Instalando um firewall mínimo em Debian [Artigo]

5/12/2018 Instalando um firewall mnimo em Debian [Artigo]

1/45

P O R l l t l l E : I N i t S A M I M O S ,A U B E R P ID E ,~WWW.VIVAOLlnUX.cbm.BR

Instalando um firewall minimo em DebianAuto r: H ugo A lv are z Data: 26102 /2007

IntredueanO IR amigos,

Neste art igo d es cre vo c omo imp la nta r e c on fig ura r uma maquin a comDebian Sarge como f ir ewa ll , r ot eadorin te rn et o u 0 nome que quiserem d ar. P reo cu pe i-m e em d isp on ib ilizar urn art igo de com o im plantar asprin cipais tecn olo gias q ue tenho v isto em fim cion am en to em em presas de p eq ueno p orte, q ue 000 podemgastar absurdos com a im planta'(ao de sistem as, m as que precisam ter urn controle mfnimo do que estaoco rrendo em sua rede.O utra preocupacao foi criar um artigo q ue 000 contivesse a seguinte expressao, B OM EN TAO E ISSOPESSO AL, A GO RA 0 RESTO E ASSUNTO PARA 0 PROXIM O ARTIGO , DEIXANDO A TODOSCOM CARA DE BOBO POR UMA SEMANA.OUNAO VOU ABORDAR A COMPILAC:::AO DO KERNEL PORQUE TEM MUITADOCUMENTAC:::AO NA INTERNET E NEM MESMO EU SEI COMO COMPILAR UM , SE VlRAA i .N ossa rraquina sera instalada com base no CD 1 do Debian Sarge e sua instalacao sera a minima, 000precisam os instalar m ilhares de pacotes im iteis que serao baixados durante horas e dependendo dav elo cid ad e d a in te rn et d eme ra ra d ia s, 000 sou nenhum especialista em D ebian, m as m e disseram que sao 14CDs, eu baixei so 0 p rim eiro e p ro nto , m in to , g an hei urn CD de Debian e decidi aprender, nada m elhor doq ue so fter o s p ro blem as d o d ia-a-d ia e ter q ue so 1u cio ru i-lo s s em co nh ecer comp letam en te 0 s is tema. :)In do d ire to a o p on to , e sta ra o d is po niv eis o s s eg uin te s s erv ic es :

M onitoram ento de banda com software M RTG; Proxy transparente com softw are SQ UID ; M onitoram ento de sites acessados e criacao de relat6rios com softw are SA RG ; C ontrole de acesso com softw are iptables com suporte a layer 7;

A ntes d e co rrecar, tem os alg um as p reo cu paco es a serem v eri:ficad as:1 . A in te rn et d ev e e sta r d is po nfv el;2. V oce deve saber seu endereco IP e G atew ay;


2/45

3 . In sta la r n a maquina duas placas de rede com suporte nativo pelo D ebian Sarge ou providenciar os driverspara versao 2.6 do kernel;E sta s s ao a s c on sid era co es in ic ia is.

Instalando 0Debian SargeP ara in icia r a in stala ca o d o Debian Sarge com su po rte ao k ern el 2.6 , sig a o s p ro ced im en to s:1 . C ertifiq ue - s e d e q ue 0B ro S da sua m aquina esta configurado para dar boot pelo CD ;2. C oloq ue 0 CD e reinicie a m iquina, quando aparecer a tela a seguir digite linux26, isso iniciara ainstalacao do D ebian Sarge com suporte ao kernel 2.6;

Apos carre gar, a prim eira tela que aparecera sera a de selecao de idiom a, prefira a selecao em ingles, atra du cao a plic ad a n as d is trib uic oes GNUlL in ux e horrfvel, talvez voce se depare com algum a coisa do tipo''P ro pried ad es d o rato" quando quiser configurar seu m ouse, em todo caso se quiser outro idiom a fique avontade.Segue a tela de selecao de idiom as:


3/45

tum das seguintes regioes da im agem aescolhi idiom a ing les, se tivesse

inteligente esse sistem a heim , you m e

Pict UJ , ,_ ,. C E : nb".uO!!dcor" , , , , - , , " ' I C I ' I E I i , l ; T , 1~JJI1 r l t r r ~ ~ 1 ! 1 @ II u :m1mJ.LJd ~Uillii.~"'ilJIIooiitLt.oD.I~r.~"'3!ilrg1;.~ r ~~.lII!D"t.u.~_~'I~~ ~ _ M~

~Ul.1m!""tl;l'JIII' ~lt'lll


4/45

Apos esco lh er o nd e estam os, 0 sistema pedira que vo ce defina 0 layout padrao do teclado, 0 meu eABN T2, se tiver vfrgula do lado do zero no teclado num erico 0 s eu t ambem e ABNTI, caso co ntrario optepelo B ra zi lia n (EUA layou t).

Apos selecionar 0 layo ut d e tec lad o, ele v ai d etectar 0 h ardw are p ara lo ca liz ar 0 CDROM com a fonte dedados, no nosso caso estam os instalando a partir do C DROM e ele vai detectar sem problem as.


5/45

e quando acabar ele vai solicitar que

the DHCP server may be slow or some

instalacao estava sendo pelo VMW AR EI red e voho a ilustrar)

Se suas placas de rede forem suportadas pelo D ebian Sarge, 6tim o, vai aparecer a seguinte tela:"C on figure the N etw ork (no top o dajanela)"S ele cio ne a 0 P9 ao : " Co nfig ure n etwork m an ua lly " N a tela seguinte com o cam po IP A DDRESS:D igite 0 seu endereco IP q ue tern internet dispo nivel e pression e < ENTER>N a tela seguinte com 0 cam po N ETMASK :D igite sua mascara de rede ou se nao souber coloque 255.255.255.0 e p re ssio ne N a tela seguinte com o cam po GA TEWAY :D igite seu gatew ay de in ternet e pressione < ENTER>Voce deve saber qual e seu gatew ay, caso nao souber ligue para 0 provedor q ue eles infurm amN a tela com 0 seguinte cam po N arne server addresses:D igite 0 seu endereco DNS prirruirio e pressione < ENTER>A p6s configurar as placas de rede, nao sei q uantas voce tern na rraq uina, vai aparecer a seguinte tela:


6/45

C oloq ue urn nom e para sua rraq uina e pressione V ai a pare cer a seg uin te tela:

Digite 0 endereco do dom inio da sua rede ou invente urn se q uiser e pressione . Ex: hugo.comV ai aparecer a tela de particionam ento de disco, siga as instrucoes,


7/45

nao),V ai ap arecer a tela a seg uir:

ll'~ a I~ .. ~l~. III "P7 ~ II'J 'IQI.rW Il ~ .. tlLt(lll ...:I """'"I!I!lnl, IIo t~ PIlI"! 11lI...f" q~r~ I', ..~~In.'IH. _I...~.i:K lblll ~tc ...l ... k ill, ~ til (:n::tfI!P i; lar ~J I~ 1) I:m ~ . ~]t .. rcu i r , J.II~'.!'..J."" __ I L i l .m l c o l l , l i !~Q!;'ItN'O' ~nf1~ ~ itoI:'J;Brlllo tr. I.~I ~ ,,_t.dltl!lll. R * " t ItnOlr".. .. k n fIi'I _I L llW1l J'1t

S elecio ne seu lID e p ressio ne .

p ossivel q ue apareca algo diferente nom aquina, nem sabia se t inha sistem a o u


8/45

I v oce tiv er W i nd ow s o utra q ualq uer o utrad ados, n esse caso aconselh o criar seu

I com o q uiser, rno e obriga t6 ri o segu irIIIlDre-~~e ue e v oce q ue v ai admin istrar.

~III ill '~I.~ al 'io>r ~""",,,III~'~III,I.IIQIl ~.U[LiN ....._.I! IIblll . lO~ ~' ~ IW"1 I I I" " fU ~Jf, ~hI II ~tl n~ U II " 'I':


9/45

Selecione Create a new partition e pressione .Aparecera esta tela:

Selecione 0 tamanho da particao e pressione . Meu HD rem 8 GB, selecione 1GB para apartieao de root, pois, posso querer baixar alguns softwares, selecione urn tamanho compativel com seu HD,se tiver urn HD de 40 ou 80 GB pode por 5 ou 10GB.Aparecera esta tela:


10/45

Eu sem pre correco criando as particoes pelo B egirm ing e coloco a particao de SWAP no m eio do RD , ficaa seu criterio , v ou co lo ca r uma b rev e ex plic acao so bre 0 par ti cionamento no GNUILINUX .

Sobre 0 particionamentoQuando voce vai particionar urn RD no G NUILIN UX, voce deve en tender 0 que esta fazendo, sen tar ecolocar no papel quais serao as particoes na sua m aquina e 0 que elas vao fazer, existem m ais de 20 bonsmot ivos pa ra pa rt ic ionar 0RD. N ao sei todos m as q ue existem m uitos isso e certo.


11/45

A s quatro prim eiras entradas, ex: hdal, hda2, hda3, hda4, sao reservadas para particoes fisicas no disco,portanto no m eu caso 0 ideal e que a particao hda3 seja a particao de SWAP.Porque?Supondo que eu erie uma particao hdal, uma hda2, uma hda3 e uma hda4, mesmo sobrando espaco nodisco vai ficar inutilizada, e m esm o com q ualq uer program a de particionam ento que voce utilizar vai ficarcomo inutilizada,A contece q ue, caso voce q ueira criar m ais q ue 4 particoes sao necessarias criar particoes 16gicas.Exemplo:Supondo que eu criei um a hdal, hda2 e hda3, eu ainda quero criar m ais 20 partieoes, existem relatos de q ueurn m aluco criou 255 particoes, nunca testei, a hda4 ficara reservada, quando eu estiver criando a quartaparticao, ao inves de escolher Prim iria vou ter que escolher Logica, e quando 0 particionador m arcar ap artieao c om o log ic a, e1e va i sup rim ir 0 hda4 e a primeira particao logica sera a hda5, se houver espaco, aproxim a sera hda6, hda7 e assim por diante, terem os enm o a seguinte tabela:HDAl PrimariaHDA2 PrimariaHDA3 PrimariaHDA5 LogicaHDA6 Logica

E conveniente fazer a partieao mais proxima do meio do lID se tornar a partieao de SW AP porque caso aSWA P seja utilizada, a agulha de 1eitura do lID vai precisar andar m enos para acessar determ inado dadosolicitado, 0 que vai fazer voce ganhar alguas nanosegundos. Existem casos em que 0 SWA P nem precisase r u tiliz ad o, c omo p ro va ve hn en te se ra 0 nosso, se voce estiver instalando em um a m aq uina com 256M B deRAM.M ais u rn d etalh e q ue nao com en tei, u tiliz arem os 0 sistem a de arq uivos ext3, caso voce tenha urn no-breakque garante q ue sua rraquina mmca vai ser desligada a forca ou nao tenha nenhum filho, irrnao, fim cionarioou faxineira que pode dar um a bicuda na m aq uina e faze-la de s ligar use X FS, pois, e u rn s is tema d e a rq uiv osm ais rapido q ue 0 ex t3, po rem m ais sen sive l a falhas,

V ohando ao assunto, vam os para a proxim a parte da instalacao.

Instalando 0Debian Sarge (parte 2)

Con tin ua nd o, c rie i a p artie ao c omo b eg irm in g, se 1e cio ne i 0 ponto de montagem / e estamos prontos para ap ro xim a p artic ao . V eja a :fig ura :


12/45

~r~l~tl""""t~111D"'1L l! Ilfti.i .JiH.i!fI". . . . .a ~ur"~~~'rl~ 1ol1IjI",I Ii ;H Ij "~ . r , ;~;

&T,_lnI Ill. I~"_ ' i I I I . [ ~ ' .,~I ~ -Ifb~ gooltam os para a tela 12 m as, agora tem os

IIioD Li ~ d'm11l1_hlljlu" ~U!il ~!!l'oIL~~lL!l!liI!f II11IIEUI!NI~'t ~ltI:t _[~lll'l ~ ! ! IMm~ H \ I l " ~ t O (lLli W)'1'iII, ~.[WIn,. ;'~. ~ "~_ ~~. I~e,..nl _t'1 ~ 01' '''''VlU tQIR.tbpwI~._If!~'" '~l"e:." i~ ~. t.... IItrIll"",rlllJl"'l! iroo ~n,~l I I ,: .~ " " " ~ ~r,.jrtojl MII'I Hlr'!iLlIII '!oi~ "" I I I I !'" It ~ t l > 1 . 1 m :

De p ro sseg uim en to n o p articio nam en to com 0 restante do espaco seguindo a configuracao das pr6xim astelas:S empre selecio nad o p artico es P rim ary e B eg in nin g v oce ch eg ara n essa tela:


13/45

Altere 0 ponto de m ontagem para lusr ao inves de /hom e com o m ostra a figura e selecione 'D one setting upth e p artitio n" n ov amen te, n ao M d iferen ca e xce to 0 tamanho.

N a proxim a tela M um a diferenca, hda3, com o eu disse antes, YOU definir a particao de SWAP, nao m udanruita c oisa , v eja a s te la s:


14/45

_p;.!~IJ _1 II I Q l . , " ~ ~ ~I;HR I IIPImr~'''[LoI!tll . ~J~OI'...a ~11lCh.)< J.a op~!~ as" e ~ne .-~~, !H~ n IIIl

Selecione agora swap area ou, area de troca se voce escolheu a iastalacao em portugues, vai f icar assim:


15/45

D one! novam ente e prossiga com a instalacao, C om o espaco restante voce vaiportudo em /var, voce devee sta r s e per gun ta ndo:Por que um a /var tao grande? 0 d ob ro d as o utra s p artic oe s?Tome c omo fa to a s s eg uin te s o bs erv ac oe s:1. 0 cache do squid usa a /var;2. Os logs do M RTG tam bem;3.0 SA RG vai gerar os relatorios d e site s a ce ss ad os q ue a tra ve ss aram 0 squid na pasta htdocs do A pacheq ue tam bem fica na /v ar4. 0 syslog eo arq uivo onde 0 iptables v aijo gar os log s se v oce uti l izar a opcao -j LOG , e onde 0 syslogfi ca ? na /v ar;5 . V oce p retende mm ca m ais precisar m ex er nessa m aq uina o u so q uand o d er algum p ro blem a de hardw are.B aseado nestes principios coloquei um a /var enorm e, quanto m ais espaco voce tiver para ela deixe, pois,voce vai ver urn m onte de gente nos seus logs tentando acessar seu sistem a, principahnente chineses,e nq uan to voce rid a cara d eles.A o fin al d o p artic io namen to , v ai e sta r a ss im :

N ao pensem que esq ueci de colocar um a partieao para /boot, sim plesm ente nao coloquei porque nao sabiaq ual s eri a 0 ta rn an ho q ue ficaria a irn ag em com a atu alizacao d o k em el-2 .1 9 q ue irem os in stala r ad ian te.


16/45

S elec io ne ''F in is h p artitio nin g a nd w rite c han ge s to d is k" e p re ss io ne Vai aparecer um a tela pedindo a confirm acao do que voce esta fazendo, se voce traduzir esta tela ela vaidirer que voce esta m aluco, apagando tudo que voce tern, enfim , vai tentar persuadi-lo de nao fazer, m ascomo temos certeza, v amos la , selecio ne YES e p ressio ne ! l rlYlll!llHIi:I.fM __, 11);t!11!~Lo. ~I tjw .i


17/45

:~':-F;l~l~l~t~\~ml:r:::..~: = l I i I l ~ ~ . = ~ j t t .!1Q!;11_" 'Q tflo -~ ... ~t ""er~ n( \P.III' 11,.0;1 " : !i I' ~ _ _ J " "!Idni~1ll" 11 .,., In,t! 1 .1 J.. ~ .. . H~ to dl,'lJI;.! n' *' CQI !r 'o ' IIq tOIIl .., 1 ' 1 1 , .1 111'. tll~ (jjt \I!III'" romull!"'. !II!t]hJL"f ~ til ~1I1!1 '~C i ) j ">d~lll -. lh.~.. ~,IN' I'll,," l_IIf'IN 1_~1Ib1. nfJ!llJil'!lf\I!l~.., Or ..... ll~ ~ljIfIIT.nd Lrll"'" ~~ I H " ! : jt,

"Q(IIII WIIkr .~ I~ .. .III,. 1 M > l 1f

Vai passar umas telinhas e Val aparecer essa tela pedindo para retirar 0 CD e rebootar a maquina,OBEDEC:::A!!!

Terminamos esta primeira etapa de instalacao do Debian Sarge.

Configurando 0 sistemaApos rennciar a rruiquina vai aparecer a tela de boas vindas do sistema sua unica OP9ao e pressionar para OK.


18/45

Na te la s eguin te v oc e devera configurar a fu nte d e horario n ao s ele cio ne GMT, deixe na OP9ao padrao (quee NAO) e p re ssio ne .

I)ou.: __ ~~_ .... _L'I~ orl '" em (~I.~ _ II .. " 1.... .. .. . :1 : " 'I Jra1~~ ~1-1 I: atI T I . . .. .. , w 1J' I"e~ ."_ . .. .. i~.:1:!11_~ !PU" tl-= ~ . a l l i l l l l ~I. :R ~ 'UR LIIII1I~ ~I t,I~. '!IIIIIit - l i ll l , ~ Ir- . u 1IiIIeUIer' ~ ~ [I~III ~I Rt iO O ~~tJIH&IJ" ~~t.,. LI...,....,.I~ IIII-:! toool H .. , ... I.h _ "" .,.., _Lamill" __ tloo, ~I......... ..t _..u..~ ......U-IIoo- .... lt I'e).~ ~ cliJd:. HIJII tile- t lMf: II, IIIJII ~ : IE t ~ ZI i I IJi " 111iMiiElZ IMI nt:_I. !.Ioo~.I .. k~wqm~~

S ele cion e o th er e p ressio ne < ENTER> n ov am ente.


19/45

Selecione sua cidade, a minha e Sao Paulo e pressione rnais uma vez:


20/45

boa senha de pressione ,

Agora defina a criacao de um usuano para uti l izar 0 sistema, coloque 0 nome completo com letrasmaiasculas e sobrenome separado que nao temproblema. Apos colocar 0nome pressione .

Agora digite 0 nome de usuario, com letras minUsculas e sem espaco, apos digitar pressione .


21/45

Defina uma senha, pressione , confinne a senha na proxima tela e pressione novamente.

N a tela a seguir configure a fonte do APT, deixe como CDROM quando precisarrnos memos a alteracao,P re ss ione .


22/45

.

o sistema vai verificar 0CD e perguntar se voce deseja verificar outro CD, se voce tiver todos os CDs daDebian Sarge (me falaram que sao 14) pode verificar todos, caso contrario, responda Nao pressionando.


23/45

Apos testar os funtes para 0 APT se 0 sistem a detectar a internet e1e vai baixar as atualizacoes do sitesecurity.debian, caso contrario nao. Pelo que sei are aqui voce ja deve ter a internet fim cionando porque jacon figuramos tudo.V ai aparecer a seguinte tela pedindo q ue voce escolha q uais softw ares deseja instalar, m as voce nao desejainstalar nada m ais entao nao se1ecione nada, selecione OK e pressione < ENTER> .

I I. b r:~ . ~ " " '1 1 J . . .. . .. . lrIllIlilD:"'IIL1 I U-:b H"'"v.:.I I ' ''1111 ~, r'-!i"l"I I!JH:"i .~"f"..II".rI I Idr: : -J I" 'r "Y '"1 : 'I I t 11 11 >"1"'-"':1:'I I : - i J . I 1 . o ' 1 l ! . ~ ,I I . . . .~i'I I &11 ...... 1 r " ,w ll l , ,! . !, " IJ 11" ." 111111

Agora da tempo de ir buscar 0 care, no meu caso estou indo almocar, aguarde enquanto 0 sistema fa zd ownlo ad e in sta la a s a tu alz ac oe s,F inalizadas as atualizacoes, vai aparecer a tela de configuracao do exim 4 (e- m ails).

D eixe com o esta, local delivery on1y; n oto n a netw ork , ou configure com o preferir. P ression e < ENTER> .("1.....1..........:....._ . .. .. .. ._ . .. .. .. ,. .. . ~~ . .. .. _ . .. ._ ,. ,. _ . .. .. .. .. .. .. .. . .. .. . .. .. .. .. .. .. . __ , ., .: 1. .. ...l .........",.+ .....__ ........... ..l.....:.......:L _ ..... ..l.....:............ ,...........,........:......_


24/45

.:>t:lt:~.aUIlt: urn usuano para recener us e-rnaus UU sistema, eu ueixei nugu, ueixe u '-lUI;; '-lUlSt:L

Agrad ecim en to s e esta p ro nta a co nfig ura< ;ao d o seu n ov o D eb ian S arg e.

Mais algumas conflguraeoes uteis

A gora vam os baixar todos os softw ares necessaries para instalacao dos services com entados no inicio doa rtigo e a lguma s fa ci lid ades do d ia -a -d ia .


25/45

Para com ecar logue-se com o root e execute 0 comando:

# a ptitu de u pd ateL em bre-se de sem pre usar 0 ap ti tude po rque 0 ap t-g et n ao resolve d ep end en cias, a pe sar de n ru ito s diz erempor ai 0 co ntrario , e xistem are co nnmid ad es q ue d eba tem 0 assunto , t raduzindo , e ig ua l a time d e f in ebol,nao adianta debater, eu torco pro aptitude.Execu te ago ra :# aptitude install vimEdite 0 s eguin te a rq u iv o com 0 v i:# vi /e tc /vim/v imrcCom 0 a rqu iv o abe rto , d ig ite ::syntax onHnnmn , :fic ou c olo rid o, h eh eh e, c orra c om 0 cu rso r are ab aix o da linh a se t ru ler, p ressio ne ''i'' sem as aspas ed ig it e as l inhas :set nusyntax onP ressione E SC , :w qP ro nto , v oc e e dito u 0 a rqu iv o com vi, p erso na liz ou , sa lv ou e sa iu .D igi te : sou rce / et c/vim /v imrcNao ligue para 0 que aparecer na tela, este comando serve para ler e carregar as infonracoes que voceacabou de adicionar ao vim rc, q ue e 0 arq uivo q ue guarda as con f igu racoes do V IM .Agor a in sta 1e 0mou se , se ra utilpara recortar e colar,# aptitude install gpmPressione Y para instalar, na prim eira tela que aparecer perguntando se voce deseja iniciar ou reiniciar 0gpma o in ic iar 0X selecione NO e pressione .N a se gu nd a pe rgu nta, ''R em em be r the resta rt setting " se 1ec ion e Y ES e p ressio ne < ENTER>Pressione em OK quando 0 s is tema identi fi car 0 d isp ositiv o, d eix e c omo e sta .Se voce executar um netstat -na vai ver que existem varies services rodando e, tratando-se de um firew all,voce nao vai q uerer neguinho com services disponiveis tentando acessar sua r raqu ina, V am os rem over tudod a in ic ia liz ac ao e d eix ar somente 0 ssh.


26/45

Entre n o d ire t6 rio /e tc /rc 2.d e re nome ie o s sc rip ts d e in ic ia liz a.< ;a o:# cd /etc/re2.d# mv S20exim4 K20exim4# mv S18portmap K18portmap# mv S20inetd K20inetd# mv S21nfs-common K21nfs-common# mv S20lpd K20lpd# mv S14ppp K14pppA gora entre em /etc/rcS .d e renom eie 0 portmap:

# cd /etc/reS.d# mv S43portmap K43portmapAo renomear os links para os scripts de inicalaacao de S para K voce esta dizendo ao sistema que naoq uer q ue esses scripts rodem durante a inicializacao d a rraq uina,Tudo OK, q uando voce reiniciar a rraq uina nenhum dos services estarao m ais disponiveis, e poss ivel para-los sem reiniciar, m as nesse caso estou poupando trabalho .M ais uma fu cilid ad e, e dite 0 arquivo /root l.bashrc:# vi /rootl.bashrcPosicione 0 c urso r a o fin al d o a rq uiv o, p re ssio ne i, e a dic io ne a se gu in te linha:alias 1 s = ' 1 s --color'A spas sim ples OK?Execut e novamente 0 comando s ou rc e:source /rootl.bashrcou deslogue e logue novam ente para carregar as con f igu racoes .Ago ra e dite 0 arquivo letclsshlsshd _config:# vi /etc/s shissbd_configL ocalize e altere a linha:PermitRoo tLog in y es,....._1 _


27/45

l-OlOque:PermitRoo tLog in noSalve e saia do arquivo, rem icie 0 servco ou aguarde quando fur reinicializar a maquina para ascon fig ur ac ce s s er em car regada s.Pa ra rei ni cia r:# killall-HUP sshdE sta O P9 ao define q ue 0 SSHD nao vai aceitar conexao rem ota do usuario root.

Instalando 0 SQUID 2.6Comecei a instalacao dos softwares pelo squid, nao existe nenhuma versao atualizada de SQUID 2.6 noapt, p elo m enos n ao encontrei, enta~ baixei 0 fu nte e in sta le i n a m ao .

Baixando 0 fonteBaixe 0 funte e descom pacte na pasta lusrlsrc, na o e obrigat6rio escolher esta pasta, deixo todos os fontesa qu i p or c ostume .# wget htm://www.sguid-cache.orwyersions/v2/2.6/sguid-2.6.STABLE7.tar.gzAp6 s b aix ar 0 arqu ivo descompacte :# tar xvzfsquid-2.6.STABLE7.tar.gzE entre n o seu diret6rio:# cd squid-2.6.STABLE7Execute:# ./configure -bindir=/usrlbin -sbindir=/usrlsbin -sysconfdir=/etc/squid --enable-linux-netfIl.ter -enable-delay-poolsOs p arame tre s d efin em :

--b indir= /usr/bin - D iret6rio de instalacao onde ficarao os arq uivos b inaries; --sbindir= /usrlsbin - D iret6rio de instalacao onde ficarao os arq uivos binaries usuario do root; --sysconfdir= /etc/sq uid - D iret6rio on de ficarao os arq uivos d e configuracao ; --en ab le-linux-netfilter - SQU ID otim izado para prox ytransparente, nao e obrigat6rio; --enable-delay-pools - Para configurar a limitacao de banda, caso voce que i ra fiituram ente limitar a

t..n~~n
http://htm//www.sguid-cache.orwyersions/v2/2.6/sguid-2.6.STABLE7.tar.gzhttp://htm//www.sguid-cache.orwyersions/v2/2.6/sguid-2.6.STABLE7.tar.gz


28/45

Ui:1l1Ui:l.

Agora exe cu t e:# make all# make in s tallVamos ago ra c on fig u ra r 0 squid, e ext re rmmen te s imp le s, n ao requ er pratica nemhab ili dade . : )F iz u ma configuracao bern basica para esse squ id , todas as m iqu inas ficarao com acesso h ttp lib erad o,ex ceto os sites q ue sao b loq uead os por palav ra-c hav e, tem os as O P 90es d e lib erar completam ente alg umasmaquinas, nada mai s.Segue 0 arqu iv o de con f i gu racao :

# vim /etc/squidlsquidconf

#################################################### SCRIPT DE CONFIGURACAO DO SQUID### Porta utilizada pelo squid#http_port 3128 transparent## Nome do servidor (sem espacos)#visible hostname firewal102.fleetone.com## Servidores DNS a serem consultados#dns nameservers 192.168.100.2## Local onde sera armazenado os logs do squid#cache access log /usr/local/squid/var/logs/access.log## Converte as mensagens geradas pelo squid para 0 Portugues#error_directory /usr/local/squid/share/errors/Portuguese##refresh_pattern Aftp: 1 20% 2280refresh_pattern Agopher: 1 0% 2280refresh_pattern . 1 20% 2280acl all src 0.0.0.0/0.0.0.0acl manager proto cache objectacl localhost src 127.0.0.1/255.255.255.255acl SSL_ports port 443 563acl Safe_ports port 80 # httpacl Safe_ports port 21 # ftpacl Safe_ports port 443 563 # https, snewsacl Safe_ports port 70 # gopher


29/45

acl Sate_ports port no 'I t waisacl Safe_ports port 1025-65535 # unregistered portsacl Safe_ports port 280 # http-mgmtacl Safe_ports port 488 # gss-httpacl Safe_ports port 591 # filemakeracl Safe_ports port 777 # multiling httpacl Safe_ports port 901 # SWATacl purge method PURGEacl post method POSTacl CONNECT method CONNECThttp_access allow posthttp access allow manager localhosthttp_access deny managerhttp_access allow purge localhosthttp_access deny purgehttp access deny !Safe_portshttp_access deny CONNECT !SSL_ports## Definiremos a seguir as regras para bloqueio dos sites pelas# palavras adicionadas no arquivo bloqueados.txt# As regras serao estabelecidas por grupos de acessos conforme# as ACLs criadas abaixo.#acl redelocal src 192.168.100.0/24acl diretoria src "/etc/squid/acls/diretoria"acl bloqueados url regex -i "/etc/squid/acls/bloqueados"acl permitidos url_regex -i "/etc/squid/acls/permitidos"http_access allow localhosthttp_access allow diretoriahttp_access allow redelocal !bloqueados## Abaixo bloqueamos a navegacao.# Liberado apenas pra faixa definida na "acl redelocal".#http access deny all

A l te re a s s egu in te s l inha s:Coloque 0 h ostnam e d a su a maquina, 0m esm o nom e qu e voce definiu d urante a instalacao:v i sib le hos tname hostname.domin io

Coloque 0 ip do seu servidor D NS:

d n s nameservers 192 .168 .100 .2

N estas linhas voce define de qu anto em quanto tempo 0 squ id vai ir na internet v erificar se hou veramalteracoes, nonna lmen te e le vai u t il iz ar a opcao que esta n o c ac he q uand o v oc e ac essar u rn site, para alteraro tem po d e refresh ab aix e 0 valor, 0 prime ir o 1 s igni fi ca 0 tempo m f n i m o em m in u tos p ara refre sh , ap 6s 0p erc en tu al o 2 28 0 e 0 tem po m ix im o em m in utos:r ef re sh _pa tt ern A f tp : 1 2 0% 2280r ef re sh _pa tt ern Agophe r: 1 0% 2280refresh nattern _1 20% 22RO


30/45

-------_r-------. - --, - ----A qui voce define a faixa de sua rede:a cl re de lo ca l src 1 92 .1 68 .1 0 0.0 /2 4N o squid.conf sao so essas alteracoes a serem realizadas e esta pronto ..C rie os diretorios onde vao ficar as acls:# mkdir /etc/squid/aclsA gora erie os arq uivos que vao conter as acls:# touch /etc/squid/acls/diretoria# touch /etc/squid/acls/pennitidos# touch /etc/squid/aclslbloqueadosDes cric ao d os a rq uiv os :

diretoria -> deve conter as rraq uinas q ue tern acesso total a q ualq uer site. C oloq ue 0 endereco IP dasestacoes.

perm itidos -> sao sites q ue contem palavras chave bloq ueadas, m as q ue podem ser acessados. bloq ueados -> sa o os sites q ue c on t ern p alav ras-cha ve q ue d evem se r b loq ue ad as.

A po s c olo ca r 0 sq uid .con f d en tro de fete/sq uid , de p erm ssao p ara 0 sq uid escrever na pasta var:# chmod -R 777 /usrllocallsquid/varA gora criarem os os arquivos de sw ap do squid:# squid-zTud o p ro nto , e xe cu te 0 sq uid com o com ando:#squidCaso os arquivos diretoria, perrnitidos ou bloqueados estejam vazios e norm al aparecer a seguintemensagem:2007/ 01 /1 8 14:4 6:4 31 s tr to kF ile : /e te /s qu id /a cls /d ir eto ria n ot f ound2 00 7/0 1/1 8 1 4 :4 6 :4 31 a clP arseAc lL in e: WARN ING : emp ty ACL: a cl d ire to ria s rc " /e tc /sq uid /a cls/d ire to ria "E sta mens ag em e som ente um alerta dizendo que nao existem valores definidos dentro dos arq uivos q uecontem as acls, assim q ue voce preencher esses arq uivos esta m ensagem desaparecera,Feito is so , a dic io ne 0 sq uid n a in ic ia liz a! ;a o d a se gu in te m an eira , e dite 0 a rqu iv o / ete /in it.d /b oo tm is c.s h e ao:f in ald o a rqu iv o adic io ne a s s eguin te s lin ha s.


31/45

# lnicializando 0 squidif[ -x / et c/ in it .d1squid ] ; t hen. /etc/init.d1squid: I iAgora erie urn arq uivo com nom e sq uid dentro d e /etc/init.d:# vi /etc/init.d/squidE adicione 0 se gu in te c on te ud o d en tro d o a rq uiv o:/usr/sbin/squidSalve e saia. De permssao de execucao ao a rquiv o:# chmod +x /etc/init.d/squidF in aliz am o s a c o nfig ur ac ao do SQUID .

Ins talando 0 Apache

N ao pense q ue eu estou m aluco instalando urn servidor w eb em urn firew all, ele sera essencial para a criacaodos logs do SARG e do M RTG, sem contar que fecharemos esse service para 0mundo.Pa ra i ns ta la r 0 Apache d ig ite :# apt-setupN a tela que vai abrir selecione http e pressione , selecione Brasil e pressione novam ente, se1ecione urn m irror de apt e pressione novam ente, eu escollri 0 f tp .b r.d eb ian, masq ualq uer urn disponivel vai servir, deixe em branco HTTP proxy inform ation e pressio ne < ENTER> .Quando e1e acabar de baixar as informacoes vai abrir uma janela perguntando se voce deseja adicionaroutro m irror, selecio ne NO e p ressione < ENTER> .A gora execute a cadeia de com andos:# vi /etc/apt/sources.listCom ente a linha:deb cdrom :[D ebian GNUlLinux 3.1 rOa _Sarge_ - Official i386 B inary-1 (20050607)]/ unstable contribmainAdicione urn # no inicio da linha. vai ficar assirrr


32/45

.. - _ _ _ - -- _, .......__ _ -- _, ._ _ - . . . . . -~~. . . .# deb cdrom :[D ebian GNU lLinux 3.1 rO a _ S arge _ - O fficial i3 8 6 B inary-1 (20 05 060 7)]/ unstable contribrnamSalve e saia. :w qExecute 0 source novam ente para e1e carregar as n ovas inform acoes:# source /etc/aptisources.list# aptitude update# aptitude install apachec on firm e c om ele i ns ta lani a s dependenc ia s autorna ticamente .Q ua nd o fu r p erg un ta do d ese ja h ab ilita r 0 suE xec, selecione NO e pressione F in aliz amo s a instalacao d o Apa ch e.D igite http://ip_da_rnaq uina e veja se abriu a pagina de teste do apache, caso positivo esta tudo ok, pode irem /var/www e rem over 0 index.htm1.

Instalando 0MRTG

Execute 0 comando:# aptitude install mrtgQuando perguntar se voce deseja que 0 nntg.conf so tenha permssao de 1eitura para 0 u su ario n ntgresponda NO e pressione .Configurando 0MRTG:Entre no diretorio /ete e crie 0 seguin te arqu ivo :# cd/etc# vi mrtgstats-net.shAdicione 0 se gu in te c on te ud o a o a rq uiv o:#!/bin/sh# nntg stats-net.sh - A ugusto C am pos 2 00 4awk'I'~ 1 v.] f


33/45

I 1.j.I..l . J l$O=substr($O,index($O, ":'~+1);p rin t $ 1 ;p rin t $ 9}, Iproc/net /devM ante nh a os d ire ito s au torais d o cid ad ao q ue desen vo lv eu 0 script.Feito, de perm ssao de execueao ao arq uivo:chmod +x rnr tg sta ts - n et. s hV erifiq ue a c on fig ura


34/45

n

Agora erie u rn arq uivo com nome rrntg den tro d e /etc/in it.d :# vi /etc/init.dlmrtgcom 0 seguin te conteudo:/usr/bin/rrntgSalve e saia do arq uivo. D e perm issao de execucao ao arquivo:# chmod +x /etc/init.dlmrtgF inalizamo s a in stalac ao d o MRTG

Instalando 0 SARGPara i ns ta la r 0 s arg d ig it e:# aptitude install sargQuando abrir uma tela pedindo que voce escolha urn tipo de fonte, selecione a que quiser, eu escollri xt tporque existem mais OP90es de personalizacao para as fontes, como isso vai do gosto de cada urn fique avontade.Configurando 0 SARG:Edite 0 arquivo /etc/squid/sarg.conJ com 0 vi.Loc aliz e a l inha access _ 1 0 g , v ai estar assim :access_l og /va rl log s/ squ id /access .l og , a lt er e pa ra :access_log /usrl locaVsquid/varllogs/access. logEsta pronto, caso q ue i ra excluir aIgw na m aq uina dos relat6rios basta colo car 0 ip da m aq uina no arq uivos/etc/squid/sarg.hosts.C aso q ueira g erar relat6 rios com 0 nom e dos usuaries ao inves d o e nd ere co ip ( Se ra mo str ad o 0 enderecoip nos relat6rios caso voce niio configure esta opcao), coloq ue os nom es dos usuaries e seus respectivos IP sneste padrao,Edite 0 arquivo /etc/squid/sarg.usertab como vi .


35/45

17~.lUO.IUU .JU ll~U ruV11\;;,l.192.168.100.20 z e d a S ilv aE assim po r dia nte.Com 0 SARG instalado, finalizam os m ais um a etapa do processo de configuracao do nosso firew all. A p6sfinalizar a instalacao do sistem a quando voce ja estiver utilizando a internet, para gerar relat6rios com 0SA RG basta digitar sarg no prom pt e consultar os logs que estarao dentro da pasta sq uid-reports na raiz doseuapache.

Atuallzando 0 kernelEssa e a parte bizarra e que pode fazer todo service ate aqui ir po r a g u a abaixo, to brincando hehehe,v amos a go ra b aix ar:1. 0 fo nte d o k ern el a tu aliz ad o2. 0 p atc h a tu aliz ad o d o k ern el3. 0 f un te d o ip ta b1 es a tu aliz ado4. 0 patch layer 7 e as defnicoes de protocolos atualizadas para iptab1es.Sabemos que as distribuicoes aplicam seus pr6prios patches no kernel quando vao empacotar umadistribuicao, rras nao encontrei nenhum m irror para apt q ue tivesse a Ultima versao do kernel e 0 Ultimop atch a tu aliz ado, p or ta nto , 0 jeito e confiar no service do Linus Torvalds e baixar 0 kernel na raca, vam ospara 0 kernelorg.Entre em /usrlsrc e faca dow nload do kernel 2.6.19 e os patches:# wget http://www.kernelor~pub/linux/kerneVv2.61linux-2.6.19.2.tar.gz# wget http://www.kernelor~pub/linux/kerneVv2.6/patch-2.6.19.2.gz

A gora faca dow nload do fonte do iptables 1.3 .7, patch layer7 e definieoes:

# wget ht tp :/ /www .net fi lt er .o r~project s/ ip tab les /f il es /ip tab les -l .3 .7. t ar. b :z2# wget http://uiJr.dlsourcefurge.netisourcefurgel17-filter/netfilter-layer7-v2.9.tar.gz# wget http://uiJr.dlsourcefurge.netisourceforgel17-filterl17-protocols-2007 -0 1-14.tar.gzCaso estes enderecos venham a mudar procure no sourcefurge.net que h i estao todos os pacotesdisponiveis para busca. C om todos os pacotes em m aos, vam os com ecar as corrpilacces.C op ie seu a rq uivo de c on fig ura co es de ke rnel atu al utiliza nd o 0 corrando:# cp lbootlconfig-2.6.8-2-386 /bootl.config
http://uijr.dlsourcefurge.netisourcefurgel17-filter/netfilter-layer7-v2.9.tar.gzhttp://uijr.dlsourcefurge.netisourceforgel17-filterl17-protocols-2007/http://uijr.dlsourcefurge.netisourceforgel17-filterl17-protocols-2007/http://uijr.dlsourcefurge.netisourcefurgel17-filter/netfilter-layer7-v2.9.tar.gz


36/45

# aptitude install bnp2 gnp unzipD escom pacte todos os pacotes funtes do kernel, patches, iptables e layer7 na pasta lusrlsrc# gunzip patch-2.6.l9.2.gz# tar xvzflinux-2.6.l9.tar.gz# tar xvjfiptabIes-1.3.7.tar.bz2# tar xvzf netmter-Iayer7-v2.9.tar.gz# tar xvzfI7-protocoIs-2007-0l-l4.tar.gzC rie u rn l ink a po nta nd o p ara 0 d ir et6 rio do k er ne l:# In -s lusrlsrc/linux-2.6.l9 lusrlsrc/linuxE entr e n o d ir et6 rio lu sr ls rc llin ux# cd lusrlsrc/linuxAgor a apliq u e 0 p atc h n o k ern el:# patch -pl < ../patch-2.6.l9.2Agor a apliq u e 0 patch do layer 7 ao kernel:# patch -pl < ../netmter-Iayer7-v2.9lkemeI-2.6.l8-2.6.l9-Iayer7-2.9.patchAplic ad os o s p atc he s, in sta le a lib nc urs es5 -d ev p ara u tiliz ar 0make menu config# aptitude installlibncursesS-devI ns ta la da a lib ncur se s5 -d ev , p od e :f in almente d ig ita r 0 comando m ig ico:# make menuconfig

Configurar 0 kernel e m uito m cil, siga as telas a seguir e veja onde estao escondidos os rn6dulos do layer 7.Networking ---> Ne two rk in g optio ns ---> [*] Network p ac ke t filte rin g (re pla ce s ip ch ain s) ---> IP: Net:fi lterConfiguration ---> Ativar 0 laye r 7E aqui que os outros artigos que ja Iierram , se voce vier direto aq ui nao vai achar layer7 nenhum , m esm oa tiv an do c on ne ctio n tra ck in g, v eja a fo to :


37/45

._ _ '1 1I I_F."~._ .. .._ ~ r" ", ,' .l 1.. III I . ... .. .. rrm:'[I_lDWIiIl.f;~ ~i,_"_,u: ~ ~ 'f . .a II J!1. IU .: Il iI :'U' :' 1~lII!Ir rt; ii . ..~.Lliiillliil ."r~

.i.I. ~~~~~'Iof! U_-=. . rTI I1" ! I I 'p.~ ..... .,.. IUID.IIIIU..u.. 1_ .H. :TT:I!'._I ...!jI...IE !a !i!I ,~ I !'i . . ._

"1!I~1'1IJIIJ1IIIIIIZ~1.,.z::u ~ __ I Ii_"" I'~r~-'il!~ . , . . 1.. 1lI 1...:am-.. IliPE"U..-r1l.l..1 II'III'i. . E l i : :. t _. .- ~ ... ~~

t filte rin g (rep la ce s ip ch ain s) ---> Coreip_tables)

. g ora sig a e ste c am in ho :I etworking ---> Network in g o ptio ns ---> [ O J N etwork pacetfiher Configuration ---> N etfilter X tables su pp ort (req uired ._1

-1I r.II~1 '1II:JBn- __..... ....-n.:;m. I~r_1 iL .. I II 1 ::1 :: I_ r~ J . lI II I _ . f . t i " l ' L _ . .L . . .. . . , . . ,_"II I _uu lI'~w -..Lirn '.~l'."''''', 11I,t_!!.I '

olD uubr ~ :n~Iii"; . , . , . t " " ~;:IIiI"": .....-:~u JI .........I II ID !~ .~. " " ~ m I I ~.-:t: ._. -.d !ll!:!jllDI"Lo'.lI ... In ....i:iII-If'iIT~. n. oLiT .. ' miL" .~. .. ,i "" . -...11" "_"I;j.I:-!I!!I!:I!.""" ! I !I I I! __ rCI ~,_....,~I~~.~.+-~- j ...-.J _ ...,.~...:.LI'!t""=I!~

. . . . . .. 1 ! . i' o I !t . -. . . . ""M . " "! I I" I I! i Lt . . . . . . . ~.~~""~~EiI lIDI ..I~'__--'-illri......... ...,~.,..---~~-Ip"JIrrr-.-.. ........!I.lj"~p+!I- ~ . ~ ._-ar :~

- 1 I L I :1 ! ' I! ' i. ' t_,_. "JI'I _.l!!- ......ii'~F--.. ..... rN ,I,b""...:L"JI._.-:w~t'" ~ __ I! il=lJtMW. ti:l:ri.:liI!Hah. i 1 _ . !iPi-'jIi"IIl I.. ..,;:IILJ..LL... -..:.UL~['PEIrl::~e::r:::~~

A tiv ad os o s m6d ulo s, selecio ne ex it e p ressio ne , ag ora sim , v a ate N etfilter C on fig uratio n

Networking ---> Netwo rk ing options ---> [*] Network p ack et fih erin g (re pla ces ip ch ain s) ---> IP : Net fiherConfiguration ---> IP ta ble s s uppo rt (r eq u ir ed fo r f ih er ingima sq lNAT) ---> L ayer 7 m atch support (EXPERIMENTAL)[*] L ayer 7 d eb ug gin g ou tp utE m agiea de novo, hi esta 0 layer 7 esp eran do ser ativ ad o.


38/45

~;F_""lo~T~--""~-:11'] _ I!. _.)1 .,-' ~~., !~ I~l'l __a.... ~~ '1!IU1.II 1l:Iif.~1Li.- :jI IIfIiUorfL ~" .... , I.~ ... f .... L lp:!ii#.:I.ii~. . . . r r : J . . . _ _ 1 . .. . .. .. . tdJ "~I~t. . . p . 11 til I D II _ _ .;r;,.."oI ,F I .,"!,~!I M II;;.u:dk'lIib~'11 TII ! '.-.mp. ~t"-" .IiI:Ii:'i:III!ID"LI:Ii:.l~

1 I J I: t . . . ., . ,. . . . ~...+irill UI In-I _rii Lfnl.r~J.1i1II: .uJI JI2UIIIIUIL D!P~ Ir~h]1ii'M'1i.L:~: : ~:'r~"':":';--~_~:":~=~Uli.r1 .jo J.... _ ..;rwrl.a ~ r _ ..:JErM f![";:r.llllllll"J'T.!.lir1lE I ' ~w.-=nII

I ~iva toda a i!le~..~~'M, um dia voce pode querer estudu kernel Viii f i lo:~~~rl .kJ, papo furado de quem tern med! "'u :1:11'1._ rfil...... ; - I , ; . _ ~lementando;umas:~oes'legais ;)

1 : : : ; J ~ : ' : : ' ~~ : ~.iI WII.~.-.:fID"1l'i -:-rn I~_I - .proveite que esm ai ecWtilllo 0 kernel para selecionar 0 seu pli

ara que servem ou precisar deles,ah masde compilar 0 kernel, estamos apenas

essador corretamente porque kernel comomo mn386?

Entre em Processor type and features ---> Processor fumi ly (386) ---> escolha a configuracao correta paraseu processador, ap6s selecionar va selecionando exit are aparecer a janela pedindo para salvar aconfiguracao do kernel, selecione YES e pressione .Segue uma tela da seecao de processadores:

L . .; r, :: p w _ , . 1 I i : .. .. - .. _..nn --.. - IL,.ir.III,".iwI! u....... 1 ~HIpi. " _ . I i I I I I . '1 .. , .. ill. I ~.. ir ~ioo~ 'it. """!i.w ~I*ii:i i.. t.. u..... Q , " " ~ 1~ !JIII . . 1 ii II II _ ~IJ IJ ~,"",~~-:I. II , .; .. .: 1_ , .- ;I I I i i I I I I l . c . . _u.-..rJ.

I J , _ .. , : : ~ . . . . _111~1I-...::c::L11K'JII ~m1u::a .. -;.. I! - . ' - - - - ! . I I~I:--..u _La.

~"i.n~~II I I!!I!lII ~I I~ 11111. 1 !I P: r . . ~ II _ _ ~.. I;~I!II"II 1own .. 1d~I;_~ mll i:.~ _..:L L..:. "I

1 " : 1 !:k'~ ~ _~ .. ~ .. II~''I lR-I.l'" .tUf ............ n......_ I1 J .t: ~L8o.,"'_il II-tll:1 ! ! J . f ! i I o i I I ' " ' l' JI II II II . .. .. .. .. . ~ ~.~r~ .... !llLI..u::.-~nrT..... J..II~~ ~ .: ' I . r _oo"_ - I!'" tr ~ r ....!ItI. r.. ~ j3I'W~:~~~-- ~~~~::=~~~IJI p,/' . .. .. .. . .:rII ...... 1 __ r~i..... II ii I __ ::II~ ~ - - = a .~ ~ .~;!j~ ""_.~r...rr-~ l J"uJi. ~I I.~ __ .~ _~ I" ,_ ... ,:r'I:I!f.r.inr.r,u,.; IK;IIIn r: L I.... ! !l lRl I t . .. ..1"1iU ~ 1 " " " " 1 i I I I Ip I _ . .~ ~~1=r~~~f , ' I " J I~ ~ LlI ...;..~ .. :llll!%n:nJ[iI "~ ........ !liftl_.. ~!..w"'"'.l1li"011 1 0 1 ~.~,.n!>l l " l ! '~r.t~ .,::-.::.....~~ _ .. i .a _ 1 i R I . M I l! ~ _111

Pronto para compilar 0 kernel? Sim?E nada, ainda fulta instalar 0 kernel-package, com softwares que vao ser usados para compilar 0 kernel

# aptitude install kernel-packageAp6s instalar 0 kernel-package, inicie a corrpilacao do novo kernel:


39/45

# make-kpkg -initrd kernel_imageV ai aparecer um a m ensagem dizendo para voce desistir da conpiacao e coisa e tal, co lo qu e N e p ro ssig a.Agora vo1t eu rn d ir et6r io :# cd ..Voce d ev e estar em /u sr/src, ex ecu te:# dpkg -i kernel-image-2.6.l9.2_lO.OO.Custom_i386.debApo s in stalar a n ov a im ag em d o k ern el ap licarem os 0 patch no iptables, entao vam os para a proxim a etapa.

Instalando 0 iptablesAplique 0 p atc h d o ip tab le s, d ig ite :# cd /usr/src/iptables-l.3.7# patch -pl < .InetfIlter-layer7-v2.9/iptables-layer7-2.9.patch# chmod +x extensions/.layer7-test# make KERNEL DIR=/usr/srcllinux# make install KERNEL DIR=/usr/srcllinuxA cabam os a configuracao do iptables, agora tem os q ue descom pactar as definieoes de protocolos do layer7, va are a pasta onde voce salvou as defnicces e execute:# tar xvzfI7-protocols-2007-0l-l4.tar.gzEntre n a p asta q ue v oce descomp acto u,# cd 17-protocols-2007-0l-l4e execu te :# make installEsta pronta a instalacao do iptables e dos protocolos para layer 7.

o script de iptables e algumas regrasQuando 0 s is tema voltar , e ho ra d e v erificar se esta tu do o k, d ig ite:# modprobe ipt_layer7'T L l_n


40/45

l'oj en num erro OK{

Se sim , vam os criar urn script de iptab1es que perm ita conexao rem ota pela ethO (placa internet) ou nao,redirecionam entos uteis para alguns services que voce pode querer rodar na rede interna para 0 rmmdocomo liberar um web server ou um term inal com VNC ou RDP da rede interna, bloqueio de M essenger eo utro s d o tip o, tem os q ue red irecio nar as so licsacoes h ttp p ara 0 squid, en fim, 0 basi co pa ra sobrev ivenc ia .C rie um arq uiv o com nome firewa ll d en tro d e /e tc /in it.d# vi /etc/init.d/frrewallAdicione 0 seguinte conteudo dentro do script, vou com entar todas as linhas para entendim ento, nao enece ssar io de ixa -l as comen tadas .

##################################################### Aqu i eu zero reg ras carreg ad as an terio rm en te (caso q ueira co nsu lte o s p aram etres com 0 comando' 'iptables --help I more" sem as aspas)iptab1es -Fiptables - t nat - Fip ta b1 es - t man gle - Fiptab1es -Xiptables -Z##################################################### Aqui eu defino as politicas de seguranca das CHAINS INPUT, OUTPUT e FORWARD, sem pre deixo 0FORWARD liberado porq ue ninguem de fora vai conseguir graca m esm o, existem pessoas q ue optam pelobloq ueio total e lioeracao do q ue usaiptables -P INPUT D RO Piptables -P OUTPUT ACCEP Tiptab1es - P FORWARD ACCEPT# C arreg ar o s m6d ulo s, tem os rrru itas O P9 0es ja q ue comp i1 amos to do s o s m6d ulo s d o ip tab 1esmodp ro be ip tab le _ n atmodp robe ip ta ble _ filt ermodp ro be ip _ ta ble smodp robe ip_c onn tr ac kmodp ro be ip _ c on ntrac k _ ftpmodp ro be ip _ n at_ ftpmodp robe ip t_MASQUERADEmod pro be ip t_ LOGmodp robe ip t_ la ye r7## C hains -j LOG do iptables #### Aqu i eu jo go n o /var/lo g/syslo g to das as co nex oes q ue en trarem p ela ethO(rmmdo ) realizad as n a p orta 8 0da minha maq uin a, meu ip q ue nte fic ticio e 200.00.200.200


41/45

!pLi:lUlI;;;;:>l1li:U -n.r~~VU .l.l1'1U -1 I;;U1V-U ~VV.~VV.~VV.~VV -1' U';l' -111l~1' --Ul'VH OV -J LVU --1V!,;-p refix ="ACESSO WEB "

# Aqu i eu jo go n o /var/lo g/syslo g to das as co nex ocs q ue en trarem p ela ethO (rrnmd o) realizad as n a p orta 8 0da minha maq uin a, meu ip q ue nte fic ticio e 200.200.200.201, e util caso v oce ten ha d ois w eb serv ersrodando na rede interna, caso a sua conexao com 0 segundo ip esteja em outra placa de rede coloque ainternee da placa respectiva, ex: eth1. N o m eu caso com o tenho urn load- balance de links minha maq uina aethO resp on de p elo s d ois lin ksiptables -t nat -A PREROUTING -i ethO -d 200.200.200.201 -p tcp -m tcp --dport 80 -j WG --log-p refix ="ACESSO WEB "# Aqu i eu jo go n o /var/lo g/syslo g to das as co nex oes q ue en trarem p ela ethO (n nmdo ) realizad as n a minhaporta 21, no caso de voce ter urn servidor FT P na rede interna, caso voce queira utilizar e sta opc ao eex trem am en te in teressan te b lo qu ear esse acesso p or ip , p ois, sab emos q ue 0 serv ice F TP en via as sen hasno m odo c1eartype, e se alguem estiver sniffando a rede pode capturar a senha e nesse caso, se 0 ip doin div id uo n ao estiv er n a lista d e acesso v oce p od e en viar 0 usuario e senha do seu servidor por e-m ail para 0mundo q ue ninguem vai conseguir conectar m esm o, recom endacao, nao faca isso porq ue vai ter m uito negotentado a conexao. A lem disso, no caso de urn portscan ninguem vai saber q ue existe urn servidor FT Pdisponiveliptables -t nat -A PREROUTING -i ethO -d 201.63.116.155 -p tcp -m tcp --dport 21 -j WG --log-p re fix ="ACESSO FTP "

# C om esta regra eujogo no log /var/log/syslog todas as conexoes que sairem do host 192.168.100.32 coma s tr ing MASCARAMENTO, e u t i l p ara d esco brir q uan do alg o n ao esta fim cio nan do , su po nha 0 s ite d acaix a, se ele sair p elo sq uid sab emos q ue as ferram entas n ao fu ncio nam , en tlIo vo ce p od e lib erar a rn iq uin acom urn PO STROUT ING ever aonde ela esta conectando-se para posterionnente liberar comPO STROUT ING som ente os enderecos necessaries para q ue sua estacao consiga sucesso na conexaoiptables -t nat -A POSTROUTING -s 192.168.100.32 -d 010 -j LOG --lo g-p re fix =" MASCARAMENTO"## CHA IN IN PU T, define as conexoes que serao aceitas, com o ela esta setada para D RO P (-P IN PU TDROP) 0 padrao e bloq uear tudo, ou seja, nada vai funcionar dire ito se nao for dito 0 contrario# E stabelece relacao de confanea entre estacoes da rede local, esta regra diz q ue todas as conexoes q ueen trarem p ela eth 1 ( red e lo cal) d e uma maq uin a d a classe .1 00 .0 d ev em ser aceitas sem restrico esiptables -A IN PU T -i eth1 -s 192.168.100.0/24 -j ACCEPTiptables -A INPUT -i eth1 -m state --state NEW -j ACCEPTiptables -A IN PU T -m state --state ESTA BL ISH ED ,R ELA TED -j A CCE PT# Aqu i e u lib ero 0 INPU T na porta 80 do m eu firew all, e o brig at6 ria caso v oce ten ha u rn w eb server n a red ein tern a q ue p recisa ser acessad o p ela n nmdo, co nsid eran do u rn w eb server sempre atu alizado , as ch an ces d emvasao n esta co nfig uracao sao q uase zero , esto u co nsid erand o q uase zero p orq ue sempre v ai ex istir alg uempara q ueb ra r 0 paradigma


42/45

iptables -A INPUT -i ethO -p tcp -m tcp --dport 80 -j ACCEPT# L ibera acesso ao service FT P, com a regra crua assim voce esta liberando 0 acesso do mmdo a porta 21do firew all, nao aconselho usar FT P, se fur possivel sem pre use SFT P, ou libere som ente para ipsconfiaveis, q ue voce sabe de q uem e pode ir at e 0 cara e encher ele de porrada se :fizeralgum a m erda nose rv er ;)iptables -A INPUT -i ethO -p tcp -m tcp --dport 21 -j ACCEPT# Se voce suprim ir a regra acim a e colocar essa em seu lugar, v oce d efin e q ue somen te 0 host10 0.10 0.100 .10 0 q uando sua conexao entrar pela ethO podera acessar 0 s erv idor FTPiptables -A INPUT -iethO -s 100.100.100.100 -p tcp -m tcp --dport21 -j ACCEPT# L ibera acesso na porta 3389 M S-R DP, esta e a regra caso voce q ueira liberar 0 acesso de alguem nainternet a su a red e in tern a atrav es d o MS -RDP (vulgo Term in al S erv ice s d o W i nd ow s)iptables -A INPUT -i ethO -p tcp -m tcp --dport 3389 -j ACCEPT# Essa e de lei, libera 0 a ces so ao SSH , c ru a a ss im voc e v ai c on se gu ir v is ualiza r m ilh ares ten ta tiv asfracassadas ao seu SSH , com o ja vim os no inicio do artigo, fechar 0 acesso do root via SSH e tarefaobrigat6ria ja que voce vai querer enviar a senha de root da sua m aquina por e-m ail spam para 0mmdo quem esm o assim ninguem vai conseguir acesso, m as N AO FAC;A IS SO hehehe.iptables -A INPUT -i ethO -p tcp -m tcp --dport 22 -j ACCEPT# Mais seg uran ca ain da para S SH , lib ere somen te 0 IP rem oto da sua casa para acesso ao SSH, existe urnproblem a com essa regra, se voce estiver de feras e p recisar co nectar ao firew all n em v oce v ai co nseg uiriptables -A INPUT -i ethO -s 100.100.100.100 -p tcp -m tcp --dport 22 -j ACCEPT# Esta e p ara fech ar n ossa co nfig uracao d e IN PUT, ap6 s lib erar 0 q ue q uiser fech e tu do q ue ten tar acessarsu a red e atrav es d a in tern et, esta l inha nega tudo q ue nao se classificar nas regras acim aiptables -A IN PU T -i ethO -j R EJ EC T## CHAIN FORW ARD, mesmo coma police de FORW ARD liberada (-P FORW ARD ACCEPT) en ece ssa rio in dic ar p ara o nd e 0 FORWARD sera feito ou os pacotes vao se perder pois, nao sabem 0camin ho :)# Libera 0 FORWARD na ethO para todas as tentativas de conexao na porta 80 do servidor w ww (w eb),ca so v oc e ten ha d efin id o 0 INPUT para WWW esta regra e obrigat6riaiptables -A FORWARD -i ethO -d 200.200.200.200 -p tcp -m tcp --dport 80 -j ACCEPT# Libera 0 FORWARD na ethO para todas as tentativas de conexao na porta 80 do servidor wwwl (web),ca so v oc e ten ha d efin id o 0 INPUT para WWW esta regra e obrigat6riaiptables -A FORWARD -i ethO -d 200.200.200.201 -p tcp -m tcp --dport 80 -j ACCEPT


43/45

# Libera 0 FORWAR D na ethO para 0 serv ice FT P d o servid or www , caso vo ce ten ha defin ido 0 INPUTpara FT P esta regra e obrigatoriaiptables -A FORWARD -i ethO -d 200.200 .200 .200 -p tcp -rn tcp --dport 21 -j ACCEPT# Libera 0 FO RWARD na porta 3389 (necessario para conexoes R DP rnesm o com IN PU T liberado), casov oc e te nh a d efin id o 0 INPUT -j ACCEPT para a porta 3389 esta regra e obrigatOriaiptables -A FORWARD -i ethO -d 200.200 .200 .200 -p tcp -rn tcp --dport 3389 -j AC CEPT# Bloqueia 0 FO RWARD de todas as conexoes do rressenger antes q ue ele chegue nas regras de liberacaoip tables -A FORWARD -rn layer7 --17p ro to rnsnm essenger -j D RO P# Bloqueia 0 i rnb loqueavel B i t Torr en tip tables -A FORWARD -rn layer7 --17p ro to b ittorrent -j D RO P## CHA IN PO STRO UTIN G e PREROU TING ## NAT ### Aqui e urn pulo do gato, suponha que voce tern um a aplicacao w eb q ue 0 rn un do a ce ss a, su as maq uin asd a red e in tern a tam b ern acessam mas, o bv iam en te v oce n ao v ai co nsumir su a b an da in tern et :fu z.en doasco nex oes d a red e in tern a sairern p ara v oltar p ara su a p ro pria red e, em ao v oce red irecio na in tern am en te# R edirecio na to das as tentativ as de co nexao d a rede lo cal a www.meuservidor .combrpara os servidore slocaisip tables -t nat -A PR ER OUTING -s 192.168 .100 .0 /24 -d www.meuservidor .combr-p tcp -rn tcp -jDNAT --to 1 92 .1 68 .1 00 .2 00# R edirecio na to das as tentativ as de co nexao d a rede lo cal a wwwl.meuservidor .combriptables -t nat -A PR ER OUTING -s 192.168 .100 .0 /24 -d www l.m euserv ido r.com br-p tcp -rn tcp-jDNAT --to 1 92 .1 68 .1 00 .2 01# A qu i serve para vo ce definir para o nd e v ai um a conexao q ue en trar pela internet p elo M S-RDP , esco fu a am aq uina W in dow s com 0 serv ice e red irecio ne p ara ela, v oce p od e d efin ir v arias m aq uin as co lo can do umaport a d if er en te .ip tables -t nat -A PR EROU TIN G -iethO -p tcp -rn tcp --dport 3389 -j D NA T --to 192.168 .10 0.30# T od as as con exo es da estacao d a rede cornip 19 2.16 8.1 00 .1 0 nao atravessarao 0 proxy SQ UID paranavegar n a i nte rn etip tables - t nat -A PR ER OUTING -i ethl -s 192.168.100.10 -p tcp -rn tcp -j A CCEPT# E sta regra n ega acesso na p orta 443 (https) do orkut, tern neg uin ho q ue se ach a esperto digitand ohttps:/lwww.orkut.comiptables -t nat -A PR ER OUTING -s 192.168 .100 .0 /24 -d www.orkut.com-p tcp -rn tcp --dport 443 -j
http://www.meuservidor.combrpara/http://www.meuservidor.combr-p/http://https/lwww.orkut.comhttp://www.orkut.com-p/http://www.orkut.com-p/http://https/lwww.orkut.comhttp://www.meuservidor.combr-p/http://www.meuservidor.combrpara/


44/45

DROP# T odas as conexoes da rede local a porta 80 serao redirecionadas para a porta do proxy (PR OXYTRANSP ARENTE )

iptables -t nat -A PR ER OUTING -s 192.168 .100.0/24 -p tep -m tcp --dport 80 -j REDIRECT -- to -po rt3128# R edirecio na to das as co nex oes entran tes na po rta 80 da eth O p ara 0 servidor WWW, s e v oc e d efin iuIN PUT e FO RWARD da internet para a rede interna e n ecessario d efin ir p ara o nd e o s p aco tes irao ap ose ntra rem ou e le s se p erd era oiptables -t nat -A PR ER OUTING -i ethO -d 200 .200.200.200 -p tcp -m tep --dport 80 -j DNA T --to192.168.100.200

# R epete a regra acim a para o utro servidor, caso ex istaiptables -t nat -A PR ER OUTING -i ethO -d 200 .200.200.201 -p tcp -m tep --dport 80 -j DNA T --to192.168.100.201# R edirecio na to das as co nex oes entran tes na po rta 21 da eth O p ara 0 servidor WWW, s e v oc e d efin iuIN PU T e FO RWARD da internet para a rede interna tarm em e n ecessario esp ecificar p ara o nd e irao o sp aco tes o u eles se p erd eraoiptables -t nat -A PR ER OUTING -i ethO -d 200 .200.200.200 -p tcp -m tep --dport 21 -j DNA T --to192.168.100.200# NAT , essa n em precisa falar ne, libera a g alera pra fazer 0 q ue b ern e nte nd eriptables -t nat -A PO ST ROUT IN G -s 192.168 .10 0.0 /24 -d % -jMASQUERADE###############################################################

F in aIiz ad a a c ria ca o d o sc rip t, s alv e e s aia , v amo s to rn a-lo e xe cu ta ve l e c olo ca -lo n a in ie ia liz ac ao :# chmod +x firewall# vi /etc/init.dIbootmisc.shAd ic io ne a o fin al d o a rq uiv o 0 seguinte conteudo:# lniciaIizando 0 Firewallif[ -x /ete /in it .d / fi rewall ]; then. /etc/init.d/firewallfi

Epronto.Agora e reboot na m aquna e correr pro abraco, dentro do diretorio /ete/l7protocols voce vai poder vertodos os pacotes que 0 layer7 pode bloquear, no site do layer7 ha um a tabela com cores que definem se 0


45/45

protocolo e bern suportado, m edio ou ruim, e assim por diante, eu vou ficando por aqui, agora voce pode irare um a LAN HOUSE tentar urn nm ap da vida na sua rraquina, veja 0 q ue acontece, urn sim ples scan e elevai dizer q ue a m aq uina nem existe, vai ser preciso m ais do q ue pO e - t insane para com ecar a brincadeira.

Consideracaes fmais e fontes consultadasPara fnal izar 000 vou ficar querendo nem dando creditos para ninguem porque instalei atraves dos m eusm etodos sem m e basear em urn how- to da vida, urn com ando ou outro consuhei na internet e algum as fontesforam uteis por ja estarem prontas para faciIitar 0 service, com o eu disse no inicio do arquivo, isso e urnFIREW ALL M iNIM O que esta ai rodando, para falarmos em ambientes maiores nruita coisa deve serim plem en tad a em seg uran ca, a p rim eira d elas e ler os funtes de cada softw are utilizado ou voce vai confiarem q ualq uer u rn q ue escrev eu 0 s oftw are , v ai s ab er 0 q ue ele co lo co u l : : i no m eio do funte, eu num conhecoe cara, e voce?As criticas sao sem pre bern vindas espero que hajam nruitas para eu saber onde estao as falhas quandofa lamos em firewall mfnimo.Links q ue c on suhe i:

httD://www.vivaolinux.combr httD://www.br-linux.org httD://www.googie.combr httD://www.sourceforge.net ht tD: //17- fiher .sourcefurge .ne t/ httD://www.freshmeat.net httD://www.debianorg http://www.net:filter.org httD://www.kernelorg

Abracos

httD://www.vivaolinux.combr/arti&>/Instalando-urn-firewall-minimo-em-DebianVo lta r p ara 0 site
http://httd//www.vivaolinux.combrhttp://httd//www.br-linux.orghttp://httd//www.googie.combrhttp://httd//www.sourceforge.nethttp://httd//www.freshmeat.nethttp://httd//www.debianorghttp://httd//www.kernelorghttp://httd//www.kernelorghttp://httd//www.debianorghttp://httd//www.freshmeat.nethttp://httd//www.sourceforge.nethttp://httd//www.googie.combrhttp://httd//www.br-linux.orghttp://httd//www.vivaolinux.combr

Documents

Instalando um firewall mínimo em Debian [Artigo]