guia foca avançado
534 pág.

guia foca avançado


DisciplinaOrganização de Computadores6.428 materiais120.604 seguidores
Pré-visualização50 páginas
criará uma nova interface chamada `eth0:0' que
 passará a responder pelo IP 172.6.0.1. É permitido o uso de
 nomes para especificar a interface virtual, como: `eth0:rede1',
file:///C|/cursos_e_livros_cd/informática/sistemas%20operacionais/linux/guia%20foca/3/index.txt (101 of 534)29/09/2004 10:55:36
file:///C|/cursos_e_livros_cd/informática/sistemas%20operacionais/linux/guia%20foca/3/index.txt
 `eth0:rede2', `eth0:escritório'.
 3. Digite `ifconfig' para ver as configurações de sua nova interface
 de rede. Use o ping também para vê-la: `ping 172.16.0.1'.
eth0 Encapsulamento do Link: Ethernet Endereço de HW 00:80:AE:B3:AA:AA
 inet end.: 192.168.1.1 Bcast:192.168.1.255 Masc:255.255.255.0
 UP BROADCASTRUNNING MULTICAST MTU:1500 Métrica:1
 RX packets:979 errors:0 dropped:0 overruns:0 frame:0
 TX packets:1228 errors:0 dropped:0 overruns:0 carrier:0
 colisões:1 txqueuelen:100
 RX bytes:71516 (69.8 Kb) TX bytes:1146031 (1.0 Mb)
 IRQ:10 Endereço de E/S:0x300
eth0:0 Encapsulamento do Link: Ethernet Endereço de HW 00:80:AE:B3:AA:AA
 inet end.: 192.168.1.10 Bcast:192.168.1.255 Masc:255.255.255.0
 UP BROADCASTRUNNING MULTICAST MTU:1500 Métrica:1
 IRQ:10 Endereço de E/S:0x300
 Note que o MAC Address da placa `eth0' e `eth0:0' são o mesmo,
 indicando que a mesma interface atende ambos os IPs.
 4. Se necessário ajuste as rotas ou gateway com o comando `route'
 (veja Seção 4.5.1, `Configurando uma rota no Linux').
 Para desativar uma interface de rede virtual, utilize a sintaxe:
 `ifconfig eth0:0 down' ou `ifdown eth0:0' (caso esteja usando a
 `Debian').
 Se o teste com o `ping' não funcionar, verifique se possui o suporte a
 _IP Alias_ no kernel, se o módulo precisa ser carregado manualmente
 (caso seu kernel não esteja compilado com o `kmod') ou se existe um
 firewall restritivo bloqueando seu IP.
 Na distribuição `Debian' a configuração de uma interface virtual pode
 ser feita de forma idêntica a interfaces estáticas padrão:
 auto eth0
 iface eth0 inet static
 address 192.168.1.1
 netmask 255.255.255.0
 network 192.168.1.0
 broadcast 192.168.1.255
 
 auto eth0:0
 iface eth0:0 inet static
 address 172.16.0.1
 netmask 255.255.0.0
file:///C|/cursos_e_livros_cd/informática/sistemas%20operacionais/linux/guia%20foca/3/index.txt (102 of 534)29/09/2004 10:55:36
file:///C|/cursos_e_livros_cd/informática/sistemas%20operacionais/linux/guia%20foca/3/index.txt
 network 172.16.0.1
 broadcast 172.16.255.255
 _OBS1:_ Quando você desativa uma interface física (`eth0'), todas as
 interfaces virtuais também são desativadas.
 _OBS2:_ Caso utilize um firewall (principalmente com a política padrão
 permissiva), esteja atento as modificações que precisa realizar para
 não comprometer a segurança de sua máquina. Caso tenha dados
 considerados seguros em sua máquina e esteja em dúvida sobre as
 implicações de segurança do _IP Alias_ em sua máquina, consulte seu
 administrador de redes.
 _OBS3:_ Note que somente os 4 primeiros caracteres serão mostrados na
 saída do `ifconfig', desta forma procure utilizar no máximo esta
 quantidade de caracteres para evitar problemas durante uma futura
 administração do servidor, no caso de esquecimento do nome completo da
 interface virtual).
5.2. Bridge
-----------
 Uma _bridge_ é uma interface de rede lógica composta por uma ou mais
 interfaces de rede física operando em nível 2 (enviando pacotes
 através de _MAC adresses_, veja Seção 4.10, `Camadas de Rede').
 Sua operação é transparente na rede, podendo ser usada como um
 switch/firewall, estação de monitoração, etc. Aqui descreverei como
 montar uma bridge simples e uma aplicação de firewall simples. As
 possibilidades são diversas e uma configuração bem feita pode detectar
 ataques, protocolos desconhecidos até vírus complexos de rede.
5.2.1. Requerimentos para a Instalação
--------------------------------------
 É necessário um dos seguintes requerimentos para se montar uma bridge:
 * Kernel com suporte a bridge ativado (na configuração de rede)
 * O pacote `bridge-utils' instalado.
 * patch bridge-nf se desejar usar o netfilter com as interfaces de
 entrada e saída (como antes de usar a bridge) ao invés de
 controlar o tráfego apenas pela interface criada pela bridge.
 Ative a opção `802.1d Ethernet Bridging' na seção `Networking
file:///C|/cursos_e_livros_cd/informática/sistemas%20operacionais/linux/guia%20foca/3/index.txt (103 of 534)29/09/2004 10:55:36
file:///C|/cursos_e_livros_cd/informática/sistemas%20operacionais/linux/guia%20foca/3/index.txt
 Options', recompile e instale seu novo kernel. Caso tenha aplicado o
 patch _bridge nf_, aparecerá uma sub opção chamada `netfilter
 (firewalling) support' que permitirá que o firewall trabalhe com as
 interfaces físicas ao invés de somente através da interface virtual
 criada pela bridge.
 _OBS:_ O patch _bridge nf_ viola a RFC de bridges. Mesmo assim ela é
 a única opção em muitas aplicações, principalmente quando se deseja
 controlar o tráfego que atravessam as interfaces. Após isto instale o
 pacote `bridge-utils', ele possui os utilitários necessários para
 ativar, configurar e monitorar o funcionamento de sua bridge.
 Não é necessária ativação do _ip_forward_ para o funcionamento da
 bridge, uma vez que ela funcionará como uma interface lógica que reúne
 interfaces de rede físicas.
5.2.2. Configuração da bridge
-----------------------------
 Nos exemplos abaixo, eu assumirei a utilização do nome de dispositivo
 `br0' para se referir a bridge no sistema. Siga estes passos para
 configurar uma bridge em sistemas `Debian':
 * Primeiro, desative os blocos no arquivo `/etc/network/interfaces'
 que configuram as interfaces que serão usadas na bridge (por
 exemplo, `eth0' e `eth1'). Elas podem ser comentadas, removidas,
 ou você poderá comentar a linha _auto eth0_ e _auto eth1_ para
 que ele não ative automaticamente estas interfaces com o `ifup
 -a' (executado durante a inicialização). Desta forma, a
 inicialização destas interfaces poderá somente ser feita
 manualmente.
 auto br0
 iface br0 inet static
 address 192.168.1.2
 network 192.168.1.0
 netmask 255.255.255.0
 broadcast 192.168.1.255
 gateway 192.168.1.1
 bridge_ports eth0 eth1
 Note que a interface virtual da brigde (`br0') deve ser
 configurada com parâmetros válidos de interfaces (assim com uma
 interface de rede padrão). Note a adição da linha `bridge_ports'
 que indica que interfaces de rede serão usadas para fazer a
 bridge. Caso seja usado o parâmetro _all_, todas as interfaces
file:///C|/cursos_e_livros_cd/informática/sistemas%20operacionais/linux/guia%20foca/3/index.txt (104 of 534)29/09/2004 10:55:36
file:///C|/cursos_e_livros_cd/informática/sistemas%20operacionais/linux/guia%20foca/3/index.txt
 físicas de rede serão usadas para fazer bridge (excluindo a
 `lo').
 * Execute o `ifdown -a' (para desativar as interfaces antigas.
 * Execute o `ifup br0' para levantar as interface `br0'. O sistema
 poder demorar um pouco para levantar a bridge (as vezes até 40
 segundos) mas isto é normal.
 Pronto, você terá uma bridge simples já configurada e funcionando em
 seu sistema! As interfaces físicas serão configuradas com o IP
 0.0.0.0 e estarão operando