Home

CONSTRUINDO UM FIREWALL NO LINUX DEBIAN 6.0

1. 8 CONFIGURANDO SINCRONIZA O DO REL GIO Para que o rel gio do firewall fique sempre atualizado vamos adicionar um script para automatiza o desse servi o Crie um arquivo com nome de clock sh dentro da pasta etc squid root firewall vim etc squid clock sh Adicione a linha abaixo ntpdate u pool ntp org Agora adicione o arquivo para execu o autom tica dentro do arquivo rc local root firewall vim etc rc local Adicione a linha abaixo antes da linha exit 0 sh etc squid clock sh P gina 17 Com isso o firewall ir sincronizar o rel gio automaticamente na inicializa o por m o computador deve estat conectado com a internet para que isso funcione Adicione o script para execu o todos os dias em um determinado hor rio nesse caso ser colocado todos os dias as 23 00 Hrs Execute o comando abaixo root mfirewall crontab e Adicione a linha abaixo 00 23 etc squid clock sh A partir desse momento ser o gerados relat rios todos os dias as 23 00 Hrs 9 INSTALANDO E CONFIGURANDO SARG RELAT RIO DO SQUID Para se ter controle do que devemos bloquear necess rio que saibamos quais os conte dos que est o sendo acessados e para isso o squid far a coleta dessas informa es por m para bloquear algum site precisamos ver quais foram acessados ent o o sarg ser nosso gerenciador de relat rios emitidos pelo squid Para instalar o sarg vamos seguir os passos abaixo Primeiro d
2. Ap s criar os arquivos devemos adicionar os sites nos arquivos porno chat sites e as extens es que ser o bloqueadas para download no arquivos externs o Adicione os site que ser o bloqueados root Dfirewall vim etc squid bloqueados porno Salve o arquivo e saia Repita o processo nos outros arquivos root Dfirewall vim etc squid bloqueados chat Salve o arquivo e saia Repita o processo nos outros arquivos root Dfirewall vim etc squid bloqueados sites Salve o arquivo e saia P gina 22 Adicione as extens es de arquivos que ser o bloqueados root Dfirewall vim etc squid bloqueados extensao Salve o arquivo e saia Ap s criado a lista do que ser bloqueado pelo firewall devemos habilitar as linha dentro do arquivos do squid root Dfirewall H vim etc squid squid conf porno porno extensao extensao Reinicie o servi o do squid e teste no navegador se os sites da lista est o sendo bloqueados root Dfirewall f etc init d squid restart Ao adicionar os site a serem bloqueados n o necess rio reiniciar o squid necess rio apenas recarregar as configura es com o comando abaixo root Dfirewall etc init d squid reload Se as configura es estiverem corretas ser mostrado a imagem abaixo caso alguns usu rio tente acessar algum dos sites que estiverem na lista dos bloqueados P gina 23 ERRO A URL solicitada n o pode ser recuperada Opera LP opera SARG r
3. Pronto o sarg j possui um usu rio e senha que poder ser diferente do usu rio root do sistema nesse caso utilizamos o mesmo usu rio e a mesma senha Abra o arquivo sarg conf dentro da pasta etc sarg e altere as linhas abaixo Linhas originais Houtput dir var www html squid reports output dir var lib sarg P gina 20 Ap s serem alteradas output dir var www squid reports Houtput dir var lib sarg 11 INSTALANDO WEBMIN GERENCIADOR DE CONFIGURA ES WEB Uma ferramenta que ajuda muito o webmin que possui sua interface toda baseada na web e permite que o administrador configure diversos par metros usando essa ferramenta Para instalar use o comando abaixo Download do webmin root firewall wget http prdownloads sourceforge net webadmin webmin_1 570_all deb root firewall dpkg i webmin_1 570_all deb Ser mostrado alguns erros de depend ncia para isso use o comando abaixo root firewall apt get install f Inicie o servi o root Dfirewall fservice webmin stop root Dfirewall fservice webmin start Para iniciar o webmin abra o navegador de internet e digite o ip do firewall seguido da porta 10000 como no exemplo abaixo https 192 168 0 1 10000 Nesse momento ser solicitado o usu rio e senha do sistema digite seu usu rio root e a respectiva senha para ter acesso as configura es 12 INICIALIZANDO SERVI OS NA INICIALIZA O Para inicializarmos os servi os na inicializa o
4. 255 0 network 192 168 0 0 broadcast 192 168 0 255 Acima as configura es para endere o est tico na interface eth1 que ser usada para rede local P gina 12 This file describes the network intertaces available on your sus and how to activate them For more information see The loopback network interface auto do iface lo inet loopback The primary network interface allow hotplug eth iface eth inet dhcp allow hotplug ethi iface ethi inet static address 192 168 0 1 netmask 255 255 255 0 network 168 0 0 hr 4 CONFIGURANDO DHCP O primeiro passo configurar o servi o de dhcp para que possa fornecer os endere os ip s para os cliente na rede local Para isso devemos editar o arquivo dhcpd conf root Dfirewall f mv etc dhcp dhcpd conf etc dhcp dhcpd conf original root Dfirewall f vim etc dhcp dhcpd conf Coloque o conte do abaixo dentro do arquivo dhcpd conf ddns update style interim default lease time 600 max lease time 7200 option subnet mask 255 255 255 0 option broadcast address 192 168 0 255 option routers 192 168 0 1 option domain name servers 192 168 0 1 8 8 8 8 8 8 4 4 Utilize a linha abaixo caso fa a parte de algum dom nio Hoption domain name example com subnet 192 168 0 0 netmask 255 255 255 0 range 192 168 0 1 192 168 0 254 j Salve o arquivo e saia Agora devemos iniciar o servi o para verificar se tudo est funcionando perfeitamente root firewal
5. access deny sites Hacl porno url regex i etc squid bloqueados porno Hhttp access deny porno Bloqueio de arquivos por extens o Hacl extensao urlpath regex i etc squid bloqueados extensao Hhttp access deny extensao Controle de banda de acesso a internet 15728640 15Mb de banda total contratada junto a operadora 1 5MB s 1048576 1Mb de banda controlada 128Kb s de velocidade m xima de download por usu rio 2097152 2mb de banda controlada 256Kb s de velocidade m xima de donwload por usu rio Hdelay pools 1 P gina 15 Hdelay class 1 2 Hdelay parameters 1 15728640 15728640 1048576 1048576 Hdelay parameters 1 1 1 15728640 15728640 1048576 1048576 0 1 1 ilimitado o uso da banda Hdelay parameters 1 32000 32000 1048576 1048576 Hdelay access 1 allow redelocal http access allow localhost http access allow redelocal http access deny all Com o arquivo do squid configurado precisamos iniciar o servi o com o comando abaixo Finalizando servi o do squid root Dfirewall f etc init d squid stop Iniciando servi o do squid root Dfirewall etc init d squid start Caso n o exiba nenhum alerta o squid est configurado de maneira correta Caso retorne algum erro verifique o arquivo do configura o do squid 7 CONFIGURANDO SCRIPT FW SH Para otimiza o do firewall devemos criar um script que execute as regras automaticamente quando o sistema operacional for reiniciado Para isso
6. devemos criar um arquivo de nome fw sh dentro da pasta do squid root Dfirewall vim etc squid fw sh Adicione o conte do abaixo H bin bash echo Inicializando regras do firewall sleep O IF WAN eth0 4 INTERFACE DE SAIDA PARA INTERNET LAN 192 168 0 0 24 ENDERE O PARA REDE LOCAL LAN LIMPA REGRAS DO FIREWALL iptables P INPUT ACCEPT iptables P OUTPUT ACCEPT iptables P FORWARD ACCEPT iptables F iptables t nat F echo nameserver 127 0 0 1 gt etc resolv conf echo nameserver 8 8 8 8 gt gt etc resolv conf echo nameserver 8 8 4 4 gt gt etc resolv conf P gina 16 ATIVA O SISTEMA DE ROTEAMENTO DE PACOTES echo 1 gt proc sys net ipv4 ip forward ATIVA O MODO DE MASQUERADE iptables t nat A POSTROUTING o S IF WAN j MASQUERADE Mascaramento de rede FOR A A NAVEGACAO PELA PORTA 3128 iptables t nat A PREROUTING p tcp m tcp dport 80 s LAN j REDIRECT to 3128 Forca navegacao na 3128 iptables t nat A PREROUTING p tcp s LAN dport 1863 j DROP BLOQUEANDO SITE COM HTTPS cat etc squid bloqueados bloq_https while read SITES do iptables A FORWARD p tcp d SITES j ACCEPT done Salve o arquivo e saia Agora adicione o arquivo para execu o autom tica dentro do arquivo rc local root firewall vim etc rc local Adicione a linha abaixo antes da linha exit 0 sh etc squid fw sh Com isso o firewall carregar as regras na inicializa o automaticamente
7. o do Debian Ap s a conclus o da instala o ser necess rio reiniciar o computador Debian GNU Linux 6 0 firewall ttyl firewall login Tela de login do Debian 6 0 2 COMANDOS B SICO DO EDITOR VIM Para configurar os arquivos necess rio saber alguns comandos b sico do editor VIM Abrir um arquivo com o editor vim root firewall vim caminho arquivo conf Iniciar inser o de texto TECLA INSERT Retornar ao modo de comandos TECLA ESC Movimenta o dentro do arquivo SETA PARA CIMA SETA PARA BAIXO SETA PARA DIREITA SETA PARA ESQUERDA Para salvar o arquivo TECLA SHIFT w Para salvar o arquivo e sair do editor TECLA SHIFT wq Com Debian instalado ser iniciado as configura es para que o firewall e o proxy possa funcionar de maneira satisfat ria Primeiramente preciso verificar as interfaces de rede com o comando abaixo root firewall ifconfig A interface que estiver conectada na internet dever conter um endere o ip Caso n o tenha nenhum endere o ip necess rio executar o comando abaixo root firewall dhclient Caso n o consiga um endere o ip verifique as conex es e cabos de rede Teste a comunica o do firewall com a internet com o comando abaixo P gina 11 root firewall ping c 3 uywy gocele com br FING www l go0oo0ogle com t74 125 234 6562 56864 bytes of data 64 bytes from gru 3s T in f18 1e100 net 74 125 234 62 icmp _regzi ttl 5
8. 4 time 20 0 MS bytes from gru 3s 7 in f18 1e100 net 74 125 234 521 icmprego2 ttl 54 time ms bytes from gru 3s 7 in f18 1e100 net 74 125 234 521 icmp_reg z3 ttl 54 time 7o G ms www l ggoogle com ping statistics packets transmitted 3 received 0 packet loss time 2000ms rtt minaveimax mibey 28 610 28 737 28 801 0 165 ms ropt firewall _ root firewall ping c 3 www google com br Se obtiver um resultado semelhante ao da foto acima o firewall consegue se comunicar com a internet O pr ximo passo a instala o de alguns servi os utilizando os comandos abaixo Atualizando os reposit rios root firewall apt get update y Instalando os servi os root firewall apt get install apache2 squid dhcp3 server bind9 vim ntp y force yes Ap s a instala o dos servi os ser necess rio a configura o b sica para o funcionamento correto do firewall 3 CONFIGURANDO IP EST TICO PARA REDE LOCAL Para que os servi os do firewall funcione preciso que a interface local esteja com endere o ip est tico Abaixo segue as configura es para ip est tico root firewall vim etc network interfaces As configura es devem ficar id ntias a figura abaixo allow hotplug ethO Carregar automaticamente a interface e buscar um ip autom tico fornecido por outro equipamente como modem ADSL por exemplo allow hotplug eth1 iface eth1 inet static address 192 168 0 1 netmask 255 255
9. CONSTRUINDO UM FIREWALL NO LINUX DEBIAN 6 0 Gerson Ribeiro Gon alves www websolutti com br P gina 1 Sum rio FINSTACANDODEBIA N estao pop as ins ioalai opa raias ada dadio o on si nano ala ba aaa ie senna 3 2 COMANDOS B SICO DO EDITOR VIM eeeeseaeeerereaaeeeeereaeeeas 11 3 CONFIGURANDO IP EST TICO PARA REDE LOCAL 12 A CUNEIGURANDO DHC patas oia an T a NA 13 3 INICIANDO BIN Dierre EE A EE dano apa eadats 14 CCONFIGCURANDO SQU ID rp e pp 14 FCONFIGURANDO SCRIEPTE WS esa a e Rd aaa 16 8 CONFIGURANDO SINCRONIZA O DO REL GIO 17 9 INSTALANDO E CONFIGURANDO SARG RELAT RIO DO SQUID 18 TO CONDIGURANDO SAR Geier a a giga 19 11 INSTALANDO WEBMIN GERENCIADOR DE CONFIGURA ES WEB 21 12 INICIALIZANDO SERVI OS NA INICIALIZA O c eternos 21 LS REINICIANDO SISTEMA siirre Doi a sas Ton Raia CS cepa Dead 22 14 ADICIONANDO BLOQUEIOS DE SITES assassinadas rangrado aiii ua aaa tesatgos 22 P gina 2 MANUAL DE INSTALA O E CONFIGURA O DE FIREWALL DEBIAN 1 INSTALANDO DEBIAN Toda instala o ser feita utilizando a distribui o Debian 6 0 em modo texto tamb m pode ser instalado na vers o gr fica normalmente n o utilizada necess rio que o firewall tenha duas placas de redes uma ir receber o ip da operadora ou prestadora de servi o e a outras placa ser utilizada para comunica o na rede local e acesso dos clientes em dire o a internet Abaixo segue os passos par
10. a instala o do Debian 6 0 The Universal Operating System Installer boot menu Graphical install Advanced options Help P gina 3 Selecione o idioma para prosseguir com a instala o Selecione o pa s Selecione o layout do teclado ABNT2 teclado com Selecione a interface que estar conectada com a internet P gina 5 Digite um nome para identifica o do firewall Caso exiba e mensagem acima o computador n o est conectado a internet Caso fa a parte de algum dom nio P gina 6 9 Configurar usu rios e senhas voc precisa definir uma senha para o root a conta administrativa do sistema Um usuario malicioso ou n o qualificado com acesso root pode levar a resultados desastrosos portanto voc deve tomar o cuidado de escolher uma senha que n o seja f cil de ser adivinhada Essa senha n o deve ser uma palavra encontrada em dicion rios ou uma palavra que possa ser facilmente associada a VOC Uma boa senha contera uma mistura de letras n meros e pontua o e devera ser modificada em intervalos regulares 0 usu rio root n o devera ter uma senha em branco Se voc deixar este campo vazio a conta do root ser desabilitada e o usu rio inicial do sistema receber o o poder de tornar se root usando o comando sudo Note que voc n o podera ver a senha enquanto a digita Senha do root estereo ee voltar Senha do usu rio root Configurar usu
11. do Linux precisamos instalar o chkconfig com o comando abaixo root Dfirewall H apt get install chkconfig y force yes Agora devemos colocar os servi os a serem inciados com os comandos abaixo root Dfirewall chkconfig apache2 on root Dfirewall chkconfig bind9 on root Dfirewall chkconfig squid on root Dfirewall chkconfig webmin on P gina 21 13 REINICIANDO SISTEMA Ap s conclus o de todos os passos devemos reiniciar o Linux se tudo ocorrer bem seu firewall estar pronto para ser instalado em uma rede Reinicie o sistema com o comando abaixo root Dfirewall reboot 14 ADICIONANDO BLOQUEIOS DE SITES Como a proposta de um firewall ter controle de acessos a determinados sites de nada adiantaria ter configurado e n o adicionar a lista dos sites que ser o bloqueados os acessos Devemos criar uma lista de sites e adicionar nos arquivos de listagem que ser o criados a partir desse ponto Devemos criar alguns arquivos e acion los no arquivo de configura o do squid Para criar os arquivos execute os comandos abaixo root Dfirewall f mkdir etc squid bloqueados root Dfirewall f touch etc squid bloqueados porno root Dfirewall f touch etc squid bloqueados chat root Dfirewall f touch etc squid bloqueados sites root Dfirewall touch etc squid bloqueados extensao Poder ser criados diversos outros tipo de arquivos grupos pastas separadas fica de acordo com que for mais f cil de trabalhar
12. eport x Y ERRO A URL solicit x lt e 45 R o amp web playboy abril com br 3 ERRO A URL solicitada n o pode ser recuperada Na tentativa de recuperar a URL http playbov abrilcom br O seguinte erro foi encontrado Proibido o Acesso O controle de acessos impediu sua requisi o Caso voc n o concorde com isso por favor contate seu provedor de servi os ou o administrador de sistemas Generated Thu 08 Dec 2011 17 53 39 GMT by Firewall Delta squid 2 6 STABLE21 Ge a do o e Esta p gina de ACCESS DENIED poder ser personalizada basta editar o arquivo ERR ACCESS DENIED dentro da pasta etc share squid errors Potuguese caso altere a linha no arquivo squid conf para outro idioma dever entrar na pasta equivalente ao idioma configurado no squid conf P gina 24
13. evemos editar o arquivo source list root Dfirewall vim etc apt source list Adicione a linha abaixo deb http backports debian org debian backports squeeze backports main Salve o arquivo e saia Agora temos que atualizar os reposit rios com o comando abaixo e instalar com o comando seguir root Dfirewall f apt get update y root Dfirewall f apt get install sarg y force yes Ap s esse procedimento o sarg ter sido instalado com sucesso Para testar rode o comando abaixo e veja o resultado root Dfirewall sarg P gina 18 roota tfirewmall etoisquidsg sarg s RG No records found ARG End roota firewmall etossquidA Essa mensagem mostra que n o existem nenhuma informa o no cache do squid s ser poss vel ver os relat rios a partir do momento que os cliente come arem a utilizar a internet pois o cache do squid est em branco at o momento Para adicionar o script para gerar relat rios di rios siga os passos abaixo root Dfirewall vim etc squid relatorio sh Adicione as linhas abaixo clear DATA date d Y m Y sarg g e d DATA DATA Salve e feche o arquivo de relat rio Digite o comando abaixo root firewall crontab e Adicione a linha abaixo 00 23 etc squid relatorio sh A partir desse momento ser o gerados relat rios todos os dias as 23 00 Hrs 10 CONFIGURANDO SARG Por padr o o sarg n o possui senha de acesso que no quesito seguran a
14. isso n o aconselh vel pois qualquer computador poderia acessar os relat rios Por medidas de seguran a ser colocado senha de acesso aos relat rios do sarg Vamos editar o arquivo de configura o do http root firewall vim etc apache2 sites enabled 000 default Altera a linha abaixo lt VirtualHost 80 gt Para lt VirtualHost 8082 gt Adicione as linhas abaixo de DocumentRoot no final do arquivo de configura o lt Directory var www squid reports gt P gina 19 Options Indexes MultiViews AllowOverride None Order allow deny Allow from all AuthType Basic AuthName Acesso Restrito AuthUserFile Vetc squid sargpasswd Require valid user lt Directory gt Salve as configura es e feche o Abra o arquivo ports conf na pasta do apache2 e altere conforme abaixo root Dfirewall vim etc apache2 ports conf Devemos alterar a linha abaixo NameVirtualHost 80 Listen 80 Para NameVirtualHost 8082 Listen 8082 Salve as configura es feche o arquivo e reinicie o servi o apache2 com o comando abaixo root Dfirewall etc init d apache2 restart Agora precisamos definir a senha no arquivo sargpasswd com o comando abaixo root Dfirewall f htpasswd c etc squid sargpasswd root rootbtlocalhost etclt htpasswd c zetoezsquids sargpasswud root Eu password Re type new password Adding password for user root roottlocalhost etclH _ Digite a senha e repita a senha novamente
15. l etc init d isc dhcp server start Caso n o retorne nenhum erro o servi o foi iniciado com sucesso Para ter certeza de que est funcionando utilize um computador cliente conectado diretamente na placa da rede local do firewall com cabo crossover e verifique se o cliente possui um enedere o ip Caso tenha um endere o est tudo normal Caso d algum erro verifique as configura es do dhcpd conf P gina 13 5 INICIANDO BIND Com o servi o de dhcp funcionando o pr ximo passo iniciar o servi o de resolu o de nomes DNS root firewall service bind9 start Execute o comando abaixo e veja se obter o resultado semelhante a figura root firewall nslookup 127 0 0 1 root firewall zetczdhco nslookup 127 0 0 i set Da Server o 127 0 0 1 Address 127 0 0 1 59 Jon authoritative answer www gocgle com br canonical name www google com uy google com canonical name www l g008le com Mame www I Zonele com Address 74 125 234 04 Mame www l g00gle com Address 74 125 234 80 Mame www l g0o0gle com Address 74 125 294 61 Mame www l g0o0gle com Address 74 125 294 02 Mame www l g0o0gle com Address 74 125 234 83 Nome resolvido com sucesso Nosso servi o de DNS est funcionando perfeitamente precione CTRL C para sair e voltar ao shell do linux 6 CONFIGURANDO SQUID Para que os cliente possam navegar na interne necess rio configurar o squid para possibilitar esse acesso Deve
16. mos configurar o arquivo squid conf dentro da pasta etc squid root firewall mv etc squid squid conf etc squid squid conf original root firewall vim etc squid squid conf Adicione o conte do abaixo para configura o do squid http_port 3128 transparent visible _ hostname Firewall Proxy transparent com autenticacao n o funciona error_directory usr share squid errors Portuguese P gina 14 cache mem 64 MB maximum object size in memory 64 KB maximum object size 512 MB minimum object size O KB cache swap low 50 cache swap high 70 cache dir ufs var spool squid 2048 16 256 cache access log var log squid access log fcache store log var log squid store log fcache swap Jog var log squid cache swap log refresh pattern ftp 15 20 2280 refresh pattern gopher 15 0 2280 refresh pattern 15 20 2280 acl all src 0 0 0 0 0 0 0 0 acl manager proto cache object acl localhost src 127 0 0 1 255 255 255 255 acl SSL ports port 22 995 993 465 acl Safe ports port 21 80 138 139 443 563 70 210 280 488 59 777 901 1025 65535 acl purge method PURGE acl CONNECT method CONNECT http access allow manager localhost http access deny manager http access allow purge localhost http access deny purge http access deny Safe ports http access deny CONNECT ISSL ports Valida o da rede local acl redelocal src 192 168 0 0 24 Bloqueio de sites por dominio Hacl sites url regex i etc squid bloqueados sites Hhttp
17. rios e senhas Por favor informe novamente a mesma senha de root para verificar se voc digitou a corretamente Informe novamente a senha para verifica o voltar Continuar Confirma o da senha do root 1 Configurar usu rios e senhas Uma conta de usu rio ser criada para voc usar no lugar da conta de root para tarefas nao administrativas Por favor informe o nome real deste usu rio Esta informa o ser usada por exemplo como a origem padrao para mensagens enviadas por este usuario bem como por qualquer programa que exiba ou use o nome real do usu rio Seu nome completo e uma escolha razoavel Nome completo para o novo usu rio lt voltar gt Cont inuar gt Usu rio simples necess rio para prosseguir a instala o e poder ser deletado P gina 7 Nome do usu rio Senha do usu rio Confirma o da senha do usu rio P gina 8 Fuso hor rio para o sistema Instala o r pida formata e utiliza o disco inteiro instala o r pida Disco onde ser instalado o sistema operacional Formato das parti es do disco primeira op o n o muito recomendada pois n o tolerante a falhas Para usu rios experientes o ideal separar a instala o em discos diferentes Finalizar estilo de parti es usadas na instala o Formata o dos discos ou parti es a serem usadas na instala o Ap s esse procedimento ser iniciado a instala

CONSTRUINDO UM FIREWALL NO LINUX DEBIAN 6.0

Contents

Download Pdf Manuals

Related Search

Related Contents