Squid 2.6 Transp. com uso de Vlans no FreeBSD. Por João Luis Mancy dos Santos.

Transcrição

1 Por João Luis Mancy dos Santos

2 Teorias (rápida passagem) Atualização do Sistem a - cvsup Preparação do Kernel BSD Intalação de Pacotes via "Ports Tree" Configuração do Squid Configuração das Vlans Configuração do PF Configuração de Clientes Ex em plos de Configurações de Switchs Adereços e Perfumarias - Sarg, SquidGuard, mrtg... Perguntas?

3 - Teoria: VLAN é uma rede virtual ou aglomerado de máquinas que se comunicam independentemente de sua localização física ou de topologia, como se fosse um único domínio broadcast, ou uma rede lógica Q Este é o protocolo padrão do IEEE. Ele é aberto e é implementado pela maioria dos fornecedores de soluções de network. Ele funciona semelhante ao ISL, adicionando um header e um trailer ao pacote. O padrão 802.1q introduz a técnica conhecida como tagging e o conceito de VLAN nativa. Em um enlace tronco, é definida uma VLAN Nativa a qual não recebe a marcação (tagging). Ela não precisa estar rodando o protocolo 802.1q para poder desencapsular os pacote. Por que usar VLAN?

4 Atualização do Sistema - cvsup O CVSup é um software para distribuir e atualizar árvores de fontes a partir de um repositório CVS central para um servidor remoto. Os fontes do FreeBSD são mantidos num repositório CVS em um computador central de desenvolvimento na Califórnia. Com o CVSup, usuários do FreeBSD podem facilmente manter suas próprias árvores de fontes atualizadas. vim / usr/ share/ examples/ cvsup/ ports- supfile cvsup - g - L 2 ports- supfile * Atualizando stable- supfile vim / usr/ share/ examples/ cvsup/ stable- supfile cvsup - g - L 2 stable- supfile

5 *default host= cvsup.fr.freebsd.org *default base= / var/ db *default prefix = / usr *default release= cvs tag=. *default delete use- rel- suffix *default com press ports- base Ports- archivers Ports- devel Ports- dns Ports- graphics Ports- net Ports- net- mgmt Ports- print Ports- security Ports- shells ports- www

6 *default host= cvsup.fr.freebsd.org *default base= / var/ db *default prefix = / usr *default release= cvs tag=. *default delete use- rel- suffix *default com press ports- all

7 Preparando Kernel BSD cd / usr/ src/ sys/ i386/ conf/ cp GENERIC SUA- MAQUINA vim SUA- MAQUINA

8 m achine #cpu #cpu cpu ident device device device device i386 I486_CPU I586_CPU I686_CPU SUA- MAQUINA pf pflog pfsync vlan

9 #Squid Options options SYSVMSG options MSGMNB= options MSGMNI= 41 options MSGSEG= 2049 options MSGSSZ= 64 options MSGTQL= 512 options SHMSEG= 16 options SHMMNI= 32 options SHMMAX= options SHMALL= 3096

10 Compilando: #cd / usr/ src/ ; make buildwofxpd && make buildkernel KERNCONF= SUA- MAQUINA && m ake installkernel KERNCONF= SUA- MAQUINA Simplificado: #config SUA- MAQUINA #cd../ compile/ SUA- MAQUINA ; make cleandepend ; make depend; make ; make install

11 Intalação de Pacotes via "Ports Tree #cd / usr/ ports/ www/ squid ; m ake install clean Marque a opção: [X] SQUID_PF Enable transparent proxying with PF

12 Configurando Squid Diferenças? Serie 2.5.X httpd_accel_host virtual httpd_accel_port 80 httpd_accel_with_prox y on httpd_accel_uses_host_header on Serie 2.6.X http_port 3128 transparent

13 defaultrouter= " " gateway_enable= "YES" hostnam e= "joaocep.neoinform atica.com.br" ifconfig_fx p0= "inet netm ask " ifconfig_fx p1= "inet netm ask " cloned_interfaces= "vlan20 vlan30 vlan40 "

14 network_interfaces= "lo0 fx p0 fx p1 pfsync0 vlan20 vlan30 vlan40 " ifconfig_vlan20= "inet netmask vlan 20 vlandev fxp1" ifconfig_vlan30= "inet netmask vlan 30 vlandev fxp1" ifconfig_vlan40= "inet netmask vlan 40 vlandev fxp1" ifconfig_vlan50= "inet netmask vlan 50 vlandev fxp1"

15 sshd_enable= "YES" squid_enable= "YES" pf_enable= "YES" pf_rules= "/ etc/ pf.conf" pf_flags= "" pflog_enable= "YES" pflog_logfile= "/ var/ log/ pflog" pflog_flags= ""

16 #Configuraçoes do PF # Fazendo o NAT nat on fxp0 from any to any - > (fxp0) nat on fxp1 from any to any - > (fxp0) nat on vlan20 from any to any - > (fxp0) nat on vlan30 from any to any - > (fxp0) nat on vlan40 from any to any - > (fxp0) #Redirecionando portas rdr on vlan20 proto tcp from any to any port www - > port 3128 rdr on vlan20 proto tcp from any to any port www - > port 53 rdr on vlan30 proto tcp from any to any port www - > port 3128 rdr on vlan30 proto tcp from any to any port www - > port 53 rdr on vlan40 proto tcp from any to any port www - > port 3128 rdr on vlan40 proto tcp from any to any port www - > port 53

17 Configuracoes DHCP cd / usr/ ports/ net/ isc- dhcp3- server m ake install clean #dentro do rc.conf dhcpd_ifaces= "fx p0 vlan20 vlan30 vlan40 vlan50" dhcpd_enable= "YES" (* demais opçoes)

18 #dentro do arquivo / usr/ local/ etc/ dhcpd.conf subnet netm ask { option routers ; option subnet- m ask ; option dom ain- nam e "SUA- EMPRESA.com.br"; option domain- name- servers IP- SEU- DNS; option netbios- name- servers IP- SEU- DNS; option broadcast- address ; range dynam ic- bootp ; } (* Copiando para cada subnet de dhcp)

19 Configuraçoes de Clientes Necessariamente o gateway devera ser o proxy Exemplo VLAN20 address Netm ask Gateway DNS

20 Configurando Switch Modelo Enterasys E1 #set vlan 20 create #set vlan name 20 "2andar" #set vlan egress 20 fe.0.2 #set vlan egress 20 fe.0.12,fe.0.17 untagged #set port vlan fe.0.2,fe.0.12,fe #router #configure term inal #Interface vlan 20 #set ip address #no shutdown #exit

21 Adereços e Perfum arias Usando Ports (sem pre) Sarg cd / usr/ ports/ www/ sarg && m ake install clean Apenas cuidar onde fica o arquivo de log / var/ log/ squid/ access.log

22 Squid 2.6 Transp. com uso de SquidGuard cd / usr/ ports/ www/ squidguard && m ake install clean Alteração no squid redirect_program / usr/ local/ bin/ squidguard - c / usr/ local/ etc/ squid/ squidguard.conf #squidguard.conf source SUA- EMPRESA { } acl { } Ip / / / / 32 default { pass!gambling!warez!proxy!porn!hacking!audio- video!ads!drugs!violence!labin all redirect 302: / SITE.com.br }

23 Prós e Contras??? Redução de broadcast e lixo de rede Segurança Ifvlan e carp = NÃO! Ifvlan e ifconfig_fxp0_alias0 = NÃO! Ifvlan e regras de pf = SIM! Ifvlan e regras de ipfw = SIM!

24 PERGUNTAS? Mais sobre a empresa: atica.com.br neoinform atica@neoinform atica.com.br Fone: