FriCPD - Slackware Simples e Fácil - Mikrotik e FreeRadius

Software Gestão de Provedores - Mikrotik

2011-03-19T19:46:00.002-03:00

Sistema para Gestão de Provedor de Internet
Integração Mikrotik FreeRadius
Sistema WEB
Gestão Completa, Fácil e descomplicada

Conheça os recursos

Central de Assinante
Emissão de Boletos
Bloqueio automático de clientes inadimplentes
Gestão de contratos
Clientes OnLine
Servidor Cache Proxy - ThunderCache
Auditoria
Suporte Eficiente
Integração Mikrotik x FreeRadius
PPPoE, HotSpot
Histórico de conexões do cliente
Controle Financeiro
Plataforma WEB

Conheça o Altarede System - Sistema de Gerenciamento para provedor de internet.

Solicito uma demonstração e veja por si mesmo.

Altarede System - Sistema de Gerenciamento para provedor de internet

Sistema de gerenciamento para provedor wireless

2011-03-19T19:39:00.003-03:00

Cada vez mais os provedores precisam de um Sistema de Gerenciamento para Provedor de Internet, Wireless ou Cabo, que se vá muito além de regras de Firewall e QOS.

Seja Mikrotik, Linux, Hotspot ou PPPoE, FreeRadius, independente da tecnologia e do meio de conexão, é imprescindivel um gerenciamento financeiro, controle de clientes inadimplentes, processos automatizados, cobrança bancária, emissão de boleto entre outros.

Assim como em todos os mercados, exitem muita opções, mas existe uma solução que se destaca por ter sido desenvolvida num grupo que tem mais de 10 anos de experiência no ramo de Provedores de Internet e Telecom.

Conheça o Altarede System - Sistema de Gerenciamento para provedor de internet.

Solicito uma demonstração e veja por si mesmo.

Altarede System - Sistema de Gerenciamento para provedor de internet

Could not reliably determine the server's fully qualified domain name, using 127.0.0.1 for ServerName

2010-10-27T11:56:00.000-02:00

Quanto a mensagem httpd: Could not reliably determine the server's fully qualified domain name, using 127.0.0.1 for ServerName", basta você adicionar uma entrada em /etc/hosts com seu IP e hostname, ou apenas colocar seu hostname como um apelido para localhost. Ex.:

127.0.0.1 localhost.localdomain localhost webserver
172.18.10.95 webserver.vinicius.com.br webserver

Salve o arquivo e reinicie o apache
#apachectl restart

QOS e Priorização de Tráfego no Mikrotik

2010-05-23T19:55:00.004-03:00

As regras abaixo severm para priorizar a banda de navegação e limitar a banda para tráfego de P2P.
Modifique de acordo com suas necessidades.

Copie e cole no terminal do Mikrotik.

/ip firewall mangle
add action=mark-connection chain=prerouting comment="" disabled=no dst-port=\
80 new-connection-mark=http_conn passthrough=yes protocol=tcp
add action=mark-packet chain=prerouting comment="" connection-mark=http_conn \
disabled=no new-packet-mark=http passthrough=yes
add action=mark-connection chain=prerouting comment="" disabled=no \
new-connection-mark=p2p_conn p2p=all-p2p passthrough=yes
add action=mark-packet chain=prerouting comment="" connection-mark=p2p_conn \
disabled=no new-packet-mark=p2p passthrough=yes

/queue tree
add burst-limit=0 burst-threshold=0 burst-time=0s disabled=no limit-at=0 \
max-limit=0 name=HTTP_down packet-mark=http parent=global-in priority=2 \
queue=default
add burst-limit=0 burst-threshold=0 burst-time=0s disabled=no limit-at=800k \
max-limit=1024k name=p2p packet-mark=p2p parent=global-in priority=8 \
queue=default

Para aproveitar o máximo seu Mikrotik, conheça o mais completo Sistema para Gerenciamento de Provedor de Internet, Altarede System.
http://www.altaredesistemas.com.br/
Integração Mikrotik / FreeRadius
Cobrança Integrada - Simples e com Registro
Emissão de Boletos Bancários
Bloqueio e Desbloqueio Automático
Financeiro Completo
Ordem de Serviço
Controle de Contratos
Central de Assinante
Histórico de Conexões
* Atendemos provedores em Todo BRASIL

Scripts Mikrotik - Automatizando a sua vida

2010-03-26T19:07:00.005-03:00

#script para atualizar hora automática no mikrotik
/system ntp client set enabled=yes mode=unicast primary-ntp=200.192.232.8

#SCRIPT PARA REBOOTAR AUTOMATICAMENTE
/system script add name="reboot" source="/system reboot" policy=ftp,reboot,read,write,policy,test,winbox,password

#SCRIPT PARA BACKUP AUTOMÁTICO DO MIKROTIK
/system script add name="backup_diario" source="/sy ba sav name=mk_bkp.backup" policy=ftp,reboot,read,write,policy,test,winbox,password

#SCRIPTS PARA HABILITAR E DESABILITAR TODA A BANDA
#DESABILITA
/system script add name="queue_disable" source="/queue simple { disable [find name=LIBERA_TUDO] }" policy=ftp,reboot,read,write,policy,test,winbox,password

#SCRIPTS PARA HABILITAR E DESABILITAR TODA A BANDA
#HABILITA
/system script add name="queue_enable" source="/queue simple { enable [find name=LIBERA_TUDO] }" policy=ftp,reboot,read,write,policy,test,winbox,password

## AGENDAMENTOS ##

#AGENDAMENTO PARA REBOOT DE 15 EM 15 DIAS
/ system scheduler add name="reboot" on-event=reboot start-date=nov/15/2006 start-time=06:05:00 interval=2w1d comment="REBOOT DE 15 EM 15 DIAS" disabled=no

#AGENDAMENTO PARA BACKUP AUTOMÁTICO DE 6 EM 6 HORAS
/ system scheduler add name="backup diario" on-event=backup_diario start-date=jan/16/2007 start-time=00:00:00 interval=6h comment="CRIA BACKUP DE 6 EM 6 HORAS" disabled=no

Sistema Mikrotik

2009-09-24T16:06:00.001-03:00

Sistema Mikrotik

Altarede System ISP

DESCRIÇÃO:
Sistema de Controle para Provedor/Servidor Mikrotik totalmente WEB

Módulos
*Cadastros Gerais
- clientes
- empresas
- centro de custo / grupo de contas
- bancos
- fornecedor
- produtos
- estoque
- cep
- funcionários
- planos
- servidores
- antenas

* PPPoE
* Hotspot
* Controle de Pedido de Instalação
* Controle de O.S.
* Controle de Atendimento

* Control de Usuário
- controle de permissão de acesso de usuários

* Integração Mikrotik
- exportação de planos e logins p/ Mikrotik
- sincronização de cadastros p/ Mikrotik
- integração com FreeRadius

* Funcionalidades
- Aviso de Bloqueio
- Gráficos de banda
- Clientes Conectados em tempo real com consumo de banda
- Backup automático
- Impressão de contratos
- Bloqueio automático de clientes inadimplentes
- Extrato de Conexão de Clientes com consumo de banda

* Financeiro
- contas a receber
- contas a pagar
- caixa
- geração de cobrança
- emissão de boletos - carteira simples e registrada
- importação de retorno de cobrança bancária

Altarede Sistemas
Altarede System ISP
Sistema Mikrotik
http://www.altaredecorporate.com.br/index.php?secao=paginas/sistema

Fusão de Fibra Óptica

2009-07-20T23:11:00.001-03:00

Fabricação de Fibra Óptica

2009-07-20T23:09:00.001-03:00

Video do Discovery Channel
Muito interessante!

Sistema Provedor Mikrotik Integrado FreeRadius

2009-07-20T17:26:00.003-03:00

Olá pessoal,

A Altarede Corporate está lançando o sistema de provedor Mikrotik Altarede System ISP.

Desenvolvido para interface Web, o sistema de provedor gerencia todas as funcionalidades do Mikrotik como integração com FreeRadius, PPPoE, Hotspot, Bloqueio de clientes, exportação dos dados de planos / clientes por servidor, no caso de você precisar reinstalar o seu servidor Mikrotik não ter que recriar todos os cadastros manualmente.

Veja Alguns Módulos:

- Suporte a Linux e Mikrotik

- Controle de Cliente por IP/MAC, Hotspot, PPPoE e Protocolo Proprietário. (Integrado ao FreeRadius)

- Controle Financeiro desde de compras à instalações, estoque, controle de planos, velocidades e cotas.

- Cobrança Bancária: Remessa de Arquivos / Emissão de Boletos (Integrado com todos os bancos).

- Interação com o cliente: Envio de comunicados, cortes ou promoções.

- Bloqueio automático de clientes inadimplentes.

- Integração com Servidor de E-mail Merak.

- Suporte técnico 24 horas via 0800.

Altarede Corporate
http://www.altaredecorporate.com.br/index.php?secao=paginas/sistema

Instalando Apache + MySQL + PHP 5 no Windows - Corrigido

2009-06-15T15:52:00.002-03:00

1. Download dos itens necessários
Primeiro, faça o download dos programas a serem usados.

Quanto ao Apache, usaremos o Apache 1.3.*, visto que na documentação do PHP existe a seguinte recomendação: "Não use Apache 2.0 e PHP em um sistema de produção, seja no Unix ou no Windows" (http://www.php.net/manual/pt_BR/install.apache2.php).

- Apache: http://httpd.apache.org/download.cgi
- MySQL: http://dev.mysql.com/downloads/
- PHP: http://www.php.net/downloads.php

2. Instalação
- Execute a instalação do Apache e o instale com as configurações padrões. Se quiser, pode escolher outro diretório para a instalação.
- Extraia o MySQL em uma pasta qualquer. Recomendo dentro da pasta onde você instalou o Apache. Ex: C:\Arquivos de Programas\Apache Group\Apache\mysql
- Extraia o PHP 5 na pasta C:\php5

3. Configuração do PHP
Vá para a pasta c:\php5 e copie o arquivo php5ts.dll para a seguinte pasta, de acordo com o seu Windows:
- c:\windows\system (em Windows 9x/Me)
- c:\windows\system32 (em WindowsXP)
- c:\winnt\system32 (para Windows NT/2000)

Copie também o arquivo c:\php5\libmysql.dll para umas das pastas ditas acima, de acordo com o Windows em uso. Esse arquivo é necessário para o funcionamento do MySQL no PHP.Ainda no c:\php5, renomeie o arquivo "php.ini-dist" para "php.ini" e abra-o. Procure a linha extension_dir = "./" e a altere para extension_dir = "c:/php5/ext/", é o diretório onde ficam as extensões do php (MySQL, Curl, GD, etc). Agora, localize a linha ;extension=php_mysql.dll e tire o ; do início dela. Se quiser também, já aproveite e faça o mesmo na linha ;extension=php_gd2.dll, caso queira a biblioteca GD para a manipulação de imagens.

Salve as alterações e mova o "php.ini" para a pasta:
- c:\windows (em Windows 9x/Me/XP)
- c:\winnt (para Windows NT/2000)

4. Configuração do Apache
Vá para a pasta onde você instalou o Apache e abra o arquivo conf/httpd.conf em qualquer editor de texto. (Ex: Bloco de Notas).

1º) Localize a linha #LoadModule unique_id_module modules/mod_unique_id.so e logo abaixo dela adicione:
LoadModule php5_module "c:/php5/php5apache.dll"

2º) Localize a linha AddModule mod_setenvif.c e logo abaixo, adicione:
AddModule mod_php5.c

3º) Localize AddType application/x-tar .tgz e logo abaixo, adicione:
AddType application/x-httpd-php .php
AddType application/x-httpd-php-source .phps

4º) Localize:



DirectoryIndex index.html

E logo ao lado do index.html adicione:
index.php default.php main.php

5. Configuração do MySQL
Não há nada para se configurar no MySQL, você só deve iniciar o mesmo. Vá para a pasta que instalou o MySQL, então abra o bin/mysqld.exe, iniciando o servidor do MySQL.Lembre-se que sempre você terá de iniciar o MySQL. Se não quiser ir na pasta toda vez que iniciar o computador, crie um atalho para o bin/mysqld.exe e coloque no "Iniciar, Programas, Inicializar (ou Iniciar, de acordo com o windows)".

6. Falta pouco!
Agora, vá em "Iniciar, Programas, Apache HTTP Server, Control Apache Server, Restart", para reinicializar o Apache com as alterações feitas. Pronto! Agora você pode tem PHP5 + MySQL em seu Windows!.

Para efetuar um teste, crie um arquivo chamado phpinfo.php, com o conteúdo:

phpinfo();
?>

e o coloque na pasta htdocs dentro da pasta do Apache. Abra seu navegador e digite http://localhost/phpinfo.php. Se a página abrir com as informações do PHP, significa que tudo deu certo.

Observações: Lembrando que nos caminhos que mostrei, o C:\ deve ser substituído pela letra do HD em que está seu Windows e onde foram instalados os programas. Uso o C:\ no artigo, pois é a letra que é normalmente usada.

Caso queira register_globals no PHP, abra o c:\windows\php.ini, localize a linha "register_globals = Off" e arrume para "register_globals = On". Veja mais aqui: http://www.php.net/manual/pt_BR/security.registerglobals.php

Créditos:

Alfred Reinold Baudisch
alfred.baudisch@gmail.com
Blog: http://www.auriumsoft.com.br/blog/
http://www.phpbrasil.com/articles/article.php/id/847

SSH no celular

2008-10-17T20:21:00.000-03:00

Por Carlos E. Morimoto 28/04/2008
http://www.guiadohardware.net/dicas/ssh-celular.html
Dicas do Guia do Hardware

Com a popularização dos smartphones e do acesso web via GPRS, EDGE e conexões 3G, já é perfeitamente possível administrar um servidor remotamente utilizando apenas o celular, conectando-se via SSH para reiniciar serviços, atualizar o sistema ou fazer ajustes na configuração.

O SSH é uma boa opção de software de administração remota para uso em celulares, pois além de bastante seguro, o protocolo é relativamente leve e o uso de uma conexão em modo texto consome pouca banda, permitindo que você o utilize mesmo em planos onde o tráfego é cobrado por megabyte transferido, o que não seria viável em protocolos mais pesados, como no caso do VNC.

Nada melhor do que receber uma chamada no celular avisando de um problema no servidor e poder solucioná-lo de onde estiver, usando o próprio aparelho. Vamos então a um apanhado geral das opções de clientes SSH disponíveis para diversas plataformas de celulares e smartphones.

Para os aparelhos baseados no Symbian S60, como os Nokia E61 e E62, a melhor opção é o S2PuTTY (PuTTY for Symbian), disponível no http://s2putty.sourceforge.net/.

Ele é uma implementação completa do protocolo SSH2, que funciona tanto nos modelos com teclado QWERT quanto nos modelos mais simples, com teclado numérico (embora o uso seja bem menos conveniente). Pressionando a tecla "send" você tem acesso a um menu para a inserção de caracteres especiais (como o TAB). Aqui temos o S2PuTTY rodando em um Nokia E62:

O S2PuTTY deu origem ao PuTTY for UIQ3 uma versão atualizada, que funciona nos novos smartphones baseados no UIQ3, como o Sony-Ericsson P990i e W950. Ele pode ser baixado no: http://coredump.fi/putty.

PuTTY for UIQ3 no Sony-Ericsson P990i

Embora tanto o S60 quanto o UIQ3 sejam baseados na plataforma Symbian, os dois sistemas são plataformas bem diferentes, daí o surgimento de versões separadas do PuTTY. O S60 é desenvolvido pela Nokia e licenciado para a LG, Samsung e outros fabricantes, enquanto o UIQ é encontrado em aparelhos da Sony-Ericsson e da Motorola.

Continuando, temos o PocketPuTTY, que atende aos usuários de palmtops e smartphones baseados no Windows Mobile 2003 ou Windows Mobile 5.0. Ele está disponível no: http://www.pocketputty.net/.

Embora tenha nascido como uma projeto hobbistico, ele evoluiu rapidamente, passando a oferecer quase todos os recursos disponibilizados pelo PuTTY original, incluindo a criação de túneis encriptados. Ele é ainda um projeto em desenvolvimento, por isso não é completamente estável, mas ele funciona bem na maioria dos aparelhos.

Para os smartphones com o PalmOS, incluindo o Treo 600, 650 e 680, você pode utilizar o pSSH, disponível no: http://www.sealiesoftware.com/pssh/. Aqui o estou utilizando em um Treo 650 para editar um arquivo de configuração usando o mcedit:

O tamanho das fontes, assim como diversas outras opções são configuráveis, por isso não se assuste com o tamanho do texto no screenshot, eles foram tirados usando as fontes em tamanho mínimo, de forma a maximizar o volume de caracteres mostrados na tela. Além dos Treos, ele pode ser usado também em palms sem teclado, nesse caso com a ajuda de um teclado onscreen. Você pode utilizá-lo em um Palm TX conectado via Wi-FI, por exemplo.

Diferente de clientes SSH mais antigos para o PalmOS, como o TuSSH e o TGssh (que suportam apenas o SSH 1), o pSSH oferece suporte ao SSH 2, usado atualmente. A maior deficiência é que o pSSH utiliza uma implementação relativamente insegura do protocolo, que gera chaves de autenticação relativamente previsíveis, fato que é apontado por muitos como uma brecha de segurança (o próprio programa avisa disso ao realizar a primeira conexão). Em tese, alguém que conseguisse capturar a transmissão através da rede celular, soubesse que você está usando o pSSH e tivesse uma dose de paciência, poderia quebrar a encriptação, obtendo assim acesso aos dados. De qualquer forma, interceptar dados em redes de celular GSM não é algo trivial, de forma que (a menos que você seja um administrador paranóico), o risco é aceitável.

Concluindo, temos também o MidpSSH, uma implementação do SSH2 em Java, que pode ser usada até mesmo nos aparelhos mais simples, que ofereçam suporte à linguagem. Basicamente, qualquer aparelho onde você pode rodar o Opera Mini ou jogos em Java é um forte candidato a rodar o MidpSSH sem grandes percalços, como no caso desse Nokia 6230:

Nada impede também que ele seja usado em aparelhos com mais recursos, como no caso dos Blackberrys.

A página do projeto é a http://xk72.com/midpssh e você pode ver uma lista dos aparelhos suportados no http://www.xk72.com/midpssh/wiki/supported-devices .

O MidpSSH pode ser instalado de duas maneiras. A mais simples é acessar o endereço http://xk72.com/wap no próprio aparelho e fazer o download diretamente. A segunda é baixar o programa no http://xk72.com/midpssh/download.php e transferir manualmente os arquivos .jad e .jar para o aparelho, de forma a realizar a instalação.

As melhores ferramentas de segurança pra Linux

2008-10-17T20:12:00.003-03:00

Artigo muito bom, leiam e aproveitem... créditos de Hugo Doria.

Existem várias ferramentas de segurança que podem auxiliar a vida de um administrador de redes/sistemas. Resolvi fazer um compilado rápido das melhores ferramentas para ajudar a vida destas pessoas. ;-)

É claro que esta lista não é definitiva e reflete apenas o meu gosto e o que uso. Se alguém tiver alguma sugestão de ferramenta para adicionar aqui é só entrar em contato que adicionarei com prazer. Com o tempo eu vou adicionando mais informações nesta página para torná-la ainda mais completa.

Bem, vamos à lista (que não está em nenhuma ordem definida):

Nmap

Quando eu penso em ferramenta de segurança o nmap é a primeira que me vem em mente. Provavelmente por ser a que mais uso. #)

Para quem ainda não conhece (há alguém?), o nmap é um port scanner capaz de detectar várias informações sobre o host como, por exemplo, sistema operacional, serviços rodando (e suas versões), uptime e algumas outras coisas. Ah! E ele, obviamente, verifica quais portas estão abertas, ou não.

Site: http://nmap.org/
Tutorial: http://www.guiadohardware.net/dicas/usando-nmap.html

Wireshark

Antigamente chamado de Ethereal, o Wireshark é um poderoso sniffer, que permite que você capture pacotes e te ajuda a analisar a rede, detectar possíveis problemas e entender melhor alguns protocolos. Ele possui uma boa interface gráfica e várais opções que podem te auxiliar.

Quem quiser pode usar o tshark, a versão em modo texto do wireshark. (Dica do usuário milopi)

Site: http://www.wireshark.org/
Tutorial: http://www.guiadohardware.net/tutoriais/wireshark/

Nessus

Do guiadohardware: “O Nessus é uma ferramenta de auditoria muito usada para detectar e corrigir vulnerabilidades nos PCs da rede local. Ele realiza uma varredura de portas, detectando servidores ativos e simulando invasões para detectar vulnerabilidades. Uma característica importante é que o Nessus procura por servidores ativos não apenas nas portas padrão, mas em todas as portas TCP. Ele será capaz de detectar uma vulnerabilidade em um servidor Apache escondido na porta 46580, por exemplo.”

Site: http://www.nessus.org/
Tutorial: http://www.guiadohardware.net/tutoriais/usando-nessus/

Tripwire

O Tripwire é um software utilizado para verificar a integridade de arquivos e diretórios do seu sistema. Ele gera uma base de informação sobre estes arquivos e, a partir dai, consegue detectar mudanças. Se for instalar o tripwire é extremamente recomendado que o faça o mais cedo possível. Instalar o tripwire em uma máquina que já roda há 4 anos e/ou que há suspeitas de ser sido invadida é perigoso, pois ele pode gerar uma base de dados errada.

Quando um arquivo é alterado o Tripwire é capaz de te informar sobre isso e, assim, você pode tomar as devidas providências.

Site: http://sourceforge.net/projects/tripwire/
Tutorial: http://www.linuxjournal.com/article/8758

Rkhunter

O Rkhunter é um anti-rootkit não tão conhecido quanto o chkrootkit, mas que eu considero uma melhor alternativa. Rootkits são ferramentas utilizadas, geralmente, com o objetivo de ocultar a presença de invasores nas máquinas. Com essas ferramentas alguém não-autorizado, mas que já conseguiu entrar na máquina, pode ter controle sobre a máquina e nem ser notado.

Muitos rootkits acompanham uma gama de binários (como o ls, ps, who, find etc) modificados para que os processos rodados pelo invasor não possam ser vistos pelo administrador da máquina. Além disso, muitos vírus atuais utilizam rootkits.

Site: http://www.rootkit.nl/
Tutorial: http://hdoria.archlinux-br.org/blog/2008/06/05/procurando-rootkits-no-seu-sistema/pt/

Netcat

Como muita gente fala por aí: O Netcat é o canivete suiço do TCP/IP. Se trabalhasse em uma empresa com certeza ele seria um estagiário (não por não ser importante, mas sim por fazer de tudo). Ele pode ser usado como port scanner, brute force, telnet e mais uma porrada de coisa que a “leitura” e “escrita” em uma conexão de rede permita.

Site: http://netcat.sourceforge.net/
Tutorial: http://www.vivaolinux.com.br/artigo/Netcat-O-canivete-suico-do-TCP-IP

Snort

Daqui: “O Snort é um software livre de detecção de intrusão para rede (NIDS) desenvolvido inicialmente por Martin Roesch, capaz de desenvolver análise de tráfego em tempo real e registro de pacote em redes IP. Executa análise de protocolo, busca/associa padrões de conteúdo e pode ser usado para detectar uma variedade de ataques, tais como buffer overflows, stealth port scans, ataques CGI, SMB probes, OS fingerprinting, entre outras”.

Site: http://www.snort.org/
Tutorial: http://tiagolima.wordpress.com/2008/04/24/instalacao-do-snort-base-no-debian-etch-pelos-fontes/

Ettercap

Ettercap é mais um poderoso sniffer e que usa muito Arp Spoofing. Com ele você pode filtrar pacotes, injetar caracteres, indentificar o SO etc.

Site: http://ettercap.sourceforge.net/
Tutorial: http://queroquero.lncc.br/~lrodrigo/wiki9/index.php/Ettercap

Aircrack-ng

O aircrack é uma ótima ferramenta para se quebrar chaves WEP e WPA e servir como auditoria de redes wireless.

Site: http://www.aircrack-ng.org/
Tutorial: http://my.opera.com/Ricardo%20Belfiglio/blog/2008/02/08/aircrack-ng-atacando-a-rede-wireless-e-quebrando-senhas-wep-e-wap1

Tcpdump

O tcpdump é um dos sniffers mais populares no Linux. Com ele é possível monitorar o tráfego, analisar e solucionar problemas. Ele é bem simples e fácil de usar.

Site: http://www.tcpdump.org/
Tutorial: http://www.vivaolinux.com.br/dica/tcpdump-Monitorando-conexoes/

Créditos: Hugo Doria

http://hdoria.archlinux-br.org/blog/2008/09/24/as-melhores-ferramentas-de-seguranca-pra-linux/pt/#more-263

Ativando o Mysql no Slackware

2008-05-21T14:53:00.001-03:00

Ativando o Mysql no Slackware 10.X e 11.0

Como todos sabem, o Slackware Linux 10.X e 11.0 já trazem em meio a seus pacotes o MySQL.
O pacote vem instalado, mas não ativado.

A seguir segue uma dica rápida de como ativar:

root@slackware:~# sudo mysql_install_db
root@slackware:~# chown mysql.mysql /var/lib/mysql/ -R

"-R" para dar permissão ao usuário mysql sobre o diretório e subdiretórios do diretório).

root@slackware:~# chmod +x /etc/rc.d/rc.mysqld
root@slackware:~# /etc/rc.d/rc.mysqld start

Agora crie uma senha pra acesso ao BD MySQL:

root@slackware:~# mysqladmin -u root password sua_senha

Rápido, prático e simples como o próprio MySQL.

Créditos:
Rodrigo Ribeiro
http://www.vivaolinux.com.br/dicas/verDica.php?codigo=7613

LILO - Configurar tempo de inicialização

2008-05-21T13:09:00.002-03:00

Para os iniciantes que não querem perder tempo esperando a contagem regressiva na inicialização so Linux, basta alterar o timeout no LILO.

Veja como:

*logo no linux como root
*entre na pasta /etc
*edite o arquivo lilo.conf

cd /etc
pico lilo.conf

*na linha 8, onde está timeou = 1200, troque para
timeout = 10

* o tempo está em milesegundos, entao 10 é 1 segundo, se vc colocar 1 não irá funcionar...
* agora, tecle CTRL + X p/ fechar e Y para salvar as alterações
* digite agora lilo (se nao digitar não irá salvar as alterações)
lilo

* é isso, simples e prático... boa sorte
By Eder Závoli

NoCatAuth - Construindo um firewall/gateway autenticado

2008-05-16T12:30:00.000-03:00

Por Patrick Brandão
http://www.patrick.eti.br
contato@patrick.eti.br

O programa NoCatAuth, criado pela nocat.net tem o propósito de evitar que pessoas não autorizadas tenham acesso a internet em rede wireless. Para isso, esse programa em Perl captura o tráfego na porta 80 e o desvia para um servidor HTTP, onde haverá uma página solicitando usuário e senha, e opcionalmente, uma página para cadastro.

O NoCat também pode ser usado para simplesmente obrigar o usuário a ler uma página de splash antes de navegar, onde se pode colocar um termo de uso, um aviso ou simplesmente a página do provedor de acesso.

O NoCat pode ser configurado para rodar em três modos:

OPEN - O tráfego na porta 80 é capturado e redirecionado para uma página de splash, após a página ter sido carregada, o acesso à internet é liberado para o host.
PASSIVE - O tráfego dos usuários não autenticados para a porta 80 será capturado, após a autenticação, uma regra de firewall (iptables ou ipchains) permitirá o acesso à internet por meio de NAT.
CAPTIVE - Semelhante ao PASSIVE, porém, ao se identificar com sucesso, o acesso à internet será liberado, mas sem NAT.

O NoCatAuth funciona com duas instâncias nos modos PASSIVE e CAPTIVE, uma, NoCat Gateway, e outra NoCat Auth, o Gateway redirecionará o tráfego HTTP para a porta 80 do servidor Auth que após autenticar o usuário, se conectará na porta 5280 do Gateway para dar permissão de passagem ao host. A conexão do servidor Auth na porta 5280 do Gateway é criptografada com PGP para dar suporte a casos em que o servidor Auth tem uma conexão não confiável com o servidor Gateway.

Tomei a iniciativa de escrever este tutorial ao ver que não encontrava, nem no Google, nem na própria página no NoCat, um tutorial que me ensinasse com clareza como se usa este programa.

Objetivo

Permitir acesso à internet somente a usuários autenticados;
A autenticação terá que ser feita em uma página web e a base de dados deverá ser armazenada em um banco de dados MySQL;
Usar HTTPS na página de autenticação;
Os hosts devem receber um endereço IP dinâmico e inválido (não roteável);
Os usuários devem ter acesso por NAT, que será feito no gateway;
Os servidores NoCatAuth e NoCatGateway deverão ser instalados no mesmo computador.

Tecnologias usadas e ambiente de laboratório

Linux 2.4.26 (distribuição Slackware 10.0 - instalação FULL)
Apache 2.0.50/mod_ssl
OpenSSL 0.9.7d
GnuPG 1.2.2
NocatAuth 0.82
MySQL 4.0.20
Perl 5.8.4
DHCPD 1.3.0pl2
BIND 9.2.3
IPTABLES 1.2.10

Computador de laboratório:

Processador: K6-II 500MHz
Memória: 128 MB
HD: 15GB ( Particionamento: 1 - 512 MB Swap, 2 - 14200 MB EXT3)
Placas de rede: 2 - 3COM (eth0 192.168.150.21, eth1 192.168.10.1)
Sistema operacional: Linux Slackware 10.0 (instalação FULL).
CDROM 52x

Material mínimo necessário:
Computador com 2 interfaces de rede e drive cdrom/dvdrom, cd de instalação do Slackware 10.0, acesso a internet no momento da instalação (downloads de pendências).

Instalação dos programas

O Slackware 10.0 vem com o Apache 1.3, mas eu particularmente prefiro o Apache 2.0.50, por isso vou usá-lo nesta solução. Se você tem experiência como Apache 1.3.x, fique a vontade em usá-lo, senão:

Removendo Apache 1.3:

# removepkg apache-1.3.31-i486-2

O OpenSSL versão 0.9.7.d, GnuPG 1.2.4, MySQL 4.0.20 e Perl 5.8.4 (e modulo perl Digest::MD5) já vêem instalados por padrão (instalação FULL) no Slack 10.

Instalação do Apache 2.0.50

# cd /usr/local/src
# wget http://apache.usp.br/httpd/httpd-2.0.50.tar.gz
# tar xvzf httpd-2.0.50.tar.gz
# cd httpd-2.0.50
# ./configure --enable-ssl --enable-cgi --enable-suexec --enable-so
# make
# make install

O Apache será instalado no diretório /usr/local/apache2, os arquivos de configuração ficarão na pasta usr/local/apache2/conf.

Módulos Perl

Os módulos usados pelo NoCat para esta solução são:

Net::Netmask
DBI
DBD::mysql
Digest::MD5

Se você deseja usar outro tipo de autenticação, consulte a documentação do NoCat. Várias tecnologias são suportadas: IMAP, LDAP, SAMBA, PAM, RADIUS, etc.

A primeira vez que você invocar o CPAN do Perl, ele solicitará algumas configurações do sistema e da localidade, basta responder N que ele usará a configuração padrão. Necessário estar conectador.

# perl -MCPAN -e shell
cpan> install Bundle::CPAN (ENTER para todas as perguntas)
cpan> install DBI
cpan> install DBD::mysql
cpan> install Digest::MD5
cpan> install Net::Netmask
cpan> exit

Atenção, as linhas seguintes testam os módulos e não podem retornar erros:

# perl -MDBI
# perl -MDBD::mysql
# perl -MDigest::MD5
# perl -MNet::Netmask

Agora o Perl está completo para o NoCat.

Ativar MySQL

Vamos ativar o MySQL, pois no Slackware 10.0 ele se encontra instalado, porém alguns ajustes são necessários para colocá-lo rodando.

Como nós iremos usar o MySQL apenas para armazenar algumas centenas de logins, não convém reservar recursos desnecessários. Por isso será usado o arquivo de configuração my-small.cnf (ver documentação do MySQL).

Em seguida criaremos um banco de dados para o NoCatAuth e um login de acesso para ele.

# cp /etc/my-small.cnf /etc/my.cnf
# mysql_install_db
# chown mysql.mysql /var/lib/mysql /var/run/mysql -R
# chmod +x /etc/rc.d/rc.mysqld
# /etc/rc.d/rc.mysqld start

Conferindo se o servidor MySQL esta de pé:

# nmap localhost -p 3306
Starting nmap 3.50 ( http://www.insercure.org/nmap/ ) at 2004-07-26 16:02 Interesting ports on localhost (127.0.0.1):
PORT STATE SERVICE
3306/tcp open mysql
Nmap run completed - 1 IP address (1 host up) scanned in 0.331 seconds

Ajustando a senha do root mysql:

# mysqladmin password senhadorootmysqlaqui
# mysql -u root -psenhadorootmysqlaqui
mysql> CREATE DATABASE nocat;
mysql> GRANT ALL PRIVILEGES ON nocat.* TO nocat@localhost IDENTIFIED BY "senhadonocat" WITH GRANT OPTION;
mysql> FLUSH PRIVILEGES;
mysql> exit

Substitua "senhadorootmysqlaqui" pela senha de root do MySQL, cuidado com esta senha. Faça o mesmo com "senhadonocat".

NoCAT

Todos os códigos necessários para construção do nosso servidor, tanto Auth como Gateway estão no mesmo pacote:

# wget http://nocat.net/download/NoCatAuth/NoCatAuth-0.82.tar.gz # tar -xvzf NoCatAuth-0.82.tar.gz # cd NoCatAuth-0.82

NoCAT Gateway

# make PREFIX=/usr/local/nocat/gw gateway

NoCAT Auth

# make PREFIX=/usr/local/nocat/authserv authserv

Chave PGP

A chave de PGP deve ser a mesma para ambas as instâncias para que elas se comuniquem, portanto, vamos criá-la no authserv e copiá-la para o gateway. Não defina uma senha para esta chave.

# make PREFIX=/usr/local/nocat/authserv pgpkey
# cp /usr/local/nocat/authserv/trustedkeys.gpg /usr/local/nocat/gw/pgp

Pronto, a instalação já está feita, agora vamos configurar tudo, começando pelo Apache.

Configuração

Apache

Criando certificados:
Como não temos dinheiro sobrando para comprar um certificado da VeriSign (pelo menos eu não), vamos ser nossa própria entidade certificadora. Crie um diretório na pasta raíz do Apache com o nome ssl:

# cd /usr/local/apache2
# mkdir ssl
# cd ssl

Vamos criar os certificados:

# openssl genrsa -out nocat.key 1024

Criar assinatura do certificado digital:

# openssl req -new -key nocat.key -out nocat.csr

Certificado auto-assinado:

# openssl x509 -days 365 -req -in nocat.csr -signkey nocat.key -out nocat.crt

Configurando HTTPS e CGI-BIN

Edite o arquivo /usr/local/apache2/conf/httpd.conf e procure onde está a definição da pasta virtual cgi-bin:

ScriptAlias /cgi-bin/ /usr/local/apache2/cgi-bin/

AllowOverride None
Options None
Order allow,deny
Allow from all

Altere para o exemplo abaixo:

ScriptAlias /cgi-bin/ /usr/local/nocat/authserv/cgi-bin/

SetEnv PERL5LIB /usr/local/nocat/suthserv/lib
SetEnv NOCAT /usr/local/nocat/authserv/nocat.conf

Edite o arquivo /usr/local/apache2/conf/ssl.conf e preencha com o seguinte conteúdo:

SSLRandomSeed startup builtin
SSLRandomSeed connect builtin

Listen 443
AddType application/x-x509-ca-cert .crt
AddType application/x-pkcs7-crl .crl
SSLPassPhraseDialog builtin
SSLSessionCache dbm:/usr/local/apache2/logs/ssl_scache
SSLSessionCacheTimeout 300
SSLMutex file:/usr/local/apache2/logs/ssl_mutex

DumentRoot /usr/local/apache2/htdocs
ServerName authserv.dominio.com.br:443
ServerAdmin contato@patrick.eti.br
ErrorLog /usr/local/apache2/logs/erros_log
TransferLog /usr/local/apache2/logs/access_log
SSLEngine on
SSLCipherSuite ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP:+eNULL
SSLCertificateFile /usr/local/apache2/ssl/nocat.crt
SSLCertificateKeyFile /usr/local/apache2/ssl/nocat.key

SSLOptions +StdEnvVars

SSLOptions +StdEnvVars

SetEnvIf User-Agent .*MSIE.* \
nokeepalive ssl-unclean-shutdown \
downgrade-1.0 force-response-1.0
CustomLog /usr/local/apache2/logs/ssl_request_log \
%t %h %{SSL_PROTOCOL}x %{SSL_CIPHER}x \%r\ %b

NoCatAuth

Vá até o diretório /usr/local/nocat/authserv, edite o arquivo nocat.conf e confira os parâmetros:

Verbosity 10
PGPKeyPath /usr/local/nocat/authserv/pgp
HomePage http://www.dominio.com.br/
DocumentRoot /usr/local/nocat/authserv/htdocs

# configuraçao do banco de dados MySQL
# reveja a ativação do mysql para conferir a senha que você configurou
DataSource DBI
Database dbi:mysql:database=nocat
DB_User nocat
DB_Passwd senhadonocat

Os demais parâmetros devem permanecer inalterados, a menos que você saiba o que esta fazendo. Na ativação do MySQL, nós apenas criamos o banco de dados nocat, agora vamos criar as tabelas. No pacote de instalação do NoCat há uma pasta etc e dentro dela um arquivo chamado nocat.schema. Execute o seguinte comando para criar a estrutura de tabelas:

# mysql -u root -psenhadorootmysqlaqui nocat < /usr/local/src/NoCatAuth-0.82/etc/nocat.schema

MUITO IMPORTANTE:
Já vi varias perguntas na internet sobre um erro:

"INTERNAL SERVER ERROR"

Quando se solicita a autenticação. Como o nocat auth roda por meio de cgi, o usuario que acessa os arquivos em /USR/LOCAL/NOCAT/AUTHSERV/* é o usuario do Apache. Para que esse erro desapareça, dê o domínio desses arquivos para o Apache, execute:

# chown apacheuser.apachegroup /usr/local/nocat/authserv -R
# chmod 700 /usr/local/nocat/authserv -R

LEMBRANDO QUE: apacheuser e apachegroup deverá ser substituído pelo usuário e grupo que roda o Apache.

NoCatGateway

Edite agora o arquivo nocat.conf do diretório /usr/local/nocat/gw e confira os parâmetros abaixo:

Verbosity 10
GatewayName Domínio Gateway - Autenticação

# se o gateway também faz NAT, você deve usar Passive, senão, use Captive
GatewayMode Passive
LoginTimeout 86400
HomePage http://www.dominio.com.br/
DocumentRoot /usr/local/nocat/gw/htdocs

# Coloque no parâmetro abaixo, os logins que tem livre acesso separados de espaço
# ou comentar essa linha para que todos autentiquem
Owners contato@patrick.eti.br tol83@bol.com.br

# ip da interface em contato com rede wireless ou rede local
AuthServiceAddr 192.168.10.1
AuthServiceURL https://$AuthServiceAddr/cgi-bin/login
LogoutURL https://$AuthServiceAddr/logout.html

# interface com ip roteável na internet
ExternalDevice eth0

# interface com usuários (192.168.10.1)
InternalDevice eth1

# apenas este DNS poderá ser usado na rede dos usuários, caso
# este parâmetro não seja definido, serão liberados os endereços
# dos servidores no arquivo /etc/resolv.conf
# lembre-se de colocar os mesmos servidores na configuração do DHCPD
DNSAddr 192.168.10.1 192.168.150.56

Os demais parâmetros devem permanecer inalterados, a menos, é claro, que você saiba o que está fazendo.

Configurando DHCPD

Para que os usuários não tenham que trocar nas configurações de rede dos seus computadores, vamos configurar o gateway para servir isso para eles. Edite o arquivo /etc/dhcpd.conf e preencha com as linhas:

ddns-update-style none;
default-lease-time 600;
max-lease-time 600000;
option broadcast-address 192.168.10.255;

# desativar dhcpd para a interface 192.168.150.21
subnet 192.168.150.0 netmask 255.255.255.0 {}
subnet 192.168.10.0 netmaks 255.255.255.0 {
range 192.168.10.100 192.168.10.200;
option routers 192.168.10.1;
option domain-name "dominiowireless.com.br";
option domain-name-servers 192.168.10.1;
}
# mais informacoes: # man dhcpd.conf

Opcional: Servidor DNS

É recomendável que você tenha um servidor DNS no gateway, portando adiciona o NAMED na inicialização do Slackware 10.0:

# chmod +x /etc/rc.d/rc.bind

Iniciando o servidor

Por motivos de segurança, já que o Apache 1.3 foi removido, desative o rc.httpd com o comando:

# chmod -x /etc/rc.d/rc.httpd

Crie o arquivo /etc/rc.d/rc.nocat com o seguinte conteúdo:

#!/bin/sh
NC=/usr/loca/nocat/gw
export PERL5LIB=$NC/lib:$PERL5LIB
export NOCAT=$NC/nocat.conf
case "$1" in
start)
echo "Starting the NoCat gateway ..."
$NC/bin/gateway
;;
stop)
echo "Stopping the NoCat gateway ..."
killall gateway 2>/dev/null
restart)
$0 stop
sleep 1
$0 start
;;
*)
echo "Usage: $0 {start|stop|restart}"
exit 1
esac

E torne-o executável:

# chmod +x /etc/rc.d/rc.nocat

Execute os comandos abaixo para rodar o DNS e o MySQL na inicialização do sistema:

# chmod +x /etc/rc.d/rc.bind
# chmod +x /etc/rc.d/rc.mysqld

Vamos agora configurar o servidor para levantar os serviços de forma organizada. Edite o arquivo /etc/rc.d/rc.local e certifique-se de que há as seguintes linhas (adicione as que faltarem):

# iniciando servidor DHCPD
dhcpd

# iniciando apache com suporte a SSL
If [ -x /usr/local/apache2/bin/apachectl ]; then
/usr/local/apache2/bin/apachectl startssl
fi

# iniciando NoCatGateway
/etc/rc.d/rc.nocat start

Agora, reinicie o servidor. Seu gateway autenticado está pronto!

Créditos:
Patrick Brandao
http://www.vivaolinux.com.br/artigos/verArtigo.php?codigo=1338&pagina=1

Estrutura do Iptables

2008-05-16T12:23:00.000-03:00

Introdução: o que esperar deste artigo

Ao contrário de outros artigos e tutoriais sobre iptables, este não se dispõe a ensinar sua sintaxe, como construir regras e como bloquear este ou aquele tipo de pacote. Artigos meus futuros poderão passear por este caminho, muito embora já se tenha muito material na Internet sobre isto.

Ele se destina a explicar a origem dos termos "tabelas" do iptables, o que é e para que servem as tabelas nat, filter e mangle. Onde, ou seja, em qual tabela se deve colocar as regras para este ou aquele objetivo.

Este artigo aproveita também para esclarecer algumas diferenças interessantes, como para que serve o REJECT e qual a diferença dele para o DROP?

Algumas definições serão relevantes e merecem serem citadas antes da leitura:

Quando falo de "nível" no artigo (ex: nível de Enlace) estou me referindo ao modelo de camadas TCP/IP, composto por apenas QUATRO camadas e não SETE como no modelo OSI. No modelo TCP as camadas são o ENLACE, onde se tem na sua imensa maioria o padrão de rede Ethernet como referência:

O nível de REDE, responsável pelo roteamento, onde se tem o IP na sua versão 4 como mais significativo;
O nível de TRANSPORTE, com seus pacotes UDP e TCP, dentre outros;
O o nível de aplicação, com os protocolos FTP, HTTP, etc;
O nível FÍSICO não faz parte do modelo de camadas TCP/IP, pois é restrito ao fabricante da placa.

Em termos de nomenclatura geralmente se generaliza chamando tudo de pacote. Porém, quando se quer deixar mais específico em qual nível estamos lidando, pode-se se usar a nomenclatura "quadro" para o nível de Enlace, "datagrama" ip para o nível de rede e "pacote" para o de transporte (sendo que o TCP muitas vezes usam a palavra "segmento"). Na aplicação o que tem são dados.

Mas como o iptables atua em princípio nas camadas de rede, ip de origem ou de destino, e na de transporte (porta origem e destino), o pacote pode ser considerado, neste artigo, como um termo genérico (OBS: é certo que o iptables também permite atuar no enlace e até mesmo na aplicação, com os devidos módulos adicionados).

Por onde passa um datagrama

O iptables, presente no Linux a partir do kernel 2.4, usa o conceito de "ganchos" do netfilter, permitindo avaliar um datagrama em alguns pontos dentro do kernel.

Conforme pode ser observado na Figura 1, um datagrama IP dentro do kernel do Linux passa por várias etapas. Basicamente um datagrama IP é de um dentre três tipos:

O datagrama chegou por uma de suas interfaces, o nível de enlace viu o seu mac address no quadro ethernet. Contudo o datagrama não é destinado ao número IP desta máquina. Se a máquina não for configurada para atuar como roteador, o datagrama é descartado. Se a máquina estiver atuando como roteador, o datagrama deve ser roteado por ela.
O datagrama chegou por uma de suas interfaces, o nível de enlace viu o seu mac address no quadro ethernet e ele é destinado ao IP desta máquina, logo deve ser entregue a um de seus processos locais (se for HTTP, por exemplo, deve ser entregue ao apache).
O datagrama IP foi gerado por um de seus processos locais, por um cliente de email por exemplo, e deve ser repassado a outra máquina.
Cada datagrama passa por uma etapa de roteamento, onde o kernel decide para onde ele vai. Nesta etapa é que são consultadas, se for o caso, as tabelas de roteamento. Os do tipo 1 devem serem roteados para fora da máquina, que no caso deve estar atuando como roteador, sendo que na etapa de roteamento o kernel decide qual o próximo ponto de rota que deve ser usada. Se for para o IP desta máquina, é o roteamento que verifica isto (isto é, recebe o datagrama, vê que é local e entrega ao nível de transporte, que irá repassá-lo ao processo correspondente).

Da mesma forma, pacotes os gerados por processos locais também passam pelo roteamento para serem encaminhados. Logo, todos os datagramas passam, de uma forma ou de outra, pela etapa de roteamento.

Caso ele precise ser repassado a outra máquina (somente se ela estiver atuando como roteador IP), a etapa de "repasse de pacotes" realiza as alterações necessárias, como a reescrita total do cabeçalho de enlace (trocando o MAC origem para o seu), atualização do TTL, etc. Evidente que isto após a decisão de roteamento, pois a escrita do cabeçalho de enlace leva em conta o destino.

Ganchos do netfilter

O netfilter introduziu "ganchos", pontos ao longo do ciclo de vida de um datagrama onde o mesmo pode ser avaliado por regras de firewall. A Figura 2 destaca estes pontos.

Pode-se observar pela Figura 2, que:

Um datagrama destinado ao processo local:
- Pode ser capturado para avaliação ao entrar na Interface, pelo gancho 1, chamado pelo kernel de PREROUTING.
- Pode ser capturado para avaliação pelo gancho 4, chamado pelo kernel de INPUT.
Um datagrama gerado por um processo local:
- Pode ser capturado para avaliação pelo gancho 5, chamado pelo kernel de OUTPUT.
- Pode ser capturado para avaliação pelo gancho 3, chamado de POSTROUTING.
Um datagrama que esteja apenas passando por esta máquina, não gerada e não destinada ao ip ela:
- Pode ser capturado para avaliação ao entrar na Interface, pelo gancho 1, chamado pelo kernel de PREROUTING.
- Pode ser capturado para avaliação pelo gancho 2, chamado pelo kernel de FORWARD.
- Pode ser capturado para avaliação pelo gancho 3, chamado de POSTROUTING.

Por existirem estes ganchos e a possibilidade de avaliar um datagrama e tomar decisões de firewall sobre ele nestes pontos, o iptables introduz filas de regras (listas) nestes pontos. Cada gancho pode possuir um ou mais conjuntos de regras.

Enfim, as tabelas

Ao todo são três as tabelas mais importantes do iptables:

filter
nat
mangle

A tabela filter deve conter apenas regras que determinam se um pacote deve ser aceito ou não. Nesta tabela não é possível colocar regras para alterar algum parâmetro, como ip ou porta.

A tabela nat serve para realizar operações de tradução sobre IP e/ou porta, tanto de origem como de destino, muito embora também permita recusá-lo (não será abordada neste artigo).

Por fim a tabela mangle serve para realizar alterações mais profundas e bizarras nos pacotes, como alterar o TTL, TOS, etc (não será abordada neste artigo).

As ações operadas sobre um pacote basicamente podem ser recusá-lo ou deixá-lo passar, mas o iptables possui várias maneiras de "recusar" e ainda permite realizar logs. Como dito, operações de alteração de pacotes, seja IP ou porta, não pode ser realizada na tabela filter, mas sim na nat ou mangle.

Em termos de filtragem, para impedir que pacotes que não queremos entrem na máquina, é a tabela filter que nos interessa.

A tabela filter

Entram nesta tabela o conjunto de regras com finalidades gerais, como bloquear, negar, realizar logs. As regras existentes nesta tabela não tem poder de alterar as configurações dos pacotes. Basicamente todas as regras de filtragem estão nesta tabela, pois ela é de uso geral.

Para inserir uma regra em uma lista, pode-se usar -A para APPEND, inserindo-a no final, ou -I para INSERT, inserindo-a NO INÍCIO (a sintaxe profunda das regras não é o foco deste artigo).

A tabela filter possui três conjuntos de regras, ou seja, três listas sendo que cada uma delas está associada a um gancho:

INPUT: esta fila de regras recebe este nome justamente por ser aplicada aos pacotes na posição do gancho 4. Logo apenas os pacotes destinados ao ip da máquina atual serão avaliados por eventuais regras existentes nesta tabela. Sintaticamente para inserir regras nesta lista usa-se os parâmetros de iptables (o comando está incompleto):

iptables -t filter -A INPUT [regra]
OUTPUT: esta fila de regras recebe este nome justamente por atuar no gancho 5 (também chamado pelo kernel de OUTPUT). Logo serão avaliados pelas regras presentes nesta lista apenas os pacotes originados por processos locais da máquina. Sintaticamente para inserir uma regra nesta lista usa-se o comando:

iptables -t filter -A OUTPUT [regra]
FORWARD: esta fila de regras recebe este nome justamente por atuar no gancho 2 (também chamado pelo kernel de FORWARD). Logo serão avaliados por estas regras os pacotes que estão sendo repassados por esta máquina, não são para ela e nem originados por ela. Sintaticamente para inserir uma regra nesta lista usa-se o comando:

iptables -t filter -A FORWARD [regra]

A tabela filter é a tabela básica do iptables e são em suas listas que devem ser inseridas regras de filtragens gerais, que não são complexas, como proibir ou permitir ips, portas, etc. Na Figura 3 pode ser observado a atuação do conjunto de regras desta tabela sobre os ganchos.

Cada regra pode realizar uma determinada ação ao pacote (representado graficamente por -j), sendo que na filter as seguintes ações são possíveis:

REJECT: o pacote, uma vez que casou com a regra, é rejeitado. Demais regras existentes são ignoradas e o pacote definitivamente já teve seu destino selado: será descartado. Se for usado REJECT o remetente do pacote será avisado com uma mensagem de erro, normalmente um ICMP de "porta inatingível" (mas o iptables permite ao usuário mudar o tipo de retorno se ele quiser). Em termos de segurança pode não ser interessante devolver uma resposta ao remetente, pois isto iria inevitavelmente dar a conhecer a ele o número IP do firewall.
DROP: o DROP tem o mesmo efeito do REJECT e a mesma aplicação, com a diferença de que não é retornado nenhuma mensagem de erro ao remetente (ele não saberá o que aconteceu com o pacote). Em se tratando de FORWARD (repasse) pode ser conveniente usar DROP ao invés de REJECT para que um possível atacante não saiba o IP do firewall que rejeitou o seu pacote. Mas isto deve ser bem analisado, pois se o remetente não souber o que ocorreu, ele poderá ficar ainda tentando várias vezes até desistir por time out. Se o teu firewall é o roteador principal, não tem porque escondê-lo, pois ele é um ponto de rota mesmo. Mas se ele for transparente (atuando em modo bridge), aí pode ser uma boa estratégia não dar nada ao remetente.
ACCEPT: Aceita um pacote, deixando que ele siga o seu percurso. O ACCEPT, como os anteriores, causa o término de teste nesta tabela, ou seja, o pacote já foi aceito e não será mais testado por nenhuma outra regra posterior nesta tabela (mas ainda poderá ser testado por outra tabela, como pela mangle ou nat, por exemplo. Acredito que o único exemplo onde isto possa acontecer é ele ser ACEITO no filter FORWARD, mas ser DROPADO no nat POSTROUTING, já que o nat tem também o poder de realizar DROP).
LOG: realiza um log deste pacote no sistema (geralmente no /var/log/syslog ou messages). Ao contrário das demais ações (DROP, ACCEPT e REJECT), ao aplicar um log no pacote o mesmo ainda continua sendo testado pelas regras seguintes da fila atual. Uma ação do tipo LOG não causa o término do teste. Caso seja do interesse do usuário ele pode configurar uma mensagem de log que aparecerá nos logs facilitando a análise.

Conclusão

Este artigo teve como motivação apenas mostrar a estrutura interna do iptables e não ensinar a escrever regras sintaticamente corretas e poderosas.

Através do entendimento correto de como o iptables atua, pode-se determinar onde e de que forma pacotes devem ser filtrados:

Se estou configurando um firewall pessoal, na minha máquina desktop ou no meu servidor, sendo que ela não é roteador: as regras para filtrar o conteúdo deverão ir na tabela filter, na lista INPUT para filtrar o que está entrando na minha máquina, destinada ao IP dela e na tabela filter, lista OUTPUT para os pacotes gerados pela minha máquina.
Se estou configurando um firewall de rede, que filtra todo o conteúdo que entra e sai da minha rede para o mundo: as regras irão todas na tabela filter, lista FORWARD. Para representar o destino (está entrando ou está saindo) posso usar o parâmetro -i interface ou -o interface (o FORWARD é o único que permite -i e -o na mesma regra, querendo dizer, se estiver entrando por aqui e saindo por ali...).
Se meu firewall é um firewall de rede, mas também possui alguns serviços nele, como proxy ou de email, devo inserir regras tando no filter INPUT/OUTPUT para definir a política dele enquanto servidor, como no filter FORWARD para proteger minha rede. Regras adicionadas no filter FORWARD não atuam sobre pacotes destinados ao número IP de uma máquina.
Se desejo alterar características de ip ou porta, trocando-as, devo usar a tabela nat e para isto preciso aguardar o próximo artigo. :-D

Créditos:
Elgio Schlemer
http://www.vivaolinux.com.br/artigos/verArtigo.php?codigo=6834&pagina=1

Tabela Filter - IPTABLES

2008-05-16T12:06:00.000-03:00

FIREWALL COM IPTABLES

Tabela Filter

Vejamos o funcionamento da tabela filter (default) e as suas respectivas chains:

São três, as possíveis chains:

--> INPUT: utilizada quando o destino final é a própria máquina filtro;

--> OUTPUT: qualquer pacote gerado na máquina fltro e que deva sair para a rede será tratado pela chain OUTPUT;

--> FORWARD: qualquer pacote que atravessa o fltro, oriundo de uma máquina e direcionado a outra, será tratado pela chain FORWARD.

Regras de filtragem

As regras (rules) de fitragem, geralmente, são compostas assim:

#iptables [-t tabela] [opção] [chain] [dados] -j [ação]

Exemplo:

#iptables -A FORWARD -d 192.168.1.1 -j DROP

A linha acima determina que todos os pacotes destinados à máquina 192.168.1.1 devem ser descartados. No caso:

tabela: filter (é a default)

opção: -A

chain: FORWARD

dados: -d 192.168.1.1

ação: DROP

Existem outras possibilidades que fogem à sintaxe mostrada anteriormente. É o caso do comando #iptables -L, que mostra as regras em vigor.

Ações

As principais ações são:

ACCEPT --> Aceitar. Permite a passagem do pacote.

DROP --> Abandonar. Não permite a passagem do pacote, descartando-o. Não avisa a origem sobre o ocorrido.

REJECT --> Igual ao DROP, mas avisa a origem sobre o ocorrido (envia pacote icmp unreachable).

LOG --> Cria um log referente à regra, em /var/log/messages. Usar antes de outras ações.

Exemplos comentados de regras de filtragem (tabela filter)

---------------------------------------

#iptables -L

Lista todas as regras existentes.

---------------------------------------

#iptables -F

Apaga todas as regras sem alterar a política.

---------------------------------------

#iptables -P FORWARD DROP

Estabelece uma política de proibição inicial de passagem de pacotes entre sub-redes.

---------------------------------------

#iptables -A FORWARD -j DROP

Todos os pacotes oriundos de qualquer sub-rede e destinados a qualquer sub-rede deverão ser descartados.

---------------------------------------

#iptables -A FORWARD -j ACCEPT

Todos os pacotes oriundos de qualquer sub-rede e destinados a qualquer sub-rede deverão ser aceitos.

---------------------------------------

#iptables -A FORWARD -s 10.0.0.0/8 -d www.chat.com.br -j DROP

Os pacotes oriundos da sub-rede 10.0.0.0 (máscara 255.0.0.0) e destinados aos hosts cujos endereços IP respondem pelo nome www.chat.com.br deverão ser descartados. Note que se a máquina possuir domínios virtuais, todos esses serão bloqueados.

---------------------------------------

#iptables -A FORWARD -s 10.0.0.0/8 -d www.chat.com.br -j REJECT

Os pacotes oriundos da sub-rede 10.0.0.0 (máscara 255.0.0.0) e destinados aos hosts cujos endereços IP respondem pelo nome www.chat.com.br deverão ser descartados. Deverá ser enviado um ICMP avisando à origem.

---------------------------------------

#iptables -A FORWARD -d www.chat.com.br -j DROP

Os pacotes oriundos de qualquer lugar e destinados aos hosts cujos endereços IP respondem pelo nome www.chat.com.br deverão ser descartados.

---------------------------------------

#iptables -A FORWARD -d 10.0.0.0/8 -s www.chat.com.br -j DROP

Os pacotes destinados à sub-rede 10.0.0.0 (máscara 255.0.0.0) e oriundos aos hosts cujos endereços IP respondem pelo nome www.chat.com.br deverão ser descartados.

---------------------------------------

#iptables -A FORWARD -s www.chat.com.br -j DROP

Os pacotes oriundos aos hosts cujos endereços IP respondem pelo nome www.chat.com.br e destinados a qualquer lugar deverão ser descartados.

---------------------------------------

#iptables -A FORWARD -s 200.221.20.0/24 -j DROP

Os pacotes oriundos da sub-rede 200.221.20.0 (máscara 255.255.255.0) e destinados a qualquer lugar deverão ser descartados.

---------------------------------------

#iptables -A FORWARD -s 10.0.0.5 -p icmp -j DROP

Os pacotes icmp oriundos do host 10.0.0.5 e destinados a qualquer lugar deverão ser descartados.

---------------------------------------

#iptables -A FORWARD -i eth0 -j ACCEPT

Os pacotes que entrarem pela interface eth0 serão aceitos.

---------------------------------------

#iptables -A FORWARD -i ! eth0 -j ACCEPT

Os pacotes que entrarem por qualquer interface, exceto a eth0, serão aceitos.

---------------------------------------

#iptables -A FORWARD -s 10.0.0.5 -p tcp --sport 80 -j LOG

O tráfego de pacotes TCP oriundos da porta 80 do host 10.0.0.5 e destinados a qualquer lugar deverá ser gravado em log. No caso, /var/log/messages.

---------------------------------------

#iptables -A FORWARD -p tcp --dport 25 -j ACCEPT

Os pacotes TCP destinados à porta 25 de qualquer host deverão ser aceitos.

---------------------------------------

Créditos:
João Eriberto Mota Filho

Veja o artigo completo em http://www.eriberto.pro.br/iptables/

FIREWALL COM IPTABLES

2008-05-16T12:03:00.000-03:00

2. GENERALIDADES

Sistemas de Firewall

Muitos não conhecem o verdadeiro significado do vocábulo firewall. Firewall é um sistema integrado, utilizado em redes de computadores para a sua proteção. Tal sistema é composto por filtros de pacotes, filtros de estados, IDS, IPS, proxies etc. Assim sendo, é errado dizer que uma máquina rodando Iptables é o firewall de uma rede. Isso por que o Iptables é um mero filtro de pacotes e estados. Assim sendo, só consegue analisar dados contidos no cabeçalho IP do pacote que trafega. Ele, por exemplo, não consegue verificar o conteúdo de um pacote. Com isso, um ataque ou um vírus poderão adentrar à rede.

A figura a seguir mostrará um exemplo de um sistema de firewall. A área cinza representa tal sistema.

É possível concluir que um único programa, como o Iptables, não constitui um firewall e sim parte dele. Um administrador de rede deve considerar o uso de outros elementos de segurança. RECOMENDO, DENTRE OUTROS, O USO DO IPS HLBR, DISPONÍVEL EM http://hlbr.sourceforge.net, juntamente com o Iptables. Se preferir, clique aqui para fazer download.

Filtragem de Pacotes

O Iptables é um filtro de pacotes. Essa filtragem poderá ocorrer em duas sitações:

--> diretamente em uma máquina de destino;

--> em uma máquina intermediária responsável pelo roteamento de dados entre segmentos de rede.

Vamos considerar a filtragem de pacotes no caso de controle do roteamento. Então, vamos configurar uma máquina capaz de tomar decisões em relação ao tráfego de rede. Assim, analisaremos o filtro de pacotes existente no Linux. Ele verifica apenas o cabeçalho de cada pacote. Basicamente, só entende endereço IP, máscara de sub-rede, portas e tipos de protocolos IP. Não analisa o conteúdo do pacote e nem identifica ataques.

A filtragem de pacotes é uma atividade interna do kernel.

Os filtros Linux

O filtro de pacotes, na maioria das vezes, atua como um roteador controlado. É uma atividade interna, uma propriedade, do kernel.

São os seguintes, os filtros existentes:

--> kernel 2.0.x: ipfwadm;

--> kernel 2.2.x: ipchains;

--> kernel 2.4.x: iptables;

--> kernel 2.6.x: iptables.

Obs: um kernel é estável quando o algarismo existente entre os dois pontos é par. Exemplo: x.2.x é estável. Já o x.3.x não é estável.

O Kernel 2.4, por questões de compatibilidade, mantém os filtros ipfwadm e ipchains. No entanto, eles não funcionam completamente com esse kernel. Além disso, se o ipchains estiver ativo, o iptables não irá funcionar. Assim, no Red Hat, torna-se necessário entrar no #setup e:

--> habilitar o iptables;

--> desabilitar o ipchains.

Se a distribuição utilizada não possuir o comando #setup, utilize o comando #rmmod ipchains. Cabe ressaltar que o iptables terá os seus módulos básicos carregados quando for utilizado pela primeira vez.

Como funciona um filtro de pacotes?

O FILTRO DE PACOTES do Linux funciona mediante regras estabelecidas. Todos os pacotes entram no kernel para serem analisados. As CHAINS (correntes) são as situações possíveis dentro do kernel. Quando um pacote entra no kernel, este verifica o destino do pacote e decide qual chain irá tratar do pacote. Isso se chama roteamento interno. Os tipos de chains irão depender da tabela que estaremos utilizando no momento. Existem 3 tabelas possíveis:

--> filter: é a tabela default. Quando não especificarmos a tabela, a filter será utilizada. Refere-se às atividades normais de tráfego de dados, sem a ocorrência de NAT. Admite as chains INPUT, OUTPUT e FORWARD.

--> nat: utilizada quando há NAT. Exemplo: passagem de dados de uma rede privada para a Internet. Admite as chains PREROUTING, OUTPUT e POSTROUTING.

--> mangle: basicamente, trabalha com marcação de pacotes e QoS. Neste tutorial, não trataremos dessa tabela.

O Iptables é stateful, ou seja, trabalha com os estados das conexões. O ipfwadm e o ipchais são stateless.

Créditos:

João Eriberto Mota Filho
www.eriberto.pro.br/iptables

IPTABLES

2008-05-16T12:02:00.000-03:00

FIREWALL COM IPTABLES

1. IP FORWARD

Considerações iniciais

O IP FORWARD é um tipo de roteamento. É estabelecido quando colocamos uma máquina entre dois ou mais segmentos de rede, permitindo a livre passagem de pacotes entre estes sempre que for necessário. É importante ressaltar que o roteamento só irá funcionar quando for feito entre REDES DIFERENTES. Não se pode colocar um roteador entre dois segmentos de rede iguais. Esse procedimentonão serve apenas para estabelecer a comutação de segmentos. Ele também é útil para diminuir o tráfego na rede como um todo, pois só deixa o pacote mudar de segmento se isso for realmente necessário.

Veja a figura a seguir:

Para fazer o IP FORWARD, o micro roteador deverá possuir uma placa de rede com endereço IP pertencente a cada segmento. Também deveremos informar, em cada máquina de cada seguimento, quem será o micro responsável pelo roteamento. O nome técnico desse micro é gateway.

No caso do esquema anterior, temos as seguintes situações:

* Gateway para 10.0.0.1, 10.0.0.2 e 10.0.0.3: a máquina 10.0.0.10

* Gateway para 172.20.0.1, 172.20.0.2 e 172.20.0.3: a máquina 172.20.0.10

É importante que, nos dois lados, todos os micros saibam quem é o seu gateway pois, do contrário, os hosts não saberão para onde enviar os pacotes destinados à rede oposta. Exemplo:

A máquina 10.0.0.1 sabe que 10.0.0.10 é o seu gateway. A máquina 172.20.0.1 não sabe quem é o seu gateway. Um ping de 10.0.0.1 para 172.20.0.1 sairá de 10.0.0.1, passará por 10.0.0.10, seguirá por 172.20.0.10 e chegará em 172.20.0.1. Como 172.20.0.1 não sabe quem é o seu gateway para a rede 10.0.0.0, não conseguirá responder. O ping vai morrer por timeout. Houve o icmp echo request mas será impossível gerar o icmp echo reply.

Fazendo o IP FORWARD

Para estabelecermos o IP FORWARD entre dois segmentos de rede, basta:

* inserir um micro com duas placas de rede entre os segmentos de rede, configurando-as corretamente;

* definir, em cada máquina, de cada segmento, quem é o seu gateway;

* ativar o IP FORWARD via kernel.

O estabelecimento de IP FORWARD entre mais de dois segmentos de rede segue o mesmo princípio, bastando acrescer quantas placas de rede forem necessárias no gateway. Também é possível utilizar placas de fax-modem em conjunto com placas de rede.

Definindo o gateway

Para definirmos o gateway em cada cliente, devemos:

--> No Linux Red Hat/Fedora

Editar o arquivo /etc/sysconfig/network e inserir a linha:

GATEWAY=ip_do_gateway

Em seguida, devemos reiniciar a rede:

#/etc/rc.d/init.d/network restart

--> No Linux Slackware

Editar o arquivo /etc/rc.d/rc.inet1.conf e configurar a linha:

GATEWAY="ip_do_gateway"

Em seguida, devemos reiniciar a rede:

#/etc/rc.d/rc.inet1 restart

--> No Linux Debian

Editar o arquivo /etc/network/interfaces e inserir a linha:

gateway ip_do_gateway

Em seguida, devemos reiniciar a rede:

#/etc/init.d/networking restart

--> No Windows 9x

Nas Propriedades do protocolo TCP/IP, há uma seção gateway. Basta inserir o IP do gateway nessa seção. Exemplo:

--> No Windows XP

Nas Propriedades do protocolo TCP/IP, há uma entrada gateway. Basta inserir o IP do gateway. Exemplo:

--> Outras versões de Windows

Em outras versões de Windows, o procedimento é similar.

Ativando o roteamento via kernel no Linux

O roteamento via kernel será ativado com o comando:

#echo 1 > /proc/sys/net/ipv4/ip_forward

Esse roteamento será perdido se a rede (e, em conseqüência, a máquina) for reinicializada (#/etc/rc.d/init.d/network restart).

Poderíamos inserir a regra no fim do arquivo /etc/rc.d/rc.local, para que a mesma seja ativada a cada reinicialização do sistema. No entanto, um reinício da rede mataria o roteamento novamente.

No Red Hat, uma forma de deixar a regra de roteamento permanentemente ativada, resistindo a qualquer tipo de reinicialização, seria a alteração do arquivo /etc/sysctl.conf:

net.ipv4.ip_forward = 1

Já no Debian, a linha a seguir deve ser inserida no arquivo /etc/sysctl.conf:

net/ipv4/ip_forward=1

Teste do roteamento

O teste do roteamento pode ser feito por intermédio do comando ping. Basta "pingar" uma máquina que esteja após o roteador.

Caso não haja resposta, faça um teste progressivo para tentar deduzir o problema:

--> pingue a placa do roteador que esteja dentro do seu segmento de rede;

--> pingue a placa do roteador que esteja no outro segmento;

--> pingue outra máquina do outro segmento.

O programa IPTRAF poderá ajudar a debugar a conexão. Execute a opção "IP traffic monitor" do citado programa na máquina roteadora e verifique se o ICMP echo request está saindo e se o ICMP echo reply está voltando. Se não voltar, o problema estará no segmento de destino do ping.

Créditos:
João Eriberto Mota Filho
http://www.eriberto.pro.br/iptables/

HTB-Tools: exemplos práticos de configuração

2008-05-16T11:59:00.000-03:00

O HTB-Tools é uma excelente ferramenta de auxílio na configuração do HTB (Hierarchical Token Bucket) para limitação de uso de banda. Como o primeiro artigo sobre o HTB-Tools explicando o uso da ferramenta gerou muitas consultas e dúvidas dos leitores resolvi escrever uma pequena complementação. Agora vou dar exemplos mais concretos de configurações específicas de uso cotidiano.

SE VOCÊ NÃO SABE O QUE É HTB OU HTB-TOOLS LEIA O PRIMEIRO ARTIGO ANTES!

OS EXEMPLOS A BAIXO SÃO MERAMENTE ILUSTRATIVOS!

1. Download e Upload com taxas diferentes

Partindo do exemplo do próprio artigo vamos supor que os cliente deveriam ter a mesma taxa de download do exemplo, mas que o upload seria limitado à metade ou seja 96kbps e 128kbps para upload, garantidos e máximo,repectivamente.

Supondo que a sua interface LAN seja a mesma eth0 vamos controlar o upload/download criando o arquivo /etc/htb/eth0-qos.cfg com o seguinte conteúdo:

class Wireless {

            bandwidth 480;
            limit 512;
            burst 2;
            priority 1;

            client cliente_1down {
                bandwidth 192;
                limit 256;
                burst 2;
                priority 1;
                   dst {
                      192.168.1.2/24;
                   };
             };

             client cliente_1up {
                bandwidth 96;
                limit 128;
                burst 2;
                priority 1;
                   src {
                      192.168.1.2/24;
                   };
             };

             client cliente_2down {
                bandwidth 192;
                limit 256;
                burst 2;
                priority 1;
                   dst {
                      192.168.2.2/24;
                   };
            };

            client cliente_2up {
                bandwidth 96;
                limit 128;
                burst 2;
                priority 1;
                   src {
                      192.168.1.2/24;
                   };
             };

    };
class default {  bandwidth 8;};

Entendendo: Para o cliente_1 quando o tráfego se destinar (dst) a ele a taxa será de no máximo 256kbps, porém qualquer tráfego que se originar (src) do cliente_1 será limitado à 128kbps, ou seja o cliente_1 não vai conseguir enviar nenhum pacote a mais de 128kbps (taxa de upload). O mesmo vale para o cliente_2 que poderia estar limitado à outras taxas de forma independente. Por fim, a classe default destina 8kbps para todo o resto do tráfego não contemplado nas classes anteriores.

2. Compartilhando conexão a uma taxa fixa

Um caso comum que pode ocorrer é você ter uma boa conexão e um cliente quer um link mais dedicado com servidor próprio. Supondo que você tenha um link de 1Mbps e o cliente contrate 360kbps que deve ser compartilhados através de um servidor próprio do cliente (qualquer pentium 100 já serve). Vamos considerar que a interface WAN seja a eth1 e a LAN a eth0. Na LAN não será preciso nenhuma limitação, contudo para a interface WAN (eth1) criamos o seguinte arquivo de configuração - /etc/htb/eth1-qos.cfg :

class eth1-WAN {
      bandwidth 100000;
      limit 100000;
      burst 64;
      priority 1;
      client WAN {
              bandwidth 100000;
              limit 100000;
              burst 64;
              priority 1;
              dst {
                      X.X.X.X/X; # ip/máscara da sua rede WAN
              };
              src {
                     X.X.X.X/X; # ip/máscara da sua rede WAN
              };
     };

};

class eth1-WAN-cliente {
      bandwidth 360;
      limit 360;
      burst 8;
      priority 1;
      client DEDICADO_1 {
              bandwidth 360;
              limit 360;
              burst 8;
              priority 1;
              src {
                      0.0.0.0/0;
              };
              dst {
                      0.0.0.0/0;
              };
     };

};
class default { bandwidth 8; };

Entendendo: Dentro do arquivo eth1-qos.cfg temos duas classes especiais: eth1-WAN (client WAN) e eth1-WAN-cliente (client DEDICADO_1). A classe eth1-WAN estipula um limite de 100.000 kbps para tráfego para a sua própria rede (src e dst). A outra classe eth1-WAN-cliente vai limitar o tráfego para o "mundo externo" em 360kbps tanto para download (dst) quanto para upload (src). O que deve ser observado é que a classe eth1-WAN dá prioridade e libera a sua rede WAN para qualquer velocidade de tráfego enquanto a classe eth1-WAN-cliente limite todo o resto à 360kbps. O problema ocorre quando na LAN você tem diversos clientes concorrentes entre si pelos 360kpbs e ainda . Este caso é tratado em seguida.

3. Limitando apenas as conexões para a Internet

Uma caso muito frequente é quanto temos um gateway em nossa rede que além de compartilhar a Internet fornece aos usuários de nossa WAN/LAN outros serviços como servidor de arquivo, ftp, etc. Se limitarmos o tráfego de acordo com o primeiro exemplo conseguimos controlar o uso do link da Internet, contudo todos os outros serviços fornecidos pelo gateway também serão "estrangulados", tornado o uso da rede insuportável! O que fazer então? O segundo exemplo consegue resolver em parte nosso problema pois limita o tráfego globalmente apenas para conexões externas (WAN) e as conexões da LAN fluirão livremente. Mas por outro lado se tivermos qualquer serviço rodando pelo lado externo / WAN e que deve ser utilizado a partir de outra rede externa será limitado à 360kbps. Para resolver este problema existe duas alternativas: 1ª incluir as redes de onde serão acessados os serviços no "client WAN" da classe eth1-WAN (exemplo 2) ou 2ª limitar o tráfego apartir da interface da LAN (eth0), sem limitar o tráfego interno. A primeira alternativa pode se tornar um pouco inconveniente se os clientes/usuários externos acessarem de redes diversas. A segunda solução é a mais usual para a maioria dos casos. Então vamos deixar a WAN (eth1) com o tráfego liberado e faremos o controle de banda pela LAN (eth0), devemos criar o seguite arquivo /etc/htb/eth0-qos.cfg:

class eth0-LAN {
      bandwidth 100000;
      limit 100000;
      burst 32;
      priority 1;
      client LAN-LAN {
              bandwidth 100000;
              limit 100000;
              burst 32;
              priority 1;
              src {
                      X.X.X.X/X; # ip/máscara da sua rede WAN
                      192.168.0.0/24; # ip/máscara da sua rede LAN
              };
              dst {
                      X.X.X.X/X; # ip/máscara da sua rede WAN
                      192.168.0.0/24; # ip/máscara da sua rede LAN
              };
     };

     client LAN0-WAN {
              bandwidth 360;
              limit 360;
              burst 8;
              priority 1;
              dst {
                      0.0.0.0/0;
              };
              src {
                      0.0.0.0/0;
              };
     };

};

class default { bandwidth 8; };

Entendendo: Sempre que o destino ou a origem do tráfego for a nossa própria rede teremos uma taxa de 100.000kbps. Para todos os outros destinos e origens (0.0.0.0/0) estaremos limitando o tráfego à 360kbps.

4. Conclusão

A dupla HTB e HTB-Tools fazem a alegria de qualquer administrador de redes! @;)

Créditos:
wandersonsreis (a) gmail.com
http://www.wasare.net/home/node/17

Controle de Banda Descomplicado com HTB-Tools

2008-05-16T11:57:00.000-03:00

O HTB (Hierarchical Token Bucket) é uma boa alternativa em
substituição ao CBQ (Class Based Queueing) pois este é mais preciso e
fácil de utilizar com o auxilio da excelente ferramenta HTB-Tools.

1. Introdução

O HTB (Hierarchical Token Bucket) é uma boa alternativa em
substituição ao CBQ (Class Based Queueing) pois este é mais preciso e
fácil de utilizar (será? Para mim foi). A diferença para o CBQ é que
ele aloca banda para uma ou mais classes ("links virtuais") e toma
emprestada temporariamente a banda de outra classe que não esteja sendo
utilizada completamente. Ainda diferentemente do CBQ você pode alocar
diversos clientes em uma mesma classe.

Para utilizar o HTB você precisa de um kernel maior ou igual 2.4.20
e da ferramenta tc (Traffic Control) incluída no pacote iproute2 sendo
requerido o pacote iproute2 >= 2.6.10-ss050124. Eu utilizei apenas o
Slackware 10.2 (kernel 2.4.31 ou kernel 2.6.13) com o pacote
iproute2-2.6.11_050330 (série n do slackware) instalado.

Para configurarmos o HTB temos basicamente três alternativas: Criar
um script com todos os comandos (se você souber quais é claro);
Utilizar o utilitário htb.init script semelhante ao cbq.init e que
demanda uma série de configurações, bem familiar para quem já utiliza o CBQ ou utilizar a ferramenta HTB Tools. Como eu quero simplificar e não tenho experiência com o CBQ optei pelo HTB Tools criada dentro da filosofia do Slackware.

2. Instalação

Faça o download do HTB-tools-0.2.7.tar.gz em:

http://htb-tools.arny.ro/download.php

Caso não goste de instalar manualmente e queira pular para a
configuração baixe o pacote no formato .tgz no mesmo link acima ou
em:

http://www.linuxpackages.net/pkg_details.php?id=8121

Descompacte o pacote com os fontes e execute:

root@ice:~# cd  HTB-tools-0.2.7 ; make ; make install

Para completar a instalação, execute os seguintes comandos:

root@ice:~/HTB-tools-0.2.7# mkdir -p /etc/htb
root@ice:~/HTB-tools-0.2.7# cp sys/scripts/rc.htb /etc/rc.d/rc.htb
root@ice:~/HTB-tools-0.2.7# cp sys/cfg/eth0-qos.cfg /etc/htb/eth0-qos.cfg
root@ice:~/HTB-tools-0.2.7# cp sys/cfg/eth1-qos.cfg /etc/htb/eth1-qos.cfg

Acima copiamos os arquivos de configuração de exemplo para as
interfaces eth0 e eth1 e o script de inicialização rc.htb.

Para o formato .tgz , execute apenas:

root@ice:~# installpkg HTB-tools-0.2.7-i486-1wsa.tgz

3. Configuração

Instalado o HTB Tools seu Slackware terá os executáveis:

q_parser - lê o arquivo de configuração onde os clientes, as
classes, e a banda alocada é definida e gera um script conforme as
configurações estabelecidas;
q_show - exibe em tempo real a banda usada/alocada para cada
classe/cliente de acordo com a configuração;
q_checkcfg - verifica a sintaxe do arquivo de configuração;
htb - script que executa rotinas com os binários q_show,
q_parser, q_checkcfg;
htbgen - utilitário para gerar arquivos de configuração para
redes classes C.

Os arquivos de configuração ficam em /etc/htb. Utilizando o HTB
Tools conseguimos simplificar bastante a configuração e monitoramento
de alocação de banda tanto para upload como para download.

A grande sacada do criador do HTB Tools foi definir uma configuração
semelhante a do arquivo named.conf (quem nunca deu uma espiada?).

Vamos ao exemplo: você possue um link de 512kbps compartilhado entre
dois clientes , teoricamente cada um deveria ter 256kbps garantidos
(QOS), contudo você deixou a coisa frouxa e um dos clientes começa a
reclamar que o link está muito lento e que não consegue realizar
transações importantes. Não precisa dizer mais nada, o outro cliente
está "abusando" do link. A culpa não é dele, pois você deixou, não é
mesmo? Para resolver este problema vamos de fato distribuir o link da
seguinte forma: cada cliente terá 192kbps garantidos e no máximo 256kbps
para upload/download.

Supondo que a sua interface LAN seja a eth0 vamos controlar o
upload/download criando o arquivo /etc/htb/eth0-qos.cfg com o seguinte
conteúdo:

class Wireless {

             bandwidth 480;
             limit 512;
             burst 2;
             priority 1;

             client cliente_1 {
                 bandwidth 192;
                 limit 256;
                 burst 2;
                 priority 1;
                    src {
                       192.168.1.2/24;
                    };
                    dst {
                       192.168.1.2/24;
                    };
                };

             client cliente_2 {
                 bandwidth 192;
                 limit 256;
                 burst 2;
                 priority 1;
                    src {
                       192.168.2.2/24;
                    };
                    dst {
                       192.168.2.2/24;
                    };
                };


     };

class default {
       bandwidth 8;
};

Como podemos observar a configuração é auto explicativa. Mas para
não deixar dúvidas podemos observar que o src, como devemos suspeitar,
é o source ou seja a origem do tráfego, por tando estamos limitando a
saída (upload). No caso da diretiva dst controlamos o destino ou seja a
entrada (download). A estrutura básica pode ser resumida em uma classe
principal que é subdividida dentro de outras classes secundárias.
Quando existe mais de uma classe principal estas não compartilham banda
entre elas. As classes secundárias (clientes) podem compartilhar banda
entre elas de acordo com a configuração (limit maior). Cada classe
principal possue uma ou mais classes secundárias (clientes). A classe
especial default especifica uma banda para os outros clientes/tráfegos
que não estejam contemplados na configuração. A taxa de transferência e
dada em kbit por segundo(kpbs).

Para controlar o download/upload na eth1 basta criar um arquivo
semelhante ao /etc/htb/eth0-qos.cfg em /etc/htb/eth1-qos.cfg supondo
que a sua interface eth1 seja da outra LAN ou a própria WAN. Em
/etc/htb/eth1-qos.cfg crie a classe principal e as classes clientes
conforme as necessidades.

Em configurações mais complexas você pode especificar diversos IP's
ou redes (rede/máscara) dentro de uma mesma classe secundária entre as
chaves do src ou dst, sempre um(a) por linha e finalizado por um
ponto-e-vírgula. Agora caso você queira limitar a banda para um serviço
específico por exemplo ftp ou http dê um espaço e coloque a porta do
serviço (em src ou dst), assim :

...
dst {

     192.168.3.0/24 21;
     192.168.4.0/24 80;

};
...

Atenção: cuidado ao criar as classes pois estará limitando
todo o tráfego para aquele cliente/ip para todos os protocolos. Combine
várias classes e configurações até chegar ao controle ideal.

Antes de ativar o controle de banda é recomendável verificar a
sintaxe da configuração:

root@ice:~# q_checkcfg  /etc/htb/eth0-qos.cfg
root@ice:~# q_checkcfg  /etc/htb/eth1-qos.cfg

4. Ativando o HTB

Para facilitar as coisas tornamos o rc.htb executável:

root@ice:~# chmod +x /etc/rc.d/rc.htb

Com este script não precisamos executar diretamente os binários do
HTB Tools. Para ativarmos o htb para a eth0 executarmos dentro de
/etc/rc.d:

root@ice:/etc/rc.d# ./rc.htb start_eth0

Faça o mesmo para eth1 obviamente fazendo a substituição necessária
de eth0 por eth1. Caso possua mais de duas interfaces altere o rc.htb
de acordo com suas necessidades. Estando tudo correto vamos cuidar para
que o HTB seja ativado a cada boot, acrescentando os comandos acima no
rc.local ou em outro script de inicialização de sua preferência.
Exemplo:

root@ice:/etc/rc.d# echo "/etc/rc.d/rc.htb start_eth0" >> /etc/rc.d/rc.local
root@ice:/etc/rc.d# echo "/etc/rc.d/rc.htb start_eth1" >> /etc/rc.d/rc.local

5. Monitorando o Controle de Banda

Iniciado o HTB, você pode monitorar o uso do link em tempo real,
para monitorar individualmente cada cliente fazendo upload ou download,
respectivamente, execute:

root@ice:/etc/rc.d# ./rc.htb show_eth0
root@ice:/etc/rc.d# ./rc.htb show_eth1

Dê uma olha no pacote HTB Tools e você ainda poderá lançar mão do
utilitário htbgen para gerar o arquivo de configuração via assistente e
terá uma forma de monitorar a utilização da banda pela web
(q_show.php). É mole ou que mais!

Espero que consigam descomplicar o controle de banda com HTB-Tools
assim como eu consegui.

Artigo publicado na SlackwareZine #9

Crédito:
wandersonsreis (a) gmail.com
http://www.wasare.net/home/node/2

Limitando banda com o CBQ

2008-05-16T11:51:00.000-03:00

Introdução

No Slackware é necessário fazer algumas modificações no script, mas no restante é a mesma coisa.

No Red Hat 7.1, por padrão o script já funciona.

No diretório /etc/sysconfig/cbq/ ficam as regras de limitação (classes).

O arquivo de regra funciona assim:

cada arquivo é uma regra;
o nome do arquivo segue o padrão cbq-XXXX.nomedaregra (cbq-0002.fulano), onde XXXX é o numero da regra simples, eu associo XXX ao número do ip do cliente, este número tem obrigatoriamente 4 dígitos, tem que ser 0002 ou maior e pode ser Hexadecimal;

Onde: "nomedaregra" é um nome na qual você possa associar a regra eu utilizo o login dos usuários.

Arquivo de exemplo cbq-0002.fulano_in64k:

DEVICE=eth0,10Mbit,1Mbit
RATE=64K
WEIGHT=6Kbit
PRIO=5
RULE=192.168.0.2
BOUNDED=yes
ISOLATED=yes

Arquivo de exemplo cbq-0002.fulano_out64k:

DEVICE=eth1,10Mbit,1Mbit
RATE=64K
WEIGHT=6Kbit
PRIO=5
RULE=192.168.0.2,
BOUNDED=yes
ISOLATED=yes

Onde:

DEVICE="nome da interface que vai para o cliente","banda","banda/10"
RATE="velocidade"
WEITH="velocidade/10"
PRIO="prioridade (5 é um valor excelente)"
RULE="ip ou rede a ser controlado"

Exemplos :

192.168.0.2 controla o ip
192.168.0.0/24 controla a rede
192.168.0.2:80 controla o ip utilizando a porta 80
192.168.0.0/24:80

Qualquer destas opções seguidos de "," ex. 192.168.0.2, controla o tráfego de saída da sua rede (upload), sendo importante lembrar que todo tráfego de saída deve ser controlado na interface oposta do cliente.

BOUNDED=yes/no se setado para yes o usuário estará limitado mesmo que o link esteja com folga.

ISOLATED=yes/no se setado para yes indica que o cliente não poderá emprestar banda pra ninguém.

Apesar de não utilizar, vou comentar sobre a opção TIME. Esta opção serve para limitar o acesso em horários predeterminados.

Exemplo:

TIME="hora inicial"-"hora final";"velocidade"/"velocidade/10"

Exemplo prático:

TIME=18:00-06:00;256Kbit/25Kbit

Opções do Kernel necessárias para o funcionamento do CBQ:

Code Matury Level Options --->
 [*] Prompt for development and/or incomplete code/drivers

Networking Options --->
 <*> Packet socket
 [*] Routing Messages
 <*> Unix domain sockets
 [*] TCP/IP networking
 [*] IP advanced router
 [*] IP Policy routing
 [*] IP equal cost multipath
 [*] IP use TOS value as route key
 [*] IP verbose route monitoring
 [*] IP large routing tables
 [*] IP fast network address translation
 [*] optimize as houte not host

QoS and/or fair queueing --->
 [*] QoS and/or fair queueing
  CBQ packet sheduler
  CSZ packet sheduler
  The simplest PRIO pseudosheduler
  RED queue
  SFQ queue
  TEQL queue
  TBF queue
 [*] QoS support
 [*] Rate estimator
 [*] Packet classifier API
  Routing table based classifier
  Firewall based classifier
  U32 classifier
  Special RSVP classifier
  Special RSVP classifier for IPv6
 [*] Ingress traffic policing

OBS: o RedHat 7.1 por default já vem preparado para o CBQ.

Segue abaixo o link para o script de inicialização:

Limitando largura de banda com o CBQ

Créditos:
Romulo
http://www.vivaolinux.com.br/artigos/verArtigo.php?codigo=367

Controle de Banda com CBQ

2008-05-16T11:41:00.000-03:00

Controle de Banda com CBQ - (Class Based Queueing)

1.0 - Introdução:

Há algum tempo venho notando a falta de documentação, principalmente em Português, que aborde a configuração básica de controle de banda numa Linux Box.

Este artigo pretende demonstrar alguns conceitos sobre o controle de banda e uma configuração básica do CBQ.

Obs: A distribuição usada foi um Slackware 8.0 Kernel 2.4.7

1.1 - Considerações iniciais:

A grande vantagem do CBQ sobre outros, (traffic Shaper ), é permitir o controle não só do tráfego de downstream ( trafego de entrada ), bem como o upstream ( trafego de saída ). Isto é muito importante principalmente hoje onde temos conexões DSL ( Digital Subscriber Line ), sendo instaladas Comumente em prédios e compartilhada entre vários computadores. Note que com raras exceções, uma das características da tecnologia DSL é ter uma diferença entre as taxas de transferência para o trafego que entra e o trafego que sai da sua máquina. Comumente o trafego de entrada é superior já que o fluxo de dados tende a ser maior no sentido servidor-cliente. Já no caso do trafego de saída, ele tende a ser apenas texto. Portanto no caso de prédios ou locais onde temos vários computadores compartilhando o mesmo link é recomendável limitar também o tráfego de saída, agora, suponhamos que numa destas máquinas seja instalado um serviço ftp, facilmente ele poderia ocupar todo o upstream e fatalmente acabaria por comprometer o uso da rede pelas outras estações ! O CBQ também possibilita controlar o trafego sobre um determinado ip e não somente por interface como o traffic shaper faz.

O CBQ apresenta outros recursos, alguns que valem citar:

controle sobre a banda excedente

possibilidade de criação e utilização de classes.

junto ao firewall: para proteção contra Ataques D.O.S. ( Denial-Of-Service ) *

* não tratado neste artigo.

1.2 - Arquivos Necessários:

Antes de iniciarmos a configuração de nossa Box, alguns arquivos que serão necessários:

cbq.ini ( ftp.equinox.gu.net/pub/linux/cbq/ )

kernel-2.4.7 (http://www.kernel.org/pub/linux/kernel/v2.4/linux-2.4.7.tar.gz ) ou (ftp://ftp.inr.ac.ru/ip-routing/ )

iproute2 (ftp://ftp.linuxmafia.org/pub/Slackware-8/robert/iproute2-2.4.7 ) ou ( www.linuxmafia.org ) existe um search para os pacotes do slackware ( ..tgz )

2.0 - Instalando o Cbq.ini, Iproute2 e Configurando seu Kernel:

Crie um diretório onde serão colocados os arquivos de configuração para o CBQ, geralmente dentro do /etc. Aqui eu criei o diretório /etc/cbq.

Edite o script cbq.ini e procure pela linha: CBQ_PATH="/etc/sysconfig/cbq" substitua o que esta dentro das aspas pelo caminho completo até o diretório que você acabou de criar. Ex: CBQ_PATH="/etc/cbq". Salve e faça uma copia do arquivo para o diretório /sbin. Caso queira você poderá renomear o arquivo apenas para "cbq", o que irá facilitar na hora de digitar algum comando : )

Lembre-se de verificar as permissões para o script que você acabou de copiar , ele deve ser executável.

Verifique se sua distribuição já não possui o pacote iproute2 previamente instalado.

Caso sua distribuição seja o Slackware, é provável que não esteja instalado. Para instalar o pacote no Slackware 8, apenas digite installpkg iproute2-2.4.7.tgz. Feito isto digite apenas ip ... deve aparecer algo na tela tipo:

# ip Usage: ip [ OPTIONS ] OBJECT { COMMAND | help } where  OBJECT := { link | addr | route | rule | neigh | tunnel |                    maddr | mroute | monitor }              OPTIONS := { -V[ersion] | -s[tatistics] |               -r[esolve] | -f[amily] { inet | inet6 | ipx | dnet | link } |               -o[neline] }

Caso você use outra distribuição e esta não venha com o iproute2 instalado, procure pelos pacotes do iproute2 ou obtenha os fontes no ftp do projeto: ( ftp://ftp.inr.ac.ru/ip-routing/ ), no caso de optar pelos fontes, lembre-se de ler o README antes de compilar !

2.1 - Configurando o Kernel

No exemplo abaixo, foram colocadas apenas as opções referentes ao QOS / CBQ e NETFILTER / IPTABLES, estas são as opções que geralmente eu utilizo. Você provavelmente terá que adicionar mais alguma coisa, mas isto fica a seu critério.

[*]Prompt for development and/or incomplete code/drivers (*) Packet socket [*] Kernel/User netlink socket [*] Routing messages [*] Network packet filtering (replaces ipchains) [*] Socket Filtering (*)Unix domain sockets [*] UCP/IP networking [*] IP: multicasting [*] IP: advanced router [*] IP: policy routing (NEW) [*] IP: use netfilter MARK value as routing key (NEW) [*] IP: equal cost multipath (NEW) [*] IP: use TOS value as routing key (NEW) [*] IP: verbose route monitoring (NEW) [*] IP: large routing tables (NEW) [*] IP: TCP syncookie support (disabled per default) IP: Netfilter Configuration  ---)  (*) Connection tracking (required for masq/NAT)  (*) FTP protocol support  (*) IP tables support (required for filtering/masq/NAT)  (*) limit match support  (*) MAC address match support  (*) netfilter MARK match support  (*) Multiple port match support  (*) TOS match support  (*) tcpmss match support  (*) Connection state match support  (*) Packet filtering  (*) REJECT target support  (*) Full NAT  (*) MASQUERADE target support  (*) REDIRECT target support  (*) Packet mangling  (*) TOS target support  (*) MARK target support --- QoS and/or fair queueing  ---) [*] QoS and/or fair queueing  (M) CBQ packet scheduler (NEW)  (M) CSZ packet scheduler (NEW)  (M) The simplest PRIO pseudoscheduler (NEW)  (M) RED queue (NEW)  (M) SFQ queue (NEW)  (M) TEQL queue (NEW)  (M) TBF queue (NEW)  (M) GRED queue (NEW)  (M) Diffserv field marker (NEW)  (M) Ingress Qdisc (NEW)  [*] QoS support (NEW)  [*] Rate estimator (NEW)  [*] Packet classifier API (NEW)  (M) TC index classifier (NEW)  (M) Routing table based classifier (NEW)  (M) Firewall based classifier (NEW)  (M) U32 classifier (NEW)  (M) Special RSVP classifier (NEW)  (M) Special RSVP classifier for IPv6 (NEW)  [*] Traffic policing (needed for in/egress) (NEW)

Compile, instale o novo kernel e reinicie seu sistema !

3.0 - Configurando o CBQ:

O CBQ trabalha com arquivos de configuração encontrados no diretório definido pela variável $CBQ_PATH, sendo que cada arquivo contém uma regra

O arquivo de configuração deve obedecer o formato pré-definido: cbq-(clsid).(nome)

onde: (clsid) é um número hexadecimal de dois-bytes na escala ( 0002-FFFF ), que forma uma classe ID de CBQ e (nome) é o nome do shaper - ( pode ser qualquer texto )

Em casos em que temos poucos arquivos de configuração, você pode definir o (clsid) como a velocidade do shaper Ex. 64k, cbq-0064.backbone-cliente; 512k, cbq-0512.backbone-cliente

Cada arquivo de configuração deve conter os parâmetros(obrigatórios) :

DEVICE=(int-nome),(banda),(peso) RATE=(velocidade) WEITH=(peso/10) PRIO=(prioridade) RULE=(ip ou rede a ser controlada)

Parâmetro DEVICE ( obrigatório )

DEVICE=(int-nome),(banda),(peso) ex: DEVICE=eth0,10Mbit,1Mbit

(int-nome) é o nome da interface a ser controlada ex: eth0, eth1, lo, ppp0, wvlan0

(banda) é a velocidade do dispositivo. ex: ethernet 10Mbit ou 100Mbit

(peso) é um parâmetro de ajuste que deve ser proporcional a (banda). Como regra teremos que: (peso) = (banda) / 10

Quando houver mais classes não mesma interface, só é necessário especificar o parâmetro (banda) e (peso) uma única vez, conseqüentemente em outros arquivos você poderá ter somente o DEVICE=(nome)

Parâmetro RATE ( obrigatório )

RATE=(velocidade) ex: RATE=5Mbit

Banda alocada para a classe - limitando a velocidade do shaper. podemos usar: Kbit, Mbit ou bps, Kbps, Mbps como sufixos.

Parâmetro WEIGHT ( obrigatório )

WEIGHT=(peso/10) ex: WEIGHT=500Kbit

parâmetro de ajuste que deve ser proporcional a (banda). Como regra teremos que: (peso) = (banda) / 10

parâmetro PRIO ( obrigatório )

PRIO=(1-8) ex: PRIO=5

Prioridade do tráfego para a classe. Quanto mais elevado o número, menor a prioridade. A prioridade 5 é um valor excelente.

parâmetro RULE

RULE=[[saddr[/prefix]][:port],][daddr[/prefix]][:port]

Os parâmetros acima fazem que o filtro u32 controlem o tráfego para cada uma das classes. Você pode usar múltiplos compôs de regras por arquivo de configuração.

Exemplos:

RULE=10.1.1.0/24:80

controla o tráfego de rede que passa através da porta 80 na rede 10.1.1.0

RULE=10.2.2.5

controla o tráfego de rede que passa através de qualquer porta ou do host 10.2.2.5

RULE=:25,10.2.2.128/26:5000

controla o trafego vindo de qualquer origem, com destino entre a porta 50 a porta 5000 na rede 10.2.2.128

RULE=10.5.5.5:80,

controla o tráfego vindo da porta 80 do host 10.5.5.5

Uma virgula "," colocada após qualquer uma destas regras irá controlar o trafego de saída da rede (upstream). Tome cuidado para adicionar a "," na interface de rede correta.

parâmetro TIME

Este parâmetro limita o acesso em horários predeterminados

TIME=(hora inicial)-(hora final);(velocidade)/(velocidade/10)

ex. TIME=18:00-06:00;256Kbit/25Kbit

Outros parâmetros

BOUNDED=yes/no

se definido como "yes" o shaper será mantido mesmo que haja banda excedente

ISOLATED=yes/no

se definido como "yes" a banda excedente não será compartilhada

4.0 - Exemplos de arquivos de configuração:

Observe o exemplo abaixo:

DEVICE=eth0,10Mbit,1Mbit RATE=128Kbit WEIGHT=10Kbit PRIO=5 RULE=192.128.1.0/24

Esta configuração diz, que o tráfego na interface eth0 de 10Mbit através da rede 192.168.1.0 será processado com a prioridade 5 e uma taxa de shapping de 128kbit. Note que desta forma somente o tráfego de saída (upstream) está sendo controlado.

Para controlar o tráfego nos dois sentidos, devemos configurar o CBQ para ambas interfaces.

Observe o exemplo:

                    +--------------+            192.168.1.1  BACKBONE -----eth0-|  linux box   |-eth1------*-[cliente]                     +--------------+

Imagine que você deseja controlar o tráfego que vem do backbone para o cliente a 28Kbit e o trafego que vai do cliente para o backbone a 128Kbit. Você terá que criar dois arquivos de configuração, um para a eth0 e outro para a eth1:

cbq-0028.backbone-client ------------------------------------------------ DEVICE=eth1,10Mbit,1Mbit RATE=28Kbit WEIGHT=2Kbit PRIO=5 RULE=192.168.1.0/24 ------------------------------------------------

cbq-0128.client-backbone ------------------------------------------------ DEVICE=eth0,10Mbit,1Mbit RATE=128Kbit WEIGHT=10Kbit PRIO=5 RULE=200.1.1.1, -------------------------------------------------------------------------

5.0 - Testando:

No prompt de comando, digite:

cbq

Uma pequena lista de comandos irá aparecer na tela:

cbq Usage:  cbq {start|stop|restart|timecheck|list|stats}

Digitando cbq start, os arquivos de configuração serão carregados, neste momento sua rede já deve estar sofrendo a ação do shaper.

Para testar, basta mudar os parâmetros de configuração e digitar: cbq restart, isto forçara a reinicialização do cbq e as novas configurações serão lidas. Coloque velocidades da ordem de 1kbit, e você verá como fica realmente lento ( hahahahahah ), mas falando sério isto irá demonstrar que o cbq realmente está atuando :)

Teste os demais comandos do cbq, como cbq list e cbq stats.

Outra dica importante: para que o cbq seja carregado toda vez que a sua linux Box for inicializada, coloque o comando /sbin/cbq start no seu rc.local

6.0 - Finalizando

6.1 NAT: (Network Address Translation):

Nossa configuração já esta praticamente concluída, apenas devo lembrar que as estações ainda não poderão navegar na internet. Esta faltando uma coisinha chamada NAT. Não pretendo explicar neste artigo o que é, ou dar qualquer detalhamento sobre o assunto, contudo colocarei um exemplo de script que você deverá: ler, entender, e se achar que deve, rodar em seu rc.local. ( este script não foi feito por mim , peço desculpas ao autor, mas não lembro onde encontrei este exemplo)

echo "1" > /proc/sys/net/ipv4/ip_forward /sbin/modprobe iptable_nat /sbin/modprobe ip_conntrack /sbin/modprobe ip_conntrack_ftp /sbin/modprobe ip_tables /sbin/modprobe ipt_unclean /sbin/modprobe ipt_limit /sbin/modprobe ipt_LOG /sbin/modprobe ipt_REJECT /usr/sbin/iptables -F /usr/sbin/iptables -t nat -F /usr/sbin/iptables -P FORWARD DROP /usr/sbin/iptables -A INPUT -i lo -j ACCEPT /usr/sbin/iptables -A OUTPUT -o lo -j ACCEPT /usr/sbin/iptables -A FORWARD -s 192.168.1.0/24 -d 0/0 -j ACCEPT /usr/sbin/iptables -A FORWARD -s 0/0 -d 192.168.1.0/24 -mstate \                    --state ESTABLISHED,RELATED -j ACCEPT /usr/sbin/iptables -t nat -A POSTROUTING -s 192.168.1.0/24 \                    -d 0/0 -j MASQUERADE

Obs: troque o ip 192.168.1.0 para o ip de sua rede interna

Para maiores informações procure no www.google.com por: NAT, IPTABLES, NETFILTER, MASQUERADE

6.2 - DHCPD:

Para deixar a solução completa, provavelmente seria interessante você rodar um dhc server, para facilitar sua vida e de seus clientes. Então resolvi colocar também um exemplo de dhcpd.conf.

Para instalar: em sua linux Box, no diretório /etc, crie um arquivo chamado dhcpd.conf e cole o exemplo abaixo. Você deve editar o arquivo e substituir os ips como indicado abaixo.

#----------------------------------------------- default-lease-time 43200; max-lease-time 43200; option domain-name "nome-de-seu-servidor"; option domain-name-servers 192.168.1.1; subnet 192.168.1.0 netmask 255.255.255.0 {         range 192.168.1.50      192.168.1.250;         option routers          192.168.1.1;         option subnet-mask      255.255.255.0;         #option netbios-name-servers 192.168.1.1;         #option netbios-node-type 2; #-----------------------------------------------

onde:

default-lease-time 43200; max-lease-time 43200; option domain-name "nome-de-seu-servidor"; option domain-name-servers ip-do-seu-servidor-de-nomes; subnet 192.168.1.0 netmask 255.255.255.0 {         range 192.168.1.50      192.168.1.250;         option routers          192.168.1.1;         option subnet-mask      255.255.255.0;         #option netbios-name-servers 192.168.1.1;         #option netbios-node-type 2;

substitua o ip 192.168.1.0 pelo ip de sua rede interna !

Feito isto, coloque o seguinte comando em seu rc.local:

/usr/sbin/dhcpd (interface)

onde: (interface) é a interface de rede em que você deseja rodar o dhcp server.

para maiores informações e outros detalhes, no prompt, digite man dhcpd

Obs: ( Ip dinâmico )

Em casos onde temos o ip da interface de entrada sendo fornecido via dhcp, teremos que fazer com que o ip dentro do arquivo de configurção do cbq também seja alterado da mesma forma.

Para tanto criei um pequeno script usando os comando ifconfig e cut que deve resolver. Sei que a solução ficou muito "bonita", mas funciona : ). Caso alguém tenha alguma idéia melhor .... meu e-mail esta no final deste artigo !

Coloque estas linhas dentro de seu rc.local. Lembre-se de alterar o caminho e o nome em cada linha para corresponder ao path e o nome de seu arquivo de configuração do cbq. Verifique também o nome da interface de rede.

No meu caso ficou assim:

#!/bin/sh ip=`ifconfig eth0 | cut -dF -f1 | cut -d: -f2 | cut -dB -f1 -s` echo "DEVICE=eth0,10Mbit,1Mbit" > /etc/cbq/cbq-64.backbone-client echo "RATE=256Kbit" >> /etc/cbq/ cbq-64.backbone-client echo "WEIGHT=25Kbit" >> /etc/cbq/ cbq-64.backbone-client echo "PRIO=5" >> /etc/cbq/ cbq-64.backbone-client echo "RULE=$ip," >> /etc/cbq/ cbq-64.backbone-client /sbin/cbq start

NOTA1:

O autor deste artigo não possui nenhuma responsabilidade sobre qualquer problema ou danos que venham a ocorrer em seu computador ou sistema em função das informações contidas aqui.

O RISCO é inteiramente SEU.

As informações contidas neste artigo são baseadas em experiência própria e documentação coletada na rede ( os links estão em "referencias" ).

Note que nenhum aspecto de segurança foi abordado neste artigo, é seu o DEVER de zelar pela segurança de seu sistema!

NOTA2

Qualquer correção ou contribuição que você queira fazer, mande um e-mail para: fabrizio.flores@vant.com.br ou admin@arquivologia.ufsm.br. Sua contribuição será publicado e seu nome citado.

Referencias:

IPROUTE2 Utility Suite Howto: [ http://www.linuxgrill.com/iproute2.doc.html ]

Linux 2.4 Advanced Routing HOWTO: [ http://www.linuxhq.com/ldp/howto/Adv-Routing-HOWTO-11.html ]

Bandwidth Limiting Howto: [ http://www.linuxdoc.org/HOWTO/Bandwidth-Limiting-HOWTO/index.html ]

UnderLinux.com.br: [ http://www.underlinux.com.br/sections.php?op=viewarticle&artid=86 ]

cbq.ini e cbq.ini howto: [ ftp.equinox.gu.net/pub/linux/cbq/cbq.ini ]

Créditos
Autor: Fabrizio Flores (fabrizio.flores@vant.com.br)

http://br-linux.org/artigos/dicas_cbq.htm

Administrando o linux pela internet com o webmin

2008-05-16T11:39:00.000-03:00

administrando o linux pela internet com o webmin

Conheça o Webmin, uma ferramenta que permite que você controle o Linux pela Web

Configurar servidores Linux não precisa ser uma tarefa complicada. Embora os administradores tenham de conviver com uma série de serviços de nomes difíceis (como NFS, NIS, DNS e Sendmail), já existe um aplicativo capaz de tornar tudo isso mais simples. Trata-se do Webmin, um software que permite que você instale e configure todos esses recursos através de qualquer navegador Internet.

Para tornar este trabalho mais fácil, diversos programadores de todo o mundo se reuniram e criaram o Webmin. A idéia principal era concentrar a configuração dos serviços de rede em uma única aplicação, com uma interface gráfica amigável e rápida de utilizar. Para facilitar o acesso, esta ferramenta pode ser visualizada de qualquer navegador Web, como o Netscape ou o Internet Explorer. Isto utilizando ótimos recursos de segurança que mantêm os dados encriptados.

Nesta reportagem, você vai conferir como instalar e configurar o Webmin no seu computador e, é claro, conhecer alguns de seus recursos. Também irá aprender a criar um novo site virtual no Apache, um dos melhores servidores Web da atualidade, usando a interface do Webmin.

Instalando o Webmin

O Webmin pode ser instalado na maioria das distribuições Linux, como o Redhat, o Debian, o Slackware e o OpenLinux. Além disso, este software também é totalmente compatível com o Solaris da Sun e o AIX da IBM.

Durante este processo, você tem a opção de instalá-lo com ou sem suporte a SSL (Secure Socket Layer). É altamente recomendável ativar o suporte a SSL. Neste caso, todas as informações trocadas entre o navegador e o Webmin serão criptografadas, aumentando muito a segurança do sistema.

Para instalar o Webmin com suporte a SSL são necessários os seguintes pacotes:

Net_SSLeay.pm-1.05.tar.gz

openssl-0.9.4.tar.gz

Webmin-0.76.tar.gz

Todos estes pacotes podem ser baixados via Internet. O endereço é www.webmin.com.

O programa tem em torno de 1,3 MB e está disponível no formato .tar.gz. Após o download, copie os arquivos para o diretório /usr/local.

Além disso, você também deve ter instalado no Linux o gcc (compilador C) e o Perl 5 ou superior.

Para instalar o openssl, execute os seguintes comandos, como usuário root:

$ cd /usr/local

$ tar xvzf openssl-0.9.4.tar.gz

$ cd openssl-0.9.4

$ ./config

$ make

$ make test

$ make install

Por padrão, os binários do OpenSSL são instalados no diretório /usr/local/ssl. É interessante manter esta localização, pois outros programas que necessitam destes arquivos geralmente os procuram neste diretório.

Se o processo de instalação falhar, verifique se o compilador C está instalado, assim como o Perl. Verifique também se os mesmos encontram-se no seu PATH. Caso não estejam, inclua-os no PATH.

Após a instalação do OpenSSL, o próximo passo é instalar o Net::SSLeay. É ele que ficará responsável pela geração do certificado digital requerido para o site seguro do Webmin. Execute os seguintes comandos:

$ cd /usr/local

$ tar xzvf Net_SSLeay.pm-1.05.tar.gz

$ cd Net_SSLeay.pm-1.05

$ ./Makefile.PL -t

$ make install

Na compilação irão ocorrer três avisos (warnings). Mas não é necessário se preocupar. Com o Net::SSLeay instalado, podemos prosseguir com a instalação do Webmin com suporte SSL. Se você quiser mais informações sobre o SSL e Certificados Digitais, consulte a edição 31 da Revista PCMaster.

Finalmente, para instalar o Webmin, execute os seguintes comandos:

$ cd /usr/local

$ tar xzvf Webmin-0.76.tar.gz

$ cd Webmin-0.76

$ ./setup.sh

Você irá iniciar o script de inicialização do Webmin. Inicialmente o script vai perguntar a localização dos arquivos de configuração do Webmin. O lugar default é /etc/Webmin. Se você apertar a tecla enter, as opções padrão, que estão entre parênteses, serão assumidas. A seguir, o script pede o diretório onde serão escritos os arquivos de log. Neste caso, também recomendamos o diretório default: /var/webmin.

Como os módulos do Webmin estão escritos em Perl, o script perguntará onde o interpretador Perl está localizado. Sendo assim, informe o local correto onde o interpretador Perl se encontra.

O próximo passo é informar em qual sistema operacional o Webmin irá rodar. Escolha o sistema operacional que você está utilizando. Dependendo do caso, você pode ter que especificar a versão do sistema.

Agora você já está quase finalizando o processo de instalação. As próximas informações são relativas às configurações do Webmin:

Web server port (default 10000).

Login name (default admin)

Login password

Web server hostname (default localhost.localdomain)

Use SSL (y/n)

Start Webmin at boot time (y/n)

O primeiro passo é informar em qual porta TCP o Webmin irá esperar pela conexão dos navegadores. A porta padrão – e recomendada – é a 10000. Você também pode escolher o nome do usuário que terá acesso ao Webmin, assim como o password. No próximo item, em que você deve informar o servidor Web, entre com o nome da própria máquina.

Se você instalou o suporte a SSL, digite Y quando for perguntado se você quer usar SSL. Você pode escolher também se o serviço vai ser iniciado toda a vez que o Linux for carregado.

Usando o Webmin

Após o término da instalação do Webmin é possível acessá-lo de qualquer navegador com suporte a SSL. Basta utilizar o seguinte endereço no Netscape, por exemplo:

https://nome_da_maquina.nome_do_dominio:10000/

Como o certificado gerado na instalação não será reconhecido pelo navegador, você vai ser submetido a algumas perguntas a fim de validá-lo. Após este procedimento, digite o login e o password que você escolheu durante a instalação. Isto é feito na janela que foi aberta no Netscape.

Após fazer isso a página inicial do Webmin aparecerá. Note que a interface é bastante amigável, sendo que cada serviço pode ser acessado clicando em um ícone. Dentro do Webmin, os itens que podem ser configurados são tratados como módulos. Confira alguns deles:

Webmin Users: permite que você crie permissões para novos usuários acessarem o Webmin, escolhendo inclusive que módulos eles poderão configurar. Você pode criar, por exemplo, um usuário Webmaster e permitir que ele possa apenas configurar o Módulo Apache. Veja como fazer isso:

1 Clique no item Webmin Users.

2 Na próxima tela, clique em Create New Webmin User.

3 Crie o novo usuário Webmaster, digite a senha e dê permissão somente para acessar o Módulo Apache.

4 Você pode utilizar o link "Switch user" para trocar o usuário e testar suas novas configurações.

File Manager: sem dúvida, um dois melhores módulos do Webmin. Através deste excelente Applet Java é possível visualizar toda a estrutura de diretórios do sistema, apagar, renomear, fazer upload de arquivos e inclusive editá-los.

Apache Web Server: o Webmin também permite configurar um dos mais poderosos servidores Web. Ainda nesta reportagem você vai aprender a configurar um virtual server no Apache utilizando o Webmin.

Samba Windows File Sharing: esta é a ferramenta para configuração do Samba, o serviço que compartilha arquivos entre redes Linux e Windows. Se você preferir, pode usar o SWAT (Samba Web Administration Tool) para configurá-lo.

Sendmail configuration: no Webmin você também pode configurar um dos mais antigos serviços de e-mail da Internet, o Sendmail.

Webmin Configuration: nesta opção você pode personalizar a interface do Webmin. Além disso, é possível acrescentar e excluir módulos e máquinas que podem acessar o Webmin.

O Webmin Configuration também permite configurar o squid (servidor proxy), o Bind (configuração do DNS), o Network File System(NFS), visualizar e editar partições, configurar a rede, o DHCP, executar Telnet para alguma outra máquina fazer gerenciamento de software e muitos outros recursos.

No site do Webmin (www.webmin.com/webmin) você pode acompanhar a constante evolução deste software. Ele é atualizado freqüentemente, portanto, novos módulos podem ser muito úteis a você. Para acrescentá-los é fácil:

1 Na tela inicial do Webmin clique em Webmin Configuration. Em seguida, selecione Webmin modules.

2 Vá em Install Module from ftp or http URL.

3 Você pode testar os seguintes módulos, localizados no endereço abaixo:

www.webmin.com/webmin/download/modules/ssh.wbm

SSH - Se algum computador de seu interesse estiver rodando o secure shell, você pode instalar este módulo para conectá-lo.

http://www.niemueller.de/Webmin-modules/nettools/nettools-0.74.1.wbm

Nettools - Permite que você utilize alguns comandos como Ping e traceroute a partir do Webmin.

4 Clique sobre a opção Install Module from File.

Após instalar os módulos, surgirão novos ícones na tela principal do Webmin. Para acessá-los, basta clicar sobre o ícone correspondente. Muitos outros módulos já foram ou estão sendo escritos. Se desejar, você pode consultar uma lista completa das opções disponíveis no site dos desenvolvedores. Basta acessar o seguinte endereço: www.webmin.com/webmin/third.html.

Configurando um Virtual Server

O Apache é o servidor ideal para ser usado com o Webmin. É nele que o site de gerenciamento ficará hospedado. Mas antes é preciso alterar algumas configurações. Os seguintes arquivos devem ser editados: httpd.cond, srm.conf e access.conf.

Com o Webmin, você não precisa conhecer a sintaxe utilizada nos arquivos para, por exemplo, configurar um Virtual Server no Apache. Veja agora como fazer as alterações no sistema para aceitar conexões na porta 8000.

1 Na tela principal do Webmin, clique no ícone do Apache. Se você criou o usuário Webmaster, pode utilizá-lo para fazer as configurações necessárias.

2 Se você estiver configurando o Apache pela primeira vez, via Webmin, aparecerá uma página html como os módulos suportados pelo Apache. Clique no botão Configure para continuar.

3 Antes de iniciar a configuração do Web Server, configure o Apache para dar um "bind" na porta TCP onde o novo Virtual Server aceitará conexões. Para quem não sabe, Bind é o termo usado para que um

processo qualquer possa ter o controle sobre uma porta TCP

do sistema. Para fazer isso, clique no ícone Network and Addresses.

4 Na tela seguinte, você verá que a porta default do Apache é a porta 80. No item Listen on addresses and ports, use a linha da tabela em que está selecionado All na coluna Address. Na coluna Port, selecione o campo de texto e digite 8000. Clique no botão Save para encerrar esta configuração.

5 Você irá retornar para a página inicial de configuração do Apache. Localize o item: Create new Virtual Server e preencha os campos da seguinte maneira:

Address: Any

Port: 8000

Document Root: "diretorio base do seu site"

Server Name: Automatic.

A seguir clique em Create e, em seguida, no link Apply Changes, no canto superior direito do Webmin.

6 Para acessar seu novo site, basta digitar em qualquer navegador: http://sua_maquina.seu_dominio:8000/sua_pagina.htm

Você pode explorar ainda mais as possibilidades de configuração do seu sistema Linux. Se você quiser se aventurar, o Webmin é ideal para ajudá-lo nesta tarefa.

Créditos
Pcmaster
http://www.linuxnarede.com.br/artigos/fullnews.php?id=242

Instalação passo a passo do Slackware 10.0

2008-05-16T11:35:00.000-03:00

Resolvi escrever esse pequeno artigo em comemoração a nova versão do website do Slackware-Brasil, realizando um passo a passo de como instalar e configurar básico do Slackware Linux versão 10.0 que foi lançada no dia 23/06/2004. Estarei seguindo nesse tutorial em um Notebook da marca Compaq da serie Evo N110 com as configurações:

Pentium III 1 Ghz

256 MB RAM

HD 20 GB

Placa de rede 10/100 Intel

Primeiramente, é necessário configurar o boot da maquina para que ele inicialize primeiramente pelo cdrom. Depois desse passo, coloque o cd 1 de instalação do Slackware-Linux versão 10.0 no drive e ligue a maquina. Quando o cd for identificado irá aparecer a figura abaixo.

Figura 01

Se sua maquina for uma maquina com disco no padrão IDE apenas tecle o ENTER para que seja carregado o boot do cd. Se no caso, sua maquina tiver HD SCSI, digite no prompt mostrado na figura acima scsi.s. Se tiver alguma dúvida em qual Kernel deverá escolher para a sua maquina, digite F2 e posteriormente F3 que ele mostre uma pequena descrição de todos os kernel disponíveis.

Após a escolha do kernel de boot, irá aparecer a tela abaixo(Figura 02), que irá perguntar qual o layout do teclado utilizado.

Figura 02

Aonde podemos simplesmente digitar ENTER se você for escolher o teclado US sem utilizar acentuação. Mas, se desejarem trocar o layout (no meu caso escolhi o us-acentos) por outro, basta digitar <1> e teclar o ENTER para aparecer a tela abaixo (Figura 03) para escolher o teclado que a sua maquina tem. Na maioria dos casos aqui no Brasil é utilizado mapa de teclado br-abnt2. Após a seleção do teclado irá abrir uma tela de teste do keyboard (Keyboard test), onde você poderá testar se o mapa de teclado selecionado foi o correto. Se tiver tudo ok, basta digitar <1> e ENTER para proceguir, ou então <2> e ENTER para voltar a tela anterior.

Figura 03

Após a seleção do teclado irá aparecer a tela abaixo (Figura 04) onde ele pede para realizar o login como root para fazermos a instalação. Digite root e tecle ENTER.

Figura 04

Agora vamos prepara o hd para realizar a instalação propriamente dita. Digite no prompt(Figura 05)

# fdisk /dev/hda

Onde hda é o identificador do seu HD, para ver qual será o dispositivo que seu hd está usando veja a tabela:

IDE 01 como Master ==> /dev/hda

IDE 01 como Slave == > /dev/hdb

IDE 02 com Master ==> /dev/hdc

IDE 03 como Slave ==> /dev/hdd

Figura 05

Obs.: Se o hd for SCSI ficará hda = sda, hdb = sdb, hdc = sdc, etc...

Bom, nesse passo iremos realizar a partição do HD. Irei fazer apenas 2 partições:

/ : partição onde será instalado o sistema operacional;

swap: partição destinada para armazenamento de arquivos de paginação do sistema operacional quando a memória principal (RAM) da maquina estiver cheio. Obs.: Quando a maquina chegar ao ponto de utilizar essa partição do do hd para realizar seus procesos, a maquina ficar á extremamente lenta.

Para verificarmos quantas partições existem basta digitar no prompt do fdisk :

Command (m for help): p

No meu caso apareceu:

Disk /dev/hda: 20.0 Gb, 20003880960 bytes
255 heads, 63 sectors/tracks, 2432 cylinders
Units = cylinders of 16065 * 512 = 8225280 bytes

Device Boot Start End Blocks Id System
/dev/hda1 * 1 1657 13309821 7 HPFS/NTFS

A partição /dev/hda1 é minha partição do win XP que utilizo ainda para realizar meus trabalhos de faculdade (VB e DELPHI), infelismente.... Uma dica para verifcar quais os comandos disponíveis no fdisk, seria digitar para que seja listado todos os comandos possíveis. Então vamos criar uma partição de SWAP, basta digitar no prompt:

Command (m for help): n

Irá aparecer o prompt abaixo perguntando se a partição que você deseja criar será a extendida ou primária, no meu caso irei criar uma partição primária digitando <>:

Command action
e extended
p primary partition (1-4)

Quando for digitado

para escolher a partição primária irá perguntar qual o número que irá identificar a nova partição:

Partition number (1-4):

Como já existe a partição hda1 iremos criar a partição de número 2, basta digitar <2>. Após a escolha, irá aparecer qual deve ser o primerio cilindro do HD que deverá iniciar a nova partição:

First cylinder (1658-2432, default 1658):

Neste ponto basta digitar ENTER para pegar o valor recomendado. Agora, irá perguntar qual o tamanho da partição, no meu caso irei criar uma partição de 256 MB, portanto basta digitar no prompt:

Last cylinder or +size ou +sizeM or +sizeK (1658-2432, default 2432): +256M

Pronto, a partição foi criada, agora vamos ver como esta nossa tabela de partição, digite

para verificar:

Command (m for help): p

Ficou assim:

Disk /dev/hda: 20.0 Gb, 20003880960 bytes
255 heads, 63 sectors/tracks, 2432 cylinders
Units = cylinders of 16065 * 512 = 8225280 bytes

Device Boot Start End Blocks Id System
/dev/hda1 * 1 1657 13309821 7 HPFS/NTFS
/dev/hda2 1658 1689 257040 83 Linux

Precisamos mudar o tipo da partição que criamos para uma partição SWAP, então vamos digitar <>para isso:

Command (m for help): t

Irá perguntar qual o partição você deseja mudar, no nosso casso será a 2:

Partition number(1-4): 2

Logo após, será perguntado qual será o tipo dessa partição, onde se você não souber qual o tipo, basta digitar <> para descobrir o código correspondente à partição SWAP que será o código <82>:

Hex code (type L to list codes): 82

Vamos verificar se está tudo como queremos vamos verificar novamente se a tabela está como queremos:

Command (m for help): p

Disk /dev/hda: 20.0 Gb, 20003880960 bytes
255 heads, 63 sectors/tracks, 2432 cylinders
Units = cylinders of 16065 * 512 = 8225280 bytes

Device Boot Start End Blocks Id System
/dev/hda1 * 1 1657 13309821 7 HPFS/NTFS
/dev/hda2 1658 1689 257040 83 Linux swap

Pronto, agora está tudo ok! Agora vamos criar a partição onde será instalado o linux:

Command (m for help): n

Irá aparecer o prompt abaixo perguntando se a partição que você deseja criar será a extendida ou primária, no meu caso irei criar uma partição primária digitando

Command action

e extended
p primary partition (1-4)

Quando for digitado

para escolher a partição primária irá perguntar qual o número que irá identificar a nova partição:

Partition number (1-4):

Iremos criar a partição de número 3, basta digitar <3>. Após a escolha, irá aparecer qual deve ser o primerio cilindro do HD que deverá iniciar a nova partição:

First cylinder (1658-2432, default 1658):

Neste ponto basta digitar ENTER para pegar o valor recomendado. Agora, irá perguntar qual o tamanho da partição, no nosso caso como será a última partição basta digitar o ENTER no prompt abaixo:

Last cylinder or +size ou +sizeM or +sizeK (1658-2432, default 2432):

Pronto, a partição foi criada, agora vamos ver como esta nossa tabela de partição, digite

para verificar:

Disk /dev/hda: 20.0 Gb, 20003880960 bytes
255 heads, 63 sectors/tracks, 2432 cylinders
Units = cylinders of 16065 * 512 = 8225280 bytes

Device Boot Start End Blocks Id System

/dev/hda1 * 1 1657 13309821 7 HPFS/NTFS
/dev/hda2 1658 1689 257040 82 Linux swap
/dev/hda3 1690 2432 5968147+ 83 Linux

Pronto, agora temos a estrutura do HD que queriamos, para salvar as modificações basta digitar o no prompt abaixo:

Command (m for help): w
Calling ioctl() to re-read partition table.
Syncing disks.

Agora vamos para a instalação propriamente dita, digite no prompt abaixo que irá aparecer a figura abaixo (Figura 06):

root@slackware:/# setup

Figura 06

Agora selecione a opção KEYMAP para escolher o teclado que irá ficar sendo utilizado após a instalação, que no meu caso será o us-acentos.map. Isso dependerá de qual o seu layout de teclado. Para teclados do tipo abnt2, selecione br-abnt2.map

Uma observação, as figuras utilizadas para a ilustração foram geradas atravez do VMWare, portanto a identificação do disco, é feita como se fosse um HD SCSI (/dev/sda). Mais em nosso exemplo, iremos utilizar um HD IDE normal(/dev/hda). Portanto basta seguir o passo-a-passo, que não acontecerá erros.

Após, a escolha do teclado, o instalador irá identificar a partição de swap. Basta digitar no botão [Yes] para ele formatar a partição (Figura 07).

Figura 07

Após a formatação do partição de swap, irá aparecer uma lista de partições que poderiamos instalar o linux, como no nosso caso, só foi criado a partição /dev/hda3 irá aparecer somente essa partição. Selecione a essa partição (Figura 08).

Figura 08

Na próxima tela, será perguntado se deseja formatar a partição selecionada, selecione a opção Format para formatar (Figura 09). Posteriormente, aparecerá em qual formato deseja formatar a partição (Figura 10), onde o reiserfs é o padrão do slackware 10. Iremos escolher o padrão recomendado pelo setup onde irá ser feita a formatação da partição (Figura 11).

Figura 09

Figura 10

Após a formatação da partição

Figura 11

Como no meu HD existe uma partição do tipo NTFS, o instalador reconheceu essa partição e está perguntando se desejo que essa partição deve ser montada automaticamente, irei escolher para que ele monte automaticamente a particao escolhendo a opção [Yes]. Onde será mostrado qual a partição queremos montar e posteriormente aonde queremos que essa partição deverá ser montata. Vou escolher o diretório /mnt/winXP para isso. Ele irá criar o diretório e fará ele ser montado toda vez que a maquina for inicializada. Uma observação, para essa partição, é que o linux faz somente leitura em partições NTFS, portanto, não tem como fazer escrita na partição, somente leitura.

Na próxima tela será perguntado da onde estaremos instalando o slack, escolha a primeira opção como mostrado na figura abaixo (Figura 12):

Figura 12

Posteriormente, será perguntado se ele deve detectar o cdrom automaticamente (Figura 13), apenas selecione [OK]

Figura 13

Após ele identificar o cdrom, abrirá uma tela (Figura 14) onde teremos que fazer a escolha do que queremos instalar.

Figura 14

Onde teremos a lista:

[ A ] A base do sistema está contida nesse pacote, é essencial para o bom funcionamento do sistema. Essa lista contém: o Kernel e seus módulos, cups, minicom, etc;
[ AP ] Vários aplicativos que não necessita de interface gráfica. Exemplo: dvd+rw-tools, hpijs, gimp print, lvm, quota, raidtools, etc;
[ D ] Pacote de aplicativos para desenvolviente, altamente recomendado para usuários que futuramente desejam compilar programas. Exemplo: autoconf, gcc, python;
[ E ] Pacote do software GNU Emacs que é um editor de texto.
[ F ] Lista de FAQ (Perguntas mais frequentes) e documentação dos aplicativos instalados, essa série possue uma lista de documentos essenciais para os administradores de sistemas;
[ GNOME ] Interface gráfica GNOME Desktop, contém todos os aplicativos dessa interface gráfica. Exemplo: GAIM,
[ K ] Código fonte do Linux kernel;
[ KDE ] Interface gráfica do KDE e o Qt, contém vários aplicativos. Exemplo: kedit, kcalc, kmail, etc;
[ KDEI ] Pacotes de suporte a várias línguas, inclusive a do Português do Brasil.
[ L ] Pacotes de bibliotecas para a maioria do sistema (necessário para o KDE, GNOME, X, e outros). Nesse pacote, encotramos importantes bibliotecas necessárias para o funcionamento do sistema. Recomendado instalar todas as bibliotecas.
[ N ] Nesse pacote estaremos instalando os programas de rede (TCP/IP, UUCP, Mail, News). Nesse pacote, encotraremos programas como: Apache, Bind, Dhcpd, Imapd, Iproute2, Iptables, Nmap, PHP, Samba, Sendmail, etc;
[ T ] TeX é um programa utilizado por matemáticos para escrever seus trabalhos científicos. Se você não for um matématico, não existe a necessidade de instalação desse pacote;
[ TCL ] Tcl/Tk, nessa série encontramos os programas para desenvolvimento em Tcl/TK juntamente com exemplos de código.
[ X ] Nesse pacote de aplicativos será instaldo os aplicativos que controlam a interface gráfica, juntamente com as fontes necessárias para a interface gráfica funcionar usando pelo linux;
[ XAP ] Uma série de aplicativos para rodarem no X. Exemplo: Netscape, Mozilla, blackbox, fluxbox, fvwm95, xine, xpdf;
[ Y ] Pacote de games clássicos que rodam sem interace gráfica.

Após a escolha dos pacotes que desejamos instalar, selecione a opção FULL (Figura 15) para o inicio da instalação:

Figura 15

Agora é só esperar um pouquinho para o instalador realiza a instalação dos pacotes selecionados. Se você pediu para instalar o Gnome e/ou KDE aparecerá uma tela pedindo que seja colocado o cd de instalação 2 (Figura 16). Basta trocar o cd e teclar no [ OK ].

Figura 16

Após a instalação dos aplicativos, ele irá perguntar qual o kernel que desejamos instalar, se não tiver nenhum hardware específico (scsi por exemplo) basta dar o , mais se sua máquina possue um hardware desse tipo, selecione como mostrado na figura abaixo (Figura 17), logo após, teremos a lista do todos as imagens de kernel disponíveis no cdrom, basta selecionar a opção desejada e precionar o <>.(Figura 18).

Figura 17

Figura 18

Após a instalação da imagem do kernel ele pergunta se desejamos criar um disquete de boot (Figura 19). Irei pular a criação desse disquete, mais aconselho a todos a criarem esse disquete para que se um dia vocês perderem o gerenciador de boot (LILO) da sua maquina, esse disquete pode te salvar... ;-)

Figura 19

O próximo passo, será informar qual a porta de comunicação utilizada pelo seu modem (se sua maquina tiver modem, é claro). No meu caso, irei configurar essa parte posteriormente quando o sistema já estiver instalado (Figura 20). Basta selecionar a primeira opção para passarmos para a próxima etapa.

Figura 20

Agora ele está perguntando se deseja abilitar o HOTPLUG, que é um sistema de identificação de dispositivos(cameras digitais, Hds USB, mouse USB, etc) conectados no computador automaticamente. Muito interessante para todos. Selecione [ Yes ] para proceguir.

Na próxima tela, fica a configuração do gerenciador de boot da maquina. Basta selecionar a opção que é a primeira opção como vimos na figura abaixo (Figura 21). Na próxima tela fica a configuração do console, onde irei optar por utilizar o Frame Buffer para gerenciar o meu X para simplificar a configuração do X, que poderemos fazer posteriormente em um outro artigo. Portanto, escolherei a opção

1024x768 Frame buffer console, 1024x768x256

Figura 21

O instalador pegunta se existe a necessidade de incluir algum parametro extra o kernel quando ele for inicializar, podemos deixar essa opção em branco.

Após teremos que falar aonde queremos que instale o gerenciador de boot (LILO). Temos 3 opções, onde a nossa opção será a MBR:

Root

Floppy: instalará o gerenciador em um disquete formatado;

MBR: instalará na MBR do HD principal (IDE 1 > Master)

Na próxima tela, mostre para o instalador o seu tipo de mouse. No meu caso PS/2 (Figura 22) .

Figura 22

Na tela GPM Configuration (Figura 23)ele pergunta se você irá usar o mouse em modo texto. Isto é, sem gerenciador gráfico(kde, gnome, fluxbox, etc). Como não utilizo o mouse em modo texto, coloco [ No ].

Figura 23

Agora temos a parte de configuração da rede, selecione a opção [ Yes ] para começarmos a configuração:

Na primeira tela temos que digitar o nome do computador: Irei digitar como exemplo: FENIX;

Posteriormente, temos que configurar o domínio que a maquina ficará ligada. Ex.: slackware-brasil.com.br

Como será configurado o ip dessa maquina? Irei escolher para especificar um ip, portanto vamos escolher a primeira opção <>

Digite o ip para a esta ção. Ex.: 10.0.0.20

Mascara de rede: Ex.: 255.255.255.0

Gateway de rede, o ip do roteador da sua rede. Ex.: 10.0.0.1

NameServer: Nome do servidor de nomes da sua rede(DNS). Muitas vezes o roteador faz esse servi ço. Ex.: 10.0.0.1

Por último, ele mostra as configurações que acabamos de fazer, se não tiver nada para alterar basta aceitar [ Accept ]

Figura 24

Agora temos que escolher quais os programas (Figura 24) iremos inicializar automaticamente, deixarei somente o rc.sshd para poder fazer acesso remoto e o rc.syslog para que seja guardado importantes informações que acontecem no sistema, como por exemplo, tentativas de invasão, erros de programas em geral. O restante das opções não deixaremos nenhuma inicialar automaticamente.

Na próxima tela, temos que escolher se queremos trocar a fonte do console, irei optar por não trocar. Após, temos que falar se queremos que o nosso computador irá atualizar seu relogio automaticamente por um servidor de UTC. Fiz a opção de não atualizar, logo após, irá aparecer uma tela para escolha mais próxima para da sua casa. No meu caso foi America/Sao_Paulo.

Agora iremos escolher qual será o gerenciador de janelas padrão, irei escolher o GNOME.

Figura 25

Pronto, na proxima tela, é só colocar a senha de administrador (root) do sistema, e irá aparecer uma mensagem que a instalação foi concluida. É só reinicia o seu computador e desfrutar do seu novo Slackware 10.0.

Um abraço a todos.

Créditos:
Geyson Rogério L. Silva
Adm. de Redes / Sistemas Slackware-Brasil
http://www.slackware-brasil.com.br/web_site/artigos/artigo_completo.php?aid=107

Instalando Apache + MySQL + PHP 5 no Windows

2008-05-16T11:29:00.003-03:00



 DirectoryIndex index.html

Hello Word

2008-05-16T11:18:00.000-03:00

É isso ai... Hello Word!!!
E isso é só o começo... hehehehe