Documente Academic
Documente Profesional
Documente Cultură
14. 15. 16. 17. 18. 19. 20. 21. 22. 23. 24. 25. 26. 27. 28. 29. 30. 31. 32. 33. 34. 35. 36. 37. 38. 39. 40. 41. 42. 43. 44. 45. 46. 47. 48. Servicios Existentes:
Puertos predeterminados de BFW 3.0 Bloqueo de Puertos. Nuevo Clculo de conntrack automtico Configurando la Conexin. Configurando LoadBalance. Trabajando con "Smart Route". Trabajando con Tareas programadas - Cron. Habilitando Control de IP x MAC. Habilitando IPUpdate. Habilitando Servicio interno de Email de 3.0 Habilitando Squid. Trabajando con DansGuardian. Trabajando con Generadores de Registros - Sarg y WebAlizer. Trabajando con QOS. Trabajando con DHCP. Trabajando con Sub-redes. Trabajando con Red Wireless. Trabajando con Wireless en modo AP. Trabajando con virtualizacin. Trabajando con Port Forwarding - Redireccin de puertos. Clonacin de MAC. Servidor DNS Nativo de BFW 3.0 = Bind. Reservado para futuro, el captulo Reservado para futuro, el captulo Resumen de Comandos. Indice do Apndice. Apndice 1 - Direccin IP, Mscara de red y la Sub-Red (IPv4). [url]Reservado para futuro, el captulo.[/url] [url]Reservado para futuro, el captulo.[/url] [url]Reservado para futuro, el captulo.[/url] [url]Reservado para futuro, el captulo.[/url] [url]Reservado para futuro, el captulo.[/url] [url]Reservado para futuro, el captulo.[/url] [url]Reservado para futuro, el captulo.[/url] Crditos.
Modos de Conexin o STATIC (IP fijo) o DHCP, o Dinamico (PPPoE) o edge Acceso seguro a WebAdmin por medio de protocolo SSL Servidor Bind (DNS Server) Squid-3.0.STABLE15 QOS Sub-Redes Load Balance (balanceo de de carga) integrado. o Con cualquier tipo de Coneccin (STATIC, PPPOE, DHCP e edge) DHCP Server para red y Sub-Redes GSM Nuevo Clculo de conntrack automtico: o Con el nuevo clculo, ahora son posibles 1.652 conexiones aproximadamente por MB de memoria RAM instalada. Ipupdate 2.0 por link independiente. Soporte para wireless en modo cliente Email con suporte para ssl (gmail) Port Forwarding - (Redireccionamento de Puertos) Smart Route Amarre de IP X MAC DansGuardian - Ideal para uso en redes empresariales Sarg para uso en redes empresariales WebAlizer para uso en Provedores
Development new "framework" for webadmin Native suporte with ssl Startup work with iface Ilimited interfaces Ilimited pppoe Ilimited dhcp-client Automated detect hardware No more sleep time in the boot
Boot Menu con 2 kernels ambos con sooprte para Multi-Processador: 1. El primero es para mquinas que posean hasta 4 GB de memoria RAM. 2. El segundo es para mquinas que posean hasta 64 GB de memoria RAM. En caso de tener un solo procesador, el propio sistema se encargar de hacer los ajustes necesarios. 3. Test de memoria.
El Timer es de 15 segundos. Si no selecciona una opcion el instalador ingresar de manera automatica a la primera opcion.
El instalador crea la primera particin con 100 MB y coloca el espacio restante del HD en la segunda Particin.
Para Instalar siga estos pasos: Ingrese como: # root ==> Enter
Despues de terminar, haga clic en OK y el server ser reiniciado. Deje que el computador bootee desde el HD.
No olvide retirar el CD, ya que incluso dando arranque desde el HD, si el CD se encuentra todavia en la unidad de CD esto puede genear problema
Despues de instalado, al ser lanzada una nueva versin, basta con bajar la nueva .iso y copiar los archivos brazilfw.gz e version.inf para el directorio /mnt y reiniciar el server. Con esto, su servidor ser actualizado. O
Atualizacin / update o Apartir de la versin 3.0.197 ==> update ==> For webadmin
root
Cambie la contrasea despues de la instalacin con el siguiente comando: Code: Select all
passwd
Haga Backup:
backup
Abrir
Siguiente
Siguiente
Finalizar
Este proceso instalar el certificado brazilfw cert 3. Hecho esto, al ingresar al WebAdmin de BFW no volver a mostrar el mensaje de color rojo Al hacer clic sobre el candado, usted ver el certificado. As usted sabr que certificado est asignado, y para cual sitio es vlido.
==> 2 Procedimiento vlido para Mozila FireFox: En FireFox, primero se debe bajar y guardar el certificado. En la barra de direcciones ingrese lo siguiente: https://ns.brazilfw.local:8181/getcert.cgi Ahora, guese por las siguientes capturas de pantalla: Clic en "O puede agregar una excepcin "
==> Despus de bajar el Certificado y guardarlo, realice los siguientes pasos: Herramientas ==> Opciones
Marcar las siguientes opciones ==>Considerar confiable este CA para identificar Sitios ==> ............................ para identificar usuarios ==> ............ para identificar autores de programas ==> ............................................................ OK ==> ...................................................................OK
Observacin:
1 Si ingresa con la ip en cambio del dns, aparecer el mensaje de color rojo nuevamente, ya que fue instalado solamente con el nombre.
2 Si cambia el nombre de su bfw (ns.brazilfw.local), vasta con eliminar el certificado y reniciar el servicio de WebAdmin, entonces ser generado un nuevo certificado para el nuevo dominio. Para esto, haga lo siguiente: Comandos para renovar el certificado despus de renovar el dominio: Ingrese va PuTTy Code: Select all
/etc/init.d/named reload
Con los procedimientos de arriba el nuevo dominio ya entra para toda la red con un nuevo certificado
Accediendo al WebAdmin:
Si usted cambio el dominio que viene por defecto en el BrazilFW, digite en la barra de direcciones del navegador de su preferencia la siguiente direccin:
https://ns.brazilfw.local:8181
Variables
o o
Los nombres de las variables estn en letras maysculas y posiblemente tengan guin abajo ( _ ). Las variables son citadas en minsculas entre comillas simples ( ' ' )
El contenido que viene por defecto del /etc/brazilfw/brazilfw.cfg se ve as: Code: Select all
WEBADMIN_PORT='8181' SSH_PORT='22' ADMIN_AUTH='xxxxxxxxxxxxxxxx' DNSSERVER='yes' DNS1='' DNS2='' DHCP_DNS1='' DHCP_DNS2='' NAMESERVER='ns' DOMAIN='brazilfw' LOCALDOMAIN='local' PERSIST_LOG='no' USE_SWAP='no' SWAP_MEM='' PARTITION='' TIMEZONE='EST3' CACHE_DISK='no' USE_QOS='no' QOS_DEFAULT_GUARANTEE='10' DHCP_SERVER='no' DHCP_DEFAULT_LEASE='7200' IPUPDATE='no' IPUPDATE_REFRESH='600' USE_MAC_CONTROL='no' DISABLE_NAT='no' DISABLE_CONNLIMIT='no' CERTIFICATE_ISSUED_TO='' EXTERNAL_PING='yes'
SSH_PORT='22'
ADMIN_AUTH='xxxxxxxxxxxxxxxxxx'
DNSSERVER='yes'
Servidor DNS nativo del 3.x (Bind). Por defecto est habilitado ='yes' Estando el Bind habilitado las variables DNS1; DNS2; DHCP_DNS1 e DHCP_DNS NO deben ser llenadas.
Las variables DNS1; DNS2; DHCP_DNS1 e DHCP_DNS slo deben ser llenadas si el el Bind (DNSSERVER) est en 'no'
NAMESERVER='ns'
DOMAIN='brazilfw'
LOCALDOMAIN='local'
PERSIST_LOG='no'
USE_SWAP='no'
SWAP_MEM=''
Similar a la memoria virtual del Windows (SWAP MEMORY) Ejemplo: SWAP_MEM='1024' - Ser creada una memoria virtual de 1024 MB que ser tomada de la memoria RAM del Server.
PARTITION=''
Define manualmente donde est la particin, en caso de usar otro HD. An se est testeando.
TIMEZONE='EST3'
CACHE_DISK='no'
Servidor Proxy nativo del 3.X (Squid). Por defecto viene deshabilitado = 'no'
USE_QOS='no'
Control de Ancho de Banda del 3.X Por defecto viene deshabilitado = 'no'
QOS_DEFAULT_GUARANTEE='10'
DHCP_SERVER='no'
DHCP_DEFAULT_LEASE='7200'
Tiempo de concesin para DHCP Server. Por defecto viene '7200' = 2 Horas.
IPUPDATE='no' IPUPDATE_REFRESH='600'
IpUpdate y tiempo de actualizacin. Por defecto viene deshabilitado = 'no' y con el tiempo '600' = 10 Minutos.
USE_MAC_CONTROL='no'
DISABLE_NAT='no'
DISABLE_CONNLIMIT='no'
CERTIFICATE_ISSUED_TO=''
EXTERNAL_PING='yes'
o o o o o
22.....................Acceso SSH 53.....................Acceso DNS 3128..................Acceso Squid 8080..................Acceso Dansguardian 8181..................Acceso Webadmin
Acceso externo a Acceso externo a # Acceso externo # Acceso externo # Acceso externo
De manera predeterminada; los accesos externos a los siguientes "servicios" vienen bloqueados: o SSH o DNS o Squid o Dansguardian o Webadmin Para desbloquear un determinado puerto, basta con cambiar el yes por no y reiniciar el servicio.
Ejemplo:
Si quiere liberar el acceso externo al webadmin haga lo siguiente: Code: Select all
edit /etc/brazilfw/ports/blocked.cfg Donde dice "yes 8181 tcp" cambie por "no 8181 tcp" Guarde y salga
Realice un Backup Code: Select all
# backup
Para reiniciar el servicio:
Code: Select all
# /etc/rc.d/rc.blocked
/etc/rc.d/rc.accept
Clculo de Conntrack Automtico = El sistema ajusta automticamente la cantidad mxima de conexiones de su red de acuerdo a la cantidad de memoria RAM que posea el Servidor:
Antes, la regla era: 64 conexiones por Mega. Ejemplo: Su servidor tiene 256 MB de RAM, usted tendra 256 x 64 = 16.384 conexiones. Fuente: viewtopic.php?f=2&t=67340#p158468
Ahora con el nuevo calculo, quedara as: 1.652 conexiones aproximadamente por Mega Ejemplo: Su servidor tiene 256 MB de RAM, usted tendra 256 x 1.652 = 422.912 conexiones aproximadamente.
La eth0 viene con la red 192.168.0.1/24. Coloque la que usted acostumbre a usar. Solo tenga cuidado deusar una clase valida para red privada (cualquier duda en cuanto a "redes privadas" vea el siguiente tutorial "Endereo IP, Mscaras de Redes e Sub-Rede (IPV4)."). eth0 de forma predeterminada Ruta => /etc/brazilfw/logical/local Code: Select all
El(los) archivo(s) del(los) link(s) de internet estn en el /etc/brazilfw/logical/ Abajo veremos ejemplos para los tipos de conexin de internet de BFW3.0 Recordando que, aqu fue colocado el nombre del archivo del link de "internet", pero usted puede colocar cualquier otro nombre. 1. Conexin esttica: Code: Select all
LINK_ALIAS="internet" LINK_CONNECTION="internet" LINK_TYPE="static" LINK_IP="10.1.1.2" LINK_NETMASK="255.255.255.252" LINK_GATEWAY="10.1.1.1" # LINK_WEIGHT es el peso del link para LoadBalance LINK_WEIGHT="1"
edit /etc/brazilfw/logical/internet # Usted debe cambiar la ip, mascara y gateway del link esttico. Guarde y Salga
2.
LINK_ALIAS="internet" LINK_CONNECTION="internet" LINK_TYPE="pppoe" LINK_USERNAME="xxxxxxxxxx@xxxxxxx.com.br" LINK_PASSWORD="xxxxxxxxxxx" # LINK_WEIGHT es el peso del link para LoadBalance LINK_WEIGHT="1"
edit /etc/brazilfw/logical/internet LINK_USERNAME="coloque aqui su login DSL" LINK_PASSWORD="coloque aqui a su contrasea DSL" Guarde y Salga.
3.
LINK_ALIAS="internet" LINK_CONNECTION="internet" LINK_TYPE="dhcp" # LINK_WEIGHT es el peso del link para LoadBalance LINK_WEIGHT="1"
Conexin ppp (conexin va grps/edge/evdo/3g:
edit /etc/brazilfw/logical/claro LINK_DEVICE="ttyUSB0" #En caso que su mdem sea detectado en otro puerto, favor cambiar. LINK_CONNECTION="internet" LINK_TYPE="ppp" LINK_PHONE="*99***1#" LINK_PROVIDER="claro.com.br' LINK_USERNAME="claro" LINK_PASSWORD="claro" LINK_WEIGHT="1"
edit /etc/brazilfw/logical/vivo LINK_DEVICE="ttyUSB0" #En caso que su mdem sea detectado en otro puerto, favor cambiar. LINK_CONNECTION="internet" LINK_TYPE="ppp" LINK_PHONE="#777" #vivozap LINK_PROVIDER="" LINK_USERNAME="<ddd><telefone>@vivozap.com.br" #ex 1991234567@vivozap.com.br LINK_PASSWORD="vivo" LINK_WEIGHT="1"
Realice Backup Code: Select all
backup
Para iniciar o reiniciar el servicio:
Code: Select all
/etc/rc.d/rc.inet
OBS.: Si no va a usar la versin 3.0 como servidor DHCP, deber colocar en DNS la IP de BFW en la mquina cliente, de lo contrario no habr navegacin.
Configurando LoadBalance.
LoadBalance usando dos links ADSL (1 de 2 MB e 1 de MB). Usando pppoe en los dos links. o Vlido para links de diferentes operadoras. Para links de la misma operadora vea la Observacin de abaijo.
Placa de Red:
En /etc/brazifw/physical tenemos el archivo de internet que hace referencia a la eth1. Lo que tenemos que hacer es crear archivos para cada ethX que adicionaremos. Ejemplo: internet2 para eth2 y asi sucesivamente (Nota: El nombre internet2 puede cambiarlo por uno que crea conveniente) Entonces en /etc/brazifw/physical tendramos, adems de otros, los siguientes archivos:
All ya tenemos el archivo internet que hace referencia a eth1 Code: Select all
Ahora, tenemos que crear el archivo, como por ejemplo, internet2 que ser el segundo "discador" para la interfase eth2 Code: Select all
backup
Para iniciar o reiniciar el servicio:
Code: Select all
/etc/rc.d/rc.inet
Observacin: Si los links usados para hacer LoadBalance fuesen de la misma operadora, los mdems deben ser Routeados. Si usamos los mdems en modo Bridge con enlaces de la misma operadora tendremos
problemas.
Antes, dos explicaciones: 1. Motivo: Enlaces de la misma operadora con el mdem en modo Bridge el Gateway para BrazilFW ser el mismo. Entendido? 2. Mdem Routeado: antes que aparezca un grupo en contra y un grupo a favor del modem routeado, digo que, disculpen los contras, es solo usar modem confiables para la tarea. Entonces, por favor, nada de estar intentando mostrar "esto o aquello" del mdem routeado. Ese asunto es casi una religin y la religin no se discute, se sigue o no se sigue. Entendido?
Placa de Red:
En /etc/brazifw/physical tenemos el archivo internet que hace referencia a eth1. Lo que tenemos que hacer es crear archivos para cada ethX que adicionaremos. Ejemplo: internet2 para eth2 y as sucesivamente (Nota: El nombre internet2 usted puede cambiarlo por el que crea conveniente) Entonces en /etc/brazifw/physical tendramos, adems de otros, los siguientes archivos:
internet para eth1 (Este ya viene de manera predeterminada) Code: Select all
All ya tenemos el archivo internet que hace referencia a eth1 Code: Select all
Ahora, tenemos que crear el archivo, como por ejemplo, internet2 que ser el segundo "link" para eth2 Code: Select all
LINK_GATEWAY="10.50.1.1" LINK_WEIGHT="1"
backup
Para iniciar o reiniciar el servicio:
Code: Select all
/etc/rc.d/rc.inet
Parmetros:
Header del /etc/brazilfw/route.cfg: Code: Select all
n n s f f s s s
port 443 tcp port 80 tcp browser source browser port 25 tcp port 110 tcp source 192.168.0.1,192.168.0.2,192.168.0.3,192.168.0.4 source 192.168.0.5,192.168.0.6,192.168.0.7 source 192.168.0.0/24,10.0.0.5,192.168.50.0/30
n = network (origen de la red) f = firewall (origen del propio firewall) s = squid (origen del squid) [rutas] = adems de los links Ejemplo: Se tienen 3 links y fue colocado el alias para los links: link 1 = internet1 link 2 = internet2 link 3 = internet3 1. 2. 3. 4. [comando] Si el [origem] for n o f A. port [puerto] [protocolo] [filtro] B. source [ip] C. dest [ip/url] D. source-port [ip] [puerto] [protocolo] [filtro] E. dest-port [ip] [puerto] [protocolo] [filtro] F. [protocolo] = tcp, udp G. [filter] = Todos los filtros validos del protocolo L7 Si el [origem] for s source [ip(s) / browser] browser = Detecta que navegador est usando el usuarioy el fija solamente la ruta predeterminada en el comando dest-domain [dominios] ex: .terra.com.br .orkut.com .uol.com.br Para separar los links usamos la coma (,).
Ejemplo: internet,internet2,internet3 El orden es quien define la priridad. 1,2,3... Si por algun motivo el primer link esta cado, el segundo lo asumir, si el segundo link esta cado, el tercero lo asumir, volviendo el primer link este asumir el puesto de el. Si fuese definido solamente un link, teniendo mas de un servidor y el link definido est caido, el entrar en load balance.
A.
B.
edit /etc/brazilfw/route.cfg
# sin squid yes n internet1,internet2 port 80 tcp browser # con squid yes s internet1,internet2 source browser # https yes n internet1,internet2 port 443 tcp # Cambiar el nombre internet1,internet2,... por el nombre que defini antes en la configuracin del sistema
Ejemplos:
2. Colocando ips para salir en un orden y otros ips en otro orden. Code: Select all
3.
Colocando una red para salir en un oren y otras redes en otro orden. Code: Select all
4.
Forzando un IP por un solo link y el resto de la red por otro link. Code: Select all
yes s internet1,internet2 source 192.168.0.5 yes s internet2,internet3 source all # Todo lo que no for do IP 192.168.0.5 entra en internet2 o en internet3
5.
Pregunta del usuario "rhine-pr": Tengo una cantidad enorme de ips de youtube, globo, y otros, como debo configurar LoadBalance para escoger esos destinos? Por Ejemplo, Determinar que una direccin de internet (no de ip interno) salga por un determinado link, tipo: Code: Select all
dest y LB3 209.85.192.0/23 80 80 #googlevideos # Determinar que cada IP saldr por un link usando el puerto 80 ...
Para la red interna, quedara asi: Code: Select all
net y LB1 LAN1 192.168.7.1 32 # # Determinar que el link 1 va a ser direccionado para eth0 (lan1) para el IP 192.168.7.1
Respuesta de "Woshman": En BrazilFW 3.x, usando el squid, quedara as: Code: Select all
yes s internet1,internet2,internet3 dest-domain video.google.com yes s internet2 dest-domain .globo.com yes s internet3 dest-domain .youtube.com yes s internet1,internet2,internet3 source 192.168.7.1/32
Para iniciar o reiniciar el servicio:
Code: Select all
/etc/rc.d/rc.route
Parmetros:
Header de /etc/brazilfw/cron.cfg: Code: Select all
Comentrio Comando/script a ser ejecutado Dia de la semana (0 - 6) (comenzando en Mes (1 - 12) Da del mes (1 - 31) Hora (0 - 23) Minuto (0 - 59)
En Da de la semana, 0 se refiere a domingo; y 6, a sbado. En el caso del dia de la semana, este tambin funciona con las tres primeras letras (en ingls) del da da semana (SUN,MON,TUE,WED,THU,FRI,SAT) En cualquier posicin se puede usar el * (asterisco) cuando no importa el campo en cuestin. Se puede utilizar intervalos en esos campos. El carcter para intervalo es el
2. 3. 4. 5.
- (Guin).
Se puede utilizar una lista de valores en esos campos. El carcter para la lista es la , (coma). Cualquier texto colocado despus del programa que ser ejecutado, ser considerado comentario y no ser interpretado por el cron
Ejemplo:
6. Code: Select all
7.
00-59/5 * * * * script #De cinco en cinco minutos (osea, cada 5 minutos) todos los das (note la divisin por 5 en el intervalo 00-59)
Para reiniciar el servicio:
Code: Select all
/etc/init.d/cron reload
Para activar el control de mac/ip editar el archivo /etc/brazilfw/brazilfw.cfg y escribir 'yes' en USE_MAC_CONTROL Code: Select all
El concepto usado en el control MAC x IP es la misma de la Lista Blanca. Slo navegarn quienes estn registrados en la lista. Si el Control MAC x IP est habilitado en el brazilfw.cfg, y el MAC no est en la lista, el cliente no conseguir hacer nada. Ni siquiera podr conseguir hacer ping al BFW. A travs del MAC no registrado slo se podr tener acceso al puerto del webadmin y al puerto ssh para realizar un eventual mantenimiento.
Ejemplo:
Si necesita bloquear una determinada MAC. Basta con ir a la lnea de IP/MAC, la comenta y recarga el servicio. Automticamente el cliente es bloqueado, no pasar por el QOS ni por el Squid. Code: Select all
edit /etc/brazilfw/reserve.cfg
#192.168.0.1 2e:00:54:16:a4:66
/etc/rc.d/rc.macip
Para iniciar o reiniciar el servicio:
Code: Select all
/etc/rc.d/rc.macip
Click aqu para volver al ndice. Last edited by juliojc on Mon Sep 07, 2009 5:15 pm, edited 2 times in total. -----------Julio Csar
--------------------------------------------------------HP Proliant ML115 G5 QuadCore AMD64 Opteron 2.2GHz, 4GB RAM, 250GB HDD VMware Server 2 - Ubuntu Server 8.04.4 - AMD64 --------------------------------------------------------1) Argento Qos1 - 2) Argento Qos2 - 3) Argento Qos3
4) Brazil Nativo [ LB + TCP Outgoing + Squid + SCA + DNSCache + ConnLim ] 5) Argento Bridge [ Control de Usuarios ]
juliojc BFW Very Participative Posts: 380 Joined: Thu Jul 03, 2008 12:45 pm Location: Peru BrazilFW box: Servidores Virtualizados: VMWare Server 2 sobre Ubuntu 8.04.4 Server LTS
Top
YIM
edit /etc/brazilfw/ipupdate.cfg
Code: Select all
<alias> <servicio> <dominio> <usuario> <contrasea> son vlidos para el no-ip y para el zoneedit # Ejemplo internet no-ip woshman.no-ip.info blablabla 123456 <alias> <servicio> <dominio> <usuario> <contrasea> <sistema> <backup mx (yes/no)> <wildcard * (yes/no)> <mail exchanger> # Ejemplo internet dyndns woshman.dyndns.info blablabla 123456 dyndns no yes (si usa, coloque el ip) ctrl+qy o
/etc/init.d/ipupdate start
Para reiniciar el servicio:
Code: Select all
/etc/init.d/ipupdate reload
edit /etc/brazilfw/mail.cfg
SERVER="smtp.poa.terra.com.br" EMAIL="blabla@terra.com.br" NAME="Nombre de muestra" AUTH="login" # login = autenticacin POP3 PASSWORD="blabla" ctrl+qy
Programa ejemplo:
edit teste
#!/bin/sh . /lib/system-mail to "teste@teste.com.br" subject "Hello World" message "<html><p>Hello World</p><img src=\"oi.jpg\"></html>" image /teste/oi.jpg logread | dos2unix -d > /tmp/log.txt attach /tmp/log.txt rm -fr /tmp/log.txt priority high send ctrl+qy
chmod +x teste
./teste
Habilitando Squid.
Especificaciones para Squid 3.0 para BrazilFW 3.0:
Para que Squid 3.0 funcione en BFW 3.0 es necesario tener un HD con un mnimo de 840MB, con un espacio libre de aproximadamente 541MB. El espacio para Squid en el HD esta calculado en un 60% de la capacidad de la particin. Por Ejemplo: Para una Particin de 10 GB el sistema libera 6 GB para el cache. En el Squid para BrazilFW 2.x se crea automaticamente 16 directorios independientemente del tamao del disco. Ahora, en Squid 3.0 de BrazilFW 3.0 los directorios son creados de acuerdo con el tamao del disco. Por ejemplo: 541 MB crea 1 directorio, 10 GB crea 14 directorios . Por cada GB de cache solamente hay que adicionar 10MB de memoria RAM, el sistema hace el clculo automtico del espacio del cache. Por el momento el trabajo de squid es solo de manera transparente.
o o o o
cache_mem 16 MB ======================> Por el momento el cache en la memoria es de 16MB maximum_object_size 20480 KB ==========> Objeto mximo 20 MB minimum_object_size 0 KB ==============> Objeto mnimo 0 KB maximum_object_size_in_memory 256 KB => Objeto mximo en la memria 256 KB
Estas configuraciones por el momento estan fijas, no esta siendo permitido hacer alteraciones en las mismas. Para habilitar el Squid haga lo siguiente: Code: Select all
backup
Para iniciar el servicio:
Code: Select all
/etc/init.d/squid start
ATENCIN:
Se aconseja utilizar el Dansguardian solamente dentro de empresas. Dentro de ISP o Proveedores no es aconsejable. El Dansguardian en accin:
Vamos a conocer algunos archivos del DansGuardian que se configuren para los bloqueos: Todos los archivos que comiencen con "banner" son de negacin y todos los que comienzan con "exception" son de excepcin Archivos que estn en el directorio /etc/brazilfw/dansguardian/lists/ o bannedextensionlist ==> Lista de bloqueo por extensin de archivos. Aqu colocan las extenciones de los archivos que desean bloquear el acceso. o bannedsitelist ==> Lista de sitios bloqueados, coloquen aqu sus listas en archivo blacklist. o filtergroupslist ==> aqu se pode atribuir a un usuario a determinado grupo, al principio todos son un solo grupo. o bannediplist ==> Lista de IP's bloqueadas. Las IP's contenidas en este archivo no tendran ningun tipo de acceso. o bannedmimetypelist ==> Tipo MIME bloqueados (download bloqueado). o bannedphraselist ==> Lista de frases "prohibidas" dentro de pgina (y no una URL). o bannedregexpurllist ==> Lista de expresiones regulares bloqueadas. o bannedurllist ==> Lista de URLs bloqueadas. o banneduserlist ==> Lista de usuarios bloqueados, usuarios sin acceso a Internet. o banneduserlist ==> Usuarios bloqueados. o contentregexplist ==> Contenido basado en expresiones regulares que sern sustituidos. o exceptioniplist ==> Excepcin de IP's filtradas (IP's de la RED que no sern filtrados). o exceptionsitelist ==> Sitios liberados. los sitios contenidos aqu son liberados de todo contenido. o exceptionphraselist ==> Lista frases que las consideramos una excepcin. o exceptionurllist ==> Lista de urls que consideramos son una excepcin (urls liberadas). o exceptionuserlist ==> Lista de usuarios que consideramos una excepcin. o greysitelist ==> Sitios que estan en la lista blanca?? o greyurllist ==> URLs que estn en la lista blanca?? o pics ==> Definicin de PICS Labeling. -------------------------o weightedphraselist ==> Lista de frases/palabras e seus "pesos" (os pesos podem ser positivos ou negativos) -------------------------Archivos que estn en el directorio /etc/brazilfw/dansguardian/ o dansguardian.conf ==> Archivo de configuracin principal. o dansguardianf1.conf ==> Archivo de configuracin de grupos de usuarios. No pienses dos veces, LEE TODOS LOS ARCHIVOS DE CONFIGURACION, eso te ayudara a entender mejor la lgica del funcionamiento del DansGuardian.
edit /etc/brazilfw/custom/squid.cfg En la linea WEB_CONTENT_FILTER='no' Cambiar 'no' por 'yes' Salvar y salir
Configure sus bloqueos (luego salvar y salir). Despus parar el SQUID e iniciar nuevamente.
/etc/init.d/squid stop
Para iniciar SQUID
Code: Select all
/etc/init.d/squid start
Cuando modifique algun archivo del directorio /etc/brazilfw/dansguardian/lists/, hacer: Code: Select all
/etc/init.d/squid reload
Cuando se muevan los archivos dansguardian.conf: dansguardianf1.conf, bannedip y exceptionip que estn juntos dentro del mismo directorio del dansguardian.conf, ejecute el siguiente comando: Code: Select all
/etc/init.d/squid restart-dg
Fuentes:
Woshman: memberlist.php?mode=viewprofile&u=1335 DansGuardian: http://www.dansguardian.org http://br-linux.org/tutoriais/003552.html Squid + DansGuardian http://www.vivaolinux.com.br/dica/Liber ... nsguardian
Trabajando con generadores de registros - Sarg y WebAlizer. Generadores de registros de BrazilFW 3.0 - Sarg y WebAlizer:
Sarg
o o
WebAlizer
Sarg:
Activando Sarg:
Code: Select all
Definiendo el idioma:
Code: Select all
edit /etc/brazilfw/custom/squid.cfg En la linea DELETE_REPORT_AFTER_DAYS='0' 0 (CERO) = Los registros estan deshabilitados Si coloca por ejemplo '30', los archivos con mas de 30 dias seran borrados.
Guarde y salga
Observacion:
Si los Hosts estan definidos en el archivo /etc/brazilfw/hosts.cfg, en Sarg aparecera con el nombre del Host. Lo que no este definido saldra con el numero de IP.
WebAlizer:
Activando WebAlizer:
Code: Select all
/etc/init.d/squid stop
Para iniciar Squid:
Code: Select all
/etc/init.d/squid start
Para ver los registros
Code: Select all
https://ns.brazilfw.local:8181/report
Habilitando QOS
edit /etc/brazilfw/brazilfw.cfg En la linea USE_QOS='no' = QOS deshabilitado Modifiquela para USE_QOS='yes' para habiltar QOS Guarde y salga
[IP] [DOWN kbits] [UP kbits] [GUARANTEE %] Ejemplo 192.168.0.0/24 512 128 30 192.168.1.1 512 128 30
[DOWN kbits] = Velocidad de Download en kbits (kilo bits por segundo). Cuidado, es kilo bits y no Kilo Bytes [UP kbits] = Velocidad de Upload en kbits (kilo bits por segundo). Cuidado, es kilo bits y no Kilo Bytes [GUARANTEE %] = Ancho de banda garantizado en porcentaje. Obs.: Aqu, la garanta se cumple si es diferente de la del Default
Si fuera a utilizar el default definido en el archivo /etc/brazilfw/qos.cfg quedaria asi: Code: Select all
Ejemplo: 192.168.0.0/24 512 128 192.168.1.2 256 64 192.168.1.3 256 64 192.168.1.4 256 64 etc ....
En la definicin de una clase de red o subred, debemos prestar atencin a las siguientes particularidades:
1.
Cuando se define una clase de red/subrede en el archivo /etc/brazilfw/qos.cfg, siempre se debe colocar la mascara de red. Si no se define la mascara de red el QOS va a asumir que la mscara es /32 para esa classe. Code: Select all
Cuando definimos una Velocidad para una IP diferente de la que est en la clase que este IP pertence, devemos declarar primeiro la IP para despues declarar la clase. Invertido este orden la regla no va a funcionar Code: Select all
Ejemplo: # Modo incorrecto: 192.168.0.0/27 512 128 192.168.0.1/27 128 64 # Modo Correcto 192.168.0.1/27 128 64 192.168.0.0/27 512 128
Para editar el archivo /etc/brazilfw/qos.cfg:
Code: Select all
edit /etc/brazilfw/qos.cfg
Habilitando o modificando el qos, ejecute el siguiente comando:
Code: Select all
/etc/rc.d/rc.qos
o o
DHCP_SERVER=no = por defecto viene deshabilitado. Para habilitarlo cambie no por yes DHCP_DEFAULT_LEASE=7200 = que corresponde a 2 Horas (puede modificar este valor a gusto)
[ip start] [ip end] Por ejemplo: 192.168.0.2 192.168.0.50 # Va de 192.168.0.2 a 192.168.0.50
El archivo reserve.cfg es para hacer reservas MAC+IP: Cabezera de /etc/brazilfw/reserve.cfg: Code: Select all
Comandos para editar los archivos: o Para editar brazilfw.cfg Code: Select all
o backup
/etc/init.d/dhcp start
/etc/init.d/dhcp reload
/etc/init.d/dhcp stop
2 - DHCP para Redes con subredes y QOS
Como se ve en el topico "Trabajando con Subredes" para crear las subredes basta con ingresar el intervalo de la(s) subred(es) en el archivo /etc/brazilfw/subnet.cfg y luego ejecutar el comando /etc/rc.d/rc.subnet o Code: Select all
Para crear un nmero de subred y la configuracin QoS de la clase de sub-red a cierta velocidad, siga los siguientes ejemplos:
Ejemplos: 1. En subnet.cfg Code: Select all
2.
Observacion:
El DHCP es ejecutado de abajo para arriba. Primeiro van las subredes y luego va la red en el dhcp. El sistema ya lo asigna automaticamente de esta forma.
Creando Subredes:
Primero una explicacion de por que la mascara esta fija en /30 (255.255.255.252) en el archivo /etc/brazilfw/subnet.cfg:
o o o
Para que las mquinas no se vean la mscara de red est fija en /30 (255.255.255.252), que posibilita solamente 2 IPs (el Gateway y la mquina cliente). Con mscaras menores a /30, ejemplo /29, /28, /27, etc, los clientes se veran. El diseo de /etc/brazilfw/subnet.cfg es exactamente como se describe arriba, es decir, para evitar que los clientes esten visibles (bloquea la visibilidad de la red) mediante el establecimiento de la mscara /30 En caso de que exista la necesidad de una mscara diferente de /30, que sea para aumentar la Subred o limitar un grupo, siga el item 2.
Para crear subredes trabajaremos con el archivo /etc/brazilfw/subnet.cfg y las crearemos con el comando /etc/rc.d/rc.subnet Ejemplo: Vamos a crear 10 Subredes. Para eso colocaremos en /etc/brazilfw/subnet.cfg el siguiente:
Explicando el local 10.50 1 10: o local = Nombre de la placa de red donde se creara la subred o 10.50 = Indice de la red o 1 = Incio de la subred o 10 = Fin de la subred
Para Crear las Subredes ejecute el siguiente comando: Code: Select all
/etc/rc.d/rc.subnet
Si desea dar un ifconfig: Code: Select all
ifconfig
En la maquina cliente quedaria de la siguiente forma: 1. Cliente 1: cliente = 10.50.1.2 mascara = 255.255.255.252 gateway = 10.50.1.1 DNS = 10.50.1.1 2. Cliente 2: cliente = 10.50.2.2 mascara = 255.255.255.252 gateway = 10.50.2.1 DNS = 10.50.2.1 Etc ......
3.
creando intervalos de 10 en 10 local 10.50 1 10 local 10.50 20 30 local 10.50 40 50 local 10.50 60 70 local 10.50 80 90 Guarde y salga:
Seran creadas las subredes: DE 10.50.1.1 a 10.50.10.1 DE 10.50.20.1 a 10.50.30.1 DE 10.50.40.1 a 10.50.50.1 ..............
/etc/rc.d/rc.subnet
Haga un Backup: Code: Select all
backup
2 - Subredes con Mscara Diferente de /30
Para crear subredes con mscara diferente de /30 ser necesario crear una nueva interface lgica. Recordando que ya existe una interface lgica llamada /etc/brazilfw/logical/local que esta ligada a la interface fisica. Creando una nueva interface lgica, por ejemplo "local2" Code: Select all
edit /etc/brafilw/logical/local2 coloque esto: LINK_ALIAS="local" # Nombre de la interface fisica LINK_CONNECTION="local" # Tipo de conexion LINK_TYPE="static" LINK_IP="10.50.0.1" # Nueva subred LINK_NETMASK="255.255.255.128" # /25 (128 utilizables) Guarde y salga
Reinicie la red: Code: Select all
/etc/rc.d/rc.inet
En el caso de que tenga DCHP habilitado, configure el intervalo de la Subred: Code: Select all
/etc/init.d/dhcp reload
Parametros:
Cabezera de /etc/brazilfw/ports/forward.cfg: Code: Select all
#<active> <alias> <protocol> <port> <ip-destination> [port] #active: yes/no #protocol: tcp/udp/all #alias: all/name of logical connection
Ejemplos: Code: Select all
<active> yes/no
<alias> = alias de enlaces = nombre de la conexin lgica coloque all para todos o especifique el link a ser usado (LoadBalance)
/etc/rc.d/rc.forward
Clonacion de MAC
En la version 3.0.197 fue agregado el clonado de MAC. A continuacion veremos como se realiza en la version 3.0. Devemos ir al archivo que configura fisicamente la placa de rede ( /etc/brazilfw/physical ) y modificar la variable ( INTERFACE_MAC="<mac>" ) Ejemplo:
edit /etc/brazilfw/physical/internet
Code: Select all
Modifique a: INTERFACE_MAC="00:00:00:00:00:00"
El archivo /etc/brazilfw/physical/internet quedara con el siguiente contenido: Code: Select all
/etc/rc.d/rc.inet
Observacion: En la version 2.x cuando se altera la MAC para volver a la original es necesario reiniciar el servidor. Ahora en la version 3.x es solo ir a la interfaz fisica y colocar el valor INTERFACE_MAC="". Luego ejecute nuevamente /etc/rc.d/rc.inet. Con esto la MAC vuelve a la original.
DNSSERVER='yes'
que se encuentra en el archivo /etc/brazilfw/brazilfw.cfg tambien podemos encontrar lo siguiente: Code: Select all
DNS1='' DNS2=''
DHCP_DNS1='' DHCP_DNS2=''
Con el BIND habilitado NO configure las variables de arriba, solo necesita configurarlas si el servidor DNS es deshabilitado. Code: Select all
DNSSERVER='no'
No es aconsejable deshabilitar el BIND para usar otros medios de resolucion de nombres. El BIND es un excelente servidor de DNS y ya esta perfectamente integrado a la version 3.0 del BFW
Backup: backup
Squid:
o o o o o o
Iniciar Squid: /etc/init.d/squid start Recargar Squid: /etc/init.d/squid reload Parar Squid: /etc/init.d/squid stop Reiniciar Squid con DansGuardian: /etc/init.d/squid restart-dg Recrear el Cache de Squid: /etc/init.d/squid cachedir Rotar los Logs dr Squid (Es ejecutado por CRON automaticamente): /etc/init.d/squid rotate
DHCP:
o o o o
Iniciar el servicio de DHCP: /etc/init.d/dhcp start Recargar DHCP: /etc/init.d/dhcp reload Parar DHCP: /etc/init.d/dhcp stop Reiniciar DHCP: /etc/init.d/dhcp restart
WebAdmin:
o o o
Iniciar el WebAdmin: /etc/init.d/webadmin start Recargar WebAdmin: /etc/init.d/webadmin reload Parar WebAdmin: /etc/init.d/webadmin stop
BIND (Servidor DNS): o Iniciar el servicio Bind: /etc/init.d/named start o Recargar Bind: /etc/init.d/named reload o Parar Bind: /etc/init.d/named stop o Detalles de Bind: /etc/init.d/named details
Cron (Tareas agendadas/programadas): o Iniciar el servicio Cron: /etc/init.d/cron start o Recargar Cron: /etc/init.d/cron reload o Parar Cron: /etc/init.d/cron stop
IpUpdate:
o o o
SSH:
Iniciar IpUpdate: /etc/init.d/ipupdate start Recargar IpUpdate: /etc/init.d/ipupdate reload Parar IpUpdate: /etc/init.d/ipupdate stop
o o o
Iniciar SSH: /etc/init.d/sshd start Recargar SSH: /etc/init.d/sshd reload Parar SSH: /etc/init.d/sshd stop
Acpi (Suporte ao desligamento da mquina): o Para Iniciar: /etc/init.d/acpi start o Para Parar: /etc/init.d/acpi stop
IpWatch (Proteccion contra IP duplicado - Si hay una IP en la red con que duplique la del Servidor BrazilFW este no caera y seguir funcionando correctamente): o Para Iniciar: /etc/init.d/ipwatch start o Para Parar: /etc/init.d/ipwatch stop