Tutoriais Linux

  • View
    624

  • Download
    3

Embed Size (px)

Transcript

Tutoriais Linux1. Configurando IP fixo.....................................................................................2 2.Configurando Squid......................................................................................3 3.Configurando servidor DHCP........................................................................24 4.Configurando Samba....................................................................................27 5. Configurando um servidor VPN....................................................................43

1 -Configurando o usrio root: criar uma senha para o root sudo passwd root 2 Configurando endereo IP esttico. Para configurar um endereo esttico no servidor seguiremos os passos: 1 - configurar um endereo ip fixo. para isso utilizei o editor nano. sudo nano /etc/network/interfaces Troque o texto abaixo.... auto eth0 iface eth0 inet dhcp .... pelo texto auto eth0 iface eth0 inet static address 192.168.1.10 netmask 255.255.255.0 network 192.168.1.0 broadcast 192.168.1.255 gateway 192.168.1.1 2 - Especifique os servidores de DNS sudo nano /etc/resolv.conf nameserver 192.168.1.10 nameserver 201.6.0.112 nameserver 201.6.0.108 3- Reinicie a rede do servidor sudo /etc/init.d/networking restart 2 -Configurando um servidor proxy com o Squid O Squid permite compartilhar a conexo entre vrios micros, servindo como um intermedirio entre eles e a internet. Usar um proxy diferente de simplesmente compartilhar a conexo diretamente, via NAT. Ao compartilhar via NAT, os micros da rede acessam a internet diretamente, sem restries. O servidor apenas repassa as requisies recebidas, como um garoto de recados. O proxy como um burocrata que no se limita a repassar as requisies: ele analisa todo o trfego de dados, separando o que pode ou no pode passar e guardando informaes para uso posterior. Squid composto de um nico pacote, por isso a instalao simples. Instale o pacote "squid" usando o apt-get, yum ou urpmi, como em: # apt-get install squid Toda a configurao do Squid feita em um nico arquivo, o "/etc/squid/squid.conf". Caso voc esteja usando uma verso antiga do Squid, como a includa no Debian Woody, por exemplo, o arquivo pode ser o "/etc/squid.conf". Apesar da mudana na localizao do arquivo de configurao, as opes descritas aqui vo funcionar sem maiores problemas. O arquivo original, instalado junto com o pacote, realmente enorme, contm comentrios e exemplos para quase todas as opes disponveis. Ele pode ser uma leitura interessante se voc j tem uma boa familiaridade com o Squid e quer aprender mais sobre cada opo, mas, de incio, melhor comear com um arquivo de configurao mais simples, apenas com as opes mais usadas. Em geral, cada distribuio inclui uma ferramenta diferente para a configurao do proxy. Uma das mais usadas o Webmin, disponvel em vrias distribuies. A funo dessas ferramentas disponibilizar as opes atravs de uma interface grfica e gerar o arquivo de configurao com base nas opes

escolhidas. Em alguns casos, essas ferramentas ajudam bastante, mas, como elas mudam de distribuio para distribuio, acaba sendo mais produtivo aprender a trabalhar direto no arquivo de configurao, que, afinal, no to complicado assim. Assim como em outros tpicos do livro, vamos aprender a configurar o Squid "no muque", sem depender de utilitrios de configurao. Comece renomeando o arquivo padro, de forma a conserv-lo para fins de pesquisa: # mv /etc/squid/squid.conf /etc/squid/squid.conf.orig Em seguida, crie um novo arquivo "/etc/squid/squid.conf", contendo apenas as quatro linhas abaixo: http_port 3128 visible_hostname server acl all src 0.0.0.0/0.0.0.0 http_access allow all Estas linhas so o suficiente para que o Squid "funcione". Como viu, aquele arquivo de configurao gigante tem mais uma funo informativa, citando e explicando as centenas de opes disponveis. Apenas um punhado das opes so realmente necessrias, pois, ao omit-las, o Squid simplesmente utiliza os valores default. por isso que acaba sendo mais simples comear com um arquivo vazio e ir inserindo apenas as opes que voc conhece e deseja alterar. As quatro linhas dizem o seguinte: http_port 3128: A porta onde o servidor Squid vai ficar disponvel. A porta 3128 o default, mas muitos administradores preferem utilizar a porta 8080, que soa mais familiar a muitos usurios. visible_hostname server: O nome do servidor, o mesmo que foi definido na configurao da rede. Ao usar os modelos desse captulo, no se esquea de substituir o "servidor" pelo nome correto do seu servidor, como informado pelo comando "hostname". acl all src 0.0.0.0/0.0.0.0 e http_access allow all: Estas duas linhas criam uma acl (uma poltica de acesso) chamada "all" (todos), incluindo todos os endereos IP possveis. Ela permite que qualquer um dentro desta lista use o proxy, ou seja, permite que qualquer um use o proxy, sem limitaes. Para testar a configurao, reinicie o servidor Squid com o comando: # /etc/init.d/squid restart Se estiver no CentOS, Fedora ou Mandriva, pode utilizar o comando "service", que economiza alguns toques no teclado: # service squid restart No Slackware, o comando ser "/etc/rc.d/rc.squid restart", seguindo a lgica do sistema em colocar os scripts referentes aos servios na pasta /etc/rc.d/ e inicializ-los automaticamente durante o boot, desde que marcada a permisso de execuo. Para testar o proxy, configure um navegador (no prprio servidor) para usar o proxy, atravs do endereo 127.0.0.1 (o localhost), porta 3128. Se no houver nenhum firewall pelo caminho, voc conseguir acessar o proxy tambm atravs dos outros micros da rede local, basta configurar os navegadores para usarem o proxy, fornecendo o endereo do servidor na rede local. Caso necessrio, abra a porta 3128 na configurao do firewall, para que o Squid possa receber as conexes. Um exemplo de regra manual do Iptables para abrir a porta do Squid apenas para a rede local (a interface eth0 no exemplo) : iptables -A INPUT -i eth0 -p tcp --dport 3128 -j ACCEPT Criando uma configurao bsica O problema com o modelo de configurao minimalista que acabamos de ver que com apenas estas quatro linhas o proxy ficar muito aberto. Se voc deixar o servidor proxy ativo no prprio servidor que compartilha a conexo e no houver nenhum firewall ativo, qualquer um na internet poderia usar o seu proxy, o que naturalmente no desejado. O proxy deve ficar ativo apenas para a rede local. Vamos gerar, ento, um arquivo mais completo, permitindo que apenas os micros da rede local possam usar o proxy e definindo mais algumas polticas de segurana. Neste segundo exemplo j aproveitei algumas linhas do arquivo original, criando regras que permitem o acesso a apenas algumas portas especficas e no mais a qualquer coisa, como na configurao anterior: http_port 3128 visible_hostname servidor acl all src 0.0.0.0/0.0.0.0 acl manager proto cache_object acl localhost src 127.0.0.1/255.255.255.255 acl SSL_ports port 443 563 acl Safe_ports port 80 # http

acl Safe_ports port 21 # ftp acl Safe_ports port 443 563 # https, snews acl Safe_ports port 70 # gopher acl Safe_ports port 210 # wais acl Safe_ports port 280 # http-mgmt acl Safe_ports port 488 # gss-http acl Safe_ports port 591 # filemaker acl Safe_ports port 777 # multiling http acl Safe_ports port 901 # swat acl Safe_ports port 1025-65535 # portas altas acl purge method PURGE acl CONNECT method CONNECT http_access allow manager localhost http_access deny manager http_access allow purge localhost http_access deny purge http_access deny !Safe_ports http_access deny CONNECT !SSL_ports acl redelocal src 192.168.1.0/24 http_access allow localhost http_access allow redelocal http_access deny all As acl's "SSL_ports" e a "Safe_ports" so as responsveis por limitar as portas que podem ser usadas atravs do proxy. Neste exemplo, usei a configurao-modelo indicada na documentao do Squid, que prev o uso de diversos protocolos conhecidos e tambm o uso de portas altas, acima da 1024. Ela to extensa porque cada porta especificada em uma linha diferente. Podemos simplificar isso agrupando as portas na mesma linha, o que resulta em um arquivo de configurao muito menor, mas que faz exatamente a mesma coisa: http_port 3128 visible_hostname servidor acl all src 0.0.0.0/0.0.0.0 acl manager proto cache_object acl localhost src 127.0.0.1/255.255.255.255 acl SSL_ports port 443 563 acl Safe_ports port 21 80 443 563 70 210 280 488 59 777 901 1025-65535 acl purge method PURGE acl CONNECT method CONNECT http_access allow manager localhost http_access deny manager http_access allow purge localhost http_access deny purge http_access deny !Safe_ports http_access deny CONNECT !SSL_ports acl redelocal src 192.168.1.0/24 http_access allow localhost http_access allow redelocal http_access deny all Veja que em ambos os exemplos adicionei duas novas acl's. A acl "localhost" contm o endereo 127.0.0.1, que voc utiliza ao usar o proxy localmente (ao navegar usando o prprio ), e a acl "rede local", que inclui os demais micros da rede local. Substitua o "192.168.1.0/24" pela faixa de endereos IP e a mscara de sub-rede usada na sua rede local (o 24 equivale mascara 255.255.255.0). Depois de criadas as duas polticas de acesso, vo duas linhas no final do arquivo que especificam que os micros que se enquadrarem nelas podero usar o proxy: http_access allow localhost http_access allow redelocal

Lembra-se da acl "all", que contm todo mundo? Vamos us-la para especificar que os clientes que no se enquadrarem nas duas regras acima (ou seja, clientes no-autorizados, vindos da Internet) no podero usar o proxy: http_access deny all Esta linha deve ir no final do arquivo, depois das outras duas. A ordem importante, pois o Squid interpreta as regras na ordem em que so colocadas no arquivo. Se voc permite que o micro X acesse o proxy, ele acessa, mesmo que uma regra mais abaixo diga que no. Se voc adicionasse algo como: acl redelocal src 192.168.1.0/24 http_access allow redelocal http_access deny redelocal ... os micros d