Beruflich Dokumente
Kultur Dokumente
http://www.vivaolinux.com.br/artigos/impressora.php?codigo=12881
1 de 10
03/06/2012 02:49
http://www.vivaolinux.com.br/artigos/impressora.php?codigo=12881
2 de 10
03/06/2012 02:49
http://www.vivaolinux.com.br/artigos/impressora.php?codigo=12881
http_access allow manager localhost http_access deny manager http_access allow purge localhost http_access deny purge http_access deny !Safe_ports http_access deny CONNECT !SSL_ports # Macs computadores de quem e Totalmente Liberado acl macsliberados arp "/etc/squid/macsliberados" http_access allow macsliberados # Macs computadores de quem e bloqueado acl macsbloqueados arp "/etc/squid/macsbloqueados" http_access deny macsbloqueados #Lista de Sites Bloqueados acl bloqueados url_regex -i "/etc/squid/bloqueados" http_access deny bloqueados #Lista de Macs de Pessoas Autorizadas e Fazer Downloads acl downloadsallow arp "/etc/squid/downloads.allow" http_access allow downloadsallow #Lista de Extensoes ex. ..exe . Bloqueadas acl downloadsdeny url_regex -i "/etc/squid/downloads.deny" http_access deny downloadsdeny acl LoginMSN dst loginnet.passport.com acl GatewayMSN url_regex gateway.dll http_access allow CONNECT LoginMSN http_access deny GatewayMSN #Aqui voc vai colocar a faixa de ip da sua rede local ex: 192.168.1.0/24 ou conforme abaixo: acl redelocal src 10.0.0.0/8 http_access allow localhost http_access allow redelocal http_access deny all forwarded_for off memory_pools off detect_broken_pconn on
Continuao - Configurando Squid Criando lista de MAC's Liberados: Aqui voc vai colocar os MAC's liberados na rede.
3 de 10
03/06/2012 02:49
http://www.vivaolinux.com.br/artigos/impressora.php?codigo=12881
# mcedit macsliberados 00:00:00:00:00:00 Criando lista de MAC's Bloqueados: Aqui voc vai colocar os MAC's sem acesso a internet. # mcedit macsbloqueados 00:00:00:00:00:00 Criando lista de Sites Bloqueados: Aqui voc vai colocar os sites bloqueados, fiz uma pequena lista dos que uso onde trabalho, caso necessite coloque ou retire algum da lista. # mcedit bloqueados www.orkut.com.br orkut.com.br www.orkut.com orkut.com www.youtube.com.br www.youtube.com youtube.com youtube.com.br www.ebuddy.com www.iloveim.com www.meebo.com www.homiez.cn www.facebook.com/ facebook.com/ www.facebook.com.br facebook.com.br #########################Lista de sites Msn www.mijnmessenger.nl/ www.iloveim.com/ msn.audiowatcher.com/ www.mangeloo.com www.imaginarlo.com/ piglet-im.com/ x6.iloveim.com x3.iloveim.com www.wbmsn.net/default.aspx www.msn2go.com www.e-messenget.net ibypass.com www.e-messenger.net
4 de 10
03/06/2012 02:49
http://www.vivaolinux.com.br/artigos/impressora.php?codigo=12881
x8.iloveim.com 85.184.4.4/ www.onlinemessenger.nl/ www.freepgs.com/defilter/ capetown.e-messenger.net www.phonefox.com www.mastaline.com www.piglet-im.com www.piglet.0900provider.nl boston.e-messenger.net vicotria.e-messenger.net atlanta.e-messenger.net mob.e-messenger.net arkansa.e-messenger.net pretoria.e-messenger.net chicago.e-messenger.net thevirtualbrowser.com/ http:/phonefox.com balancer.iloveim.com/servlets/login jabber.meta.net.nz/webmsg/register.php www.racewarkingdoms.com www.chrishemple.co.uk/proxy/ www.wbmsn.net/ www.piglet-im.com www.kolikoli.tk www.blockedsuks.co.nr www.researchhaven.com/Chat.htm www.webtal.com.br/imagens/msn.html. bombay.e-messenger.net/ capetown.e-messenger.net houston.e-messenger.net/servlet/login www.douradina.pr.gov.br/jacare/ www.messenger-online.com/emessenger.php Criando lista pessoas autorizadas a fazer downloads: Aqui voc vai colocar os MAC's que so autorizados a fazerem downloads na rede. # mcedit downloads.allow 00:00:00:00:00:00 Criando lista de extenses bloqueadas: Aqui voc vai colocar as extenses bloqueadas para downloads e visualizao na rede, as que esto listadas abaixo so as que eu uso fique a vontade para editalas # mcedit downloads.deny \.exe$
5 de 10
03/06/2012 02:49
http://www.vivaolinux.com.br/artigos/impressora.php?codigo=12881
\.com$ \.zip$ \.rar$ \.iso$ \.mp3$ \.wmv$ \.bat$ \.avi$ \.mpe$ \.mpg$ \.mpeg$ \.wav$ \.wma$ \.rmvb$
Criando script de Firewall Instalando rcconf para que possamos configurar servio e inicializao: # apt-get install rcconf Criando Script: # touch /etc/init.d/firewall Editando script: # mcedit /etc/init.d/firewall echo Limpando as tabelas e Chains iptables -F iptables -F -t nat iptables -F INPUT iptables -F OUTPUT iptables -F FORWARD iptables -t mangle -F iptables -t nat -F iptables -X echo Limpeza das Tabelas ..... [ok] ### Habilitando os mdulos modprobe iptable_nat modprobe ip_nat_ftp echo Modulos Carregados ..... [ok] ### Compartilhamento da Internet echo 1 > /proc/sys/net/ipv4/ip_forward iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE echo Internet Compartilhada ..... [ok]
6 de 10
03/06/2012 02:49
http://www.vivaolinux.com.br/artigos/impressora.php?codigo=12881
#Segurana #No responde a pings iptables -A INPUT -p icmp --icmp-type echo-request -j DROP #Proteo contra Ip Spoofing echo 1 > /proc/sys/net/ipv4/conf/default/rp_filter iptables -A INPUT -m state --state INVALID -j DROP #Autoriza pacotes provenientes da interface de loopback lo iptables -A INPUT -i lo -j ACCEPT iptables -A INPUT -i eth0 -j ACCEPT #Impedindo ataque Ping of Death na rede iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT #Impedindo ataque de Denial Of Service Dos na rede e servidor iptables -I FORWARD -p tcp -m limit --limit 1/s -j ACCEPT iptables -A INPUT -p tcp -m limit --limit 1/s -j ACCEPT #Protecao contra synflood echo "1" > /proc/sys/net/ipv4/tcp_syncookies #Protecao contra worms iptables -I FORWARD -p tcp --dport 135 -j LOG --log-level info --log-prefix 'WORMS REDE>' iptables -A FORWARD -p tcp --dport 135 -j DROP iptables -I INPUT -p tcp --dport 135 -j LOG --log-level info --log-prefix 'WORMS >' iptables -A INPUT -p tcp --dport 135 -j DROP #bloqueador de tentativas de conexo da internet iptables -A INPUT -p tcp --syn -j DROP echo Seguranca Carregada ..... [ok] #CONECTIVIDADE SOCIAL iptables -t nat -A PREROUTING -p tcp -d 200.201.0.0/16 -j ACCEPT iptables -A FORWARD -p tcp -d 200.201.0.0/16 -j ACCEPT echo Conectividade Social Carregada ..... [ok] #PROXY TRANSPARENTE iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128 echo Proxy Transparente Carregado ..... [ok] #BLOQUEAR MSN iptables -I FORWARD -p tcp -s 10.0.0.0/8 --dport 1863 -j DROP echo Bloqueio de Msn Carregado ..... [ok] #Redirecionamentos #EXEMPLO DE REDIRECIONAMENTO
7 de 10
03/06/2012 02:49
http://www.vivaolinux.com.br/artigos/impressora.php?codigo=12881
iptables -t nat -A PREROUTING -p tcp -s 0/0 --dport 3389 -i eth1 -j DNAT --to 10.1.1.10 iptables -t nat -A PREROUTING -p udp -s 0/0 --dport 3389 -i eth1 -j DNAT --to 10.1.1.10 Dando permisso de execuo ao arquivo: # chmod +x /etc/init.d/firewall Incluindo o Firewall na inicializao, para que o processo fique automtico: # rcconf Vai abrir uma lista de arquivos que so executados na inicializao do sistema, ache o Firewall e marque-o para que ele seja iniciado durante o processo de inicializao. Marque-a teclando a barra de espaos e em seguida tecle ENTER para confirmar as alteraes. Agora execute o script: # /etc/init.d/firewall Instalando e configurando Sarg "Gerador de Relatrios da Internet". Instalando Sarg: # apt-get install sarg Instalando apache2: # apt-get install apache2 Configurao do SARG no Ubuntu. Acesse a pasta de configurao do SARG: # cd /etc/sarg Abra as configuraes do sarg: # mcedit sarg.conf Alterar o idioma do SARG, altere a linha: language English Para: language Portuguese
8 de 10
03/06/2012 02:49
http://www.vivaolinux.com.br/artigos/impressora.php?codigo=12881
Para que as pginas dos relatrios gerados pelo SARG sejam visualizadas no navegador, necessrio "linkar" a pasta de sada dos relatrios do SARG para a pasta do servidor web. $ sudo ln -s /var/lib/sarg /var/www/ Retirando mensagem de erro aparece na sada da linha de comando: SARG: Unknown option site_user_time_date_type table Comente a seguinte linha do arquivo sarg.conf, editando o arquivo: # mcedit /etc/sarg/sarg.conf Para comentar basta voc colocar antes da comando um "#" como abaixo: #site_user_time_date_type table Para gerar os relatrios do SARG: # sarg Para acessar as pginas de relatrio geradas pelo SARG acesser: http:/ip-do-servidor/sarg Colocando SARG no cron: Para que o SARG seja executado automaticamente todos os dias, gerando os relatrios de acesso do SQUID automaticamente por dia: # mcedit /etc/cron.daily/sarg O script de execuo do SARG deve ficar conforme abaixo: #!/bin/sh if [ -x /usr/bin/sarg ]; then /usr/bin/sarg fi Para que o SARG execute antes do logrotate do SQUID necessrio alterar o nome do arquivo: # mv /etc/cron.daily/sarg /etc/cron.daily/ksarg Assim o script do SARG ir executar logo antes do script do logrotate, gerando os relatrios corretamente. Remover os scripts de executao semanal e mensal do SARG: # rm /etc/cron.weekly/sarg # rm /etc/cron.monthly/sarg
9 de 10
03/06/2012 02:49
http://www.vivaolinux.com.br/artigos/impressora.php?codigo=12881
Caso haja necessidade de colocar pra gerar relatrios minutos em minutos basta editar o contrab e acrescentar as seguintes linhas. Abra o crontab: # crontab -e Adicione a Seguinte linha no final: */30 * * * * root sh sarg > /dev/null 2>&1 Fim.
Referncias
Links dos artigos da qual eu usei de fonte, conhecimento e aperfeioamento do tutorial: http://www.vivaolinux.com.br/artigo/Servidor-de-internet-para-iniciantes-(Debian-Squeeze) http://www.viniciusmutter.com.br/2010/06/instalando-o-sarg-no-ubuntu-10-04-lts-lucid-lynx http://www.vivaolinux.com.br/artigo/Script-de-firewall-e-analise-de-log
10 de 10
03/06/2012 02:49