Tutorial Version 3.0 de BrazilFW

***** Tutorial de la Versión 3.0 de BrazilFW *****

BrazilFW Firewall and Router○ A powerful network security tool, easy, safe and totally free.

Índice del Tutorial de la versión 3.0 de BrazilFW:

1. Introducción.

2. Origen de BrazilFW 3.0

3. Especificaciones Técnicas de BrazilFW 3.0

4. Evolución de la versión 3.0 de BFW.

5. Requisitos para correr la versión 3.0

6. Descarga de la .iso y del Build-Tree de la versión 3.0

7. Boot desde CD.

8. Instalación.

9. Actualizando BFW 3.0

10.Cambiando la contraseña predeterminada de BFW 3.0

11.Conociendo el WebAdmin de BFW 3.0.

12.Instalando el Certificado Digital.

13.Conociendo el brazilfw.cfg – Archivo maestro de la versión 3.0

14.Puertos predeterminados de BFW 3.0

15.Bloqueo de Puertos.

16.Nuevo Cálculo de conntrack automático

17.Configurando la Conexión.

18.Configurando LoadBalance.

19.Trabajando con "Smart Route".

20.Trabajando con Tareas programadas - Cron.

21.Habilitando Control de IP x MAC.

22.Habilitando IPUpdate.

23.Habilitando Servicio interno de Email de 3.0

24.Habilitando Squid.

25.Trabajando con DansGuardian.

26.Trabajando con Generadores de Registros - Sarg y WebAlizer.

27.Trabajando con QOS.

28.Trabajando con DHCP.

29.Trabajando con Sub-redes.

30.Trabajando con Red Wireless.

31.Trabajando con Wireless en modo AP.

32.Trabajando con virtualización.

33.Trabajando con Port Forwarding - Redirección de puertos.

34.Clonación de MAC.

35.Servidor DNS Nativo de BFW 3.0 = Bind.

36.Reservado para futuro, el capítulo

37.Reservado para futuro, el capítulo

38.Resumen de Comandos.

39.Indice do Apéndice.

40.Apéndice 1 - Dirección IP, Máscara de red y la Sub-Red (IPv4).

41. [url]Reservado para futuro, el capítulo.[/url]







48.Créditos.

Servicios Existentes:

• Modos de Conexión

○ STATIC (IP fijo)

○ DHCP,

○ Dinamico (PPPoE)

○ edge

• Acceso seguro a WebAdmin por medio de protocolo SSL

• Servidor Bind (DNS Server)

• Squid-3.0.STABLE15

• QOS

• Sub-Redes

• Load Balance (balanceo de de carga) integrado.

○ Con cualquier tipo de Conección (STATIC, PPPOE, DHCP e edge)

• DHCP Server para red y Sub-Redes

• GSM

• Nuevo Cálculo de conntrack automático:

○ Con el nuevo cálculo, ahora son posibles 1.652 conexiones aproximadamente por MB de memoria RAM instalada.

• Ipupdate 2.0 por link independiente.

• Soporte para wireless en modo cliente

• Email con suporte para ssl (gmail)

• Port Forwarding - (Redireccionamento de Puertos)

• Smart Route

• Amarre de IP X MAC

• DansGuardian - Ideal para uso en redes empresariales

• Sarg para uso en redes empresariales

• WebAlizer para uso en Provedores

• Development new "framework" for webadmin

• Native suporte with ssl

• Startup work with iface

• Ilimited interfaces

• Ilimited pppoe

• Ilimited dhcp-client

• Automated detect hardware

• No more sleep time in the boot

Descarga de la .iso de la versión 3.0 e Instalación/Update de la Build-Tree de 3.0

○ Descargar de la .iso de BrazilFW 3.0:

http://brazilfw.com.br/users/woshman/bt/brazilfw.iso

○ Build-tree de BrazilFW 3.0:

build-tree {install/update}

Code: Select allget-pkg /users/woshman/build-tree

Iniciar desde CD.

El CD de BrazilFW 3.0 trae los siguientes items:

• Boot Menu con 2 kernels ambos con sooprte para Multi-Processador:

1. El primero es para máquinas que posean hasta 4 GB de memoria RAM.

2. El segundo es para máquinas que posean hasta 64 GB de memoria RAM.

En caso de tener un solo procesador, el propio sistema se encargará de hacer los ajustes necesarios.

3. Test de memoria.

En esta opción tiene la posibilidad de hacer un test de la Memoria RAM de Server.

Iniciar desde CD: Pantalla del Boot Menu poco despues de iniciar.

○ El Timer es de 15 segundos. Si no selecciona una opcion el instalador ingresará de manera automatica a la primera opcion.

http://www.brazilfw.com.br/forum/viewtopic.php?f=87&t=69436

http://brazilfw.com.br/users/woshman/bt/brazilfw.iso

Después de optar por la primera o la segunda opción tendremos la siguiente pantalla::

Instalación de BFW 3.0 en un "Disco" de Gran Capacidad:

• El instalador crea la primera partición con 100 MB y coloca el espacio restante del HD en la segunda Partición.

Para Instalar siga estos pasos:

Ingrese como: # root ==> Enter

Ingrese con la contraseña predeterminada: # root ==> Enter

Entre com: # Instalar ==> Enter

Ahora siga estos pasos

• Despues de terminar, haga clic en OK y el server será reiniciado. Deje que el computador bootee desde el HD.

○ No olvide retirar el CD, ya que incluso dando arranque desde el HD, si el CD se encuentratodavia en la unidad de CD esto puede genear problema

Atualización/Updade de BrazilFW 3.0 despues de Instalado:

• Despues de instalado, al ser lanzada una nueva versión, basta con bajar la nueva .iso y copiar los archivos brazilfw.gz e version.inf para el directorio /mnt y reiniciar el server. Con esto, su servidor será actualizado.

O

• Atualización / update

○ Apartir de la versión 3.0.197 ==> update ==> For webadmin

• Cambiando la contraseña predeterminada de BFW 3.0• La contraseña predeterminada de BFW 3.0 es: root

• Code: Select all

• root•

´Cambie la contraseña despues de la instalación con el siguiente comando:


• passwd•

Haga Backup:


• backup•

Vea los pantallasos:




Conociendo el WebAdmin de BFW 3.0.

Capturas de pantalla del WebAdmin:

Instalando el Certificado Digital.

Ahora, acceder al WebAdmin de BrazilFW 3.0 se realizará por medio de una conexión segura por certificado SSL.

Por defecto, para acceder al WebAdmin basta con ingresar la direccion https://ns.brazilfw.local:8181 en su navegador.Como el certificado aun no ha sido instalado en el navegador, al acceder al WebAmin mostrará un mensaje en rojo.Para que este mensaje en rojo no vuelva a parecer, debemos instalar el certificado.La validez del certificado es de 10 años

A continuación se relacionan los pasos para la instalación del certificado.

==> 1 – Procedimiento válido para internet Explorer 6.0, 7.0 u 8.0 :En la barra de direcciones ingrese lo siguiente: https://ns.brazilfw.local:8181/getcert.cgi Ahora, guíese por las siguientes capturas de pantalla:

Nombre de usuario (login) y contraseña: Ingrese con los datos creados para BrazilFW

https://ns.brazilfw.local:8181/getcert.cgi

https://ns.brazilfw.local:8181/

Abrir

Clic en instalar certificado

Siguiente

Colocar todos los certificados en el siguiente almacén ==> Examinar

Entidades emisoras raíz de confianza ==> OK

Siguiente

Finalizar

Este proceso instalará el certificado brazilfw cert 3. Hecho esto, al ingresar al WebAdmin de BFW no volverá a mostrar el mensaje de color rojo

Al hacer clic sobre el candado, usted verá el certificado. Así usted sabrá que certificado está asignado, y para cual sitio es válido.

==> 2 – Procedimiento válido para Mozila FireFox:

En FireFox, primero se debe bajar y guardar el certificado.

En la barra de direcciones ingrese lo siguiente: https://ns.brazilfw.local:8181/getcert.cgi

Ahora, guíese por las siguientes capturas de pantalla:

Clic en "O puede agregar una excepción "

Clic en "agregar excepción "

https://ns.brazilfw.local:8181/getcert.cgi

Verificar certificado ==> confirmar excepción de seguridad "

Ingresar con Usuario y Contraseña

Clic en "Guardar archivo"

Guarde el certificado en una carpeta de su preferencia "

==> Después de bajar el Certificado y guardarlo, realice los siguientes pasos:

Herramientas ==> Opciones

Pestaña “Avanzado” ==> Criptografía ==> Certificados

Autoridades ==> Importar

Localice certificado en la carpeta donde lo halla guardado y selecciónelo

Marcar las siguientes opciones==>Considerar confiable este CA para identificar Sitios==> ............................ para identificar usuarios==> ............ para identificar autores de programas==> ............................................................ OK==> ...................................................................OK

Observación:

1 – Si ingresa con la ip en cambio del dns, aparecerá el mensaje de color rojo nuevamente, ya que fue instalado solamente con el nombre. 2 – Si cambia el nombre de su bfw (ns.brazilfw.local), vasta con eliminar el certificado y reniciar el servicio de WebAdmin, entonces será generado un nuevo certificado para el nuevo dominio. Para esto, haga lo siguiente:

Comandos para renovar el certificado después de renovar el dominio:Ingrese vía PuTTyCode: Select all

/etc/init.d/webadmin stopcd /etc/brazilfw/certrm -fr brazilfw_ssl.*/etc/init.d/webadmin startbackup

Renueve el BindCode: Select all

/etc/init.d/named reload

Con los procedimientos de arriba el nuevo dominio ya entra para toda la red con un nuevo certificado

Accediendo al WebAdmin:

Si usted cambio el dominio que viene por defecto en el BrazilFW, digite en la barra de direcciones del navegador de su preferencia la siguiente dirección:https://ns.brazilfw.local:8181

Conociendo el brazilfw.cfg - Archivo Maestro de la Versión 3.0

En este capítulo conoceremos el Archivo Maestro del BFW 3.X ( /etc/brazilfw/brazilfw.cfg ) a través de los comentarios realizados por cada línea

Variables

○ Los nombres de las variables están en letras mayúsculas y posiblemente tengan guión abajo ( _ ).

○ Las variables son citadas en minúsculas entre comillas simples ( ' ' )

• El contenido que viene por defecto del /etc/brazilfw/brazilfw.cfg se ve así:

Code: Select all

WEBADMIN_PORT='8181'SSH_PORT='22'ADMIN_AUTH='xxxxxxxxxxxxxxxx'DNSSERVER='yes'DNS1=''DNS2=''DHCP_DNS1=''DHCP_DNS2=''NAMESERVER='ns'DOMAIN='brazilfw'LOCALDOMAIN='local'PERSIST_LOG='no'USE_SWAP='no'SWAP_MEM=''PARTITION=''TIMEZONE='EST3'CACHE_DISK='no'USE_QOS='no'QOS_DEFAULT_GUARANTEE='10'DHCP_SERVER='no'DHCP_DEFAULT_LEASE='7200'IPUPDATE='no'IPUPDATE_REFRESH='600'USE_MAC_CONTROL='no'DISABLE_NAT='no'DISABLE_CONNLIMIT='no'CERTIFICATE_ISSUED_TO=''EXTERNAL_PING='yes'

• Ahora veamos las variables y sus definiciones:

WEBADMIN_PORT='8181'

Puerto de acceso al WebAdmin. Puerto por defecto = 8181

SSH_PORT='22'

Puerto de acceso al ssh. Puerto por defecto = 22


https://ns.brazilfw.local:8181/



ADMIN_AUTH='xxxxxxxxxxxxxxxxxx'

Contraseña de root encriptada

DNSSERVER='yes'

Servidor DNS nativo del 3.x (Bind). Por defecto está habilitado ='yes'

Estando el Bind habilitado las variables DNS1; DNS2; DHCP_DNS1 e DHCP_DNS NO deben ser llenadas.

DNS1=''DNS2=''DHCP_DNS1=''DHCP_DNS2=''

Las variables DNS1; DNS2; DHCP_DNS1 e DHCP_DNS sólo deben ser llenadas si el el Bind (DNSSERVER) está en 'no'

NAMESERVER='ns'

Nombre del Servidor DNS. Por defecto viene como 'ns'

DOMAIN='brazilfw'

Nombre del Dominio. Por defecto viene como 'brazilfw'

LOCALDOMAIN='local'

Extensión del Dominio. Por defecto viene como 'local'

PERSIST_LOG='no'

Graba el log en disco. Por defecto viene deshabilitado = 'no'

USE_SWAP='no'

Activa Memoria virtual en disco. Por defecto viene deshabilitado = 'no'

SWAP_MEM=''

Establece el valor de la Memoria Virtual en disco

Similar a la memoria virtual del Windows (SWAP MEMORY)Ejemplo: SWAP_MEM='1024' - Será creada una memoria virtual de 1024 MB que será tomada de la memoria RAM del Server.

PARTITION=''

Define manualmente donde está la partición, en caso de usar otro HD. Aún se está testeando.

TIMEZONE='EST3'

Región de los uso horario

CACHE_DISK='no'

Servidor Proxy nativo del 3.X (Squid). Por defecto viene deshabilitado = 'no'

USE_QOS='no'

Control de Ancho de Banda del 3.X Por defecto viene deshabilitado = 'no'

QOS_DEFAULT_GUARANTEE='10'

Valor por defecto que garantiza para QoS

DHCP_SERVER='no'

Servidor DHCP. Por defecto viene deshabilitado = 'no'

DHCP_DEFAULT_LEASE='7200'

Tiempo de concesión para DHCP Server. Por defecto viene '7200' = 2 Horas.

IPUPDATE='no'IPUPDATE_REFRESH='600'

IpUpdate y tiempo de actualización. Por defecto viene deshabilitado = 'no' y con el tiempo '600' = 10 Minutos.

USE_MAC_CONTROL='no'

Control de MAC X IP. Por defecto viene deshabilitado = 'no'

DISABLE_NAT='no'

Deshabilita el Enmascaramiento de IP (Compartido). El valor predeterminado es = 'no'

DISABLE_CONNLIMIT='no'

Deshabilita el Connlimit automático del QOS. El valor predeterminado es = 'no'

CERTIFICATE_ISSUED_TO=''

Para personalizar el certificado de (https).

EXTERNAL_PING='yes'

Activa o Desactiva el Ping Externo. Por defecto está Activado = 'yes'

Puertos predeterminados de BFW 3.0

• Relación de Puertos en BFW 3.0

○ 22.....................Acceso SSH

○ 53.....................Acceso DNS

○ 3128..................Acceso Squid

○ 8080..................Acceso Dansguardian

○ 8181..................Acceso Webadmin

Bloqueo de puertos en BFW 3.0

Contenido del archivo: "/etc/brazilfw/ports/blocked.cfg"

Code: Select all

yes 22 tcp # Acceso externo a SSHyes 53 all # Acceso externo a DNSyes 3128 tcp # Acceso externo a Squidyes 8080 tcp # Acceso externo a Dansguardianyes 8181 tcp # Acceso externo a Webadmin

• De manera predeterminada; los accesos externos a los siguientes "servicios" vienen bloqueados:

○ SSH

○ DNS

○ Squid

○ Dansguardian

○ Webadmin

• Para desbloquear un determinado puerto, basta con cambiar el yes por no y reiniciar el servicio.

Ejemplo: Si quiere liberar el acceso externo al webadmin haga lo siguiente:

Code: Select all

edit /etc/brazilfw/ports/blocked.cfg

Donde dice "yes 8181 tcp" cambie por "no 8181 tcp"

Guarde y salga

Realice un BackupCode: Select all

# backup

Para reiniciar el servicio:Code: Select all

# /etc/rc.d/rc.blocked

Liberando el Acceso Externo (Administrativo)

A Partir de la versión 3.0.206 todos los servicios que necesiten del acceso externo, deberán ser liberados antes.

Ejemplo: Liberar el acceso externo al SSH y al Webadmin.

1 - Usando el Terminal (a través del propio servidor o accediendo por ssh)

Por consola:Code: Select all

cd /etc/brazilfw/portsedit accept.cfg

Y editamos:Code: Select all

yes <porta ssh> tcp yes <porta webadmin> tcp

ctrl+wqbackup

Reemplace <porta ssh> por el número del puerto (por defecto es 22)Reemplace <porta webadmin> por el número del puerto (por defecto es 8181)


/etc/rc.d/rc.accept

Nuevo Cálculo de ConnTrack Automático








• Cálculo de Conntrack Automático = El sistema ajusta automáticamente la cantidad máxima de conexiones de su red de acuerdo a la cantidad de memoria RAM que posea el Servidor:

○ Antes, la regla era: 64 conexiones por Mega.Ejemplo: Su servidor tiene 256 MB de RAM, usted tendría 256 x 64 = 16.384 conexiones.

Fuente: viewtopic.php?f=2&t=67340#p158468

○ Ahora con el nuevo calculo, quedaría así:1.652 conexiones aproximadamente por MegaEjemplo: Su servidor tiene 256 MB de RAM, usted tendría 256 x 1.652 = 422.912 conexiones aproximadamente.

Configurando la Conexión.

Observación Importante:

De manera predeterminada el BrazilFW apunta a eth0 para la red local y la eth1 para internet.Con eso, todos los ejemplos en este capitulo y en los siguientes se seguirán usando esta misma configuración predeterminada de BrazilFW. Teniendo, por ejemplo, un segundo link de internet, este sería eth2 y así sucesivamente.

Red Local = eth0:La eth0 viene con la red 192.168.0.1/24. Coloque la que usted acostumbre a usar. Solo tenga cuidado deusar una clase valida para red privada (cualquier duda en cuanto a "redes privadas" vea el siguiente tutorial "Endereço IP, Máscaras de Redes e Sub-Rede (IPV4).").

eth0 de forma predeterminadaRuta => /etc/brazilfw/logical/localCode: Select all

LINK_ALIAS="local"LINK_CONNECTION="local"LINK_TYPE="static"LINK_IP="192.168.0.1"LINK_NETMASK="255.255.255.0"

Para cambiar la red local edite el archivo /etc/brazilfw/logical/localCode: Select all

edit /etc/brazilfw/logical/local

Cambie por la IP y mascara de su red/Subred, Guarde y Salga

Para cambiar la red local y el link de internet entre en /etc/brazilfw/logical

Link Internet = eth1:

• El(los) archivo(s) del(los) link(s) de internet están en el /etc/brazilfw/logical/

• Abajo veremos ejemplos para los tipos de conexión de internet de BFW3.0

• Recordando que, aquí fue colocado el nombre del archivo del link de "internet", pero usted puede colocar cualquier otro nombre.

1. Conexión estática:

Code: Select all

LINK_ALIAS="internet"LINK_CONNECTION="internet"LINK_TYPE="static"LINK_IP="10.1.1.2"LINK_NETMASK="255.255.255.252"LINK_GATEWAY="10.1.1.1"# LINK_WEIGHT es el peso del link para LoadBalanceLINK_WEIGHT="1"

Code: Select all

edit /etc/brazilfw/logical/internet

# Usted debe cambiar la ip, mascara y gateway del link estático. Guarde y Salga

2. Conexión pppoe:

Code: Select all

LINK_ALIAS="internet"LINK_CONNECTION="internet"






LINK_TYPE="pppoe"LINK_USERNAME="[email protected]" LINK_PASSWORD="xxxxxxxxxxx" # LINK_WEIGHT es el peso del link para LoadBalanceLINK_WEIGHT="1"

Code: Select all

edit /etc/brazilfw/logical/internetLINK_USERNAME="coloque aqui su login DSL"LINK_PASSWORD="coloque aqui a su contraseña DSL"Guarde y Salga.

3. Conexión DHCP:

Code: Select all

LINK_ALIAS="internet"LINK_CONNECTION="internet"LINK_TYPE="dhcp"# LINK_WEIGHT es el peso del link para LoadBalanceLINK_WEIGHT="1"

•

Conexión ppp (conexión vía grps/edge/evdo/3g:

○ Operadora Claro:

Code: Select all

edit /etc/brazilfw/logical/claroLINK_DEVICE="ttyUSB0" #En caso que su módem sea detectado en otro puerto, favor cambiar.LINK_CONNECTION="internet"LINK_TYPE="ppp"LINK_PHONE="*99***1#"LINK_PROVIDER="claro.com.br'LINK_USERNAME="claro"LINK_PASSWORD="claro"LINK_WEIGHT="1"

○ Operadora Vivo:

Code: Select all

edit /etc/brazilfw/logical/vivoLINK_DEVICE="ttyUSB0" #En caso que su módem sea detectado en otro puerto, favor cambiar.LINK_CONNECTION="internet"LINK_TYPE="ppp"LINK_PHONE="#777" #vivozapLINK_PROVIDER=""LINK_USERNAME="<ddd><telefone>@vivozap.com.br" #ex [email protected]_PASSWORD="vivo"LINK_WEIGHT="1"

Realice BackupCode: Select all

backup

Para iniciar o reiniciar el servicio:Code: Select all

/etc/rc.d/rc.inet

OBS.: Si no va a usar la versión 3.0 como servidor DHCP, deberá colocar en DNS la IP de BFW en la máquina cliente, de lo contrario no habrá navegación.

Configurando LoadBalance.

• LoadBalance usando dos links ADSL (1 de 2 MB e 1 de MB). Usando pppoe en los dos links.

○ Válido para links de diferentes operadoras. Para links de la misma operadora vea la Observación de abaijo.







Placa de Red:

• En /etc/brazifw/physical tenemos el archivo de internet que hace referencia a la eth1. Lo que tenemos que hacer es crear archivos para cada ethX que adicionaremos.

• Ejemplo: internet2 para eth2 y asi sucesivamente (Nota: El nombre internet2 puede cambiarlo por uno que crea conveniente)

Entonces en /etc/brazifw/physical tendríamos, además de otros, los siguientes archivos:

• internet para eth1 (Este viene de forma predeterminada)

Code: Select all

edit /etc/brazilfw/physical/internet

INTERFACE_TYPE="cabled"INTERFACE_PHYSICAL="eth1"

• internet2 para eth2 (Deberá crearlo)

Code: Select all

edit /etc/brazilfw/physical/internet2


• Existiendo más placas de red signa el mismo esquema.

Ahora tenemos que crear los discadores en /etc/brazifw/logical

• Allí ya tenemos el archivo internet que hace referencia a eth1

Code: Select all


LINK_ALIAS="internet"LINK_CONNECTION="internet"LINK_TYPE="pppoe"LINK_USERNAME="xxxxxx@xxxxx"LINK_PASSWORD="xxxxxxx"LINK_WEIGHT="2"

• Ahora, tenemos que crear el archivo, como por ejemplo, internet2 que será el segundo "discador" para la interfase eth2

Code: Select all

edit /etc/brazilfw/logical/internet2

LINK_ALIAS="internet2"LINK_CONNECTION="internet"LINK_TYPE="pppoe"LINK_USERNAME="xxxxxx@xxxxx"LINK_PASSWORD="xxxxxxx"LINK_WEIGHT="1"

• Existiendo mas placas de red se debe seguir el mismo esquema.

Haga Backup:Code: Select all

backup


/etc/rc.d/rc.inet

• Observación: Si los links usados para hacer LoadBalance fuesen de la misma operadora, los módems deben ser Routeados. Si usamos los módems en modo Bridge con enlaces de la misma operadora tendremos problemas.Antes, dos explicaciones:







1. Motivo: Enlaces de la misma operadora con el módem en modo Bridge el Gateway para BrazilFW será el mismo.Entendido?

2. Módem Routeado: antes que aparezca un grupo en contra y un grupo a favor del modem routeado, digo que, disculpen los contras, es solo usar modem confiables para la tarea. Entonces, por favor, nada de estar intentando mostrar "esto o aquello" del módem routeado. Ese asunto es casi una religión y la religión no se discute, se sigue o no se sigue.Entendido?

Placa de Red:

• En /etc/brazifw/physical tenemos el archivo internet que hace referencia a eth1. Lo que tenemos que hacer es crear archivos para cada ethX que adicionaremos.

• Ejemplo: internet2 para eth2 y así sucesivamente (Nota: El nombre internet2 usted puede cambiarlo por el que crea conveniente)

Entonces en /etc/brazifw/physical tendríamos, además de otros, los siguientes archivos:

• internet para eth1 (Este ya viene de manera predeterminada)

Code: Select all



• internet2 para eth2 (Tendrá que crearlo)

Code: Select all

edit /etc/brazilfw/physical/internet2


• Existiendo más placas de red sigan el mismo esquema.

Ahora tenemos que crear los Links en /etc/brazifw/logical

• Allí ya tenemos el archivo internet que hace referencia a eth1

Code: Select all


LINK_ALIAS="internet"LINK_CONNECTION="internet"LINK_TYPE="static"LINK_IP="10.1.1.2"LINK_NETMASK="255.255.255.252"LINK_GATEWAY="10.1.1.1"LINK_WEIGHT="2"

• Ahora, tenemos que crear el archivo, como por ejemplo, internet2 que será el segundo "link" para eth2

Code: Select all

edit /etc/brazilfw/logical/internet2

LINK_ALIAS="internet2"LINK_CONNECTION="internet"LINK_TYPE="static"LINK_IP="10.50.1.2"LINK_NETMASK="255.255.255.252"LINK_GATEWAY="10.50.1.1"LINK_WEIGHT="1"

• Existiendo más placas de red sigan el mismo esquema.

Haga Backup:Code: Select all

backup








/etc/rc.d/rc.inet

Trabajando con "Smart Route".

Smart Route:

El enlace es verificado cada 10 segundos, en caso de cambios, tanto Squid como las rutas serán recargadas.

Parámetros:Header del /etc/brazilfw/route.cfg:Code: Select all

[activo] [origen] [ruta(s)] [comando] [argumentos]

Ejemplos:Code: Select all

yes n internet1,internet2 port 443 tcpyes n internet1,internet2 port 80 tcp browseryes s internet1,internet2 source browseryes f internet2,internet1 port 25 tcpyes f internet2,internet. port 110 tcpyes s internet1,internet2 source 192.168.0.1,192.168.0.2,192.168.0.3,192.168.0.4yes s internet2,internet1 source 192.168.0.5,192.168.0.6,192.168.0.7yes s internet1,internet2 source 192.168.0.0/24,10.0.0.5,192.168.50.0/30

[activo]yes/no

[origen] n = network (origen de la red)f = firewall (origen del propio firewall)s = squid (origen del squid)

[rutas] = además de los linksEjemplo: Se tienen 3 links y fue colocado el alias para los links:

link 1 = internet1link 2 = internet2link 3 = internet3

1. Para separar los links usamos la coma (,).

Ejemplo: internet,internet2,internet3

2. El orden es quien define la priridad. 1º,2º,3º...

3. Si por algun motivo el primer link esta caído, el segundo lo asumirá, si el segundo link esta caído, el tercero lo asumirá, volviendo el primer link este asumirá el puesto de el.

4. Si fuese definido solamente un link, teniendo mas de un servidor y el link definido está caido, el entrará en load balance.

[comando]

A. Si el [origem] for n o f

A. port [puerto] [protocolo] [filtro]

B. source [ip]

C. dest [ip/url]

D. source-port [ip] [puerto] [protocolo] [filtro]

E. dest-port [ip] [puerto] [protocolo] [filtro]

F. [protocolo] = tcp, udp

G. [filter] = Todos los filtros validos del protocolo L7

B. Si el [origem] for s

source [ip(s) / browser]browser = Detecta que navegador está usando el usuarioy el fija solamente la ruta predeterminada en el comando

dest-domain [dominios] ex: .terra.com.br .orkut.com .uol.com.br

Ejemplos para ser usados en route.cfg:Code: Select all

edit /etc/brazilfw/route.cfg

Code: Select all

# sin squidyes n internet1,internet2 port 80 tcp browser

# con squidyes s internet1,internet2 source browser

# httpsyes n internet1,internet2 port 443 tcp





# Cambiar el nombre internet1,internet2,... por el nombre que definió antes en la configuración del sistema

"Dividiendo (sectorizando)" la Red:

○ Obs.: Para separar las IPs o Redes usamos la coma (,).

Ejemplos:

1. Colocando ips para salir en un orden y otros ips en otro orden.

Code: Select all

yes s internet1,internet2 source 192.168.0.1,192.168.0.2,192.168.0.3,192.168.0.4yes s internet2,internet1 source 192.168.0.5,192.168.0.6,192.168.0.7

2. Colocando una red para salir en un oren y otras redes en otro orden.

Code: Select all

yes s internet1,internet2 source 192.168.0.0/24yes s internet2,internet1 source 10.1.1.1/24,192.168.50.0/30

3. Forzando un IP por un solo link y el resto de la red por otro link.

Code: Select all

yes s internet1,internet2 source 192.168.0.5yes s internet2,internet3 source all# Todo lo que no for do IP 192.168.0.5 entra en internet2 o en internet3

4. Forzando dominios por un solo link.

Code: Select all

yes s internet1,internet2 dest-domain .terra.com.br,.orkut.com.br,.uol.com.br

Pregunta del usuario "rhine-pr":Tengo una cantidad enorme de ips de youtube, globo, y otros, como debo configurar LoadBalance para escoger esos destinos?

Por Ejemplo, Determinar que una dirección de internet (no de ip interno) salga por un determinado link, tipo: Code: Select all

dest y LB1 209.85.173.0/24 80 80 #googlevideosdest y LB2 209.85.174.0/23 80 80 #googlevideosdest y LB3 209.85.192.0/23 80 80 #googlevideos

# Determinar que cada IP saldrá por un link usando el puerto 80 ...

Para la red interna, quedaría asií:Code: Select all

net y LB1 LAN1 192.168.7.1 32 #

# Determinar que el link 1 va a ser direccionado para eth0 (lan1) para el IP 192.168.7.1

Respuesta de "Woshman":

En BrazilFW 3.x, usando el squid, quedaría así:Code: Select all

yes s internet1,internet2,internet3 dest-domain video.google.comyes s internet2 dest-domain .globo.comyes s internet3 dest-domain .youtube.com

yes s internet1,internet2,internet3 source 192.168.7.1/32


/etc/rc.d/rc.route

Trabajando con las Tareas Programadas - Cron.

Tareas Programadas - Cron:

De forma predeterminada el cron (Tareas programadas) viene habilitado.Después de realizar alguna modificación del archivo /etc/brazilfw/cron.cfg es solo recargar el servicio.









Parámetros:Header de /etc/brazilfw/cron.cfg:Code: Select all

mm hh dd MM ss script comentario| | | | | | || | | | | | +-------- Comentário| | | | | +---------------- Comando/script a ser ejecutado| | | | +--------------------- Dia de la semana (0 - 6) (comenzando en domingo=0)| | | +------------------------ Mes (1 - 12)| | +--------------------------- Día del mes (1 - 31)| +------------------------------ Hora (0 - 23)+--------------------------------- Minuto (0 - 59)

Observaciones:

1. En Día de la semana, 0 se refiere a domingo; y 6, a sábado. En el caso del dia de la semana, este también funciona con las tres primeras letras (en inglés) del día da semana (SUN,MON,TUE,WED,THU,FRI,SAT)

2. En cualquier posición se puede usar el * (asterisco) cuando no importa el campo en cuestión.

3. Se puede utilizar intervalos en esos campos. El carácter para intervalo es el - (Guión).

4. Se puede utilizar una lista de valores en esos campos. El carácter para la lista es la , (coma).

5. Cualquier texto colocado después del programa que será ejecutado, será considerado comentario y no será interpretado por el cron

Ejemplo: 6. Code: Select all

00 * * * * script # Todos los días cada hora (siempre)

7. Code: Select all

00-59/5 * * * * script #De cinco en cinco minutos (osea, cada 5 minutos) todos los días (note la división por 5 en el intervalo 00-59)


/etc/init.d/cron reload

Habilitando el Control IP x MAC.

Amarrar IP x MAC:

Parámetros:En el encabezado /etc/brazilfw/reserve.cfg:Code: Select all

[ip] [mac]192.168.0.1 2e:00:54:16:a4:66

Observaciones:

1. El archivo /etc/brazilfw/reserve.cfg es el mismo para la reserva de ips para el DHCP

2. El MAC debe estar con dos puntos(:) y no con el guión (-)

Ejemplo: 192.168.0.1 2e:00:54:16:a4:66

Para activar el control de mac/ip editar el archivo /etc/brazilfw/brazilfw.cfg y escribir 'yes' en USE_MAC_CONTROLCode: Select all

edit /etc/brazilfw/brazilfw.cfgUSE_MAC_CONTROL='yes'

• El concepto usado en el control MAC x IP es la misma de la Lista Blanca. Sólo navegarán quienes estén registrados en la lista.Si el Control MAC x IP está habilitado en el brazilfw.cfg, y el MAC no está en la lista, el cliente no conseguirá hacer nada.Ni siquiera podrá conseguir hacer ping al BFW. A través del MAC no registrado sólo se podrá tener acceso al puerto del webadmin y al puerto ssh para realizar un eventual mantenimiento.

Ejemplo:







• Si necesita bloquear una determinada MAC.Basta con ir a la línea de IP/MAC, la comenta y recarga el servicio. Automáticamente el cliente es bloqueado, no pasará por el QOS ni por el Squid.

Code: Select all

edit /etc/brazilfw/reserve.cfg

Code: Select all

#192.168.0.1 2e:00:54:16:a4:66

Code: Select all

/etc/rc.d/rc.macip


/etc/rc.d/rc.macip

Click aquí para volver al Índice.Last edited by juliojc on Mon Sep 07, 2009 5:15 pm, edited 2 times in total. ------------Julio César

---------------------------------------------------------HP Proliant ML115 G5 QuadCore AMD64 Opteron 2.2GHz, 4GB RAM, 250GB HDDVMware Server 2 - Ubuntu Server 8.04.4 - AMD64---------------------------------------------------------1) Argento Qos1 - 2) Argento Qos2 - 3) Argento Qos34) Brazil Nativo [ LB + TCP Outgoing + Squid + SCA + DNSCache + ConnLim ]5) Argento Bridge [ Control de Usuarios ]

juliojc BFW Very Participative Posts: 380Joined: Thu Jul 03, 2008 12:45 pmLocation: PeruBrazilFW box: Servidores Virtualizados:

VMWare Server 2 sobreUbuntu 8.04.4 Server LTS

• YIM

Top

Tutorial de la versión 3.0 de BrazilFW - Habilitando el IPUp

by juliojc » Mon Sep 07, 2009 4:43 pm

Habilitando el IPUpdate.

Parámetros:En el encabezado /etc/brazilfw/ipupdate.cfg:

Code: Select all

edit /etc/brazilfw/ipupdate.cfg

Code: Select all

<alias> <servicio> <dominio> <usuario> <contraseña> son válidos para el no-ip y para el zoneedit# Ejemplointernet no-ip woshman.no-ip.info blablabla 123456

<alias> <servicio> <dominio> <usuario> <contraseña> <sistema> <backup mx (yes/no)> <wildcard * (yes/no)> <mail exchanger># Ejemplointernet dyndns woshman.dyndns.info blablabla 123456 dyndns no yes (si usa, coloque el ip)

ctrl+qy

○ Es necesario habilitar el IpUpdate en el Archivo Principal ( /etc/brazilfw/brazilfw.cfg )



http://www.brazilfw.com.br/forum/memberlist.php?mode=viewprofile&u=7080

http://edit.yahoo.com/config/[email protected]&.src=pg








http://www.brazilfw.com.br/forum/viewtopic.php?p=187881#p187881

Code: Select all

edit /etc/brazilfw/brazilfw.cfg

IPUPDATE="yes"

ctrl+qy

Para iniciar el servicio:Code: Select all

/etc/init.d/ipupdate start


/etc/init.d/ipupdate reload

Habilitando el Servicio interno de Email del 3.0

Como utilizar el sistema de email:

Code: Select all

edit /etc/brazilfw/mail.cfg

• Si fuera a utilizar gmail

Code: Select all

SERVER="smtp.gmail.com"EMAIL="[email protected]"NAME="Nombre de muestra"AUTH="on"PORT="587"SSL="yes"PASSWORD="blabla"ctrl+qy

• Si fuera a utilizar terra

Code: Select all

SERVER="smtp.poa.terra.com.br"EMAIL="[email protected]"NAME="Nombre de muestra"AUTH="login" # login = autenticación POP3PASSWORD="blabla"ctrl+qy

Programa ejemplo:


edit teste


#!/bin/sh

. /lib/system-mail

to "[email protected]"subject "Hello World"message "<html><p>Hello World</p><img src=\"oi.jpg\"></html>"image /teste/oi.jpglogread | dos2unix -d > /tmp/log.txtattach /tmp/log.txtrm -fr /tmp/log.txtpriority highsend

ctrl+qy


chmod +x teste












./teste

Habilitando Squid.

Especificaciones para Squid 3.0 para BrazilFW 3.0:

• Para que Squid 3.0 funcione en BFW 3.0 es necesario tener un HD con un mínimo de 840MB, con un espacio libre de aproximadamente 541MB.

• El espacio para Squid en el HD esta calculado en un 60% de la capacidad de la partición.Por Ejemplo: Para una Partición de 10 GB el sistema libera 6 GB para el cache.

• En el Squid para BrazilFW 2.x se crea automaticamente 16 directorios independientemente del tamaño del disco. Ahora, en Squid 3.0 de BrazilFW 3.0 los directorios son creados de acuerdo con el tamaño del disco.Por ejemplo: 541 MB crea 1 directorio, 10 GB crea 14 directorios .

• Por cada GB de cache solamente hay que adicionar 10MB de memoria RAM, el sistema hace el cálculo automático del espacio del cache.

• Por el momento el trabajo de squid es solo de manera transparente.

• Parametros definidos (fijos por el momento) en Squid para BFW 3.0:

○ cache_mem 16 MB ======================> Por el momento el cache en la memoria es de 16MB

○ maximum_object_size 20480 KB ==========> Objeto máximo 20 MB

○ minimum_object_size 0 KB ==============> Objeto mínimo 0 KB

○ maximum_object_size_in_memory 256 KB => Objeto máximo en la memória 256 KB

Estas configuraciones por el momento estan fijas, no esta siendo permitido hacer alteraciones en las mismas.

Para habilitar el Squid haga lo siguiente:Code: Select all

edit /etc/brazilfw/brazilfw.cfg# Donde dice CACHE_DISK='no' colocar CACHE_DISK='yes'Salve y Salga

Haga BackupCode: Select all

backup

Para iniciar el servicio:Code: Select all

/etc/init.d/squid start

Trabajando con DansGuardian.

DansGuardian para BrazilFW 3.0:

El Dansguardian es un filtro que si integra al SQUID para la filtración del “contenido incorrecto”, según nuestra configuración

Es muy útil en las redes donde se necesita un control riguroso de las páginas visitadas, siendo mucho más completas que las reglas del mismo SQUID. Aunque es riguroso, es extremadamente flexible.

ATENCIÓN:

Se aconseja utilizar el Dansguardian solamente dentro de empresas. Dentro de ISP o Proveedores no es aconsejable.

El Dansguardian en acción:




Vamos a conocer algunos archivos del DansGuardian que se configuren para los bloqueos:

Todos los archivos que comiencen con "banner" son de negación y todos los que comienzan con "exception" son de excepción

Archivos que están en el directorio /etc/brazilfw/dansguardian/lists/

o bannedextensionlist ==> Lista de bloqueo por extensión de archivos. Aquí colocan las extenciones de los archivos que desean bloquear el acceso.o bannedsitelist ==> Lista de sitios bloqueados, coloquen aquí sus listas en archivo blacklist.o filtergroupslist ==> aquí se pode atribuir a un usuario a determinado grupo, al principio todos son un solo grupo.o bannediplist ==> Lista de IP's bloqueadas. Las IP's contenidas en este archivo no tendran ningun tipo de acceso.o bannedmimetypelist ==> Tipo MIME bloqueados (download bloqueado).o bannedphraselist ==> Lista de frases "prohibidas" dentro de página (y no una URL).o bannedregexpurllist ==> Lista de expresiones regulares bloqueadas.o bannedurllist ==> Lista de URLs bloqueadas.o banneduserlist ==> Lista de usuarios bloqueados, usuarios sin acceso a Internet.o banneduserlist ==> Usuarios bloqueados.o contentregexplist ==> Contenido basado en expresiones regulares que serán sustituidos.o exceptioniplist ==> Excepción de IP's filtradas (IP's de la RED que no serán filtrados).o exceptionsitelist ==> Sitios liberados. los sitios contenidos aquí son liberados de todo contenido.o exceptionphraselist ==> Lista frases que las consideramos una excepción.o exceptionurllist ==> Lista de urls que consideramos son una excepción (urls liberadas).o exceptionuserlist ==> Lista de usuarios que consideramos una excepción.o greysitelist ==> Sitios que estan en la lista ¿¿blanca??o greyurllist ==> URLs que están en la lista ¿¿blanca??o pics ==> Definición de PICS Labeling.--------------------------o weightedphraselist ==> Lista de frases/palabras e seus "pesos" (os pesos podem ser positivos ou negativos)--------------------------

Archivos que están en el directorio /etc/brazilfw/dansguardian/

o dansguardian.conf ==> Archivo de configuración principal.o dansguardianf1.conf ==> Archivo de configuración de grupos de usuarios.

No pienses dos veces, LEE TODOS LOS ARCHIVOS DE CONFIGURACION, eso te ayudara a entender mejor la lógica del funcionamiento del DansGuardian.

Para habilitar el DansGuardian en BrazilFW, hace lo siguiente:

Code: Select all

edit /etc/brazilfw/custom/squid.cfg

En la linea WEB_CONTENT_FILTER='no'

Cambiar 'no' por 'yes'

Salvar y salir

Configure sus bloqueos (luego salvar y salir). Después parar el SQUID e iniciar nuevamente.


Para parar SQUIDCode: Select all

/etc/init.d/squid stop

Para iniciar SQUIDCode: Select all


Cuando modifique algun archivo del directorio /etc/brazilfw/dansguardian/lists/, hacer:Code: Select all

/etc/init.d/squid reload

Cuando se muevan los archivos dansguardian.conf:dansguardianf1.conf, bannedip y exceptionip que están juntos dentro del mismo directorio del dansguardian.conf, ejecute el siguiente comando:Code: Select all

/etc/init.d/squid restart-dg

Fuentes:

• Woshman: memberlist.php?mode=viewprofile&u=1335

• DansGuardian: http://www.dansguardian.org

• http://br-linux.org/tutoriais/003552.html

• Squid + DansGuardian

• http://www.vivaolinux.com.br/dica/Liber ... nsguardian

Trabajando con generadores de registros - Sarg y WebAlizer.

Generadores de registros de BrazilFW 3.0 - Sarg y WebAlizer:

• Sarg

○ Para uso en Redes Empresariales.

• WebAlizer

○ Para uso en Proveedores.

Sarg:

http://www.vivaolinux.com.br/dica/Liberando-downloads-com-o-Dansguardian

http://www.vivaolinux.com.br/artigo/Servidor-proxy-autenticado-(Squid-+-DansGuardian-+-OpenLDAP)/?pagina=3

http://br-linux.org/tutoriais/003552.html

http://www.dansguardian.org/






Activando Sarg: Code: Select all


En la linea SQUID_REPORT=' '

Coloque 'sarg'

Guardey salga

Definiendo el idioma:Code: Select all


En la linea SARG_LANGUAGE=' '

Coloque 'Portuguese' o 'English' o 'Spanish'

Guarde y salga

Período de Permanencia de los registros:Code: Select all


En la linea DELETE_REPORT_AFTER_DAYS='0'

0 (CERO) = Los registros estan deshabilitados




Si coloca por ejemplo '30', los archivos con mas de 30 dias seran borrados.

Guarde y salga

Observacion:

• Si los Hosts estan definidos en el archivo /etc/brazilfw/hosts.cfg, en Sarg aparecera con el nombre del Host.Lo que no este definido saldra con el numero de IP.

WebAlizer:

Activando WebAlizer: Code: Select all


En la linea SQUID_REPORT=' '

Coloque 'webalizer'

Guarde y salga


Si Squid ya esta ejecutandose habra que detenerlo y volverlo a iniciar:

• Para detener Squid:

Code: Select all

/etc/init.d/squid stop

• Para iniciar Squid:

Code: Select all


Para ver los registros Code: Select all

https://ns.brazilfw.local:8181/report

• Los registros son actualizados cada 10 minutos

Trabajando con QOS.

Obs.: Por ahora en el QOS de la 3.0 no se define la velocidad total del enlace.

Habilitando QOS• Code: Select all

edit /etc/brazilfw/brazilfw.cfg

En la linea USE_QOS='no' = QOS deshabilitadoModifiquela para USE_QOS='yes' para habiltar QOSGuarde y salga

Luego mas abajo aun en el archivo /etc/brazilfw/brazilfw.cfg tenemos:


QOS_DEFAULT_UP='128'QOS_DEFAULT_DOWN='256'QOS_DEFAULT_GUARANTEE='10'

Estos son los valores predeterminados. O sea, la IP/Clase de Red que no este definido en /etc/brazilfw/qos.cfg quedara encajada en esos valores predeterminados.Obs.: Puede modificar los valores predeterminados a su "gusto"

Cabezera del /etc/brazilfw/qos.cfg:Code: Select all

[IP] [DOWN kbits] [UP kbits] [GUARANTEE %]Ejemplo192.168.0.0/24 512 128 30192.168.1.1 512 128 30

○ Teniendo que:

[IP] = IP/Clase de Red a ser controlada.

[DOWN kbits] = Velocidad de Download en kbits (kilo bits por segundo). Cuidado, es kilo bits y no Kilo Bytes

[UP kbits] = Velocidad de Upload en kbits (kilo bits por segundo). Cuidado, es kilo bits y no Kilo Bytes

[GUARANTEE %] = Ancho de banda garantizado en porcentaje. Obs.: Aquí, la garantía se cumple si es diferente de la del Default

• Si fuera a utilizar el default definido en el archivo /etc/brazilfw/qos.cfg quedaria asi:

Code: Select all

Ejemplo:192.168.0.0/24 512 128 192.168.1.2 256 64192.168.1.3 256 64192.168.1.4 256 64etc ....

Definiendo Clase(s) de Red o Subred en el QOS:

• En la definición de una clase de red o subred, debemos prestar atención a las siguientes particularidades:

1. Definiendo una clase de red/subred:








○ Cuando se define una clase de red/subrede en el archivo /etc/brazilfw/qos.cfg, siempre se debe colocar la mascara de red. Si no se define la mascara de red el QOS va a asumir que la máscara es /32 para esa classe.

Code: Select all

Ejemplo:192.168.0.0/27 512 128 192.168.1.0/24 512 128

2.

3. Definiendo una IP con velocidad diferente de la que está en la clase de red/subrede:

○ Cuando definimos una Velocidad para una IP diferente de la que está en la clase que este IP pertence, devemos declarar primeiro la IP para despues declarar la clase. Invertido este orden la regla no va a funcionar

Code: Select all

Ejemplo:# Modo incorrecto:192.168.0.0/27 512 128192.168.0.1/27 128 64

# Modo Correcto192.168.0.1/27 128 64192.168.0.0/27 512 128

Para editar el archivo /etc/brazilfw/qos.cfg:Code: Select all

edit /etc/brazilfw/qos.cfg

Habilitando o modificando el qos, ejecute el siguiente comando:Code: Select all

/etc/rc.d/rc.qosTrabajando con DHCP.

1 - DHCP convencional para Redes sin subredes

En el archivo /etc/brazilfw/brazilfw.cfg estan las siguientes opciones:

○ DHCP_SERVER=ńo´ = por defecto viene deshabilitado. Para habilitarlo cambie ńo´ por ýes´

○ DHCP_DEFAULT_LEASE=´7200´ = que corresponde a 2 Horas (puede modificar este valor a gusto)

Tambien en el directorio (carpeta) /etc/brazilfw/ tenemos los archivos dhcp.cfg y reserve.cfg

○ Cabezera de /etc/brazilfw/dhp.cfg:

Code: Select all

[ip start] [ip end]

Por ejemplo: 192.168.0.2 192.168.0.50 # Va de 192.168.0.2 a 192.168.0.50

○ Si quiere puede usar rangos de IPs:

Code: Select all

Ejemplo:192.168.0.2 192.168.0.50 192.168.0.60 192.168.0.90 192.168.0.95 192.168.0.100

○ El archivo reserve.cfg es para hacer reservas MAC+IP:Cabezera de /etc/brazilfw/reserve.cfg:

Code: Select all

[ip] [mac] Ejemplo:192.168.0.55 00:00:00:00:00:00

• Comandos para editar los archivos:

○ Para editar brazilfw.cfg

Code: Select all

edit /etc/brazilfw/brazilfw.cfgGuarde y salga

○ Para editar dhcp.cfg

Code: Select all










edit /etc/brazilfw/dhcp.cfgGuarde y salga

○ Para editar reserve.cfg

Code: Select all

edit /etc/brazilfw/reserve.cfgGuarde y salga

○ Luego de realizar cualquier modificacion, haga un backup

Code: Select all

backup

○ Para iniciar DHCP

Code: Select all

/etc/init.d/dhcp start

○ Para reiniciar DHCP

Code: Select all

/etc/init.d/dhcp reload

○ Para detener el DHCP

Code: Select all

/etc/init.d/dhcp stop

2 - DHCP para Redes con subredes y QOS

• Como se ve en el topico "Trabajando con Subredes" para crear las subredes basta con ingresar el intervalo de la(s) subred(es) en el archivo /etc/brazilfw/subnet.cfg y luego ejecutar el comando /etc/rc.d/rc.subnet

○ Code: Select all

Ejemplo: local 192.168 0 254

• Si quisieramos que el DHCP las gestione, ocultando todo el sistema para la sub-rede teniendo cada rango "su propio servidor dhcp", basta con agregar dhcp al final del rango de subrede. Utilizando el ejemplo anterior, quedaria asi en el archivo /etc/brazilfw/subnet.cfg:

Code: Select all

local 192.168 0 254 dhcp

• Para crear un número de subred y la configuración QoS de la clase de sub-red a cierta velocidad, siga los siguientes ejemplos:

Ejemplos:

1. En subnet.cfg

Code: Select all

local 10.10 0 254 dhcp

En qos.cfg Code: Select all

10.10.0.0/24 256 128

2. En subnet.cfg

Code: Select all

local 10.20 0 254 dhcp

En qos.cfg Code: Select all

10.20.0.0/24 512 128 Congigurando las reservas en reserve.cfg Code: Select all

[ip] [mac] 10.20.1.2 00:00:00:00:00:00

Con esto sectorizamos los clientes en el QOS sin tener que crear un QOS individual

Observacion: El DHCP es ejecutado de abajo para arriba. Primeiro van las subredes y luego va la red en el dhcp. El sistema ya lo asigna automaticamente de esta forma.

Creando Subredes:

• Primero una explicacion de por que la mascara esta fija en /30 (255.255.255.252) en el archivo /etc/brazilfw/subnet.cfg:

○ Para que las máquinas no se vean la máscara de red está fija en /30 (255.255.255.252), que posibilita solamente 2 IPs (el Gateway y la máquina cliente). Con máscaras menores a /30, ejemplo /29, /28, /27, etc, los clientes se veran.













○ El diseño de /etc/brazilfw/subnet.cfg es exactamente como se describe arriba, es decir, para evitar que los clientes esten visibles (bloquea la visibilidad de la red) mediante el establecimiento de la máscara /30

○ En caso de que exista la necesidad de una máscara diferente de /30, que sea para aumentar la Subred o limitar un grupo, siga el item 2.

1 - Subredes con Máscara /30

• Para crear subredes trabajaremos con el archivo /etc/brazilfw/subnet.cfgy las crearemos con el comando /etc/rc.d/rc.subnet

• Ejemplo: Vamos a crear 10 Subredes. Para eso colocaremos en /etc/brazilfw/subnet.cfg el siguiente:

Code: Select all

local 10.50 1 10

Guarde y salga

Seran creadas 10 subredes de 10.50.1.1 a 10.50.10.1 con máscara /30

• Explicando el local 10.50 1 10:

○ local = Nombre de la placa de red donde se creara la subred

○ 10.50 = Indice de la red

○ 1 = Início de la subred

○ 10 = Fin de la subred

Para Crear las Subredes ejecute el siguiente comando:Code: Select all

/etc/rc.d/rc.subnet

Si desea dar un ifconfig:Code: Select all

ifconfig

○ En la maquina cliente quedaria de la siguiente forma:

1. Cliente 1:cliente = 10.50.1.2mascara = 255.255.255.252 gateway = 10.50.1.1 DNS = 10.50.1.1

2. Cliente 2:cliente = 10.50.2.2mascara = 255.255.255.252 gateway = 10.50.2.1 DNS = 10.50.2.1

3. Etc ......

○ Para crear intervalos de subredes coloque lo siguiente en /etc/brazilfw/subnet.cfg:

creando intervalos de 10 en 10

local 10.50 1 10 local 10.50 20 30 local 10.50 40 50 local 10.50 60 70 local 10.50 80 90

Guarde y salga:

Seran creadas las subredes:DE 10.50.1.1 a 10.50.10.1DE 10.50.20.1 a 10.50.30.1DE 10.50.40.1 a 10.50.50.1..............

Luego ejecute el siguiente comando para crearlas:Code: Select all

/etc/rc.d/rc.subnet

Haga un Backup:Code: Select all

backup

2 - Subredes con Máscara Diferente de /30

• Para crear subredes con máscara diferente de /30 será necesario crear una nueva interface lógica. Recordando que ya existe una interface lógica llamada /etc/brazilfw/logical/local que esta ligada a la interface fisica.






• Creando una nueva interface lógica, por ejemplo "local2"

Code: Select all

edit /etc/brafilw/logical/local2

coloque esto:

LINK_ALIAS="local" # Nombre de la interface fisicaLINK_CONNECTION="local" # Tipo de conexionLINK_TYPE="static"LINK_IP="10.50.0.1" # Nueva subredLINK_NETMASK="255.255.255.128" # /25 (128 utilizables)

Guarde y salga

Reinicie la red:Code: Select all

/etc/rc.d/rc.inet

En el caso de que tenga DCHP habilitado, configure el intervalo de la Subred:Code: Select all

edit /etc/brazilfw/dhcp.cfg

10.50.0.2 10.50.0.127

Guarde y salga

Reinicie el dhcp:Code: Select all

/etc/init.d/dhcp reload

Trabajando con Port Forwarding - Redirección de puertos.

Port Forwarding:Usado para redirecionamento de Puertos.

Parametros:Cabezera de /etc/brazilfw/ports/forward.cfg:Code: Select all

#<active> <alias> <protocol> <port> <ip-destination> [port]#active: yes/no#protocol: tcp/udp/all#alias: all/name of logical connection

Ejemplos:Code: Select all

yes internet all 21 192.168.0.11 21 #ejemplo

Code: Select all

yes all all 21 192.168.0.11 21 #ejemplo

• <active>

yes/no

• <alias> = alias de enlaces = nombre de la conexión lógica

coloque all para todos o especifique el link a ser usado (LoadBalance)

• <protocol>

tcp / udp / all

• <port>

Puerto de Origem

• <ip-destination>

Ip Interno de la Red

• [port]

Puerto de Destino


/etc/rc.d/rc.forward

Clonacion de MAC

En la version 3.0.197 fue agregado el clonado de MAC. A continuacion veremos como se realiza en la version 3.0.

Devemos ir al archivo que configura fisicamente la placa de rede ( /etc/brazilfw/physical ) y modificar la variable ( INTERFACE_MAC="<mac>" )









Ejemplo:

• Clonar MAC para eth1 = internet

Code: Select all


Code: Select all

Modifique a: INTERFACE_MAC="00:00:00:00:00:00"

El archivo /etc/brazilfw/physical/internet quedara con el siguiente contenido:Code: Select all

INTERFACE_TYPE="cabled"INTERFACE_PHYSICAL="eth0"INTERFACE_MAC="00:00:00:00:00:00"

Guarde y salga

Luego ejecute:Code: Select all

/etc/rc.d/rc.inet

Observacion:En la version 2.x cuando se altera la MAC para volver a la original es necesario reiniciar el servidor.Ahora en la version 3.x es solo ir a la interfaz fisica y colocar el valor INTERFACE_MAC="".Luego ejecute nuevamente /etc/rc.d/rc.inet. Con esto la MAC vuelve a la original.

Servidor nativo DNS del BFW 3.0 = Bind

BrazilFW 3.0 viene con un servidor nativo de DNS. Este servidor es el BIND.

Por default viene ya habilitado. Podemos ver esto en:Code: Select all

DNSSERVER='yes'

que se encuentra en el archivo /etc/brazilfw/brazilfw.cfg

tambien podemos encontrar lo siguiente:Code: Select all

DNS1=''DNS2=''DHCP_DNS1=''DHCP_DNS2=''

Con el BIND habilitado NO configure las variables de arriba, solo necesita configurarlas si el servidor DNS es deshabilitado.Code: Select all

DNSSERVER='no'

No es aconsejable deshabilitar el BIND para usar otros medios de resolucion de nombres. El BIND es un excelente servidor de DNS y ya esta perfectamente integrado a la version 3.0 del BFW

Comandos para Iniciar, Recargar, Reiniciar y Parar Servicios:Para ser ejecutados en la linea de comando, directamente en el servidor o a través de ssh.

• Instalar BrazilFW 3.0: install

• Backup: backup

• Reiniciar el servicio de internet: /etc/rc.d/rc.inet

• Reiniciar los bloqueos: /etc/rc.d/rc.blocked

• Reiniciar Sub-Redes: /etc/rc.d/rc.subnet

• Reiniciar el QOS: /etc/rc.d/rc.qos

• Reiniciar el Firewall: /etc/rc.d/rc.firewall

• Reiniciar el Redirecionamento de Puertas: /etc/rc.d/rc.forward

• Reiniciar el Control de IP x MAC: /etc/rc.d/rc.macip

• Reiniciar el servicio Smart Route: /etc/rc.d/rc.route

• Alterar la contraseña del sistema: passwd

• Actualizar la hora del sistema: /etc/rc.d/rc.time

• Reiniciar el Sistema: reboot








• Apagar el Sistema: poweroff

• Primer llamada del sistema: /etc/rc.d/rc.sysinit

• Log del sistema (demonio): /etc/rc.d/rc.syslogd

• Squid:

○ Iniciar Squid: /etc/init.d/squid start

○ Recargar Squid: /etc/init.d/squid reload

○ Parar Squid: /etc/init.d/squid stop

○ Reiniciar Squid con DansGuardian: /etc/init.d/squid restart-dg

○ Recrear el Cache de Squid: /etc/init.d/squid cachedir

○ Rotar los Logs dr Squid (Es ejecutado por CRON automaticamente): /etc/init.d/squid rotate

• DHCP:

○ Iniciar el servicio de DHCP: /etc/init.d/dhcp start

○ Recargar DHCP: /etc/init.d/dhcp reload

○ Parar DHCP: /etc/init.d/dhcp stop

○ Reiniciar DHCP: /etc/init.d/dhcp restart

• WebAdmin:

○ Iniciar el WebAdmin: /etc/init.d/webadmin start

○ Recargar WebAdmin: /etc/init.d/webadmin reload

○ Parar WebAdmin: /etc/init.d/webadmin stop

• BIND (Servidor DNS):

○ Iniciar el servicio Bind: /etc/init.d/named start

○ Recargar Bind: /etc/init.d/named reload

○ Parar Bind: /etc/init.d/named stop

○ Detalles de Bind: /etc/init.d/named details

• Cron (Tareas agendadas/programadas):

○ Iniciar el servicio Cron: /etc/init.d/cron start

○ Recargar Cron: /etc/init.d/cron reload

○ Parar Cron: /etc/init.d/cron stop

• IpUpdate:

○ Iniciar IpUpdate: /etc/init.d/ipupdate start

○ Recargar IpUpdate: /etc/init.d/ipupdate reload

○ Parar IpUpdate: /etc/init.d/ipupdate stop

• SSH:

○ Iniciar SSH: /etc/init.d/sshd start

○ Recargar SSH: /etc/init.d/sshd reload

○ Parar SSH: /etc/init.d/sshd stop

• Acpi (Suporte ao desligamento da máquina):

○ Para Iniciar: /etc/init.d/acpi start

○ Para Parar: /etc/init.d/acpi stop

• IpWatch (Proteccion contra IP duplicado - Si hay una IP en la red con que duplique la del Servidor BrazilFW este no caera y seguirá funcionando correctamente):

○ Para Iniciar: /etc/init.d/ipwatch start

○ Para Parar: /etc/init.d/ipwatch stop

Tutorial Version 3.0 de BrazilFW

Documents

Transcript of Tutorial Version 3.0 de BrazilFW