Procedimento. Servidor Firewall. Autor: Sandro Venezuela 1/27

Tamanho: px
Começar a partir da página:

Download "Procedimento. Servidor Firewall. Autor: Sandro Venezuela www.linux2business.com.br 1/27"

Transcrição

1 Procedimento Servidor Firewall Autor: Sandro Venezuela 1/27

2 Atribuição Uso não-comercial Compartilhamento pela mesma licença 2.5 Brasil Você pode: Copiar, distribuir, exibir e executar a obra. Sob as seguintes condições: Atribuição: Você deve dar crédito ao autor original, da forma especificada pelo autor ou licenciante. Uso não-comercial: Você não pode utilizar esta obra com finalidades comerciais Compartilhamento pela mesma licença: Se você alterar, transformar ou criar outra obra com base nesta, você somente poderá distribuir a obra resultante sob uma licença idêntica a esta. A reprodução do material contido neste tutorial é permitido desde que se incluam os créditos ao autor e a frase: Reproduzido da Linux2Business em local visível. 2/27

3 Índice Versão...4 Objetivo...5 CentOS...6 Instalação...6 Configuração...6 Serviços desnecessários...6 Desabilitar Ctrl-Alt-Del...7 Desabilitar Terminais...7 Desabilitar Acesso Local para Usuário root...7 Desabilitar Acesso SSH para Usuário root...8 SNMP...8 SUDO...8 DNS (Master / Slave)...10 DHCP...18 Proxy...19 Firewall (Iptables)...21 Sincronização de data e hora (NTP)...26 Referências /27

4 Versão Criado/Alterado Data Versão Sandro Venezuela 28/07/10 V1.0 Sandro Venezuela 24/08/10 V 1.1 Sandro Venezuela 09/09/10 V 1.2 Sandro Venezuela 18/10/10 V 1.3 Sandro Venezuela 23/11/10 V 1.4 4/27

5 Objetivo Apresentar os procedimentos de instalação e configuração de um servidor Firewall contendo além das regras de Firewall, os serviços de Proxy, DHCP, DNS Mestre e Escravo, e NTP, utilizando o sistema operacional GNU/Linux, distribuição CentOS 5. As configurações foram realizadas tomando como referência o uso de duas redes, sendo uma a rede das estações e a outra a dos servidores (DMZ), além é claro a rede da Internet. Serão apresentadas também as configurações realizadas no momento da instalação do sistema operacional. 5/27

6 CentOS Instalação Iniciar o servidor através da unidade de CD/DVD com a mídia do CentOS 5. A instalação deve ocorrer sempre no idioma English. Na configuração do fuso horário deve-se marcar sempre a opção UTC para definição da data e hora. O particionamento do disco deve obedecer a seguinte configuração: Partição Ponto de Montagem Tamanho /dev/sda1 / 1 GB /dev/sda2 /usr 4 GB /dev/sda3 swap 1 GB /dev/sda5 (LVM) /home /tmp /var 1 GB 1 GB >10 GB Normalmente a instalação de um servidor firewall é realizada com a quantidade mínima de pacotes, onde para realizar tal configuração no CentOS é necessário selecionar a opção Customize Now e desmarcar todos os grupos de pacotes. Obs.: Somente é possível realizar a instalação mínima através da instalação gráfica. Deve ser criado o usuário sysadmin, para administração do servidor e com isto evitar o uso do usuário root. Após a instalação, caso sejam necessários alguns pacotes extras, como nmap, tcpdump, crontabs, etc, estes devem ser instalados através do comando YUM. Configuração Serviços desnecessários Desabilitando os serviços desnecessários # chkconfig haldaemon off # chkconfig kudzu off # chkconfig iptables off # chkconfig ip6tables off # chkconfig mcstrans off # chkconfig messagebus off # chkconfig netfs off # chkconfig restorecond off Obs.: Os serviços iptables e ip6tables somente estão sendo desabilitados porque serão configuradas novas regras de firewall, senão recomenda-se que estes serviços sejam mantidos. 6/27

7 Desabilitar Ctrl-Alt-Del Editar o arquivo /etc/inittab, comentando a seguinte linha: # what to do when CTRL-ALT-DEL is pressed # ca::ctrlaltdel:/sbin/shutdown -r -t 4 now Para habilitar a alteração, execute o comando: # init q Desabilitar Terminais Editar o arquivo /etc/inittab, comentando a seguinte linha, em negrito:... # for ARGO UPS sh:12345:powerfail:/sbin/shutdown -h now THE POWER IS FAILING # getty-programs for the normal runlevels # <id>:<runlevels>:<action>:<process> # The "id" field MUST be the same as the last # characters of the device (after "tty"). 1:2345:respawn:/sbin/mingetty --noclear tty1 2:2345:respawn:/sbin/mingetty tty2 # 3:2345:respawn:/sbin/mingetty tty3 # 4:2345:respawn:/sbin/mingetty tty4 # 5:2345:respawn:/sbin/mingetty tty5 # 6:2345:respawn:/sbin/mingetty tty6 # #S0:12345:respawn:/sbin/agetty -L 9600 ttys0 vt102 #cons:12345:respawn:/sbin/smart_agetty -L console... Normalmente devem ser permitidos somentes 2 terminais, acessíveis localmente através das teclas Alt+F1 e Alt+F2. Se for necessário mais terminais, basta habilitar, descomentando o terminal correspondente. Para habilitar a alteração, execute o comando: # init q Desabilitar Acesso Local para Usuário root Por padrão, não deve ser permitido o acesso local para o usuário root. Para bloquear este acesso, remova todas as linhas do arquivo /etc/securetty, conforme apresentado abaixo: # cp -p /etc/securetty /etc/securetty.default # cat /dev/null > /etc/securetty Obs.: Este procedimento SOMENTE deve ser realizado após a criação de pelo menos um usuário, normalmente criado no momento da instalação. 7/27

8 Desabilitar Acesso SSH para Usuário root Por padrão, não deve ser permitido o acesso via SSH para o usuário root. Para bloquear este acesso é necessário incluir ou alterar as seguintes linhas no arquivo /etc/ssh/sshd_config, conforme apresentado abaixo: PermitRootLogin no AllowUsers sysadmin Para que as alterações sejam ativadas é preciso reiniciar o serviço SSH: # service sshd restart Obs.: Este procedimento SOMENTE deve ser realizado após a criação de pelo menos um usuário, normalmente criado no momento da instalação. SNMP Para o serviço de monitoramento do servidor, devemos instalar o pacote net-snmp através do YUM. Em seguida, deve-se criar o arquivo snmpd.conf, no diretório /etc/snmp, com o seguinte conteúdo: com2sec local /32 private com2sec local /32 linux2business group MyROGroup v1 group MyROGroup v2c group MyROGroup usm local local local view all included.1 80 access MyROGroup "" any noauth exact all none none syslocation Linux2Business syscontact System Admin Obs.: O endereço IP deve ser substituído pelo endereço do seu servidor de monitoramento via SNMP. Por fim, devemos iniciar o serviço SNMP: # service snmpd start E habilitar para que o serviço seja sempre iniciado junto com o sistema operacional: # chkconfig snmpd on SUDO Para esta funcionalidade, deve-se instalar o pacote sudo através do YUM. Com o comando visudo, que altera o arquivo /etc/sudoers, devemos adicionar os seguintes parâmetros para o usuário sysadmin: 8/27

9 # visudo (Incluir ao final do arquivo) # SysAdmin User sysadmin ALL = NOPASSWD: /usr/bin/passwd administrator, /sbin/reboot, /sbin/halt Obs.: Para cada servidor existirá uma configuração específica do sudo a ser realizada. Com a configuração acima o usuário sysadmin terá o poder de alterar a senha do usuário administrator, reiniciar e desligar o servidor. Outros comandos podem ser configurados, porém devem estar de acordo com a política de TI da empresa. 9/27

10 DNS (Master / Slave) Instalar os pacotes bind e bind-chroot utilizando o YUM: # yum install bind bind-chroot Através dos arquivos de exemplo, disponíveis no diretório /usr/share/doc/bind- <versão>/sample, será configurado um servidor de nomes (DNS) utilizado tanto para a rede interna quanto externa e posteriormente configurado um novo servidor secundário (Slave). Como o servidor será executado em um ambiente restrito, ou seja, uma jaula chroot, toda configuração será criada dentro dos diretórios /var/named/chroot/etc e /var/named/chroot/var/named, conforme abaixo: Arquivo /var/named/chroot/etc/named.conf: options { directory "/var/named"; dump-file "data/cache_dump.db"; statistics-file "data/named_stats.txt"; memstatistics-file "data/named_mem_stats.txt"; version "BIND"; listen-on port 53 { any; notify yes; logging { channel default_debug { file "data/named.run"; severity dynamic; view "localhost" { match-clients { ; match-destinations { ; allow-transfer { ; allow-query { ; recursion yes; include "/etc/named.root.hints"; include "/etc/named.rfc1912.zones"; zone "linux2business.br" { type master; file "internal.linux2business.br.db"; allow-update { none; zone "linux2business.org.br" { 10/27

11 type master; file "internal.linux2business.org.br.db"; allow-update { none; view "internal" { match-clients { /24; /24; match-destinations { /24; /24; allow-transfer { ; allow-query { /24; /24; recursion yes; include "/etc/named.root.hints"; zone "linux2business.br" { type master; file "internal.linux2business.br.db"; allow-update { none; view { zone "linux2business.org.br" { type master; file "internal.linux2business.org.br.db"; allow-update { none; "external" match-clients { any; match-destinations { any; allow-transfer { ; allow-query { any; recursion no; include "/etc/named.root.hints"; zone "linux2business.br" { type master; file "external.linxux2business.br.db"; allow-update { none; zone "linux2business.org.br" { type master; file "external.linxux2business.org.br.db"; allow-update { none; key ddns_key { algorithm hmac-md5; 11/27

12 // Use /usr/sbin/dns-keygen to generate TSIG keys secret "9FDDwPimOMnhsfNtmjaxQvNSSdrBIHwg6gjxxRxZMvKP8wHRRPDzyiZaW76s"; Arquivo /var/named/chroot/etc/named.rfc1912.zones: // named.rfc1912.zones: // // ISC BIND named zone configuration for zones recommended by // RFC 1912 section 4.1 : localhost TLDs and address zones // zone "localdomain" IN { type master; file "localdomain.zone"; allow-update { none; zone "localhost" IN { type master; file "localhost.zone"; allow-update { none; zone " in-addr.arpa" IN { type master; file "named.local"; allow-update { none; zone " ip6.arpa" IN { type master; file "named.ip6.local"; allow-update { none; zone "255.in-addr.arpa" IN { type master; file "named.broadcast"; allow-update { none; zone "0.in-addr.arpa" IN { type master; file "named.zero"; allow-update { none; Arquivo /var/named/chroot/etc/named.root.hints: // // The 'named.root' root cache hints zone for the bind DNS 'named' nameserver. // // named's cache must be primed with the addresses of the root zone '.' nameservers. // The root zone file can be obtained by querying the root 'A' nameserver: // $ dig. > named.root // Or by download via FTP / HTTP: // $ wget ftp://ftp.rs.internic.net/domain/named.root 12/27

13 // // Every view that is to provide recursive service must include this zone. // zone "." IN { type hint; file "named.root"; Alguns parâmetros importantes e que merecem uma informação a mais são: listen-on Configura em quais interfaces de rede e porta o serviço DNS ficará funcionando; allow_transfer Especifica os endereços IP dos servidores DNS que estão autorizados a receber as informações das zonas. Normalmente são os servidores DNS Escravos; allow_query Especifica os endereços IP que possuem permissão para utilizar o serviço DNS; allow_update Especifica os endereços IP que podem atualizar as informações das zonas. Normalmente utilizado em DNS Dinâmicos; recursion Determina a possibilidade ou não de realizar consultas recursivas, ou seja, de outros domínios. Normalmente esta opção é habilitada somente internamente. Com os arquivos de configuração do DNS criados, vamos agora criar os arquivos de zona para os domínios, tanto para a rede interna quanto externa. Os arquivos estão apresentados abaixo: Arquivo /var/named/chroot/var/named/internal.linux2business.br.db: $TTL IN SOA fw.linux2business.br. root.fw.linux2business.br. ( ; serial ; refresh (seconds) 7200 ; retry (seconds) ; expire (seconds) ) ; minimum (seconds) NS NS MX 10 ns1.linux2business.br. ns2.linux2business.br. mail.linux2business.br. linux2business.br. A fw A ns1 A web A mail A ns2 A base A proxy A ntp CNAME fw www CNAME web webmail CNAME web ldap CNAME base ldap2 CNAME mail smtp CNAME mail 13/27

14 imap CNAME mail Arquivo /var/named/chroot/var/named/internal.linux2business.org.br.db: $TTL IN SOA fw.linux2business.org.br. root.fw.linux2business.org.br. ( ; serial ; refresh (seconds) 7200 ; retry (seconds) ; expire (seconds) ) ; minimum (seconds) NS NS MX 10 ns1.linux2business.org.br. ns2.linux2business.org.br. mail.linux2business.org.br. linux2business.org.br. A fw A ns1 A www A mail A ns2 A base A ntp CNAME fw webmail CNAME www ldap CNAME base ldap2 CNAME mail Arquivo /var/named/chroot/var/named/external.linux2business.br.db: $TTL IN SOA fw.linux2business.br. root.fw.linux2business.br. ( ; serial ; refresh (seconds) 7200 ; retry (seconds) ; expire (seconds) ) ; minimum (seconds) NS NS MX 10 ns1.linux2business.br. ns2.linux2business.br. mail.linux2business.br. linux2business.br. A fw A ns1 A www A mail A ns2 A base A webmail CNAME www ldap CNAME base ldap2 CNAME mail Arquivo /var/named/chroot/var/named/external.linux2business.org.br.db: $TTL IN SOA fw.linux2business.org.br. root.fw.linux2business.org.br. ( ; serial ; refresh (seconds) 7200 ; retry (seconds) 14/27

15 ; expire (seconds) ) ; minimum (seconds) NS NS MX 10 ns1.linux2business.org.br. ns2.linux2business.org.br. mail.linux2business.org.br. linux2business.org.br. A fw A ns1 A www A mail A ns2 A base A webmail CNAME www ldap CNAME base ldap2 CNAME mail Vamos criar os links simbólicos para os arquivos criados dentro do ambiente chroot, senão alguns comandos de verificação do DNS, como named-checkconf e named-checkzone, não irão funcionar: # cd /etc # ln -s /var/named/chroot/etc/named.conf named.conf # ln -s /var/named/chroot/etc/named.rfc1912.zones named.rfc1912.zones # ln -s /var/named/chroot/etc/named.root.hints named.root.hints # cd /var/named # ln -s /var/named/chroot/var/named/external.linux2business.br.db \ > external.linux2business.br.db # ln -s /var/named/chroot/var/named/external.linux2business.org.br.db > external.linux2business.org.br.db # ln -s /var/named/chroot/var/named/internal.linux2business.br.db \ > internal.linux2business.br.db # ln -s /var/named/chroot/var/named/internal.linux2business.org.br.db \ > internal.linux2business.org.br.db # ln -s /var/named/chroot/var/named/localdomain.zone localdomain.zone # ln -s /var/named/chroot/var/named/localhost.zone localhost.zone # ln -s /var/named/chroot/var/named/named.broadcast named.broadcast # ln -s /var/named/chroot/var/named/named.ip6.local named.ip6.local # ln -s /var/named/chroot/var/named/named.local named.local # ln -s /var/named/chroot/var/named/named.root named.root # ln -s /var/named/chroot/var/named/named.zero named.zero Por fim, vamos habilitar o serviço para que seja iniciado junto com o sistema operacional: # chkconfig named on Os procedimentos de instalação e configuração do DNS Escravo (Slave) são praticamente os mesmos utilizados para configurar o DNS Mestre (Master), sendo necessário alterar somente o arquivo /etc/named.conf: Arquivo /etc/named.conf: options { directory dump-file statistics-file "/var/named"; "data/cache_dump.db"; "data/named_stats.txt"; 15/27

16 memstatistics-file "data/named_mem_stats.txt"; version "BIND"; listen-on port 53 { any; notify no; logging { channel default_debug { file "data/named.run"; severity dynamic; view "localhost" { match-clients { ; match-destinations { ; allow-transfer { none; allow-notify { ; allow-query { ; recursion yes; include "/etc/named.root.hints"; include "/etc/named.rfc1912.zones"; zone "linux2business.br" { type slave; file "slaves/internal.linux2business.br.db"; masters { ; zone "linux2business.org.br" { type slave; file "slaves/internal.linux2business.org.br.db"; masters { ; view "internal" { match-clients { /24; /24; match-destinations { /24; /24; allow-transfer { none; allow-notify { ; allow-query { /24; /24; recursion yes; include "/etc/named.root.hints"; zone "linux2business.br" { type slave; 16/27

17 file "slaves/internal.linux2business.br.db"; masters { ; view { zone "linux2business.org.br" { type slave; file "slaves/internal.linux2business.org.br.db"; masters { ; "external" match-clients { any; match-destinations { any; allow-transfer { none; allow-notify { ; allow-query { any; recursion no; include "/etc/named.root.hints"; zone "linux2business.br" { type slave; file "slaves/external.linxux2business.br.db"; masters { ; zone "linux2business.org.br" { type slave; file "slaves/external.linxux2business.org.br.db"; masters { ; key ddns_key { algorithm hmac-md5; // Use /usr/sbin/dns-keygen to generate TSIG keys secret "9FDDwPimOMnhsfNtmjaxQvNSSdrBIHwg6gjxxRxZMvKP8wHRRPDzyiZaW76s"; Obs.: Lembre-se que o arquivo /etc/named.conf é um link simbólico para o arquivo /var/named/chroot/etc/named.conf. Os arquivos /etc/named.root.hints e /etc/named.rfc1912.zones são idênticos ao utilizado no servidor DNS primário. 17/27

18 DHCP Instalar o pacote dhcp, através do YUM: # yum install dhcp Para configurar o serviço DHCP devemos alterar o arquivo /etc/dhcpd.conf, conforme abaixo: Arquivo /etc/dhcpd.conf: ddns-update-style interim; authoritative; subnet netmask { } default-lease-time 3600; max-lease-time 14400; option subnet-mask ; option broadcast-address ; option routers ; option domain-name "linux2business.br"; option domain-name-servers ; option ntp-servers ; option time-offset ; # Brazil East range dynamic-bootp ; 18/27

19 Proxy Instalar o pacote squid, através do comando YUM: # yum install squid Para configurar o Squid deve-se alterar o arquivo /etc/squid/squid.conf, conforme abaixo: Arquivo /etc/dhcpd.conf: acl all src / acl manager proto cache_object acl localhost src / acl to_localhost dst /8 acl SSL_ports port 443 acl Safe_ports port 80 # http acl Safe_ports port 21 # ftp acl Safe_ports port 443 # https acl Safe_ports port 70 # gopher acl Safe_ports port 210 # wais acl Safe_ports port # unregistered ports acl Safe_ports port 280 # http-mgmt acl Safe_ports port 488 # gss-http acl Safe_ports port 591 # filemaker acl Safe_ports port 777 # multiling http acl CONNECT method CONNECT http_access allow manager localhost http_access deny manager http_access deny!safe_ports http_access deny CONNECT!SSL_ports acl internal_net src /24 http_access allow internal_net http_access allow localhost http_access deny all icp_access allow all http_port :3128 hierarchy_stoplist cgi-bin? cache_mem 64 MB cache_dir ufs /var/spool/squid access_log /var/log/squid/access.log squid acl QUERY urlpath_regex cgi-bin \? cache deny QUERY refresh_pattern ^ftp: % refresh_pattern ^gopher: % 1440 refresh_pattern. 0 20% 4320 acl apache rep_header Server ^Apache broken_vary_encoding allow apache error_directory /usr/share/squid/errors/portuguese coredump_dir /var/spool/squid Obs.: Para listar somente as linhas válidas, ou seja que não são comentários e também não são linhas em branco, deve-se utilizar o comando grep ^[^#$] /etc/squid/squid.conf. A configuração acima é bem simples, liberando o acesso a qualquer estação que tenha um endereço IP dentro da rede /24. Qualquer regra de bloqueio que for adicionada a configuração deve ser obrigatoriamente inserida antes da linha http_access allow internal_net. Outro detalhe, para liberar sites que funcionam em portas diferentes da porta 80, como por exemplo, 19/27

20 81, 82, etc, é necessário adicionar uma ACL com o parâmetro Safe_ports com a porta necessária, por exemplo, acl Safe_ports port 81. Por fim, uma breve explicação sobre os parâmetros cache_mem e cache_dir, onde o primeiro deve ser configurado com aproximadamente 25% da memória RAM total do servidor, porém é comum encontrar na Internet pessoas indicando valores de até 75% da memória RAM. No parâmetro cache_dir, o tamanho do cache (terceiro valor, logo após a definição do diretório) depende do tamanho disponível na partição /var, lembrando que cada 1GB de tamanho representa um consumo de 10MB da memória RAM. Um detalhe importante, a configuração do Squid apresentada acima não é para um Proxy transparente, assim, para funcionar, o navegador deve ser alterado. 20/27

21 Firewall (Iptables) Normalmente o pacote iptables já vem instalado, porém se for necessário, este pacote pode ser instalado via YUM, através do comando abaixo: # yum install iptables Para configurar as regras de firewall deve-se criar o script firewall no diretório /etc/init.d, conforme abaixo: Arquivo /etc/init.d/firewall: #!/bin/sh # # firewall Start iptables firewall # # chkconfig: # description: Starts, stops and saves iptables firewall # # Source function library.. /etc/init.d/functions IPTABLES=iptables IPV=${IPTABLES%tables} # ip for ipv4 ip6 for ipv6 PROC_IPTABLES_NAMES=/proc/net/${IPV}_tables_names VAR_SUBSYS_IPTABLES=/var/lock/subsys/$IPTABLES if [! -x /sbin/$iptables ]; then echo -n $"/sbin/$iptables does not exist."; warning; echo exit 0 fi if lsmod 2>/dev/null grep -q ipchains ; then echo -n $"ipchains and $IPTABLES can not be used together."; warning; echo exit 1 fi # Default firewall configuration: IPTABLES_STATUS_NUMERIC="yes" IPTABLES_STATUS_VERBOSE="no" IPTABLES_STATUS_LINENUMBERS="yes" start() { # Load Modules modprobe ip_nat_ftp modprobe ip_conntrack_ftp # Disable IP Spoofing attack sysctl -w net.ipv4.conf.all.rp_filter=2 > /dev/null 2>&1 # Enable IP Forward sysctl -w net.ipv4.ip_forward=1 > /dev/null 2>&1 # Kill Timestamps sysctl -w net.ipv4.tcp_timestamps=0 > /dev/null 2>&1 # Enable protection Cookie TCP syn sysctl -w net.ipv4.tcp_syncookies=1 > /dev/null 2>&1 21/27

22 # Disable ICMP broadcast sysctl -w net.ipv4.icmp_echo_ignore_broadcasts=1 > /dev/null 2>&1 # Enable protection to bad error message sysctl -w net.ipv4.icmp_ignore_bogus_error_responses=1 > /dev/null 2>&1 # It certifys that packages routed in the origin had been discarded sysctl -w net.ipv4.conf.all.accept_source_route=0 > /dev/null 2>&1 # Change TTL value sysctl -w net.ipv4.ip_default_ttl=255 > /dev/null 2>&1 # Ratemask to ICMPs: sysctl -w net.ipv4.icmp_ratemask=6457 > /dev/null 2>&1 # Recommended values of datagram TCP thinking about DOS and DRDOS attack sysctl -w net.ipv4.tcp_fin_timeout=30 > /dev/null 2>&1 sysctl -w net.ipv4.tcp_keepalive_time=1800 > /dev/null 2>&1 sysctl -w net.ipv4.tcp_window_scaling=0 > /dev/null 2>&1 sysctl -w net.ipv4.tcp_sack=0 > /dev/null 2>&1 # Clear the firewall rules iptables -F iptables -t nat -F iptables -X iptables -t nat -X # Allow loopback iptables -A INPUT -j ACCEPT -i lo -d iptables -A OUTPUT -j ACCEPT -o lo -s # Allow ICMP iptables -A INPUT -j ACCEPT -i eth0 -p icmp iptables -A OUTPUT -j ACCEPT -o eth0 -p icmp iptables -A INPUT -j ACCEPT -i eth1 -p icmp iptables -A OUTPUT -j ACCEPT -o eth1 -p icmp iptables -A INPUT -j ACCEPT -i eth2 -p icmp iptables -A OUTPUT -j ACCEPT -o eth2 -p icmp iptables -A FORWARD -j ACCEPT -i eth0 -o eth1 -p icmp iptables -A FORWARD -j ACCEPT -i eth1 -o eth0 -p icmp iptables -A FORWARD -j ACCEPT -i eth0 -o eth2 -p icmp iptables -A FORWARD -j ACCEPT -i eth2 -o eth0 -p icmp iptables -A FORWARD -j ACCEPT -i eth1 -o eth2 -p icmp iptables -A FORWARD -j ACCEPT -i eth2 -o eth1 -p icmp # Allow Firewall to access the Internet iptables -A INPUT -j ACCEPT -i eth0 -p tcp -m multiport --sport 80,443 iptables -A OUTPUT -j ACCEPT -o eth0 -p tcp -m multiport --dport 80,443 iptables -A INPUT -j ACCEPT -i eth0 -p udp -m multiport --sport 53,123 iptables -A OUTPUT -j ACCEPT -o eth0 -p udp -m multiport --dport 53,123 # Allow Firewall to access the DMZ iptables -A INPUT -j ACCEPT -i eth1 -p tcp -m multiport --sport 22 iptables -A OUTPUT -j ACCEPT -o eth1 -p tcp -m multiport --dport 22 # Allow Firewall to access the LAN iptables -A INPUT -j ACCEPT -i eth2 -p tcp -m multiport --sport 22 22/27

23 iptables -A OUTPUT -j ACCEPT -o eth2 -p tcp -m multiport --dport 22 # Allow Internet to access the Firewall iptables -A INPUT -j ACCEPT -i eth0 -p tcp -m multiport --dport 22 iptables -A OUTPUT -j ACCEPT -o eth0 -p tcp -m multiport --sport 22 # Allow Internet to access the DMZ # Allow Internet to access the LAN # Allow DMZ to access the Firewall iptables -A INPUT -j ACCEPT -i eth1 -p tcp -m multiport --dport 22,53 iptables -A OUTPUT -j ACCEPT -o eth1 -p tcp -m multiport --sport 22,53 iptables -A INPUT -j ACCEPT -i eth1 -p udp -m multiport --dport 53 iptables -A OUTPUT -j ACCEPT -o eth1 -p udp -m multiport --sport 53 # Allow DMZ to access the Internet iptables -A FORWARD -j ACCEPT -i eth1 -o eth0 -p tcp -m multiport --dport 80 iptables -A FORWARD -j ACCEPT -i eth0 -o eth1 -p tcp -m multiport --sport 80 # Allow DMZ to access the LAN # Allow LAN to access the Firewall iptables -A INPUT -j ACCEPT -i eth2 -p tcp -m multiport --dport 22,53,80,3128 iptables -A OUTPUT -j ACCEPT -o eth2 -p tcp -m multiport --sport 22,53,80,3128 iptables -A INPUT -j ACCEPT -i eth2 -p udp -m multiport --dport 53,67 iptables -A OUTPUT -j ACCEPT -o eth2 -p udp -m multiport --sport 53,67 # Allow LAN to access the Internet # Allow LAN to access the DMZ iptables -A FORWARD -j ACCEPT -i eth2 -o eth1 -p tcp -m multiport --dport 25,80,143,389,443 iptables -A FORWARD -j ACCEPT -i eth1 -o eth2 -p tcp -m multiport --sport 25,80,143,389,443 # NAT iptables -t nat -A POSTROUTING -j MASQUERADE -s /24 -o eth0 iptables -t nat -A POSTROUTING -j MASQUERADE -s /24 -o eth0 # PREROUTING iptables -t nat -A PREROUTING -i eth0 -d p tcp -m multiport --dport 80,443,8080 -j DNAT --to iptables -A FORWARD -j ACCEPT -i eth0 -o eth1 -d p tcp -m multiport --dport 80,443,8080 iptables -A FORWARD -j ACCEPT -i eth1 -o eth0 -s p tcp -m multiport --sport 80,443,8080 # Sets policy iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD DROP # Logs iptables -A INPUT -j LOG --log-level alert --log-prefix DROP iptables -A OUTPUT -j LOG --log-level alert --log-prefix DROP iptables -A FORWARD -j LOG --log-level alert --log-prefix DROP touch $VAR_SUBSYS_IPTABLES 23/27

24 } return $ret stop() { # Clear the firewall rules iptables -F iptables -t nat -F iptables -X iptables -t nat -X # Sets policy iptables -P INPUT ACCEPT iptables -P OUTPUT ACCEPT iptables -P FORWARD ACCEPT } rm -f $VAR_SUBSYS_IPTABLES return $ret status() { tables=`cat $PROC_IPTABLES_NAMES 2>/dev/null` # Do not print status if lockfile is missing and iptables modules are not # loaded. # Check if iptable module is loaded if [! -f "$VAR_SUBSYS_IPTABLES" -a -z "$tables" ]; then echo $"Firewall is stopped." return 1 fi # Check if firewall is configured (has tables) if [! -e "$PROC_IPTABLES_NAMES" ]; then echo $"Firewall is not configured. " return 1 fi if [ -z "$tables" ]; then echo $"Firewall is not configured. " return 1 fi NUM= [ "x$iptables_status_numeric" = "xyes" ] && NUM="-n" VERBOSE= [ "x$iptables_status_verbose" = "xyes" ] && VERBOSE="--verbose" COUNT= [ "x$iptables_status_linenumbers" = "xyes" ] && COUNT="--line-numbers" for table in $tables; do echo $"Table: $table" $IPTABLES -t $table --list $NUM $VERBOSE $COUNT && echo done } return 0 restart() { stop start } 24/27

25 case "$1" in start) stop start RETVAL=$? ;; stop) stop RETVAL=$? ;; restart) restart RETVAL=$? ;; status) status RETVAL=$? ;; *) echo $"Usage: $0 {start stop restart status}" exit 1 ;; esac exit $RETVAL Obs.: As regras apresentadas acima devem ser adequadas aos serviços existentes na rede e também as necessidades de cada estrutura de servidores. Normalmente prefiro criar regras bem explícitas, indicando quais servidores ou redes tem acesso à determinados serviços. Uma vez criado o script, deve-se configurar as permissões corretas e habilitá-lo para iniciar com o sistema operacional: # chmod a+x /etc/init.d/firewall # chkconfig firewall on Uma outra opção para configurar as regras do Firewall é utilizar o Shorewall (http://www.shorewall.net), que facilita muito a configuração, principalmente quando a estrutura é complexa e grande. 25/27

26 Sincronização de data e hora (NTP) Instalar o pacote ntp, através do comando YUM: # yum install ntp Para configurar o serviço NTP deve-se alterar o arquivo /etc/ntp.conf, conforme abaixo: Arquivo /etc/ntp.conf: # Permit time synchronization with our time source, but do not # permit the source to query or modify the service on this system. restrict default kod nomodify notrap nopeer noquery restrict -6 default kod nomodify notrap nopeer noquery # Permit all access over the loopback interface. This could # be tightened as well, but to do so would effect some of # the administrative functions. restrict restrict -6 ::1 # Hosts on local network are less restricted. #restrict mask nomodify notrap # Use public servers from the pool.ntp.org project. # Please consider joining the pool (http://www.pool.ntp.org/join.html). server 0.centos.pool.ntp.org server 1.centos.pool.ntp.org server 2.centos.pool.ntp.org # Undisciplined Local Clock. This is a fake driver intended for backup # and when no outside source of synchronized time is available. server # local clock fudge stratum 10 # Drift file. Put this in a directory which the daemon can write to. # No symbolic links allowed, either, since the daemon updates the file # by creating a temporary in the same directory and then rename()'ing # it to the file. driftfile /var/lib/ntp/drift # Key file containing the keys and key identifiers used when operating # with symmetric key cryptography. keys /etc/ntp/keys Obs.: A configuração depende da topologia da rede utilizada. Neste caso será permitido aos servidores da DMZ sincronizarem a data e hora com o servidor Firewall, assim como as estações de trabalho da rede local. Um detalhe importante na sincronização da data e hora é o horário de verão, onde para funcionar corretamente, todas as estações de trabalho precisam ter atualizado o arquivo de timezone, que determina o dia correto do início e término do horário de verão. Nas estações com o sistema GNU/Linux, este arquivo é /etc/localtime, que pode ser um link simbólico para o arquivo /usr/share/zoneinfo/brazil/east, ou uma cópia deste arquivo. 26/27

Procedimento. Servidor Apache com PHP e Tomcat. Autor: Sandro Venezuela www.linux2business.com.

Procedimento. Servidor Apache com PHP e Tomcat. Autor: Sandro Venezuela <sandro@linux2business.com.br> www.linux2business.com. Procedimento Servidor Apache com PHP e Tomcat Autor: Sandro Venezuela 1/15 Atribuição Uso não-comercial Compartilhamento pela mesma licença 2.5 Brasil Você pode: Copiar,

Leia mais

# dnssec-keygen -a HMAC-MD5 -b 128 -n USER chave

# dnssec-keygen -a HMAC-MD5 -b 128 -n USER chave Como integrar o serviço de DHCP com o de DNS no CentOS A integração dos serviços de dhcp e dns é um recurso muito útil em uma rede. Pois minimiza o trabalho do administrador de redes e maximiza seu controle

Leia mais

CONSTRUINDO UM FIREWALL NO LINUX CENTOS 5.7

CONSTRUINDO UM FIREWALL NO LINUX CENTOS 5.7 CONSTRUINDO UM FIREWALL NO LINUX CENTOS 5.7 Gerson Ribeiro Gonçalves www.websolutti.com.br Sumário 1 INSTALANDO CENTOS...3 2 INSTALANDO SERVIÇOS...15 3 COMANDOS BÁSICO DO EDITOR VIM...15 4 CONFIGURANDO

Leia mais

Relatório do Trabalho Prático nº 1. DNS e DHCP. Documento elaborado pela equipa: Jorge Miguel Morgado Henriques Ricardo Nuno Mendão da Silva

Relatório do Trabalho Prático nº 1. DNS e DHCP. Documento elaborado pela equipa: Jorge Miguel Morgado Henriques Ricardo Nuno Mendão da Silva Relatório do Trabalho Prático nº 1 DNS e DHCP Documento elaborado pela equipa: Jorge Miguel Morgado Henriques Ricardo Nuno Mendão da Silva Data de entrega: 22.10.2006 Indíce Introdução... 2 Configuração

Leia mais

Formando-Fernando Oliveira Formador- João Afonso Mediador-Cristina Goulão Curso Técnico de Informática e Gestão de Redes ufcd / 20 11/11/2013 Turma

Formando-Fernando Oliveira Formador- João Afonso Mediador-Cristina Goulão Curso Técnico de Informática e Gestão de Redes ufcd / 20 11/11/2013 Turma Formando-Fernando Oliveira Formador- João Afonso Mediador-Cristina Goulão Curso Técnico de Informática e Gestão de Redes ufcd / 20 11/11/2013 Turma -SDR LINUX ADMINISTRAÇÃO DNS significa (sistema de nomes

Leia mais

SERVIDOR PROXY COM SQUID3 em GNU/Linux Debian7 Por: Prof. Roitier Campos Gonçalves

SERVIDOR PROXY COM SQUID3 em GNU/Linux Debian7 Por: Prof. Roitier Campos Gonçalves SERVIDOR PROXY COM SQUID3 em GNU/Linux Debian7 Por: Prof. Roitier Campos Gonçalves O Proxy é um serviço de rede através do qual é possível estabelecer um alto nível de controle/filtro de tráfego/conteúdo

Leia mais

CONSTRUINDO UM FIREWALL NO LINUX DEBIAN 6.0

CONSTRUINDO UM FIREWALL NO LINUX DEBIAN 6.0 CONSTRUINDO UM FIREWALL NO LINUX DEBIAN 6.0 Gerson Ribeiro Gonçalves www.websolutti.com.br Página 1 Sumário 1 INSTALANDO DEBIAN...3 2 COMANDOS BÁSICO DO EDITOR VIM...11 3 CONFIGURANDO IP ESTÁTICO PARA

Leia mais

Projeto e Instalação de Servidores Servidores Linux Aula 6 Firewall e Proxy

Projeto e Instalação de Servidores Servidores Linux Aula 6 Firewall e Proxy Projeto e Instalação de Servidores Servidores Linux Aula 6 Firewall e Proxy Prof.: Roberto Franciscatto Introdução FIREWALL Introdução Firewall Tem o objetivo de proteger um computador ou uma rede de computadores,

Leia mais

Squid autenticando em Windows 2003 com msnt_auth

Squid autenticando em Windows 2003 com msnt_auth 1 de 6 28/3/2007 11:44 Squid autenticando em Windows 2003 com msnt_auth Autor: Cristyan Giovane de Souza Santos Data: 26/02/2007 Configurando o msnt_auth Primeiramente

Leia mais

PROJETO DE IMPLEMENTAÇÃO DE UM SERVIDOR FIREWALL LIVRE UTILIZANDO IPTABLES

PROJETO DE IMPLEMENTAÇÃO DE UM SERVIDOR FIREWALL LIVRE UTILIZANDO IPTABLES PROJETO DE IMPLEMENTAÇÃO DE UM SERVIDOR FIREWALL LIVRE UTILIZANDO IPTABLES 1. Introdução O IPTABLES é um software usado para analisar os pacotes que passam entre redes. A partir desse princípio podemos

Leia mais

Instalação e Configuração Iptables ( Firewall)

Instalação e Configuração Iptables ( Firewall) Instalação e Configuração Iptables ( Firewall) Pág - 1 Instalação e Configuração Iptables - Firewall Desde o primeiro tutorial da sequencia dos passo a passo, aprendemos a configurar duas placas de rede,

Leia mais

Curitiba, Novembro 2010. Resumo

Curitiba, Novembro 2010. Resumo Implementando um DMZ Virtual com VMware vsphere (ESXi) André Luís Demathé Curso de Redes e Segurança de Sistemas Pontifícia Universidade Católica do Paraná Curitiba, Novembro 2010 Resumo A utilização de

Leia mais

Pré-requisitos e passos iniciais. Topologia visual

Pré-requisitos e passos iniciais. Topologia visual Pré-requisitos e passos iniciais Resolvi escrever este artigo por 2 razões, a primeira é que o mikrotik (do qual sou fã incondicional) não é um bom sistema para proxy (exclusivamente na minha opinião)

Leia mais

TUTORIAL DE SQUID Versão 3.1

TUTORIAL DE SQUID Versão 3.1 TUTORIAL DE SQUID Versão 3.1 Autora: Juliana Cristina dos Santos Email: professora.julianacristina@gmail.com 1 SERVIDOR PROXY Serviço proxy é um representante do cliente web, que busca na Internet o conteúdo

Leia mais

Disciplina: Fundamentos de serviços IP Alunos: Estevão Elias Barbosa Lopes e Leonardo de Azevedo Barbosa

Disciplina: Fundamentos de serviços IP Alunos: Estevão Elias Barbosa Lopes e Leonardo de Azevedo Barbosa Disciplina: Fundamentos de serviços IP Alunos: Estevão Elias Barbosa Lopes e Leonardo de Azevedo Barbosa DHCP: Dynamic Host Configuration Protocol (Protocolo de configuração dinâmica de host), é um protocolo

Leia mais

Laboratório 3. Configurando o Serviço DNS

Laboratório 3. Configurando o Serviço DNS Neste laboratório iremos falar sobre o serviço DNS (Domain Name System). O DNS é um sistema de gerenciamento de nomes hierárquico e distríbuido visando resolver nomes de domínio em endereços de rede IP.

Leia mais

DNS Linux. Rodrigo Gentini gentini@msn.com

DNS Linux. Rodrigo Gentini gentini@msn.com Linux Rodrigo Gentini gentini@msn.com Domain Name System (DNS). O DNS é o serviço de resolução de nomes usado em todas as redes TCP/IP, inclusive pela Internet que, sem dúvidas, é a maior rede TCP/IP existente.

Leia mais

RELATÓRIO DE INSTALAÇÃO E CONFIGURAÇÃO DOS APLICATIVOS BIND E POSTFIX

RELATÓRIO DE INSTALAÇÃO E CONFIGURAÇÃO DOS APLICATIVOS BIND E POSTFIX RELATÓRIO DE INSTALAÇÃO E CONFIGURAÇÃO DOS APLICATIVOS BIND E POSTFIX EDFRANCIS PEREIRA MARQUES SEGURANÇA DA INFORMAÇÃO V INTRODUÇÃO NESTE RELATÓRIO VEREMOS A IMPORTÂNCIA DE CONHECER CADA COMANDO EXECUTADO,

Leia mais

Segurança de Redes. Aula extra - Squid. Filipe Raulino filipe.raulino@ifrn.edu.br

Segurança de Redes. Aula extra - Squid. Filipe Raulino filipe.raulino@ifrn.edu.br Segurança de Redes Aula extra - Squid Filipe Raulino filipe.raulino@ifrn.edu.br Instalação Instalando o Squid : # yum install squid Iniciando o serviço: # /etc/init.d/squid start Arquivos/Diretórios: /etc/squid/squid.conf

Leia mais

DNS Ubuntu Server 14.04

DNS Ubuntu Server 14.04 DNS Ubuntu Server 14.04 1. Passo Configuração do servidor (nomes e endereçamentos exemplos) IP: 192.168.0.1 Nome da máquina: professor Nome do domínio: aula.net 2. Passo Instalar pacote DNS #apt-get install

Leia mais

Curso de extensão em Administração de Serviços GNU/Linux

Curso de extensão em Administração de Serviços GNU/Linux Curso de extensão em Administração de Serviços GNU/Linux Italo Valcy - italo@dcc.ufba.br Gestores da Rede Acadêmica de Computação Departamento de Ciência da Computação Universidade Federal da Bahia Administração

Leia mais

DNS Parte 2 - Configuração

DNS Parte 2 - Configuração DNS Parte 2 - Configuração Adriano César Ribeiro (estagiário docente) adrianoribeiro@acmesecurity.org Adriano Mauro Cansian adriano@acmesecurity.org Tópicos em Sistemas de Computação 1 Revisão Prof. Dr.

Leia mais

Configurando um servidor DNS com atualização automática via DHCP

Configurando um servidor DNS com atualização automática via DHCP Configurando um servidor DNS com atualização automática via DHCP João Medeiros (joao.fatern@gmail.com) 1 Introdução Neste tutorial iremos descrever a configuração de um servidor DNS para uma rede local

Leia mais

DNS. Parte 2 - Configuração. Tópicos em Sistemas de Computação 2014. Prof. Dr. Adriano Mauro Cansian adriano@acmesecurity.org

DNS. Parte 2 - Configuração. Tópicos em Sistemas de Computação 2014. Prof. Dr. Adriano Mauro Cansian adriano@acmesecurity.org DNS Parte 2 - Configuração Tópicos em Sistemas de Computação 2014 Prof. Dr. Adriano Mauro Cansian adriano@acmesecurity.org Estagiário Docente: Vinícius Oliveira viniciusoliveira@acmesecurity.org 1 Neste

Leia mais

Servidor proxy - Squid PROFESSOR : RENATO WILLIAM

Servidor proxy - Squid PROFESSOR : RENATO WILLIAM Servidor proxy - Squid PROFESSOR : RENATO WILLIAM Revisando Instalação do Squid - # apt-get install squid Toda a configuração do Squid é feita em um único arquivo, o "/etc/squid/squid.conf". Funcionamento

Leia mais

INSTITUTO FEDERAL DE EDUCAÇÃO, CIÊNCIA E TECNOLOGIA CATARINENSE CAMPUS SOMBRIO RONALDO BORGES DE QUADROS SERVIÇOS DE REDE

INSTITUTO FEDERAL DE EDUCAÇÃO, CIÊNCIA E TECNOLOGIA CATARINENSE CAMPUS SOMBRIO RONALDO BORGES DE QUADROS SERVIÇOS DE REDE INSTITUTO FEDERAL DE EDUCAÇÃO, CIÊNCIA E TECNOLOGIA CATARINENSE CAMPUS SOMBRIO RONALDO BORGES DE QUADROS SERVIÇOS DE REDE Sombrio (SC) 2011 INSTITUTO FEDERAL DE EDUCAÇÃO, CIÊNCIA E TECNOLOGIA CATARINENSE

Leia mais

Curso de extensão em Administração de redes com GNU/Linux

Curso de extensão em Administração de redes com GNU/Linux Eduardo Júnior Administração de redes com GNU/Linux Curso de extensão em Administração de redes com GNU/Linux Eduardo Júnior - ihtraum@dcc.ufba.br Gestores da Rede Acadêmica de Computação Departamento

Leia mais

Servidor de e-mail corporativo com Zimbra.

Servidor de e-mail corporativo com Zimbra. UNISUL Universidade do Sul de Santa Catarina Unisul TechDay 2013 Servidor de e-mail corporativo com Zimbra. Palestrante: Irineu Teza Nunes E-mail: irineu@idinf.com.br Website: www.idinf.com.br Blog: itnproducoes.blogspot.com

Leia mais

5/7/2010. Apresentação. Web Proxy. Proxies: Visão Geral. Curso Tecnologia em Telemática. Disciplina Administração de Sistemas Linux

5/7/2010. Apresentação. Web Proxy. Proxies: Visão Geral. Curso Tecnologia em Telemática. Disciplina Administração de Sistemas Linux Apresentação Servidor Proxy Administração de Sistemas Curso Tecnologia em Telemática Disciplina Administração de Sistemas Linux Professor: Anderson Costa anderson@ifpb.edu.br Assunto da aula Proxy (Capítulo

Leia mais

Orientador de Curso: Rodrigo Caetano Filgueira

Orientador de Curso: Rodrigo Caetano Filgueira Orientador de Curso: Rodrigo Caetano Filgueira Serviço DNS DNS significa Domain Name System (sistema de nomes de domínio). O DNS converte os nomes de máquinas para endereços IPs que todas as máquinas da

Leia mais

Tutorial configurando o dhcp no ubuntu ou debian.

Tutorial configurando o dhcp no ubuntu ou debian. Tutorial configurando o dhcp no ubuntu ou debian. Pré requisitos para pratica desse tutorial. Saber utilizar maquina virtual no virtual Box ou vmware. Saber instalar ubuntu ou debian na maquina virtual.

Leia mais

Proxy/Cache (squid) DHCP. Firewall. Controle de Banda (CBQ)

Proxy/Cache (squid) DHCP. Firewall. Controle de Banda (CBQ) Proxy/Cache (squid) DHCP Firewall Controle de Banda (CBQ) Yuri Galvão Mendes Gerente de Ti GraficaLog Página 1 INTRODUÇÃO É com grande prazer que apresentamos a vocês esse minicurso elaborado para você

Leia mais

Aula 3 Servidor DNS BIND

Aula 3 Servidor DNS BIND 1 Aula 3 Servidor DNS BIND Um servidor DNS é responsável em responder pelos domínios e direcionar tudo que é relacionado a ele, nele por exemplo pode se apontar onde fica www.dominio.com.br, vai apontar

Leia mais

Configuração do Servidor DNS. Mcedit /etc/named.conf. mkdir /var/named/estudolinux cp /var/named/* estudolinux

Configuração do Servidor DNS. Mcedit /etc/named.conf. mkdir /var/named/estudolinux cp /var/named/* estudolinux Configuração do Servidor DNS Mcedit /etc/named.conf mkdir /var/named/estudolinux cp /var/named/* estudolinux Configurando o Bind no Slackware 10 ::: Bind / Named Enviado por: Geyson Rogério L. Silva Data:

Leia mais

4. Abra o prompt de comando acesse o diretório c:\squid\sbin e digite os comandos abaixo:

4. Abra o prompt de comando acesse o diretório c:\squid\sbin e digite os comandos abaixo: Tutorial Squid Tutorial Squid Tutorial apresentado para a disciplina de Redes de Computadores, curso Integrado de Informática, do Instituto Federal de Educação, Ciência e Tecnologia da Bahia IFBA Campus

Leia mais

Serviços de Redes. Servidor DNS (Bind) Professor: Alexssandro Cardoso Antunes

Serviços de Redes. Servidor DNS (Bind) Professor: Alexssandro Cardoso Antunes Serviços de Redes Servidor DNS (Bind) Professor: Alexssandro Cardoso Antunes Atividades Roteiro Objetivos Instalação (projeto) Definições, Características, Vantagens e Hierarquia Clientes, Processo de

Leia mais

DNS: Domain Name System DHCP: Dynamic Host Configuration Protocol. Edgard Jamhour

DNS: Domain Name System DHCP: Dynamic Host Configuration Protocol. Edgard Jamhour DNS: Domain Name System DHCP: Dynamic Host Configuration Protocol Serviço DNS: Domain Name System nome - ip nome - ip Nome? IP nome - ip nome - ip Árvore de nomes br RAIZ br pucpr ufpr Pucpr Ufpr ppgia

Leia mais

Configurando servidor de DNS no CentOS O Domain Name System Sistema de Nomes de Domínio é de fundamental importância em uma rede.

Configurando servidor de DNS no CentOS O Domain Name System Sistema de Nomes de Domínio é de fundamental importância em uma rede. Configurando servidor de DNS no CentOS O Domain Name System Sistema de Nomes de Domínio é de fundamental importância em uma rede. O DNS é um sistema hierárquico em árvore invertida. Tem como origem o ponto

Leia mais

Autor: Armando Martins de Souza Data: 12/04/2010

Autor: Armando Martins de Souza <armandomartins.souza at gmail.com> Data: 12/04/2010 http://wwwvivaolinuxcombr/artigos/impressoraphp?codig 1 de 12 19-06-2012 17:42 Desvendando as regras de Firewall Linux Iptables Autor: Armando Martins de Souza Data: 12/04/2010

Leia mais

01 - Entendendo um Firewall. Prof. Armando Martins de Souza E-mail: armandomartins.souza@gmail.com

01 - Entendendo um Firewall. Prof. Armando Martins de Souza E-mail: armandomartins.souza@gmail.com 01 - Entendendo um Firewall. Prof. Armando Martins de Souza E-mail: armandomartins.souza@gmail.com O que são Firewalls? São dispositivos constituídos por componentes de hardware (roteador capaz de filtrar

Leia mais

Firewall Iptables - Impasses

Firewall Iptables - Impasses Firewall Iptables - Impasses Prof. Andrei Carniel Universidade Tecnológica Federal do Paraná UTFPR E-mail: andreicarniel@utfpr.edu.br / andrei.carniel@gmail.com 2 Impasses Um dos principais motivos de

Leia mais

Instalação e configuração do serviço proxy Squid.

Instalação e configuração do serviço proxy Squid. Serviço proxy Squid agosto/2015 Instalação e configuração do serviço proxy Squid. 1 Serviço proxy Serviço proxy é um representante do cliente web, que busca na internet o conteúdo requisitado por este.

Leia mais

Compartilhamento da internet, firewall

Compartilhamento da internet, firewall da internet, firewall João Medeiros (joao.fatern@gmail.com) 1 / 29 Exemplo de transmissão 2 / 29 Exemplo de transmissão Dados trafegam em pacotes com até 1460 bytes de dados e dois headers de 20 bytes

Leia mais

SQUID Linux. Rodrigo Gentini gentini@msn.com

SQUID Linux. Rodrigo Gentini gentini@msn.com Linux Rodrigo Gentini gentini@msn.com SQUID é um Proxy cachê para WEB que suporta os protocolos HTTP, HTTPS, FTP, GOPHER entre outros. Ele reduz o uso da banda da internet e melhora a respostas das requisições

Leia mais

ADMINISTRAÇÃO DE REDES I LINUX. Firewall. Frederico Madeira LPIC 1, CCNA fred@madeira.eng.br www.madeira.eng.br

ADMINISTRAÇÃO DE REDES I LINUX. Firewall. Frederico Madeira LPIC 1, CCNA fred@madeira.eng.br www.madeira.eng.br ADMINISTRAÇÃO DE REDES I LINUX Firewall Frederico Madeira LPIC 1, CCNA fred@madeira.eng.br www.madeira.eng.br São dispositivos que têm com função regular o tráfego entre redes distintas restringindo o

Leia mais

Balanceamento de links

Balanceamento de links Balanceamento de links Utilizando iptables e iproute2 Leandro R. bolinh0@click21.com.br Introdução: Com o barateamento de links de acesso a internet e o aparecimento da conexão de banda-larga a um valor

Leia mais

Firewall e Proxy. Relatório do Trabalho Prático nº 2. Segurança em Sistemas de Comunicação

Firewall e Proxy. Relatório do Trabalho Prático nº 2. Segurança em Sistemas de Comunicação Segurança em Sistemas de Comunicação Relatório do Trabalho Prático nº 2 Firewall e Proxy Documento elaborado pela equipa: Jorge Miguel Morgado Henriques Ricardo Nuno Mendão da Silva Data de entrega: 07.11.2006

Leia mais

BIND Um DNS Server Completo

BIND Um DNS Server Completo BIND Um DNS Server Completo Parque Tecnológico Itaipu (PTI) Missão ITAIPU: Gerar energia elétrica de qualidade, com responsabilidade social e ambiental, impulsionando o desenvolvimento econômico, turístico

Leia mais

Criando um Servidor Proxy com o SQUID. Roitier Campos

Criando um Servidor Proxy com o SQUID. Roitier Campos Criando um Servidor Proxy com o SQUID Roitier Campos Roteiro Redes de Computadores e Internet Arquitetura Cliente/Servidor e Serviços Básicos de Comunicação Componentes do Servidor e Configuração da VM

Leia mais

Instituto Superior das Ciências do Trabalho e da Empresa. Segurança de Redes e Protocolos de Comunicação. 1º Trabalho de Acompanhamento

Instituto Superior das Ciências do Trabalho e da Empresa. Segurança de Redes e Protocolos de Comunicação. 1º Trabalho de Acompanhamento Instituto Superior das Ciências do Trabalho e da Empresa Segurança de Redes e Protocolos de Comunicação 1º Trabalho de Acompanhamento Docente: Professor José Guimarães Realizado por: António Monteiro João

Leia mais

Implantando o Squid para Gerenciamento de Banda e Acesso a Internet

Implantando o Squid para Gerenciamento de Banda e Acesso a Internet Pontifícia Universidade Católica do Paraná - PUCPR Implantando o Squid para Gerenciamento de Banda e Acesso a Internet Contribuições: Auxílio nos estudos dos problemas e riscos enfrentados pelas organizações

Leia mais

Prática NAT/Proxy. Edgard Jamhour. Esses exercícios devem ser executados através do servidor de máquinas virtuais: espec.ppgia.pucpr.

Prática NAT/Proxy. Edgard Jamhour. Esses exercícios devem ser executados através do servidor de máquinas virtuais: espec.ppgia.pucpr. Prática NAT/Proxy Edgard Jamhour Exercícios práticos sobre NAT e Proxy, usando Linux. Esses exercícios devem ser executados através do servidor de máquinas virtuais:.ppgia.pucpr.br OBS. Esse roteiro utiliza

Leia mais

Prof. Samuel Henrique Bucke Brito

Prof. Samuel Henrique Bucke Brito Sistema Operacional Linux > Servidor Proxy/Cache (Squid) www.labcisco.com.br ::: shbbrito@labcisco.com.br Prof. Samuel Henrique Bucke Brito Introdução Um servidor proxy/cache é bastante atrativo para as

Leia mais

Comandos importantes Virtual Box Linux Compartilhamento

Comandos importantes Virtual Box Linux Compartilhamento Comandos importantes Virtual Box Linux Compartilhamento 1º passo - Acessar Virtual Box plataforma criada dispositivos pasta compartilhadas clicar no botão + no canto direito escolher destino ( Desktop)

Leia mais

Prof. Roberto Franciscatto 4º Semestre - TSI - CAFW. Free Powerpoint Templates Page 1

Prof. Roberto Franciscatto 4º Semestre - TSI - CAFW. Free Powerpoint Templates Page 1 Segurança na Web Capítulo 6: Firewall Prof. Roberto Franciscatto 4º Semestre - TSI - CAFW Page 1 Introdução Qual a função básica de um firewall? Page 2 Introdução Qual a função básica de um firewall? Bloquear

Leia mais

Tutorial para Instalação do Ubuntu Server 10.04

Tutorial para Instalação do Ubuntu Server 10.04 Tutorial para Instalação do Ubuntu Server 10.04 Autor: Alexandre F. Ultrago E-mail: ultrago@hotmail.com 1 Infraestrutura da rede Instalação Ativando o usuário root Instalação do Webmin Acessando o Webmin

Leia mais

Instalação de sistemas GNU/Linux em Servidores

Instalação de sistemas GNU/Linux em Servidores Instalação de sistemas GNU/Linux em Servidores Introdução O objetivo deste documento é mostrar a instalação e configuração de um servidor com o sistema operacional GNU/Linux, podendo ser utilizado como

Leia mais

III WTR do POP-BA III Workshop de Tecnologias de Redes Ponto de Presença da RNP na Bahia Instrutor: Ibirisol Fontes Monitor: Jundaí Abdon.

III WTR do POP-BA III Workshop de Tecnologias de Redes Ponto de Presença da RNP na Bahia Instrutor: Ibirisol Fontes Monitor: Jundaí Abdon. III WTR do POP-BA III Workshop de Tecnologias de Redes Ponto de Presença da RNP na Bahia Instrutor: Ibirisol Fontes Monitor: Jundaí Abdon Prática 1 Cenário: Na figura acima temos uma pequena rede, que

Leia mais

Formação IPv6 Maputo Moçambique 26 Agosto 29 Agosto 08

Formação IPv6 Maputo Moçambique 26 Agosto 29 Agosto 08 Formação IPv6 Maputo Moçambique 26 Agosto 29 Agosto 08 DNS Pedro Lorga (lorga@fccn.pt) Carlos Friaças (cfriacas@fccn.pt) Exercício Prático: DNS Objectivos Neste exercício completará as seguintes tarefas:

Leia mais

Elaboração de Script de Firewall de Fácil administração

Elaboração de Script de Firewall de Fácil administração Elaboração de Script de Firewall de Fácil administração Marcos Monteiro http://www.marcosmonteiro.com.br contato@marcosmonteiro.com.br IPTables O iptables é um firewall em NÍVEL DE PACOTES e funciona baseado

Leia mais

COORDENAÇÃO DE TECNOLOGIA (COTEC) JULHO/2010

COORDENAÇÃO DE TECNOLOGIA (COTEC) JULHO/2010 PROCEDIMENTOS BÁSICOS DE INSTALAÇÃO DO SERVIDOR LINUX - DEBIAN COORDENAÇÃO DE TECNOLOGIA (COTEC) JULHO/2010 Rua do Rouxinol, N 115 / Salvador Bahia CEP: 41.720-052 Telefone: (71) 3186-0001. Email: cotec@ifbaiano.edu.br

Leia mais

Proxyarp O Shorewall não exige qualquer configuração

Proxyarp O Shorewall não exige qualquer configuração SEGURANÇA Firewall fácil com o Shorewall Domando o fogo, parte 2 Na segunda parte de nosso tutorial de uso do poderoso Shorewall, aprenda a criar um firewall mais complexo e a proteger sua rede com muita

Leia mais

TUTORIAL INSTALAÇÃO UBUNTU SERVER COM THUNDERCACHE

TUTORIAL INSTALAÇÃO UBUNTU SERVER COM THUNDERCACHE TUTORIAL INSTALAÇÃO UBUNTU SERVER COM THUNDERCACHE Olá! A Idéia básica deste tutorial é fornecer, da forma mais detalhada possível, todos os passos para uma instalação com sucesso do sistema de cache Thunder

Leia mais

Tutorial Servidor Proxy com Squid baseado em Linux Acadêmicos : Felipe Zottis e Cleber Pivetta. Servidor Proxy

Tutorial Servidor Proxy com Squid baseado em Linux Acadêmicos : Felipe Zottis e Cleber Pivetta. Servidor Proxy Tutorial Servidor Proxy com Squid baseado em Linux Acadêmicos : Felipe Zottis e Cleber Pivetta Servidor Proxy Um servidor Proxy possui a finalidade de possibilitar que máquinas contidas em uma determinada

Leia mais

Segurança Informática e nas Organizações. Guiões das Aulas Práticas

Segurança Informática e nas Organizações. Guiões das Aulas Práticas Segurança Informática e nas Organizações Guiões das Aulas Práticas João Paulo Barraca 1 e Hélder Gomes 2 1 Departamento de Eletrónica, Telecomunicações e Informática 2 Escola Superior de Tecnologia e Gestão

Leia mais

Sarg Proxy transparente

Sarg Proxy transparente Proxy Conteúdo Squid Proxy... 2 Instalar o squid... 4 Criando uma configuração básica... 5 Configurando o cache... 6 Adicionando restrições de acesso... 9 Bloqueando por domínio ou palavras... 9 Gerenciando

Leia mais

Configurando DNS Server. Prof. Armando Martins de Souza E-mail: armandomartins.souza@gmail.com

Configurando DNS Server. Prof. Armando Martins de Souza E-mail: armandomartins.souza@gmail.com Configurando DNS Server. Prof. Armando Martins de Souza E-mail: armandomartins.souza@gmail.com Entendendo o DNS É o serviço responsável por: Traduzir nomes em endereços IP (e vice-versa), de um determinado

Leia mais

Instalação e Configuração Servidor DNS

Instalação e Configuração Servidor DNS Instalação e Configuração Servidor DNS Instalação e Configuração Servidor DNS Passo Nº 1 Conferir o nome da máquina ( já configurado no passo Servidor Configuração DHCP ). # nano /etc/hostname Passo Nº

Leia mais

Apostila sobre Squid

Apostila sobre Squid CURSO : TECNÓLOGO EM REDES DE COMPUTADORES DISCIPLINA : SISTEMAS OPERACIONAIS DE REDES PROFESSOR: LUCIANO DE AGUIAR MONTEIRO Apostila sobre Squid 1. SQUID O Squid é um servidor Proxy e cache que permite

Leia mais

UNIVERSIDADE FEDERAL DO RIO DE JANEIRO NUCLEO DE COMPUTAÇÃO ELETRÔNICA PÓS-GRADUAÇÃO EM GERÊNCIA DE SEGURANÇA DA INFORMAÇÃO (MSI) Felipe Martins Rôlla

UNIVERSIDADE FEDERAL DO RIO DE JANEIRO NUCLEO DE COMPUTAÇÃO ELETRÔNICA PÓS-GRADUAÇÃO EM GERÊNCIA DE SEGURANÇA DA INFORMAÇÃO (MSI) Felipe Martins Rôlla I UNIVERSIDADE FEDERAL DO RIO DE JANEIRO NUCLEO DE COMPUTAÇÃO ELETRÔNICA PÓS-GRADUAÇÃO EM GERÊNCIA DE SEGURANÇA DA INFORMAÇÃO (MSI) Felipe Martins Rôlla DESENVOLVENDO FIREWALLS SEGUROS EM AMBIENTES DE

Leia mais

Segurança em Redes e Sistemas Operacionais

Segurança em Redes e Sistemas Operacionais Segurança em Redes e Sistemas Operacionais Segurança - ale.garcia.aguado@gmail.com 1 Agenda Preparação do Ambiente Como é o Ambiente em que vamos trabalhar? Visão Macro Passos... Segurança - ale.garcia.aguado@gmail.com

Leia mais

Configuração de um servidor DNS. Campus Cachoeiro Curso Técnico em Informática

Configuração de um servidor DNS. Campus Cachoeiro Curso Técnico em Informática Configuração de um servidor DNS Campus Cachoeiro Curso Técnico em Informática Configuração DNS O servidor DNS usado é o BIND versão 9. Para configuração do servidor DNS, deve-se acessar os arquivos de

Leia mais

Professor: João Paulo de Brito Gonçalves Campus Cachoeiro Curso Técnico em Informática

Professor: João Paulo de Brito Gonçalves Campus Cachoeiro Curso Técnico em Informática Proxy SQUID Professor: João Paulo de Brito Gonçalves Campus Cachoeiro Curso Técnico em Informática Proxy (definições) O objetivo principal de um servidor proxy é possibilitar que máquinas de uma rede privada

Leia mais

Aula 10 Proxy cache Squid

Aula 10 Proxy cache Squid 1 Aula 10 Proxy cache Squid 10.1 Proxy Um proxy é um servidor HTTP com características especiais de filtragem de pacotes que tipicamente são executados em uma máquina (com ou sem firewall). O proxy aguarda

Leia mais

Orientador de Curso: Rodrigo Caetano Filgueira

Orientador de Curso: Rodrigo Caetano Filgueira Orientador de Curso: Rodrigo Caetano Filgueira Definição O Firewal é um programa que tem como objetivo proteger a máquina contra acessos indesejados, tráfego indesejado, proteger serviços que estejam rodando

Leia mais

Arquitectura de Redes

Arquitectura de Redes Arquitectura de Redes Domain Name System DNS 1 Objectivo / Motivação 2 'What's the use of their having names the Gnat said if they won't answer to them?' Alice no País das Maravilhas Resolução de nomes

Leia mais

DHCP: Instalando e configurando

DHCP: Instalando e configurando Definir as tecnologias de redes necessárias e adequadas para conexão e compartilhamento dos dados que fazem parte da automatização dos procedimentos bancários DHCP: Dynamic Host Configuration Protocol

Leia mais

FACULDADE DE TECNOLOGIA SENAI DE DESENVOLVIMENTO GERENCIAL FATESG CURSO TÉCNICO EM REDES DE COMPUTADORES. Luís Antônio Neto Wallysson Santos Oliveira

FACULDADE DE TECNOLOGIA SENAI DE DESENVOLVIMENTO GERENCIAL FATESG CURSO TÉCNICO EM REDES DE COMPUTADORES. Luís Antônio Neto Wallysson Santos Oliveira FACULDADE DE TECNOLOGIA SENAI DE DESENVOLVIMENTO GERENCIAL FATESG CURSO TÉCNICO EM REDES DE COMPUTADORES Luís Antônio Neto Wallysson Santos Oliveira ADMINISTRADOR DE REDES LINUX (DEBIAN) Goiânia 2011 Luís

Leia mais

Prof. Samuel Henrique Bucke Brito

Prof. Samuel Henrique Bucke Brito Sistema Operacional Linux > Firewall NetFilter (iptables) www.labcisco.com.br ::: shbbrito@labcisco.com.br Prof. Samuel Henrique Bucke Brito Introdução O firewall é um programa que tem como objetivo proteger

Leia mais

Depois que instalamos o Squid vamos renomear o arquivo de configuração para criarmos um do zero.

Depois que instalamos o Squid vamos renomear o arquivo de configuração para criarmos um do zero. Pessoal nesse artigo vou mostrar um pouco do Squid, um servidor de Proxy, ele trabalha como saída principal da rede, com isso podemos centralizar nosso foco em segurança (políticas de acesso, autenticação,

Leia mais

Prática DNS. Edgard Jamhour

Prática DNS. Edgard Jamhour Prática DNS Edgard Jamhour Exercícios práticos sobre DNS. Esse roteiro de prática inclui apenas aspectos básicos de configuração desses serviços. Apenas esses aspectos básicos é que serão cobrados em relatório.

Leia mais

GNU/Linux Debian Servidor DNS

GNU/Linux Debian Servidor DNS GNU/Linux Debian Servidor DNS Neste tutorial, será apresentado a configuração do serviço de rede DNS (Domain Name System) utilizando o sistema operacional GNU/Linux, distribuição Debian 7.5. Antes de começamos

Leia mais

Lojamundi Tecnologia Sem Limites www.lojamundi.com. br

Lojamundi Tecnologia Sem Limites www.lojamundi.com. br Servidor de Cache e Firewall com Squid, Dhcp-Server e Firewall na Cubieboard 2 com Cubian Nesse artigo você aprenderá a instalar e configurar servidor de cache com squid, dhcpd-server e firewall iptables.

Leia mais

FIREWALL COM IPTABLES. www.eriberto.pro.br/iptables. by João Eriberto Mota Filho 3. TABELAS. Tabela Filter ESQUEMA DA TABELA FILTER

FIREWALL COM IPTABLES. www.eriberto.pro.br/iptables. by João Eriberto Mota Filho 3. TABELAS. Tabela Filter ESQUEMA DA TABELA FILTER FIREWALL COM IPTABLES www.eriberto.pro.br/iptables by João Eriberto Mota Filho 3. TABELAS Tabela Filter Vejamos o funcionamento da tabela filter (default) e as suas respectivas chains: ESQUEMA DA TABELA

Leia mais

V Workshop de Tecnologias de Rede do PoP-BA

V Workshop de Tecnologias de Rede do PoP-BA V Workshop de Tecnologias de Rede do PoP-BA www.pop-ba.rnp.br/wtr2014 IPv6 Um novo não tão novo protocolo de Internet Instrutor: Thiago Bomfim thiagobomfim@pop-ba.rnp.br Monitoria: Jundaí Abdon jundai@pop-ba.rnp.br

Leia mais

Sobre a licença Para cada novo uso ou distribuição, você deve deixar claro para outros os termos da licença desta obra. No caso de criação de obras derivadas, os logotipos do CGI.br, NIC.br, IPv6.br e

Leia mais

Anexo IV. Tutorial de Implementação de Políticas de Segurança das Redes sem Fio das Unidades do CEFETES

Anexo IV. Tutorial de Implementação de Políticas de Segurança das Redes sem Fio das Unidades do CEFETES Anexo IV Tutorial de Implementação de Políticas de Segurança das Redes sem Fio das Unidades do CEFETES Este documento tem como objetivo documentar as configurações que devem ser feitas para a implementação

Leia mais

Passos Preliminares: Acessando a máquina virtual via ssh.

Passos Preliminares: Acessando a máquina virtual via ssh. CIn/UFPE Sistemas de Informação Redes de Computadores Professor: Kelvin Lopes Dias Monitor: Edson Adriano Maravalho Avelar {kld,eama}@cin.ufpe.br Instalando/Configurando Servidor DNS. Este tutorial irá

Leia mais

Janeiro 30 IRS. Gonçalo Afonso nº 29143

Janeiro 30 IRS. Gonçalo Afonso nº 29143 Janeiro 30 IRS 2012 Gonçalo Afonso nº 29143 Índice Máquina Virtual... 2 Sistema Operativo... 2 Instalação... 2 Sistema de ficheiros... 4 Gestor de Pacotes... 5 Bootloader... 6 DNS... 6 Objectivos:... 6

Leia mais

Administração de Redes I Linux Prof: Frederico Madeira Lista de Exercícios 3

Administração de Redes I Linux Prof: Frederico Madeira <fred@madeira.eng.br> Lista de Exercícios 3 Administração de Redes I Linux Prof: Frederico Madeira Lista de Exercícios 3 1. Qual dos seguintes comandos linux não inclui a capacidade de listar o PID das aplicações que estão

Leia mais

UM dos protocolos de aplicação mais importantes é o DNS. Para o usuário leigo,

UM dos protocolos de aplicação mais importantes é o DNS. Para o usuário leigo, Laboratório de Redes. Domain Name Service - DNS Pedroso 4 de março de 2009 1 Introdução UM dos protocolos de aplicação mais importantes é o DNS. Para o usuário leigo, problemas com o DNS são interpretados

Leia mais

Laboratório Firewall IPv6

Laboratório Firewall IPv6 Sobre a licença Para cada novo uso ou distribuição, você deve deixar claro para outros os termos da licença desta obra. No caso de criação de obras derivadas, os logotipos do CGI.br, NIC.br, IPv6.br e

Leia mais

Gestão de Sistemas e Redes

Gestão de Sistemas e Redes Gestão de Sistemas e Redes Firewalls Paulo Coelho 2005 Versão 1.0 1 Acessos do exterior A ligação da rede de uma empresa a um sistema aberto como a Internet merece muitíssimo cuidado Três preocupações

Leia mais

Prof. Samuel Henrique Bucke Brito

Prof. Samuel Henrique Bucke Brito Sistema Operacional Linux > Servidor DNS (BIND) www.labcisco.com.br ::: shbbrito@labcisco.com.br Prof. Samuel Henrique Bucke Brito Introdução O DNS é um dos serviços mais importantes na Internet porque

Leia mais

Professor Claudio Silva

Professor Claudio Silva Filtragem caso o pacote não seja permitido, ele é destruído caso seja permitido, ele é roteado para o destino Além das informações contidas nos pacotes o filtro sabe em que interface o pacote chegou e

Leia mais

Instalando e Configurando um bom Servidor GNU/Linux. Luiz Eduardo Guaraldo software.livre@terra.com.br

Instalando e Configurando um bom Servidor GNU/Linux. Luiz Eduardo Guaraldo software.livre@terra.com.br Instalando e Configurando um bom Servidor GNU/Linux Luiz Eduardo Guaraldo software.livre@terra.com.br Índice Particionamento padrão Configuração do MTA Criando um Swapfile Pacotes adicionais Configuração

Leia mais

Rafael Goulart - rafaelgou@gmail.com Curso ASLinux v.3

Rafael Goulart - rafaelgou@gmail.com Curso ASLinux v.3 Conceito Serviço que traduz RESOLVE nomes de máquinas para endereços IP e endereços IP para nomes de máquina. É um sistema hierárquico e descentralizado/distribuído. Simplifica a administração do complexo

Leia mais

Segurança de Redes. Firewall. Filipe Raulino filipe.raulino@ifrn.edu.br

Segurança de Redes. Firewall. Filipe Raulino filipe.raulino@ifrn.edu.br Segurança de Redes Firewall Filipe Raulino filipe.raulino@ifrn.edu.br Introdução! O firewall é uma combinação de hardware e software que isola a rede local de uma organização da internet; Com ele é possível

Leia mais