Gerencia de redes
196 pág.

Gerencia de redes


DisciplinaAdministração I91.047 materiais745.203 seguidores
Pré-visualização50 páginas
do kernel) desde o firewall. 
\u25cf Muitos mais... (ver /etc/shorewall) 
 36.4 Alguns exemplos \u201creais\u201d
Retirado de http://www.grulic.org.ar/eventos/charlas/shorewall-2005-09.html.
Campus São José 150
Área de Telecomunicações
Odilson Tadeu Valle
 36.4.1 Firewall standalone
Um firewall conectado a Internet mediante uma interface ppp. Se considera que 
há somente uma zona (Net) sobre a qual \u201cvivem\u201d os possíveis clientes. 
/etc/shorewall/shorewall.conf
STARTUP_ENABLED=Yes
IP_FORWARDING=Off
#LAST LINE -- DO NOT REMOVE
/etc/shorewall/zones
net Net Internet
#LAST LINE - ADD YOUR ENTRIES ABOVE THIS ONE - DO NOT REMOVE
/etc/shorewall/interfaces
net ppp+ - norfc1918,nobogons,routefilter,logmartians,blacklist,tcpflags,nosmurfs
#LAST LINE - ADD YOUR ENTRIES ABOVE THIS ONE - DO NOT REMOVE
/etc/shorewall/policy
fw all ACCEPT
net all DROP info
all all REJECT info
#LAST LINE -- DO NOT REMOVE
/etc/shorewall/rules
AllowWeb net fw # Servidor http,https
AllowSSH net fw # Servidor ssh
AllowPing net:172.16.0.0/16 fw
ACCEPT net:172.16.0.0/16 fw tcp 10000
#LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT REMOVE
 36.4.2 Firewall numa típica rede de zonas e interfaces
Este caso é corresponde ao de qualquer rede típica, onde se tem uma rede 
interna que se deseja conectar à (e proteger da) Internet. Neste caso assumimos 
que a rede interna está conectada a uma interface ethernet eth0 e a Internet por 
uma interface ppp. Assumimos também que deseja-se fazer masquerading da 
rede interna e que o servidor possui um domínio DHCP para a auto configuração 
dos hosts na rede local. 
/etc/shorewall/shorewall.conf
Campus São José 151
Área de Telecomunicações
Odilson Tadeu Valle
STARTUP_ENABLED=Yes
#LAST LINE -- DO NOT REMOVE
/etc/shorewall/zones
loc Local Local networks
net Net Internet
#LAST LINE - ADD YOUR ENTRIES ABOVE THIS ONE - DO NOT REMOVE
/etc/shorewall/interfaces
net ppp+ - norfc1918,nobogons,routefilter,logmartians,blacklist,tcpflags,nosmurfs
loc eth0 detect dhcp
#LAST LINE - ADD YOUR ENTRIES ABOVE THIS ONE - DO NOT REMOVE
/etc/shorewall/policy
loc net ACCEPT
#loc fw ACCEPT
net all DROP info
all all REJECT info
#LAST LINE -- DO NOT REMOVE
/etc/shorewall/masq
ppp+ eth0
#LAST LINE -- ADD YOUR ENTRIES ABOVE THIS LINE -- DO NOT REMOVE
/etc/shorewall/rules
AllowWeb fw all
AllowWeb all fw # Servidor http,https (para ambas zonas)
AllowSSH fw all
AllowSSH loc fw # Servidor ssh para rede interna
ACCEPT:info net fw tcp 22000 # Servidor ssh para Internet (Informando sobre 
conexões estabelecidas)
AllowSMB loc fw # Servidor samba
AllowSMB fw loc # Servidor samba
ACCEPT loc fw tcp 3128
Campus São José 152
Área de Telecomunicações
Odilson Tadeu Valle
ACCEPT fw all tcp 6667:6669
#LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT REMOVE
 36.4.3 Múltiplas zonas sobre uma interface
Neste exemplo vamos supor uma configuração de hardware e rede idêntica ao 
caso anterior, ou seja, um firewall/roteador com duas interfaces, uma ethernet 
eth0 conectada à rede interna que desejamos conectar à internet e uma interface 
ppp que conecta o host a dita rede. A diferença é que agora desejamos 
discriminar entre duas classes de hosts que podem conectar-se desde a rede 
local: um com acesso a todos os serviços de rede disponíveis e outro que pode 
utilizar somente http sobre a internet e smtp no firewall onde está instalado um 
MTA (Mail Transfer Agent). Também desejamos que os hosts da rede interna 
sejam configurados via dhcp.
/etc/shorewall/shorewall.conf
STARTUP_ENABLED=Yes
#LAST LINE -- DO NOT REMOVE
/etc/shorewall/zones
loc2 Local Local networks
loc1 Local Local networks
net Net Internet
#LAST LINE - ADD YOUR ENTRIES ABOVE THIS ONE - DO NOT REMOVE
/etc/shorewall/interfaces
net ppp+ - norfc1918,nobogons,routefilter,logmartians,blacklist,tcpflags,nosmurfs
- eth0 detect dhcp
#LAST LINE - ADD YOUR ENTRIES ABOVE THIS ONE - DO NOT REMOVE
/etc/shorewall/host (primeira opção)
loc1 eth0:192.168.0.0/25
loc2 eth0:192.168.0.128/25
net eth0:0.0.0.0/0
#LAST LINE -- ADD YOUR ENTRIES BEFORE THIS LINE -- DO NOT REMOVE
/etc/shorewall/host (segunda opção)
loc2 eth0:192.168.0.100/32,192.168.0.101/32,192.168.0.102/32
loc1 eth0:192.168.0.0/24
Campus São José 153
Área de Telecomunicações
Odilson Tadeu Valle
net eth0:0.0.0.0/0
#LAST LINE -- ADD YOUR ENTRIES BEFORE THIS LINE -- DO NOT REMOVE
/etc/shorewall/policy
loc1 net ACCEPT
loc2 net REJECT
loc1 loc2 ACCEPT
loc2 loc1 ACCEPT
net all DROP info
all all REJECT info
#LAST LINE -- DO NOT REMOVE
/etc/shorewall/rules
AllowWeb loc2 net
AllowSMTP loc2 fw
AllowWeb fw all
AllowWeb loc1 fw # Servidor http,https (para ambas zonas)
AllowSSH fw all
AllowSSH loc1 fw # Servidor ssh para rede interna
ACCEPT:info net fw tcp 22000 # Servidor ssh para Internet (Informando sobre 
conexões estabelecidas)
AllowSMB loc1 fw # Servidor samba
AllowSMB fw loc1 # Servidor samba
AllowSMB fw loc2 # Servidor samba
ACCEPT loc fw tcp 3128
ACCEPT fw all tcp 6667:6669
#LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT REMOVE
 36.4.4 Proxy transparente com Squid
/etc/squid/squid.conf
ACL local_network src 192.168.0.0/24
Campus São José 154
Área de Telecomunicações
Odilson Tadeu Valle
http_access allow local_network
httpd_accel_host virtual
httpd_accel_port 80
httpd_accel_with_proxy on
httpd_accel_uses_host_header on
/etc/shorewall/rules
REDIRECT loc 3128 tcp www
ACCEPT fw net tcp www
#LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT REMOVE
 36.4.5 Regras para P2P
/etc/shorewall/rules (p2p sobre o firewall)
ACCEPT net fw tcp 6881:6889,4661,4662,36711
ACCEPT net fw udp 6881:6889,4665,4672
#LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT REMOVE
/etc/shorewall/rules (p2p sobre una máquina interna)
DNAT net loc:192.168.0.100 tcp 6881:6889,4661,4662,4711
DNAT net loc:192.168.0.100 udp 6881:6889,4665,4672
#LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT REMOVE
 36.4.6 Regras para DNAT
/etc/shorewall/rules
DNAT:info net loc:192.168.0.2 tcp www
DNAT:info net loc:192.168.0.2 tcp 443
DROP loc:!192.168.0.2 all tcp 25
DNAT:info net loc:192.168.0.2 tcp 25
#LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT REMOVE
 36.5 Instalação e configuração
Para instalarmos o Shorewall digitamos o s comando:
Campus São José 155
Área de Telecomunicações
Odilson Tadeu Valle
urpmi shorewall
Editamos como mínimo os arquivos /etc/shorewall/
\u25cf zones
\u25cf interfaces
\u25cf policy e
\u25cf rules
segundo os modelos descritos anteriormente.
 37 Anti-vírus
 37.1 Introdução15
Praticamente não existem vírus que ataquem o sistema Linux. O motivo na 
verdade é a sobreposição de alguns fatores listados a seguir.
Para que um vírus infecte um programa executável num sistema com kernel 
Linux, numa distro GNU/Linux (Debian, Slackware, RedHat, Suse, Ubuntu, 
Kurumin, Mandriva, etc.) por exemplo, o executável precisa estar em arquivo com 
permissão de escrita para o usuário que esteja ativando o vírus. Tal situação é 
incomum. Numa instalação desktop, via de regra os arquivos executáveis têm 
como dono (owner) o administrador do sistema (root), e rodam em processo de 
usuário comum. Ou seja, a partir de uma conta não-privilegiada.
Além do que, quanto menos experiente for o usuário, menos provável que tenha 
ele mesmo feito a instalação do executável, e portanto, que seja o owner do 
arquivo correspondente. Assim, os usuários de Linux que menos entendem dos 
perigos de infecção viral são os que têm pastas pessoais (diretório home) menos 
férteis para isso. A medida que os usuários vão se \u201cespecializando\u201d vão 
entendendo do assunto e sabendo as conseqüências dos vírus.