidor se encuentre activo.

intr. Evita que las aplicaciones se queden "colgadas" al intentar escribir en la carpeta si no se encuentra
activa.
Datos ms importantes del servicio

NFS.
Carpetas compartidas:
Puertos:
nfs
/etc/exports
mount
2049/TCP y 2049/UDP
Autoevaluacin
Qu servicios permite compartir datos con otro equipo Linux?
Telnet.
Samba.
NFS.
Mostrar Informacin
16/10/2014 3:08
SI10_Contenidos
26 de 49
4.- Acceso remoto al sistema.
Caso prctico
-Pufff, Hemos puesto el servidor en la planta de arriba y cada vez que
tengo que instalar algo tengo que subir a realizar la tarea. Estoy
cansada de tantas escaleras!
-Por qu no lo haces de forma remota?
-Cmo se hace eso?
-Muy fcil, nos conectamos por ssh o por vnc al equipo y lo utilizamos
directamente desde cualquier ordenador. Cuando terminemos el caf,
vamos y te enseo.
Los servicios ms utilizados para acceder de forma remota a un sistema GNU/Linux son:
Telnet. Permite acceder al sistema de forma remota de una manera no segura.
Open SSH. Permite acceder al sistema por terminal, pero de forma segura ya que se cifran las
comunicaciones.
VNC. Mientras que los servicios telnet y
SSH permiten conectarse al servidor por medio de un
terminal, el servidor VNC permite utilizar el servidor utilizando el escritorio instalado en el sistema: GNOME
o KDE.
16/10/2014 3:08
SI10_Contenidos
27 de 49
4.1.- SSH.
SSH es un protocolo que permite conectarse de forma segura a un
servidor para poder administrarlo. En realidad, es ms que eso, ya que
se ofrecen ms servicios como la transmisin de ficheros, el protocolo
FTP seguro e, incluso, se puede usar como transporte de otros
servicios.
El protocolo SSH garantiza que la conexin se realiza desde los
equipos deseados (para lo que usa certificados) y establece una
comunicacin cifrada entre el cliente y el servidor, mediante un
algoritmo de
cifrado robusto (normalmente con 128 bits) que se
utilizar para todos los intercambios de datos.
Pgina oficial openSSH.
A continuacin vas a ver cmo instalar y configurar el servicio OpenSSH por ser el servidor SSH ms utilizado.
Al ser SSH el mecanismo ms frecuente para acceder a un servidor, OpenSSH se instala por defecto al realizar la
instalacin del sistema. No obstante puedes realizar la instalacin de OpenSSH ejecutando:
# apt-get install ssh
E iniciar el servicio ejecutando:
# service ssh start
Finalmente, si deseas que el servicio se ejecute automticamente al iniciar el sistema ejecutars:
# chkconfig ssh on
Para saber ms
Para evitar los ataques de fuerza bruta, una de las mejores soluciones es utilizar fail2ban. Si utilizas
fail2ban cuando se realizan 5 intentos fallidos de autentificacin en el sistema, fail2ban se comunica
con el cortafuegos iptables y bloquea tu direccin IP.
fail2ban.
16/10/2014 3:08
SI10_Contenidos
28 de 49
16/10/2014 3:08
SI10_Contenidos
29 de 49
4.1.1.- Configuracin.
El servidor openSSH utiliza el fichero de configuracin /etc/ssh/sshd_config y
normalmente no es necesario modificarlo. Los parmetros ms importantes son:
Port y ListenAdress. Por defecto el servicio ssh trabaja en el puerto 22 y
responde por todas las interfaces del sistema. Los siguientes parmetros
permiten cambiar el puerto y la direccin, en las que atender peticiones:
Port 22
ListenAddress 0.0.0.0
PermitRootLogin. Establece si se permite o no el acceso del usuario root al servidor.

PermitRootLogin no
AllowUsers. Permite restringir el acceso a los usuarios del sistema. Al utilizar el parmetro AllowUsers
indica los usuarios que puedan acceder al sistema.
AllowUsers cesar sonia
Tambin es posible indicar el equipo anfitrin desde el que pueden conectarse. En el siguiente ejemplo
slo los usuarios cesar y sonia pueden conectarse al servidor desde el equipo 10.0.0.2.
AllowUsers cesar@10.0.0.2 sonia@10.0.0.2
Mensajes de entrada y conexin:

PrintMotd yes
Banner /etc/issue.net
Configuracin de seguridad y control de acceso:

IgnoreUserKnownHosts no
GatewayPorts no
AllowTcpForwarding yes
Uso de subsistemas para otras aplicaciones, como por ejemplo, FTP.

Subsystem sftp /usr/lib/openssh/sftp-server
Una vez configurado el servidor, para que se apliquen los cambios, debes ejecutar:
16/10/2014 3:08
SI10_Contenidos
30 de 49
# /etc/init.d/ssh restart
16/10/2014 3:08
SI10_Contenidos
31 de 49
4.1.2.- Cliente ssh.

Cuando se trabaja con servidores lo normal es administrarlos de forma
remota a travs de SSH o Webmin. Si utilizas un equipo Linux y
quieres conectarte al servidor tan slo hay que ejecutar:
$ ssh <equipo>
Conexin remota por SSH con PuTTY.
Donde equipo puede indicar el nombre del equipo o la direccin IP del mismo.
Si utilizas Windows y quieres conectarte al servidor en GNU/Linux lo mejor es utilizar la aplicacin PuTTY.
Putty.
El comando scp permite copiar ficheros en equipos remotos a travs de ssh scp /etc/passwd
10.0.0.2:/root.
Para saber ms
Es posible configurar el servidor para permitir la utilizacin de los comandos ssh y scp sin necesidad
de escribir la contrasea. Para ms informacin visita la siguiente pgina.
SSH y SCP sin contrasea.
Datos ms importantes del servicio SSH.

Host a los que se les permite el acceso:
Equipos autorizados para acceder por SSH sin contrasea:
Puerto utilizado:
sshd
/etc/ssh/sshd_config
/etc/host.allow
$HOME/.ssh/authorized_keys
ssh, scp y sftp
22/TCP
16/10/2014 3:08
SI10_Contenidos
32 de 49
4.2.- VNC.
VNC es un programa con licencia GPL que utiliza el modelo
cliente/servidor y permite acceder a un equipo remoto utilizando su
entorno grfico.
Para realizar la instalacin del servidor vnc debes realizar los
siguientes pasos:
Instala el servidor de vnc ejecutando:
# apt-get install tightvncserver
Indica la contrasea del servidor vnc ejecutando el comando:

# vncpasswd
Ejecuta el siguiente comando para crear automticamente los ficheros de configuracin e iniciar el servicio:
# vncserver
Datos ms importantes del servicio VNC.

Comandos ms importantes:
Puertos:
vncserver
/etc/sysconfig/vncservers
vncpasswd vncserver
6000/tcp, 6001/tcp, 6002/tcp y 6003/tcp.
16/10/2014 3:08
SI10_Contenidos
33 de 49
4.2.1.- Cliente.
Para acceder al servidor puede utilizar cualquier cliente VNC. Por
ejemplo, en sistemas GNU/Linux puede utilizar
Vinagre y en
sistemas Windows puede utilizar tightVNC.
Vinagre (GNU/Linux).
Si quieres acceder desde un equipo GNU/Linux a un servidor VNC, la
mejor opcin es utilizar el cliente vinagre. Para utilizar vinagre primero
debes instalarlo ejecutando.
Acceso al servidor por VNC con Vinagre.
# apt-get install vinagre
Ve al men Aplicaciones, Internet y ejecuta la aplicacin Remote Desktop Viewer. Pulsa el botn Connect, indica
la direccin del servidor VNC (por ejemplo, 10.0.0.1:5901) y pulsa Connect para acceder al servidor VNC.
tightVNC (Windows).
tightVNC es un cliente/servidor VNC que se encuentra licenciado bajo GPL. Para acceder desde Windows al
servidor VNC debe realizar los siguientes pasos:
Descargarte tightVNC.
tightVNC.
Instala en el equipo el visor tightVNC.
Ejecuta tightVNC Viewer que puedes encontrar dentro del men de aplicaciones tightVNC.
En tihgtVNC Server indica la direccin IP del servidor y el puerto (por ejemplo, 10.0.0.1:5901).
tightVNC conection.
Finalmente, pulsa el botn Connect, introduce la contrasea del servidor VNC establecida durante el
proceso de instalacin y ya tienes acceso al escritorio del servidor.
Acceso al servidor VNC con tightVNC viewer.
16/10/2014 3:08
SI10_Contenidos
34 de 49
Autoevaluacin
El servicio SSH permite el acceso remoto a travs de un terminal.
El servicio VNC permite conectarme a un equipo de forma grfica.
El servicio Telnet es seguro.
El programa tightVNC permite conectarme a un equipo Windows.
16/10/2014 3:08
SI10_Contenidos
35 de 49
5.- Servidor Web.
Caso prctico
-Para mejorar la imagen de la empresa vamos a tener nuestro
propio servidor web. Hasta ahora estbamos utilizando un servidor
externo pero como vamos a incorporar muchos nuevos servicios,
vamos a utilizar el nuestro. Juan necesito que hagas t esa tarea.
-De acuerdo, pero he visto que hay muchos servidores web Cul
utilizo?
-Aunque hay muchos servidores web, con diferencia, el ms
utilizado es Apache. As que lo mejor es instalar Apache en el servidor. Adems, es muy sencillo y
permite realizar un montn de tareas con l.
Para instalar el servidor Apache fcilmente desde repositorios ejecuta

el comando:
# apt-get install apache2
El servicio se inicia automticamente:

Pgina web de prueba de Apache .
# chkconfig apache2 on
Para iniciar ahora el servicio:
# service apache2 start
Una vez instalado, apache publica automticamente el contenido del directorio /var/www. De esta forma, para
publicar una pgina web debes crearla en dicho directorio.
Para acceder a la web principal del servidor escribe en la barra de direcciones http://localhost/ o http://direccin_ip/:
16/10/2014 3:08
SI10_Contenidos
36 de 49
16/10/2014 3:08
SI10_Contenidos
37 de 49
5.1.- Instalar mdulo php.

PHP es un lenguaje de programacin interpretado por el servidor de pginas web de forma que stas se
pueden generar de forma dinmica. PHP no slo se utiliza para este propsito, sino que adems se puede utilizar
desde una interfaz de lnea de comandos o para la creacin de aplicaciones con interfaces grficas.
Para saber ms
En la direccin web oficial del proyecto puedes encontrar una amplia documentacin sobre el
lenguaje: manuales, sintaxis utilizada, interfaz para la programacin de las aplicaciones, etctera.
Sitio oficial de PHP.
Para instalar PHP automticamente ejecuta:
# apt-get install php5
Para comprobar que PHP se ha instalado con xito puedes crear un

fichero php y ubicarlo en el directorio raz del servidor web. Por
ejemplo para mostrar toda la informacin til disponible y detalles
sobre la instalacin actual de PHP, edita el fichero /var/www//info.php.
Ejecucin de phpinfo().
# nano /var/www/info.php
El contenido del fichero incluye una sentencia para ejecutar la funcin phpinfo() que permite obtener la informacin
sobre el mdulo php.
<?php
phpinfo();
?>
As, al ejecutar el fichero en una peticin

HTTP el servidor lanza la sentencia y muestra el contenido solicitado,
de forma dinmica. Antes de probar a ejecutar este fichero reinicia el servidor Apache:
# service apache2 restart
Ahora s, inicia un navegador web y escribe en la barra de direcciones http://localhost/info.php. Como puedes ver
en la siguiente figura, PHP se encuentra correctamente instalado. Si observas con detenimiento la informacin
mostrada puedes ver, por ejemplo, que trabaja a travs de Apache, los mdulos actualmente habilitados, etctera.
16/10/2014 3:08
SI10_Contenidos
38 de 49
5.2.- Configuracin.
La configuracin de apache se almacena en el directorio de configuracin
/etc/apache2. A continuacin se van a ver las opciones de configuracin ms
utilizadas para cada uno de los ficheros:
/etc/apache2/ports.conf. Permite establecer los puertos de escucha
para las comunicaciones http normales (puerto 80) y las comunicaciones

seguras
https (puerto 443).
Listen *:80
Listen *:443
/etc/apache2/apache2.conf. Una de las opciones ms importantes es que se puede establecer el
usuario y grupo al que pertenecen los procesos que ejecuta el servidor:

User www-data
Group www-data
Apache almacena en la carpeta /etc/apache2/sites-available la configuracin de cada uno de los sitios web de
apache. Por defecto se encuentran los sitios default y default-ssl. Cada sitio tiene la siguiente estructura:
<VirtualHost *:80>
ServerAdmin servermaster@localhost
# Servername www.miempresa.com # comentado en default
DocumentRoot /var/www
DirectoryIndex index.html default.html
</VirtualHost>
Donde:
ServerAdmin es el correo electrnico del administrador del sitio web.
Servername es el nombre FQDN del sitio web. Para el dominio default no se indica ningn nombre, pero
para atender peticiones especficas de dominios (por ejemplo, www.miempresa.com) s se debe
establecer.
DocumentRoot. Indica la ubicacin donde se encuentra las pginas web del sitio.
DirectoryIndex. Indica el nombre de los ficheros que enva por defecto el servidor web.
Nuevo sitio
Por defecto el servidor web publica el directorio /var/www/ para todos los dominios pero es posible personalizar de
forma independiente cada dominio. Por ejemplo, para aadir el dominio www.miempresa.com que se aloja en la
carpeta /portales/miempresa hay que crear el fichero /etc/apache2/sites-available/miempresa.com con el siguiente
contenido:
<virtualhost *:80>
ServerName www.miempresa.com
DocumentRoot /portales/miempresa
</virtualhost>
Activar el sitio
16/10/2014 3:08
SI10_Contenidos
39 de 49
# a2ensite miempresa.com
Y reiniciar el servidor web
# service apache2 restart
Lgicamente para que el servidor web atienda un determinado dominio la entrada DNS (por ejemplo,
www.miempresa.com) debe apuntar al servidor web.
Sitio seguro (https).
Con el auge de los negocios en Internet se ha popularizado el uso de
comunicaciones cifradas entre los clientes y el servidor Web, siendo la
tecnologa de encriptacin ms utilizada el Security Socket Layer (SSL).
Para poder utilizar una pgina segura bajo https hay que realizar los
siguientes pasos:
Activar el mdulo ssl:a1
Activar el sitio default-ssl aunque si quieres puedes crear un
nuevo sitio web:a2
Reiniciar el servidor web:a3
Acceso al servicio https.
Una vez finalizado el proceso, accede a un navegador web y escribe https://IP_Servidor.
Puedes generar tu propio certificado de seguridad utilizando el comando open-ssl.
Para saber ms
Para aprender a realizar ms operaciones sobre Apache es recomendable que consultes la web
ww.adminso.es
www.adminso.es
Por ltimo, para iniciar y parar el servidor web puedes utilizar el comando service de forma que si quieres iniciar el
servicio ejecuta:
# service apache2 start
Adems, puedes parar el servicio (stop), reiniciarlo (restart) o volver a cargar la configuracin (reload).
Datos ms importantes del servidor Apache.

apache2 (Ubuntu)
/etc/httpd/conf/httpd.conf
16/10/2014 3:08
SI10_Contenidos
40 de 49
Directorio web:
Puertos:
/var/www (Ubuntu)
htpasswd
80/tcp y 443/tcp
16/10/2014 3:08
SI10_Contenidos
41 de 49
6.- Servidor FTP.
Caso prctico
Carlos va a ver a Juan porque tiene un problema.
-Hoja Juan, mira, tengo un problema y es que ya he hecho la web de la
empresa pero no s cmo subirla al servidor. Cmo se hace? Te la
mando por correo?
-No, no hace falta el correo. Es mucho ms fcil! Mira, voy a instalar el
servidor FTP y as podrs conectarte y actualizar la web de la empresa
cuando quieras,
-Genial, vamos a ver cmo lo haces!
Vsftpd (Very Secure FTP) es un servidor FTP muy pequeo y seguro.

Para instalar el servidor FTP en el sistema debes de instalar el
paquete vsftpd (Demonio FTP muy seguro). Puedes realizar la
instalacin a travs de la lnea de comandos o a travs de synaptic.
# apt-get install vsfttpd
Una vez instalado el paquete debes iniciar el servicio ejecutando:
# service vsftpd start
Para comprobar que el servidor est funcionando correctamente puedes conectarte al servidor:
$ ftp localhost
Connected to localhost (127.0.0.1).
220 (vsFTPd 2.3.0)
Name (localhost:root): usuario
331 Please specify the password.
Password:
230 Login successful. Have fun.
Remote system type is UNIX.
Using binary mode to transfer files.
ftp> ls
200 PORT command successful. Consider using PASV
150 Here comes the directory listing.
-rw-r--r--
1003
1003
179 Mar 15 18:00 examples.desktop
226 Directory send OK.

ftp> quit
221 Goodbye.
16/10/2014 3:08
SI10_Contenidos
42 de 49
Si el servidor est correctamente instalado pero no permite el acceso desde el exterior, es muy
posible que no tengas el router configurado para dejar pasar el trfico del servidor FTP.
Para saber ms
Para aprender a configurar y a proteger el servidor vsftpd es recomendable que consultes la web
ww.adminso.es.
www.adminso.es
Nunca configures el servidor FTP para permitir el acceso annimo ni permitas la escritura sin enjaular a
los usuarios del sistema.
Datos ms importantes del servidor

VSFTP.
Puerto utilizado:
vsftpd
/etc/vsftpd.conf
21/tcp
Autoevaluacin
16/10/2014 3:08
SI10_Contenidos
43 de 49

El servidor Apache trabaja normalmente en los puertos 80 y 443.
El servidor FTP trabaja normalmente en el puerto 21.
El servidor Apache trabaja normalmente en los puertos 80 y 445.
El servidor FTP puede trabajar en el puerto 44.
16/10/2014 3:08
SI10_Contenidos
44 de 49
Anexo I.- Configuracin de iptables.

Iptables puede manejar varias tablas, pero las ms importantes son:
Filter. Es la tabla predeterminada que permite el filtrado de las comunicaciones. La tabla Filter est
compuesta por tres pilas:
INPUT. Referencia el trfico de entrada.
OUTPUT. Referencia el trfico de salida.
FORWARD. Referencia el trfico que el router reenva a otros equipos.
NAT. El servicio que permite dar acceso a Internet a una red interna. Esta tabla permite definir el tipo de
comunicaciones entre la red externa y las redes internas. La tabla NAT tiene dos pilas:
POSTROUTING. Permite establecer las comunicaciones desde la red interna al exterior. Por
ejemplo, para hacer que la red interna tenga Internet.
PREROUTING. Permite establecer las comunicaciones desde la red externa a la red interna. Por
ejemplo, se utiliza para que desde el exterior se tenga acceso a un servidor interno.
Los comandos bsicos de iptables son:
iptables L. Muestra el estado de la tabla predeterminada (filter). Si quiere ver el estado de la tabla NAT
ejecuta iptables t nat L.
iptables A <parmetros> -j <accin>. Permite aadir una regla para que el cortafuegos realice una
accin sobre un trfico determinado.

iptables D <parmetros> -j <accin>. Permite quitar una regla del cortafuegos.
iptables F. Limpia la tabla de cortafuegos. Si quieres limpiar la tabla NAT ejecuta iptables t nat F.
iptables P <cadena> <accin>. Permite establecer por defecto una accin determinada sobre una pila.
Por ejemplo, si quieres que por defecto el router deniegue todo el trfico de la pila FORWARD ejecuta el
comando iptables P FORWARD DROP.
Como se ha comentado antes, con el comando iptables A <parmetros> -j <accin> puedes definir la accin que
quieras que realice el cortafuegos con un determinado trfico. En la tabla 10-1 puedes ver los parmetros que se
utilizan para especificar el trfico.
Las acciones que se pueden realizar en la tabla FILTER son:
-j
-j
-j
-j
ACCEPT. Acepta el trfico.

DROP. Elimina el trfico.
REJECT. Rechaza el trfico e informa al equipo de origen.
LOG log-prefix "IPTABLES_L". Registra el trfico que cumple los criterios en /var/log.
Las acciones que se pueden realizar en la tabla NAT son:

-j MASQUERADE. Hace enmascaramiento del trfico (NAT) de forma que la red interna sale al exterior con la
direccin externa del router.

-j DNAT --to <ip>. Se utiliza para que desde el exterior se tenga acceso a un servidor que se encuentra
en la red interna.
Tabla 10.1. Parmetros para especificar las reglas de iptables.
Tabla 10.1. Parmetros para especificar las reglas de iptables.

Elemento.
Sintaxis.
<interfaz>
Ejemplo.
i
Descripcin.
-i eth0
Interfaz de entrada.
-o <interfaz>
-o eth1
Interfaz de salida.
-s <dir_red>
-s 10.0.0.0/24
Red de origen.
-d <dir_red>
-d 0/0
Red de destino.
-p <tipo>
-p TCP
Tipo de protocolo. Las opciones son: TCP, UDP o

ICMP.
Interfaz.
Direccin.
Puerto.
16/10/2014 3:08
SI10_Contenidos
45 de 49
Elemento.
Sintaxis.
Ejemplo.
Descripcin.
--dport
<puerto>
-p
80
TCP
--dport
Indica el puerto de destino. En el ejemplo de hace

referencia al puerto de destino http (80/TCP).
--sport
<puerto>
-p
53
UDP
--sport
Indica el puerto de origen. En el ejemplo se hace

referencia al puerto de destino DNS (53/UDP).
-m
state
--state
ESTABLISHED
Indica el estado de la conexin. Los posibles estados

son: NEW, INVALID, RELATED y ESTABLISHED.
-j ACCEPT
Indica la accin que se va a realizar con un determinado

trfico. Las posibles acciones son: ACCEPT, DROP,
REJECT, LOG, DNAT y MASQUERADE.
Estado.
-m
--state
<tipo>
state
Accin.
-j <accin>
De esta forma puedes "jugar" con los parmetros de una determinada regla para poder especificar la accin que
se aplica. A continuacin puedes ver tres reglas, para permitir el trfico que reenva el router, que van desde la
ms general a la ms especfica:
iptables -A FORWARD -j ACCEPT. Permite todo el trfico.
iptables -A FORWARD -s 192.168.0.0/24 -j ACCEPT. Permite slo el trfico de la red interna
192.168.0.0/24.
iptables -A FORWARD -s 192.168.0.0/24 -p TCP dport 80 -j ACCEPT. Permite slo el trfico de la
red interna 192.168.0.0/24 en el puerto 80.
Para saber ms
Si deseas bloquear comunicaciones por su pas de origen te recomiendo que visites la pgina web
ipinfodb.com.
ipinfodb.com
Una vez configurado el cortafuegos para guardar la configuracin ejecuta:
Donde el fichero /etc//iptables.rules guarda la configuracin de iptables. Si lo deseas puedes modificarlo

directamente y cargar su configuracin ejecutando:
# iptables-restore < etc/iptables.rules
Finalmente, modificamos el fichero /etc/network/interfaces y escribimos al final:
pre-up iptables-restore </etc/iptables.rules
Adems de configurar iptables mediante comandos o a travs del fichero de configuracin, existen interfaces
grficas que facilitan el proceso de configuracin. En la siguiente tabla se muestra un listado de las interfaces ms
utilizadas entre las que destaca Webmin.
16/10/2014 3:08
SI10_Contenidos
46 de 49
Tabla 10.2. Interfaces grficas para la configuracin del firewall.
Tabla 10.2. Interfaces grficas para la

configuracin del firewall.
Dwall.
FireHOL.
Firestarter.
Firewall Builder.
Guarddog.
KMyFirewall.
Shorewall.
Webmin.
http://dag.wieers.com/home-made/dwall/
http://firehol.sourceforge.net/
http://www.fs-security.com/
http://www.fwbuilder.org/
http://www.simonzone.com/software/guarddog/
http://kmyfirewall.sourceforge.net/
http://shorewall.net/
http://www.webmin.com
16/10/2014 3:08
SI10_Contenidos
47 de 49
Anexo.- Licencias de recursos.

Licencias de recursos utilizados en la Unidad de Trabajo.
Recurso (1)
Datos del recurso (1)
Recurso (2)
Datos del recurso (2)
Autora: rgtaylor_csc.
Licencia: GPL.
Procedencia:
http://openclipart.org/detail
/17668/net-computerby-rgtaylor_csc
Autora: Ubuntu.
Licencia: GNU/GPL.
Procedencia: Captura de
pantalla del terminal
ejecutando
ifconfig,
propiedad de Ubuntu.
Autora: Ubuntu.
Licencia: GNU/GPL.
Procedencia: Captura
pantalla de la herramienta
configuracin de red
Xwindows, propiedad
Ubuntu.
Autora: Ubuntu.
Licencia: Uso Educativo
no comercial.
pantalla
de
la
herramienta
de
configuracin de red
inalmbrica
de
Xwindows, propiedad de
Ubuntu.
de
de
de
de
Autora: Ubuntu.
Licencia: GNU/GPL.
pantalla del escritorio de
Ubuntu, propiedad de Ubuntu.
Autora:
Andrew
Fitzsimon / Anonymous.
Licencia: GPL.
Procedencia:
http://openclipart.org
/detail/25528/textpage-iconby-anonymous-25528
Autora: Ubuntu.
Licencia: GNU/GPL.
pantalla
del
terminal
mostrando el comando ping,
Autora: Ubuntu.
Licencia: GNU/GPL.
pantalla
de
herramienta de red
Xwindows, propiedad
Ubuntu.
Autora: HASH(0x89c79d4) /
Anonymous.
Licencia: GPL.
Procedencia:
/24075/firewallby-anonymous-24075
Autora:
Andrew
Licencia: GPL.
Procedencia:
/detail/25428/networkby-anonymous-25428
Autora: isc.org.
Licencia: GPL.
pantalla de www.isc.org.
Autora: www.samba.org.
Licencia: GPL.
pantalla www.samba.org.
de
Autora: warszawianka.
Licencia: GPL.
Procedencia:
/35347/tango-system-usersby-warszawianka
de
la
de
de
Autora: lyte.
Licencia: GPL.
Procedencia:
/detail/163717/fileserver-by-lyte
16/10/2014 3:08
SI10_Contenidos
48 de 49
Autora: Ubuntu.
Licencia: GNU/GPL.
Imprimiendo propiedad de
Ubuntu.
Autora: Ubuntu.
Licencia: GNU/GPL.
pantalla
de
la
herramienta Imprimiendo
Autora: swat.
Licencia: GNU/GPL.
swat propiedad de SAMBA.
Autora: webmin.
Licencia: GNU/GPL.
pantalla
de
la
herramienta
webmin,
propiedad
de
www.webmin.org.
Autora: Ubuntu.
Licencia: GNU/GPL.
Configuracin del servidor de
Samba propiedad de Ubuntu.
Autora: Anonymous.
Licencia: GPL.
Procedencia:
/detail/109591/anotherfolder-icon-01by-anonymous
Autora: Blog del sensei.

Licencia: GPL.
Procedencia: Montaje sobre:
http://josejuanlt.ipower.com
/blogsensei/?p=763
Autora: OpenSSH.
Licencia: GNU/GPL.
Procedencia:
www.openssh.org.
Autora: Andrew Fitzsimon /

Anonymous.
Licencia: GPL.
Procedencia:
/25528/text-page-iconby-anonymous-25528
Autora: Putty.
Licencia: GNU/GPL.
pantalla de la aplicacin
Putty,
propiedad
de
Putty.
Autora: toghtVNC Software.

Licencia: GNU/GPL.
Procedencia:
http://www.tightvnc.com/
Autora: Vinagre.
Licencia: GNU/GPL.
Vingre, propiedad de
Vinagre.
Autora: tightVNC.
Licencia: GNU/GPL.
tightVNC,
propiedad
de
tightVNC.
Autora:
Ubuntu
y
tightVNC.
Licencia: GNU/GPL.
tightVNC, propiedad de
tightVNC.
Autora: Firefox y Apache.

Licencia: GNU/GPL.
pantalla
del
navegador
Firefox, propiedad de firefox.
Autora:
Andrew
Licencia: GPL.
Procedencia:
/detail/25528/textpage-iconby-anonymous-25528
16/10/2014 3:08
SI10_Contenidos
49 de 49
Autora: Firefox y PHP.org.

Licencia: GNU/GPL.
pantalla
del
navegador
Firefox, propiedad de firefox .
Autora: Firefox.
Licencia: GNU/GPL.
pantalla del navegador
Firefox, propiedad de
firefox.
Autora: vsftpd.
Licencia: GNU/GPL.
Procedencia:
vsftpd.beasts.org/.
16/10/2014 3:08

1dam SSF Ut10 Apuntes

Cargado por

Copyright:

Formatos disponibles

1dam SSF Ut10 Apuntes

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

1dam SSF Ut10 Apuntes

Cargado por

Copyright:

Formatos disponibles

SI10_Contenidos

Administracin de la red (Linux III).

1.- Esquema bsico de red.

Con la fuerte expansin que ha tenido Internet se ha generalizado la utilizacin

1.1.- Configuracin de la red.

1.1.1.- Configuracin de la red cableada.

# ifconfig eth0 192.168.1.2 netmask 255.255.255.0 up

En este caso estas configurando la interfaz eth0 (primera tarjeta de

# ifconfig eth0 down

Para activar una interfaz de red ejecuta:

# route add net 0/0 gw 192.168.0.1 eth0

1.1.2.- Configuracin de la red inalmbrica.

Acceso de la red inalmbrica.

Establecida conexin inalmbrica

1.1.3.- Ficheros de configuracin.

Configuracin del nombre del equipo.

Actualizar los cambios.

Resumen textual alternativo

O si lo prefieres puedes descargarte el documento explicando la configuracin de iptables.

1.2.1.- Resolucin del supuesto prctico.

# echo "1" >/proc/sys/net/ipv4/ip_forward

Limpia la configuracin del cortafuegos:

Indica que la red interna tiene salida al exterior por

# iptables -t nat -A POSTROUTING -s 10.0.0.0/24 -d 0/0 -j MASQUERADE

Se permite todo el trfico de la red interna y todo lo dems se deniega:

Guarda la configuracin del cortafuegos ejecutando:

Y modifica el fichero /etc/sysctl.conf para establecer la variable net.ipv4.ip_forward=1.

Indica que la red interna tiene salida al exterior por NAT.

# iptables -t nat -A POSTROUTING -s 10.0.0.0/24 -d 0/0 -j MASQUERADE

# iptables -A FORWARD -s 10.0.0.0/24 -p TCP --dport 80 -j ACCEPT

# iptables -t nat -A PREROUTING -i eth0 p tcp --dport 80 -j DNAT -- to 10.0.0.100:80

Guarda la configuracin del cortafuegos ejecutando:

Finalmente, modifica el fichero /etc/network/interfaces y escribe al final:

pre-up iptables-restore </etc/iptables.rules

1.3.1.- Resolucin del supuesto prctico.

# apt-get install dhcp3-server

Configurar el servidor DHCP para la asignacin dinmica de direcciones IP,

subnet 10.0.0.0 netmask 255.255.255.0 {

# service dhcp3-server start

Datos ms importantes del servicio DHCP.

2.- Compartir archivos e impresoras (Samba).

Samba es el mtodo ms utilizado para permitir la integracin entre

# apt-get install samba4 smbclient

A continuacin, inicia el servicio ejecutando:

# service samba4 start

2.1.- Gestin de usuarios.

# smbpasswd -opcion usuario

Donde -opcion es la opcin a realizar y usuario es el nombre del usuario con el

New SMB password:

Y para eliminarlo hay que ejecutar:

2.2.- Compartir carpetas.

Opciones ms utilizadas de smb.conf.

Nombre del recurso compartido.

Proporciona informacin adicional sobre el recurso (no afecta a su forma de operar).

force user = juan

# service samba4 restart

2.3.- Compartir impresoras.

Las tareas ms frecuentes que se pueden realizan son:

Opciones ms utilizadas de smb.conf (seccin printers).