Servidor de Internet, Firewall, Logs - Ubuntu 10.04.3 LTS Lucid Lynx

Neste artigo estarei mostrando como montar um Servidor de Internet com Firewall bastante simples, com Proxy transparente, Firewall, Logs e bloqueios diversos por MAC.

[ Hits: 58.614 ]

Por: Welton Cordeiro em 01/09/2011


Configurando as interfaces de rede e Configurando Squid



No artigo eu uso editor de textos mc caso tenha preferência em usar outro, substitua mcedit pelo editor de sua preferência.

Obs.: Vamos considerar que eth1 é a interface para a internet e eth0 a interface para a rede local.

Instalando editor de textos mc:

# apt-get install mc

Editando as Interfaces:

# mcedit /etc/network/interfaces

Obs.: Eu coloquei as interfaces manuais, sendo que a eth0 é minha rede local, e eth1 é minha internet, configure os ips conforme necessário na sua rede.

Caso seja necessário editar as dns da eth1 internet:

# mcedit /etc/resolv.conf

auto lo eth0 eth1
iface lo inet loopback

iface eth0 inet static
address 10.1.1.1
netmask 255.0.0.0
network 10.0.0.0
broadcast 10.255.255.255

#iface eth1 inet dhcp
iface eth1 inet static
address 192.168.1.2
netmask 255.255.255.0
network 192.168.1.0
broadcast 192.168.1.255
gateway 192.168.1.1

Instalando e configurando Squid

Instalando squid:

# apt-get install squid

Guardando o squid original pra mais tarde caso precise:

# cd /etc/squid
# mv squid.conf squid.conf.original

Criando Regras de squid:

# mcedit squid.conf

http_port 3128 transparent
visible_hostname debian
error_directory /usr/share/squid/errors/Portuguese

cache_mem 256 MB
maximum_object_size_in_memory 64 KB
maximum_object_size 512 MB
minimum_object_size 3 KB
cache_swap_low 90
cache_swap_high 95
cache_dir ufs /var/spool/squid 1024 16 50
cache_access_log /var/log/squid/access.log
refresh_pattern ^ftp: 15 20% 2280
refresh_pattern ^gopher: 15 0% 2280
refresh_pattern . 15 20% 2280

#O cache pode ser configurado para continuar downloads de requisicoes abortadas
quick_abort_min -1 KB
quick_abort_max 0 KB
quick_abort_pct 100%

#fecha a conexao quando o a leitura do socket retornar sem mais dados para leitura
half_closed_clients off
read_timeout 60 seconds
pconn_timeout 120 seconds

acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl SSL_ports port 443 563
acl Safe_ports port 21 80 443 563 70 210 280 488 59 777 901 1025-65535
acl purge method PURGE
acl CONNECT method CONNECT

http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

# Macs computadores de quem e Totalmente Liberado
acl macsliberados arp "/etc/squid/macsliberados"
http_access allow macsliberados

# Macs computadores de quem e bloqueado
acl macsbloqueados arp "/etc/squid/macsbloqueados"
http_access deny macsbloqueados

#Lista de Sites Bloqueados
acl bloqueados url_regex -i "/etc/squid/bloqueados"
http_access deny bloqueados

#Lista de Macs de Pessoas Autorizadas e Fazer Downloads
acl downloadsallow arp "/etc/squid/downloads.allow"
http_access allow downloadsallow

#Lista de Extensoes ex. ..exe . Bloqueadas
acl downloadsdeny url_regex -i "/etc/squid/downloads.deny"
http_access deny downloadsdeny
acl LoginMSN dst loginnet.passport.com
acl GatewayMSN url_regex gateway.dll
http_access allow CONNECT LoginMSN
http_access deny GatewayMSN

#Aqui você vai colocar a faixa de ip da sua rede local ex: 192.168.1.0/24 ou conforme abaixo:
acl redelocal src 10.0.0.0/8
http_access allow localhost
http_access allow redelocal

http_access deny all

forwarded_for off

memory_pools off

detect_broken_pconn on

    Próxima página

Páginas do artigo
   1. Configurando as interfaces de rede e Configurando Squid
   2. Continuação - Configurando Squid
   3. Criando script de Firewall
   4. Instalando e configurando Sarg
Outros artigos deste autor
Nenhum artigo encontrado.
Leitura recomendada

Instalando e configurando o modem SpeedTouch 330 USB da Alcatel

Por que eu pago por 10 megas, mas só faço download a 1 mega?

Postfix autenticando com o SASL no Conectiva 8

Como hospedar um site no seu próprio micro

BOINC - Computação distribuída e aplicações científicas

  
Comentários
[1] Comentário enviado por facb69 em 05/09/2011 - 20:25h

Muito bom esse tutorial, Welton.
Só não entendi porque você configurou sua eth0 com 10.1.1.1 e a eth1 com 192.168.1.2 já que não há no texto nenhuma informação sobre NAT e são duas redes diferentes. Sei que um roteador faz isso mas, nesse caso, como seria?
Se puder me explicar, vai me ajudar bastante pois estou estudando redes, também, e vou usar em casa mais prá frente.
Mais uma vez, parabéns pelo tutorial.

Abraço,
Fábio

[2] Comentário enviado por awn em 09/09/2011 - 22:45h

Excelente tutorial,
Estou preste a ultiliza-lo aqui em casa e só entender porque você configurou sua eth0 com 10.1.1.1 e a eth1 com 192.168.1.2 já que não há no texto nenhuma informação sobre NAT e são duas redes diferentes. E não poderia ficar a eth1 soconfigurado o dns com 127.0.0.1 pois e nele que vem a internet?

Att
Anderson

[3] Comentário enviado por weltonpba em 10/09/2011 - 08:00h

Caros Amigos, a eth0 e ip fixo que configurei pra rede de computadores, a eth1 e ip fixo do meu modem dhcp que vem a internet, ele pega a internet pelo 192 e roteia pelo 10 intederão ?

[4] Comentário enviado por weltonpba em 10/09/2011 - 10:00h

Agora que eu intendi sua pergunta, o Ubuntu quando acaba de instalar ele, ele pega dhcp da rede automatico, ae o que acontece quando você vai configurar pra colocar ip manual no servidor, pra ele ficar fixo, digamos que o dhcp automatico esteja como dns 200.10.120.3 ae quando você coloca manual para outro endereço ip da qual a dns e diferente ele ainda continua com as dns do dhcp automatico por isso eu deixei caso for necessario editar as dns use mcedit /etc/resolv.conf, por que foi uma questão que eu tive que colocar pq na hora de configurar o servidor, a internet não tava funcionando ae eu verifiquei que as dns estavão diferentes... mas ae e questão de cada um como vai ser sua configuração isso e muito relativo...

[5] Comentário enviado por dubetors em 28/08/2012 - 10:55h

opa, segui seu tutorial, mas o que aconteçe é o seguinte, das estações consigo pingar para a internet, porem não navega. qnd comento as linhas do proxi transparente no firewall, consigo navegar, porem sem nenhum filtro, pois não passa pelo squid. saberia o que pode ser? grato


Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts