#  > Servidores >  > Sistemas Operacionais >  >  Servidor Fedora de maneira facil e funcional

## AndrioPJ

Nesse, pretendo mostrar c/ configurar um servidor Fedora, oferencendo os principais servicos pa/ sua rede: Firewall, servidor DHCP, Webcache(squid), Dnscache(bind), Controle de banda(cbq), controle de acesso, acesso remoto (SSH).

Esse foi elaborado com base em pesquisas na internet e experiencia propria.
Espero assim, ajudar a mtos.

No final, voce devera ter um servidor para administrar sua rede.
_As opcoes aqui descrita nao é as unica maneira de criacao de tal sistema. Ha muitas maneiras de se alcancar este objetivo.
Nao dou qualquer garantia de que os passos aqui descritos vao funcionar com voce._

*Sumario*
- 1. - Introducao
- - 1.1 - Requisitos
- - 1.2 - Cenario
- - 1.3 - LINKs EXTRAS
- 2. - SEGURANCA
- - 2.1 - SELinux
- - 2.2 - Introducao ao Firewall
- - - 2.2.1 - Tabelas e Chains
- - - 2.2.2 - Manipulando chains
- - 2.3 - NAT
- - 2.4 - LINKs EXTRAS
- 3. - Servidor DHCP
- - 3.1 - DHCP sem IP Fixo
- - 3.2 - DHCP com IP Fixo
- - 3.3 - LINKs EXTRAS
- 4. - DNS Cache (Bind)
- - 4.1. - Configuracao do DNS Cache
- - 4.2 - LINKs EXTRAS
- 5. - Web Cache (Squid)
- - 5.1. - Configuracao do WEB Cache
- - 5.2 - LINKs EXTRAS
- 6. - Acesso remoto (SSH)
- - 6.1. - Informacoes SSH
- 7. - Controle de acesso (MACxIP)
- 8. - Controle de Banda(CBQ)
- - 8.1. - LINKs EXTRAS

*1. - Introducao**1.1 - Requisitos* - Fedora 11
- Conexao com a internet
- Hardware com 2 placas de rede (1 placa configurada para o acesso a internet, e a outra configurada para servir como Gateway da rede interna).Nesse, nao pretendo entrar em maiores detalhes de como baixar/instalar o Fedora 11, nen tao pouco de como configurar a rede.

*Nota: nesse, uso o hotname servidor.lgm.farolbr com endereco gateway 172.167.0.1. Essas configuracoes podem ser diferentes para voce, entao, tens que substitui-las sempre que for necessario.**1.2. - Cenario*#########................###############
# INTERNET # === eth0# SERVIDOR FEDORA#eth1 === Rede interna
#########...............###############

Placa de rede eth0 (conexao externa - internet), configurado de acordo com sua conexao com a internet, aqui esta configurado assim:



> # eth0
> IP: 10.1.1.2
> mask: 255.0.0.0
> Gateway: 10.1.1.1
> DNS1: 201.10.128.2
> DNS2: 201.10.120.3


Placa de rede eth1 (conexao interna - rede), configurado ao seu gosto, aqui esta configurado assim:



> # eth1
> IP: 172.167.0.1
> mask: 255.255.0.0


*1.3 - LINKs EXTRAS*Ao final da maioria dos topicos deixarei alguns links que poderao ajudar nas configuracoes e/ou complementar o que foi discutido.

Linux: Instalando o Fedora 10 [Artigo]
http://www.guiadohardware.net/dicas/...sl-fedora.html
http://www.vivaolinux.com.br/artigo/...racao?pagina=1
Linux: Ativando a rede no Fedora Core [Dica]

*2. - SELinux, IPTABLES(Introducao, NAT)
**2.1 - SELinux*O SELinux é uma implementacao de seguranca do Fedora, que por padrao, deveria oferecer uma maior seguranca.
Porem, normalmente causa mais problemas do que vantagens ( eu tive alguns problemas, alguns servicos nao estavam funcionando, foi entao, que descobri que os servicos estavam corretamente configurados, mas o SELinux estava causando problemas).
Alem do mais, na minha opiniao, voce nao precisa dele para configurar um sistema seguro.
Portando, aconselho a desabilita-lo.

O config do SELinux pode ser encontrado em: /etc/selinux/config
edite-o, mude o SELINUX=enforcing para SELINUX=disabled:
# vim /etc/selinux/config

deixe-o assim:



> # This file controls the state of SELinux on the system.
> # SELINUX= can take one of these three values:
> # enforcing - SELinux security policy is enforced.
> # permissive - SELinux prints warnings instead of enforcing.
> # disabled - No SELinux policy is loaded.
> SELINUX=disabled
> # SELINUXTYPE= can take one of these two values:
> # targeted - Targeted processes are protected,
> # mls - Multi Level Security protection.
> SELINUXTYPE=targeted


Reinicie o sistema:
# reboot
ou
# init 6*2.2 - Introducao ao Firewall*Firewall é uma extencao de seguranca dado a um software/dispositivo que tem como seu principal objetivo aplicar uma politica de seguranca entre seu computador e a internet, ou, a um ponto especifico de controle de sua rede.
Explicando de uma maneira generica, o firewall é como os segurancas da Casa Branca: so deixa entrar aqueles que sao permitidos(total acesso), barram os que nao sao permitidos (acesso negado) ou direcionam os conhecidos a um determinado local (acesso parcial).

Nesse, abordaremos o iptables, na qual esta presente nos kernels atuais.
O iptables é um firewall statefull, nivel de pacotes, e funciona baseado no endereço/porta de origem/destino do pacote, prioridade, etc.
Podemos usar o iptables para uma gama de possibilidades, dependendo apenas da sua imaginacao.

2.2.1 - Tabelas e Chains
 Existem 3 tabelas disponiveis no iptables: filter, nat, mangle.
_Tabelas - Sao os locais usados para armazenar os chains
Chains - Sao os locais onde sao armazenadas os conjuntos de regras definidas pelo usuario._

*Nota: os nomes dos chains são case-sensitive, o chain output é completamente diferente de OUTPUT.*

*filter:* Tabela padrao, contem 3 chains: --INPUT (para pacotes destinado a própria máquina)
--OUTPUT (para pacotes gerados localmente)
--FORWARD (qualquer pacote que atravessa o firewall, oriundo de uma máquina e direcionado a outra).*nat:* Usada para dados que geram outra conexao. --PREROUTING (para alterar pacotes recebidos antes do roteamento)
--OUTPUT (para alterar localmente pacotes gerados antes do roteamento)
--POSTROUTING (para mudar o endereço de origem das conexões para algo diferente).*mangle:* Usada em acoes especiais para o tratamento do tráfego que atravessa os chains. --PREROUTING - Consultado quando os pacotes precisam ser modificados logo que chegam.
--POSTROUTING - Consultado quando os pacotes precisam ser modificados apos o tratamento de roteamento.
--INPUT - Consultado quando os pacotes precisam ser modificados antes que chegam a máquina(o proprio servidor... antes de ser tratado por qualquer outro chain).
--OUTPUT - Consultado quando os pacotes precisam ser modificados antes de sair da máquina
--FORWARD - Consultado quando os pacotes precisam ser modificados antes de serem redireicionado para outra interface*2.3 - NAT*"O NAT não é um protocolo nem um padrão. O NAT é apenas uma série de tarefas que um roteador (ou equipamento equivalente) deve realizar para converter endereços IPs entre redes distintas.
Um equipamento que tenha o recurso de NAT (sigla em inglês: "Network Address Translation" ou Tradução de Endereço de Rede) deve ser capaz de analisar todos os pacotes de dados que passam por ele e trocar os endereços desses pacotes de maneira adequada.
Vejamos agora como é fácil fazer um compartilhamento de acesso (NAT) no Linux com uma pequena ajuda do iptables"

Para fazer um nat basta você editar o arquivo rc.local que está em /etc/rc.d e adicionar as
seguintes linhas ao seu conteúdo:



> # Compartilha Conexao
> iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
> echo \"1\" > /proc/sys/net/ipv4/ip_forward


*
Nota: que a placa de rede que se conecta a internet é eth1, isso pode mudar de acordo com sua configuração, podendo variar para eth0, ppp0, etc.*

Como queremos que apenas as regras que adicionamos sejam executadas, antes de mais nada, é necessario limpar qualquer regras do firewall existente.
Adicione as seguintes linhas antes da regra que compartilha Conexao:



> # # Limpando Regras
> iptables -F
> iptables -X
> iptables -Z
> iptables -F INPUT
> iptables -F OUTPUT
> iptables -F FORWARD
> iptables -F -t nat
> iptables -X -t nat
> ...


Ficando o nosso script da seguinte forma:



> # # Limpando Regras
> iptables -F
> iptables -X
> iptables -Z
> iptables -F INPUT
> iptables -F OUTPUT
> iptables -F FORWARD
> iptables -F -t nat
> iptables -X -t nat
> ...


*2.4 - LINKs EXTRAS*SELinux - WikipÃ©dia, a enciclopÃ©dia livre
http://www.vivaolinux.com.br/artigo/...do-o-IPtables/
Guia Foca GNU/Linux - Firewall iptables
http://www.vivaolinux.com.br/artigo/...s-e-aplicacao/

----------


## AndrioPJ

*3. - Servidor DHCP*

O dhcp permite que todos os micros da rede recebam automaticamente as suas configuracoes de rede, sem que voce precise ficar configurando os enderecos de rede em cada.
Ou seja, quando um cliente for inicializado e não tive rum endereço IP configurado, ele manda uma mensagem para toda a rede em busca de um endereço IP. Todos os computadores receberão essa mensagem, porém o único que poderá atender a ela é o servidor DHCP.

No fedora, a sua instalacao pode ser feita atraves do yum:
# yum install dhcp

O arquivo de configuracao do dhcpd pode ser encontrado em: /etc/dhcp/dhcpd.conf
Para iniciar e parar o servidor dhcp, use os comandos:
# service dhcpd start
# service dhcpd stop

Independente da distribuicao Linux, o arquivo de configuracao é igual. Vejamos 2 exemplo:*3.1 - DHCP sem IP Fixo*# vim /etc/dhcp/dhcpd.conf




> # /etc/dhcp/dhcpd.conf
> 
> # Atualizaçao do dns
> ddns-update-style none;
> 
> # Tempo padrão de emprestimo de ip
> default-lease-time 600;
> 
> # Tempo maximo para emprestimo de ip
> ...


*3.2 - DHCP com IP Fixo*# vim /etc/dhcp/dhcpd.conf




> # /etc/dhcp/dhcpd.conf
> 
> # Atualizaçao do dns
> ddns-update-style none;
> 
> # Tempo padrão de emprestimo de ip
> default-lease-time 600;
> 
> # Tempo maximo para emprestimo de ip
> ...


*3.3 - LINKs EXTRAS*DHCP - WikipÃ©dia, a enciclopÃ©dia livre
http://www.gdhpress.com.br/servidore...x.php?p=cap2-5
[ Comunidade Fedora Brasil ] - DHCP FACIL NO FEDORA


*4. - DNS Cache (Bind)*
Bind é o servidor DNS mais utilizado, especialmente em sistemas Unix/Linux.
Nesse artigo, abordaremos a instalacao e configuracao de forma facil e funcional da aplicacao Bind, e assim servir de cache DNS. Dando um ganho de performace nas pesquisas DNS e uma pequena economia no Link.

No fedora, a sua instalacao pode ser feita atraves do yum:
# yum install bind

O arquivo de configuracao do bind pode ser encontrado em: /etc/named.conf
Para iniciar e parar o servidor bind, use os comandos:
# service named start
# service named stop*4.1. - Configuracao do DNS Cache*Edite o arquivo named.conf e deixe-o como abaixo: 

# vim /etc/named.conf




> //
> // named.conf
> //
> // Provided by Red Hat bind package to configure the ISC BIND named(8) DNS
> // server as a caching only nameserver (as a localhost DNS resolver only).
> //
> // See /usr/share/doc/bind*/sample/ for example named configuration files.
> //
> 
> ...


Reinicie o servidor bind:
# service named restart

Pronto, seu DNS Cache ja deve estar funcionando.*4.2. - Dicas BIND** 1. -* Para que sua rede possa pesquisar o dns diretamente no seu servidor (Gateway), teremos que editar o dhcpd.conf.
Volte no arquivo de configuracao do dhcp, procure e altere: option domain-name-servers
coloque o endereco da placa que ira atender a rede interna(Gateway rede interna)... no meu caso, fica assim:
# option domain-name-servers 172.167.0.1;

*2. -* Caso voce tenha seguido o script do Bind aqui descrito, o comando a seguir irá gravar dentro do arquivo /var/named/data/cache_dump.db toda a cache do DNS, lembrando que esse cache zera cada vez que o serviço é parado e reiniciado. Após rodar o comando, edite o arquivo e mate sua curiosidade.
# rndc dumpdb*4.2 - LINKs EXTRAS*BIND - WikipÃ©dia, a enciclopÃ©dia livre
Linux: DNS Cache no Bind9 [Artigo]
http://www.vivaolinux.com.br/artigo/...o-DNS?pagina=1
https://www.isc.org/software/bind*
*

----------


## AndrioPJ

*5. - Web Cache (Squid)*

Squid é um servidor proxy e cache q permite reduzir a utilizacao do Link.
Podemos usar o Squid para varias funcoes: autenticação de usuários, restrições de acesso, auditoria, cache, etc.
Nesse, abordaremos a instalacao e configuracao de forma facil e funcional do Squid para WEB Cache.

No fedora, a sua instalacao pode ser feita atraves do yum:
# yum install squid

O arquivo de configuracao do squid pode ser encontrado em: /etc/squid/squid.conf
Para iniciar e parar o servidor squid, use os comandos:
# service squid start
# service squid stop

Para criar os diretorios swap:
# squid -z

mas antes disso, certifique-se de ter configurado o squid e de ter criado os diretorios swap.*5.1. - Configuracao do WEB Cache*Edite o arquivo named.conf e deixe-o como abaixo( comentei ele para facil entendimento):
# vim /etc/squid/squid.conf




> # squid.conf
> # Andrio P. Jasper
> # [email protected]
> #-----------------------------------------------
> # Opcoes para suportar proxy transparente.
> #nao esquecer de trocar a faixa de ip pela da sua rede
> http_port 172.167.0.1:3128 transparent
> 
> #diz ao Squid que ele deve buscar os dados diretamente na origem
> ...


Edite o script do firewall rc.local (/etc/rc.d.rc.local) e adicione a regra de redirecionamento do trafego para o squid.
Ficando o nosso script da seguinte forma:



> # # Limpando Regras
> iptables -F
> iptables -X
> iptables -Z
> iptables -F INPUT
> iptables -F OUTPUT
> iptables -F FORWARD
> iptables -F -t nat
> iptables -X -t nat
> ...


*5.2.- Dicas SQUID**1. -* Para ver quem esta acessando a web atraves do squid em tempo real (IP da maquina, Site cessado e Status do Acesso) digite no terminal: 
# tail -f /var/log/squid/access.log | awk '{print$3 " - " $4 " - " $7 }'

*2. -* Para limpar o cache, digite os passos abaixo no terminal:
# service squid stop
# cd /var/spool/squid
# rm -rf *
# squid -z
# service squid start*5.3 - LINKs EXTRAS*http://www.guiadohardware.net/dicas/...b-sua-lan.html
Linux: Configurar Squid - squid.conf
Instalando e Configurando o Squid
Squid - WikipÃ©dia, a enciclopÃ©dia livre
squid : Optimising Web Delivery

----------


## AndrioPJ

*6. - Acesso remoto (SSH)*
Todo servidor necessita de manutenção seja ele que sistema operacional ele use. No Linux temos um serviço muito interessante chamado SSH (Secure SHell).
O SSH é uma maneira extremamente segura de se conectar no servidor mesmo que está conexão seja vinda da internet.
O SSH é tão bom que apenas precisaremos alterar algumas linhas para torná-lo ainda, mas seguro.

O ssh ja vem por padrao no fedora.
Arquivo de configuração do SSH, sshd_config pode ser encontrado em “/etc/ssh/sshd_config”

Apenas as linhas abaixo precisam ser alteradas:
1°: Port 22: está linha indica a porta na qual o ssh vai funcionar a padrão é 22, mas o ideal é ser mudada para uma porta a sua escolha.
OBS: Cuidado para não escolher uma porta que está sendo utilizada por outro serviço.

2°: PermitRootLogin no: está linha indica se o root pode se logar no sistema através deste serviço. Isso não é uma boa idéia pois é um alvo em potencial para ataques pois é um usuário que o Hacker sabe que existe no seu sistema.

3°: LoginGraceTime 120: Define o tempo máximo que o usuário tem para digitar a senha e logar no sistema.

4°: AllowUsers andrio: Permite o login somente dos usuarios configurado, dificultando ainda mais o trabalho de um hacker. No meu caso, permiti apenas o login do usuario andrio

5°: MaxStartups 5:80:10: Desta forma ele rejeita 80% das tentativas de conexao*6.1. - Informacoes SSH*Para iniciar e parar o servidor SSH, use os comandos:
# service sshd start
# service sshd stop

Logando no sistema via SSH:
#ssh (login)@(ip) –p (numero da porta)
#ssh [email protected] –p 2250

Para fazer o sistema sempre iniciar o SSH caso ele seja rebootado.
Comado: 
# setup
Opção: Serviços do Sistema
Opção: sshd
OK e SAIR 

*7. - Controle de acesso (MACxIP)*
O controle de acesso por MACxIP é feito com a ajuda do iptables.
O Cliente devera ter sempre o mesmo IP, basta configurar o DHCP com ip fixo ou configurar o micro do cliente manualmente.

Funcionara da seguinte forma:-- teremos um arquivo que ira conter todos os IPs e MACs da rede.
-- iremos alterar a politica padrao de ACCEPT para DROP (assim estaremos bloqueando TUDO),
-- adicionaremos 2 regras no script do firewall, essas ultimas serao responsavel por liberar o acesso aos cadastrados.*7.1. - Configurando o acesso (MACxIP)*Atualmente, nosso rc.local (/etc/rc.d.rc.local), esta da seguinte forma:



> # # Limpando Regras
> iptables -F
> iptables -X
> iptables -Z
> iptables -F INPUT
> iptables -F OUTPUT
> iptables -F FORWARD
> iptables -F -t nat
> iptables -X -t nat
> ...


Criaremos o arquivo que contera os IPs e MACs, e adicionaremos os IPs e MACs, cada cliente em uma linha, da seguinte forma, :
#IP;MAC;Marcacao pacote;nome do cliente

# vim /etc/macxip



> 172.167.0.9;00:12:31:b3:6f:4C;10019;andrio


Agora, editamos o rc.local (/etc/rc.d.rc.local), deixando-o da Seguinte forma:



> *# Paramentros do Controle de acesso
> MACLIST=/etc/macxip
> echo " Configuracoes necessarias.....................[ OK ]"*
> 
> # # Limpando Regras
> iptables -F
> iptables -X
> iptables -Z
> iptables -F INPUT
> ...


Execute o script do firewall e seu controle de acesso IPxMAC ja estara funcionando.
Para bloquear um determinado cliente, basta mudar os 2 primeiros "00" do MAC do mesmo, dessa forma, o novo mac cadastrado nao ira bater com o mac real do cliente( MAC 00:12:31:b3:6f:4C é diferente do MAC 11:12:31:b3:6f:4C)

_Nota: pode ser necessario adicionar mais 3 linhas de regras no script, para manter/aceitar as conexoes estabilizadas. adicione-as logo abaixo das regras de "Politica Padrao"
__ # Aceita os Pacotes que realmente devem entrar_
_ iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT_
_ iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT_
_ iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT__
Como deixamos o firewall restritivo, é bom adicionar a regra abaixo, responsavel por aceitar toda conexao loopback.
__ # Aceita todo o trafego vindo do loopback e indo pro loopback_
_ iptables -t filter -A INPUT -i lo -j ACCEPT_*7.2. - LINKs EXTRAS*Bloqueio por MAC

*8. - Controle de Banda(CBQ)*

No fedora, nao é necessario instalar o script do CBQ. Por padrao, ele ja vem no sistema.
Importante saber:

 -Os arquivos de limitacao ficam (classes) ficam em: /etc/sysconfig/cbq/ -Os arquivos de limitacao obedecem o formato pre-definido: cbq-(clsid).(nome) -o mesmo IP não pode estar em duas regras -É necessario 2 arquivo de limitacao para cada regra: 1 para download e outro para upload. -Cada arquivo de limitacao deve conter as regras abaixo, com 1 pequena diferenca, um dos arquivos devera conter uma vírgula no final da RULE, o arquivo que conter a virgula sera o que vai indicar o upload:
 DEVICE=(interface rede),(banda),(peso)
RATE=(velocidade)
WEITH=(peso/10)
PRIO=(prioridade)
RULE=(ip ou rede a ser controlada)BOUNDED=yes/no se setado para yes o usuário estará limitado mesmo que o link esteja com folga.
ISOLATED=yes/no se setado para yes indica que o cliente não poderá emprestar banda pra ninguémExemplo, regra para o usuario andrio:
# vim cbq-0002.andrio



> DEVICE=eth0,10Mbit,1Mbit
> RATE=256
> WEIGHT=64Kbit
> PRIO=5
> RULE=172.167.0.9
> BOUNDED=yes
> ISOLATED=no


# vim cbq-0003.andrio



> DEVICE=eth1,10Mbit,1Mbit
> RATE=256
> WEIGHT=64Kbit
> PRIO=5
> RULE=172.167.0.9,
> BOUNDED=yes
> ISOLATED=no


_Nota: Qualquer regra seguida da virgula " , "_* controla o trafego de saida da sua rede*

Com todas as regras prontas, vamos ativar o serviço.
Primeiro compilamos as novas regras
# cbq compile

e depois iniciamos o cbq:
# cbq start

Pronto, cbq funcionando.
Faca o teste.

----------


## AndrioPJ

_Para um controle de upload mais efetivo, aconselho a marcar os pacotes de cada cliente.
editamos o rc.local (/etc/rc.d.rc.local)
Adicione a opcao MARK na regra do cliente que contiver a virgula ","
deixe-o assim:
_# vim cbq-0003.andrio



> DEVICE=eth0,10Mbit,1Mbit
> RATE=256
> WEIGHT=64Kbit
> PRIO=5
> RULE=172.167.0.9,
> MARK=16709
> BOUNDED=yes
> ISOLATED=no


_
e o script do firewall, deixe-o da Seguinte forma:_



> # Paramentros do Controle de acesso
> MACLIST=/etc/macxip
> echo " Configuracoes necessarias.....................[ OK ]"
> 
> # # Limpando Regras
> iptables -F
> iptables -X
> iptables -Z
> iptables -F INPUT
> ...


*8.1. - LINKs EXTRAS*Linux: Limitando banda com o CBQ [Artigo]
Linux in Brazil ( Controle de banda com CBQ )
CBQ: controle efetivo de banda no linux

*9. - Outras Regras*
1- O Kernel conta com algumas opcoes interessantes, vamos adiciona-las em nosso script de firewall, deixando por fim... assim:
2- Entramos um problema no acesso remoto (ssh), pois deixamos nosso firewall restritivo, liberando acesso somente aos cadastrados. Vamos entao adicionar + 1 regra que permitira o acesso remoto na porta do ssh.




> # Paramentros do Controle de acesso
> MACLIST=/etc/macxip
> echo " Configuracoes necessarias.....................[ OK ]"
> 
> # # Limpando Regras
> iptables -F
> iptables -X
> iptables -Z
> iptables -F INPUT
> ...


Provavelmente, agora, voce deva ter um servidor que possa fazer controle da sua rede, com acesso remoto e com uma certa seguranca.

----------


## AndrioPJ

*10. - Limite de Conexao (connlimit)*
O Objetivo principal do uso do connlimit é sobre a limitação de softwares p2p. Analisando o tráfego desse tipo de software, percebemos que tinha que atacar diretamente o fato deles abrirem muitas conexões simultâneas, mas, em alguns casos não é interessante limitar todas as portas, principalmente se parte de seus clientes são empresas e precisam de acesso full, o que é necessário então é limitar somente o P2P.

Faremos 2 tipo de limitacao:
1 somente para as portas nativas e outra para as portas nao nativas*10.1 - Limitando Portas nativas*crie uma tabela chamada CONNLIMIT.
coloque nessa tabela as principais portas: 20,21,23,25,53,110,443,1863,2210,31 28,5600,8080,8081

no final, ative o limite de 96 conexao simultaneas (--connlimit-above 96) para cada ip na rede (--connlimit-mask 32).
_PS limite pode ser alterado ao seu gosto..._

PS:alterando o (--connlimit-mask 32) para (--connlimit-mask 24) vc ira limitar uma rede ao todo, ao total de conexoes configuradas.
aqui eu deixei em "32", pois assim eu limito ip por ip.




> # Connlimit
> # Controle de conexao
> iptables -t mangle -N CONNLIMIT
> iptables -t mangle -A FORWARD -p TCP -d 0/0 -m multiport --destination-port 20,21,23,25,53,110,443 -j CONNLIMIT
> iptables -t mangle -A FORWARD -p TCP -d 0/0 -m multiport --destination-port 1863,2210,3128,5600,8080,8081 -j CONNLIMIT
> iptables -t mangle -A CONNLIMIT -p TCP -m state ! --state RELATED -m connlimit --connlimit-above 96 --connlimit-mask 32 -j DROP
> echo " Connlimit porta nativa iniciado...............[ OK ]"


*10.2 - Limitando Portas nao nativas*aqui eu criei uma outra tabela chamada CONLIMIT.
e limitei todas as outras portas para um total de 45 conexoes simultaneas...



> iptables -t mangle -N CONLIMIT
> iptables -t mangle -A FORWARD -p TCP -d 0/0 --dport 1:19 -j CONLIMIT
> iptables -t mangle -A FORWARD -p TCP -d 0/0 -m multiport --destination-port 22,24 -j CONLIMIT
> iptables -t mangle -A FORWARD -p TCP -d 0/0 --dport 26:52 -j CONLIMIT
> iptables -t mangle -A FORWARD -p TCP -d 0/0 --dport 54:79 -j CONLIMIT
> iptables -t mangle -A FORWARD -p TCP -d 0/0 --dport 81:109 -j CONLIMIT
> iptables -t mangle -A FORWARD -p TCP -d 0/0 --dport 111:442 -j CONLIMIT
> iptables -t mangle -A FORWARD -p TCP -d 0/0 --dport 444:1862 -j CONLIMIT
> iptables -t mangle -A FORWARD -p TCP -d 0/0 --dport 1864:2209 -j CONLIMIT
> ...


*
PS : Adicione essas regras antes da regra de Controle de acesso

**10.3**. - LINKs EXTRAS*Cotidiano em Linux: Limitando o trÃ¡fego P2P com Layer7 e Connlimit
https://under-linux.org/f88121-relat...neas-connlimit

----------


## fabiocs

Parabéns.... 
Muito bom... 
São pessoas iguais a você que representam verdadeiramente o Espírito Livre...

Viva o Linux!
Viva a liberdade de conhecimento...

Abraços,
Fabiocs

----------


## AndrioPJ

Continua...
reservado para:
Relatorios... (Squidgraph e Sarg);
Thunder Cache 3 - Aguardando versao final.

----------


## angelangra

Nossa meu amigo você mandou muito bem.
Está de parabéns

----------


## interhome

Parabens pelo esforço.

----------


## AndrioPJ

eu q tenho mto a agradecer...
agradecer as varias pessoas que ja me ajudaram.
aos varios topicos, tutoriais pela web que contribuiram com parte do conhecimento.

espero q com esse, mtos possam fazer a instalacao de maneira facil e funcional de um servidor para controle de sua rede.
PS: tou preparando um .pdf contendo a parte de download, gravacao e instalacao do fedora...o conteudo desse topico, e mais um pouco... tudo de maneira facil.
se alguem quiser ajudar... é so entrar em contato...

----------


## noir

parabens pelo material disponibilzado !!!! e bom ver pessoas com o espirito livre e compartilhando conhecimento.

----------


## AndrioPJ

Estou disponibilizando um material em .pdf que estou fazendo, ainda tem mta coisa a ser adicionada e revisado.
Porem, gostaria de saber o que acham dele ate o momento!?

se alguem tiver alguma dica, ideia, material que gostaria que fosse incluso no guia... sera bem vindo.

----------


## noir

daewww meu rei passando soh pra dizer q eu li o seu tutorial e posso dizer q ele esta ficando muito bom esse fds vou montar um server para testar ele vou juntar nele tambem um servidor samba e fazer o squid autenticar no samba e usando o sarg para gerar o relatorio.

ai posso te passar as configuraçoes para vc da uma olhada e se for o caso adicionar ao seu maravilhoso tutorial.

att.

Noir

----------


## AndrioPJ

grande
se realmente der para me mandar
seria bem vindo seus passos para o samba...

se nao for incomodo, gostaria que me passa-se junto: seu email e nome/apelido
para estar adicionando ao Guia.

----------


## noir

oi Andrio,

Esse fim de semana vou trabalhar em cima do samba e do material para te passar acredito q ate segunda esteja tudo pronto.

quando te mandar o material te passo nome e email ^^

abraços !!!

----------


## fenix_se

> Estou disponibilizando um material em .pdf que estou fazendo, ainda tem mta coisa a ser adicionada e revisado.
> Porem, gostaria de saber o que acham dele ate o momento!?
> 
> se alguem tiver alguma dica, ideia, material que gostaria que fosse incluso no guia... sera bem vindo.


Olá amigo.
Tenho alguns servidores rodando Fedora em provedores wireless que contam com tudo que está no seu guia e algo mais. Servidor de e-mail para visualização dos logs (logwatch) em sua conta tipo Gmail, Hotmail e outros, rotinas para o cron, Webmin para que usuários não técnicos possam operar a inclusão, retirada ou bloqueio de clientes usando o navegador de qualquer canto do mundo, etc... Sobre o controle de acesso por ipXmac sabemos que não é o ideal portanto proponho também procurarmos juntos uma solução do tipo Captive Portal já que pppo-e não roda muito muito bem sobre Wireless.
Bom, fica ai minha vontade de contribuir para que façamos um "Setup Perfeito" de um Servidor rodando Fedora 11, 12, 13...

----------


## GrayFox

O PPPoE só nao funciona se você nao tem uma rede wireless muito boa, pois se ela estiver funcionando legal, sem perda de pacote e com sinal satisfatório, funciona e muito bem.

Saudações,

----------


## AndrioPJ

> Olá amigo.
> Tenho alguns servidores rodando Fedora em provedores wireless que contam com tudo que está no seu guia e algo mais. Servidor de e-mail para visualização dos logs (logwatch) em sua conta tipo Gmail, Hotmail e outros, rotinas para o cron, Webmin para que usuários não técnicos possam operar a inclusão, retirada ou bloqueio de clientes usando o navegador de qualquer canto do mundo, etc... Sobre o controle de acesso por ipXmac sabemos que não é o ideal portanto proponho também procurarmos juntos uma solução do tipo Captive Portal já que pppo-e não roda muito muito bem sobre Wireless.
> Bom, fica ai minha vontade de contribuir para que façamos um "Setup Perfeito" de um Servidor rodando Fedora 11, 12, 13...


ola amigo
Seu conhecimento seria bem vindo...
Se estiver disponivel e querer compartilhar... poderia montar algum Guia de alguma ferramenta... ou ate mesmo, completar algo que ja foi dito.

Estarei entao, adicionando sua contribuicao e seu nome ao Guia... e assim, montaremos um Guia q podera servir de referencia a mtos que estao iniciando... assim como nos iniciamos um dia.
Sua contribuicao e de todos mais, sera bem vinda!


PS: que tipo de controle de acesso vc usa atualmente? controle dos usuarios

----------


## frozendesigner

também gostaria de contribuir...

----------


## lovenique

Olá amigos....
Estou com um projeto para desenolver uma serie de manuais de instalação de servidores e programas que a maioria dos ADMs de linux tem problemas....
Atualmente já postei 4 artigos. 

1º RAID1 Dando boot por ambos os HDs.

2º MANUAL de Squid e Dansguardian autenticacando com senha, e controle por hora.

3° MANUAL DE INSTALACAO SERVIDOR DE ARQUIVOS (PARA APRENDIZ E AVANÇADO )

4º MANUAL DE INSTALACAO SERVIDOR DE INTERNET (PARA APRENDIZ E AVANÇADO )

Atualmente estou desenvolvendo um artigo para servidor de Aplicativo JAVA e outro para Cluster...
Tenho em mente iniciar um tambem para PABX digital e CFTV...

Espero que tenham gostado do trabalho....

----------


## Shaoroc

otimo tudo manu 
muito bom e esplicativo 
Parabens Andrio

----------

