***** Tutorial de la Versin 3.

0 de BrazilFW ***** BrazilFW Firewall and Router

A powerful network security tool, easy, safe and totally free.

ndice del Tutorial de la versin 3.0 de BrazilFW:

1. 2. 3. 4. 5. 6.
Introduccin. Origen de BrazilFW 3.0 Especificaciones Tcnicas de BrazilFW 3.0 Evolucin de la versin 3.0 de BFW. Requisitos para correr la versin 3.0 Descarga de la .iso y del Build-Tree de la versin 3.0

7. 8. 9.

Boot desde CD. Instalacin. Actualizando BFW 3.0

10. Cambiando la contrasea predeterminada de BFW 3.0 11. Conociendo el WebAdmin de BFW 3.0. 12. Instalando el Certificado Digital. 13. Conociendo el brazilfw.cfg Archivo maestro de la versin 3.0 14. Puertos predeterminados de BFW 3.0 15. Bloqueo de Puertos. 16. Nuevo Clculo de conntrack automtico 17. Configurando la Conexin. 18. Configurando LoadBalance. 19. Trabajando con "Smart Route". 20. Trabajando con Tareas programadas - Cron. 21. Habilitando Control de IP x MAC. 22. Habilitando IPUpdate. 23. Habilitando Servicio interno de Email de 3.0 24. Habilitando Squid. 25. Trabajando con DansGuardian. 26. Trabajando con Generadores de Registros - Sarg y WebAlizer. 27. Trabajando con QOS. 28. Trabajando con DHCP. 29. Trabajando con Sub-redes. 30. Trabajando con Red Wireless. 31. Trabajando con Wireless en modo AP. 32. Trabajando con virtualizacin. 33. Trabajando con Port Forwarding - Redireccin de puertos. 34. Clonacin de MAC. 35. Servidor DNS Nativo de BFW 3.0 = Bind. 36. Reservado para futuro, el captulo 37. Reservado para futuro, el captulo 38. Resumen de Comandos. 39. Indice do Apndice. 40. Apndice 1 - Direccin IP, Mscara de red y la Sub-Red (IPv4).
41. 42. 43. 44. 45. 46. 47. [url]Reservado para futuro, el captulo.[/url] [url]Reservado para futuro, el captulo.[/url] [url]Reservado para futuro, el captulo.[/url] [url]Reservado para futuro, el captulo.[/url] [url]Reservado para futuro, el captulo.[/url] [url]Reservado para futuro, el captulo.[/url] [url]Reservado para futuro, el captulo.[/url]

48. Crditos.
Servicios Existentes: Modos de Conexin STATIC (IP fijo) DHCP,

Dinamico (PPPoE) edge

Acceso seguro a WebAdmin por medio de protocolo SSL Servidor Bind (DNS Server) Squid-3.0.STABLE15 QOS Sub-Redes Load Balance (balanceo de de carga) integrado. Con cualquier tipo de Coneccin (STATIC, PPPOE, DHCP e edge)

DHCP Server para red y Sub-Redes GSM Nuevo Clculo de conntrack automtico: Con el nuevo clculo, ahora son posibles 1.652 conexiones aproximadamente por MB de memoria RAM instalada.

Ipupdate 2.0 por link independiente. Soporte para wireless en modo cliente Email con suporte para ssl (gmail) Port Forwarding - (Redireccionamento de Puertos) Smart Route Amarre de IP X MAC DansGuardian - Ideal para uso en redes empresariales Sarg para uso en redes empresariales WebAlizer para uso en Provedores

Development new "framework" for webadmin Native suporte with ssl Startup work with iface Ilimited interfaces Ilimited pppoe Ilimited dhcp-client Automated detect hardware No more sleep time in the boot

Descarga de la .iso de la versin 3.0 e Instalacin/Update de la Build-Tree de 3.0

Descargar de la .iso de BrazilFW 3.0:

http://brazilfw.com.br/users/woshman/bt/brazilfw.iso

Build-tree de BrazilFW 3.0: build-tree {install/update}

Code: Select all get-pkg /users/woshman/build-tree

Iniciar desde CD.

El CD de BrazilFW 3.0 trae los siguientes items: Boot Menu con 2 kernels ambos con sooprte para Multi-Processador: 1. 2. El primero es para mquinas que posean hasta 4 GB de memoria RAM. El segundo es para mquinas que posean hasta 64 GB de memoria RAM. 3. En caso de tener un solo procesador, el propio sistema se encargar de hacer los ajustes necesarios.

Test de memoria. En esta opcin tiene la posibilidad de hacer un test de la Memoria RAM de Server.

Iniciar desde CD:

Pantalla del Boot Menu poco despues de iniciar. El Timer es de 15 segundos. Si no selecciona una opcion el instalador ingresar de manera automatica a la primera opcion.

Despus de optar por la primera o la segunda opcin tendremos la siguiente pantalla::

Instalacin de BFW 3.0 en un "Disco" de Gran Capacidad:

El instalador crea la primera particin con 100 MB y coloca el espacio restante del HD en la segunda Particin.

Para Instalar siga estos pasos:

Ingrese como: # root ==> Enter

Ingrese con la contrasea predeterminada: # root ==> Enter

Entre com: # Instalar ==> Enter

Ahora siga estos pasos

Despues de terminar, haga clic en OK y el server ser reiniciado. Deje que el computador bootee desde el HD.

No olvide retirar el CD, ya que incluso dando arranque desde el HD, si el CD se encuentra todavia en la unidad de CD esto puede genear problema

Atualizacin/Updade de BrazilFW 3.0 despues de Instalado:

Despues de instalado, al ser lanzada una nueva versin, basta con bajar la nueva .iso y copiar los archivos brazilfw.gz e version.inf para el directorio /mnt y reiniciar el server. Con esto, su servidor ser actualizado. O Atualizacin / update Apartir de la versin 3.0.197 ==> update ==> For webadmin

Cambiando la contrasea predeterminada de BFW 3.0

La contrasea predeterminada de BFW 3.0 es: root Code: Select all

root
Cambie la contrasea despues de la instalacin con el siguiente comando: Code: Select all

passwd
Haga Backup: Code: Select all

backup

Vea los pantallasos:

Conociendo el WebAdmin de BFW 3.0.

Capturas de pantalla del WebAdmin:

Instalando el Certificado Digital.

Ahora, acceder al WebAdmin de BrazilFW 3.0 se realizar por medio de una conexin segura por certificado SSL. Por defecto, para acceder al WebAdmin basta con ingresar la direccion https://ns.brazilfw.local:8181 en su navegador. Como el certificado aun no ha sido instalado en el navegador, al acceder al WebAmin mostrar un mensaje en rojo. Para que este mensaje en rojo no vuelva a parecer, debemos instalar el certificado. La validez del certificado es de 10 aos A continuacin se relacionan los pasos para la instalacin del certificado. ==> 1 Procedimiento vlido para internet Explorer 6.0, 7.0 u 8.0 : En la barra de direcciones ingrese lo siguiente: https://ns.brazilfw.local:8181/getcert.cgi Ahora, guese por las siguientes capturas de pantalla: Nombre de usuario (login) y contrasea: Ingrese con los datos creados para BrazilFW

Abrir

Clic en instalar certificado

Siguiente

Colocar todos los certificados en el siguiente almacn ==> Examinar

Entidades emisoras raz de confianza ==> OK

Siguiente

Finalizar

Este proceso instalar el certificado brazilfw cert 3. Hecho esto, al ingresar al WebAdmin de BFW no volver a mostrar el mensaje de color rojo Al hacer clic sobre el candado, usted ver el certificado. As usted sabr que certificado est asignado, y para cual sitio es vlido.

==> 2 Procedimiento vlido para Mozila FireFox: En FireFox, primero se debe bajar y guardar el certificado. En la barra de direcciones ingrese lo siguiente: https://ns.brazilfw.local:8181/getcert.cgi Ahora, guese por las siguientes capturas de pantalla: Clic en "O puede agregar una excepcin "

Clic en "agregar excepcin "

Verificar certificado ==> confirmar excepcin de seguridad "

Ingresar con Usuario y Contrasea

Clic en "Guardar archivo"

Guarde el certificado en una carpeta de su preferencia "

==> Despus de bajar el Certificado y guardarlo, realice los siguientes pasos: Herramientas ==> Opciones

Pestaa Avanzado ==> Criptografa ==> Certificados

Autoridades ==> Importar

Localice certificado en la carpeta donde lo halla guardado y seleccinelo

Marcar las siguientes opciones ==>Considerar confiable este CA para identificar Sitios ==> ............................ para identificar usuarios ==> ............ para identificar autores de programas ==> ............................................................ OK ==> ...................................................................OK

Observacin:

1 Si ingresa con la ip en cambio del dns, aparecer el mensaje de color rojo nuevamente, ya que fue instalado solamente con el nombre. 2 Si cambia el nombre de su bfw (ns.brazilfw.local), vasta con eliminar el certificado y reniciar el servicio de WebAdmin, entonces ser generado un nuevo certificado para el nuevo dominio. Para esto, haga lo siguiente: Comandos para renovar el certificado despus de renovar el dominio: Ingrese va PuTTy Code: Select all

/etc/init.d/webadmin stop cd /etc/brazilfw/cert rm -fr brazilfw_ssl.* /etc/init.d/webadmin start backup

Renueve el Bind Code: Select all

/etc/init.d/named reload

Accediendo al WebAdmin:

Con los procedimientos de arriba el nuevo dominio ya entra para toda la red con un nuevo certificado

Si usted cambio el dominio que viene por defecto en el BrazilFW, digite en la barra de direcciones del navegador de su preferencia la siguiente direccin:

https://ns.brazilfw.local:8181

Conociendo el brazilfw.cfg - Archivo Maestro de la Versin 3.0

En este captulo conoceremos el Archivo Maestro del BFW 3.X ( /etc/brazilfw/brazilfw.cfg ) a travs de los comentarios realizados por cada lnea

Variables

Los nombres de las variables estn en letras maysculas y posiblemente tengan guin abajo ( _ ). Las variables son citadas en minsculas entre comillas simples ( ' ' )

El contenido que viene por defecto del /etc/brazilfw/brazilfw.cfg se ve as:

WEBADMIN_PORT='8181' SSH_PORT='22' ADMIN_AUTH='xxxxxxxxxxxxxxxx' DNSSERVER='yes' DNS1='' DNS2='' DHCP_DNS1='' DHCP_DNS2='' NAMESERVER='ns' DOMAIN='brazilfw' LOCALDOMAIN='local' PERSIST_LOG='no' USE_SWAP='no' SWAP_MEM='' PARTITION='' TIMEZONE='EST3' CACHE_DISK='no' USE_QOS='no' QOS_DEFAULT_GUARANTEE='10' DHCP_SERVER='no' DHCP_DEFAULT_LEASE='7200' IPUPDATE='no' IPUPDATE_REFRESH='600' USE_MAC_CONTROL='no' DISABLE_NAT='no' DISABLE_CONNLIMIT='no' CERTIFICATE_ISSUED_TO='' EXTERNAL_PING='yes'
Ahora veamos las variables y sus definiciones:
WEBADMIN_PORT='8181'

Code: Select all

Puerto de acceso al WebAdmin. Puerto por defecto = 8181

SSH_PORT='22' Puerto de acceso al ssh. Puerto por defecto = 22

ADMIN_AUTH='xxxxxxxxxxxxxxxxxx' Contrasea de root encriptada

DNSSERVER='yes'

Servidor DNS nativo del 3.x (Bind). Por defecto est habilitado ='yes'

DNS1='' DNS2='' DHCP_DNS1='' DHCP_DNS2=''

Estando el Bind habilitado las variables DNS1; DNS2; DHCP_DNS1 e DHCP_DNS NO deben ser llenadas.

Las variables DNS1; DNS2; DHCP_DNS1 e DHCP_DNS slo deben ser llenadas si el el Bind (DNSSERVER) est en 'no'

NAMESERVER='ns' Nombre del Servidor DNS. Por defecto viene como 'ns'

DOMAIN='brazilfw' Nombre del Dominio. Por defecto viene como 'brazilfw'

LOCALDOMAIN='local' Extensin del Dominio. Por defecto viene como 'local'

PERSIST_LOG='no'

Graba el log en disco. Por defecto viene deshabilitado = 'no'

USE_SWAP='no' Activa Memoria virtual en disco. Por defecto viene deshabilitado = 'no'

SWAP_MEM='' Establece el valor de la Memoria Virtual en disco

PARTITION=''

Similar a la memoria virtual del Windows (SWAP MEMORY) Ejemplo: SWAP_MEM='1024' - Ser creada una memoria virtual de 1024 MB que ser tomada de la memoria RAM del Server.

Define manualmente donde est la particin, en caso de usar otro HD. An se est testeando.

TIMEZONE='EST3' Regin de los uso horario

CACHE_DISK='no'

Servidor Proxy nativo del 3.X (Squid). Por defecto viene deshabilitado = 'no'

USE_QOS='no' Control de Ancho de Banda del 3.X Por defecto viene deshabilitado = 'no'

QOS_DEFAULT_GUARANTEE='10' Valor por defecto que garantiza para QoS

DHCP_SERVER='no' Servidor DHCP. Por defecto viene deshabilitado = 'no'

DHCP_DEFAULT_LEASE='7200' Tiempo de concesin para DHCP Server. Por defecto viene '7200' = 2 Horas.

IPUPDATE='no' IPUPDATE_REFRESH='600' IpUpdate y tiempo de actualizacin. Por defecto viene deshabilitado = 'no' y con el tiempo '600' = 10 Minutos.

USE_MAC_CONTROL='no'

Control de MAC X IP. Por defecto viene deshabilitado = 'no'

DISABLE_NAT='no' Deshabilita el Enmascaramiento de IP (Compartido). El valor predeterminado es = 'no'

DISABLE_CONNLIMIT='no' Deshabilita el Connlimit automtico del QOS. El valor predeterminado es = 'no'

CERTIFICATE_ISSUED_TO='' Para personalizar el certificado de (https).

EXTERNAL_PING='yes'

Activa o Desactiva el Ping Externo. Por defecto est Activado = 'yes' Puertos predeterminados de BFW 3.0
Relacin de Puertos en BFW 3.0
22.....................Acceso SSH 53.....................Acceso DNS 3128..................Acceso Squid 8080..................Acceso Dansguardian

8181..................Acceso Webadmin

Bloqueo de puertos en BFW 3.0

Contenido del archivo: "/etc/brazilfw/ports/blocked.cfg" Code: Select all

yes yes yes yes yes

22 tcp # 53 all # 3128 tcp 8080 tcp 8181 tcp

Acceso externo a Acceso externo a # Acceso externo # Acceso externo # Acceso externo

SSH DNS a Squid a Dansguardian a Webadmin

De manera predeterminada; los accesos externos a los siguientes "servicios" vienen bloqueados: SSH DNS Squid Dansguardian Webadmin

Ejemplo:

Para desbloquear un determinado puerto, basta con cambiar el yes por no y reiniciar el servicio.

Si quiere liberar el acceso externo al webadmin haga lo siguiente: Code: Select all

edit /etc/brazilfw/ports/blocked.cfg Donde dice "yes 8181 tcp" cambie por "no 8181 tcp" Guarde y salga
Realice un Backup Code: Select all

# backup

Para reiniciar el servicio:

Code: Select all

# /etc/rc.d/rc.blocked

Liberando el Acceso Externo (Administrativo)

A Partir de la versin 3.0.206 todos los servicios que necesiten del acceso externo, debern ser liberados antes. Ejemplo: Liberar el acceso externo al SSH y al Webadmin.

1 - Usando el Terminal (a travs del propio servidor o accediendo por ssh)

Por consola: Code: Select all

cd /etc/brazilfw/ports edit accept.cfg yes <porta ssh> tcp yes <porta webadmin> tcp
ctrl+wq backup Reemplace <porta ssh> por el nmero del puerto (por defecto es 22) Reemplace <porta webadmin> por el nmero del puerto (por defecto es 8181) Y editamos: Code: Select all

Para reiniciar el servicio:

/etc/rc.d/rc.accept

Code: Select all

Nuevo Clculo de ConnTrack Automtico

Clculo de Conntrack Automtico = El sistema ajusta automticamente la cantidad mxima de conexiones de su red de acuerdo a la cantidad de memoria RAM que posea el Servidor:

Antes, la regla era: 64 conexiones por Mega. Ejemplo: Su servidor tiene 256 MB de RAM, usted tendra 256 x 64 = 16.384 conexiones. Fuente: viewtopic.php?f=2&t=67340#p158468

Ahora con el nuevo calculo, quedara as: 1.652 conexiones aproximadamente por Mega Ejemplo: Su servidor tiene 256 MB de RAM, usted tendra 256 x 1.652 = 422.912 conexiones aproximadamente.

Configurando la Conexin.

Observacin Importante:
De manera predeterminada el BrazilFW apunta a eth0 para la red local y la eth1 para internet. Con eso, todos los ejemplos en este capitulo y en los siguientes se seguirn usando esta misma configuracin predeterminada de BrazilFW. Teniendo, por ejemplo, un segundo link de internet, este sera eth2 y as sucesivamente.

Red Local = eth0:

La eth0 viene con la red 192.168.0.1/24. Coloque la que usted acostumbre a usar. Solo tenga cuidado deusar una clase valida para red privada (cualquier duda en cuanto a "redes privadas" vea el siguiente tutorial "Endereo IP, Mscaras de Redes e Sub-Rede (IPV4)."). eth0 de forma predeterminada Ruta => /etc/brazilfw/logical/local Code: Select all

LINK_ALIAS="local" LINK_CONNECTION="local" LINK_TYPE="static" LINK_IP="192.168.0.1" LINK_NETMASK="255.255.255.0"

Para cambiar la red local edite el archivo /etc/brazilfw/logical/local Code: Select all

edit /etc/brazilfw/logical/local

Cambie por la IP y mascara de su red/Subred, Guarde y Salga

Para cambiar la red local y el link de internet entre en /etc/brazilfw/logical

Link Internet = eth1:

El(los) archivo(s) del(los) link(s) de internet estn en el /etc/brazilfw/logical/ Abajo veremos ejemplos para los tipos de conexin de internet de BFW3.0 Recordando que, aqu fue colocado el nombre del archivo del link de "internet", pero usted puede colocar cualquier otro nombre. 1. Conexin esttica: Code: Select all

LINK_ALIAS="internet" LINK_CONNECTION="internet" LINK_TYPE="static" LINK_IP="10.1.1.2" LINK_NETMASK="255.255.255.252" LINK_GATEWAY="10.1.1.1" # LINK_WEIGHT es el peso del link para LoadBalance LINK_WEIGHT="1"
Code: Select all

edit /etc/brazilfw/logical/internet # Usted debe cambiar la ip, mascara y gateway del link esttico. Guarde y Salga
2. Conexin pppoe: Code: Select all

LINK_ALIAS="internet" LINK_CONNECTION="internet"

LINK_TYPE="pppoe" LINK_USERNAME="xxxxxxxxxx@xxxxxxx.com.br" LINK_PASSWORD="xxxxxxxxxxx" # LINK_WEIGHT es el peso del link para LoadBalance LINK_WEIGHT="1" edit /etc/brazilfw/logical/internet LINK_USERNAME="coloque aqui su login DSL" LINK_PASSWORD="coloque aqui a su contrasea DSL" Guarde y Salga.
3. Conexin DHCP: Code: Select all Code: Select all

LINK_ALIAS="internet" LINK_CONNECTION="internet" LINK_TYPE="dhcp" # LINK_WEIGHT es el peso del link para LoadBalance LINK_WEIGHT="1"

Conexin ppp (conexin va grps/edge/evdo/3g:

Operadora Claro: Code: Select all

edit /etc/brazilfw/logical/claro LINK_DEVICE="ttyUSB0" #En caso que su mdem sea detectado en otro puerto, favor cambiar. LINK_CONNECTION="internet" LINK_TYPE="ppp" LINK_PHONE="*99***1#" LINK_PROVIDER="claro.com.br' LINK_USERNAME="claro" LINK_PASSWORD="claro" LINK_WEIGHT="1"
Operadora Vivo: Code: Select all

edit /etc/brazilfw/logical/vivo LINK_DEVICE="ttyUSB0" #En caso que su mdem sea detectado en otro puerto, favor cambiar. LINK_CONNECTION="internet" LINK_TYPE="ppp" LINK_PHONE="#777" #vivozap LINK_PROVIDER="" LINK_USERNAME="<ddd><telefone>@vivozap.com.br" #ex 1991234567@vivozap.com.br LINK_PASSWORD="vivo" LINK_WEIGHT="1"
Realice Backup Code: Select all

backup

Para iniciar o reiniciar el servicio:

Code: Select all

/etc/rc.d/rc.inet
OBS.: Si no va a usar la versin 3.0 como servidor DHCP, deber colocar en DNS la IP de BFW en la mquina cliente, de lo contrario no habr navegacin.

Configurando LoadBalance.
LoadBalance usando dos links ADSL (1 de 2 MB e 1 de MB). Usando pppoe en los dos links. Vlido para links de diferentes operadoras. Para links de la misma operadora vea la Observacin de abaijo.

Placa de Red:

En /etc/brazifw/physical tenemos el archivo de internet que hace referencia a la eth1. Lo que tenemos que hacer es crear archivos para cada ethX que adicionaremos. Ejemplo: internet2 para eth2 y asi sucesivamente (Nota: El nombre internet2 puede cambiarlo por uno que crea conveniente) Entonces en /etc/brazifw/physical tendramos, adems de otros, los siguientes archivos: internet para eth1 (Este viene de forma predeterminada) Code: Select all

edit /etc/brazilfw/physical/internet INTERFACE_TYPE="cabled" INTERFACE_PHYSICAL="eth1"

internet2 para eth2 (Deber crearlo) Code: Select all

edit /etc/brazilfw/physical/internet2 INTERFACE_TYPE="cabled" INTERFACE_PHYSICAL="eth2"

Existiendo ms placas de red signa el mismo esquema.

Ahora tenemos que crear los discadores en /etc/brazifw/logical

All ya tenemos el archivo internet que hace referencia a eth1 Code: Select all

edit /etc/brazilfw/logical/internet LINK_ALIAS="internet" LINK_CONNECTION="internet" LINK_TYPE="pppoe" LINK_USERNAME="xxxxxx@xxxxx" LINK_PASSWORD="xxxxxxx" LINK_WEIGHT="2"

Ahora, tenemos que crear el archivo, como por ejemplo, internet2 que ser el segundo "discador" para la interfase eth2 Code: Select all

edit /etc/brazilfw/logical/internet2 LINK_ALIAS="internet2" LINK_CONNECTION="internet" LINK_TYPE="pppoe" LINK_USERNAME="xxxxxx@xxxxx" LINK_PASSWORD="xxxxxxx" LINK_WEIGHT="1"

Existiendo mas placas de red se debe seguir el mismo esquema.

Haga Backup: Code: Select all

backup
Para iniciar o reiniciar el servicio:
Code: Select all

/etc/rc.d/rc.inet

Observacin: Si los links usados para hacer LoadBalance fuesen de la misma operadora, los mdems deben ser Routeados. Si usamos los mdems en modo Bridge con enlaces de la misma operadora tendremos problemas.
Antes, dos explicaciones:

1. 2.

Motivo: Enlaces de la misma operadora con el mdem en modo Bridge el Gateway para BrazilFW ser el mismo. Entendido? Mdem Routeado: antes que aparezca un grupo en contra y un grupo a favor del modem routeado, digo que, disculpen los contras, es solo usar modem confiables para la tarea. Entonces, por favor, nada de estar intentando mostrar "esto o aquello" del mdem routeado. Ese asunto es casi una religin y la religin no se discute, se sigue o no se sigue. Entendido?

Placa de Red:

En /etc/brazifw/physical tenemos el archivo internet que hace referencia a eth1. Lo que tenemos que hacer es crear archivos para cada ethX que adicionaremos. Ejemplo: internet2 para eth2 y as sucesivamente (Nota: El nombre internet2 usted puede cambiarlo por el que crea conveniente) Entonces en /etc/brazifw/physical tendramos, adems de otros, los siguientes archivos: internet para eth1 (Este ya viene de manera predeterminada) Code: Select all

edit /etc/brazilfw/physical/internet INTERFACE_TYPE="cabled" INTERFACE_PHYSICAL="eth1"

internet2 para eth2 (Tendr que crearlo) Code: Select all

edit /etc/brazilfw/physical/internet2 INTERFACE_TYPE="cabled" INTERFACE_PHYSICAL="eth2"

Existiendo ms placas de red sigan el mismo esquema.

Ahora tenemos que crear los Links en /etc/brazifw/logical

All ya tenemos el archivo internet que hace referencia a eth1 Code: Select all

edit /etc/brazilfw/logical/internet LINK_ALIAS="internet" LINK_CONNECTION="internet" LINK_TYPE="static" LINK_IP="10.1.1.2" LINK_NETMASK="255.255.255.252" LINK_GATEWAY="10.1.1.1" LINK_WEIGHT="2"

Ahora, tenemos que crear el archivo, como por ejemplo, internet2 que ser el segundo "link" para eth2 Code: Select all

edit /etc/brazilfw/logical/internet2 LINK_ALIAS="internet2" LINK_CONNECTION="internet" LINK_TYPE="static" LINK_IP="10.50.1.2" LINK_NETMASK="255.255.255.252" LINK_GATEWAY="10.50.1.1" LINK_WEIGHT="1"

Existiendo ms placas de red sigan el mismo esquema.

Haga Backup: Code: Select all

backup

Para iniciar o reiniciar el servicio:

Code: Select all

/etc/rc.d/rc.inet

Trabajando con "Smart Route". Smart Route:

El enlace es verificado cada 10 segundos, en caso de cambios, tanto Squid como las rutas sern recargadas.

Parmetros:

Header del /etc/brazilfw/route.cfg: Code: Select all

[activo] [origen] [ruta(s)] [comando] [argumentos]

Ejemplos: Code: Select all

yes yes yes yes yes yes yes yes

[activo] [origen] yes/no

n n s f f s s s

internet1,internet2 internet1,internet2 internet1,internet2 internet2,internet1 internet2,internet. internet1,internet2 internet2,internet1 internet1,internet2

port 443 tcp port 80 tcp browser source browser port 25 tcp port 110 tcp source 192.168.0.1,192.168.0.2,192.168.0.3,192.168.0.4 source 192.168.0.5,192.168.0.6,192.168.0.7 source 192.168.0.0/24,10.0.0.5,192.168.50.0/30

n = network (origen de la red) f = firewall (origen del propio firewall) s = squid (origen del squid) [rutas] = adems de los links Ejemplo: Se tienen 3 links y fue colocado el alias para los links: link 1 = internet1 link 2 = internet2 link 3 = internet3

1. 2.
3. 4. [comando]

Para separar los links usamos la coma (,).

Ejemplo: internet,internet2,internet3

El orden es quien define la priridad. 1,2,3... Si por algun motivo el primer link esta cado, el segundo lo asumir, si el segundo link esta cado, el tercero lo asumir, volviendo el primer link este asumir el puesto de el. Si fuese definido solamente un link, teniendo mas de un servidor y el link definido est caido, el entrar en load balance.

A.

Si el [origem] for n o f A. B. C. D. E. F. G. port [puerto] [protocolo] [filtro] source [ip] dest [ip/url] source-port [ip] [puerto] [protocolo] [filtro] dest-port [ip] [puerto] [protocolo] [filtro] [protocolo] = tcp, udp [filter] = Todos los filtros validos del protocolo L7

B.

Si el [origem] for s source [ip(s) / browser] browser = Detecta que navegador est usando el usuarioy el fija solamente la ruta predeterminada en el comando dest-domain [dominios] ex: .terra.com.br .orkut.com .uol.com.br

Ejemplos para ser usados en route.cfg:

Code: Select all

edit /etc/brazilfw/route.cfg
Code: Select all

# sin squid yes n internet1,internet2 port 80 tcp browser # con squid yes s internet1,internet2 source browser # https yes n internet1,internet2 port 443 tcp

# Cambiar el nombre internet1,internet2,... por el nombre que defini antes en la configuracin del sistema

"Dividiendo (sectorizando)" la Red:

Obs.: Para separar las IPs o Redes usamos la coma (,).

Ejemplos:
1. Colocando ips para salir en un orden y otros ips en otro orden. Code: Select all

yes s internet1,internet2 source 192.168.0.1,192.168.0.2,192.168.0.3,192.168.0.4 yes s internet2,internet1 source 192.168.0.5,192.168.0.6,192.168.0.7

2. Colocando una red para salir en un oren y otras redes en otro orden. Code: Select all

yes s internet1,internet2 source 192.168.0.0/24 yes s internet2,internet1 source 10.1.1.1/24,192.168.50.0/30

3. Forzando un IP por un solo link y el resto de la red por otro link. Code: Select all

yes s internet1,internet2 source 192.168.0.5 yes s internet2,internet3 source all # Todo lo que no for do IP 192.168.0.5 entra en internet2 o en internet3
4. Forzando dominios por un solo link. Code: Select all

yes s internet1,internet2 dest-domain .terra.com.br,.orkut.com.br,.uol.com.br

Pregunta del usuario "rhine-pr": Tengo una cantidad enorme de ips de youtube, globo, y otros, como debo configurar LoadBalance para escoger esos destinos? Por Ejemplo, Determinar que una direccin de internet (no de ip interno) salga por un determinado link, tipo: Code: Select all

dest y LB1 209.85.173.0/24 80 80 #googlevideos dest y LB2 209.85.174.0/23 80 80 #googlevideos dest y LB3 209.85.192.0/23 80 80 #googlevideos # Determinar que cada IP saldr por un link usando el puerto 80 ...
Para la red interna, quedara asi: Code: Select all

net y LB1 LAN1 192.168.7.1 32 # # Determinar que el link 1 va a ser direccionado para eth0 (lan1) para el IP 192.168.7.1

Respuesta de "Woshman": En BrazilFW 3.x, usando el squid, quedara as: Code: Select all

yes s internet1,internet2,internet3 dest-domain video.google.com yes s internet2 dest-domain .globo.com yes s internet3 dest-domain .youtube.com yes s internet1,internet2,internet3 source 192.168.7.1/32
Para iniciar o reiniciar el servicio:
Code: Select all

/etc/rc.d/rc.route

Trabajando con las Tareas Programadas - Cron. Tareas Programadas - Cron:

De forma predeterminada el cron (Tareas programadas) viene habilitado. Despus de realizar alguna modificacin del archivo /etc/brazilfw/cron.cfg es solo recargar el servicio.

Parmetros:
Header de /etc/brazilfw/cron.cfg: Code: Select all

mm hh dd MM ss script comentario | | | | | | | | | | | | | +-------| | | | | +---------------| | | | +--------------------domingo=0) | | | +-----------------------| | +--------------------------| +-----------------------------+--------------------------------Observaciones:

1.

Comentrio Comando/script a ser ejecutado Dia de la semana (0 - 6) (comenzando en Mes (1 - 12) Da del mes (1 - 31) Hora (0 - 23) Minuto (0 - 59)

En Da de la semana, 0 se refiere a domingo; y 6, a sbado. En el caso del dia de la semana, este tambin funciona con las tres primeras letras (en ingls) del da da semana (SUN,MON,TUE,WED,THU,FRI,SAT) En cualquier posicin se puede usar el * (asterisco) cuando no importa el campo en cuestin. Se puede utilizar intervalos en esos campos. El carcter para intervalo es el - (Guin). Se puede utilizar una lista de valores en esos campos. El carcter para la lista es la , (coma). Cualquier texto colocado despus del programa que ser ejecutado, ser considerado comentario y no ser interpretado por el cron

2. 3. 4.
5.

Ejemplo:

6.

Code: Select all

00 * * * * script # Todos los das cada hora (siempre) 00-59/5 * * * * script #De cinco en cinco minutos (osea, cada 5 minutos) todos los das (note la divisin por 5 en el intervalo 00-59)
Para reiniciar el servicio:
Code: Select all

7.

Code: Select all

/etc/init.d/cron reload

Habilitando el Control IP x MAC. Amarrar IP x MAC: Parmetros:

En el encabezado /etc/brazilfw/reserve.cfg: Code: Select all

[ip] [mac] 192.168.0.1 2e:00:54:16:a4:66

Observaciones:

1. 2.

El archivo /etc/brazilfw/reserve.cfg es el mismo para la reserva de ips para el DHCP El MAC debe estar con dos puntos(:) y no con el guin (-)

Ejemplo: 192.168.0.1 2e:00:54:16:a4:66

Para activar el control de mac/ip editar el archivo /etc/brazilfw/brazilfw.cfg y escribir 'yes' en USE_MAC_CONTROL Code: Select all

edit /etc/brazilfw/brazilfw.cfg USE_MAC_CONTROL='yes'

El concepto usado en el control MAC x IP es la misma de la Lista Blanca. Slo navegarn quienes estn registrados en la lista. Si el Control MAC x IP est habilitado en el brazilfw.cfg, y el MAC no est en la lista, el cliente no conseguir hacer nada. Ni siquiera podr conseguir hacer ping al BFW. A travs del MAC no registrado slo se podr tener acceso al puerto del webadmin y al puerto ssh para realizar un eventual mantenimiento.

Ejemplo:

Si necesita bloquear una determinada MAC. Basta con ir a la lnea de IP/MAC, la comenta y recarga el servicio. Automticamente el cliente es bloqueado, no pasar por el QOS ni por el Squid. Code: Select all

edit /etc/brazilfw/reserve.cfg
Code: Select all

#192.168.0.1 2e:00:54:16:a4:66
Code: Select all

/etc/rc.d/rc.macip
Para iniciar o reiniciar el servicio:
Code: Select all

/etc/rc.d/rc.macip

Click aqu para volver al ndice. Last edited by juliojc on Mon Sep 07, 2009 5:15 pm, edited 2 times in total. -----------Julio Csar
--------------------------------------------------------HP Proliant ML115 G5 QuadCore AMD64 Opteron 2.2GHz, 4GB RAM, 250GB HDD VMware Server 2 - Ubuntu Server 8.04.4 - AMD64 --------------------------------------------------------1) Argento Qos1 - 2) Argento Qos2 - 3) Argento Qos3 4) Brazil Nativo [ LB + TCP Outgoing + Squid + SCA + DNSCache + ConnLim ] 5) Argento Bridge [ Control de Usuarios ]

juliojc

BFW Very Participative Posts: 380 Joined: Thu Jul 03, 2008 12:45 pm Location: Peru BrazilFW box: Servidores Virtualizados: VMWare Server 2 sobre Ubuntu 8.04.4 Server LTS

Top

YIM

Tutorial de la versin 3.0 de BrazilFW - Habilitando el IPUp

by juliojc Mon Sep 07, 2009 4:43 pm

Habilitando el IPUpdate. Parmetros:

En el encabezado /etc/brazilfw/ipupdate.cfg: Code: Select all

edit /etc/brazilfw/ipupdate.cfg
Code: Select all

<alias> <servicio> <dominio> <usuario> <contrasea> son vlidos para el no-ip y para el zoneedit # Ejemplo internet no-ip woshman.no-ip.info blablabla 123456 <alias> <servicio> <dominio> <usuario> <contrasea> <sistema> <backup mx (yes/no)> <wildcard * (yes/no)> <mail exchanger> # Ejemplo internet dyndns woshman.dyndns.info blablabla 123456 dyndns no yes (si usa, coloque el ip) ctrl+qy
Es necesario habilitar el IpUpdate en el Archivo Principal ( /etc/brazilfw/brazilfw.cfg )

edit /etc/brazilfw/brazilfw.cfg IPUPDATE="yes" ctrl+qy

Para iniciar el servicio:
Code: Select all

Code: Select all

/etc/init.d/ipupdate start

Para reiniciar el servicio:

Code: Select all

/etc/init.d/ipupdate reload

Habilitando el Servicio interno de Email del 3.0

Como utilizar el sistema de email:
Code: Select all

edit /etc/brazilfw/mail.cfg
Si fuera a utilizar gmail Code: Select all

SERVER="smtp.gmail.com" EMAIL="blabla@gmail.com" NAME="Nombre de muestra" AUTH="on" PORT="587" SSL="yes" PASSWORD="blabla" ctrl+qy

Si fuera a utilizar terra Code: Select all

SERVER="smtp.poa.terra.com.br" EMAIL="blabla@terra.com.br" NAME="Nombre de muestra" AUTH="login" # login = autenticacin POP3 PASSWORD="blabla" ctrl+qy
Programa ejemplo:

Code: Select all

edit teste
Code: Select all

#!/bin/sh . /lib/system-mail to "teste@teste.com.br" subject "Hello World" message "<html><p>Hello World</p><img src=\"oi.jpg\"></html>" image /teste/oi.jpg logread | dos2unix -d > /tmp/log.txt attach /tmp/log.txt rm -fr /tmp/log.txt priority high send ctrl+qy

Code: Select all

chmod +x teste
Code: Select all

./teste

Habilitando Squid.
Especificaciones para Squid 3.0 para BrazilFW 3.0:
Para que Squid 3.0 funcione en BFW 3.0 es necesario tener un HD con un mnimo de 840MB, con un espacio libre de aproximadamente 541MB. El espacio para Squid en el HD esta calculado en un 60% de la capacidad de la particin. Por Ejemplo: Para una Particin de 10 GB el sistema libera 6 GB para el cache. En el Squid para BrazilFW 2.x se crea automaticamente 16 directorios independientemente del tamao del disco. Ahora, en Squid 3.0 de BrazilFW 3.0 los directorios son creados de acuerdo con el tamao del disco. Por ejemplo: 541 MB crea 1 directorio, 10 GB crea 14 directorios . Por cada GB de cache solamente hay que adicionar 10MB de memoria RAM, el sistema hace el clculo automtico del espacio del cache. Por el momento el trabajo de squid es solo de manera transparente.

Parametros definidos (fijos por el momento) en Squid para BFW 3.0: cache_mem 16 MB ======================> Por el momento el cache en la memoria es de 16MB maximum_object_size 20480 KB ==========> Objeto mximo 20 MB minimum_object_size 0 KB ==============> Objeto mnimo 0 KB maximum_object_size_in_memory 256 KB => Objeto mximo en la memria 256 KB

Estas configuraciones por el momento estan fijas, no esta siendo permitido hacer alteraciones en las mismas. Para habilitar el Squid haga lo siguiente: Code: Select all

edit /etc/brazilfw/brazilfw.cfg # Donde dice CACHE_DISK='no' colocar CACHE_DISK='yes' Salve y Salga

Haga Backup Code: Select all

backup
Para iniciar el servicio:
Code: Select all

/etc/init.d/squid start

Trabajando con DansGuardian.

DansGuardian para BrazilFW 3.0:
El Dansguardian es un filtro que si integra al SQUID para la filtracin del contenido incorrecto, segn nuestra configuracin Es muy til en las redes donde se necesita un control riguroso de las pginas visitadas, siendo mucho ms completas que las reglas del mismo SQUID. Aunque es riguroso, es extremadamente flexible.

ATENCIN:
Se aconseja utilizar el Dansguardian solamente dentro de empresas. Dentro de ISP o Proveedores no es aconsejable. El Dansguardian en accin:

Vamos a conocer algunos archivos del DansGuardian que se configuren para los bloqueos: Todos los archivos que comiencen con "banner" son de negacin y todos los que comienzan con "exception" son de excepcin Archivos que estn en el directorio /etc/brazilfw/dansguardian/lists/ o bannedextensionlist ==> Lista de bloqueo por extensin de archivos. Aqu colocan las extenciones de los archivos que desean bloquear el acceso. o bannedsitelist ==> Lista de sitios bloqueados, coloquen aqu sus listas en archivo blacklist. o filtergroupslist ==> aqu se pode atribuir a un usuario a determinado grupo, al principio todos son un solo grupo. o bannediplist ==> Lista de IP's bloqueadas. Las IP's contenidas en este archivo no tendran ningun tipo de acceso. o bannedmimetypelist ==> Tipo MIME bloqueados (download bloqueado). o bannedphraselist ==> Lista de frases "prohibidas" dentro de pgina (y no una URL). o bannedregexpurllist ==> Lista de expresiones regulares bloqueadas. o bannedurllist ==> Lista de URLs bloqueadas. o banneduserlist ==> Lista de usuarios bloqueados, usuarios sin acceso a Internet. o banneduserlist ==> Usuarios bloqueados. o contentregexplist ==> Contenido basado en expresiones regulares que sern sustituidos. o exceptioniplist ==> Excepcin de IP's filtradas (IP's de la RED que no sern filtrados). o exceptionsitelist ==> Sitios liberados. los sitios contenidos aqu son liberados de todo contenido. o exceptionphraselist ==> Lista frases que las consideramos una excepcin. o exceptionurllist ==> Lista de urls que consideramos son una excepcin (urls liberadas). o exceptionuserlist ==> Lista de usuarios que consideramos una excepcin. o greysitelist ==> Sitios que estan en la lista blanca?? o greyurllist ==> URLs que estn en la lista blanca?? o pics ==> Definicin de PICS Labeling. -------------------------o weightedphraselist ==> Lista de frases/palabras e seus "pesos" (os pesos podem ser positivos ou negativos) -------------------------Archivos que estn en el directorio /etc/brazilfw/dansguardian/ o dansguardian.conf ==> Archivo de configuracin principal. o dansguardianf1.conf ==> Archivo de configuracin de grupos de usuarios. No pienses dos veces, LEE TODOS LOS ARCHIVOS DE CONFIGURACION, eso te ayudara a entender mejor la lgica del funcionamiento del DansGuardian.

Para habilitar el DansGuardian en BrazilFW, hace lo siguiente:

Code: Select all

edit /etc/brazilfw/custom/squid.cfg En la linea WEB_CONTENT_FILTER='no' Cambiar 'no' por 'yes' Salvar y salir
Configure sus bloqueos (luego salvar y salir). Despus parar el SQUID e iniciar nuevamente.

Para parar SQUID

Code: Select all

/etc/init.d/squid stop
Para iniciar SQUID
Code: Select all

/etc/init.d/squid start
Cuando modifique algun archivo del directorio /etc/brazilfw/dansguardian/lists/, hacer: Code: Select all

/etc/init.d/squid reload

Cuando se muevan los archivos dansguardian.conf: dansguardianf1.conf, bannedip y exceptionip que estn juntos dentro del mismo directorio del dansguardian.conf, ejecute el siguiente comando: Code: Select all

/etc/init.d/squid restart-dg
Fuentes:

Woshman: memberlist.php?mode=viewprofile&u=1335 DansGuardian: http://www.dansguardian.org http://br-linux.org/tutoriais/003552.html Squid + DansGuardian http://www.vivaolinux.com.br/dica/Liber ... nsguardian

Trabajando con generadores de registros - Sarg y WebAlizer. Generadores de registros de BrazilFW 3.0 - Sarg y WebAlizer:
Sarg WebAlizer Para uso en Redes Empresariales.

Para uso en Proveedores.

Sarg:

Activando Sarg:
Code: Select all

edit /etc/brazilfw/custom/squid.cfg En la linea SQUID_REPORT=' Coloque 'sarg' Guardey salga

Definiendo el idioma:
Code: Select all

'

edit /etc/brazilfw/custom/squid.cfg En la linea SARG_LANGUAGE=' '

Coloque 'Portuguese' o 'English' o 'Spanish' Guarde y salga

Perodo de Permanencia de los registros:
Code: Select all

edit /etc/brazilfw/custom/squid.cfg En la linea DELETE_REPORT_AFTER_DAYS='0' 0 (CERO) = Los registros estan deshabilitados

Si coloca por ejemplo '30', los archivos con mas de 30 dias seran borrados. Guarde y salga
Observacion:

Si los Hosts estan definidos en el archivo /etc/brazilfw/hosts.cfg, en Sarg aparecera con el nombre del Host. Lo que no este definido saldra con el numero de IP.

WebAlizer:

Activando WebAlizer:
Code: Select all

edit /etc/brazilfw/custom/squid.cfg En la linea SQUID_REPORT=' Coloque 'webalizer' Guarde y salga '

Si Squid ya esta ejecutandose habra que detenerlo y volverlo a iniciar:

Para detener Squid:
Code: Select all

/etc/init.d/squid stop
Para iniciar Squid:
Code: Select all

/etc/init.d/squid start
Para ver los registros
Code: Select all

https://ns.brazilfw.local:8181/report
Los registros son actualizados cada 10 minutos

Trabajando con QOS.

Obs.: Por ahora en el QOS de la 3.0 no se define la velocidad total del enlace.

Habilitando QOS Code: Select all edit /etc/brazilfw/brazilfw.cfg

En la linea USE_QOS='no' = QOS deshabilitado Modifiquela para USE_QOS='yes' para habiltar QOS Guarde y salga

Luego mas abajo aun en el archivo /etc/brazilfw/brazilfw.cfg tenemos: Code: Select all

QOS_DEFAULT_UP='128' QOS_DEFAULT_DOWN='256' QOS_DEFAULT_GUARANTEE='10'

Estos son los valores predeterminados. O sea, la IP/Clase de Red que no este definido en /etc/brazilfw/qos.cfg quedara encajada en esos valores predeterminados. Obs.: Puede modificar los valores predeterminados a su "gusto" Cabezera del /etc/brazilfw/qos.cfg: Code: Select all

[IP] [DOWN kbits] [UP kbits] [GUARANTEE %] Ejemplo 192.168.0.0/24 512 128 30 192.168.1.1 512 128 30
Teniendo que: [IP] = IP/Clase de Red a ser controlada. [DOWN kbits] = Velocidad de Download en kbits (kilo bits por segundo). Cuidado, es kilo bits y no Kilo Bytes [UP kbits] = Velocidad de Upload en kbits (kilo bits por segundo). Cuidado, es kilo bits y no Kilo Bytes [GUARANTEE %] = Ancho de banda garantizado en porcentaje. Obs.: Aqu, la garanta se cumple si es diferente de la del Default

Si fuera a utilizar el default definido en el archivo /etc/brazilfw/qos.cfg quedaria asi: Code: Select all

Ejemplo: 192.168.0.0/24 512 128 192.168.1.2 256 64 192.168.1.3 256 64 192.168.1.4 256 64 etc ....

Definiendo Clase(s) de Red o Subred en el QOS:

1. En la definicin de una clase de red o subred, debemos prestar atencin a las siguientes particularidades: Definiendo una clase de red/subred:

Cuando se define una clase de red/subrede en el archivo /etc/brazilfw/qos.cfg, siempre se debe colocar la mascara de red. Si no se define la mascara de red el QOS va a asumir que la mscara es /32 para esa classe. Code: Select all

Ejemplo: 192.168.0.0/27 512 128 192.168.1.0/24 512 128

2.

3.

Definiendo una IP con velocidad diferente de la que est en la clase de red/subrede:

Cuando definimos una Velocidad para una IP diferente de la que est en la clase que este IP pertence, devemos declarar primeiro la IP para despues declarar la clase. Invertido este orden la regla no va a funcionar Code: Select all

Ejemplo: # Modo incorrecto: 192.168.0.0/27 512 128 192.168.0.1/27 128 64 # Modo Correcto 192.168.0.1/27 128 64 192.168.0.0/27 512 128
Para editar el archivo /etc/brazilfw/qos.cfg:
Code: Select all

edit /etc/brazilfw/qos.cfg
Habilitando o modificando el qos, ejecute el siguiente comando:

/etc/rc.d/rc.qos Trabajando con DHCP.

1 - DHCP convencional para Redes sin subredes En el archivo /etc/brazilfw/brazilfw.cfg estan las siguientes opciones:

Code: Select all

DHCP_SERVER=no = por defecto viene deshabilitado. Para habilitarlo cambie no por yes DHCP_DEFAULT_LEASE=7200 = que corresponde a 2 Horas (puede modificar este valor a gusto) Tambien en el directorio (carpeta) /etc/brazilfw/ tenemos los archivos dhcp.cfg y reserve.cfg

Cabezera de /etc/brazilfw/dhp.cfg: Code: Select all

[ip start] [ip end] Por ejemplo: 192.168.0.2 192.168.0.50 # Va de 192.168.0.2 a 192.168.0.50
Si quiere puede usar rangos de IPs: Code: Select all

Ejemplo: 192.168.0.2 192.168.0.50 192.168.0.60 192.168.0.90 192.168.0.95 192.168.0.100

El archivo reserve.cfg es para hacer reservas MAC+IP: Cabezera de /etc/brazilfw/reserve.cfg: Code: Select all

[ip] [mac] Ejemplo: 192.168.0.55 00:00:00:00:00:00

Comandos para editar los archivos: Para editar brazilfw.cfg Code: Select all

edit /etc/brazilfw/brazilfw.cfg Guarde y salga

Para editar dhcp.cfg Code: Select all

edit /etc/brazilfw/dhcp.cfg Guarde y salga

Para editar reserve.cfg Code: Select all

edit /etc/brazilfw/reserve.cfg Guarde y salga

Luego de realizar cualquier modificacion, haga un backup Code: Select all

backup
Para iniciar DHCP Code: Select all

/etc/init.d/dhcp start
Para reiniciar DHCP Code: Select all

/etc/init.d/dhcp reload
Para detener el DHCP Code: Select all

/etc/init.d/dhcp stop
2 - DHCP para Redes con subredes y QOS

Como se ve en el topico "Trabajando con Subredes" para crear las subredes basta con ingresar el intervalo de la(s) subred(es) en el archivo /etc/brazilfw/subnet.cfg y luego ejecutar el comando /etc/rc.d/rc.subnet

Ejemplo: local 192.168 0 254

Code: Select all

Si quisieramos que el DHCP las gestione, ocultando todo el sistema para la sub-rede teniendo cada rango "su propio servidor dhcp", basta con agregar dhcp al final del rango de subrede. Utilizando el ejemplo anterior, quedaria asi en el archivo /etc/brazilfw/subnet.cfg: Code: Select all

local 192.168 0 254 dhcp

Para crear un nmero de subred y la configuracin QoS de la clase de sub-red a cierta velocidad, siga los siguientes ejemplos:
Ejemplos: 1. En subnet.cfg Code: Select all

local 10.10 0 254 dhcp

En qos.cfg Code: Select all

10.10.0.0/24 256 128

2. En subnet.cfg Code: Select all

local 10.20 0 254 dhcp

En qos.cfg Code: Select all Congigurando las reservas en reserve.cfg Code: Select all

10.20.0.0/24 512 128 [ip] [mac] 10.20.1.2 00:00:00:00:00:00

Con esto sectorizamos los clientes en el QOS sin tener que crear un QOS individual

Observacion:

Creando Subredes:

El DHCP es ejecutado de abajo para arriba. Primeiro van las subredes y luego va la red en el dhcp. El sistema ya lo asigna automaticamente de esta forma.

Primero una explicacion de por que la mascara esta fija en /30 (255.255.255.252) en el archivo /etc/brazilfw/subnet.cfg:

Para que las mquinas no se vean la mscara de red est fija en /30 (255.255.255.252), que posibilita solamente 2 IPs (el Gateway y la mquina cliente). Con mscaras menores a /30, ejemplo /29, /28, /27, etc, los clientes se veran.

El diseo de /etc/brazilfw/subnet.cfg es exactamente como se describe arriba, es decir, para evitar que los clientes esten visibles (bloquea la visibilidad de la red) mediante el establecimiento de la mscara /30 En caso de que exista la necesidad de una mscara diferente de /30, que sea para aumentar la Subred o limitar un grupo, siga el item 2.

1 - Subredes con Mscara /30

Para crear subredes trabajaremos con el archivo /etc/brazilfw/subnet.cfg y las crearemos con el comando /etc/rc.d/rc.subnet Ejemplo: Vamos a crear 10 Subredes. Para eso colocaremos en /etc/brazilfw/subnet.cfg el siguiente: Code: Select all

local 10.50 1 10 Guarde y salga

Seran creadas 10 subredes de 10.50.1.1 a 10.50.10.1 con mscara /30

Explicando el local 10.50 1 10: local = Nombre de la placa de red donde se creara la subred 10.50 = Indice de la red 1 = Incio de la subred 10 = Fin de la subred

Para Crear las Subredes ejecute el siguiente comando: Code: Select all

/etc/rc.d/rc.subnet
Si desea dar un ifconfig: Code: Select all

ifconfig
En la maquina cliente quedaria de la siguiente forma:

1.

Cliente 1: cliente = 10.50.1.2 mascara = 255.255.255.252 gateway = 10.50.1.1 DNS = 10.50.1.1 Cliente 2: cliente = 10.50.2.2 mascara = 255.255.255.252 gateway = 10.50.2.1 DNS = 10.50.2.1 Etc ......

2.

3.

Para crear intervalos de subredes coloque lo siguiente en /etc/brazilfw/subnet.cfg: creando intervalos de 10 en 10 local 10.50 1 10 local 10.50 20 30 local 10.50 40 50 local 10.50 60 70 local 10.50 80 90 Guarde y salga:

Seran creadas las subredes: DE 10.50.1.1 a 10.50.10.1 DE 10.50.20.1 a 10.50.30.1 DE 10.50.40.1 a 10.50.50.1 ..............

Luego ejecute el siguiente comando para crearlas: Code: Select all

/etc/rc.d/rc.subnet
Haga un Backup: Code: Select all

backup
2 - Subredes con Mscara Diferente de /30

Para crear subredes con mscara diferente de /30 ser necesario crear una nueva interface lgica. Recordando que ya existe una interface lgica llamada /etc/brazilfw/logical/local que esta ligada a la interface fisica.

Creando una nueva interface lgica, por ejemplo "local2" Code: Select all

edit /etc/brafilw/logical/local2 coloque esto: LINK_ALIAS="local" # Nombre de la interface fisica LINK_CONNECTION="local" # Tipo de conexion LINK_TYPE="static" LINK_IP="10.50.0.1" # Nueva subred LINK_NETMASK="255.255.255.128" # /25 (128 utilizables) Guarde y salga
Reinicie la red: Code: Select all

/etc/rc.d/rc.inet
En el caso de que tenga DCHP habilitado, configure el intervalo de la Subred: Code: Select all

edit /etc/brazilfw/dhcp.cfg 10.50.0.2 10.50.0.127 Guarde y salga

Reinicie el dhcp: Code: Select all

/etc/init.d/dhcp reload

Trabajando con Port Forwarding - Redireccin de puertos. Port Forwarding: Parametros:

Cabezera de /etc/brazilfw/ports/forward.cfg: Code: Select all Usado para redirecionamento de Puertos.

#<active> <alias> <protocol> <port> <ip-destination> [port] #active: yes/no #protocol: tcp/udp/all #alias: all/name of logical connection
Ejemplos: Code: Select all

yes internet all 21 192.168.0.11 21 #ejemplo

Code: Select all

yes all all 21 192.168.0.11 21 #ejemplo

<active> yes/no <alias> = alias de enlaces = nombre de la conexin lgica coloque all para todos o especifique el link a ser usado (LoadBalance) <protocol> tcp / udp / all <port> Puerto de Origem <ip-destination> Ip Interno de la Red [port] Puerto de Destino

Para iniciar o reiniciar el servicio:

Code: Select all

/etc/rc.d/rc.forward

Clonacion de MAC
En la version 3.0.197 fue agregado el clonado de MAC. A continuacion veremos como se realiza en la version 3.0. Devemos ir al archivo que configura fisicamente la placa de rede ( /etc/brazilfw/physical ) y modificar la variable ( INTERFACE_MAC="<mac>" )

Ejemplo: Clonar MAC para eth1 = internet

Code: Select all

edit /etc/brazilfw/physical/internet
Code: Select all

Modifique a: INTERFACE_MAC="00:00:00:00:00:00"

El archivo /etc/brazilfw/physical/internet quedara con el siguiente contenido: Code: Select all

INTERFACE_TYPE="cabled" INTERFACE_PHYSICAL="eth0" INTERFACE_MAC="00:00:00:00:00:00"

Guarde y salga Luego ejecute: Code: Select all

/etc/rc.d/rc.inet
Observacion: En la version 2.x cuando se altera la MAC para volver a la original es necesario reiniciar el servidor. Ahora en la version 3.x es solo ir a la interfaz fisica y colocar el valor INTERFACE_MAC="". Luego ejecute nuevamente /etc/rc.d/rc.inet. Con esto la MAC vuelve a la original.

Servidor nativo DNS del BFW 3.0 = Bind

BrazilFW 3.0 viene con un servidor nativo de DNS. Este servidor es el BIND.
Por default viene ya habilitado. Podemos ver esto en: Code: Select all

DNSSERVER='yes'

que se encuentra en el archivo /etc/brazilfw/brazilfw.cfg tambien podemos encontrar lo siguiente: Code: Select all

DNS1='' DNS2='' DHCP_DNS1='' DHCP_DNS2=''

Con el BIND habilitado NO configure las variables de arriba, solo necesita configurarlas si el servidor DNS es deshabilitado. Code: Select all

DNSSERVER='no'
No es aconsejable deshabilitar el BIND para usar otros medios de resolucion de nombres. El BIND es un excelente servidor de DNS y ya esta perfectamente integrado a la version 3.0 del BFW

Comandos para Iniciar, Recargar, Reiniciar y Parar Servicios:

Para ser ejecutados en la linea de comando, directamente en el servidor o a travs de ssh.

Instalar BrazilFW 3.0: install Backup: backup Reiniciar el servicio de internet: /etc/rc.d/rc.inet Reiniciar los bloqueos: /etc/rc.d/rc.blocked Reiniciar Sub-Redes: /etc/rc.d/rc.subnet Reiniciar el QOS: /etc/rc.d/rc.qos Reiniciar el Firewall: /etc/rc.d/rc.firewall Reiniciar el Redirecionamento de Puertas: /etc/rc.d/rc.forward Reiniciar el Control de IP x MAC: /etc/rc.d/rc.macip Reiniciar el servicio Smart Route: /etc/rc.d/rc.route Alterar la contrasea del sistema: passwd Actualizar la hora del sistema: /etc/rc.d/rc.time Reiniciar el Sistema: reboot

Apagar el Sistema: poweroff Primer llamada del sistema: /etc/rc.d/rc.sysinit Log del sistema (demonio): /etc/rc.d/rc.syslogd

Squid:

DHCP:

Iniciar Squid: /etc/init.d/squid start Recargar Squid: /etc/init.d/squid reload Parar Squid: /etc/init.d/squid stop Reiniciar Squid con DansGuardian: /etc/init.d/squid restart-dg Recrear el Cache de Squid: /etc/init.d/squid cachedir Rotar los Logs dr Squid (Es ejecutado por CRON automaticamente): /etc/init.d/squid rotate

WebAdmin:

Iniciar el servicio de DHCP: /etc/init.d/dhcp start Recargar DHCP: /etc/init.d/dhcp reload Parar DHCP: /etc/init.d/dhcp stop Reiniciar DHCP: /etc/init.d/dhcp restart

Iniciar el WebAdmin: /etc/init.d/webadmin start Recargar WebAdmin: /etc/init.d/webadmin reload Parar WebAdmin: /etc/init.d/webadmin stop

BIND (Servidor DNS):

Iniciar el servicio Bind: /etc/init.d/named start Recargar Bind: /etc/init.d/named reload Parar Bind: /etc/init.d/named stop Detalles de Bind: /etc/init.d/named details

Cron (Tareas agendadas/programadas):

IpUpdate:

Iniciar el servicio Cron: /etc/init.d/cron start Recargar Cron: /etc/init.d/cron reload Parar Cron: /etc/init.d/cron stop

SSH:

Iniciar IpUpdate: /etc/init.d/ipupdate start Recargar IpUpdate: /etc/init.d/ipupdate reload Parar IpUpdate: /etc/init.d/ipupdate stop

Iniciar SSH: /etc/init.d/sshd start Recargar SSH: /etc/init.d/sshd reload Parar SSH: /etc/init.d/sshd stop

Acpi (Suporte ao desligamento da mquina):

Para Iniciar: /etc/init.d/acpi start Para Parar: /etc/init.d/acpi stop

IpWatch (Proteccion contra IP duplicado - Si hay una IP en la red con que duplique la del Servidor BrazilFW este no caera y seguir funcionando correctamente):

Para Iniciar: /etc/init.d/ipwatch start Para Parar: /etc/init.d/ipwatch stop