ADMINISTRACIÓN • Squid

Implementar un proxy casero con Squid

PUERTO SEGURO

Un servidor proxy proporciona una navegación más segura y eficiente. Aunque existen soluciones proxy

comerciales disponibles, todo lo que realmente necesitamos es Linux y un viejo PC en el desván.

POR GEERT VAN PAMEL

T
engo una red casera desde hace
bastantes años. Empecé con un
router usando Windows XP con
ICS (Internet Connection Sharing) y una
tarjeta Ethernet con varias interfaces de
red. Las principales desventajas eran la
inestabilidad, bajo rendimiento y falta
total de seguridad. Solucionar los pro-
blemas era totalmente imposible. La
configuración del firewall quedaba a
merced de usuarios inexpertos, que
podían pulsar aleatoriamente sobre la
configuración de seguridad como el que
juega a la ruleta rusa.
Finalmente migré a Linux y configuré
un firewall con iptables en un Pentium
II que hacía de router. El firewall
mantiene a los atacantes fuera de mi
red, y registra el tráfico entrante y
saliente. Además del firewall iptables,
también configuré un servidor proxy

Tabla1: Hardware recomendado

Componentes Necesarios Especificaciones
Intel Pentium II CPU, o superior (¿Por qué no un Alpha Server sobrante?) 350 Mhz
80 - 100 MB de memoria mínimo Cuanto más, mejor
1 ó más discos duros IDE (podemos reutilizar 2 viejos discos duros: uno con 1GB del
sistema y el swap y el otro con 3GB de caché, más el directorio /home) 4GB mínimo
2 tarjetas Ethernet, minihub, modem fast Ethernet y router wireless o hub 100 Mbit/s si es posible
CDROM, lector DVD El software se distribuye principalmente por DVD

56 Número 14 WWW.LINUX-MAGAZINE.ES

Squid para mejorar el rendimiento de
Internet, filtrar los molestos popups y blo-
quear URLs peligrosas.
Un servidor proxy Squid filtra el tráfico
Web y cachea los archivos a los que se
accede frecuentemente. También limita el
uso del ancho de banda, acelera el acceso
a Web y nos permite filtrar URLs. El blo-
queo centralizado de publicidad y descar-
gas peligrosas es rentable y transparente
para el usuario final.
Squid es una implementación completa
en software libre y de alto rendimiento de
un servidor proxy. Proporciona amplios
controles de acceso y se integra con facili-
dad con el firewall iptables. En mi caso, el
servidor proxy Squid y el firewall iptables
trabajan juntos para proteger mi red de
intrusos y HTML peligrosos. Encon-
traremos abundantes artículos acerca de
firewalls en libros, revistas y páginas Web.
(Véanse [1] y [2], por ejemplo). El servidor
proxy Squid, por otro lado, no está bien
documentado del todo, especialmente
cuando hablamos de pequeñas redes
caseras como la mía. En este artículo,
vamos a mostrar cómo configurar Squid.
Comenzamos
El primer paso es encontrar el hardware
necesario. La Figura 1 muestra la configu-
ración de red del Pentium II que se ha uti-
lizado como firewall y servidor proxy. Este
sistema firewall debería operar con una
mínima intervención humana, por lo que
tras la configuración del sistema, se
pueden desconectar el ratón, teclado y
monitor. Puede que tengamos que ajustar
la configuración de la BIOS para que el
ordenador pueda trabajar sin el teclado. El
objetivo es poder colocar todo el sistema
en el desván, donde ni lo oigamos. Desde
el minihub mostrado en la Figura 1, se
pueden “bajar las escaleras” hasta la red
de la casa usando cable UTP estándar o
una conexión wireless. La tabla 1 muestra
el hardware recomendado para la máquina
firewall.
Suponiendo que el firewall esté ya fun-
cionando, el siguiente paso es configurar
Squid. Se encuentra disponible en Internet
en [3] o en uno de los mirrors [4] como
tar.gz (compilado desde las fuentes).
Puede instalarse fácilmente usando uno de
los siguientes comandos:
rpm -i /cdrom/RedHat/RPMS/U
squid-2.4.STABLE7-4.i386.rpmU
# Red Hat 8
rpm -i /cdrom/Fedora/RPMS/U
squid-2.5.STABLE6-3.i386.rpm U
# Fedora Core 3
rpm -i /cdrom/.../U
squid-2.5.STABLE6-6.i586.rpmU
# SuSE 9.2
En el momento de escribir estas líneas, la
versión estable de Squid es la 2.5.
Configurar Squid
Una vez que ha sido instalado, será nece-
sario configurarlo. Squid tiene un archivo
de configuración centralizado. Cada vez
que cambia este archivo, la configuración
debe recargarse con el comando /sbin/
init.d/ squid reload.
Es posible editar el archivo de configu-
ración con un editor de textos. Existe una
descripción detallada de la configuración
en el archivo squid.conf, aunque la expli-
cación a veces es algo técnica y compli-
cada de entender. Esta sección resume
algunas configuraciones importantes del
archivo squid.conf.
En primer lugar, se habrá de evitar que
ciertos metadatos relacionados con la con-
Squid • ADMINISTRACIÓN
figuración lleguen al mundo exterior
cuando se navegue por la Web:
vi /etc/squid/squid.conf
...
anonymize_headers deny U
From Server Via User-Agent
forwarded_for off
strip_query_terms on
Nótese que no pueden hacerse anónimos
Referer y WWW-Authenticate ya que de
lo contrario, los mecanismos de autenti-
cación y control de acceso no fun-
cionarán.
forwarded_for off significa que la
dirección IP del servidor proxy no será
enviada al exterior.
Con strip_query_terms on no se regis-
tran en el log los parámetros de las URL
más allá del signo ?. Cuando este
parámetro está en off, se registra la URL
completa en los archivos log de Squid.
Esta característica puede ayudar a depu-
rar fallos en los filtros de Quid, pero tam-
bién puede violar las reglas de privaci-
dad.
La siguiente configuración identifica el
host de Squid, el dominio (interno) donde
opera la máquina y el nombre de usuario
responsable del servidor. Nótese el punto
delante del dominio. Más adelante,
encontramos el nombre del servidor local
de DNS y el número de nombres de
dominio a cachear en el servidor Squid.
visible_hostname squid
append_domain .mshome.net
cache_mgr sysman
dns_nameservers 192.168.0.1
dns_testnames router.mshome.net
fqdncache_size 1024
http_port 80
icp_port 0
ADMINISTRACIÓN • Squid
http_port es el puerto usado por el servi-
dor proxy. Se puede elegir cualquiera,
siempre que la configuración no entre en
conflicto con otros puertos de nuestro
router. Una elección común es la 8080 o la
80. El puerto por defecto de Squid, el 3128,
no es especialmente fácil de recordar.
No se está usando cp_port, por lo que
lo fijamos a 0. Esta configuración sin-
croniza los servidores proxy.
Con log_mime_hdrs on, es posible
hacer visibles las cabeceras mime en el
archivo access.log.
Evitar Bloqueos
Squid necesita guardar su caché en
algún lugar del disco duro. La caché es
un árbol de directorios. Con la opción
cache_dir en el archivo squid.conf, se
puede especificar la configuración con
características como las siguientes:
• mecanismo de I/O del disco – aufs
• ubicación de la caché en el disco –
/var/cache/squid
• cantidad de espacio en disco que
puede ser usado por el servidor proxy
– 2.5 GB
• número de directorios principales – 16
• subdirectorios – 256
Por ejemplo:
Las opciones para métodos de acceso a
disco son las siguientes:
• ufs – acceso a disco clásico (demasiada
I/O puede ralentizar el servidor Squid)
• aufs – UFS asíncrona con hilos, menos
riesgo de conflictos de acceso al disco
• diskd – demonio diskd, evita también
el peligro de conflicto de acceso al disco
pero usando más memoria.
UFS es el sistema de I/O de archivos
clásico de UNIX. Se recomienda usar
aufs para evitar cuellos de botella. (Al
usar aufs, van a existir menos procesos).
# ls -ld /var/cache/squid
lrwxrwxrwx 1 root rootU
19 Nov 22 00:42 U
/var/cache/squid -> U
/volset/cache/squid
E s re c o m e n d a b l e m a n t e n e r l a
u b i c a c i ó n e s t á n d a r p a ra l a c a c h é
en /var/cache/squid, y de allí
c re a r u n e n l a c e s i m b ó l i c o a l
d i re c t o r i o re a l d e c a c h é . S i s e
m u eve a o t ro d i s c o p o r m o t i vo s
d e re n d i m i e n t o o d e c a p a c i d a d ,
sólo será necesario modificar el
enlace simbólico.
58 Número 14
Figura 1: Configuración básica de una LAN Ethernet.
El espacio en disco se distribuye por
todos los directorios. Normalmente se
esperaría una distribución pareja a lo
largo de los directorios, pero en la prác-
tica, se acepta una cierta variación en la
distribución. Es posible encontrar confi-
guraciones más complejas utilizando
múltiples discos, pero para el uso casero,
una estructura de directorios es sufi-
ciente.
Sustitución de la Caché
El servidor proxy usa un algoritmo LRU
(Least Recently Used). Estudios detalla-
dos de HP Laboratories [6] han revelado
que un algoritmo LRU no es siempre la
opción más inteligente. La configuración
GDSF mantiene pequeños objetos popu-
lares en la caché, mientras que elimina
los más grandes y menos usados, incre-
mentando de esta manera el rendimiento
global.
cache_replacement_policyU
heap GDSF
memory_replacement_policyU
heap GDSF
Los objetos grandes requeridos una
sola vez pueden colocar fuera muchos
objetos pequeños, por lo que será conve-
niente que limitemos el tamaño máximo
de objeto para la caché:
cache_mem 20 MB
maximum_object_sizeU
16384 KB
maximum_object_sizeU
_in_memory 2048 KB
WWW.LINUX-MAGAZINE.ES
Especificación del Formato
de Log
Puede elegirse entre el formato de log de
Squid y el formato estándar de servidor
Web usando el parámetro
emulate_httpd_log. Cuando el parámetro
se fija a on, se usa el formato de Web. Si
se fija a off, obtendremos más detalles
con el formato Squid. Ver [7] para mayor
información acerca del análisis de
archivos log de Squid.
Jerarquía Proxy
El proxy Squid puede trabajar de manera
jerárquica. Si se desea evitar el proxy
padre para algunos destinos, se puede
habilitar una resolución directa. ¡El
navegador usará aún nuestro proxy
local!
acl direct-domain U
dstdomain .turboline.be
always_direct allow U
direct-domain
acl direct-path urlpath_regexU
-i "/etc/squid/direct-path.reg"
always_direct allow direct-path
Algunos ISPs permiten usar su servidor
proxy para visitar sus propias páginas
Web incluso aunque no se sea cliente.
Esto puede ayudar a acelerar las visitas
a sus páginas. Cuanto más cercano esté
el proxy a las páginas originales, más
probabilidad hay de que la página se
cachee. Debido a que nuestro propio
ISP es más lejano, el ISP tenderá
menos a cachear los contenidos de su
competidor…
 Squid • ADMINISTRACIÓN

cache_peer proxy.tiscali.beU Para Squid, las expresiones regulares acl FTP proto FTP
parent 3128 3130 U pueden especificarse inmediatamente, o always_direct allow FTP
no-query default pueden estar en un nombre de fichero
cache_peer_domain U entre dobles comillas, en cuyo caso el acl local-domain dstdomain U
proxy.tiscali.be .tiscali.be archivo debería contener una expresión .mshome.net
regex por línea, sin líneas vacías. La -i always_direct allow U
no-query significa que no usamos, o no (ignorar mayúsculas) significa que se local-domain
podemos usar, ICP (Internet Caching usarán comparaciones sin diferenciación
Protocol), véase [8]. Puede obtenerse la entre mayúsculas y minúsculas. acl localnet-dst dst U
misma funcionalidad usando expre- Si se está configurando un sistema con 192.168.0.0/24
siones regulares, pero esto proporciona múltiples proxys, es posible especificar un always_direct allow U
round-robin para acelerar la resolución de localnet-dst
cache_peer proxy.tiscali.beU las páginas y minimizar el retraso cuando
parent 3128 3130 U uno de los servidores no esté disponible.
no-query default Recordemos que la mayoría de los naveg- Tabla 2:Guía para ACL
acl tiscali-proxy U adores establecen conexiones en paralelo
• el orden de las reglas es importante
dstdom_regex -i U para obtener todos los elementos de una
\.tiscali\.be$ página. Si se usan múltiples servidores • primero se listan todas las reglas de
denegación
cache_peer_access U proxy para obtener estos elementos, la
proxy.tiscali.be allow U respuesta debería ser más rápida. • se ejecuta la primera regla coinci-
tiscali-proxy Los archivos FTP se descargan normal- dente
mente una sola vez, por lo que general- • el resto de las reglas se ignora
mayor libertad. mente no se deseará cachearlos, excepto • la última regla debería ser permite
El ACL puede incluir también una cuando se descarguen repetidamente. Así todo
expresión regular (regex para abreviar) mismo, las páginas locales no se cachean
con la URL usando una construcción normalmente, debido a que ya residen en La tabla 2 proporciona una guía para
url_regex. nuestra red: la creación de listas ACL. Puede ser una
buena idea permitir la navegación WYSI-
Listado 1: Bloqueando páginas no buscadas WYG (lo-que-ves-es-lo-que-tienes). Si no
01 acl block-ip dst "/etc/squid/block-ip.reg" se quieren ver ciertas páginas o marcos,
02 deny_info filter_spam block-ip se pueden bloquear automáticamente las
03 http_access deny block-ip correspondientes URLs en el servidor
04 proxy.
05 acl block-hosts dstdom_regex -i "/etc/squid/block-hosts.reg" Es posible filtrar por:
06 deny_info filter_spam block-hosts • dominios de cliente o servidor
07 http_access deny block-hosts • subredes IP del cliente o servidor
08 • ruta URL
09 acl noblock-url url_regex -i "/etc/squid/noblock-url.reg" • URLs completas, incluyendo
10 http_access allow noblock-url Safe_ports parámetros
11 • palabras clave
12 block-path urlpath_regex -i "/etc/squid/block-path.reg" • protocolos: HTTP, FTP
13 deny_info filter_spam block-path • métodos: GET, POST, HEAD, CON-
14 http_access deny block-path NECT
15 • día y hora
16 acl block-url url_regex -i "/etc/squid/block-url.reg" • tipo de navegador
17 deny_info filter_spam block-url • nombre de usuario
18 http_access deny block-url El Listado 1 muestra ejemplos de
comandos que bloquean páginas no
deseadas.
cache_peer 80.200.248.199 U Filtrado con Squid El script del Listado 2 hará invisibles
parent 8080 7 U En las secciones precedentes se han las páginas no deseadas. Cada vez que
no-query round-robin comentado algunas configuraciones Squid ejecuta la etiqueta deny_info,
cache_peer 80.200.248.200 U importantes de Squid. También se ha envía el archivo /etc/squid/errors/fil-
parent 8080 7 U dicho que las listas ACL (Access Control ter_spam al navegador en lugar de a la
no-query round-robin Lists) pueden usarse para permitir acceso página Web… filtrando efectivamente
... directo a las páginas sin usar el proxy los objetos no deseados. La marca
cache_peer 80.200.248.207U padre. En esta sección, se examinará <!-- esconde cualquier otro mensaje
parent 8080 7 U cómo usar las listas ACL para un control de error de Squid en el cuerpo del
no-query round-robin más detallado al acceso a Internet. texto.

WWW.LINUX-MAGAZINE.ES Número 14 59
ADMINISTRACIÓN • Squid

Squid también permite filtrar por Habilitando al Resto

Listado 2:
expresiones regulares usadas en la URL. Para habilitar únicamente los
Hacer Invisible una Página Por supuesto, nuestro filtro puede protocolos y métodos que se deseen:
01 vi ocasionalmente provocar un falso posi-
/etc/squid/errors/filter_spam tivo. Pueden añadirse expresiones regu- acl localhost src U
02 ... lares para las URL que específicamente 127.0.0.1/255.255.255.255
03 <script language="JavaScript" no queramos bloquear en acl localnet-src src U
type="text/javascript"> /etc/squid/noblock-url.reg. 192.168.0.0/24
04 <!--
05 window.status="Filter " + vi /etc/squid/noblock-url.reg http_access deny !localnet-src
document.location; ...
//.pathname; ^http://ads\.com\.com/ La última regla debería permitirlo
06 // --> todo, ya que la regla anterior era una
07 </script> prohibición…
08 <noscript><plaintext><!-- Proteger los Puertos No debemos olvidar reiniciar el servi-
Por razones de seguridad, se dor Squid cada vez que cambiemos los
Squid nos permite bloquear con- deberían deshabilitar todos los puertos parámetros, tecleando el siguiente
tenidos por subred IP. Por ejemplo, se y habilitar sólo los puertos Web usando
pueden bloquear páginas con contenido la sintaxis mostrada en en Listado 5. http_access allow all
sexual explícito. Pueden usarse whois Lo mismo puede hacerse con los
[9] para ayudarnos a identificar las sub- puertos con conexión. Pueden habili- comando:
redes y luego añadir las subredes al tarse los puertos SSL cuando se esté
archivo /etc/squid/block-ip.reg: conectado, y denegarlo en otro caso. Es Para SuSE el directorio /sbin/init.d es
importante recordar que el protocolo estándar. Para Fedora, se creará un
vi /etc/squid/block-ip.reg normal HTTP es sin conexión. El enlace simbólico:
... cliente y el navegador establecen una
64.255.160.0/19 nueva conexión para cada página visi- cd /sbin
64.57.64.0/19 tada. ln -s /etc/init.d
64.7.192.0/19
66.115.128.0/18 Listado 3:Bloqueo por Nombre de Dominio
66.152.64.0/19
01 vi /etc/squid/block-hosts.reg 15 ^tracking\.
66.230.128.0/18
02 ... 16 adserver.adtech.de
03 ^a\. 17
Para bloquear anuncios o páginas con
04 ^ad\. 18 \.belstat\.be$
contenido sexual por el nombre de
05 ^adfarm\. 19 \.doubleclick\.net$
dominio, es posible listar expresiones
06 ^ads\. 20 \.insites\.be$
regulares describiendo las páginas en el
07 ^ads1\. 21 ^metrics\.
archivo /etc/squid/block-hosts.reg,
08 ^al\. 22 \.metriweb\...$
como se muestra en el Listado 3.
09 ^as\. 23 \.metriweb\....$
También puede ser una buena idea
10 \.msads\.net$ 24
bloquear ciertos tipos de archivos. Por
11 ^ss\. 25 \.playboy\.com$
ejemplo, puede que no queramos per-
12 ^sa\. 26 \.hln\.be$
mitir los archivos .exe, dado que a veces
13 ^sc\. 27 side6
son archivos zip ejecutables que insta-
14 ^sm6\. 28 www.whitehouse.com
lan software. Squid permite bloquear
archivos por ruta, nombre de archivo o
extensión del archivo, tal y como se ¡Debe impedirse que desconocidos hagan
muestra en el Listado 4. mal uso de nuestra caché! Se desea que Una vez que se haya finalizado la con-
sólo se use en la propia intranet. Los figuración, se usará setup (Fedora),
acl SSL_ports port 443 563 usuarios externos en Internet no yast2 (SuSE) o una herramienta equi-
acl SSL_ports port 1863 U deberían poder acceder a nuestra caché: valente para activar el servicio Squid.
# Microsoft Messenger Tras recargar, si algo no funciona
acl SSL_ports port 6346-6353 U como se esperaba, puede buscare la
# Limewire acl allow-proto proto HTTP razón en el archivo log en
http_access deny !allow-proto var/log/squid/cache.log.
http_access allow U acl allow-method U
CONNECT SSL_ports method GET POST
http_access deny U http_access deny U
CONNECT !allow-method /sbin/init.d/squid reload

60 Número 14 WWW.LINUX-MAGAZINE.ES
 Squid • ADMINISTRACIÓN

RECURSOS Listado 4:Bloqueo por Ruta o Extensión

01 vi /etc/squid/block-path.reg
16 \.md[abetwz](\?.*)?
02 ...
[1] Presentación para el grupo de usuar- 17 \.ms[cpt](\?.*)?$
03 \.ad[ep](\?.*)?$
ios de HP-Interex en Belgica el 17/03/ 18 \.nch(\?.*)?$
04 \.ba[st](\?.*)?$
2005, titulada “Implementing a home 19 \.ops(\?.*)?$
05 \.chm(\?.*)?$
Router, Firewall, Proxy server, and 20 \.pcd(\?.*)?$
06 \.cmd(\?.*)?$
DNS Caching Server using Linux”: 21 \.p[ir]f(\?.*)?$
http://users.belgacombusiness. net/ 07 \.com(\?.*)?$
22 \.reg(\?.*)?$
linuxug/pub/router/ 08 \.cpl(\?.*)?$
23 \.sc[frt](\?.*)?$
linux-router-firewall-proxy.zip 09 \.crt(\?.*)?$
24 \.sh[bs](\?.*)?$
[2] Firewalls: http://www.linux-magazine. 10 \.dbx(\?.*)?$
25 \.url(\?.*)?$
com/issue/40/ 11 \.hlp(\?.*)?$
26 \.vb([e])?(\?.*)?$
Checkpoint_FW1_Firewall_Builder.pdf 12 \.hta(\?.*)?$
27 \.vir(\?.*)?$
http://www.linux-magazine.com/issue/ 13 \.in[fs](\?.*)?$
28 \.wm[sz](\?.*)?$
34/IPtables_Firewalling.pdf 14 \.isp(\?.*)?$
29 \.ws[cfh](\?.*)?$
[3] Acerca de Squid en general: http:// 15 \.lnk(\?.*)?$
www.squid-cache.org http://
squid-docs.sourceforge.net/latest/
book-full.html#AEN1685 http://www. Imposición del Control Paterno y Bloqueo de Spyware
squid-cache.org/FAQ/FAQ-10.html
[4] Servidores mirror de Squid: http://
Deberíamos configurar nuestro firewall iptables de manera que bloquee todo el tráfico
www1.de.squid-cache.org http://
HTTP saliente a menos de que se use el servidor proxy. Dado que el proxy esta en la red
www1.fr.squid-cache.org http://
local, permite todas las peticiones entrantes desde los navegadores locales.
www1.nl.squid-cache.org http://
www1.uk.squid-cache.org Cualquier intento de saltarse los filtros Squid se bloquea por la regla FORWARD del fire-
wall que corta el tráfico HTTP saliente.
[5] Suse 9.2 Professional – Distribución
en DVD http://www.linux-magazine. Los programas de Spyware usan generalmente el protocolo HTTP (recordatorio: puerto
es/issue/07/DVD.pdf 80) para las conexiones salientes, pero parece que el Spyware raramente usa el proxy
(da la impresion de que los creadores de Spyware son demasiado perezosos como para
[6] Para mayor información acerca de las
inspeccionar la configuración). De esta manera el Spyware queda bloqueado por las
políticas de remplazamiento de caché
reglas del firewall.
GDSF y LFUDA, véase: http://www.
hpl.hp.com/techreports/1999/
HPL-1999-69.html http://fog.hpl. sume unos 11 kWh/semana. Debería eval-
external.hp.com/techreports/98/ Listado 5: Protección de uarse este gasto frente a la mayor seguridad
HPL-98-173.html Puertos y la disminución de los quebraderos de
[7] Reporte y análisis de los archivos log cabeza al operar nuestro propio fire-
01 acl Safe_ports port 80 # http
de Squid: http://www.linux-magazine. wall con proxy Squid. ■
02 acl Safe_ports port 21
com/issue/36/Charly_Column.pdf
# ftp
[8] ICP – Internet Caching Protocol: http://
03 acl Safe_ports port 2020
en.wikipedia.org/wiki/
# BeOne Radio
Internet_Cache_Protocol
04 acl Safe_ports port 2002
[9] La base de datos whois: http://www.
# Servidor Local
ripe.net/db/other-whois.html
05 acl Safe_ports port 8044
[10] Expresiones Regulares: http://www. # Tiscali
python.org/doc/current/lib/
06 acl Safe_ports port 8080
module-re.html
# Escaneo puertos Turboline
[11] Ejemplos de archivos de configu- 07 acl Safe_ports port 8081
ración para Squid: http://members.
lycos.nl/geertivp/pub/squid
# Prentice Hall EL AUTOR
08
09 # Denegar peticiones a puertos Geert Van Pamel ha trabajado como jefe
desconocidos de proyectos en Belgacom, Bélgica,
Conclusiones 10 http_access deny !Safe_ports desde 1997. Miembro de DECUS desde
Este artículo es el resultado de una pre- 1985 y miembro de la directiva de
sentación para la organización Belgium HP- Si se está buscando un mejor rendimien- HP-Interex desde 2002. Aprendió UNIX
Interex. Las diapositivas están disponibles to, una navegación más segura y una man- en un sistema PDP en 1982, y trabaja en
en [1], donde aparecen más detalles acerca era de bloquear el acceso a contenido peli- la actualidad con Linux en un entorno
compartido con otros servidores como
de la configuración del firewall iptables, el groso, se debería intentar colocar un servi-
Tru64 UNIX, HP-UX, OpenVMS, Non-
router, el servidor de cacheo de DNS, el dor proxy en el desván. Para los que se pre-
Stop Tandem, SUN y NCR Teradata.
servidor DHCP y el servidor NTP. ocupan por el consumo: un Pentium II con-

WWW.LINUX-MAGAZINE.ES Número 14 61