ubuntu commandos

8/7/2019 ubuntu commandos

1/19

Configurando a rede na linha de comando no ubuntu e no debianPostado emLinux (OS) Network(localhost)Por Julio em 5/02/08

Esse tutorial eu vou explicar como voc pode configurar a rede no ubuntu todos os sabores (K) (X) (E), e debian

todos os sabores. Irei mostrar os principais arquivos de configurao e os principais comandos de rede.

Lembrando que no debian voc deve substituir o comando sudo pelo su -c comando dentro das aspas .

O linux a sua rede funciona no modo texto, diferente do Windows que modo grfico , e sua configurao fica dentro

de arquivos texto, no qual voc pode manipular esses arquivos de acordo com a sua finalidade, importante para

qualquer usurio de linux saber como se pode configurar uma rede em modo texto, pois pode existir situaes que s

vai existir o modo texto.

Primeiro vamos saber os principais Arquivos da rede.

Todos os principais arquivos de configurao do Linux fica dentro do diretrio /etc .

O arquivo resolv.conf , esse arquivo fica o endereo de IP do seu servidor de DNS . bom se ter um bom servidor de

DNS pois quando voc usa um servidor ruim sua rede pode ficar Lenta , voc pode encontrar no site do abusar alguns

endereos de servidoreshttp://www.abusar.org/dns.html . No meu caso estou usando um servidor de DNS local na

minha rede.

/etc/resolv.conf seu contedo nameserver 192.168.254.40

O arquivo hosts , fica a informao do nome da sua mquina e voc pode colocar um nome de uma mquina dentro

da sua rede que voc pode criar um apelido para ela , e acessar ela no seu navegado.

/etc/hosts

Contedo

127.0.0.1 localhost

127.0.1.1 xjulio.com julio-not

192.168.254.40 xjulio.com www.xjulio.com

# The following lines are desirable for IPv6 capable hosts

::1 ip6-localhost ip6-loopbackfe00::0 ip6-localnet

ff00::0 ip6-mcastprefix

ff02::1 ip6-allnodes

ff02::2 ip6-allrouters

ff02::3 ip6-allhosts

O arquivo interfaces fica dentro do diretrio /etc/network, esse arquivo armazena a configurao das suas interfaces

de rede, nele voc manipula a forma que sua rede se comporta , voc pode escolher em deixar sua interface como

dhcp ou como ip sttico , e tambm pode criar ip alias . IP alias uma apelido que voc pode dar a sua interface de

rede na qual voc pode atribuir outros endereos de rede, voc pode criar quantos ip alias desejar.
http://www.xjulio.info/blog/configurando-a-rede-na-linha-de-comando-no-ubuntu-e-no-debianhttp://www.xjulio.info/blog/category/linux-os-networklocalhosthttp://www.xjulio.info/blog/category/linux-os-networklocalhosthttp://www.xjulio.info/blog/category/linux-os-networklocalhosthttp://www.abusar.org/dns.htmlhttp://www.abusar.org/dns.htmlhttp://www.abusar.org/dns.htmlhttp://www.xjulio.info/blog/category/linux-os-networklocalhosthttp://www.abusar.org/dns.htmlhttp://www.xjulio.info/blog/configurando-a-rede-na-linha-de-comando-no-ubuntu-e-no-debian


2/19

/etc/network/interfaces

O contedo do meu arquivo.

auto lo

iface lo inet loopback

address 127.0.0.1

netmask 255.0.0.0

iface eth0 inet static

address 192.168.254.55

net 192.168.254.0

netmask 255.255.255.0

gateway 192.168.254.254

Os principais comandos de rede so:

ifconfig , ifup, ifdown, route, iwconfig , dhclient.

Usando o dhclient para pegar ip por dhcp.

sudo dhclient eth0

Atribuindo um endereo de ip a uma interface de rede usando ifconfig .

sudo ifconfig eth0 192.168.254.50 netmask 255.255.255.0

Atribuindo um ip alias a uma interface de rede usando ifconfig, no lugar do 1 voc pode colocar qualquer nome ou

numero.

sudo ifconfig eth0:1 192.168.0.30 netmask 255.255.255.0

Listando as interfaces existentes usando ifconfig .

sudo ifconfig

Derrubando uma interface usando ifconfig.

sudo ifconfig eth0 down .

levantando uma interface usando ifconfig.

sudo ifconfig eth0 up .

Agora usando o ifup e ifdown.

Derrubar todas as interfaces e seus endereos de ip.

sudo ifdown -a

Levantando todas as redes de acordo com os dados do arquivo /etc/network/interfaces


3/19

sudo ifup -a .

Agora usando o comando route. O comando route define a rota ou a interface padro da sua placa de rede.

Para saber as rotas existentes na sua maquina use esse comando.

netstat -r

Atribuindo o gateway padro da sua rede usando o comando route .

sudo route add default gw 192.168.254.254

Atribuindo uma interface como padro.

sudo route add default ppp0

Agora vamos configurar a nossa rede usando o arquivo /etc/network/interfaces

Configurando a rede como DHCP padro na interface eth0 .

sudo nano /etc/network/interfaces

coloque

auto eth0

iface eth0 inet dhcp

Configurando a interface eth0 com ip esttico.


#coloque de acordo com sua rede.

auto eth0

iface eth0 inet static

address 192.168.254.55

net 192.168.254.0

netmask 255.255.255.0

gateway 192.168.254.254

Configurando sua rede como ip alias esttico .


#coloque de acordo com sua rede.

auto eth0:1

iface eth0:1 inet static

address 192.168.0.55

net 192.168.0.0

netmask 255.255.255.0

gateway 192.168.254.254


4/19

Depois de configurar o arquivo derrube as interfaces.

sudo ifdown -a

Depois levante .

sudo ifup -a

Para reniciar a sua configurao de rede existe esse comando.

sudo /etc/init.d/networking restart

Fonte:http://www.xjulio.info/blog/configurando-a-rede-na-linha-de-comando-no-ubuntu-e-no-debian

s configure 1 gateway... o da eth0

talvez tenha faltado a regra de mascaramento no iptables

iptables -t nat -A POSTROUTING -j MASQUERADE

faca os testes com sua firewall desabilitada

se nao der certo,

qual o ip do modem?qual dns esta usando no server e nas maquinas?

vlw

Em Tera 05 Setembro 2006 20:27, Ricardo Duarte escreveu:> Tentei fazer isso que voc falou e no consegui.>> Qual ser o gateway do eth1?>> O /proc/sys/net/ipv4/ip_forward j estava com o valor 1.>> Segue abaixo o meu /etc/network/interfaces> -->root em zeus:~# cat /etc/network/interfaces> # The loopback network interface> auto lo> iface lo inet loopback>> # The primary network interface> auto eth0> iface eth0 inet static> address 192.168.1.2> netmask 255.255.255.0> network 192.168.1.0> broadcast 192.168.1.255> gateway 192.168.1.1>> # The secundary network interface> auto eth1> iface eth1 inet static
http://www.xjulio.info/blog/configurando-a-rede-na-linha-de-comando-no-ubuntu-e-no-debianhttp://www.xjulio.info/blog/configurando-a-rede-na-linha-de-comando-no-ubuntu-e-no-debianhttps://lists.ubuntu.com/mailman/listinfo/ubuntu-brhttp://www.xjulio.info/blog/configurando-a-rede-na-linha-de-comando-no-ubuntu-e-no-debianhttps://lists.ubuntu.com/mailman/listinfo/ubuntu-br


5/19

> address 192.168.0.1> netmask 255.255.0.0> network 192.168.0.0> broadcast 192.168.0.255> gateway 192.168.1.1>

> --> Ricardo Antonio Duarte>ricardo em ricardoduarte.com>http://ricardoduarte.com/>> On 05/09/06, hexa wrote:> > coloque as duas interfaces em redes diferentes, por exemplo:> >> > eth0 na rede 192.168.1.0/24> > eth1 na rede 192.168.0.0/24> >> > para ser mais claro,> >

> > supondo que o ip do modem seja 192.168.1.1, configure a eth0 parao ip> > 192.168.1.2 e faca com que o gateway desse server seja o modem> >> > supondo q sua rede interna seja 192.168.0.0/24 e que o ip192.168.0.1> > ainda nao esteja sendo usado... configure sua eth1 com o ip192.168.0.1> >> > habilite o roteamento (echo 1 > /proc/sys/net/ipv4/ip_forward)> >> > e faca com que o gateway de suas estacoes seja o server(192.168.0.1)> >> > vlw

Em mais um post para compartilhar informaes com internautas, explicarei para vocsde forma simples e didtica como utilizar o Ubuntu Linux Server 6.10 para levantar umservidorproxy seguro em menos de duas horas. A idia surgiu de um situao real, oservidor proxy da empresa onde trabalho estava comeando a dar problemas (nohardware), e travava direto. Como a instalao j tinha quase trs anos, achei melhoratualizar tudo num sistema novo do que s trocar o HD de computador.

E, como eu j tinha baixado a ISO do Ubuntu Server para testar, s precisei tomarcoragem, pegar um computador novo que estava sobrando e arregaar as mangas.Depois de mais ou menos duas horas (desconte a alguns minutos de download), osistema j estava prontinho, s faltando uns acertos que poderiam ser feitos com ele emproduo.

Percebam duas coisas antes de comear a ler: 1) no h nenhum segredo no que estarsendo relatado, todas as informaes podem ser encontradas nas documentaes oficiaise pela internet. 2) No me considero expert ou guru do Linux, ento podem haver vrioserros nos processos relatados aqui (muito embora o servidor esteja funcionando muito

bem, obrigado). Eu aceito de bom grado sugestes e comentrios sobre os passosseguidos, mas no vou aceitar comentrios do tipo LOL, seu noob!. Pessoas que
https://lists.ubuntu.com/mailman/listinfo/ubuntu-brhttp://ricardoduarte.com/https://lists.ubuntu.com/mailman/listinfo/ubuntu-brhttp://http/www.jacotei.com.br/mod.php?module=jacotei.pesquisa&texto=servidor&catid=97&af=2570http://www.jacotei.com.br/mod.php?module=jacotei.comparacao&prodid=170968&catid=206&af=2570https://lists.ubuntu.com/mailman/listinfo/ubuntu-brhttp://ricardoduarte.com/https://lists.ubuntu.com/mailman/listinfo/ubuntu-brhttp://http/www.jacotei.com.br/mod.php?module=jacotei.pesquisa&texto=servidor&catid=97&af=2570http://www.jacotei.com.br/mod.php?module=jacotei.comparacao&prodid=170968&catid=206&af=2570


6/19

insistam em fazer isso tero cncer genital.Passo 1 - Preparando o Computador

Primeiramente, voc deve comear pela parte que chuta: examine o hardware do seunovo servidor, e dimensione-o para suas necessidades. Ou seja, no configure um P100

com 16MB de RAM para servir uma empresa com 200 funcionrios, nem compre umP4 de ltima gerao e 1GB RAM para servir aquele escritrio com 6 funcionrios.

Leve em conta tambm que sero instalados vrios servios adicionais (e opcionais)alm do squid que tomaro conta dos recursos da mquina. Memria essencial aqui.No meu caso, peguei um Sempron 2600+ com 512MB num PCChips A31g que tinhaacabado de chegar. Isso, para distribuir internet para 50 computadores, d e sobra, mas aidia justamente essa, ter uma boa folga no uso. Lembre-se tambm que seronecessrias duas placas de rede. Pessoalmente, no recomendo o uso da placa onboard,mas fica ao critrio de vocs.

Agora, antes de comear a instalar o sistema, entre no SETUP e desabilite TUDO aquiloque no ser usado: som onboard, usb, modem, portas seriais e paralelas, e o que maisfor possvel. Com isso, conseguimos um pouco mais de segurana (atravs de qualquerporta usb ou equivalente), confiabilidade (com menos recursos habilitados, menor sera chance de uma falha de hardware, e menor ser o seu trabalho para identificar umapossvel falha futura) e velocidade (menos coisas para levantar no boot, menos serviosrodando desnecessariamente). Configure o boot pelo CD, coloque uma senha para osetup e saia, para comearmos a instalao de verdade.

Passo 2 - Instalando o sistema

Nenhum segredo aqui, se voc j fez isso antes: configure o idioma, o teclado, crie umusurio, defina uma senha, formate as parties necessrias (ou deixe o Ubuntu cuidardisso), e aguarde a instalao. Dois pontos importantes:

1 - Ser til j ter uma conexo com a internet durante a instalao (diretamente ligada mquina ou atravs de um outro proxy), pois o Ubuntu j far uns apt-get updatedurante a instalao.2 - Em dado momento, o instalador perguntar se voc deseja instalar dois perfis pr-configurados: DNS Servere LAMP Server. A instalao fica a critrio de vocs, j queboa parte dos pacotes desses perfis sero instalados mais pra frente. No meu caso, no

instalei nada por enquanto.Ao trmino, o sistema ir reiniciar o sistema.

Passo 3 - Configuraes iniciais

Primeiramente, vamos configurar a rede. No meu caso, como eu j tenho um servidorDHCP em outro servidor, o Ubuntu j configurou automaticamente a primeira placa derede. Mas o que queremos um endereo esttico, ento vamos editar o arquivo/etc/network/interfaces

sudo vi /etc/network/interfaces
http://www.jacotei.com.br/mod.php?module=jacotei.pesquisa&texto=pentium&catid=95&af=2570http://www.jacotei.com.br/mod.php?module=jacotei.pesquisa&texto=a31g&catid=189&af=2570http://www.jacotei.com.br/mod.php?module=jacotei.pesquisa&texto=pentium&catid=95&af=2570http://www.jacotei.com.br/mod.php?module=jacotei.pesquisa&texto=a31g&catid=189&af=2570


7/19

Seu arquivo deve estar qualquer coisa parecida com isso:

# This file describes the network interfacesavailable on your system# and how to activate them. For moreinformation, see interfaces(5).# The loopback network interfaceauto loiface lo inet loopback#The primary network interfaceauto eth0iface eth0 inet dhcp

Altere as informaes para algo parecido com:

auto lo eth0 eth1iface lo inet loopback#The primary network interfaceiface eth0 inet staticaddress 192.168.1.254netmask 255.255.255.0

network 192.168.1.0broadcast 192.168.1.255#segunda interface. Outras podem seradicionadas segundo a mesma lgicaiface eth1 inet staticaddress xxx.xxx.xxx.xxxnetmask xxx.xxx.xxx.xxxnetwork xxx.xxx.xxx.xxxbroadcast xxx.xxx.xxx.xxx

gateway xxx.xxx.xxx.xxx

Nesse caso, considerei que a primeira placa de rede ficar ligada rede local, e asegunda que ficar ligada internet. Nesse caso, tudo depender de como a suaconexo. Para Speedy Businnes, bem fcil, a Telefnica j te passa todas asinformaes logo no comeo. Outros servios no devem ser diferente.

Altere tambm o /etc/resolv.conf, inserindo os endereos DNS que o provedor utiliza:sudo vi /etc/resolv.conf

nameserver xxx.xxx.xxx.xxxnameserver xxx.xxx.xxx.xxx
http://www.jacotei.com.br/mod.php?module=jacotei.pesquisa&texto=rede&catid=932&af=2570http://www.jacotei.com.br/mod.php?module=jacotei.pesquisa&texto=rede&catid=932&af=2570


8/19

nameserver xxx.xxx.xxx.xxx

Novamente, os dados devero ser obtidos com seu provedor. A partir daqui, ocomputador j dever estar conectado internet. Tente um ping www.ubuntu.orge vejase est tudo OK. Mas ainda no est pronto, precisamos instalar e configurar os pacotes

necessrios para que o proxy funcione e os outros usurios tambm acessem a internet.

agora que a parte legal comea. Voc com certeza j deve ter percebido isso, mas oCD do Ubuntu Server j traz vrios pacotes de servios prontos para o uso. Se vocquiser, pode usar esse repositrio, o que diminuiria e muito o tempo de download peloAPT-GET. No meu caso, como eu queria me livrar do drive de CD, copiei os pacotespara minha mquina, com os comandos abaixo:

sudo mount /media/cdrom/sudo cp -r /media/cdrom/dists /edgy

sudo cp -r /media/cdrom/pool /edgy

Logo depois, editem o arquivo de repositrios do apt, com um sudo vi /etc/sources.list

Comentem a linha

deb cdrom:(...)

Colocando um # na frente. Adicionem as linhas:

deb file:/edgy edgy maindeb file:/edgy edgy restricted

Aproveitem e descomentem as linhas dos repositrios Universe, retirando o # dafrente delas. Salvem, e executem o apt:

sudo apt-get updatesudo apt-get upgrade

Se tudo der certo, vocs tero o sistema pronto para a instalao dos pacotes. Percebam

que esse passo totalmente opcional. No meu caso, eu pude liberar o CD do Ubuntu(assim como o drive) e acelerar bastante as instalaes. Se voc quiser continuar com oCD, ou se todas as verses do mesmo j estiverem obsoletas, pule essa parte, apenasconfigurando para aceitar o repositrio Universe.

Passo 4 - Instalando e Configurando o Pacote bsico do Administrador Feliz

Agora, vamos tratar de instalar e configurar alguns programas que iro nos ajudar aadministrar o sistema: a trinca MC (Midnight Commander), OpenSSH e Webmin.Muitos experts que estejam lendo isso provavelmente iro querer me bater, masconsidero o MC um timo navegador de arquivos/editor de textos, ainda mais quandoestou com pressa. Se voc prefere o VI, simplesmente no instale o MC.


9/19

sudo apt-get install mc openssh-serverlibmd5-perl libnet-ssleay-perl libauthen-pam-perl libio-pty-perlsudo wget

http://prdownloads.sourceforge.net/webadmin/webmin_1.320_all.debsudo dpkg -i webmin_1.320_all.deb

Com isso, j podemos acessar o servidor via SSH e via Browser. Mas j quequeremos um mnimo de segurana, porque no alterarmos algumas coisinhas?

sudo mcedit /etc/ssh/sshd_config

Altere as seguintes opes:

Port 2756 #Altera a porta padro do SSH,diminuindo a possibilidade de um port scanListenAddress 192.168.1.254 # Somente poderser acessado por esse endereo de redePermitRootLogin no # Precisa explicar?AllowUsers #somente o usurio criado na instalao

poder se logar.Assim j temos algo mais seguro. O mesmo pode ser feito com o Webmin, alterando o/etc/webmin/miniserv.conf. Nesse caso, alterar a opo port para 4044 ou qualqueroutro nmero j uma boa.

Agora, j podemos mexer no servidor pela rede, e sem muito medo de uma invaso.Que tal pararmos de enrolar e instalar logo o bendito do proxy, hein?

Passo 5 - Instalando o Squid, o Sarg e o Dansguardian

Apenas para entender: o Squid ser o responsvel por compartilhar o acesso internetcom todas as mquinas, o Dansguardian ir habilitar alguns filtros de acesso, e o Sargser o dedo-duro do sistema, gerando arquivos HTML com os logs de navegao doSquid.

E aqui comea uma parte da configurao onde cada caso um caso. O Squid permiteum sem fim de combinaes de restries, permitindo que eu simplesmente compartilhea internet, ou que eu compartilhe apenas para alguns IPs, ou que eu exija umaautenticao para o uso, ou que eu bloqueie algumas pginas de acordo com o horrio.

A configurao das ACLs (regras que controlam o acesso) depender exclusivamente decomo a empresa v o acesso internet pelos funcionrios, e do quo odiado voc querser pelos seus colegas de trabalho que no podem mais acessar o orkut.


10/19

Se a empresa para o qual voc est instalando o proxy no se importa com restries deacesso, a configurao padro do squid j est perfeita. Caso contrrio, sugiro que vocleia a documentao do mesmo e encontre quais regras se adaptam melhor suasituao. O exemplo aqui bem restrito, mas j montei um servidor para um escritriode contabilidade onde TUDO era bloqueado, menos uma meia dzia de pginas.

Vamos s configuraes: Comece instalando os pacotes:

sudo apt-get install squid squid-common bindsarg dansguardian

E depois d um

sudo mcedit /etc/squid/squid.conf

Comece alterando as primeiras linhas, antes das ACLs:#Iniciohttp_port 192.168.1.254:3129 transparentvisible_hostname proxyspeedy2hierarchy_stoplist cgi-bin ?acl QUERY urlpath_regex cgi-bin \?cache_mem 48 MB#Opes para otimizao do sistemamaximum_object_size 1024 MBminimum_object_size 0 KBcache_swap_low 50cache_swap_high 90cache_access_log /var/log/squid/access.log

Vamos s explicaes, pra quem no conhece o squid:

http_port - qual porta o squid estar escutando. Ao colocar o endereo IP, eu impeoque algum tente acessar pelas outras interfaces. O transparent ser explicado em

breve.visible_hostname - Hostname do servidorcache_mem - Quantidade de memria RAM que o squid estar utilizando para guardaras pginas acessadas, aumentando a velocidade de acesso posterior.maximum_object_size e minimum_object_size - Qual o tamanho mximo e mnimodos arquivos que ficaro armazenados no cache em disco.cache_swap_low e cache_swap_high - Com o cache_swap_high voc define qual aporcentagem mxima que o cache dever atingir para comear a apagar arquivosantigos. O cache_swap_low define qual a porcentagem dever ser atingida durante aremoo desses arquivos.

Caso voc queira que os usurios se autentiquem para usar a internet, insira esses dadosno squid.conf:


11/19

auth_param basic program/usr/lib/squid/ncsa_auth /etc/squid/passwdauth_param basic children 5

auth_param basic realm

Agora, as ACLs. Novamente, cada caso um caso, e vou colocar as minhas aquiapenas para exemplo. Se voc quiser entender mais sobre ACLs do Squid e como us-las, recomendo uma leitura desse texto .

# ACLs normaisacl all src 192.168.1.0/255.255.255.0delay_pools 1delay_class 1 2

delay_parameters 1 114688/114688 32768/32768delay_access 1 allow allacl manager proto cache_objectacl localhost src 127.0.0.1/255.255.255.255acl SSL_ports port 443 563acl SSL_ports port 873acl Safe_ports port 80acl Safe_ports port 21

acl Safe_ports port 443 563acl Safe_ports port 70acl Safe_ports port 210acl Safe_ports port 1025-65535acl Safe_ports port 280acl Safe_ports port 488acl Safe_ports port 591acl Safe_ports port 777acl Safe_ports port 631

acl Safe_ports port 873acl Safe_ports port 901acl purge method PURGEacl CONNECT method CONNECTno_cache deny QUERY# ACLs pauloacl Diretoria proxy_auth"/etc/squid/users/diretoria.acl"

acl administracao proxy_auth"/etc/squid/users/administracao.acl"
http://www.guiadohardware.net/guias/16/index4.phphttp://www.guiadohardware.net/guias/16/index4.php


12/19

acl producao proxy_auth"/etc/squid/users/producao.acl"acl castigo proxy_auth"/etc/squid/users/castigo.acl"

acl PornoURLs url_regex"/etc/squid/users/porno.acl"acl ProducaoURLs url_regex"/etc/squid/users/producaoURLs.acl"acl AdministracaoURLs url_regex"/etc/squid/users/administracaoURLs.acl"acl almoco time MTWHF 12:00-14:00acl executaveis url_regex -i

"/etc/squid/users/executaveis.acl"acl castigo_ip src"/etc/squid/users/castigo_ip.acl"#Aplicao das ACL'shttp_access allow manager localhosthttp_access deny managerhttp_access deny !Safe_portshttp_access deny CONNECT !SSL_portshttp_access allow purge localhost

http_access deny purgehttp_access allow localhosthttp_access deny administracao PornoURLshttp_access deny producao PornoURLshttp_access deny castigo PornoURLshttp_access deny Diretoria PornoURLshttp_access deny administracaoAdministracaoURLs !almoco

http_access deny producao ProducaoURLs !almocohttp_access deny castigo AdministracaoURLshttp_access deny administracao executaveishttp_access deny producao executaveishttp_access allow Diretoriahttp_access allow producaohttp_access allow administracaohttp_access allow castigo


13/19

http_access deny allhttp_reply_access allow all

Basicamente, existem trs nveis de acesso diferentes, com vrias restries baseado emcada nvel, mas com a possibilidade de liberar alguns sites no horrio de almoo, amenos que voc esteja na ACL castigo (sacou? hein?). Pode parecer castrante, mas sonormas da empresa, no me odeiem por configurar isso.

Salve o arquivo e saia. Agora que j temos o bsico configurado, vamos configurar ofirewall para compartilhar conexes. No terminal, digite os comandos abaixo:

sudo modprobe iptable_natsudo modprobe ip_nat_ftpsudo echo 1 > /proc/sys/net/ipv4/ip_forward

sudo iptables -t nat -A POSTROUTING -o eth1-j MASQUERADEsudo iptables -t nat -A PREROUTING -i eth0 -ptcp --dport 80 -j REDIRECT --to-port 3128

Na verdade, apenas os quatro primeiros comandos so necessrios. Nesse caso,substitua o eth1 pela interface que est conectada internet. O ltimo comando gera oque chamamos de proxy transparente. Com ela habilitada, qualquer um que queiraacessar a internet dever obrigatoriamente passar pelo Squid (vocs lembram daqueletransparent logo na primeira linha do squid.conf, n?).

Uma tima idia inserir esses comandos de firewall no arquivo /etc/init.d/boomisc.sh.Assim, caso o computador seja reiniciado, as regras passaro a funcionarautomaticamente.

Aqui, j podemos testar o Squid. Primeiro, d o comando:

sudo /etc/init.d/squid restart

E verifique se no apareceu nenhum erro. Uma lida nos arquivos em /var/logpode sertil, caso aparea algo estranho. Agora, numa mquina qualquer, abre o seu browser econfigure o proxy. No Firefox2, v em Ferramentas > Opes > Avanado > Rede >Configuraes e insira o endereo IP do servidor e a porta do squid. Tente acessaralguma pgina. Se der tudo certo, parabns. O grosso do trabalho j foi, agora cuidarda segurana.

Nota: Percebam que at o momento no possvel usar o Squid com transparncia Eautenticao ao mesmo tempo. Ao usar os dois voc no mximo no ter acesso se noconfigurar o proxy nas mquinas locais. O que j ajuda em alguma coisas.

Nota2: Para criar um usurio no Squid, voc pode usar o comando

sudo htpasswd /etc/squid/passwd


14/19

E depois cadastr-lo em uma das regras do squid. OU voc pode usar o Webmin, o queeu considero um pouco mais prtico

O Sarg no exige muita configurao, podendo ser executado via Webmin mesmo, ouatravs do crontab, caso voc queira automatizar a tarefa. Uma lida no

/etc/squid/sarg.confpode dar boas dicas do tipo de configurao que o Sarg permite.Para acessar os relatrios, acesse http://192.168.1.254/squid-reports/ que eles deveroestar l.

Agora, vamos ao Danguardian. Antes, uma observao importante: o DanGuardian um super-filtro de contedo, conseguindo barrar vrios tipos de contedos diferentes,sejam sites, frase, ou at mesmo tipos de arquivos. A configurao padro bemrestrita, e voc pode penar um pouco at ter uma configurao que lhe permita acessartudo o que voc precisa, e bloqueie o resto. Sempre que possvel, utilize os arquivos deexceo para liberar apenas o necessrio (exemplo, incluir o endereo da CaixaEconmica Federal como exceo, ao invs de liberar o acesso a arquivos .zip).

Outro ponto que voc pode precisar configurar bastante o DG no quesito performance.Ele utiliza o Clamav para fazer uma varredura ant-virus no que passa pelo proxy, o quepode ser bem ruim se voc est usando um Pentium 100 como proxy para 100mquinas O Dansguardian recomendado para ambientes corporativos preocupadoscom a segurana, e PRINCIPALMENTE em escolas ou universidades.

Comece com um:

sudo mcedit

/etc/dansguardian/dansguardian.confPara uma configurao simples, comente a linha UNCONFIGURED e altere as linhas:

language = portugueseloglocation = /var/log/dansguardian/access.logfilterport = 3128proxyip = 127.0.0.1proxyport = 3129

Nota: muitos devem estar achando estranho eu ter configurado o Dansguardian na porta

padro do Squid. O motivo simples: preguia. Assim eu no preciso reconfigurartodos os outros computadores

No /etc/dansguardian/dansguardianf1.conf verifique a opo naughtynesslimit. Ele o medidor de putaria do Dansguardian. Quanto menor esse valor, maior ser apossibilidade da pgina ser bloqueada. Para adultos, um bom valor 200. Para crianas,pense em valores por volta de 40

Agora, precisamos baixar as definies em portugus. Execute os comandos:

sudo wgethttp://dansguardian.org/downloads/grosvenor/l


15/19

anguages.tar.gzsudo tar -zxvf languages.tar.gzsudo cp -r languages/*/etc/dansguardian/languages/portuguese/

Agora, insira no arquivo /etc/dansguardian/weightedphraselist as linhas:

.Include.Include

E, no /etc/dansguardian/bannedphraselist

.Include

Salve tudo, e reinicie o Dans:

sudo /etc/init.d/dansguardian restart

Se tudo correu bem, voc provavelmente o cara mais odiado pelos funcionrios queenrolam no servio..

H um extra para acelerar um pouco a navegao, que instalar um servidor DNS namquina. Com isso, as resolues de nome ficaro mais rpidas, pois haver um cachede endereos na sua mquina. At onde eu sei, no necessrio alterar algum arquivo,apenas instalar o bind

Passo 6 - Incrementando o Firewall e instalando o Snort e o Guardian

A parfir daqui, tudo o que ser feito instalar sistemas que bloqueiem ataques externos,ou evitem problemas que um vrus possa causar internamente. As regras de Firewallservem para fechar portas e evitar ataques. O Snort uma ferramenta de deteco deintrusos, tima para ficar vigiando a sua rede e verificando se h algo errado. OGuardian trabalha junto com o Snort, criando regras de firewall de acordo com osalertas do Snort.

Para o firewall, vamos utilizar o kurumin-firewall mesmo (disponvel noGuiadoHardware), mas com algumas modificaes. Novamente, as portas que voc irabrir ou fechar dependero exclusivamente das necessidades da empresa ou local ondevoc instalando o servidor.

sudo mcedit /etc/init.d/kurumin-firewall
http://www.guiadohardware.net/http://www.guiadohardware.net/


16/19

E edite o arquivo:

#!/bin/bash

# Script de configurao do iptables geradopelo configurador do Kurumin# Este script pode ser usado em outrasdistribuies Linux que utilizam o Kernel 2.4em diante# Por Carlos E. Morimoto

firewall_start(){

# Abre para uma faixa de endereos da redelocaliptables -A INPUT -p tcp --syn -s192.168.1.0/255.255.255.0 -j ACCEPT

# Abre uma porta (inclusive para a Internet)iptables -A INPUT -p tcp --destination-port21 -j ACCEPTiptables -A INPUT -p tcp --destination-port

110 -j ACCEPTiptables -A INPUT -p tcp --destination-port2535 -j DROPiptables -A INPUT -p tcp --destination-port139 -j DROPiptables -A OUTPUT -p tcp --destination-port139 -j DROP

# Fechando as portas do SSH pra fora

iptables -A INPUT -p tcp --dport 2756 -miprange --src-range 192.168.1.0-192.168.1.255-j ACCEPTiptables -A INPUT -p tcp --dport 2756 -j DENY

# Ignora pingsecho "1" >/proc/sys/net/ipv4/icmp_echo_ignore_all


17/19

# Protege contra synfloodecho "1" > /proc/sys/net/ipv4/tcp_syncookies

# Desabilita o suporte a source routed

packets# Esta recurso funciona como um NAT aocontrrio, que em certas circunstancias podepermitir que alguem de fora envie pacotespara micros dentro da rede local.echo "0" >/proc/sys/net/ipv4/conf/eth0/accept_source_routeecho "0" >/proc/sys/net/ipv4/conf/eth1/accept_source_route# Proteo contra ICMP Broadcastingecho "1" >/proc/sys/net/ipv4/icmp_echo_ignore_broadcasts

# Protees diversas contra portscanners,

ping of death, ataques DoS, etc.iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPTiptables -A FORWARD -p tcp -m limit --limit1/s -j ACCEPTiptables -A FORWARD -m state --stateESTABLISHED,RELATED -j ACCEPTiptables -A FORWARD -p tcp --tcp-flagsSYN,ACK,FIN,RST RST -m limit --limit 1/s -j

ACCEPTiptables -A FORWARD --protocol tcp --tcp-flags ALL SYN,ACK -j DROPiptables -A FORWARD -m unclean -j DROPiptables -A INPUT -m state --state INVALID -jDROPiptables -N VALID_CHECKiptables -A VALID_CHECK -p tcp --tcp-flags

ALL FIN,URG,PSH -j DROPiptables -A VALID_CHECK -p tcp --tcp-flags


18/19

ALL SYN,RST,ACK,FIN,URG -j DROPiptables -A VALID_CHECK -p tcp --tcp-flagsALL ALL -j DROPiptables -A VALID_CHECK -p tcp --tcp-flags

ALL FIN -j DROPiptables -A VALID_CHECK -p tcp --tcp-flagsSYN,RST SYN,RST -j DROPiptables -A VALID_CHECK -p tcp --tcp-flagsSYN,FIN SYN,FIN -j DROPiptables -A VALID_CHECK -p tcp --tcp-flagsALL NONE -j DROP

# Abre para a interface de loopback.# Esta regra essencial para o KDE e outrosprogramas grficos funcionarem adequadamente.iptables -A INPUT -p tcp --syn -s127.0.0.1/255.0.0.0 -j ACCEPTiptables -A INPUT -i lo -j ACCEPT

# Esta regra o corao do firewall doKurumin,

# ela bloqueia qualquer conexo que no tenhasido permitida acima, justamente por isso ela a ltima da cadeia.iptables -A INPUT -p tcp --syn -j DROP

}firewall_stop(){iptables -Fiptables -X

iptables -P INPUT ACCEPTiptables -P FORWARD ACCEPTiptables -P OUTPUT ACCEPT}case "$1" in"start")firewall_start;;

"stop")firewall_stop


19/19

echo "O kurumin-firewall est sendodesativado"sleep 2echo "ok."

;;"restart")echo "O kurumin-firewall est sendodesativado"sleep 1echo "ok."firewall_stop; firewall_start;;

*)iptables -L -nesac

Salve, e configure para rodar no boot. Voc pode testar as configuraes do iptablesdando um

sudo iptables -L

e verificando se ele lista todas as regras criadas.

Para o Snort e o Guardian, o procedimento exatamente o encontrado na pgina doUbuntu Brasil portanto eu no pretendo me repetir. Como dica adicional, insiram aslinhas abaixo no bootmisc.sh, para que os servios sempre rodem ao reinicar o servidor:

snort -c /etc/snort/snort.conf &guardian.pl /etc/guandian.conf

Faa alguns testes finais, reinicie a mquina, e pronto. Voc ter um servidor proxyleve, seguro, e que permite adicionar novos servios (DHCP, SAMBA, Cups, LDAP,

Postfix) facilmente. E tudo em menos de duas horas!Nota final:

- Caso algum passo descrito aqui no funcione, sempre veja as mensagens de erro e osarquivos de log. Boa parte das solues podem ser encontradas vendo qual exatamenteo problema.
http://wiki.ubuntu-br.org/Snorthttp://wiki.ubuntu-br.org/Snorthttp://wiki.ubuntu-br.org/Snorthttp://wiki.ubuntu-br.org/Snort

Documents

ubuntu commandos