7. 8. 9.
10. Cambiando la contrasea predeterminada de BFW 3.0 11. Conociendo el WebAdmin de BFW 3.0. 12. Instalando el Certificado Digital. 13. Conociendo el brazilfw.cfg Archivo maestro de la versin 3.0 14. Puertos predeterminados de BFW 3.0 15. Bloqueo de Puertos. 16. Nuevo Clculo de conntrack automtico 17. Configurando la Conexin. 18. Configurando LoadBalance. 19. Trabajando con "Smart Route". 20. Trabajando con Tareas programadas - Cron. 21. Habilitando Control de IP x MAC. 22. Habilitando IPUpdate. 23. Habilitando Servicio interno de Email de 3.0 24. Habilitando Squid. 25. Trabajando con DansGuardian. 26. Trabajando con Generadores de Registros - Sarg y WebAlizer. 27. Trabajando con QOS. 28. Trabajando con DHCP. 29. Trabajando con Sub-redes. 30. Trabajando con Red Wireless. 31. Trabajando con Wireless en modo AP. 32. Trabajando con virtualizacin. 33. Trabajando con Port Forwarding - Redireccin de puertos. 34. Clonacin de MAC. 35. Servidor DNS Nativo de BFW 3.0 = Bind. 36. Reservado para futuro, el captulo 37. Reservado para futuro, el captulo 38. Resumen de Comandos. 39. Indice do Apndice. 40. Apndice 1 - Direccin IP, Mscara de red y la Sub-Red (IPv4).
41. 42. 43. 44. 45. 46. 47. [url]Reservado para futuro, el captulo.[/url] [url]Reservado para futuro, el captulo.[/url] [url]Reservado para futuro, el captulo.[/url] [url]Reservado para futuro, el captulo.[/url] [url]Reservado para futuro, el captulo.[/url] [url]Reservado para futuro, el captulo.[/url] [url]Reservado para futuro, el captulo.[/url]
48. Crditos.
Servicios Existentes: Modos de Conexin STATIC (IP fijo) DHCP,
Acceso seguro a WebAdmin por medio de protocolo SSL Servidor Bind (DNS Server) Squid-3.0.STABLE15 QOS Sub-Redes Load Balance (balanceo de de carga) integrado. Con cualquier tipo de Coneccin (STATIC, PPPOE, DHCP e edge)
DHCP Server para red y Sub-Redes GSM Nuevo Clculo de conntrack automtico: Con el nuevo clculo, ahora son posibles 1.652 conexiones aproximadamente por MB de memoria RAM instalada.
Ipupdate 2.0 por link independiente. Soporte para wireless en modo cliente Email con suporte para ssl (gmail) Port Forwarding - (Redireccionamento de Puertos) Smart Route Amarre de IP X MAC DansGuardian - Ideal para uso en redes empresariales Sarg para uso en redes empresariales WebAlizer para uso en Provedores
Development new "framework" for webadmin Native suporte with ssl Startup work with iface Ilimited interfaces Ilimited pppoe Ilimited dhcp-client Automated detect hardware No more sleep time in the boot
http://brazilfw.com.br/users/woshman/bt/brazilfw.iso
Test de memoria. En esta opcin tiene la posibilidad de hacer un test de la Memoria RAM de Server.
Despues de terminar, haga clic en OK y el server ser reiniciado. Deje que el computador bootee desde el HD.
No olvide retirar el CD, ya que incluso dando arranque desde el HD, si el CD se encuentra todavia en la unidad de CD esto puede genear problema
Despues de instalado, al ser lanzada una nueva versin, basta con bajar la nueva .iso y copiar los archivos brazilfw.gz e version.inf para el directorio /mnt y reiniciar el server. Con esto, su servidor ser actualizado. O Atualizacin / update Apartir de la versin 3.0.197 ==> update ==> For webadmin
root
Cambie la contrasea despues de la instalacin con el siguiente comando: Code: Select all
passwd
Haga Backup: Code: Select all
backup
Abrir
Siguiente
Siguiente
Finalizar
Este proceso instalar el certificado brazilfw cert 3. Hecho esto, al ingresar al WebAdmin de BFW no volver a mostrar el mensaje de color rojo Al hacer clic sobre el candado, usted ver el certificado. As usted sabr que certificado est asignado, y para cual sitio es vlido.
==> 2 Procedimiento vlido para Mozila FireFox: En FireFox, primero se debe bajar y guardar el certificado. En la barra de direcciones ingrese lo siguiente: https://ns.brazilfw.local:8181/getcert.cgi Ahora, guese por las siguientes capturas de pantalla: Clic en "O puede agregar una excepcin "
==> Despus de bajar el Certificado y guardarlo, realice los siguientes pasos: Herramientas ==> Opciones
Marcar las siguientes opciones ==>Considerar confiable este CA para identificar Sitios ==> ............................ para identificar usuarios ==> ............ para identificar autores de programas ==> ............................................................ OK ==> ...................................................................OK
Observacin:
1 Si ingresa con la ip en cambio del dns, aparecer el mensaje de color rojo nuevamente, ya que fue instalado solamente con el nombre. 2 Si cambia el nombre de su bfw (ns.brazilfw.local), vasta con eliminar el certificado y reniciar el servicio de WebAdmin, entonces ser generado un nuevo certificado para el nuevo dominio. Para esto, haga lo siguiente: Comandos para renovar el certificado despus de renovar el dominio: Ingrese va PuTTy Code: Select all
/etc/init.d/named reload
Accediendo al WebAdmin:
Con los procedimientos de arriba el nuevo dominio ya entra para toda la red con un nuevo certificado
Si usted cambio el dominio que viene por defecto en el BrazilFW, digite en la barra de direcciones del navegador de su preferencia la siguiente direccin:
https://ns.brazilfw.local:8181
En este captulo conoceremos el Archivo Maestro del BFW 3.X ( /etc/brazilfw/brazilfw.cfg ) a travs de los comentarios realizados por cada lnea
Variables
Los nombres de las variables estn en letras maysculas y posiblemente tengan guin abajo ( _ ). Las variables son citadas en minsculas entre comillas simples ( ' ' )
WEBADMIN_PORT='8181' SSH_PORT='22' ADMIN_AUTH='xxxxxxxxxxxxxxxx' DNSSERVER='yes' DNS1='' DNS2='' DHCP_DNS1='' DHCP_DNS2='' NAMESERVER='ns' DOMAIN='brazilfw' LOCALDOMAIN='local' PERSIST_LOG='no' USE_SWAP='no' SWAP_MEM='' PARTITION='' TIMEZONE='EST3' CACHE_DISK='no' USE_QOS='no' QOS_DEFAULT_GUARANTEE='10' DHCP_SERVER='no' DHCP_DEFAULT_LEASE='7200' IPUPDATE='no' IPUPDATE_REFRESH='600' USE_MAC_CONTROL='no' DISABLE_NAT='no' DISABLE_CONNLIMIT='no' CERTIFICATE_ISSUED_TO='' EXTERNAL_PING='yes'
Ahora veamos las variables y sus definiciones:
WEBADMIN_PORT='8181'
DNSSERVER='yes'
Servidor DNS nativo del 3.x (Bind). Por defecto est habilitado ='yes'
Estando el Bind habilitado las variables DNS1; DNS2; DHCP_DNS1 e DHCP_DNS NO deben ser llenadas.
Las variables DNS1; DNS2; DHCP_DNS1 e DHCP_DNS slo deben ser llenadas si el el Bind (DNSSERVER) est en 'no'
NAMESERVER='ns' Nombre del Servidor DNS. Por defecto viene como 'ns'
PERSIST_LOG='no'
USE_SWAP='no' Activa Memoria virtual en disco. Por defecto viene deshabilitado = 'no'
PARTITION=''
Similar a la memoria virtual del Windows (SWAP MEMORY) Ejemplo: SWAP_MEM='1024' - Ser creada una memoria virtual de 1024 MB que ser tomada de la memoria RAM del Server.
Define manualmente donde est la particin, en caso de usar otro HD. An se est testeando.
CACHE_DISK='no'
Servidor Proxy nativo del 3.X (Squid). Por defecto viene deshabilitado = 'no'
USE_QOS='no' Control de Ancho de Banda del 3.X Por defecto viene deshabilitado = 'no'
DHCP_DEFAULT_LEASE='7200' Tiempo de concesin para DHCP Server. Por defecto viene '7200' = 2 Horas.
IPUPDATE='no' IPUPDATE_REFRESH='600' IpUpdate y tiempo de actualizacin. Por defecto viene deshabilitado = 'no' y con el tiempo '600' = 10 Minutos.
USE_MAC_CONTROL='no'
EXTERNAL_PING='yes'
Activa o Desactiva el Ping Externo. Por defecto est Activado = 'yes' Puertos predeterminados de BFW 3.0
Relacin de Puertos en BFW 3.0
22.....................Acceso SSH 53.....................Acceso DNS 3128..................Acceso Squid 8080..................Acceso Dansguardian
8181..................Acceso Webadmin
Acceso externo a Acceso externo a # Acceso externo # Acceso externo # Acceso externo
De manera predeterminada; los accesos externos a los siguientes "servicios" vienen bloqueados: SSH DNS Squid Dansguardian Webadmin
Ejemplo:
Para desbloquear un determinado puerto, basta con cambiar el yes por no y reiniciar el servicio.
Si quiere liberar el acceso externo al webadmin haga lo siguiente: Code: Select all
edit /etc/brazilfw/ports/blocked.cfg Donde dice "yes 8181 tcp" cambie por "no 8181 tcp" Guarde y salga
Realice un Backup Code: Select all
# backup
# /etc/rc.d/rc.blocked
A Partir de la versin 3.0.206 todos los servicios que necesiten del acceso externo, debern ser liberados antes. Ejemplo: Liberar el acceso externo al SSH y al Webadmin.
cd /etc/brazilfw/ports edit accept.cfg yes <porta ssh> tcp yes <porta webadmin> tcp
ctrl+wq backup Reemplace <porta ssh> por el nmero del puerto (por defecto es 22) Reemplace <porta webadmin> por el nmero del puerto (por defecto es 8181) Y editamos: Code: Select all
/etc/rc.d/rc.accept
Clculo de Conntrack Automtico = El sistema ajusta automticamente la cantidad mxima de conexiones de su red de acuerdo a la cantidad de memoria RAM que posea el Servidor:
Antes, la regla era: 64 conexiones por Mega. Ejemplo: Su servidor tiene 256 MB de RAM, usted tendra 256 x 64 = 16.384 conexiones. Fuente: viewtopic.php?f=2&t=67340#p158468
Ahora con el nuevo calculo, quedara as: 1.652 conexiones aproximadamente por Mega Ejemplo: Su servidor tiene 256 MB de RAM, usted tendra 256 x 1.652 = 422.912 conexiones aproximadamente.
Configurando la Conexin.
Observacin Importante:
De manera predeterminada el BrazilFW apunta a eth0 para la red local y la eth1 para internet. Con eso, todos los ejemplos en este capitulo y en los siguientes se seguirn usando esta misma configuracin predeterminada de BrazilFW. Teniendo, por ejemplo, un segundo link de internet, este sera eth2 y as sucesivamente.
edit /etc/brazilfw/logical/local
El(los) archivo(s) del(los) link(s) de internet estn en el /etc/brazilfw/logical/ Abajo veremos ejemplos para los tipos de conexin de internet de BFW3.0 Recordando que, aqu fue colocado el nombre del archivo del link de "internet", pero usted puede colocar cualquier otro nombre. 1. Conexin esttica: Code: Select all
LINK_ALIAS="internet" LINK_CONNECTION="internet" LINK_TYPE="static" LINK_IP="10.1.1.2" LINK_NETMASK="255.255.255.252" LINK_GATEWAY="10.1.1.1" # LINK_WEIGHT es el peso del link para LoadBalance LINK_WEIGHT="1"
Code: Select all
edit /etc/brazilfw/logical/internet # Usted debe cambiar la ip, mascara y gateway del link esttico. Guarde y Salga
2. Conexin pppoe: Code: Select all
LINK_ALIAS="internet" LINK_CONNECTION="internet"
LINK_TYPE="pppoe" LINK_USERNAME="xxxxxxxxxx@xxxxxxx.com.br" LINK_PASSWORD="xxxxxxxxxxx" # LINK_WEIGHT es el peso del link para LoadBalance LINK_WEIGHT="1" edit /etc/brazilfw/logical/internet LINK_USERNAME="coloque aqui su login DSL" LINK_PASSWORD="coloque aqui a su contrasea DSL" Guarde y Salga.
3. Conexin DHCP: Code: Select all Code: Select all
LINK_ALIAS="internet" LINK_CONNECTION="internet" LINK_TYPE="dhcp" # LINK_WEIGHT es el peso del link para LoadBalance LINK_WEIGHT="1"
edit /etc/brazilfw/logical/claro LINK_DEVICE="ttyUSB0" #En caso que su mdem sea detectado en otro puerto, favor cambiar. LINK_CONNECTION="internet" LINK_TYPE="ppp" LINK_PHONE="*99***1#" LINK_PROVIDER="claro.com.br' LINK_USERNAME="claro" LINK_PASSWORD="claro" LINK_WEIGHT="1"
Operadora Vivo: Code: Select all
edit /etc/brazilfw/logical/vivo LINK_DEVICE="ttyUSB0" #En caso que su mdem sea detectado en otro puerto, favor cambiar. LINK_CONNECTION="internet" LINK_TYPE="ppp" LINK_PHONE="#777" #vivozap LINK_PROVIDER="" LINK_USERNAME="<ddd><telefone>@vivozap.com.br" #ex 1991234567@vivozap.com.br LINK_PASSWORD="vivo" LINK_WEIGHT="1"
Realice Backup Code: Select all
backup
/etc/rc.d/rc.inet
OBS.: Si no va a usar la versin 3.0 como servidor DHCP, deber colocar en DNS la IP de BFW en la mquina cliente, de lo contrario no habr navegacin.
Configurando LoadBalance.
LoadBalance usando dos links ADSL (1 de 2 MB e 1 de MB). Usando pppoe en los dos links. Vlido para links de diferentes operadoras. Para links de la misma operadora vea la Observacin de abaijo.
Placa de Red:
En /etc/brazifw/physical tenemos el archivo de internet que hace referencia a la eth1. Lo que tenemos que hacer es crear archivos para cada ethX que adicionaremos. Ejemplo: internet2 para eth2 y asi sucesivamente (Nota: El nombre internet2 puede cambiarlo por uno que crea conveniente) Entonces en /etc/brazifw/physical tendramos, adems de otros, los siguientes archivos: internet para eth1 (Este viene de forma predeterminada) Code: Select all
backup
Para iniciar o reiniciar el servicio:
Code: Select all
/etc/rc.d/rc.inet
Observacin: Si los links usados para hacer LoadBalance fuesen de la misma operadora, los mdems deben ser Routeados. Si usamos los mdems en modo Bridge con enlaces de la misma operadora tendremos problemas.
Antes, dos explicaciones:
1. 2.
Motivo: Enlaces de la misma operadora con el mdem en modo Bridge el Gateway para BrazilFW ser el mismo. Entendido? Mdem Routeado: antes que aparezca un grupo en contra y un grupo a favor del modem routeado, digo que, disculpen los contras, es solo usar modem confiables para la tarea. Entonces, por favor, nada de estar intentando mostrar "esto o aquello" del mdem routeado. Ese asunto es casi una religin y la religin no se discute, se sigue o no se sigue. Entendido?
Placa de Red:
En /etc/brazifw/physical tenemos el archivo internet que hace referencia a eth1. Lo que tenemos que hacer es crear archivos para cada ethX que adicionaremos. Ejemplo: internet2 para eth2 y as sucesivamente (Nota: El nombre internet2 usted puede cambiarlo por el que crea conveniente) Entonces en /etc/brazifw/physical tendramos, adems de otros, los siguientes archivos: internet para eth1 (Este ya viene de manera predeterminada) Code: Select all
backup
/etc/rc.d/rc.inet
Parmetros:
n n s f f s s s
port 443 tcp port 80 tcp browser source browser port 25 tcp port 110 tcp source 192.168.0.1,192.168.0.2,192.168.0.3,192.168.0.4 source 192.168.0.5,192.168.0.6,192.168.0.7 source 192.168.0.0/24,10.0.0.5,192.168.50.0/30
n = network (origen de la red) f = firewall (origen del propio firewall) s = squid (origen del squid) [rutas] = adems de los links Ejemplo: Se tienen 3 links y fue colocado el alias para los links: link 1 = internet1 link 2 = internet2 link 3 = internet3
1. 2.
3. 4. [comando]
Ejemplo: internet,internet2,internet3
El orden es quien define la priridad. 1,2,3... Si por algun motivo el primer link esta cado, el segundo lo asumir, si el segundo link esta cado, el tercero lo asumir, volviendo el primer link este asumir el puesto de el. Si fuese definido solamente un link, teniendo mas de un servidor y el link definido est caido, el entrar en load balance.
A.
Si el [origem] for n o f A. B. C. D. E. F. G. port [puerto] [protocolo] [filtro] source [ip] dest [ip/url] source-port [ip] [puerto] [protocolo] [filtro] dest-port [ip] [puerto] [protocolo] [filtro] [protocolo] = tcp, udp [filter] = Todos los filtros validos del protocolo L7
B.
Si el [origem] for s source [ip(s) / browser] browser = Detecta que navegador est usando el usuarioy el fija solamente la ruta predeterminada en el comando dest-domain [dominios] ex: .terra.com.br .orkut.com .uol.com.br
edit /etc/brazilfw/route.cfg
Code: Select all
# sin squid yes n internet1,internet2 port 80 tcp browser # con squid yes s internet1,internet2 source browser # https yes n internet1,internet2 port 443 tcp
# Cambiar el nombre internet1,internet2,... por el nombre que defini antes en la configuracin del sistema
Ejemplos:
1. Colocando ips para salir en un orden y otros ips en otro orden. Code: Select all
yes s internet1,internet2 source 192.168.0.5 yes s internet2,internet3 source all # Todo lo que no for do IP 192.168.0.5 entra en internet2 o en internet3
4. Forzando dominios por un solo link. Code: Select all
dest y LB1 209.85.173.0/24 80 80 #googlevideos dest y LB2 209.85.174.0/23 80 80 #googlevideos dest y LB3 209.85.192.0/23 80 80 #googlevideos # Determinar que cada IP saldr por un link usando el puerto 80 ...
Para la red interna, quedara asi: Code: Select all
net y LB1 LAN1 192.168.7.1 32 # # Determinar que el link 1 va a ser direccionado para eth0 (lan1) para el IP 192.168.7.1
Respuesta de "Woshman": En BrazilFW 3.x, usando el squid, quedara as: Code: Select all
yes s internet1,internet2,internet3 dest-domain video.google.com yes s internet2 dest-domain .globo.com yes s internet3 dest-domain .youtube.com yes s internet1,internet2,internet3 source 192.168.7.1/32
Para iniciar o reiniciar el servicio:
Code: Select all
/etc/rc.d/rc.route
Parmetros:
Header de /etc/brazilfw/cron.cfg: Code: Select all
Comentrio Comando/script a ser ejecutado Dia de la semana (0 - 6) (comenzando en Mes (1 - 12) Da del mes (1 - 31) Hora (0 - 23) Minuto (0 - 59)
En Da de la semana, 0 se refiere a domingo; y 6, a sbado. En el caso del dia de la semana, este tambin funciona con las tres primeras letras (en ingls) del da da semana (SUN,MON,TUE,WED,THU,FRI,SAT) En cualquier posicin se puede usar el * (asterisco) cuando no importa el campo en cuestin. Se puede utilizar intervalos en esos campos. El carcter para intervalo es el - (Guin). Se puede utilizar una lista de valores en esos campos. El carcter para la lista es la , (coma). Cualquier texto colocado despus del programa que ser ejecutado, ser considerado comentario y no ser interpretado por el cron
2. 3. 4.
5.
Ejemplo:
6.
00 * * * * script # Todos los das cada hora (siempre) 00-59/5 * * * * script #De cinco en cinco minutos (osea, cada 5 minutos) todos los das (note la divisin por 5 en el intervalo 00-59)
Para reiniciar el servicio:
Code: Select all
7.
/etc/init.d/cron reload
1. 2.
El archivo /etc/brazilfw/reserve.cfg es el mismo para la reserva de ips para el DHCP El MAC debe estar con dos puntos(:) y no con el guin (-)
Para activar el control de mac/ip editar el archivo /etc/brazilfw/brazilfw.cfg y escribir 'yes' en USE_MAC_CONTROL Code: Select all
El concepto usado en el control MAC x IP es la misma de la Lista Blanca. Slo navegarn quienes estn registrados en la lista. Si el Control MAC x IP est habilitado en el brazilfw.cfg, y el MAC no est en la lista, el cliente no conseguir hacer nada. Ni siquiera podr conseguir hacer ping al BFW. A travs del MAC no registrado slo se podr tener acceso al puerto del webadmin y al puerto ssh para realizar un eventual mantenimiento.
Ejemplo:
Si necesita bloquear una determinada MAC. Basta con ir a la lnea de IP/MAC, la comenta y recarga el servicio. Automticamente el cliente es bloqueado, no pasar por el QOS ni por el Squid. Code: Select all
edit /etc/brazilfw/reserve.cfg
Code: Select all
#192.168.0.1 2e:00:54:16:a4:66
Code: Select all
/etc/rc.d/rc.macip
Para iniciar o reiniciar el servicio:
Code: Select all
/etc/rc.d/rc.macip
Click aqu para volver al ndice. Last edited by juliojc on Mon Sep 07, 2009 5:15 pm, edited 2 times in total. -----------Julio Csar
--------------------------------------------------------HP Proliant ML115 G5 QuadCore AMD64 Opteron 2.2GHz, 4GB RAM, 250GB HDD VMware Server 2 - Ubuntu Server 8.04.4 - AMD64 --------------------------------------------------------1) Argento Qos1 - 2) Argento Qos2 - 3) Argento Qos3 4) Brazil Nativo [ LB + TCP Outgoing + Squid + SCA + DNSCache + ConnLim ] 5) Argento Bridge [ Control de Usuarios ]
juliojc
BFW Very Participative Posts: 380 Joined: Thu Jul 03, 2008 12:45 pm Location: Peru BrazilFW box: Servidores Virtualizados: VMWare Server 2 sobre Ubuntu 8.04.4 Server LTS
Top
YIM
edit /etc/brazilfw/ipupdate.cfg
Code: Select all
<alias> <servicio> <dominio> <usuario> <contrasea> son vlidos para el no-ip y para el zoneedit # Ejemplo internet no-ip woshman.no-ip.info blablabla 123456 <alias> <servicio> <dominio> <usuario> <contrasea> <sistema> <backup mx (yes/no)> <wildcard * (yes/no)> <mail exchanger> # Ejemplo internet dyndns woshman.dyndns.info blablabla 123456 dyndns no yes (si usa, coloque el ip) ctrl+qy
Es necesario habilitar el IpUpdate en el Archivo Principal ( /etc/brazilfw/brazilfw.cfg )
/etc/init.d/ipupdate start
/etc/init.d/ipupdate reload
edit /etc/brazilfw/mail.cfg
Si fuera a utilizar gmail Code: Select all
SERVER="smtp.poa.terra.com.br" EMAIL="blabla@terra.com.br" NAME="Nombre de muestra" AUTH="login" # login = autenticacin POP3 PASSWORD="blabla" ctrl+qy
Programa ejemplo:
edit teste
Code: Select all
#!/bin/sh . /lib/system-mail to "teste@teste.com.br" subject "Hello World" message "<html><p>Hello World</p><img src=\"oi.jpg\"></html>" image /teste/oi.jpg logread | dos2unix -d > /tmp/log.txt attach /tmp/log.txt rm -fr /tmp/log.txt priority high send ctrl+qy
chmod +x teste
Code: Select all
./teste
Habilitando Squid.
Especificaciones para Squid 3.0 para BrazilFW 3.0:
Para que Squid 3.0 funcione en BFW 3.0 es necesario tener un HD con un mnimo de 840MB, con un espacio libre de aproximadamente 541MB. El espacio para Squid en el HD esta calculado en un 60% de la capacidad de la particin. Por Ejemplo: Para una Particin de 10 GB el sistema libera 6 GB para el cache. En el Squid para BrazilFW 2.x se crea automaticamente 16 directorios independientemente del tamao del disco. Ahora, en Squid 3.0 de BrazilFW 3.0 los directorios son creados de acuerdo con el tamao del disco. Por ejemplo: 541 MB crea 1 directorio, 10 GB crea 14 directorios . Por cada GB de cache solamente hay que adicionar 10MB de memoria RAM, el sistema hace el clculo automtico del espacio del cache. Por el momento el trabajo de squid es solo de manera transparente.
Parametros definidos (fijos por el momento) en Squid para BFW 3.0: cache_mem 16 MB ======================> Por el momento el cache en la memoria es de 16MB maximum_object_size 20480 KB ==========> Objeto mximo 20 MB minimum_object_size 0 KB ==============> Objeto mnimo 0 KB maximum_object_size_in_memory 256 KB => Objeto mximo en la memria 256 KB
Estas configuraciones por el momento estan fijas, no esta siendo permitido hacer alteraciones en las mismas. Para habilitar el Squid haga lo siguiente: Code: Select all
backup
Para iniciar el servicio:
Code: Select all
/etc/init.d/squid start
ATENCIN:
Se aconseja utilizar el Dansguardian solamente dentro de empresas. Dentro de ISP o Proveedores no es aconsejable. El Dansguardian en accin:
Vamos a conocer algunos archivos del DansGuardian que se configuren para los bloqueos: Todos los archivos que comiencen con "banner" son de negacin y todos los que comienzan con "exception" son de excepcin Archivos que estn en el directorio /etc/brazilfw/dansguardian/lists/ o bannedextensionlist ==> Lista de bloqueo por extensin de archivos. Aqu colocan las extenciones de los archivos que desean bloquear el acceso. o bannedsitelist ==> Lista de sitios bloqueados, coloquen aqu sus listas en archivo blacklist. o filtergroupslist ==> aqu se pode atribuir a un usuario a determinado grupo, al principio todos son un solo grupo. o bannediplist ==> Lista de IP's bloqueadas. Las IP's contenidas en este archivo no tendran ningun tipo de acceso. o bannedmimetypelist ==> Tipo MIME bloqueados (download bloqueado). o bannedphraselist ==> Lista de frases "prohibidas" dentro de pgina (y no una URL). o bannedregexpurllist ==> Lista de expresiones regulares bloqueadas. o bannedurllist ==> Lista de URLs bloqueadas. o banneduserlist ==> Lista de usuarios bloqueados, usuarios sin acceso a Internet. o banneduserlist ==> Usuarios bloqueados. o contentregexplist ==> Contenido basado en expresiones regulares que sern sustituidos. o exceptioniplist ==> Excepcin de IP's filtradas (IP's de la RED que no sern filtrados). o exceptionsitelist ==> Sitios liberados. los sitios contenidos aqu son liberados de todo contenido. o exceptionphraselist ==> Lista frases que las consideramos una excepcin. o exceptionurllist ==> Lista de urls que consideramos son una excepcin (urls liberadas). o exceptionuserlist ==> Lista de usuarios que consideramos una excepcin. o greysitelist ==> Sitios que estan en la lista blanca?? o greyurllist ==> URLs que estn en la lista blanca?? o pics ==> Definicin de PICS Labeling. -------------------------o weightedphraselist ==> Lista de frases/palabras e seus "pesos" (os pesos podem ser positivos ou negativos) -------------------------Archivos que estn en el directorio /etc/brazilfw/dansguardian/ o dansguardian.conf ==> Archivo de configuracin principal. o dansguardianf1.conf ==> Archivo de configuracin de grupos de usuarios. No pienses dos veces, LEE TODOS LOS ARCHIVOS DE CONFIGURACION, eso te ayudara a entender mejor la lgica del funcionamiento del DansGuardian.
edit /etc/brazilfw/custom/squid.cfg En la linea WEB_CONTENT_FILTER='no' Cambiar 'no' por 'yes' Salvar y salir
Configure sus bloqueos (luego salvar y salir). Despus parar el SQUID e iniciar nuevamente.
/etc/init.d/squid stop
Para iniciar SQUID
Code: Select all
/etc/init.d/squid start
Cuando modifique algun archivo del directorio /etc/brazilfw/dansguardian/lists/, hacer: Code: Select all
/etc/init.d/squid reload
Cuando se muevan los archivos dansguardian.conf: dansguardianf1.conf, bannedip y exceptionip que estn juntos dentro del mismo directorio del dansguardian.conf, ejecute el siguiente comando: Code: Select all
/etc/init.d/squid restart-dg
Fuentes:
Woshman: memberlist.php?mode=viewprofile&u=1335 DansGuardian: http://www.dansguardian.org http://br-linux.org/tutoriais/003552.html Squid + DansGuardian http://www.vivaolinux.com.br/dica/Liber ... nsguardian
Trabajando con generadores de registros - Sarg y WebAlizer. Generadores de registros de BrazilFW 3.0 - Sarg y WebAlizer:
Sarg WebAlizer Para uso en Redes Empresariales.
Sarg:
Activando Sarg:
Code: Select all
'
Si coloca por ejemplo '30', los archivos con mas de 30 dias seran borrados. Guarde y salga
Observacion:
Si los Hosts estan definidos en el archivo /etc/brazilfw/hosts.cfg, en Sarg aparecera con el nombre del Host. Lo que no este definido saldra con el numero de IP.
WebAlizer:
Activando WebAlizer:
Code: Select all
/etc/init.d/squid stop
Para iniciar Squid:
Code: Select all
/etc/init.d/squid start
Para ver los registros
Code: Select all
https://ns.brazilfw.local:8181/report
Los registros son actualizados cada 10 minutos
Luego mas abajo aun en el archivo /etc/brazilfw/brazilfw.cfg tenemos: Code: Select all
[IP] [DOWN kbits] [UP kbits] [GUARANTEE %] Ejemplo 192.168.0.0/24 512 128 30 192.168.1.1 512 128 30
Teniendo que: [IP] = IP/Clase de Red a ser controlada. [DOWN kbits] = Velocidad de Download en kbits (kilo bits por segundo). Cuidado, es kilo bits y no Kilo Bytes [UP kbits] = Velocidad de Upload en kbits (kilo bits por segundo). Cuidado, es kilo bits y no Kilo Bytes [GUARANTEE %] = Ancho de banda garantizado en porcentaje. Obs.: Aqu, la garanta se cumple si es diferente de la del Default
Si fuera a utilizar el default definido en el archivo /etc/brazilfw/qos.cfg quedaria asi: Code: Select all
Ejemplo: 192.168.0.0/24 512 128 192.168.1.2 256 64 192.168.1.3 256 64 192.168.1.4 256 64 etc ....
Cuando se define una clase de red/subrede en el archivo /etc/brazilfw/qos.cfg, siempre se debe colocar la mascara de red. Si no se define la mascara de red el QOS va a asumir que la mscara es /32 para esa classe. Code: Select all
3.
Cuando definimos una Velocidad para una IP diferente de la que est en la clase que este IP pertence, devemos declarar primeiro la IP para despues declarar la clase. Invertido este orden la regla no va a funcionar Code: Select all
Ejemplo: # Modo incorrecto: 192.168.0.0/27 512 128 192.168.0.1/27 128 64 # Modo Correcto 192.168.0.1/27 128 64 192.168.0.0/27 512 128
Para editar el archivo /etc/brazilfw/qos.cfg:
Code: Select all
edit /etc/brazilfw/qos.cfg
Habilitando o modificando el qos, ejecute el siguiente comando:
DHCP_SERVER=no = por defecto viene deshabilitado. Para habilitarlo cambie no por yes DHCP_DEFAULT_LEASE=7200 = que corresponde a 2 Horas (puede modificar este valor a gusto) Tambien en el directorio (carpeta) /etc/brazilfw/ tenemos los archivos dhcp.cfg y reserve.cfg
[ip start] [ip end] Por ejemplo: 192.168.0.2 192.168.0.50 # Va de 192.168.0.2 a 192.168.0.50
Si quiere puede usar rangos de IPs: Code: Select all
El archivo reserve.cfg es para hacer reservas MAC+IP: Cabezera de /etc/brazilfw/reserve.cfg: Code: Select all
backup
Para iniciar DHCP Code: Select all
/etc/init.d/dhcp start
Para reiniciar DHCP Code: Select all
/etc/init.d/dhcp reload
Para detener el DHCP Code: Select all
/etc/init.d/dhcp stop
2 - DHCP para Redes con subredes y QOS
Como se ve en el topico "Trabajando con Subredes" para crear las subredes basta con ingresar el intervalo de la(s) subred(es) en el archivo /etc/brazilfw/subnet.cfg y luego ejecutar el comando /etc/rc.d/rc.subnet
Si quisieramos que el DHCP las gestione, ocultando todo el sistema para la sub-rede teniendo cada rango "su propio servidor dhcp", basta con agregar dhcp al final del rango de subrede. Utilizando el ejemplo anterior, quedaria asi en el archivo /etc/brazilfw/subnet.cfg: Code: Select all
Con esto sectorizamos los clientes en el QOS sin tener que crear un QOS individual
Observacion:
Creando Subredes:
El DHCP es ejecutado de abajo para arriba. Primeiro van las subredes y luego va la red en el dhcp. El sistema ya lo asigna automaticamente de esta forma.
Primero una explicacion de por que la mascara esta fija en /30 (255.255.255.252) en el archivo /etc/brazilfw/subnet.cfg:
Para que las mquinas no se vean la mscara de red est fija en /30 (255.255.255.252), que posibilita solamente 2 IPs (el Gateway y la mquina cliente). Con mscaras menores a /30, ejemplo /29, /28, /27, etc, los clientes se veran.
El diseo de /etc/brazilfw/subnet.cfg es exactamente como se describe arriba, es decir, para evitar que los clientes esten visibles (bloquea la visibilidad de la red) mediante el establecimiento de la mscara /30 En caso de que exista la necesidad de una mscara diferente de /30, que sea para aumentar la Subred o limitar un grupo, siga el item 2.
Para crear subredes trabajaremos con el archivo /etc/brazilfw/subnet.cfg y las crearemos con el comando /etc/rc.d/rc.subnet Ejemplo: Vamos a crear 10 Subredes. Para eso colocaremos en /etc/brazilfw/subnet.cfg el siguiente: Code: Select all
Explicando el local 10.50 1 10: local = Nombre de la placa de red donde se creara la subred 10.50 = Indice de la red 1 = Incio de la subred 10 = Fin de la subred
Para Crear las Subredes ejecute el siguiente comando: Code: Select all
/etc/rc.d/rc.subnet
Si desea dar un ifconfig: Code: Select all
ifconfig
En la maquina cliente quedaria de la siguiente forma:
1.
Cliente 1: cliente = 10.50.1.2 mascara = 255.255.255.252 gateway = 10.50.1.1 DNS = 10.50.1.1 Cliente 2: cliente = 10.50.2.2 mascara = 255.255.255.252 gateway = 10.50.2.1 DNS = 10.50.2.1 Etc ......
2.
3.
Para crear intervalos de subredes coloque lo siguiente en /etc/brazilfw/subnet.cfg: creando intervalos de 10 en 10 local 10.50 1 10 local 10.50 20 30 local 10.50 40 50 local 10.50 60 70 local 10.50 80 90 Guarde y salga:
Seran creadas las subredes: DE 10.50.1.1 a 10.50.10.1 DE 10.50.20.1 a 10.50.30.1 DE 10.50.40.1 a 10.50.50.1 ..............
/etc/rc.d/rc.subnet
Haga un Backup: Code: Select all
backup
2 - Subredes con Mscara Diferente de /30
Para crear subredes con mscara diferente de /30 ser necesario crear una nueva interface lgica. Recordando que ya existe una interface lgica llamada /etc/brazilfw/logical/local que esta ligada a la interface fisica.
Creando una nueva interface lgica, por ejemplo "local2" Code: Select all
edit /etc/brafilw/logical/local2 coloque esto: LINK_ALIAS="local" # Nombre de la interface fisica LINK_CONNECTION="local" # Tipo de conexion LINK_TYPE="static" LINK_IP="10.50.0.1" # Nueva subred LINK_NETMASK="255.255.255.128" # /25 (128 utilizables) Guarde y salga
Reinicie la red: Code: Select all
/etc/rc.d/rc.inet
En el caso de que tenga DCHP habilitado, configure el intervalo de la Subred: Code: Select all
/etc/init.d/dhcp reload
#<active> <alias> <protocol> <port> <ip-destination> [port] #active: yes/no #protocol: tcp/udp/all #alias: all/name of logical connection
Ejemplos: Code: Select all
/etc/rc.d/rc.forward
Clonacion de MAC
En la version 3.0.197 fue agregado el clonado de MAC. A continuacion veremos como se realiza en la version 3.0. Devemos ir al archivo que configura fisicamente la placa de rede ( /etc/brazilfw/physical ) y modificar la variable ( INTERFACE_MAC="<mac>" )
edit /etc/brazilfw/physical/internet
Code: Select all
Modifique a: INTERFACE_MAC="00:00:00:00:00:00"
/etc/rc.d/rc.inet
Observacion: En la version 2.x cuando se altera la MAC para volver a la original es necesario reiniciar el servidor. Ahora en la version 3.x es solo ir a la interfaz fisica y colocar el valor INTERFACE_MAC="". Luego ejecute nuevamente /etc/rc.d/rc.inet. Con esto la MAC vuelve a la original.
DNSSERVER='yes'
que se encuentra en el archivo /etc/brazilfw/brazilfw.cfg tambien podemos encontrar lo siguiente: Code: Select all
DNSSERVER='no'
No es aconsejable deshabilitar el BIND para usar otros medios de resolucion de nombres. El BIND es un excelente servidor de DNS y ya esta perfectamente integrado a la version 3.0 del BFW
Instalar BrazilFW 3.0: install Backup: backup Reiniciar el servicio de internet: /etc/rc.d/rc.inet Reiniciar los bloqueos: /etc/rc.d/rc.blocked Reiniciar Sub-Redes: /etc/rc.d/rc.subnet Reiniciar el QOS: /etc/rc.d/rc.qos Reiniciar el Firewall: /etc/rc.d/rc.firewall Reiniciar el Redirecionamento de Puertas: /etc/rc.d/rc.forward Reiniciar el Control de IP x MAC: /etc/rc.d/rc.macip Reiniciar el servicio Smart Route: /etc/rc.d/rc.route Alterar la contrasea del sistema: passwd Actualizar la hora del sistema: /etc/rc.d/rc.time Reiniciar el Sistema: reboot
Apagar el Sistema: poweroff Primer llamada del sistema: /etc/rc.d/rc.sysinit Log del sistema (demonio): /etc/rc.d/rc.syslogd
Squid:
DHCP:
Iniciar Squid: /etc/init.d/squid start Recargar Squid: /etc/init.d/squid reload Parar Squid: /etc/init.d/squid stop Reiniciar Squid con DansGuardian: /etc/init.d/squid restart-dg Recrear el Cache de Squid: /etc/init.d/squid cachedir Rotar los Logs dr Squid (Es ejecutado por CRON automaticamente): /etc/init.d/squid rotate
WebAdmin:
Iniciar el servicio de DHCP: /etc/init.d/dhcp start Recargar DHCP: /etc/init.d/dhcp reload Parar DHCP: /etc/init.d/dhcp stop Reiniciar DHCP: /etc/init.d/dhcp restart
Iniciar el WebAdmin: /etc/init.d/webadmin start Recargar WebAdmin: /etc/init.d/webadmin reload Parar WebAdmin: /etc/init.d/webadmin stop
Iniciar el servicio Bind: /etc/init.d/named start Recargar Bind: /etc/init.d/named reload Parar Bind: /etc/init.d/named stop Detalles de Bind: /etc/init.d/named details
IpUpdate:
Iniciar el servicio Cron: /etc/init.d/cron start Recargar Cron: /etc/init.d/cron reload Parar Cron: /etc/init.d/cron stop
SSH:
Iniciar IpUpdate: /etc/init.d/ipupdate start Recargar IpUpdate: /etc/init.d/ipupdate reload Parar IpUpdate: /etc/init.d/ipupdate stop
Iniciar SSH: /etc/init.d/sshd start Recargar SSH: /etc/init.d/sshd reload Parar SSH: /etc/init.d/sshd stop
IpWatch (Proteccion contra IP duplicado - Si hay una IP en la red con que duplique la del Servidor BrazilFW este no caera y seguir funcionando correctamente):