Por João Luis Mancy dos Santos joaocep@gmail.com
Teorias (rápida passagem) Atualização do Sistem a - cvsup Preparação do Kernel BSD Intalação de Pacotes via "Ports Tree" Configuração do Squid Configuração das Vlans Configuração do PF Configuração de Clientes Ex em plos de Configurações de Switchs Adereços e Perfumarias - Sarg, SquidGuard, mrtg... Perguntas?
- Teoria: VLAN é uma rede virtual ou aglomerado de máquinas que se comunicam independentemente de sua localização física ou de topologia, como se fosse um único domínio broadcast, ou uma rede lógica. 802.1Q Este é o protocolo padrão do IEEE. Ele é aberto e é implementado pela maioria dos fornecedores de soluções de network. Ele funciona semelhante ao ISL, adicionando um header e um trailer ao pacote. O padrão 802.1q introduz a técnica conhecida como tagging e o conceito de VLAN nativa. Em um enlace tronco, é definida uma VLAN Nativa a qual não recebe a marcação (tagging). Ela não precisa estar rodando o protocolo 802.1q para poder desencapsular os pacote. Por que usar VLAN?
Atualização do Sistema - cvsup O CVSup é um software para distribuir e atualizar árvores de fontes a partir de um repositório CVS central para um servidor remoto. Os fontes do FreeBSD são mantidos num repositório CVS em um computador central de desenvolvimento na Califórnia. Com o CVSup, usuários do FreeBSD podem facilmente manter suas próprias árvores de fontes atualizadas. vim / usr/ share/ examples/ cvsup/ ports- supfile cvsup - g - L 2 ports- supfile * Atualizando stable- supfile vim / usr/ share/ examples/ cvsup/ stable- supfile cvsup - g - L 2 stable- supfile
*default host= cvsup.fr.freebsd.org *default base= / var/ db *default prefix = / usr *default release= cvs tag=. *default delete use- rel- suffix *default com press ports- base Ports- archivers Ports- devel Ports- dns Ports- graphics Ports- net Ports- net- mgmt Ports- print Ports- security Ports- shells ports- www
*default host= cvsup.fr.freebsd.org *default base= / var/ db *default prefix = / usr *default release= cvs tag=. *default delete use- rel- suffix *default com press ports- all
Preparando Kernel BSD cd / usr/ src/ sys/ i386/ conf/ cp GENERIC SUA- MAQUINA vim SUA- MAQUINA
m achine #cpu #cpu cpu ident device device device device i386 I486_CPU I586_CPU I686_CPU SUA- MAQUINA pf pflog pfsync vlan
#Squid Options options SYSVMSG options MSGMNB= 16384 options MSGMNI= 41 options MSGSEG= 2049 options MSGSSZ= 64 options MSGTQL= 512 options SHMSEG= 16 options SHMMNI= 32 options SHMMAX= 2097152 options SHMALL= 3096
Compilando: #cd / usr/ src/ ; make buildwofxpd && make buildkernel KERNCONF= SUA- MAQUINA && m ake installkernel KERNCONF= SUA- MAQUINA Simplificado: #config SUA- MAQUINA #cd../ compile/ SUA- MAQUINA ; make cleandepend ; make depend; make ; make install
Intalação de Pacotes via "Ports Tree #cd / usr/ ports/ www/ squid ; m ake install clean Marque a opção: [X] SQUID_PF Enable transparent proxying with PF
Configurando Squid Diferenças? Serie 2.5.X httpd_accel_host virtual httpd_accel_port 80 httpd_accel_with_prox y on httpd_accel_uses_host_header on Serie 2.6.X http_port 3128 transparent
defaultrouter= "192.168.0.1" gateway_enable= "YES" hostnam e= "joaocep.neoinform atica.com.br" ifconfig_fx p0= "inet 192.168.0.2 netm ask 255.255.255.0" ifconfig_fx p1= "inet 10.1.1.1 netm ask 255.255.255.0" cloned_interfaces= "vlan20 vlan30 vlan40 "
network_interfaces= "lo0 fx p0 fx p1 pfsync0 vlan20 vlan30 vlan40 " ifconfig_vlan20= "inet 10.2.1.1 netmask 255.255.255.0 vlan 20 vlandev fxp1" ifconfig_vlan30= "inet 10.3.1.1 netmask 255.255.255.0 vlan 30 vlandev fxp1" ifconfig_vlan40= "inet 10.4.1.1 netmask 255.255.255.0 vlan 40 vlandev fxp1" ifconfig_vlan50= "inet 10.5.1.1 netmask 255.255.255.0 vlan 50 vlandev fxp1"
sshd_enable= "YES" squid_enable= "YES" pf_enable= "YES" pf_rules= "/ etc/ pf.conf" pf_flags= "" pflog_enable= "YES" pflog_logfile= "/ var/ log/ pflog" pflog_flags= ""
#Configuraçoes do PF # Fazendo o NAT nat on fxp0 from any to any - > (fxp0) nat on fxp1 from any to any - > (fxp0) nat on vlan20 from any to any - > (fxp0) nat on vlan30 from any to any - > (fxp0) nat on vlan40 from any to any - > (fxp0) #Redirecionando portas rdr on vlan20 proto tcp from any to any port www - > 192.168.0.1 port 3128 rdr on vlan20 proto tcp from any to any port www - > 192.168.0.2 port 53 rdr on vlan30 proto tcp from any to any port www - > 192.168.0.1 port 3128 rdr on vlan30 proto tcp from any to any port www - > 192.168.0.2 port 53 rdr on vlan40 proto tcp from any to any port www - > 192.168.0.1 port 3128 rdr on vlan40 proto tcp from any to any port www - > 192.168.0.2 port 53
Configuracoes DHCP cd / usr/ ports/ net/ isc- dhcp3- server m ake install clean #dentro do rc.conf dhcpd_ifaces= "fx p0 vlan20 vlan30 vlan40 vlan50" dhcpd_enable= "YES" (* demais opçoes)
#dentro do arquivo / usr/ local/ etc/ dhcpd.conf subnet 10.2.1.0 netm ask 255.255.255.0 { option routers 10.2.1.1; option subnet- m ask 255.255.255.0; option dom ain- nam e "SUA- EMPRESA.com.br"; option domain- name- servers IP- SEU- DNS; option netbios- name- servers IP- SEU- DNS; option broadcast- address 10.2.1.255; range dynam ic- bootp 10.2.1.20 10.2.1.254; } (* Copiando para cada subnet de dhcp)
Configuraçoes de Clientes Necessariamente o gateway devera ser o proxy Exemplo VLAN20 address 10.2.1.100 Netm ask 255.255.255.0 Gateway 10.2.1.1 DNS 10.2.1.1
Configurando Switch Modelo Enterasys E1 #set vlan 20 create #set vlan name 20 "2andar" #set vlan egress 20 fe.0.2 #set vlan egress 20 fe.0.12,fe.0.17 untagged #set port vlan fe.0.2,fe.0.12,fe.0.17 20 #router #configure term inal #Interface vlan 20 #set ip address 10.2.0.1 255.255.0.0 #no shutdown #exit
Adereços e Perfum arias Usando Ports (sem pre) Sarg cd / usr/ ports/ www/ sarg && m ake install clean Apenas cuidar onde fica o arquivo de log / var/ log/ squid/ access.log
Squid 2.6 Transp. com uso de SquidGuard cd / usr/ ports/ www/ squidguard && m ake install clean Alteração no squid redirect_program / usr/ local/ bin/ squidguard - c / usr/ local/ etc/ squid/ squidguard.conf #squidguard.conf source SUA- EMPRESA { } acl { } Ip 10.2.1.0/ 24 10.3.1.0/ 24 10.4.1.0/ 24 127.0.0.1/ 32 default { pass!gambling!warez!proxy!porn!hacking!audio- video!ads!drugs!violence!labin all redirect 302:http:/ / www.seu- SITE.com.br }
Prós e Contras??? Redução de broadcast e lixo de rede Segurança Ifvlan e carp = NÃO! Ifvlan e ifconfig_fxp0_alias0 = NÃO! Ifvlan e regras de pf = SIM! Ifvlan e regras de ipfw = SIM!
PERGUNTAS? Mais sobre a empresa: www.neoinform atica.com.br neoinform atica@neoinform atica.com.br Fone: 51 3462 4502