Servidor de Internet, Firewall, Logs - Ubuntu 10.04.3 LTS Lucid Lynx
Neste artigo estarei mostrando como montar um Servidor de Internet com Firewall bastante simples, com Proxy transparente, Firewall, Logs e bloqueios diversos por MAC.
[ Hits: 58.614 ]
Por: Welton Cordeiro em 01/09/2011
Configurando as interfaces de rede e Configurando Squid
No artigo eu uso editor de textos mc caso tenha preferência em usar outro, substitua mcedit pelo editor de sua preferência.
Obs.: Vamos considerar que eth1 é a interface para a internet e eth0 a interface para a rede local.
Instalando editor de textos mc:
# apt-get install mc
Editando as Interfaces:
# mcedit /etc/network/interfaces
Obs.: Eu coloquei as interfaces manuais, sendo que a eth0 é minha rede local, e eth1 é minha internet, configure os ips conforme necessário na sua rede.
Caso seja necessário editar as dns da eth1 internet:
# mcedit /etc/resolv.conf
# apt-get install squid
Guardando o squid original pra mais tarde caso precise:
# cd /etc/squid
# mv squid.conf squid.conf.original
Criando Regras de squid:
# mcedit squid.conf
Obs.: Vamos considerar que eth1 é a interface para a internet e eth0 a interface para a rede local.
Instalando editor de textos mc:
# apt-get install mc
Editando as Interfaces:
# mcedit /etc/network/interfaces
Obs.: Eu coloquei as interfaces manuais, sendo que a eth0 é minha rede local, e eth1 é minha internet, configure os ips conforme necessário na sua rede.
Caso seja necessário editar as dns da eth1 internet:
# mcedit /etc/resolv.conf
auto lo eth0 eth1
iface lo inet loopback
iface eth0 inet static
address 10.1.1.1
netmask 255.0.0.0
network 10.0.0.0
broadcast 10.255.255.255
#iface eth1 inet dhcp
iface eth1 inet static
address 192.168.1.2
netmask 255.255.255.0
network 192.168.1.0
broadcast 192.168.1.255
gateway 192.168.1.1
iface lo inet loopback
iface eth0 inet static
address 10.1.1.1
netmask 255.0.0.0
network 10.0.0.0
broadcast 10.255.255.255
#iface eth1 inet dhcp
iface eth1 inet static
address 192.168.1.2
netmask 255.255.255.0
network 192.168.1.0
broadcast 192.168.1.255
gateway 192.168.1.1
Instalando e configurando Squid
Instalando squid:# apt-get install squid
Guardando o squid original pra mais tarde caso precise:
# cd /etc/squid
# mv squid.conf squid.conf.original
Criando Regras de squid:
# mcedit squid.conf
http_port 3128 transparent
visible_hostname debian
error_directory /usr/share/squid/errors/Portuguese
cache_mem 256 MB
maximum_object_size_in_memory 64 KB
maximum_object_size 512 MB
minimum_object_size 3 KB
cache_swap_low 90
cache_swap_high 95
cache_dir ufs /var/spool/squid 1024 16 50
cache_access_log /var/log/squid/access.log
refresh_pattern ^ftp: 15 20% 2280
refresh_pattern ^gopher: 15 0% 2280
refresh_pattern . 15 20% 2280
#O cache pode ser configurado para continuar downloads de requisicoes abortadas
quick_abort_min -1 KB
quick_abort_max 0 KB
quick_abort_pct 100%
#fecha a conexao quando o a leitura do socket retornar sem mais dados para leitura
half_closed_clients off
read_timeout 60 seconds
pconn_timeout 120 seconds
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl SSL_ports port 443 563
acl Safe_ports port 21 80 443 563 70 210 280 488 59 777 901 1025-65535
acl purge method PURGE
acl CONNECT method CONNECT
http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
# Macs computadores de quem e Totalmente Liberado
acl macsliberados arp "/etc/squid/macsliberados"
http_access allow macsliberados
# Macs computadores de quem e bloqueado
acl macsbloqueados arp "/etc/squid/macsbloqueados"
http_access deny macsbloqueados
#Lista de Sites Bloqueados
acl bloqueados url_regex -i "/etc/squid/bloqueados"
http_access deny bloqueados
#Lista de Macs de Pessoas Autorizadas e Fazer Downloads
acl downloadsallow arp "/etc/squid/downloads.allow"
http_access allow downloadsallow
#Lista de Extensoes ex. ..exe . Bloqueadas
acl downloadsdeny url_regex -i "/etc/squid/downloads.deny"
http_access deny downloadsdeny
acl LoginMSN dst loginnet.passport.com
acl GatewayMSN url_regex gateway.dll
http_access allow CONNECT LoginMSN
http_access deny GatewayMSN
#Aqui você vai colocar a faixa de ip da sua rede local ex: 192.168.1.0/24 ou conforme abaixo:
acl redelocal src 10.0.0.0/8
http_access allow localhost
http_access allow redelocal
http_access deny all
forwarded_for off
memory_pools off
detect_broken_pconn on
visible_hostname debian
error_directory /usr/share/squid/errors/Portuguese
cache_mem 256 MB
maximum_object_size_in_memory 64 KB
maximum_object_size 512 MB
minimum_object_size 3 KB
cache_swap_low 90
cache_swap_high 95
cache_dir ufs /var/spool/squid 1024 16 50
cache_access_log /var/log/squid/access.log
refresh_pattern ^ftp: 15 20% 2280
refresh_pattern ^gopher: 15 0% 2280
refresh_pattern . 15 20% 2280
#O cache pode ser configurado para continuar downloads de requisicoes abortadas
quick_abort_min -1 KB
quick_abort_max 0 KB
quick_abort_pct 100%
#fecha a conexao quando o a leitura do socket retornar sem mais dados para leitura
half_closed_clients off
read_timeout 60 seconds
pconn_timeout 120 seconds
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl SSL_ports port 443 563
acl Safe_ports port 21 80 443 563 70 210 280 488 59 777 901 1025-65535
acl purge method PURGE
acl CONNECT method CONNECT
http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
# Macs computadores de quem e Totalmente Liberado
acl macsliberados arp "/etc/squid/macsliberados"
http_access allow macsliberados
# Macs computadores de quem e bloqueado
acl macsbloqueados arp "/etc/squid/macsbloqueados"
http_access deny macsbloqueados
#Lista de Sites Bloqueados
acl bloqueados url_regex -i "/etc/squid/bloqueados"
http_access deny bloqueados
#Lista de Macs de Pessoas Autorizadas e Fazer Downloads
acl downloadsallow arp "/etc/squid/downloads.allow"
http_access allow downloadsallow
#Lista de Extensoes ex. ..exe . Bloqueadas
acl downloadsdeny url_regex -i "/etc/squid/downloads.deny"
http_access deny downloadsdeny
acl LoginMSN dst loginnet.passport.com
acl GatewayMSN url_regex gateway.dll
http_access allow CONNECT LoginMSN
http_access deny GatewayMSN
#Aqui você vai colocar a faixa de ip da sua rede local ex: 192.168.1.0/24 ou conforme abaixo:
acl redelocal src 10.0.0.0/8
http_access allow localhost
http_access allow redelocal
http_access deny all
forwarded_for off
memory_pools off
detect_broken_pconn on
Páginas do artigo
1. Configurando as interfaces de rede e Configurando Squid2. Continuação - Configurando Squid
3. Criando script de Firewall
4. Instalando e configurando Sarg
Outros artigos deste autor
Nenhum artigo encontrado.
Leitura recomendada
Instalando e configurando o modem SpeedTouch 330 USB da Alcatel
Por que eu pago por 10 megas, mas só faço download a 1 mega?
Postfix autenticando com o SASL no Conectiva 8
Como hospedar um site no seu próprio micro
BOINC - Computação distribuída e aplicações científicas
Comentários
[1] Comentário enviado por facb69 em 05/09/2011 - 20:25h
Muito bom esse tutorial, Welton.
Só não entendi porque você configurou sua eth0 com 10.1.1.1 e a eth1 com 192.168.1.2 já que não há no texto nenhuma informação sobre NAT e são duas redes diferentes. Sei que um roteador faz isso mas, nesse caso, como seria?
Se puder me explicar, vai me ajudar bastante pois estou estudando redes, também, e vou usar em casa mais prá frente.
Mais uma vez, parabéns pelo tutorial.
Abraço,
Fábio
Muito bom esse tutorial, Welton.
Só não entendi porque você configurou sua eth0 com 10.1.1.1 e a eth1 com 192.168.1.2 já que não há no texto nenhuma informação sobre NAT e são duas redes diferentes. Sei que um roteador faz isso mas, nesse caso, como seria?
Se puder me explicar, vai me ajudar bastante pois estou estudando redes, também, e vou usar em casa mais prá frente.
Mais uma vez, parabéns pelo tutorial.
Abraço,
Fábio
[2] Comentário enviado por awn em 09/09/2011 - 22:45h
Excelente tutorial,
Estou preste a ultiliza-lo aqui em casa e só entender porque você configurou sua eth0 com 10.1.1.1 e a eth1 com 192.168.1.2 já que não há no texto nenhuma informação sobre NAT e são duas redes diferentes. E não poderia ficar a eth1 soconfigurado o dns com 127.0.0.1 pois e nele que vem a internet?
Att
Anderson
Excelente tutorial,
Estou preste a ultiliza-lo aqui em casa e só entender porque você configurou sua eth0 com 10.1.1.1 e a eth1 com 192.168.1.2 já que não há no texto nenhuma informação sobre NAT e são duas redes diferentes. E não poderia ficar a eth1 soconfigurado o dns com 127.0.0.1 pois e nele que vem a internet?
Att
Anderson
[3] Comentário enviado por weltonpba em 10/09/2011 - 08:00h
Caros Amigos, a eth0 e ip fixo que configurei pra rede de computadores, a eth1 e ip fixo do meu modem dhcp que vem a internet, ele pega a internet pelo 192 e roteia pelo 10 intederão ?
Caros Amigos, a eth0 e ip fixo que configurei pra rede de computadores, a eth1 e ip fixo do meu modem dhcp que vem a internet, ele pega a internet pelo 192 e roteia pelo 10 intederão ?
[4] Comentário enviado por weltonpba em 10/09/2011 - 10:00h
Agora que eu intendi sua pergunta, o Ubuntu quando acaba de instalar ele, ele pega dhcp da rede automatico, ae o que acontece quando você vai configurar pra colocar ip manual no servidor, pra ele ficar fixo, digamos que o dhcp automatico esteja como dns 200.10.120.3 ae quando você coloca manual para outro endereço ip da qual a dns e diferente ele ainda continua com as dns do dhcp automatico por isso eu deixei caso for necessario editar as dns use mcedit /etc/resolv.conf, por que foi uma questão que eu tive que colocar pq na hora de configurar o servidor, a internet não tava funcionando ae eu verifiquei que as dns estavão diferentes... mas ae e questão de cada um como vai ser sua configuração isso e muito relativo...
Agora que eu intendi sua pergunta, o Ubuntu quando acaba de instalar ele, ele pega dhcp da rede automatico, ae o que acontece quando você vai configurar pra colocar ip manual no servidor, pra ele ficar fixo, digamos que o dhcp automatico esteja como dns 200.10.120.3 ae quando você coloca manual para outro endereço ip da qual a dns e diferente ele ainda continua com as dns do dhcp automatico por isso eu deixei caso for necessario editar as dns use mcedit /etc/resolv.conf, por que foi uma questão que eu tive que colocar pq na hora de configurar o servidor, a internet não tava funcionando ae eu verifiquei que as dns estavão diferentes... mas ae e questão de cada um como vai ser sua configuração isso e muito relativo...
[5] Comentário enviado por dubetors em 28/08/2012 - 10:55h
opa, segui seu tutorial, mas o que aconteçe é o seguinte, das estações consigo pingar para a internet, porem não navega. qnd comento as linhas do proxi transparente no firewall, consigo navegar, porem sem nenhum filtro, pois não passa pelo squid. saberia o que pode ser? grato
opa, segui seu tutorial, mas o que aconteçe é o seguinte, das estações consigo pingar para a internet, porem não navega. qnd comento as linhas do proxi transparente no firewall, consigo navegar, porem sem nenhum filtro, pois não passa pelo squid. saberia o que pode ser? grato
Patrocínio
Site hospedado pelo provedor RedeHost.
Destaques
Artigos
Compartilhando a tela do Computador no Celular via Deskreen
Como Configurar um Túnel SSH Reverso para Acessar Sua Máquina Local a Partir de uma Máquina Remota
Configuração para desligamento automatizado de Computadores em um Ambiente Comercial
Dicas
Efeito "livro" em arquivos PDF
Como resolver o erro no CUPS: Unable to get list of printer drivers
Flatpak: remover runtimes não usados e pacotes
Mudar o gerenciador de login (GDM para SDDM e vice-versa) - parte 2
Tópicos
Top 10 do mês
-
Xerxes
1° lugar - 63.044 pts -
Fábio Berbert de Paula
2° lugar - 48.589 pts -
Buckminster
3° lugar - 17.467 pts -
Mauricio Ferrari
4° lugar - 15.080 pts -
Alberto Federman Neto.
5° lugar - 13.546 pts -
Daniel Lara Souza
6° lugar - 12.998 pts -
Diego Mendes Rodrigues
7° lugar - 12.617 pts -
Alessandro de Oliveira Faria (A.K.A. CABELO)
8° lugar - 12.153 pts -
Andre (pinduvoz)
9° lugar - 10.969 pts -
edps
10° lugar - 10.321 pts
Scripts
[Python] Automação de scan de vulnerabilidades
[Python] Script para analise de superficie de ataque
[Shell Script] Novo script para redimensionar, rotacionar, converter e espelhar arquivos de imagem
[Shell Script] Iniciador de DOOM (DSDA-DOOM, Doom Retro ou Woof!)
[Shell Script] Script para adicionar bordas às imagens de uma pasta
A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.
Site hospedado por:
