relatorio projeto de redes

Prévia do material em texto

CENTRO UNIVERSITÁRIO SALESIANO DE SÃO PAULO – UNISAL/LORENA
ENGENHARIA DA COMPUTAÇÃO
 (5º SEMESTRE)
Proxy - Iptables / Squid
Alunos: 
 Christian Álex Fernandes Barbosa (RA: 150000397)
Lucas Rodrigues da Silva (RA: 150002038)
Ruan de Souza Caetano (RA: 150002081)
Sara do Nascimento (RA: 150002036) 
Victoria Rocha Vieira (RA: 150002028)
Prof. Luis Carlos Rosa Junior
Redes de Computadores
SUMÁRIO
Squid Web Proxy...............................................................................................................2
Instalando o Squid.............................................................................................................3
Iptables...............................................................................................................................7
Para que serve? .................................................................................................................7
Tabela Filter.......................................................................................................................8
Modo de usar.....................................................................................................................9
Impasses e ordem de processamento...............................................................................11
Squid Web Proxy
O Proxy é um serviço de rede através do qual é possível estabelecer um alto nível de controle/filtro de tráfego/conteúdo e armazenamento em cachê de navegação. Através de serviço, os administradores de rede podem contar com várias possibilidades, aumentando sua capacidade de administração da rede, bem como aumentando a dinâmica das regras e políticas implantadas nas organizações. 
O Proxy atua como um intermediário entre o usuário e servidores de conteúdo, seja ele local ou remoto. Através dele, o administrador pode decidir, entre outras coisas, como, quando e o que cada usuário ao grupo de usuários pode acessar, bem como estabelecer regras baseadas em hardwares, protocolos, serviços e conteúdo. Simplificando um pouco, o usuário deixa de ter contato direto com a internet e passa a contar com o Servidor Proxy para esse fim. 
Neste trabalho, será utilizado o Software Livre Squid para mostrar o que se pode fazer com um Servidor Proxy. É importante ressaltar que existem várias opções de softwares para isso, tanto proprietários como Softwares Livres, e que a opção pelo Squid é estritamente técnica e conceitual.
O Squid é um Software Livre licenciado pela GPL, sua utilização pode nos trazer várias vantagens, como: 
· Autenticação; 
· Controle de acesso; 
· Cache; 
· Controle centralizado; 
· Registros de acesso, etc. 
Instalando o Squid
O apt é um comando de instalação, remoção e modificação de programas, muito simples de usar.
#apt-get install squid3
Depois de ser instalado o squid, foi realizada a renomeação do arquivo para a projeção de outro:
# mv /etc/squid3/squid.config /etc/squid3/squid.conf.orig
# pico /etc/squid3/squid.config
O arquivo de configuração padrão do squid fica em /etc/squid3/squid.conf. Próximo passo:
Editar o squid.conf:
# nano /etc/squid3/squid.conf
Foi utilizado o arquivo padrão do squid fazendo apenas as alterações necessárias, portanto para chegar ao material abaixo foi necessário percorrer o squid.conf. O arquivo final, com as mudanças necessárias para a equipe, ficou do seguinte modo:
Iptables
Iptables é o nome da ferramenta da interface do usuário que permite a criação de regras de firewall e NATs. Apesar de, tecnicamente, o iptables ser apenas uma ferramenta que controla o módulo netfilter, o nome "iptables" é frequentemente utilizado como referência ao conjunto completo de funcionalidades do Netfilter. O iptables é parte de todas as distribuições modernas do Linux.
O Netfilter representa um conjunto de ferramentas dentro do kernel do Linux, portanto, permite que os módulos do núcleo específicos para registrar as funções de retorno com a pilha de rede do kernel. Essas funções, geralmente são aplicadas ao tráfego na forma de regras de filtragem e de modificação, são chamados de volta para cada pacote que atravessa a respectiva ferramenta dentro da pilha de rede. 
Há uma versão do iptables, chamado de IP6Tables que é usado para configurar, manter e inspecionar as tabelas de regras de filtragem dos pacotes IPv6 no kernel do Linux. Podem ser definidas várias tabelas diferentes. Cada uma contém uma série de cadeias embutidas e pode também conter cadeias definidas pelo usuário. Cada cadeia é uma lista de regras que podem combinar um conjunto de pacotes. Cada regra especifica o que fazer com um pacote que corresponde. Isso é chamado de 'target', que pode ser um salto para uma cadeia definida pelo usuário na mesma tabela. 
Para que serve? 
Com o Iptables, você pode redirecionar portas, trocar um protocolo (como ssl3 para tls1), Redirecionar servidores, e serviços. Pode criar regras, para bloquear usuários na rede, bloquear serviços, de acesso por determinados ips, entre outros muitos serviços.
Tabela Filter
Vejamos o funcionamento da tabela filter (default) e as suas respectivas chains:
Assim, existem três tabelas gerenciáveis no IPTables:
· FILTER - esta é a tabela padrão, responsável pelas filtragens de pacotes. Possui três cadeias de conjuntos de regras: 
· INPUT - pacotes destinados a sockets locais
· FORWAD - pacotes encaminhados (roteados) através do firewall
· OUTPUT - pacotes gerados localmente
· NAT - é uma tabela que é consultada quando um pacote tenta criar uma nova conexão. Pode alterar características de origem ou de destino de um pacote. Possui três cadeias de conjuntos de regras: 
· PREROUTING - utilizado para alterar um pacote, logo que é recebido
· POSTROUTING - usado para alterar pacotes quando eles estão prestes a sair
· OUTPUT - usado para alterar pacotes gerados localmente
· MANGLE - esta tabela é usada para alteração de pacotes. Até o kernel versão 2.4 esta tabela tinha apenas 2 cadeias, mas eles são agora 5: 
· PREROUTING - para alterar as conexões de entrada
· OUTPUT - para alterar pacotes gerados localmente
· INPUT - para pacotes de entrada
· POSTROUTING - para alterar pacotes quando eles estão prestes a sair
· FORWARD - pacotes encaminhados (roteados) através do firewall
Modo de usar
As regras (rules) de filtragem, geralmente, são compostas assim:
#iptables [-t tabela] [opção] [chain] [dados] -j [ação]
Entre as opções podem ser utilizadas:
· -P = Define uma regra padrão;
· -A = Adiciona uma nova regra as existentes. Este tem prioridade sobre a -P;
· -D = Apaga uma regra;
· -L = Lista as regras existentes;
· -S = Lista as regras existentes, da forma como foi salvo pelo iptables;
· -E = Renomeia uma cadeia (chain)
· -F = Limpa todas as regras;
· -I = Insere uma nova regra;
· -h = Exibe a ajuda;
· -R = Substitui uma regra;
· -C = Faz a checagem das regras existentes;
· -Z = Zera uma regra específica;
· -N = Cria uma nova regra com um nome;
· -X = Exclui uma regra específica pelo seu nome.
Como tais comandos precisariam ser sempre gerados no momento da inicialização, foi gerado um arquivo shell script (.sh). Para não ter que ficar chamando o script toda vez que inicializar o sistema, pode-se fazer com que o mesmo seja ativado na inicialização. Para isso é preciso editar o arquivo: 
/etc/rc.d/rc.local e incluir o comando no final do arquivo.
Perante alguns problemas técnicos no processo do iptables, não conseguimos fazer o redirecionamento para o squid de forma automática usando o firewall. Para consumir o proxy (squid) foi necessário implementar uma configuração manual no computador do usuário.
Impasses e ordem de processamento
É importante lembrar que as regras serão interpretadas na ordem em que aparecerem. Sempre que um pacote se adequar a uma regra, tal regra processará o pacote e a sequência iptables será finalizada naquele instante, sem que as regras seguintes atuem. 
Lorena
2017
11