Instalando Servidor Debian - 01

Todo o site

» Menu

Artigos

.Conf

Camisetas

Comunidades

Dicas

Eventos

Perguntas

Screenshots

Scripts

Simulado

Wallpapers

Treinamento Zope Plone

Curso Perl Online

taylor16/11/2006

Conceito: 10.0 + quero dar nota ao artigo

» O que é GNU/Linux | Download do GNU/Linux | Anuncie | Fale Conosco

Artigo

Home » Artigos » Linux » Configuração » Visualização deartigoInstalando servidor Debian - Memento

Partindo da prática resolvi registrar cadapasso para ter um servidor Debianfuncionando: instalação, atualização,rede, bind (DNS), DHCP atribuindo IPassociado ao MAC, iptables nocompartilhar de internet com proxytransparente, Squid para controle de

acesso e o Sarg para visualização dos log do Squid. Tudocomentado e traduzido, inclusive os .conf.

Por: Taylor Lopes[ Hits: 261803 ]

+ Favoritos Versão para

impressora Indicar para um amigo Enviar artigo

Instale o Debian no computador que será oservidor

Faça download do Debian netinst em:

http://www.debian.org/CD/netinst/index.pt.html

OBS: Debian netinst contém apenas a quantidade mínima desoftware para começar a instalação e obter os outros pacotesatravés da Internet.

Caso queira, use uma versão mais completa:

Versão oficial mais recente das imagens de CD da distribuiçãoestável: 3.1 rev3. Faça download em:

http://www.debian.org/CD/http-ftp/

Durante a instalação, atribua o nome ao servidor. Exemplo:servidor

O superusuário "root" será criado.

Crie também o usuário comum "admin" para uso do sistemasem comprometê-lo.

Ao terminar, logue-se como root para proceder as configuraçõesrestantes.

Faça atualização do Debian:

# apt-get update

Login | Cadastre-se

Visite também: Segurança Linux � BR-Linux.org � Dicas-L � NoticiasLinux � SoftwareLivre.org � UnderLinux � BestLinux

Estrutura TIC para Hotel? Contrate Soluções NEC Seu Hotel Preparado Copa Mundo www.neccloud.com.br

Avaya - Telefonia IP Conheça as Soluções Avaya em Telefonia IP e Comunicações. Avaya.com/BR

Diebold Server 4U Plataforma de Processador Intel® Xeon®. Suporte a Intel® Xeon® 5500. www.Diebold.com.br

Linux: Instalando servidor Debian - Memento [Artigo] http://www.vivaolinux.com.br/artigo/Instalando-servidor-Debian-Mement...

1 de 52 22/02/2011 13:28

» Últimos artigos

Instalação do Android2.2 (codinome Froyo)no Samsung GalaxyGT-I7500/GT-I7500L

Por que existem maisgames para Windowsdo que para Linux?

Grade Computacionalcom OurGrid noDebian Lenny

Como organizarbiblioteca de músicasno computador

Bind consultandozonas em base LDAP

Configuração deservidor DHCP noDebian Linux

» Screenshot

[Como anunciar?]

» Destaques

01/03 - EventoSegurança Livre emBrasília (0)

» Login

Login:

Senha:

Se você ainda nãopossui uma conta,clique aqui.

Esqueci minha senha

» Top 10 usuários

5575364: FábioBerbert de Paula

4707769: Alessandrode Oliveira Faria(A.K.A. CABELO)

2779103: AntonioCarlos Vasques daSilva

2113575: JeffersonEstanislau da Silva

2111482: DavidsonRodrigues Paulo

2025395: Percival F. Jr.

1917051: ElgioSchlemer

1679263: Cicero Juliaoda Silva Junior

1643567: Thiago Alves

1584354: Xerxes Lins

» Wallpaper

Por n34r

<< Página anterior Próxima página >>

Instale mais alguns pacotes necessários (caso ainda não tenha):

# apt-get install squid (Proxy - Cache e controle de acesso ainternet)# apt-get install samba (Integra sistema de arquivos Linux xWindows)# apt-get install bind9 (DNS - Servidor de nomes)# apt-get install apache (Servidor Web)# apt-get install php4 (Linguagem de programação para fazerwebsites)# apt-get install dhcp3-server (Servidor de IP fixo/dinâmico)# apt-get install ssh (Acesso remoto)# apt-get install sarg (Gerador de Relatórios do Squid)

OBS:

1) Caso a versão a versão Debian não venha com interfacegráfica, como é o caso do netinst, instale-a:

# apt-get update# apt-get install x-window-system xserver-xfree86gnome-core gdm

Caso após a instalação e configuração houver problemas com ainterface gráfica, reconfigure-a:

# dpkg-reconfigure xserver-xfree86

2) Caso precise, baixe o mozilla firefox:

# apt-get update# apt-get install mozilla-firefox-locale-pt-br

Páginas do artigo

1. Introdução 2. Instale o Debian no computador que será o servidor 3. Estrutura geral da rede 4. Configure as placas de redes do servidor (deve haver duas) 5. Configure o Bind9 - Servidor de nomes (DNS) e DHCP 6. Iptables - Firewall 7. Configure o Squid (Proxy) - Controle de acessos 8. Sarg - Gerador de relatórios para o Squid

Outros artigos deste autor

Nenhum artigo encontrado.

Leitura recomendada

Como colocar um programa para inicializar no boot Dhcp3-server e Bind9 no Debian 4 Etch Linux Instalando e configurando ntfs-3g no CentOS 5.2 Linux Explicando DHCP passo a passo Otimizando o KDE com o Slackbuild

Comentários

[1] Comentário enviado por leoberbert em 16/11/2006 -08:07h:

Este sei Artigo é meu dia a dia heheheh. Bom fazer este tipo deartigo para as pessoas verem que não é um bicho de sete kbças.Abração!!!

[2] Comentário enviado por erico em 16/11/2006 - 08:30h:

muito bom o artigo ...

[3] Comentário enviado por uiliangurjon em 16/11/2006 -12:42h:


2 de 52 22/02/2011 13:28

Por removido

» Últimas dicas

Scanner Gotec(Plustek) no Linux Mint

Agendar downloadspelo terminal do Linux

Solução paratravamento nainstalação doUbuntu10.10(notebooks enetbooks)

Webmin -Sincronizandousuários/grupos doUnix com o Samba

Instalando a bibliotecalibxml2

Oracle - Criar usuáriocom privilégio de DBA

Oracle - Criar, deletar ealterar senha deusuário de maneirasimples

MintMenu no Fedora14

» Segurança Linux

[Artigo] Gestão deContinuidade deNegócios

[Notícia] IPv4 - Chegaao final.

[Notícia] Pesquisadorfaz celular virar escutatelefônica

[Notícia] Anatelgarante que dadosficarão em sigilo

[Notícia] BrazilianSecurity Blogs Network

[Artigo] ForenseComputacional -Conceitos Iniciais -Parte 2

[Dica] Snoopy Loggerem Centos 5.5 i386(logando comandos dousuário, superuser eroot)

» Últimos scripts

» Perguntas

Qual a religião devocês (131)

Número de Linhas semWC (1)

Problema com gráficosdo Cacti (28)

Word em PDF noUbuntu 10.04 (4)

"ajuda&q... meuservidor debian nãopega internet (6)

CURSO HANDS ON -BI PROFISSIONALCOM PENTAHO (0)

Liberar Firewall paraEmule - 3 (0)

Liberar Firewall paraEmule - 2 (0)

» .Conf

[Squid] squid.conf -Squid + autenticaçãocom AD

[Nvidia] xorg.conf -Placa de vídeo Nvidia260 no Slackware

[MPD] mpd.conf - MPDcom streaming http

[Linux] fstab - Comoacessar partiçõesWindowsautomaticamente...

[Squid] squid.conf -Squid transparentesem dor de cabeça

Perfeito o artigo, é minha rotina de trabalho seu artigo!!!!!!

[4] Comentário enviado por jucivaldo_mega em 17/11/2006 -00:53h:

poxa, muito bacana esse artigo, uma pergunta! no caso dequando for da manutencao, tipo adicionar e remover oubloquear clientes, eu tenho q acessar do proprio servidor ou porqualquer maquina?

[5] Comentário enviado por taylor em 17/11/2006 - 11:39h:

Respondendo ao jucivaldo_mega: Para acessar o servidor linuxremotamente você pode usar o SSH a partir de qualquermáquina da rede, seja ela linux ou windows. Antes de qualquercoisa, tenha certeza q vc tem o SSH instalado.

*** Para instala-lo, no servidor Debian, faça num terminal:

apt-get updateapt-get install ssh/etc/init.d/ssh start

*** Para usa-lo a partir de uma máquina linux:

- Abra um terminal e digite: # ssh <usuario>@<ip do servidor>- Este "usuario" deverá estar previamente cadastrado noservidor.- Ex: # ssh [email protected] Entre com a senha e pronto!

*** Para usa-lo a partir de uma máquina windows:

- Baixe na internet um programa como o "PuTTY" ou "SSH - TheSecure Shell" e execute-o.- Na janela, informe o ip do servidor. Será pedido o "usuario" e"senha".

Feito o logon SSH, vc estará com acesso ao servidor paramanuteni-lo como desejar. É possível também fazer este logonatravés de um interface gráfica. Basicamente é isto! Existemmuitos tutoriais explicando mais detalhadamente como fazeruso do SSH.

[6] Comentário enviado por manipulador em 18/11/2006 -22:25h:

MANO....Q show de artigo...parabéns....

[7] Comentário enviado por aprendiz_ce em 20/11/2006 -10:51h:

Show de bola!

O mesmo, já foi pra minha caixinha de favoritos....

Mas me falar só uma coisinha: Por qual motivo você utiliza esseclasse (10.0.0.0/255.0.0.0) para a rede interna, existe algummotivo especial? Conte-me tudo não esconda nada! :-)

Parabéns pelo artigo e aguardo retorno.


Respondendo ao mardonio: Nenhum motivo especial! Sei quenormalmente a classe "C" (192.168.0.0/255.255.255.0) é maisutilizada, porém, usei a classe "A" (10.0.0.0/255.0.0.0) apenaspor ser visualmente mais limpa e simples. Como sabemos, adiferença entre as classes A, B e C serve basicamente paradefinir endereçamentos de rede e hosts. Valeu!

[9] Comentário enviado por removido em 20/11/2006 - 17:22h:

Anúncios Google

Servidor

Linux Debian

Apostila Linux

DNS Linux

DNS to IP Address


3 de 52 22/02/2011 13:28

[Python] Manipulaçãode XML com Python

[Shell-Script] Criaçãode ports paraslackware

[Shell-Script]Biblioteca de funçõesde manipulação dearquivos CSV parashell script

[Shell-Script] Ligarmáquinas virtuais Xenseguindo ordem decriação

[C/C++] Barra deprogresso em forma de"roda"

Bom artigo taylor

Só um comentario, Você usando essa mascara 255.0.0.0 nos damilhores de IPs. Em uma rede Pequena o trafego de broadcastsera inorme!Seria bom vc usar uma outra mascara tipo:10.0.0.0/24 que nos da 254 Hosts. ou ate menor como /26.Varia muito do tamanho da sua Rede.

[10] Comentário enviado por bruno.prestes em 21/11/2006 -12:36h:

Parabéns pelo artigo meu jovem, esclareceu minhas dúvidas em99,99 %, mas ainda tenho uma, que é a seguinte: trabalho emum órgão do governo e na LAN do mesmo é utilizado um proxyde um outro órgão governamental que provê acesso a internetpara nós através de um circuito da telemar... tá isso nauminteressa muiito... entaum quero saber como eu vou montaresse proxy que você ensina na frente do proxy que nós temosque usar para poder acessar a internet???????????


bs.castro, bem observado! Da forma como sugeriu, teríamosdomínios de broadcast menores, melhorando o desempenho darede. Grato!


bruno.prestes, não tenho certeza se entendi o que você quisdizer. Mas com relação ao proxy demonstrado no artigo, possoinformar que:

É preciso ter o seguinte esquema:

Internet (A) <-----> Servidor (B) <-----> Clientes (C)

Em outras palavras, a Internet chega em um ponto "A" nasua rede, seja por roteador, linha telefonica, fibra ótica, etc.Entre o ponto "A", que representa o sinal da Internet, e oponto "C", que representa as máquinas que de fato utilizarãoesta Internet (Clientes), deve estar o Servidor ("B").

O proxy estará rodando neste Servidor ("B"), portanto,controlando os acessos dos Clientes ("C"). Quando umamáquinacliente da sua rede tentar acessar a Internet (porta 80) ,ocorreráque todo o fluxo será redirecionado para o proxy Squid (porta3128),que irá atuar conformes as regras de acesso estabelecidas.

Em fim, o proxy no Servidor ("B") vai controlar todas asmáquinasclientes da sua rede ("C"). Já o proxy do outro orgão que vocêmencionou vai funcionar como uma segunda camada decontrole,com outras regras. Este proxy estará atuando em cima do fluxoque entra/sai do seu Servidor ("B"), veja:

Internet (A) <----> Proxy em outro Servidor <----> Servidor(B) <----> Clientes (C)

Não sei se era isso e se deu pra entender... Valeu!


Olá taylor,

Estou pondo em práticas as confugurações do teu artigo, mas te


4 de 52 22/02/2011 13:28

confesso que sugiu mais uma dúvida e gostaria, se possível, deum esclarecido da sua parte. Pode ser?

- resolv.conf (desse artigo)

# /etc/resolv.conf#search localdomainnameserver 10.0.0.1nameserver 192.168.0.1nameserver 200.195.192.133

- resolv.conf (como utilizo)

# /etc/resolv.conf#search provedor.com.br (nem sempre defino)nameserver 200.195.192.133

A dúvida é a seguinte: Sempre utilizo os DNSs do provedor deacesso a internet, OK? E nunca precisei instalar o BIND9,apenas informo os IPs respectivos e pronto! Que ganho oumelhorias (técnicas) vou ter utilizando esse tipo deconfiguração?

Espero puder contar mais uma vez com a sua atenção, muitoobrigado e aguardo retorno.


Respondendo ao mardonio: Com o Bind instalado, teremos umDNS primário em nossa própria rede. Isto é importanteespecialmente numa Intranet, pois assim poderemos além dedar "nome" ao nosso servidor web - Apache (Ex: http://intranetao invés de http://10.0.0.1), também implementar um servidorde e-mail. Outro motivo para configurar um DNS, seria porquestões de performance, pois nosso próprio servidor resolveriao nome/ip e não criaria dependências para realizar esteprocesso.

Por isso, primeiro tentamos resolver o DNS no domínio local e,no caso de falha, a tentativa seguinte seria resolver em umprovedor na Internet. Valeu!


Olá taylor,

Entendi e captei a vossa mensagem! Só que eu tinha em menteque as configurações do BIND eram mais complexas, e nãobastando, ajustar somente o /etc/resolv.conf pra que o mesmotivesse funcionalidade. Mas não custa nada perguntar a quemsabe mais... Concorda?

Agora como faço para definir no /etc/resolv.conf o meu IP dainternet, já que o mesmo é DINAMICO?

- resolv.conf (desse artigo)

# /etc/resolv.conf#search localdomainnameserver 10.0.0.1nameserver 192.168.0.1 <- Como fixo o ip dinamico aqui?nameserver 200.195.192.133

De hoje em diante, vou passar a utilizar esse tipo deconfiguração recomendada por você!

Muitissimo obrigado pela sua pronta atenção e um forte abraço.

[16] Comentário enviado por bruno.prestes em 24/11/2006 -09:37h:


5 de 52 22/02/2011 13:28

Já me falaram que vou ter que trabalhar com hierarquia deproxy, o servidor proxy do outro órgão vai ter que me dapermissão pra mim trabalhar com meu proxy no meu órgão!!


Bom dia Nilson!

Respondendo seu e-mail, que pode ser dúvida de outros...

Resolvi escrever o Artigo pois, assim como você, precisei instalarum servidor Debian, quando então fui anotando cadaprocedimento. Acho que errar faz parte do aprendizado e quecom o tempo (e estudo) a gente vai entendendo melhor comoalgumas coisas funcionam.

Com relação as suas perguntas:

1. Quando você fala ao final do seu artigo: Seu servidor Apachedeve estar funcionando, você quer dizer algo mais que somenteinstalado na máquina? Tem alguma configuração a ser feita?

R: Quando eu fiz essa citação que o Apache deve estarfuncionando, eu estava comentando sobre o SARG. O SARG éum gerador de relatórios baseado no SQUID. Na verdade, nãonecessáriamente você precisa de um servidor WEB (APACHE)rodando para exibir relatórios do SARG, até porque quando vocêdigita no terminal "# sarg", é gerado um index.html em/var/www/squid-reports/. Normalmente, este caminho(/var/www/) existe quando vc tem o apache instalado. Mas vcpode gerar o SARG em outro diretório definido na diretivaoutput_dir /var/www/squid-reports do arquivo de configuraçãodo SARG, que é o /etc/squid/sarg.conf. Pra usar o SARGlogicamente você terá que ter o SQUID instalado. Eu recomendoo uso do Apache pois é muito interessante que a intranet tenhaum servidor web rodando para disponibilizar um website cominformações para toda a rede e inclusive acessar de outrasmáquinas o proprio relatorio do SARG, a qual sem o apache nãoseria possível.Além do mais, o apache já vem com as configurações inciaisbasicas funcionando...não custa nada! Vc disponibiliza seu website para intranetdentro da pasta /var/www e faz a chamada (visualização) pelobrowser usando http://<ip do servidor> ou http://<nome doservidor>.

2. Como deve ser a configuração das minhas estações (Clientescom Kurumin)?

R: Com essa configuração que coloquei, não é preciso mexer nocliente (no seu caso,as maquinas Kurumim). Primeiro porque o IP vai ser atribuidopelo DHCP. E não só isso! Vai ser um IP fixo de acordo com oMAC da placa de rede do seu cliente, que é importante parasaber quem é quem na rede. Por exemplo, quando umamaquinaKurumim sua chamada PC-1 se ligar a rede, ela faz o broadcast(e blá, blá, blá) e automaticamente o servidor DHCP vai checar oendereço MAC (Ex: 00:C0:9F:E3:9B:21) da maquina e vaimandar o IP (Ex: 10.0.0.22) dela, para ela. Sempre o mesmoIP! Lógico, que isso vai estar configurado no seu arquivo/etc/dhcp3/dhcpd.conf, como consta no Artigo. Outro motivo pqvc nao vai precisar configurar os clientes é com relação aoBrowser. Existem servidores que não trabalham com proxytransparente. Alguns até se justifica porque precisam trabalharcom autenticação. Particularmente, eu adotei o proxytransparente para não precisar ir em cada maquina e configuraros browser delas para apontar para meu servidor proxy. Até


6 de 52 22/02/2011 13:28

porque, sempre tem um espertinho q burla isso. Com o Proxytrasparente, todo fluxo da porta 80 vai pra porta 3128 do Squid,não precisando configurar nada no cliente. Lembre-se que fiz asconfigurações baseadas no MAC e não no IP. Portanto, naprimeira vez que for configurar o squid e o DHCP, você vai terque saber o MAC de cada cliente. Para obter o MAC você podeusar no windows o comando "ipconfig /all" e no linux "ifconfig"ou o proprio "arp -a" em ambos.

3. Você tem algum "Memento" sobre a configuração do Sambapara compartilhamento Windows/Linux, pois na minha redehaverá algumas máquinas com o Windows 98?

R: Com relação ao samba eu também precisei instalar econfigurar pq também tenho maquinas windows. Eu me baseeinos Artigos do proprio vivaolinux e alguns livros que tenho. Vaiaqui mesmo no VOL em menu > Artigos > Linux > Samba. Temvários artigos! Mas sem mistérios... Desde já te aconselho aconfigurar o samba como PDC... Querendo posso atédisponibilizar meu arquivo smb.conf, mas acho q já tem váriosaí...

Valeu... Abraços!

[18] Comentário enviado por dmmlopes em 07/12/2006 -15:56h:

Me explica uma coisa Taylor;Para que server o "search localdomain" na primeira linha...Onde está nameserver seria o nome Netbios do meu servidor ?Ou tenho que colocar nameserver mesmo ?!?!?Vc colocou três IPs diferentes sendo o terceiro um ip deinternet(provedor), colocando a linha "nameserver200.200.200.200" automaticamente encaminhará a pesquisa deresolução dns da minha rede para esse ip que foi mencionado ?

Obrigado....


Obrigado dmmlopes pela observação! Sinal que alguém andalendo este artigo (rs). A configuração do bind realmente estáobscura, e percebi isto com o comentário do mardonio, emboranão tivesse como alterar.

Meu equivoco veio por conta de que no momento em que eutestei a configuração do Bind (servidor) a partir de umamáquina Windows na rede, tudo aparentou funcionarnormalmente. E funciona (no windows, rs)! Mas não era porcausa do Bind, veja:

Suponha que o nome do meu servidor (10.0.0.1) fosse "sol".Entrei numa maquina windows (cliente) e digitei no browser"http//sol". Acessou normalmente o Apache no servidor. Istodava a impressão que o Bind/DNS está OK, o que não eraverdade.

Tanto é que, numa maquina Linux (cliente) o mesmo nãoocorria! Ou seja, quando eu digitava "http://sol" no browser, onome "sol" não era conhecido. Só mesmo pelo IP do servidor erapossível acessar o Apache: "http://10.0.0.1". Isto mostrou querealmente a configuração do Bind/DNS estava com problemas.

Estou citando que testei pelo Browser, só pra mostrar que afinalidade do Bind seria justamente possibilitar o acesso aowebsite da Intranet pelo NOME (e não IP). Para um teste eficazo ping já bastaria: ping sol.

Esta falha se tornou mais evidente quando eu resolvi parar osserviços do Bind (/etc/init.d/bind9 stop) e a máquina Windows


7 de 52 22/02/2011 13:28

continuou resolvendo os nomes. Além disto, essa tal resoluçãode nomes feita apenas pela maquina Windows só funcionavacaso o samba estivesse rodando.

Mas porque a resolução de nomes para o Windows funcionava epara Linux não? Foi quando percebi o que estava acontecendo. Oque ocorria era que, como a maquina Windows "conversa" com oSamba, então obtia o NOME (sol) através da diretiva "netbiosname = sol" do arquivo de configuração do samba (/etc/samba/smb.conf). Caso esta diretiva não existisse no smb.conf, entãoresolvia o nome por difusão e através do WINS (nbtstat -r).

Mas tudo bem, problemas à parte, vamos ao que interessa: Asolução!Como forma de me redimir, vai aí o jeito adequado de configuraro bind para funcionar numa Intranet (windows/linux), rodandoum servidor Linux Debian.

Só lembrando, estarei considerando a rede 10.0.0.0/255.0.0.0cujo servidor possui IP 10.0.0.1 e nome "sol" (hostname).

CONFIGURAÇÃO BIND - INTRANET****************************

*** 1. Instale o Bind**************

# apt-get update# apt-get install bind9

*** 2. Configure o /etc/bind/named.conf. Ao final do arquivo,inclua:*****************************************************

zone "intranet" {type master;file "/etc/bind/db.intranet";};

zone 10.in-addr.arpa {type master;file "/etc/bind/db.10";};

# Obs: No meu caso, criei um zona chamada "intranet", quepode ser qualquer nome. Na verdade este será onome do seu domínio local. Transforma Nome em IP.

Na zona seguinte é definido o DNS reverso.Transforma IP em nome de domínio.

IMPORTANTE: No DNS Reverso, importa a parte do IP quecorresponde à rede (não o host). Ou seja, caso estejausando uma rede tipo 192.168.0.0/255.255.255.0, entãoficaria:

zone "0.168.192.in-addr.arpa" {type master;file "/etc/bind/db.0.168.192";};

O arquivo da diretiva "file" será criado a seguir.Nele que correlacionaremos os Nomes e IPs do domínio.

*** 3. Configure os arquivos da Intranet (domínio local)*******************************************

No diretório /etc/bind/, crie os arquivos db.intranet e db.10,assim:

# mkdir /etc/bind/db.intranet# mkdir /etc/bind/db.10


8 de 52 22/02/2011 13:28

# chmod 755 /etc/bind/db.intranet# chmod 755 /etc/bind/db.10

# Agora, inclua o conteúdo abaixo no arquivo /etc/bind/db.intranet

$TTL 604800 ;@ IN SOA sol.intranet. root.sol.intranet. (09122006 ; Serial604800 ; Refresh (1 semana)86400 ; Retry ( 1 dia )2419200 ; Expira ( 4 semanas )604800) ; Minimo ( 1 semana );@ IN NS sol.@ IN A 10.0.0.1sol IN A 10.0.0.1pc-1 IN A 10.0.0.77pc-2 IN A 10.0.0.20pc-3 IN A 10.0.0.13

# Obs: Como disse, "sol" é o nome do servidor. Substituapelo seu! pc-1, pc-2, pc-3, pc-n... são os nome dasmaquinas clientes. Substitua pelas suas! Aí você estáassociando o nome da máquina com o IP dela. MasLembre-se que devem ser os mesmos IP atribuídos noDHCP (/etc/dhcp3/dhcpd.conf), já que estamosconsiderando a configuração proposta no Artigo, ondeo DHCP atribui IP fixo associado ao MAC.

# Inclua o conteúdo abaixo no arquivo /etc/bind/db.10

$TTL 604800 ;@ IN SOA sol.intranet. root.sol.intranet. (09122006 ; Serial604800 ; Refresh (1 semana)86400 ; Retry ( 1 dia )2419200 ; Expira ( 4 semanas )604800) ; Minimo ( 1 semana );@ IN NS sol.intranet.1.0.0 IN PTR sol.intranet.77.0.0 IN PTR pc-1.intranet.20.0.0 IN PTR pc-2.intranet.13.0.0 IN PTR pc-3.intranet.

# Obs: Não esqueça o "." no fim do nome do domínio.Veja que nas diretivas PTR são colocados, na ordeminversa, a parte do IP referente ao host (e não rede).Portanto, se você usa uma rede tipo192.168.0.0/255.255.255.0,então a linha ficaria, por exemplo, assim:

34 IN PTR pc-1.intranet.110 IN PTR pc-2.intranet.98 IN PTR pc-3.intranet.

*** 4. Configure /etc/resolv.conf************************

# Inclua o conteúdo abaixo no arquivo /etc/resolv.conf

search intranetnameserver 10.0.0.1nameserver 200.193.195.133


9 de 52 22/02/2011 13:28

# Obs: "intranet" é o nome do nosso domínio (zona) local.10.0.0.1 é o IP onde roda nosso servidor de nomes (Intranet) e200.193.195.133 é um IP na Internet (externo) para casohaja alguma falha em resolver o nome localmente.

*** 5. Reinicie o Bind***************

No terminal, faça:

#/etc/init.d/bind9 restart

*** 6. Associando Bind ao DHCPD*************************

Já que a idéia do Artigo é configurar tudo no Servidor,sem a necessidade de configurar nada nas máquinas clientes,então, certifique-se que seu /etc/dhcp3/dhcpd.confpossui as linhas:

option domain-name-servers 10.0.0.1;option domain-name "intranet";

Elas fazem referência ao IP e ao NOME do domínio,respectivamente.

*** 7. Reinicie o DHCP****************

No terminal, faça:

#/etc/init.d/dhcp3-server restart

IMPORTANTE: Não esqueça que antes de fazer o teste namaquina cliente, tem que mandar reparar o IP (windows) ou daro comando /etc/init.d/networking restart (linux) para limpar ocache e assumir as novas configurações.

Bem pessoal, era isso! Boa Sorte...


Olá taylor,

Adorei essas sua informações adicionais, sobre como configur doBIND. Segui ao "pé-da-letra" tudo o que você descreve logoacima, tudo ficou certinho. Só não sei porque, que as estaçõesLINUX continuam sem localizar o servidor pelo nome. O quepode ser?

Obrigado e aguardo retorno.


Olá taylor,

Revisei as minhas configurações e agora ficou tudo certinho.

Só que não funciona ao contra. Se eu ping pelo nome de umaestação WINDOWS (cliente) estando em uma estação LINUX,não dá certo. O que pode ser?

Obrigado e aguardo retorno.


10 de 52 22/02/2011 13:28


Revisei mais uma vez e ficou certinho.

Mais uma vez, parabéns pelo excelente artigo!

Obrigado e um forte abraço.

[23] Comentário enviado por [email protected] em10/01/2007 - 12:52h:

Fala Taylor, adorei o artigo, alterei algumas coisas e depois ire temandar para ficar mais completo, mas uma coisa eu nãoconsegui fazer direito.Apos configurar tudo, beleza, funcionou, mas depois o sargdeixou de armazenar as coisas, pq poderia acontecer isso??

valeu pela ajuda


[email protected], o sarg gera relatórios baseados no log dosquid. O Squid roda em tempo real, o sarg não. Os relatórios dosarg só são gerados quando você entra no terminal e digitar ocomando:

# sarg

A partir daí que o sarg carrega as novas informações contidas nolog do squid, localizado em /var/log/squid/access.log.

Existe alguns parâmetros que podem ser adicionados à linha decomando para gerar relatórios personalizados no sarg .

Parece que na versão 2.1 o sarg tem esse recurso chamadoRealtime (http://pkgsrc.se/www/sarg). Particularmente aindanão testei...

Valeu...

[25] Comentário enviado por fabiolima em 13/01/2007 -13:31h:

fala Taylor todo ok?Primeiramente queria parabenizar pelo excelente artigo.

Em segundo queria te fazer uma pergunta...Eu segui os passos que você descreveu neste artigo e tudo estafuncionando ok, DHCP, BIND, etc. Só estou com um problema noSquid pois o proxy transparente não está funcionando, utilizei asmesmas confs que você descreve neste artigo, tanto nosquid.conf quanto nas regras do iptables e mesmo assim nadafuncionou, mas se eu configurar manualmente no browserdefinindo o servidor proxy ele funfa, senão fizer isso não tenhoconexão.

Sabe o que pode ser?

vlw

[]'s

[26] Comentário enviado por fabiolima em 13/01/2007 -15:24h:

Taylor consegui resolver o problema, tinha que incluir a regraabaixo no iptables,

iptables -t nat -A PREROUTING -p tcp --dport 3128 -j ACCEPT


11 de 52 22/02/2011 13:28

Fica ai a dica pra quem tiver o mesmo problema.Meu iptables e Kerneliptables v. 1.2.6aKernel 2.4.18

[]'s


fabiolima, não tive o problema que vc mencionou, mas obrigadopor contribuir. A versão do meu Kernel é 2.4.27-2-386 eIptables v1.2.11.


Respondendo ao e-mail recebido:

DÚVIDA******"...não estou conseguindo deixar meus 2 computadores emrede. Sou iniciante tanto no linux quanto em configuraçõesdesse tipo. No computador que vai distribuir a rede é linux, maso outro é windows..."

COMENTÁRIO**********Oi José,

Na verdade o Artigo não ensina COMO fazer, e sim O QUE fazer,ou seja,realmente tem que ter um pré conhecimento mínimo parautiliza-lo.

Inclusive, acho q para o seu caso não é preciso montar umservidor como o descrito no Artigo, pois pelo que percebi vc sóquer deixar os dois micros em rede.

Suponha que voce queira fazer o seguinte esquema:

Internet <---> seuLinux <---> seuWindows

Para isto, sua maquina linux vai ter q ter 2 placas de redes.As placas de redes no linux tem nomes: eth0, eth1... Portanto,considere:

Internet <---> (eth0) seuLinux (eth1) <---> seuWindows

eth0 = conectada a Interneteth1 = conectada ao seu Windows

A distribuição Linux q utilizei no Artigo foi DEBIAN. Caso nãoqueira utilizar o Debian, aconselho a vc usar uma distribuiçãobaseada no Debian, tal como Kurumim ou Ubuntu.

*********************1. CONFIGURAÇÃO DO IP*********************

Princípio básico:A maquina Linux na eth1 tem q estar na mesma faixa de IP dasua maquina Windows.

Perceba então, que iremos deixar os IPs desta forma:

Linux => 10.0.0.1


12 de 52 22/02/2011 13:28

Windows => 10.0.0.2

OBS: Ambos com máscara de rede 255.255.255.0

Para configurar o IP, faça:

Windows*******configure um IP manualmente na sua maquina windows (XP).Vai lá em Painel de Controle > Conexao de Rede e Internet >Conexao de Rede > Conexao Local. Selecione sua conexao local,clica com o botao direito do mouse e vai em propriedades.Procura ali nos itens da conexão, o protocolo TCP/IP e clica empropriedades. Marca: Usar o seguinte endereço IP e os camposserão habilitados. Daí coloque os dados:

IP: 10.0.0.2Mascara: 255.255.255.0Gateway: 10.0.0.1DNS preferencial: 200.222.0.34DNS alternativo: 200.193.195.133

Linux*****Para configurar o IP manualmente no linux, abra o terminal efaça:Ah, antes de manipular arquivo no terminal, procure saber comousar o editor VI, se não vai ter dores de cabeça.

# vi /etc/network/interfaces

Atualize para:

#auto loiface lo inet loopback#auto eth0iface eth0 inet dhcp#auto eth1iface eth1 inet staticaddress 10.0.0.1netmask 255.255.255.0broadcast 10.0.0.255network 10.0.0.0#

OBS: Nesta configuraçao da placa de rede no linux, estouconsiderando q vc vai receber o IP da eth0 (internet)automaticamente. Caso contrario, configure com seu IP,conforme modelo da eth1.

Depois de configurar o arquivo interfaces, deve ser reinicializadoos serviços:

#/etc/init.d/networking restart

Para testar a conectividade entre os dois micros vc pode usaro comando ping. Por exemplo, vai na maquina linux, abra oterminal e faça:

# ping 10.0.0.2

A resposta caso esteja tudo ok vai ser algo como:

# ping 10.0.0.2PING 10.0.0.2 (10.0.0.2) 56(84) bytes of data.64 bytes from 10.0.0.2: icmp_seq=1 ttl=64 time=2.11 ms


13 de 52 22/02/2011 13:28

64 bytes from 10.0.0.2: icmp_seq=2 ttl=64 time=1.17 ms

...

**************************2. COMPARTILHANDO INTERNET**************************

Feito isto, agora compartilhe a internet no IPTABLES:

Crie o arquivo que conterá as regras para compartilhar Internet.Abra o terminal e faça:

# touch /etc/init.d/iptables.conf# chmod 755 /etc/init.d/iptables.conf

Abra o arquivo q vc acabou de criar, assim:

# vi /etc/etc/init.d/iptables.conf

Coloque o conteúdo abaixo, dentro dele:

#!/bin/bashiptables -Fiptables -t nat -Fiptables -t mangle -Fmodprobe iptable_natiptables -t nat -A POSTROUTING -o eth0 -j MASQUERADEecho 1 > /proc/sys/net/ipv4/ip_forward#

OBS: Lembre-se, eth0 é a placa de rede que está conectada aInternet.

Coloque o iptables.conf para rodar na inicialização:

# cd /etc/rc2.d# ln -s /etc/init.d/iptables.conf /etc/rc2.d/S99iptables.conf

Inicie o serviço:

# /etc/init.d/iptables.conf

sua internet estará compartilhada.

******************3. LINUX x WINDOWS******************

Agora, pra windows e linux se enxergarem, tem q usar oSAMBA.Isto permite compartilhar recursos (Sistema de arquivos,impressoras, etc)

Basicamente, precisa só instalar...A maquina linux deve estar conectada a internet para fazer odownload. Faz isso:

# apt-get install samba

Caso precise configurar o samba, faz isso:

# vi /etc/samba/smb.conf


14 de 52 22/02/2011 13:28

Após configurar o samba, tem q reiniciar os serviços:

# /etc/init.d/samba restart

Tem muitos tutoriais q explicam em detalhes o significado decada diretiva do SAMBA.

Acho q isso basta... valeu, T+

[29] Comentário enviado por k34z0 em 26/02/2007 - 14:56h:

Excelente..... testado no Debian-CDD-BR...Parabéns

by KENZO

[30] Comentário enviado por Corujitu em 20/03/2007 - 23:05h:

Olá Taylor.. Kra, teu artigo me deu uma ajuda fenomenal namontagem de um server. Nem acreditei quando terminei e vitudo rodando direitinho. Mas nem sempre tudo se encaixa né,por isso tô precisando de uma ajuda. Seguinte: o teu servidorde DHCp é pra uma rede de 50 hosts mais ou menos, o q étotalmente viável pra uma empresa que os computadoresprecisem se enchergar. Acontece que to precisando fazer o dHCPentregar redes diferentes, uma pra cada cliente: tipo:10.100.0.2 pra um cliente, 10.100.1.2 pra outro cliente,10.100.2.2 pra outro cliente e assim por diante. Ou seja , cadarede só vai ter 3 hosts, com a mascara de final 252. Não sei seestou sendo claro, mas agradeceria se vc pudesse me dizercomo eu faço isso no server. Um grande abraço e parabéns peloartigo.


Olá Corujitu,

infelizmente ainda não tive essa necessidade enão estou certo de como fazer, mas talvezpudesse tentar o seguinte:

1. Primeiro, já que um servidor DHCP vaiservir IP para as diferentes redes, entãoacho que para cada rede deve haver 1placa de rede configurada com o IPda sua respectiva subrede.Por exemplo:

Rede: 10.100.0.0/255.255.255.0 -> IP da Interface: 10.100.0.1Rede: 10.100.1.0/255.255.255.0 -> IP da Interface: 10.100.1.1Rede: 10.100.2.0/255.255.255.0 -> IP da Interface: 10.100.2.1

2. Dentro do arquivo /etc/dhcp3/dhcpd.confcrie as subredes utilizando as diretivassubnet/netmask e definindo seu range.Por exemplo:

subnet 10.100.0.0 netmask 255.255.255.0 {range 10.100.0.2 10.100.0.50;option routers 10.100.0.1;option domain-name-servers 200.195.192.133;option broadcast-address 10.0.0.255;}

subnet 10.100.1.0 netmask 255.255.255.0 {


15 de 52 22/02/2011 13:28

range 10.100.1.2 10.100.1.50;option routers 10.100.1.1;option domain-name-servers 200.195.192.133;option broadcast-address 10.0.0.255;}

subnet 10.100.2.0 netmask 255.255.255.0 {range 10.100.2.2 10.100.2.50;option routers 10.100.2.1;option domain-name-servers 200.195.192.133;option broadcast-address 10.0.0.255;}

3. Por último, faça as associaçoes entre o MAC(Placa de Rede) do cliente e o IP que lhe seráatribuído, conforme Artigo demonstra.Por exempo:

host pc-1{hardware ethernet 00:C0:9F:E5:9A:11;fixed-address 10.100.0.2;}

host pc-2{hardware ethernet 00:20:86:3B:AD:66;fixed-address 10.100.1.2;}

host pc-3{hardware ethernet 0F:01:86:3B:AF:06;fixed-address 10.100.2.2;}

e assim por diante...

Não sei se isso funciona e não tenho como testar.Caso consiga assim ou de outra forma, posteaqui para futuras consultas...

Valeu!

TAYLOR LOPES

[32] Comentário enviado por mautech em 24/03/2007 -14:11h:

Olha, primeiramente gostaria de agradecer o artigo, ficou muitobom!!

So estou com um problema no squid quando vou restartar oserviço apresenta o seguinte erro:Restarting Squid HTTP proxy: squid2007/03/24 12:55:16|parseConfigFile: line 40 unrecognized: 'httpd_accel_host virtual'2007/03/24 12:55:16| parseConfigFile: line 41 unrecognized:'httpd_accel_port 80 '2007/03/24 12:55:16| parseConfigFile: line 42 unrecognized:'httpd_accel_with_pr oxy on'2007/03/24 12:55:16| parseConfigFile: line 43 unrecognized:'httpd_accel_uses_ho st_header on'

estou usando as seguintes versões de kernel e squid:

Linux srvcobaia 2.6.18-3-686 #1 SMP Mon Dec 4 16:41:14 UTC2006 i686 GNU/LinuxSquid Cache: Version 2.6.STABLE5Desde ja agradeço a sua atençãomauroot


16 de 52 22/02/2011 13:28


Mautech, seguinte:

Quando fiz o artigo, a versão do meu squid era:Squid Cache: Version 2.5.STABLE9.

Para saber a versão do seu squid, abra o terminale digite:

# squid -v

Como você pode observar o seu problema estána configuração do proxy transparente, quea partir da versão 2.6 mudou os parâmetros:

# PROXY TRANSPARENTE - Squid 2.5#*******************************# Arquivo /etc/squid/squid.conf:

httpd_accel_host virtualhttpd_accel_port 80httpd_accel_with_proxy onhttpd_accel_uses_host_header on

**** Atualmente é assim:


http_port 10.0.0.1:3128 transparent

Neste exemplo, o squid irá escurtar a interfacede rede 10.0.0.1 usando a porta 3128, ede forma transparente.

Ajuste o IP do exemplo para o IP do seu servidor (Intranet).Ex:


Cheguei a ver outras formas variantespara definir o proxy transparente,mas NÃO SEI SE FUNCIONAM:

http_port 3128 transparent vhost vportalways_direct allow all

O caminho é esse! Resumindo, o que antes da versão 2.6 erafeito emquatro linhas, agora é em apenas uma.

Cabe lembrar então, que as diretivas httpd_accel passam a serobsoletas edevem ser subistituídas no Squid 2.6.

OBSERVAÇÃO: Mantenha as configurações do IPTABLESconforme demonstra o Artigo.

T+

TAYLOR LOPES

[34] Comentário enviado por abelardo em 26/03/2007 -22:27h:


17 de 52 22/02/2011 13:28

Cara boa noite, estou com problema aqui o dns,vou contar,seguinte, estou acessado ao meu apache e ao samba, somentepelo ip, e estou precisando resolver o nome abaixo segue a listados meus arquivos, agradeco se ajudar,...

Primeio, esta dando esse erro ao reiniciar o bind

intranet:/etc/bind# /etc/init.d/bind9 restartStopping domain name service: namedrndc: connect failed:connection refused.Starting domain name service: named.

Agora os arquivos

Hosts____________________________127.0.0.1 localhost.localdomain localhost10.0.0.35 intranet10.0.0.35 intranet.unifor intranet

# The following lines are desirable for IPv6 capable hosts::1 ip6-localhost ip6-loopbackfe00::0 ip6-localnetff00::0 ip6-mcastprefixff02::1 ip6-allnodesff02::2 ip6-allroutersff02::3 ip6-allhosts

Resolv.conf__________________________________nameserver 127.0.0.1nameserver 10.0.0.35

Espero que me ajude, agradeco!!!!


Abelardo,

Antes de mais nada, chegou a ver nesta mesma página o"Comentário enviado por taylor em 09/12/2006 - 05:02h" ?

Neste comentário fiz uma alteração no Artigo com relação aCONFIGURAÇÃO BIND - INTRANET. Testado e aprovado!

Tente isto e, caso permaneça o erro, poste seus arquivos/etc/bind/named.conf e /etc/bind/db.*

T+

[36] Comentário enviado por vibora_cw em 29/03/2007 -10:42h:

Por favor me ajude comecei a fazer o processo do artigo e logode inicio me deparei com um problema, pra mim, sem soluçãono primeiro comando /etc/network/interfaces ele me dapermissão negada estou usando o debian sem interface graficaobrigada


vibora_cw,


18 de 52 22/02/2011 13:28

Seguinte, vou falar uma coisa bem básica: Para abrir umarquivo, você precisa usar um editor de texto (não gráfico) paraGNU/Linux. O VI é o editor mais utilizado e já vem instalado.Mas aconselho que pegue algum tutorial e aprenda comoutiliza-lo.

Portanto, você não pode simplesmente digitar no terminal ocaminho para o arquivo de configuração, se não, realmente vaidar erro, veja:

# /etc/network/interfaces-bash: /etc/network/interfaces: Permissão negada

Para abri-lo, precisa informar o editor que será utilizado, assim:


Existe um outro editor interessante chamado mcedit , bem maisfácil de manipular, só que no entanto, precisa ser instalado:

# apt-get update# apt-get install mc

Para abrir o arquivo com o mcedit, seria assim:

# mcedit /etc/network/interfaces

A única observação que faço é que sempre quando usaro mcedit, insira um ENTER no final do texto. Isto servepara caracterizar o final do arquivo quando em uso pelo sistema.O VI já faz isso automaticamente.

Valeu,

TAYLOR LOPES

[38] Comentário enviado por xerif20 em 01/04/2007 - 04:07h:

Esse arquivo de configuracao do iptables, realmente ta certocolocar o nome dele de iptables.conf? Nao vai dar problemaspois ate aonde eu sei, o iptables é um comando.


xerif20,

O arquivo iptables.conf serve para guardar as regras IPTABLES.Na verdade você pode dar a este arquivo o nome que quiser. Asregras IPTABLES ficam na memória e, não fosse esse arquivo,toda vez que você fizesse o boot, as perderia. Portanto, oarquivo é para fazer persistir as regras IPTABLES toda vez que oservidor é inicializado.

Para fazer o script rodar na inicialização, faça conformedemonstrado no Artigo:



Olá Taylor, agradeço sua ajuda na minha pergunta. Ajudoubastante o seu comentário e criei o msu conf dessa maneira:

# /etc/dhcp3/dhcpd.conf## Configurações gerais


19 de 52 22/02/2011 13:28

# *********************#INTERFACES="eth1";ddns-update-style none;default-lease-time 60000;max-lease-time 72000;authoritative;shared-network eth1 {option domain-name "iznet.com.br";option domain-name-servers 201.18.172.130,200.223.0.84;#subnet 10.100.0.0 netmask 255.255.255.252 {option subnet-mask 255.255.255.252;option routers 10.100.0.1;option broadcast-address 10.100.0.3;host pc_1 {hardware ethernet 00:15:E9:3F:CF:30;fixed-address 10.100.0.2;}}#subnet 10.100.1.0 netmask 255.255.255.252 {option subnet-mask 255.255.255.252;option routers 10.100.1.1;option broadcast-address 10.100.1.3;host pc_2 {hardware ethernet 00:0E:2E:42:F6:94;fixed-address 10.100.1.2;}}}

Acredito q possa até ter alguma coisa sobrando, mas q táfuncionando tá.. rsrsrsr

Quanto ao DNS, esse sim tá me dando dor de cabeça. Queromuito fazer meu server ser tambem o proprio Servidor de DNS,pra melhorar ainda mais o desempenho da minha rede, mas nãotô conseguindo fazer rodar.

Quando mando o comando /etc/init.d/bind9 restart, recebo aseguinte mensagem:

Stopping domain name service: namedrndc: connect failed:timed out

Segue abaixo os meu arquivo db.iznet.com.br

; IN significa internet;Arquivo que representa a zona "iznet.com.br";$TTL 604800@ IN SOA iznet.com.br. root.iznet.com.br. (1 ; Serial604800 ; Refresh86400 ; Retry2419200 ; Expire604800 ) ; Negative Cache TTL;@ IN NS cronos.@ IN MX 10 iznet.com.br.

cronos IN A 201.18.172.130www IN CNAME cronosftp IN CNAME cronosssh IN CNAME cronosaquiles IN A 201.18.172.131

o que poderia estar errado nesse arquivo, ou na configuração?

Agradeço desde já a ajuda, e mais uma vez parabéns peloartigo.



20 de 52 22/02/2011 13:28

E aí Corujitu!

Valeu pela parcial do conf DHCP... jóia!

Quanto ao DNS, teria que ver o seu /etc/resolv.conf, /etc/bind/named.conf e os arquivos contendo as configuraçõesda zona, que você já postou.

Incialmente faço uma observação: iznet.com.br tem que seruma máquina real e tem que ter um registro do tipo A dentro doseu arquivo de zona.

Dê uma olha nesse DNS-HOWTO:http://br.tldp.org/projetos/howto/arquivos/html/DNS-HOWTO/DNS-HOWTO.pt_BR-100.html

Também vou falar o mesmo que disse pro Abelardo: Antes demais nada, chegou a ver nesta mesma página o "Comentárioenviado por taylor em 09/12/2006 - 05:02h" ?

Neste comentário fiz uma alteração no Artigo com relação aCONFIGURAÇÃO BIND - INTRANET. Testado e aprovado!

Valeu camarada... divirta-se!

T+


Grande Taylor,

Meu querido, vou te perturbar mais um pouco e pelo que tovendo, esse tópico vai ser um pouco extenso. DNS não pareceser coisa simples e eu tô na peia.

Vou colocar em seguência meus arquivos necessários profuncionamento do DNS no meu server, pra vc dar uma olhadinhae claro aos amigos que também quiserem ajudar.

Seguem abaixo:

Primeiro esse é o meu arquivo /etc/resolv.conf

search iznet.com.brnameserver 201.18.172.130nameserver 200.223.0.84

Só pra vc saber, esse 201.18.172.130 é o IP do meu server e ooutro é o DNS Telemar (q é o que uso atualmente nos microsclientes)

Vamos a frente, esse agora é o meu arquivo /etc/bind/named.conf

// This is the primary configuration file for the BIND DNS servernamed.//// Please read /usr/share/doc/bind9/README.Debian.gz forinformation on the// structure of BIND configuration files in Debian, *BEFORE*you customize// this configuration file.//// If you are just adding zones, please do that in /etc/bind/named.conf.local

include "/etc/bind/named.conf.options";

// prime the server with knowledge of the root serverszone "." {type hint;


21 de 52 22/02/2011 13:28

file "/etc/bind/db.root";};

// be authoritative for the localhost forward and reverse zones,and for// broadcast zones as per RFC 1912

zone "localhost" {type master;file "/etc/bind/db.local";};

zone "127.in-addr.arpa" {type master;file "/etc/bind/db.127";};



// Minhas Zonaszone "iznet.com.br" {type master;file "/etc/bind/db.iznet.com.br";};

zone "172.18.201.in-addr.arpa" {type master;file "/etc/bind/db.172.18.201";};

// zone "com" { type delegation-only; };// zone "net" { type delegation-only; };

// From the release notes:// Because many of our users are uncomfortable receivingundelegated answers// from root or top level domains, other than a few for whomthat behaviour// has been trusted and expected for quite some length of time,we have now// introduced the "root-delegations-only" feature which appliesdelegation-only// logic to all top level domains, and to the root domain. Anexception list// should be specified, including "MUSEUM" and "DE", and anyother top level// domains from whom undelegated responses are expected andtrusted.// root-delegation-only exclude { "DE"; "MUSEUM"; };

include "/etc/bind/named.conf.local";

Observe que criei os campos para minhas zonas..(q na verdadeé só o que nos interessa)

Agora os arquivos de configuração de cada zona começando pelo/etc/bind/db.iznet.com.br

;;Arquivo que representa a zona "iznet.com.br";$TTL 604800@ IN SOA iznet.com.br. root.iznet.com.br. (1 ; Serial604800 ; Refresh86400 ; Retry


22 de 52 22/02/2011 13:28

2419200 ; Expire604800 ) ; Negative Cache TTL;@ IN NS cronos.@ IN MX 10 iznet.com.br.

cronos IN A 201.18.172.130www IN CNAME cronosftp IN CNAME cronosssh IN CNAME cronosaquiles IN A 201.18.172.131

Agora o DNS reverso (pelo menos é o que eu acho, rsrsrs)/etc/bind/db.172.18.201

;;Arquivo que representa a Zona Reversa;$TTL 604800@ IN SOA iznet.com.br. root.iznet.com.br. (1 ; Serial604800 ; Refresh86400 ; Retry2419200 ; Expire604800 ) ; Negative Cache TTL;@ IN NS cronos.iznet.com.br.130 IN PTR cronos.iznet.com.br.

E agora pra terminar, parte do arquivo /etc/dhcp3/dhcpd.conf

# /etc/dhcp3/dhcpd.conf## Configurações gerais# *********************#INTERFACES="eth1";ddns-update-style none;default-lease-time 60000;max-lease-time 72000;authoritative;shared-network eth1 {option domain-name "iznet.com.br";option domain-name-servers 201.18.172.130,200.223.0.84;#subnet 10.100.0.0 netmask 255.255.255.252 {option subnet-mask 255.255.255.252;option routers 10.100.0.1;option broadcast-address 10.100.0.3;host micro_01 {hardware ethernet 00:15:E9:3F:CF:30;fixed-address 10.100.0.2;}}#subnet 10.100.1.0 netmask 255.255.255.252 {option subnet-mask 255.255.255.252;option routers 10.100.1.1;option broadcast-address 10.100.1.3;host micro_02 {hardware ethernet 00:0E:2E:42:F6:94;fixed-address 10.100.1.2;}}#subnet 10.100.2.0 netmask 255.255.255.252 {option subnet-mask 255.255.255.252;option routers 10.100.2.1;option broadcast-address 10.100.2.3;host micro_03 {hardware ethernet 00:0E:2E:43:F7:90;fixed-address 10.100.2.2;}}


23 de 52 22/02/2011 13:28

}

Bom, baseado nesses 4 arquivos, o que vc me diria que estáerrado, faltando ou sobrando nessas configurações?

To quase ficando doido, pq leio muita coisa na Net, mas quantomaiôs eu leio, mais eu fico doido...

Agradeço demais a ajuda prestada.... Abraço...


Corujitu, fiz algumas pequenas modificações... testa aí...

# /etc/bind/db.iznet.com.br

$TTL 604800 ;@ IN SOA cronos.iznet.com.br. root.iznet.com.br. (09122006 ; Serial604800 ; Refresh (1 semana)86400 ; Retry ( 1 dia )2419200 ; Expira ( 4 semanas )604800) ; Minimo ( 1 semana );@ IN NS cronos.iznet.com.br.@ IN A 201.18.172.130cronos IN A 201.18.172.130aquiles IN A 201.18.172.131

# /etc/bind/db.172.18.201

$TTL 604800 ;@ IN SOA cronos.iznet.com.br. root.iznet.com.br. (09122006 ; Serial604800 ; Refresh (1 semana)86400 ; Retry ( 1 dia )2419200 ; Expira ( 4 semanas )604800) ; Minimo ( 1 semana );@ IN NS cronos.iznet.com.br.130 IN PTR cronos.iznet.com.br.131 IN PTR aquiles.iznet.com.br.

[44] Comentário enviado por gzanatta00 em 16/04/2007 -13:15h:

amigo me da uma ajudinha ai..e o seguinteeu tenho dois links da brturbo.......entao tenho 3 placasa eth0: link1....200.2.240....a eth1: link2....201.3.200...q eth3: rede interna......10.1.1.......

o que eu fazia antes?????eu dava um comando no ip tablesiptables -A PREROUTING -i eth0 -t mangle -s 10.1.1.3 -j MARK--set-mark 1e mark 2 para o clientes navegar pelo outro link

mas agora quando eu coloco o squid pra rodar ......ele redimenciona todos os clientes quando usan a porta 80(web) para o link da eth0 e ele fica sobrecarregado, e o outrolink fica somente rodando para as outras portas...

sera que tem como eu colocar o squid ,mas definir por qual linkele ira sair?

me de uma ajuda ai...


24 de 52 22/02/2011 13:28

t+


gzanatta00,

vi uns artigos que talvez sirvam pro seu caso:

http://www.gulbf.com.br/?q=node/26(Balanceamento de links Utilizando iptables e iproute2)

http://www.rnp.br/newsgen/0201/roteamento_linux.html(no item 6, que fala sobre Roteamento vançado: roteamentopela origem e NAT)

http://wiki.luizgustavo.pro.br/doku.php?id=artigos_geral:rotasquid#discussion(Fazendo política de "roteamento" dentro do squid)

Valeu... T+

[46] Comentário enviado por Gibadf em 26/04/2007 - 11:07h:

Bom dia Taylor,Estou começando com o linux agora, estou montando um debinseguindo sua receita de bolo.. rsMais meu problema é o seguinte, na minha rede preciso tergrupos de acessos distintos, gostaria de saber se tem comoconfigurar (dois) proxy acho q e isso.. de modo que ao definirem uma maquina windows. o proxy e a porta.. essa apenasacesse o q for permitido.. e a outra que tenha a config. comousar proxy automatico tenha outros acessos?

Abraço,


Gibadf,

Não entendi bem a pergunta... você quer usar proxytransparente pra uma rede e pra outra não?

Vou dar uma idéia lógica, porque não fiz na prática,mas que talvez possa te ajudar.

Considere o esquema abaixo, onde há um servidorrecebendo o sinal de Internet pela placa de redeeth0. Este servidor abriga o Squid e possui aindamais duas placas de redes (eth1 e eth2), uma paracada rede interna.

[internet]||eth0[servidor] (Squid)eth1 eth2-----[net1]||[net2]

Suponha que a rede net1 seja 192.168.0.0/24 e a redenet2 seja 10.0.0.1/8 e que, somente esta última, useproxy transparente.

A configuração, neste caso (proxy transparente), seriaexatamente igual ao demonstrado no Artigo, e isto incluia configuração do IPTABLES e do SQUID. E claro, não serianecessário nenhuma configuração no cliente.

Já a rede 192.168.0.0/24, a configuração seria manual,


25 de 52 22/02/2011 13:28

feita no browser de cada cliente da rede, indicando oIP do servidor proxy e sua porta 3128 (squid). NoMozilla Firefox isto fica em ferramentas > opções >geral > configurar conexão > configuração manual de proxy.

Em ambos casos o fluxo seria direcionado da porta 80 (http)para a 3128 (squid). A diferença é que para rede net2(10.0.0.0/8) o firewall (IPTABLES) iria ficar escutando aeth2, e fazendo o redirecionamento automático (transparente)para o squid, independente de configuração do lado cliente.Ao contrário disto, a rede net1 (192.168.0.0/24) dependeriada configuração no browser de cada cliente para serinterceptada pelo squid.

Agora, na configuração do squid, deve constar osparâmetros para que ele funcione de modo transparente,bem como as diretivas declarando as duas redes internas,mesmo que uma seja transparente e outra manual.O arquivo de configuração é: /etc/squid/squid.conf.Só atente para a forma de fazer isto para a versão2.5 ou 2.6 do squid. Para saber a versão do seu squid,abra o terminal e digite:

# squid -v


httpd_accel_host virtualhttpd_accel_port 80httpd_accel_with_proxy onhttpd_accel_uses_host_header on

ou



Neste último exemplo, o squid irá escurtar a interfacede rede 10.0.0.1 usando a porta 3128, ede forma transparente.

A diretiva http_port se refere a porta pela qual osquid irá atender as requisições feitas a ele.

http_port 192.168.0.1:3128http_port 10.0.0.1:3128

As ACLs permite você definir sua Lista de Controle deAcesso, especificando endereços de origem ou destino,domínios, horários, usuários, portas, etc. É atravésdesta "lista" definida que você irá posteriormentenegar ou permitir o acesso.

acl net1 src 192.168.0.0/24acl net2 src 10.0.0.0/8

O parametro "src" indica o(s) endereço(s) IP de origem(SouRCe). Na verdade, as ACL funcionam apenas como umadeclaração incial de algo que será permitido ou negadoquando for utilizar a diretiva http_access. Elas sãodo tipo "OU", não importando a ordem que apareçam.

As diretivas http_access é que de fato irão fazer asrestrições, baseado nas ACL que coincidirem.http_access são do tipo "E", portanto, elas vão


26 de 52 22/02/2011 13:28

entrando em ação a medida que são lidas (de cima parabaixo). Note então que a ordem é importante.

http_access allow net1http_access allow net2

Bem, basta agora fazer as suas restrições, baseadasem IP, endereço MAC, horários, etc. Por exemplo,para bloquear por IP, faria assim:

...

acl net1 src 192.168.0.0/24acl ip_proibido src 192.168.0.5 192.168.0.33 192.168.0.110

http_access deny ip_proibidohttp_access allow net1

...

Só cuidado na ordem das diretivas http_access. Seno exemplo acima fosse invertida a ordem, os IPsdefinidos em ip_proibido teriam acesso a internet.

Como disse, as diretivas http_access entram emação a medida que são lidas. Sendo assima diretiva imediatamente abaixo irá permitirou negar tudo o que já não tenha sido permitidoou negado. (complicou???)

E por aí vai... procure um bom tutorial e façaseus ajustes conforme suas necessidades...

T+

TAYLOR LOPES

[48] Comentário enviado por revicomlinux em 23/06/2007 -22:20h:

Muito bom Taylor, meus parabéns!!! Como disse meu amigoLeoberbert, esse é o meu dia dia também.

Abraços,

[49] Comentário enviado por adecard em 17/07/2007 - 12:44h:

E ae Taylor, parabens pelo artigo. Otimo!!!Instalei o Squid 3.0 e segui as instruções do seu artigo passo apasso, até entawn tava tudo blz, até eu restartar o squid.Apareceu o seguinte erro:

Saddam:/# /etc/init.d/squid3 restartRestarting Squid HTTP Proxy 3.0: squid32007/07/17 12:23:54|aclParseAclLine: Invalid ACL type 'arp'2007/07/17 12:23:54| storeDirWriteCleanLogs: Starting.../etc/init.d/squid3: line 117: 4109 Falha de segmentação start-stop-daemon --quiet --start --pidfile $PIDFILE --exec $DAEMON-- $SQUID_ARGS </dev/nullfailed!

Posso utilizar a mesma configuração para essa versão. O qpreciso alterar? Se puder me ajudar eu agradeço.

[50] Comentário enviado por scjotta em 24/07/2007 - 14:18h:

ola amigo, muito bom esse tutorial,tenho uma duvuda, como configuro a rede das maquinawindows? valew cara



27 de 52 22/02/2011 13:28

Desculpe... tenho andado meio ocupado!

adecard, camarada, não havia visto nada parecido...

Antes de mais nada gostaria de saber se tu baixou squid einstalou manualmente ou você fez tudo via apt-get, comoconsta no artigo?E qual distribuição Linux está usando?

Pergunto, porque pelo erro do squid (Invalid ACL type 'arp'),provavelmente ele tenha sido compilado sem o suporte a ACLARP...

Para verificar isto, entre no terminal e digite:

# squid -v

Daí vai aparecer a versão do seu squid e também todas asopções de configuração. Procure por "--enable-arp-acl" pois istoquer dizer que o suporte a ACL ARP está habilitado.

Caso não apareça, reinstale-o com a opção --enable-acl-arp.

A ACL tipo ARP somente pode ser utilizada se constar: --enable-arp-acl.

No squid.conf, o formato é:acl <nome da acl> arp <endereço mac>Ex: acl ARPMAC arp 00:16: 0F: 15: 04: 12

Esta opção trabalha somente para clientes na mesma rede local,e somente para determinadas plataformas, como linux e solaris.

Veja aí e nos diga, talvez alguém aqui possa ajuda-lo melhor...

Abraços...


scjotta,

Neste artigo foi demonstrado que não é necessário qualquer tipode configuração nas maquinas clientes. Tudo é feito no servidor,bastando apenas saber qual o MAC da placa de rede do cliente...

Caso sua idéia seja montar realmente um servidor, então façaconforme consta no artigo. Só um detalhe, esse artigo foipublicado ano passado e algumas coisas foram modificadas delá pra cá.

Caso queira apenas colocar os micros linux e windows em rede,dê uma olhada aqui mesmo em "Comentário enviado por taylorem 02/02/2007 - 16:07h"

Valeu

[53] Comentário enviado por savio_jotta em 26/07/2007 -09:52h:

eai meu amigo taylor, blz?estou um probleminha no meu servidor. ele esta dando umamensagem de erre nas maquinas dos usuarios que é o seguinte:"""""O seguinte erro foi encontrado:

* Requisição inválida.


28 de 52 22/02/2011 13:28

Alguns aspectos de requisição HTTP são invalidos. Possíveiscausas:

* Método desconhecido ou faltando (GET, POST)

* Faltou a URL

* Faltou o identificador HTTP (HTTP/1.0)

* A requisição pode ser muito grande

* Hostname com caracter inválido; não é permitido o uso deunderscores

Generated Mon, 25 Jun 2007 09:24:26 GMT by servidor.4pef(squid/2.6.STABLE5)"""""

o que isso deve ser cara?

agradeço desde ja e ate mais cara.

[54] Comentário enviado por robertobrandao em 10/08/2007 -03:00h:

ola taylor esse foi um dos melhores tutoriais que ja vi sobresquid mais a minha pergunta é vc fez proibiu o uso do interntexplorer tem como fazer isso com o firefox, pois aqui naempresa todos usam o firefox se tiver fico no aguardo de suaresposta. Nota 1000 no seu tutorial é exatamente isso queestava precisando.

a forma que encontrei foi por ^Mozilla/5.0 ai ele bloqueou osdois.


savio_jotta,Com relação ao erro, dê uma verificada se seu nome de host noservidor é válido em /etc/hostname e /etc/hosts.

robertobrandao,Quanto ao bloquear o firefox pelo squid, fiz um teste aqui efuncionou fazendo da seguinte forma (/etc/squid/squid.conf):

acl ff_browser browser Firefox/http_access deny ff_browser

Só isso... valeu!

[56] Comentário enviado por saldonegativo em 23/08/2007 -01:07h:

Como todos já disseram excelente tutorial.Estou tentando utilizar o esquema de atribuir IP pelo MAC masestou recebendo a seguinte mensagem de erro:

dhcpd.conf line 20: expecting semicolon.fixed-address^Configuration file errors encountered -- exiting

Já deixei o arquivo igual ao seu mas da sempre a mesmamensagem, o que pode ser???


29 de 52 22/02/2011 13:28

[57] Comentário enviado por cfranciscatto em 24/08/2007 -16:50h:

Olá Taylor. Muito util seu artigo. Me economizou algumas horas(ou dias) de pesquisa/trabalho...Apenas para complementar, quem quiser montar um firewallmais robusto, limitando algumas coisas, vale a pena dar umaolhada em http://www.linuxhomenetworking.com/wiki/index.php/Quick_HOWTO_:_Ch14_:_Linux_Firewalls_Using_iptable... ehttp://focalinux.cipsga.org.br/guia/avancado/ch-fw-iptables.htmValeu, abraço.


saldonegativo,

Isto parece ser um erro de sintaxe no seu dhcpd.conf (em/etc/dhcp3/dhcp.conf). Embora o erro se refira a umadeterminada linha, é comum que o problema esteja antes.Portanto, reveja seu código e tenha um olhar crítico.

Um aspecto a observar é que seus endereços MAC no Linuxdevem apresentar ":" e não "-", como no Windows.Exemplo correto: 00:0B:CD:5D:3C:00Exemplo errado: 00-0B-CD-5D-3C-00

Veja também se não esqueceu dos ";" (Ponto e Vírgula) no finalde cadadiretiva;

Caso não encontre a falha, pegue um dhcp.conf de alguém (jápronto e funcionando) e subistitua pelo seu (faça backup) ealtere conforme sua necessidade. Abaixo segue um exemplo:

# Inicio >## /etc/dhcp3/dhcpd.conf## Configuracoes gerais#*********************#INTERFACES="eth1";ddns-update-style none;default-lease-time 600;max-lease-time 7200;authoritative;subnet 10.0.0.0 netmask 255.255.255.0 {range 10.0.0.10 10.0.0.100;option routers 10.0.0.1;option domain-name-servers 10.0.0.1;option domain-name "intranet";option broadcast-address 10.0.0.255;}#host pc1 {hardware ethernet 00:01:03:34:0E:EC;fixed-address 10.0.0.10;}#host pc2 {hardware ethernet 00:0B:CD:5D:3C:00;fixed-address 10.0.0.11;}## Fim <

[59] Comentário enviado por bonsucesso em 14/09/2007 -16:38h:


30 de 52 22/02/2011 13:28

muito bem explicado Taylor, aqui na minha empresa eu tenhoum servidor de arquivo windows e estações windows xp com ainternet enrando direto na rede, estou fazendo um servidor deinternet em uma maquina separada da rede, já fiz toda ainstalação do debian , agora gostaria de saber como configuraras placas de rede , pode me dar uma ajuda, sou bastanteiniciante , fiz um curso agora quero aprender muito sobre linux ,muito grato se puder me ajudar.....


bonsucesso

Você está montando um servidor de internet (p/ compartilhar)ou servidor web (p/ site intranet) ?

De qualquer forma, eu havia respondido uma pergunta q talvezpossa te ajudar. Procure aqui um "Comentário enviado por taylorem 02/02/2007 - 16:07h".

T+


fiz essas configurações debind9 e me deu esse seguinte erro ,como sou muito iniciante gostaria de uma ajuda , obrigado !dhcpd self-test failed. Please fix the config file.The error was:Internet Systems Consortium DHCP Server V3.0.4Copyright 2004-2006 Internet Systems Consortium.All rights reserved.For info, please visit http://www.isc.org/sw/dhcp//etc/dhcp3/dhcpd.conf line 128: unknown optiondhcp.brodcast-addressoption brodcast-address 10.^/etc/dhcp3/dhcpd.conf line 132: semicolon expected.harware ethernet^/etc/dhcp3/dhcpd.conf line 137: semicolon expected.harware ethernet^Configuration file errors encountered -- exiting


há e so pra ficar claro , é um servidor de internet, ok !!!


bonsucesso,

Isso envolve uma série de fatores. Você precisa configurarcorretamente, conforme artigo. Tem q saber usar o vi, vim oumcedit para manipular os arquivos:

1. PLACAS DE REDESvi /etc/network/interfaces

2. DHCPvi /etc/dhcp3-server/dhcp.conf

Esse erro parece ser problema de sintaxe (escrita do código) noseu arquivo de configuração do DHCP. Procure aqui um"Comentário enviado por taylor em 24/08/2007 - 17:55h". Vejao exemplo de lá!

Outra coisa, caso você só use máquinas Windows na rede, bastainstalar o bind no servidor LINUX e mais nada, q por default elejá vem configurado o básico pra funcionar. Não precisa fazer


31 de 52 22/02/2011 13:28

aquele processo q descrevi para intranet (BIND - INTRANET).No máximo, configure o arquivo /etc/resolv.conf, por exemploassim:

search intranet # (nome do seu servidor DNS, onde instalou oBind)nameserver 10.0.0.1 # (IP do seu servidor DNS, onde instalou oBind)nameserver 200.193.195.133 # (IP de um servidor DNS naInternet)

Para remover o bind, faça:# apt-get remove bind9

Para instalar o bind, faça:# apt-get update# apt-get install bind9

Pra fazer o servidor compartilhar a internet, vai ter q utilizar oiptables.

Para saber se o iptables está instalado, faça:# iptables -V

O retorno vai ser algo como:iptables v1.3.6

Caso o iptables não esteja instalado, faça:apt-get install iptables

Crie um arquivo para guardar as regras iptables (no seu caso, sóde compartilhamento de internet):# touch /etc/init.d/iptables.conf# chmod 755 /etc/init.d/iptables.conf

Abra o arquivo /etc/etc/init.d/iptables.conf e atualize para:

#!/bin/bash## /etc/etc/init.d/iptables.conf## Limpa e inicializa os modulos#******************************#iptables -Fiptables -t nat -Fiptables -t mangle -Fmodprobe iptable_nat## Compartilha Internet - eth0 -> Placa de rede da internet#********************************************************#iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADEecho 1 > /proc/sys/net/ipv4/ip_forward#

Coloque o iptables.conf para rodar na inicialização, assim:


Inicie o serviço:

# /etc/init.d/iptables.conf

Caso tenha mexido em alguma outra configuração, reinicie seusrespectivos serviços também:

Para reiniciar a placa de rede, faça:/etc/init.d/networking restart

Para reiniciar o DHCP, faça:/etc/init.d/dhcp3-server restart


32 de 52 22/02/2011 13:28

Para reiniciar o BIND, faça:/etc/init.d/bind9 restart

Na dúvida, reinicie o linux após as alterações ...

Leia o artigo, faça conforme consta e, principalmente, cuidadopara não cometer erros de digitação.

Boa sorte!

[64] Comentário enviado por jmarceloth em 15/10/2007 -11:43h:

Otimo sua configuração, mas me dê uma dica, no caso vocecriou 2 tipos de usuarios, o que tem acesso a tudo (admin) e osque tem acesso somete a sites que não estejam em regra debloqueio (internet), bem o que eu quero implementar alemdisso tudo que voce citou é que ALGUNS dos USUARIOS comacesso restito TAMBEM ACESSEM O MSN, como eu deveria fazerneste caso ???

Mais uma vez, Otimo artigo, nota 10 e Obrigado pelacolaboração e contribuição para o conhecimento.

[65] Comentário enviado por mr. jean... em 16/10/2007 -09:53h:

Desculpe minha ignorância, mas queria saber de quem sãoesses Ips no arquivo resolv.conf!

[66] Comentário enviado por mr. jean... em 16/10/2007 -13:41h:

quanto à configuração do squid, há uma configuraçãointeressante: se bloquearmos a palavra sexo, o squid bloquearáalém de www.sexo.com.br (site ofensivo),o site,www.sexoesaude.com.br, que não tem nada de mais, eteoricamente inofensivo. Então, no meu proxy, como surgiu essasituação, eu fiz a acl assim:

# *** Define a lista de palavras imprópriasacl palavra url_regex -i "/etc/squid/list/palavra.txt"# *** Define as exceçõesacl palavralib url regex -i "/etc/squid/list/palavralib.txt"

# a função:http_access deny palavra !palavralib.

Caso vcs não tenham entendido, consultem a minha fonte:

http://www.linuxman.pro.br/squid/node/1/#toc24

Tópico: criando os arquivos necessários.

[67] Comentário enviado por renovamark em 18/10/2007 -23:26h:

Parabéns Taylor parabéns, estou iniciando agora em server eeste artigo me ajudou muito... estou a procura de controle debanda vinculado ao MAC ou ao IP o que for melhor, agradeçoquem puder me Ajudar....

Renovamark

[68] Comentário enviado por ATAOL em 21/10/2007 - 08:43h:

Ola Taylor, estou a procura do mesmo q o colega acima. Eutenho um provedor Wireless e preciso fazer o controle de bandae de acesso, login, etc...


33 de 52 22/02/2011 13:28

No mesmo vai rodar o servidor de impressão, servidor deconteúdo(para evitar do pessoal ficar buscando coisas na net) eo mais vc achar necessário.Quanto vc cobraria pra me mandar o linux pronto pra uso?Ai pra facilitar eu mando o dinheiro da configuração e pra vccomprar um HD, te passo as configurações minhas e vc memanda por correio.Eu precisava deixar configurado pro servidor suportar entrada de2 a 3 link.Me add ai no msn q conversamos [email protected] e o seu artigo é top.Antonio Neto.


mr. jean,

Quanto aos IPs do /etc/resolv.conf, é o seguinte:

search intranetnameserver 10.0.0.1nameserver 200.193.195.133

Onde "intranet" é o nome do nosso domínio (zona) local.10.0.0.1 é o IP onde roda nosso servidor de nomes (Intranet) e200.193.195.133 é um IP DNS na Internet (externo) para casohaja alguma falha em resolver o nome localmente.

T+


renovamark e atansgo,

Infelizmente não posso ajuda-los pois não cheguei aimplementar controle de banda no meu servidor, portanto, nãotenho conhecimento necessário.Mas dizem por aí que "A necessidade faz a busca". Esperochegar lá...

T+

[71] Comentário enviado por edgleyson em 10/11/2007 -15:44h:

taylor, boa tarde!Não sei nem se você ainda respondi perguntas aqui, mas nãocusta nada tentar.Fiz as configurações de acordo com o que vc falou e estou tendoproblemas no proxy.Minhas estações pingam no servidor, pingam nos endreços (ex:ping www.uol.com.br) e o servidor pinga nas estações. O msnmessenger funciona perfeitamente. Sendo que, as paginas dointernet explorer não carregam de forma alguma através doproxy transparente. Se eu configurar o navegador para oendereço e a porta, aí ele funciona. Mas gostaria mesmo, era deusar de forma transparente.Segue o erro que esta dando:O seguinte erro foi encontrado:********************************************************Requisição inválida.Alguns aspectos de requisição HTTP são invalidos. Possíveiscausas:Método desconhecido ou faltando (GET, POST)Faltou a URLFaltou o identificador HTTP (HTTP/1.0)A requisição pode ser muito grandeHostname com caracter inválido; não é permitido o uso deunderscores


34 de 52 22/02/2011 13:28

Generated Fri, 09 Nov 2007 16:54:00 GMT byDebian.piamartamontese (squid/2.6.STABLE5)***********************************************************

Como vê, o squid é o 2.6 e você disse que a config que vc fez noartigo era para 2.5. Fiz as alterações para http_port192.168.10.1:3128 transparentOnde: 192.168.0.1 = é o ip da minha placa de rede intranet(eth1).

Vi em uma das respostas que vc deu a um usuario que estavacom o mesmo problema que eu, para dar uma olhada nosnomes de hosts para saber se eles eram validos. Aqui segue osmeus e gostaria, que vc me dissesse se estão corretos ou não.Desde já, te agradeço pela atenção e espero resolver isso, poisjá faz muito tempo que parei nesse problema e ainda nãoencontrei solução nem com usuarios e nem em sites.Valeu!

# /etc/hostname

- Debian

# /etc/hosts

127.0.0.1 localhost127.0.1.1 Debian.piamartamontese Debian

# The following lines are desirable for IPv6 capable hosts::1 ip6-localhost ip6-loopbackfe00: :0 ip6-localnetff00: :0 ip6-mcastprefixff02: :1 ip6-allmodesff02: :2 ip6-allroutersff02: :3 ip6-allhosts

Aqui também vai meu squid.conf ccaso seja necessario dar umaconferida:

# Configuração Geral#*******************#http_port 3128cache_mem 32 MBcache_dir ufs /var/spool/squid 100 16 256cache_access_log /var/log/squid/access.logcache_log /var/log/squid/cache.logcache_store_log /var/log/squid/store.logpid_filename /var/run/squid.piderror_directory /usr/share/squid/errors/Portugueseemulate_httpd_log onvisible_hostname servidor.4pefcache_mgr [email protected]## Proxy Transparente#*******************#http_port 192.168.10.1:3128 transparent## acl - Recomendadas#*******************#acl all src 0.0.0.0/0.0.0.0acl manager proto cache_objectacl localhost src 127.0.0.1/255.255.255.255acl to_localhost dst 127.0.0.0/8acl SSL_ports port 443 563 # https, snewsacl SSL_ports port 873 # rsyncacl Safe_ports port 80 # httpacl Safe_ports port 21 # ftpacl Safe_ports port 443 563 # https, snews


35 de 52 22/02/2011 13:28

acl Safe_ports port 70 # gopheracl Safe_ports port 210 # waisacl Safe_ports port 1025-65535 # unregistered portsacl Safe_ports port 280 # http-mgmtacl Safe_ports port 488 # gss-httpacl Safe_ports port 591 # filemakeracl Safe_ports port 777 # multiling httpacl Safe_ports port 631 # cupsacl Safe_ports port 873 # rsyncacl Safe_ports port 901 # SWATacl purge method PURGEacl CONNECT method CONNECT## acl - Personalizadas#*********************## *** Define portas liberadasacl Safe_ports port 3050 # Interbase/Firebirdacl Safe_ports port 23000 # Serproacl Safe_ports port 13352 # SIRFacl Safe_ports port 500 # FAP Digital## *** Define a rede interna (Intranet)acl intranet src 192.168.10.0/255.255.255.0## *** Define PC(s) com privilegio total - CUIDADO!acl admin arp "/etc/squid/list/admin.txt"## *** Define a lista de PC(s) autorizados ao acesso a Internetacl internet arp "/etc/squid/list/internet.txt"## *** Define a lista de sites imprópriosacl site dstdomain -i "/etc/squid/list/site.txt"## *** Define a lista de palavras imprópriasacl palavra url_regex -i "/etc/squid/list/palavra.txt"## *** Define os formatos de vídeo, áudio e outros de riscoacl video urlpath_regex .wma$ .asf$ .mov$ mpg$ .mpeg$ .avi$acl audio urlpath_regex .mp3$ .wav$ .mid$acl risco urlpath_regex .exe$ .pps$ .com$ .bat$ .scr$## *** Define o browser Internet Exploreracl ie_browser browser ^Mozilla/4.0 .compatible; MSIE## *** Define PC(s) autorizados a usar o Internet Exploreracl ie_usuario arp "/etc/squid/list/browser.txt"## *** Define PC(s) sem acesso a Internet (bloqueados) 24h/diaacl bloqueado arp "/etc/squid/list/bloqueado.txt"## *** Define o horário do expedienteacl exp1_seg-qui time MTWH 08:00-12:00acl exp2_seg-qui time MTWH 13:30-17:00acl exp1_sex time F 08:00-12:00## http_access - Recomendadas#***************************#http_access allow manager localhosthttp_access deny managerhttp_access allow purge localhosthttp_access deny purgehttp_access deny !Safe_portshttp_access deny CONNECT !SSL_ports## http_access - Personalizadas#*****************************## *** Libera dowloads de ate 5 MBreply_body_max_size 5242880 allow all !admin## *** Nega sites improprioshttp_access deny site !admin


36 de 52 22/02/2011 13:28

## *** Nega palavras imprópriashttp_access deny palavra !admin## *** Nega os formatos de vídeo, áudio e outros de riscohttp_access deny video !adminhttp_access deny audio !adminhttp_access deny risco !admin## *** Nega o Internet Explorerhttp_access deny ie_browser !ie_usuario !admin## *** Nega Internet no expediente para quem não esta na listahttp_access deny !internet !admin exp1_seg-quihttp_access deny !internet !admin exp2_seg-quihttp_access deny !internet !admin exp1_sex## *** Nega PC(s) sem acesso a internet (bloqueados)http_access deny bloqueado## Permite acesso da rede interna (Intranet)http_access allow intranet## *** Nega tudo que não foi liberado ou negadohttp_access deny all#


ola taylor ,

bom com esse seu memento eu consigo usar desta maneira>

modem rot --->serv. de internet---> serv. de arq win-->estacoes win192.168.0.254 192.168.0.1 10.0.01 ....100 à 200

pode me dar uma luz , [email protected]

obrigado !!!

[73] Comentário enviado por kelloggs em 07/01/2008 - 20:24h:

OPAS... ve se alguem ai pode me ajudar... olha soh tenhousuarios comuns que se logam em WTS windows 2003 server,preciso controlar a net desse pessoal por usuario e tambémcontrolar a net dos que nao usam wts que usam soh a estaçãomas tudo por usuario intendem.

será que alguem ai pode dar uma força decomo posso fazer issopor iptables ??

[74] Comentário enviado por iandecy em 12/02/2008 - 22:51h:

Amigo estou começando agora entendi varias coisas do seuturorial mais teve umas coisas que eu n entendi será que vcpode me tirar a duvida ??

como é que eu faço para abrir

Abra o arquivo /etc/network/interfaces e atualize para:

# /etc/network/interfaces## Interface de rede local - loopback#***********************************auto loiface lo inet loopback## Primeira placa de rede - Internet#**********************************


37 de 52 22/02/2011 13:28

# auto eth0# iface eth0 inet dhcpauto eth0iface eth0 inet staticaddress 192.168.0.2netmask 255.255.255.0broadcast 192.168.0.255network 192.168.0.0gateway 192.168.0.1 # IP do roteador## Segunda placa de rede - Intranet#*********************************auto eth1iface eth1 inet staticaddress 10.0.0.1netmask 255.0.0.0broadcast 10.255.255.255network 10.0.0.0

e mudar para isso ?? como e faço para abrir esse arquivo ? qualo comando .,..

abraços.

Iandecy


Oi,

Pessoal, desculpe a ausência, mas tenho estado muito atarefadoe inclusive cuidando de mudança

Seguinte, já que você está iniciando, recomendo que compre olivro"Descobrindo o Linux", da Editora NOVATEC, Autor João EribertoMota Filho.

Isto vai te ajudar bastante pois sem alguns conhecimentosbásicos, ascoisas podem se tornar mais difíceis do que realmente são, ok?

Quanto a sua dúvida, para abrir um arquivo linux via terminal,precisainformar o editor que será utilizado, neste caso o VI, assim:


vi (se fala viai) é um editor padrão que já vem no linux. Existeum outroeditor interessante chamado mcedit , bem mais fácil demanipular, só queno entanto, precisa ser instalado, assim:

# apt-get update# apt-get install mc

Para abrir o arquivo com o mcedit, seria assim:

# mcedit /etc/network/interfaces

A única observação que faço é que sempre quando usaro mcedit, insira um ENTER no final do texto. Isto servepara caracterizar o final do arquivo quando em uso pelo sistema.O VI já faz isso automaticamente.

É isso... T+

TAYLOR LOPES

[76] Comentário enviado por leonline em 01/03/2008 - 17:02h:


38 de 52 22/02/2011 13:28

Amigo edgleyson, eu estava com o mesmo problema que o seu.Porém eu resolvi somente alterando a linha do squid.conf

http_port 3128

para

http_port 3128 transparent

Altere aí e dê um reload que vai funfar.

Abraço

[77] Comentário enviado por eirasgarcia em 04/03/2008 -18:26h:

oI tAYLOR, PARABENS PELO TUTORIAL

gostaria de saber se e possivel montar uma rede de 4 pcs+servidor apenas com o modem adsl e um switch, sem oroteador???

eu preciso de 2 placas de rede?? ou apenas uma???

O eskema seria:

modem-->eth0(servidor)-->eth1(servidor)-->switch-->outrospcs????

keria o servidor para poder centralizar meus arquivos em umunico pc, alem de ter um servidor ftp para fazer upload edownload de onde eu estiver.

eu tenho speedy, mas o ip, dns e gateway q eles me fornecem éfixo.....como faco com isso???

vlw!!!

[78] Comentário enviado por speedylinux em 06/03/2008 -21:47h:

ola amigo blz ? sou novato no forum mais estou dedicando todomeu esforço pra aprender a fazer servidores ,, recebi muitaspropostas de emprego e tive que despensar por não saber fazer... minha duvida é a seguinte to seguindo seu tutorial e jaacabei ele eu parei no squid eu tenho um wett 11 que pega osinal da minha internet e cai no meu hubtenho um ip valido que recebe a internet então configurei eth0meu ip valido 189.20..... e na placa de rede eth1 coloquei a rede192.168.0.1 fiz o dhcp e eles piongas consigo pinfar uol dentrodo servidor mais não consigo navegar nada ,,, dentro do pccliente pc1 consigo pingar o gatway 192.168.0.1 e vice versa ...tem q colocar alguma regra no squid pois ja liberei o mac noadmin.txt ja fiz a regras de iptables como mostra no tutorial oque devo fazer mais!


eirasgarcia,

sim, é possível montar uma rede com 4 pcs + servidor,utilizando o modem ADSL e o switch. Faça o seguinte esquema:

internet <-> modemADSL <-> servidor <-> switch <-> 4pcs

Na verdade o Roteador é uma equipamento usado para fazer acomunicação entre diferentes redes de computadores. NesteArtigo, usamos duas placas de redes pois o SERVIDOR fazexatamente o papel do roteador, integrando a rede mundial


39 de 52 22/02/2011 13:28

(internet) à sua rede local (intranet).

_____| S || E [] <--- placa de rede (eth0) onde chega o cabo de rede| R | com o sinal de internet. Aqui a placa pode receber| V | um IP atribuído por algum serviço DHCP domodem/roteador ou| I | você pode configurar IP fixo, desde que na mesma faixa.| D || O [] <--- placa de rede (eth1) onde chega o cabo de rede| R | vindo da sua rede local. Normalmente é conectado=== a um hub/switch de onde o sinal é distribuído.Configure um IP fixo, ex: 192.168.0.1

Para centralizar seus arquivos no servidor e compartilha-los comoutras maquinas windows, utilize o SAMBA.

FIM

speedylinux,

O sinal da Internet deve ir primeiro para o servidor, só depoispara o hub, conforme acima descrito.

Esse problema de conseguir pingar o UOL somente dentro doservidore não nas máquinas da rede provavelmente seja algo com oIPTABLESou o DNS.

No IPTABLES você não pode esquecer de fazer ocompartilhamento dainternet conforme consta no Artigo.

No DNS, caso você só use máquinas Windows na rede, bastainstalaro bind no servidor LINUX e mais nada, que por default ele jávemconfigurado o básico pra funcionar. No máximo, configure oarquivo/etc/resolv.conf, por exemplo assim:

search intranet # (nome do seu servidor DNS, onde instalou oBind)nameserver 10.0.0.1 # (IP do seu servidor DNS, onde instalou oBind)nameserver 200.193.195.133 # (IP de um servidor DNS naInternet)

Para instalar o bind, faça:# apt-get update# apt-get install bind9

Para maiores detalhes, procure e leia aqui o "Comentárioenviado portaylor em 17/09/2007 - 13:45h"

Falouuu, T+ TAYLOR LOPES


40 de 52 22/02/2011 13:28


GIOVANNI,

No Artigo as maquinas recebem IP via DHCP sim, porém, sãoIPs fixos!

Dê uma olhada na configuração de exemplo:http://www.vivaolinux.com.br/artigos/verArtigo.php?codigo=5644&pagina=5

Você vai observar que amarro o MAC a um IP fixo definido pormim, veja:

host pc-1 {hardware ethernet 00:C0:9F:E5:9B:18;fixed-address 10.0.0.2;}

Se você está tendo que configurar o navegador para apontarpara a porta do squid, então, dê uma revisada no seu squid.confpois ele não está funcionando de forma "transparente". Atentepara o detalhe que versões do squid podem apresentar formasdiferentes na hora de configura-lo como transparente...

Aí nesses cometários do Artigo tem várias dicas sobre isso...

Valeu, t+

TAYLOR LOPES

[81] Comentário enviado por eirasgarcia em 12/03/2008 -12:46h:

Obrigado taylor....vou tentar, ai posto aki se der certo

t+

eirasgarcia


amigo fiz tudo certinho mudei o squid o meu era 2.6 e ja mudeias linhas de comando tipo consegui abrir e mandar emails peloincredimail e o msn abriu também normal ,agora a navegaçãopelo opera, internet explorer e mozilla não consegui nada o quepode ser , pingo o siteda uol normal pelo pc1 cliente , nocomputador cliente!outra coisa quando dou o comando iptables-L náo aparece regr nenhuma o q pode ser !


outra coisa quando dou o comando iptables -L náo aparece regrnenhuma o q pode ser !

[84] Comentário enviado por fabioneves em 28/03/2008 -22:13h:

?comentario=

Ola,

Primeiramente quero parabenizar pelo excelente tutorial quemostra um teor de qualidade impar!!!!!!!!

Tenho uma duvida que diz respeito ao DHCP onde estou fazendoum laboratorio de testes no Windows instalando o VMWare e


41 de 52 22/02/2011 13:28

dentro o debian como servidor e o windows como workstation.Segui o tutorial sendo que nao consegui colocar IP no windowsXP, peguei o nome da maquina direitinho e configurei o MAC soque nao rolou..............

Sera que alguem tem alguma dica para realizar estaconfiguração utilizando o VMWare ??

[85] Comentário enviado por rafaelbrenner em 31/03/2008 -10:12h:

Tudo bem Taylor to vendo que desde de 2006 que esse artigoseu vem bombando, quero agradecer pela grande ajuda que medeu para montar o meu servidor com esse artigo.Bom mais agora estou com um problema, gostaria de sabercomo eu faço para criar um controle de banda para cada clienteda minha rede wireless delimitando o dow e up de cada umconforme o pacote fornecido para o cliente!!!

Se puder me ajudar eu agradeço!!!flw!!

[86] Comentário enviado por jcvalim em 23/04/2008 - 15:55h:

Fala Taylor exelente artigo...

[87] Comentário enviado por jcvalim em 24/04/2008 - 08:49h:

Eu inseri duas linhas de comandos antes da ACL que define PC'scom privilegio total, para que assim eu tivesse máquinas querecebessem DHCP e ficassem liberadas, no caso de alguémchegar com um notebook e quizesse utilizar a internet semrestrição, coloquei assim:

# Define IPs com acesso Liberadoacl faixa_adm src 192.168.0.100-192.168.0.200http_access allow faixa_adm

Espero ter contribuido com a comunidade.Vlw

[88] Comentário enviado por alisson.urzeda em 26/04/2008 -20:37h:

ótimo artigo... parabéns

[89] Comentário enviado por cavanso em 26/05/2008 - 12:27h:

Caro Taylor,

ao rodar o sarg apresenta a seguinte mensagem

root@curuja:/etc/squid# sarg -xSARG: InitSARG: Loading configuration from: /etc/squid/sarg.confSARG: (language) Cannot open language file: /etc/squid/languages/Portugueseroot@curuja:/etc/squid#

ja entrei na pasta e o arquivo consta no local e com dados.....mas apresenta isto, tentei com english mesma coisa... spanishtambém, estou usando ubuntu 8, alguma coisa referente a isto ?

[90] Comentário enviado por brunosalmito em 04/07/2008 -08:48h:

Cara parabéns !!!!

A tempos não via um artigo tão bem elaborado, conserteza essevai para o meus favoritos.

Parebéns mesmo.

[91] Comentário enviado por ngiongo em 07/07/2008 - 00:10h:


42 de 52 22/02/2011 13:28

Ola,

Primeiro parabens pelo artigo.Apartir dele consegui instalar um servidor de internetfuncionando legal,mas quando bloqueio um determinado usuarioele só bloqueia a navegação e o msn não bloqueia.pelo o queentendi deveria bloquear ou estou errado?

[92] Comentário enviado por el_aguiar em 23/07/2008 -09:16h:

Parabéns pelo artigoEstou seguindo ele mas teve um erro no squid se alguém puderme ajudar fico muito agradecido"parseConfigFile: line 39 unrecognizad: 'httpd_accel_hostvirtual'line 40 unrecognizad: 'httpd_accel_port 80'line 41 unrecognizad: 'httpd_accel_with_proxy on'line 42 unrecognizad: 'httpd_accel_users_host_header on'uso o Debian com Squid 2.6.stable5


Olá el_aguiar,

Isso é simples de ser resolvido. Descarte essas linha e inclua oparametros "transparent" na frente de linha "http_port 3128" eficará tudo certinho. Isso ocorre porque nas versões maisrecentes do squid a forma de configurar o proxy transparente éum pouco diferente.

Faça assim: http_port 3128 transparent

Boa sorte!

[94] Comentário enviado por l-x em 22/08/2008 - 15:13h:

caramba.... o melhor artigo q li até agora aki no VOL. é isso aigalerá compartilhar conhecimento é a base de relacionamentoentre seres humanos... e bichos tb!!!!!!

[95] Comentário enviado por el_aguiar em 08/09/2008 -09:05h:

Valeu obrigado mardonio e desculpe pela demora estou muitoocupado ultimamente....

[96] Comentário enviado por engmaciel em 02/10/2008 -19:53h:

Pessoal, só uma dica para as pessoas que tiveram problemaspara subir a parte gráfica como eu:http://bloglud.wordpress.com/2008/06/29/configuracoes-de-video-no-debian-etch/

Memento: Parabéns pelo artigo..show de bola.

[97] Comentário enviado por carlosmgn1 em 01/11/2008 -14:36h:

Seu tuto me ajudou bastante não estava conseguindo liberar oacesso SIAFI nem a pau. Vou dizer que é um dos melhorestutos q já pois a maioria parte do princípio que somos usuáriosavançados. OK.Valew. Só falta um de samba e servidor dee-mail

[98] Comentário enviado por keke em 14/03/2009 - 12:56h:

Olá Taylor,Cara PARABÉNS mesmo pelo tutorial, é muito bom, eu como


43 de 52 22/02/2011 13:28

iniciante, me sinto mais encoragado em usar o linux, e fico maistranquilo em saber que temos pessoas como você que nosajudam muito...

Eu tô com um mesmo problema já relacionado aqui...O seguinte erro foi encontrado:

* Requisição inválida.

Alguns aspectos de requisição HTTP são invalidos. Possíveiscausas:

* Método desconhecido ou faltando (GET, POST)

* Faltou a URL

* Faltou o identificador HTTP (HTTP/1.0)

* A requisição pode ser muito grande

* Hostname com caracter inválido; não é permitido o uso deunderscores----------------------------------------------------Eu também vi que vc pede para olharmos o nome do servidornos arquivos hostname e hosts, e eles estão corretos, deixei nomeu servidor como "debian", tem mais algum lugar que devoolhar, que faz referencia ao nome o servidor?? Pois continuo como mesmo problema. E o engraçado é que eu tenho internet namáquina cliente, pelo MSN, pingo em www.uol.com.br peloprompt de comando, mas não navego.A versão do meu squid é a 2.6.STABLE5.Desde já agradeço muito pela atenção.Abraço

[99] Comentário enviado por leo1973 em 17/04/2009 - 08:36h:

bom dia caro colega, antes de tudo parabéns por ser claronestes assuntos tao usados no dia a dia. é o seguinte queriasaber como ficaria no firewall no caso de querer acessar meuservidor q fica no escritorio pelo micro de minha casa usando ossh. tenho um modem roteado dlink 500 b ja com a porta31200 liberada. como ficaria no firewall sendo que esta porta jaesta liberada nomodem. seu artigo esta completo e so falta issopara mim deixar minha rede filé. dai poderei ver o q aconteceremotamente. obrigado a todos do viva o linux que sempre temo maior interesse em desvendar as duvidas dos iniciantes......

[100] Comentário enviado por fabio em 17/04/2009 - 10:38h:

Bom dia, LEO...

Seguinte, se o modem já está liberado, e o seu servidor linuxestá diretono modem, então basta que o SSH esteja instalado.

Para instalar o SSH, no terminal linux faça:apt-get install ssh

Daí, na sua maquina em casa, instale o putty:http://superdownloads.uol.com.br/download/46/putty/

Abra o putty e coloque o IP ou nome (caso tenha DNS) do seuservidorlinux... ele vai pedir usuario o senha do seu servidor... e pronto!

Caso precise fazer um NAT (redirecionamento), vc pode colocaralgo como oscript abaixo no seu iptables (no arquivo iptables.conf, conformeconstano Artigo)... no caso abaixo, redireciono a VPN para um microespecifico:

# Redireciona VPN, porta 5900, do sauva para o PC 11.0.0.13


44 de 52 22/02/2011 13:28

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 5900 -jDNAT --to11.0.0.13

Lembro que esse tutorial DEBIAN faz tempo q fiz (2006) ealgumas coisas jámudaram...

Blz, valeu!

TAYLOR LOPES

[101] Comentário enviado por blaiser em 03/05/2009 - 16:57h:

Caro Taylor.Infelizmente só pude contribuir com um 10 em seu artigo, poisé o que tinha, na verdade merecia 10000000.Com simples questões, matou a pau todo servidor.Parabéns, não perca o entusiasmo de apresentar seu trabalhopois tem gente de longe que vê aprecia e aprende muito com oque passa.Parabéns e sucesso.

[email protected]á-Brasil

[102] Comentário enviado por charles.reitz em 20/05/2009 -17:42h:

Caro Taylo,

O que tenho a dizer a respeito do artigo, esta fantastico. Voce foimuito feliz nos detalhes o que ajudou muito todos. Meu carogostaria de tirar uma duvida. Nessa nova correcao vc solicitapara no bind criar os arquivos com mk e dpois incrementar comos codigo que vc descreve abaixo, porem nao entendi como ireiincrementar se este arquivo e uma pasta. Caso estou comandobola me desculpe pois sou novato no linux. Obrigado ate omomento...Obs, meu teclado nao esta configurado por issometade das palavras nao possuem acento.. rsss

# Agora, inclua o conteúdo abaixo no arquivo /etc/bind/db.intranet

$TTL 604800 ;@ IN SOA sol.intranet. root.sol.intranet. (09122006 ; Serial604800 ; Refresh (1 semana)86400 ; Retry ( 1 dia )2419200 ; Expira ( 4 semanas )604800) ; Minimo ( 1 semana );@ IN NS sol.@ IN A 10.0.0.1sol IN A 10.0.0.1pc-1 IN A 10.0.0.77pc-2 IN A 10.0.0.20pc-3 IN A 10.0.0.13

[103] Comentário enviado por cirinho em 17/09/2009 - 20:25h:

Instalei meu servidor ano passado baseado e seguindo essetutorial. Depois com os meus estudos e problemas fiz algumasmelhorias adptando para minhas necessidades.

Seria bom aproveitar e refazer esse tutorial/artigo novamente jácom o debian 5 lenny explicando todo o processo e


45 de 52 22/02/2011 13:28

principalmente abrangendo o apache samba e o bind q foi omeu maior problema.

Resumindo uma atualizada e melhorada é sempre bem vinda.Show o artigo e comentários.


****************************************************************************

Visite meu Blog: http://taylorlopes.com/

****************************************************************************

[105] Comentário enviado por budega em 12/01/2010 -22:20h:

servidor:~# /etc/init.d/squid restartRestarting Squid HTTP proxy: squid2010/01/12 23:19:36|parseConfigFile: squid.conf:39 unrecognized: 'httpd_accel_host'2010/01/12 23:19:36| parseConfigFile: squid.conf:40unrecognized: 'httpd_accel_port'2010/01/12 23:19:36| parseConfigFile: squid.conf:41unrecognized: 'httpd_accel_with_proxy'2010/01/12 23:19:36| parseConfigFile: squid.conf:42unrecognized: 'httpd_accel_uses_host_header'2010/01/12 23:19:36| aclParseAclLine: WARNING: empty ACL:acl ie_usuario arp "/etc/squid/list/browser.txt".o que pode ser isto?


amigo, esse artigo foi feito em 2006... algumas coisas jámudaram.na época funcionava 100%, testado e em uso por mim e outraspessoas...mas tem que seguir à risca...

mas dê uma olhada no artigo, em "Comentário enviado portaylor em 24/03/2007 - 20:56h"...

Falou, t+

[107] Comentário enviado por wos- em 22/03/2010 - 14:41h:

Meus parabéns, ficou muito bom msmme será bastante útil

[108] Comentário enviado por maxsuelderlinux em 02/05/2010- 16:25h:

Muito Bom Mesmo!!

[109] Comentário enviado por blaiser em 02/05/2010 - 17:11h:

Caro amigo.Estou necessitando de um help.

Na galho fraco, estou fazendo com controle no iptables.confEstou querendo criar uma acl que permita que eu declare umalista o qual vou pemitir ou negar acesso uma devida porta...como por exemplo, a famosa 1863(msn) ou até mesmo umaporta 22 (ssh)Algo que ficasse tipo assim

etc/squid/list/portasbloqueadas.txt

o qual nesse arquivo eu gerencio o ip ou mac que estábloqueado ou liberado.


46 de 52 22/02/2011 13:28

um grande abraço

[110] Comentário enviado por zakay em 15/07/2010 - 22:06h:

Buenas!!!!

Só para constar, estamos em 2010 e eu usei este artigo paraconfigurar o ubuntu server 10.04.

Alguns detalhes a acertar devido a versão e meu server estáredondo e pronto para uso.

Parabéns, o conhecimento não envelheçe.

Abçs a todos.

[111] Comentário enviado por gek09 em 31/08/2010 - 13:11h:

Caro amigo fiz todas as configurações de deram certo, masestou com um problema, não consigo utilizar o outlook, comodevo proceder para liberar no iptables?Parabéns pelo tutorial.

Abraço.

[112] Comentário enviado por eurides-eas em 17/12/2010 -10:52h:

Boa tarde, sou novato e estou tentando configurar um servidordebian. Gostaria que vc's verificassem o que estou fazendo deerrado, ate o momento estou com o servidor debian rodando, as2 placas de rede estao configuradas(eth0 - rede local e eth2 -internet), meu dhcp esta rodando certinho e atribuindo ips paraas makinas(widows xp) na rede. A partir dai nao estouconseguindo navegar nas estacoes(winxp), desconfio q pode serconfiguracao no iptables, pois ja tentei squid somente comliberacao total, sem acl's de negacao e ja tentei o meu arquivosquid.conf que estava rodando perfeitamente no meu antigoservidor win2008(somente com as adaptacoes para o linux).

segue meu arquivo iptables.conf:

# Limpa as tabelas do firewalliptables -Fiptables -Xiptables -t nat -Fiptables -t nat -Xiptables -t mangle -F# Carrega modulos do iptablesmodprobe ip_nat_ftpmodprobe ip_conntrack_ftpmodprobe ip_conntrack_pptpmodprobe ip_nat_pptpmodprobe iptable_natmodprobe ip_tables# Libera a rede com nat, fazendo kernel compartilhar a conexãoecho 1 > /proc/sys/net/ipv4/ip_forward# politicas padroesiptables -P INPUT DROPiptables -P FORWARD DROPiptables -P OUTPUT ACCEPT# libera trafego de localhostiptables -A INPUT -i lo -j ACCEPT# libera trafego reverso cuja saida tenha sido autorizadaiptables -A INPUT -m state --state ESTABLISHED,RELATED -jACCEPTiptables -A FORWARD -m state --state ESTABLISHED,RELATED-j ACCEPT# libera o firewall para receber alguns tipos de conexaoiptables -A INPUT -p tcp --dport 80 -s 192.168.1.0/24 -jACCEPTiptables -A INPUT -p tcp --dport 3128 -s 192.168.1.0/24 -jACCEPT# libera a saida da rede interna para a internet


47 de 52 22/02/2011 13:28

iptables -A FORWARD -s 192.168.1.0/24 -j ACCEPT# Masquerading para a ligacao entre a rede interna e externaiptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth2 -jMASQUERADE# proxy transparenteiptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -jREDIRECT --to-port 3128

segue meu arquivo squid.conf (antigo servidor -win2008-adaptado para linux):

http_port 192.168.1.100:3128 transparentvisible_hostname meunomexD

## INICIO - bloqueio de ip

acl ip_liberado src "/etc/squid/ip_liberado.txt"http_access allow ip_liberadoacl ip_bloqueado src "/etc/squid/ip_bloqueado.txt"http_access deny ip_bloqueado

## FIM - bloqueio de ip

## INICIO - bloqueio de sites

acl bloqueados url_regex -i "/etc/squid/bloqueados.txt"http_access deny bloqueados

## FIM - bloqueio de sites

## INICIO - liberar rede interna

acl rede_interna src 192.168.1.0/24http_access allow rede_interna

## FIM - liberar rede

## INICIO - bloqueio de downloads

acl download_geral url_regex \.ppt($|\?) \.pps($|\?) \.txt($|\?)acl download_musica url_regex \.wav($|\?) \.asx($|\?)\.asf($|\?) \.wma($|\?) \.mp4($|\?) \.mp3($|\?) \.mp2($|\?)\.mp1($|\?) \.mpga($|\?) \.mpa($|\?) \.midi($|\?) \.mid($|\?)\.cda($|\?) \.ogg($|\?) \.acp($|\?) \.sdp($|\?) \.au($|\?)acl download_video url_regex \.wtv($|\?) \.dvr-ms($|\?)\.3gp($|\?) \.vob($|\?) \.qt($|\?) \.mov($|\?) \.wmx($|\?)\.wvx($|\?) \.wax($|\?) \.wm($|\?) \.wmv($|\?) \.mpeg($|\?)\.mpg($|\?) \.rv($|\?) \.rm($|\?) \.rmvb($|\?) \.avi($|\?)\.mov($|\?) \.divx($|\?) \.flv($|\?)acl download_executavel url_regex \.exe($|\?) \.bat($|\?)\.msi($|\?) \.pif($|\?) \.scr($|\?) \.dat($|\?) \.reg($|\?)\.com($|\?)acl download_compactado url_regex \.zip($|\?) \.rar($|\?)\.7z($|\?) \.arj($|\?) \.cab($|\?) \.lha($|\?) \.lzh($|\?)\.tar($|\?) \.targa($|\?) \.tgz($|\?) \.iso($|\?) \.xar($|\?)\.z($|\?)

http_access deny download_geralhttp_access deny download_musicahttp_access deny download_videohttp_access deny download_executavelhttp_access deny download_compactado

## FIM - bloqueio de downloads

## INICIO - radio online e streaming

acl streaming rep_mime_type ^video/x-ms-asfacl websom urlpath_regex -i \.asf$ \.asx$ \.avi$ \.au$ \.mid$\.midi$ \.mov$ \.mpeg$ \.mpg$ \.mp3$ \.mp2$ \.mp2v$


48 de 52 22/02/2011 13:28

\.ogg$ \.pls$ \.ra$ \.ram$ \.rmi$ \.snd$ \.wav$ \.wma$ \.wmv$\.wvx$

http_reply_access deny streaminghttp_access deny websom

## FIM - radio online e streaming

## INICIO - radios online

acl proibir_musica urlpath_regex -i \.aif$ \.aifc$ \.aiff$ \.asf$\.asx$ \.avi$ \.au$ \.m3u$ \.med$ \.mp3$ \.m1v$ \.mp2$\.mp2v$ \.mpa$ \.mov$ \.mpe$ \.mpg$ \.mpeg$ \.ogg$ \.pls$\.ram$ \.ra$ \.snd$ \.wma$ \.wmv$ \.wvx$ \.mid$ \.midi$\.rmi$

http_access deny proibir_musica

## FIM - radios online

## INICIO - Liberar webmail

acl urlpath_emails urlpath_regex -i webmail.exehttp_access allow urlpath_emails

## FIM - liberar webmail

## INICIO - Media Streams

## MediaPlayer MMS Protocol

acl media rep_mime_type mmsacl mediapr url_regex dvrplayer mediastream ^mms://

## (Squid does not yet handle the URI as a known proto type.)## Active Stream Format (Windows Media Player)

acl media rep_mime_type x-ms-asfacl mediapr1 urlpath_regex \.(afx|asf)(\?.*)?$

## Flash Video Format

acl media rep_mime_type video/flv video/x-flvacl mediapr2 urlpath_regex \.flv(\?.*)?$

## Others currently unknown

acl media rep_mime_type ms-hdracl media rep_mime_type x-fcs

http_access deny mediaprhttp_access deny mediapr1http_access deny mediapr2http_reply_access deny media

## FIM - Media Streams

## INICIO - Skype

acl numeric_IPs url_regex ^(([0-9]+\.[0-9]+\.[0-9]+\.[0-9]+)|(\[([0-9af]+)?:([0-9af:]+)?:([0-9af]+)?\])):443acl Skype_UA browser ^skype^

http_access deny numeric_IPShttp_access deny Skype_UA

## FIM - Skype

## INICIO - bloqueio outros


49 de 52 22/02/2011 13:28

acl all src 0.0.0.0/0.0.0.0#http_access allow allhttp_access deny all

## FIM - bloqueio outros

cache_swap_low 90cache_swap_high 95cache_dir ufs /var/spool/squid 5000 16 256cache_access_log /var/log/squid/access.logcache_log /var/log/squid/cache.logcache_store_log /var/log/squid/store.logpid_filename /var/run/squid.pidemulate_httpd_log oncache_mem 32 mb #tamanho do cache# cache_effective_user administrador #usuário para gravaçãodo cache em disco# cache_effective_group administradores #grupo do usuáriopara gravação do cachecache_replacement_policy heap GDSFmaximum_object_size 4096 KBlogfile_rotate 10 # squid -k rotate < comando pra gerar outrolog

hierarchy_stoplist cgi-bin ?

memory_replacement_policy lru

acl QUERY urlpath_regex cgi-bin \?cache deny QUERY

refresh_pattern ^ftp: 1440 20% 10080refresh_pattern ^gopher: 1440 0% 1440refresh_pattern . 0 20% 4320

acl apache rep_header Server ^Apachebroken_vary_encoding allow apache

o outro squid.conf q tentei utilizar sem nenhuma restricao oubloqueio eh:

http_port 192.168.1.100:3128 transparentvisible_hostname meunomexD

## INICIO - liberar rede internaacl rede_interna src 192.168.1.0/24http_access allow rede_interna## FIM - liberar rede

acl all src 0.0.0.0/0.0.0.0http_access allow all

cache_swap_low 90cache_swap_high 95cache_dir ufs /var/spool/squid 5000 16 256cache_access_log /var/log/squid/access.logcache_log /var/log/squid/cache.logcache_store_log /var/log/squid/store.logpid_filename /var/run/squid.pidemulate_httpd_log oncache_mem 32 mb #tamanho do cache# cache_effective_user administrador #usuário para gravaçãodo cache em disco# cache_effective_group administradores #grupo do usuáriopara gravação do cachecache_replacement_policy heap GDSFmaximum_object_size 4096 KBlogfile_rotate 10 # squid -k rotate < comando pra gerar outrologhierarchy_stoplist cgi-bin ?


50 de 52 22/02/2011 13:28

memory_replacement_policy lru

acl QUERY urlpath_regex cgi-bin \?cache deny QUERY

refresh_pattern ^ftp: 1440 20% 10080refresh_pattern ^gopher: 1440 0% 1440refresh_pattern . 0 20% 4320

acl apache rep_header Server ^Apachebroken_vary_encoding allow apache

Bom, somente isto está configurado no servidor: 2 placas deredes, dhcp rodando e atribuindo ip's para estacoes, iptables esquid. Nao fiz nenhuma outra configuracao em nenhum outroarquivo ou programa.

Espero que me ajudem, muito obrigado.

Eurides

[113] Comentário enviado por ramonoctavio em 21/01/2011 -13:28h:

cara incrivel esse tutorial mais dar para tirar uma duvida porfavor.quando mando reiniciar o serviço dhcpd.conf (/etc/init.d/dhcp3-server restart), ele dar esses erros o que eu faço:dhcpd self-test failed. Please fix the config file.The error was:Internet Systems Consortium DHCP Server V3.1.1Copyright 2004-2008 Internet Systems Consortium.All rights reserved.For info, please visit http://www.isc.org/sw/dhcp//etc/dhcp3/dhcpd.conf line 123: expecting a parameter ordeclarationsubnet 10.0.0.0 netmask 255.0.0.0 {^/etc/dhcp3/dhcpd.conf line 124: expecting a parameter ordeclaration range 10.0.0.5 10.0.0.50;^/etc/dhcp3/dhcpd.conf line 125: expecting a parameter ordeclaration option routers 10.0.0.1;^/etc/dhcp3/dhcpd.conf line 126: expecting a parameter ordeclaration option domain-name-servers 200.165.132.155;^Configuration file errors encountered -- exiting

agradeço muito pela ajuda

[114] Comentário enviado por Andre B em 25/01/2011 -16:57h:

Taylor e´ o CARA!Me apresentou o Linux pelo MSN e através do seu artigo e maisorientacões via msn instalamos um servidor DEBIAN show debola. Valeu Taylor você é o CARA!

Contribuir com comentário


51 de 52 22/02/2011 13:28

Site hospedado por:

Viva o LinuxA maior comunidade Linux da América Latina!Artigos, dicas, tutoriais, fórum, scripts e muitomais. Ideal para quem busca auto-ajuda emLinux.

[ Recarregar imagem ]

Digite o código acima:

Enviar LimparPara executar esta ação você precisa estar logado no site, caso

contrário, tudo o que for digitado será perdido.

Contribuir com: [ Artigo | Conf | Dica | Evento | Oportunidade de trabalho |Pergunta | Script | Screenshot | Simulado| Wallpaper ]

Responsável pelo site: Fábio Berbert de Paula - Conteúdo distribuído sob licença GNU FDL

Estatísticasdo site

Equipe de

moderadores

FAQ: Perguntas freqüentes

Membros da comunidade


52 de 52 22/02/2011 13:28

Documents

Instalando Servidor Debian - 01