vini_3020
(usa Kurumin)
Enviado em 02/01/2008 - 12:31h
Linux – Kurumin
Montando servidor para internet com squid
Vinícius Marques
Montando um servidor para internet – Kurumin
Após a instalação do sistema operacional, configure a interface de rede de acordo com sua rede local, utilize duas placas de redes off-board; uma para interligar o servidor ao modem e outra ao hub da rede interna:
• Configurando a interface de rede:
o mcedit /etc/network/interfaces (digite este comando para abrir o editor de texto)
o Edite o arquivo interfaces de acordo com sua rede:
 auto lo eth0 (interface ligada ao modem)
 iface eth0 inet static
 address 192.168.0.1 (ip do servidor)
 netmask 255.255.255.0 (mascara da rede)
 gateway 192.168.0.254 (ip do modem)
 auto lo eth1 (interface ligada ao hub da rede interna)
 iface eth1 inet static
 address 192.168.1.254 (ip do servidor)
 netmask 255.255.255.0 (mascara da rede)
 Gateway 192.168.0.254 (ip da interface do modem)
 Salve o arquivo e saia do editor de texto:
• F2 + G + F10
 Após as alterações reinicie as interfaces de rede:
• /etc/init.d/networking restart
o mcedit /etc/resolv.conf (digite este comando para abrir o editor de texto)
o Edite o arquivo resolv.conf de acordo com seu servidor DNS:
 nameserver 200.225.197.34 (DNS primário)
 nameserver 200.225.197.37 (DNS secundário)
 Salve o arquivo e saia do editor de texto:
• F2 + G + F10
o Verifique se a conexão com a internet esta ok com o seguinte comando:
 ping
www.google.com
• Instalando os aplicativos:
o Atualize o sistema e instale os demais aplicativos:
 Apt-get update (atualiza o sistema)
 Apt-get install squid (servidor proxy para internet)
 Apt-get install sarg (gerador dos relatórios de acessos a internet)
 Apt-get install apache (para visualizar os relatórios de acessos)
 Apt-get install dhcp3-server (servidor dhcp para rede)
• Configurando o firewall:
o Desabilite o firewall para testar os serviços necessários em sua rede:
 /etc/init.d/kurumin-firewall stop
o Crie o seguinte arquivo:
 Mcedit /etc/init.d/rc.firewall
o Insira as regras de acordo com os serviços necessários em sua rede:
 Libera o servidor de email POP e SMTP:
 iptables -A FORWARD -p tcp --dport 110 -j ACCEPT
 iptables -A FORWARD -p tcp -dport 25 -j ACCEPT
 Ativa o roteamento:
 echo 1 > /proc/sys/net/ipv4/ip_forward
 Ativa o mascaramento na saída dos pacotes:
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
o Atribua permissão para execução ao arquivo do firewall:
 chmod +x /etc/init.d/rc.firewall
o Adicione o arquivo do firewall no boot do sistema:
 mcedit /etc/rc.d/rc.local
o Adicione o caminho do arquivo do firewall:
 /etc/init.d/rc.firewall
• Salvando as regras do iptables:
o Iptables-save > /etc/iptables.rules
o Iptables-restore < /etc/iptables.rules
o Adicione o arquivo salvo com as regras do iptables no boot do sistema:
 mcedit /etc/rc.d/rc.local
 Adicione o caminho onde estão as regras salvas:
• /etc/iptables.rules
• Configurando o squid:
o Renomei o arquivo de texto do squid:
 mv /etc/squid/squid.conf /etc/squid/squid.conf.velho
o Crie e edite um novo arquivo de texto para o servidor squid:
 mcedit /etc/squid/squid.conf
o Adicione as seguintes linhas no arquivo squid.conf:
 http_port 3128 (porta onde o servidor irá receber as requisições de acessos)
 visible_hostname kurumin
 acl all src 0.0.0.0/0.0.0.0 (habilita o proxy para qualquer faixa de ip)
 http_access allow all (libera acesso para a acl all)
o Reinicie o squid após as alterações:
 /etc/init.d/squid restart
o Configure o cache de paginas e arquivos:
 cache_mem 128 MB (cache rápido de memória)
 maximum_object_size_in_memory 64 KB (Maximo de memória)
 maximum_object_size 512 MB(cache no hd – Maximo)
 minimum_object_size 0 KB (cache no hd – mínimo)
 cache_swap_low 90 (% para esvaziar o cache)
 cache_swap_high 95 (% para esvaziar o cache)
 cache_dir ufs /var/spool/squid 2048 16 256 (qtd de subpastas)
 cache_access_log /var/log/squid/access.log (arquivo com o log de acessos)
o Crie o arquivo com a lista dos sites que deveram ser bloqueados:
 Mcedit /etc/squid/bloqueados
 Adicione os sites bloqueados:
• .orkut.com
• .youtube.com
• .youtube.com.br
 Salve o arquivo e saia do editor de texto:
• F2 + G + F10
 Siga o mesmo processo para criar a lista de sites liberados
• mcedit /etc/squid/liberados
o .bancodobrasil.com.br
o unibanco.com.br
o terra.com.br
o Adicione as listas de acesso no arquivo de texto do squid:
 acl bloqueados dstdomain “/etc/squid/bloqueados”
 acl liberados dstdomain “/etc/squid/liberados”
 http_access allow liberados
 http_access deny bloqueados
o Gerando os relatórios de acessos:
 sarg (comando para gerar os relatórios)
• Configurando o servidor DHCP:
o O primeiro passo e impedir o servidor de oferecer IPs na interface de rede externa.
o Então edite o seguinte arquivo:
 Mcedit /etc/default/dhcp3-server
o Procure a string INTERFACES, que diz para onde o DHCP deve oferecer IPs e mude para:
 INTERFACES=”eth1” (eth1 é a interface da rede interna)
o As informações de IP, máscara de rede e gateway padrão são fornecidas para os clientes da rede interna são configuradas no arquivo /etc/dhcp3/dhcpd.conf
o Arquivo onde devem ser armazenados os logs do DHCP:
 /var/log/daemon.log
o Configurações da subrede para onde o DHCP concedera IPs:
 subnet 192.168.1.0 netmask 255.255.255.0 {
 range 192.168.1.1 192.168.1.253; (faixa de IPs)
 option routers 192.168.1.254; (gateway padrão)
 }
o O servidor DNS pode ser o mesmo usado pelo firewall, você terá que alterar o arquivo dhcpd.conf.
o Reinicie o servidor DHCP:
 /etc/init.d/dhcp3-server restart
• Conhecendo o iptables:
o Listar as regras que estão ativas:
 iptables –l
o Adicionar uma regra:
 iptables -A + regra
o Apagar uma regra:
 Iptables -D + regra
o Apagar todas as regras:
 Iptables -F
o Autoriza para receber e-mails POP3:
 Iptables -A FORWARD -s 192.168.1.0/24 -d pop.terra.com.br -j ACCEPT
 Iptables -A FORWARD -d 192.168.1.0/24 -s pop.terra.com.br -j ACCEPT
 Iptables -A FORWARD -s 192.168.1.0/24 -d smtp.terra.com.br -j ACCEPT
 Iptables -A FORWARD -d 192.168.1.0/24 -s smtp.terra.com.br -j ACCEPT
• Proxy transparente:
o Habilitar porta squid:
 iptables -A INPUT -p TCP -s 0/0 -d 192.168.1.254 --dport 3128 -m state --state NEW -j ACCEPT
o Direcionar porta 80 para 3128:
 iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128 (eth1 corresponde interface da rede interna)
• Comandos adicionais (192.168.0.0=interface externa)::
o Liberando o ping na rede:
 iptables -A OUTPUT -p icmp -s 192.168.0.254 -d 192.168.0.0/24 --icmp-type 8 -j ACCEPT
 iptables -A INPUT -p icmp -s 192.168.0.254 -d 192.168.0.0/24 --icmp-type 8 -j ACCEPT
 iptables -A OUTPUT -p icmp -s 192.168.0.254 -d 192.168.0.0/24 --icmp-type 0 -j ACCEPT
 iptables -A INPUT -p icmp -s 192.168.0.254 -d 192.168.0.0/24 --icmp-type 0 -j ACCEPT
o Liberando o acesso a internet para rede interna
 iptables -A OUTPUT -p udp -s 192.168.0.254 -d 0/0 --dport 53 -j ACCEPT
 iptables -A INPUT -p udp -s 0/0 -d 192.168.0.254 --sport 53 -j ACCEPT
 iptables -A OUTPUT -p icmp -s 192.168.0.254 -d 0/0 --icmp-type 8 -j ACCEPT
 iptables -A INPUT -p icmp -s 0/0 -d 192.168.0.254 --icmp-type 0 -j ACCEPT
 iptables -A OUTPUT -p tcp -s 192.168.0.254 -d 0/0 --dport 80 -j ACCEPT
 iptables -A INPUT -p tcp -s 0/0 -d 192.168.0.254 --sport 80 -j ACCEPT
o Vamos fazer um compartilhamento de Internet para uma rede interna (192.168.1.0=interface de rede interna):
 iptables -A FORWARD -p udp -s 192.168.1.0/24 -d 0/0 --dport 53 -j ACCEPT
 iptables -A FORWARD -p udp -s 0/0 -d 192.168.1.0/24 --sport 53 -j ACCEPT
 iptables -A FORWARD -p icmp -s 192.168.69.0/24 -d 0/0 --icmp-type 8 -j ACCEPT
 iptables -A FORWARD -p icmp -s 0/0 -d 192.168.69.0/24 --icmp-type 0 -j ACCEPT
 iptables -A FORWARD -p tcp -s 192.168.69.0/24 -d 0/0 --dport 80 -j ACCEPT
 iptables -A FORWARD -p tcp -s 0/0 -d 192.168.69.0/24 --sport 80 -j ACCEPT
