Servidor de internet a rádio no Debian
Depois de bater um pouco a cabeça, vou mostrar aqui como montar um servidor de internet a rádio com firewall, controle de MAC/IP, proxy, controle de banda e servidor de DNS.
[ Hits: 26.202 ]
Por: Junior Corazza em 05/03/2010 | Blog: http://www.orkut.com.br/Main#Profile?uid=13460668254481863738&rl=t
Cenário
Hardware do servidor:
- Pentium III - 900 mhz
- Placa Mãe Asus TUSI-M
- 256 MB Memória Dimm
- HD 20 GB
- 2 Placas de rede
Software:
- Debian 5.03
- Iptables
- Squid
- Bind
- BandLimit
Esse tutorial foi uma união de vários tutoriais espalhados pela internet, darei os créditos aos respectivos autores em cada pagina.
Firewall
Firewall é uma coisa bem pessoal, mas vou postar o meu aqui como um exemplo. Observe que no firewall eu já faço o controle de MAC/IP, portanto se você quer usar outro firewall é só manter as linhas do controle de MAC, a linha de compartilhamento de conexão e a linha que transfere a porta 3128 pra porta 80.#Internet=eth0
#Rede Interna=eth1
# Ativa módulos
modprobe ip_tables
modprobe iptable_nat
modprobe ip_conntrack
modprobe ip_nat_ftp
modprobe ipt_REJECT
modprobe ipt_MASQUERADE
# Zera regras
iptables -F
iptables -X
iptables -F -t nat
iptables -X -t nat
iptables -F -t filter
iptables -X -t filter
# Determina a política padrão
iptables -P INPUT DROP
iptables -P FORWARD DROP
# Aceita os pacotes que realmente devem entrar
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# Controle de acesso IP X MAC
#0001
iptables -t filter -A FORWARD -d 0/0 -s 192.168.1.2 -m mac --mac-source 90:E6:BA:A4:2B:C8 -j ACCEPT
iptables -t filter -A FORWARD -d 192.168.1.3 -s 0/0 -j ACCEPT
iptables -t filter -A INPUT -s 192.168.1.3 -d 0/0 -m mac --mac-source 90:E6:BA:A4:2B:C8 -j ACCEPT
iptables -t nat -A POSTROUTING -s 192.168.1.2 -o eth0 -j MASQUERADE
#0002
iptables -t filter -A FORWARD -d 0/0 -s 192.168.1.3 -m mac --mac-source 00:1E:0B:45:13:DD -j ACCEPT
iptables -t filter -A FORWARD -d 192.168.1.2 -s 0/0 -j ACCEPT
iptables -t filter -A INPUT -s 192.168.1.3 -d 0/0 -m mac --mac-source 00:1E:0B:45:13:DD -j ACCEPT
iptables -t nat -A POSTROUTING -s 192.168.1.2 -o eth1 -j MASQUERADE
#0003
iptables -t filter -A FORWARD -d 0/0 -s 192.168.1.4 -m mac --mac-source 00:1E:0B:45:13:DD -j ACCEPT
iptables -t filter -A FORWARD -d 192.168.1.4 -s 0/0 -j ACCEPT
iptables -t filter -A INPUT -s 192.168.1.4 -d 0/0 -m mac --mac-source 00:1E:0B:45:13:DD -j ACCEPT
iptables -t nat -A POSTROUTING -s 192.168.1.4 -o eth1 -j MASQUERADE
#Compartilha a conexão
echo 1 > /proc/sys/net/ipv4/ip_forward
#transfere porta 80 para 3128
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128
# Abre uma porta (inclusive para a Internet). Neste caso apenas deixamos aberto o acesso para SSH, Proxy e DNS.
iptables -A INPUT -p tcp --destination-port 22 -j ACCEPT
iptables -A INPUT -p tcp --destination-port 53 -j ACCEPT
iptables -A INPUT -p tcp --destination-port 3128 -j ACCEPT
iptables -A INPUT -p tcp --destination-port 80 -j ACCEPT
# Proteções diversas contra portscanners, ping of death, ataques DoS, etc.
iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
iptables -A FORWARD -p tcp -m limit --limit 1/s -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
iptables -A FORWARD --protocol tcp --tcp-flags ALL SYN,ACK -j DROP
iptables -A FORWARD -m unclean -j DROP
# Abre para a interface de loopback.
iptables -A INPUT -i lo -j ACCEPT
# BLOQUEIA O QUE NÃO SE ENCAIXA NAS REGRAS ACIMA
iptables -A INPUT -p tcp --syn -j DROP
iptables -P FORWARD DROP
Salve esse arquivo dentro do diretório /etc/init.d com o nome de rc.firewall e depois rode o comando:
# chmod +x /etc/init.d/rc.firewall
E inclua o caminho dele dentro do seu rc.local para que o firewall possa iniciar automaticamente com o servidor.
Créditos:
Firewall: Tiago André Geraldi - Guia do Hardware
http://www.guiadohardware.net/dicas/servidor-linux-provedor-wireless.html
Controle MAC/IP: Lacier Dias - Viva o Linux
http://www.vivaolinux.com.br/dica/Amarrando-IP-X-MAC-de-maneira-simples-e-funcional/
2. Proxy e DNS
3. Controle de banda
Instalando Ubuntu 9.04 e deixando com todos os programas que você gosta
Instalando Debian 5.0 e deixando com todos os programas que você gosta
Incrementando seu Firewall com o Layer 7 Filter
NAT com firewall - simples, rápido e funcional
Conheça o firewall OpenGFW, uma implementação do (Great Firewall of China).
Criando firewalls dinâmicos com Iptables Recent
Firewalls redundantes utilizando VRRP
Boa noite Junior, me diz uma coisa, sempre li que no caso do firewall iptables ele interpreta as regras na sequencia, ou seja se no inicio do script libero as portas que preciso e em seguida nego todo o resto. No caso do teu script de firewall como tenho no inicio
iptables -P INPUT DROP
iptables -P FORWARD DROP
se usar assim, não vai me bloquear todo o tráfego?
no meu firewall uso assim:
iptables -A OUTPUT -p tcp --dport 35366 -j REJECT
iptables -A FORWARD -p tcp --dport 6890 -j REJECT
iptables -A FORWARD -p tcp --dport 6900 -j REJECT
iptables -A FORWARD -p tcp --dport 21000 -j ACCEPT
iptables -A FORWARD -p tcp --dport 8001 -j ACCEPT
iptables -A FORWARD -p tcp --dport 3389 -j ACCEPT
iptables -A FORWARD -p tcp --dport 15000 -j ACCEPT
...
mais algumas regras
...
# bloqueia as demais portas
iptables -A FORWARD -i eth0 -p tcp -j DROP
# Bloqueio de portas UDP
iptables -A FORWARD -p udp --dport 0:499 -j DROP
iptables -A FORWARD -p udp --dport 501:1036 -j DROP
Caso eu tenha entendio mal o que li, me da uma dica, estou começando.
Valeu
Doldan
Controle de Internet - Controle o acesso da internet em sua empresa, bloqueio de sites indesejados, bloqueio de Msn, Orkut e outros sites - Confira!
http://www.llevon.com.br/solucoes/solucoes-linux/controle-de-internet">http://www.llevon.com.br/solucoes/solucoes-linux/controle-de-internet
http://www.llevon.com.br
Patrocínio
Destaques
Artigos
Compartilhando a tela do Computador no Celular via Deskreen
Como Configurar um Túnel SSH Reverso para Acessar Sua Máquina Local a Partir de uma Máquina Remota
Configuração para desligamento automatizado de Computadores em um Ambiente Comercial
Dicas
Efeito "livro" em arquivos PDF
Como resolver o erro no CUPS: Unable to get list of printer drivers
Flatpak: remover runtimes não usados e pacotes
Mudar o gerenciador de login (GDM para SDDM e vice-versa) - parte 2
Tópicos
Wifi não funciona no Aspire ES 15 com o Debian (8)
Como atualizar o Debian 8 para o 10 (10)
Dica sobre iptables ACCEPT e DROP (6)
NGNIX - Aplicar SNAT para evitar roteamento assimetrico (29)
Top 10 do mês
-
Xerxes
1° lugar - 65.629 pts -
Fábio Berbert de Paula
2° lugar - 48.995 pts -
Buckminster
3° lugar - 18.509 pts -
Mauricio Ferrari
4° lugar - 14.762 pts -
Alberto Federman Neto.
5° lugar - 13.543 pts -
Diego Mendes Rodrigues
6° lugar - 12.743 pts -
Daniel Lara Souza
7° lugar - 12.653 pts -
Alessandro de Oliveira Faria (A.K.A. CABELO)
8° lugar - 11.976 pts -
Andre (pinduvoz)
9° lugar - 10.791 pts -
edps
10° lugar - 10.411 pts
Scripts
[Python] Automação de scan de vulnerabilidades
[Python] Script para analise de superficie de ataque
[Shell Script] Novo script para redimensionar, rotacionar, converter e espelhar arquivos de imagem
[Shell Script] Iniciador de DOOM (DSDA-DOOM, Doom Retro ou Woof!)
[Shell Script] Script para adicionar bordas às imagens de uma pasta
A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.
Site hospedado por:
