0504 configurando firewall kurumin - ScanSource Brasil ... · Configurando o Firewall no Kurumin...

Configurando o Firewall no Kurumin

Introdução O Linux de uma forma geral é relativamente imune a vírus, worms e trojans, que são a principal causa de invasões e dores de cabeça em geral no Windows. Isto não oapenas por que o Windows é usado em mais máquinas e por isso um alvo maior, mas também por que os aplicativos disponíveis no Linux são pela média bem mais seguros. Apenas um exemplo para não alongar muito:Se alguém já tentou contabilizar os vírus desistido, o programa já foi tão exploitado durante sua história que a única solução parece ser substituído definitivamente. Mas afinal, por que um simples leitor de edeveria mostrar apenas texto tem tantexto! O Outlook Express vem com suporte a ActiveX, Java Script, VB Script, arquivos executáveis e toda sorte de "tecnologias" que são um prato cheio para criadores de vírus. Para cada buraco que é fechado apar Veja o caso do Kmail por exemplo. Ele abre os eforma como deve ser. Se você recebe um enum link para exibi-lo com a formatação, caso contrário ele apenas nostrprocessar nada. Caso você receba um anexo qualquer, novamente vale a mesma regra. Ele é visto como um arquivo de texto até que você o salve no HD e diga o que quer fazer com ele. Isto garante que mesmo que o Kmail tenha problemas de bufferproblemas, dificilmente eles serão explorados. O programa é fundamentalmente mais seguro. Mesmo assim, brechas de segurança podem surgir onde menos se espera. Por exemplo, a alguns meses atrás foi descoberto um buffer overflow no servusado para desenvolver um exploit. Esta brecha não chegou a ser explorada, pois assim que a possível vulnerabilidade foi descoberta, uma correção foi rapidamente disponibilizada e a notícia se espelhou pelos sites de notícias. Anttempo de escrever um exploit, a maior parte dos servidores do mundo já estavam

www.cdcbrasil.com.br/ncomputing

BOLETIM TÉCNICO NComputing Brasil - #110311E


O Linux de uma forma geral é relativamente imune a vírus, worms e trojans, que são a principal causa de invasões e dores de cabeça em geral no Windows. Isto não oapenas por que o Windows é usado em mais máquinas e por isso um alvo maior, mas também por que os aplicativos disponíveis no Linux são pela média bem mais seguros.

Apenas um exemplo para não alongar muito: Se alguém já tentou contabilizar os vírus que afetam o Outlook Express já deve ter desistido, o programa já foi tão exploitado durante sua história que a única solução parece ser substituído definitivamente. Mas afinal, por que um simples leitor de edeveria mostrar apenas texto tem tantos problemas? Simples: por que mostra apenas texto! O Outlook Express vem com suporte a ActiveX, Java Script, VB Script, arquivos executáveis e toda sorte de "tecnologias" que são um prato cheio para criadores de vírus. Para cada buraco que é fechado aparecem dois.

Veja o caso do Kmail por exemplo. Ele abre os e-mails como texto puro por default, da forma como deve ser. Se você recebe um e-mail em html ele exibe um aviso e você clica

lo com a formatação, caso contrário ele apenas nostr

Caso você receba um anexo qualquer, novamente vale a mesma regra. Ele é visto como um arquivo de texto até que você o salve no HD e diga o que quer fazer com ele. Isto garante que mesmo que o Kmail tenha problemas de buffer overflow ou outros problemas, dificilmente eles serão explorados. O programa é fundamentalmente mais

Mesmo assim, brechas de segurança podem surgir onde menos se espera. Por exemplo, a alguns meses atrás foi descoberto um buffer overflow no servidor SSH, que poderia ser usado para desenvolver um exploit. Esta brecha não chegou a ser explorada, pois assim que a possível vulnerabilidade foi descoberta, uma correção foi rapidamente disponibilizada e a notícia se espelhou pelos sites de notícias. Antes que alguém tivesse tempo de escrever um exploit, a maior parte dos servidores do mundo já estavam


O Linux de uma forma geral é relativamente imune a vírus, worms e trojans, que são a principal causa de invasões e dores de cabeça em geral no Windows. Isto não ocorre apenas por que o Windows é usado em mais máquinas e por isso um alvo maior, mas também por que os aplicativos disponíveis no Linux são pela média bem mais seguros.

que afetam o Outlook Express já deve ter desistido, o programa já foi tão exploitado durante sua história que a única solução parece ser substituído definitivamente. Mas afinal, por que um simples leitor de e-mails, que

tos problemas? Simples: por que mostra apenas texto! O Outlook Express vem com suporte a ActiveX, Java Script, VB Script, arquivos executáveis e toda sorte de "tecnologias" que são um prato cheio para criadores de vírus.

mails como texto puro por default, da mail em html ele exibe um aviso e você clica

lo com a formatação, caso contrário ele apenas nostra o código, sem

Caso você receba um anexo qualquer, novamente vale a mesma regra. Ele é visto como um arquivo de texto até que você o salve no HD e diga o que quer fazer com ele. Isto

overflow ou outros problemas, dificilmente eles serão explorados. O programa é fundamentalmente mais

Mesmo assim, brechas de segurança podem surgir onde menos se espera. Por exemplo, a idor SSH, que poderia ser

usado para desenvolver um exploit. Esta brecha não chegou a ser explorada, pois assim que a possível vulnerabilidade foi descoberta, uma correção foi rapidamente

es que alguém tivesse tempo de escrever um exploit, a maior parte dos servidores do mundo já estavam

seguros. A moral da historia: é sempre muito melhor prevenir do que remediar e a melhor forma de se proteger contra brechas deste tipo é manter um firewal O Kurumin vem com um script que escreve que (modestia à parte) faz um trabalho muito bom. Ative-o em: Iniciar > Configuração do Sistema > Compartilhar Conexão e Firewall > Ativar Kurumin Firewall.

As opções que comento aqui são as encontradasusando uma versão antiga instalada no HD, clique no "Iniciar > Instalar novos programas > Atualizar ícones mágicos" para baixar a versão mais recente do script. Um firewall é um software que protege seu micro, bloqconexão indevidas vindas da Internet, ao mesmo tempo em que tenta limitar o mínimo possível o seu acesso à Internet e os seus compartilhamentos com os outros micros da rede local. Existem vários tipos de firewall. O firewallincluído no Kernel do Linux. Ele é um dos melhores (senão o melhor) firewall disponível atualmente, com uma enorme flexibilidade e excelente desempenho. Ao contrário da maioria das soluções para Windows, o Inão causando um impacto significativo no desempenho, mesmo em micros antigos. Você pode ativá-lo e desativá-lo a gosto, clicando nos ícones do menu, sem precisar reiniciar. O script pode ser usado tanto com o Kuinstalado no HD. A idéia básica por trás do configurador é criar o que chamo de firewall de bloqueio. Ele segue uma idéia bastante simples: Você diz as portas que gostaria de abrir e ele fecha todas as demais. Ouexcessão das que você disser explicitamente que deseja manter abertas. As portas são fechadas apenas para conexões de entrada, mas não para saída de dados.


A moral da historia: é sempre muito melhor prevenir do que remediar e a melhor forma de se proteger contra brechas deste tipo é manter um firewall ativo.

O Kurumin vem com um script que escreve que (modestia à parte) faz um trabalho muito o em: Iniciar > Configuração do Sistema > Compartilhar Conexão e Firewall >

As opções que comento aqui são as encontradas no script do Kurumin 2.11, se você está usando uma versão antiga instalada no HD, clique no "Iniciar > Instalar novos programas > Atualizar ícones mágicos" para baixar a versão mais recente do script.

Um firewall é um software que protege seu micro, bloqueando tentativas de invasão e conexão indevidas vindas da Internet, ao mesmo tempo em que tenta limitar o mínimo possível o seu acesso à Internet e os seus compartilhamentos com os outros micros da

Existem vários tipos de firewall. O firewall do Kurumin utiliza o Iptables, que é o firewall incluído no Kernel do Linux. Ele é um dos melhores (senão o melhor) firewall disponível atualmente, com uma enorme flexibilidade e excelente desempenho. Ao contrário da maioria das soluções para Windows, o Iptables consome um mínimo de processamento, não causando um impacto significativo no desempenho, mesmo em micros antigos. Você

lo a gosto, clicando nos ícones do menu, sem precisar reiniciar.

O script pode ser usado tanto com o Kurumin rodando a partir do CD quanto com ele instalado no HD. A idéia básica por trás do configurador é criar o que chamo de firewall de bloqueio. Ele segue uma idéia bastante simples: Você diz as portas que gostaria de abrir e ele fecha todas as demais. Ou seja, o firewall fecha por padrão todas as portas, com excessão das que você disser explicitamente que deseja manter abertas.

As portas são fechadas apenas para conexões de entrada, mas não para saída de dados.

A moral da historia: é sempre muito melhor prevenir do que remediar e a melhor forma

O Kurumin vem com um script que escreve que (modestia à parte) faz um trabalho muito o em: Iniciar > Configuração do Sistema > Compartilhar Conexão e Firewall >

no script do Kurumin 2.11, se você está usando uma versão antiga instalada no HD, clique no "Iniciar > Instalar novos programas >

ueando tentativas de invasão e conexão indevidas vindas da Internet, ao mesmo tempo em que tenta limitar o mínimo possível o seu acesso à Internet e os seus compartilhamentos com os outros micros da

do Kurumin utiliza o Iptables, que é o firewall incluído no Kernel do Linux. Ele é um dos melhores (senão o melhor) firewall disponível atualmente, com uma enorme flexibilidade e excelente desempenho. Ao contrário da

ptables consome um mínimo de processamento, não causando um impacto significativo no desempenho, mesmo em micros antigos. Você

lo a gosto, clicando nos ícones do menu, sem precisar reiniciar.

rumin rodando a partir do CD quanto com ele instalado no HD. A idéia básica por trás do configurador é criar o que chamo de firewall de bloqueio. Ele segue uma idéia bastante simples: Você diz as portas que gostaria de abrir e

seja, o firewall fecha por padrão todas as portas, com excessão das que você disser explicitamente que deseja manter abertas.

As portas são fechadas apenas para conexões de entrada, mas não para saída de dados.

Isso significa que ninguém conseguirá se cohabilitado por exemplo, mas você conseguirá acessar a Internet normalmente, com poucas limitações. Isso garante uma configuração de firewall bastante segura com um mínimo de dor de cabeça para você. Nas opções aKurumin para compartilhar a conexão com a rede local, como por exemplo direcionar faixas de portas para micros da rede interna, fechar portas de saída de forma a bloquear o uso de programas como o ICQ e o M A primeira pergunta é: Você gostaria que o firewall permita conexões vindas da rede local? Isso permite que você compartilhe arquivos, impressoras e outros recursos com os micros da rede local, ao mesmo tempo em que continua protegi Esta opção é útil principalmente ao usar o Kurumin para compartilhar a conexão entre vários micros, usando duas placas de rede. Neste caso, não se esqueça de ativar também o compartilhamento da conexão em Iniciar > Configuração do Sistema > Compartilhar Conexão e Firewall Respondendo sim ele perguntará a faixa de endereços usada na sua rede local. Se você responder "192.168.0.0" significa que ele aceitará pacotes vindos de qualquer micro que use um endereço IP entre 192.168.0.1 e 192.168.0.254:


Isso significa que ninguém conseguirá se conectar no servidor de FTP que você esqueceu habilitado por exemplo, mas você conseguirá acessar a Internet normalmente, com

Isso garante uma configuração de firewall bastante segura com um mínimo de dor de cabeça para você. Nas opções avançadas você tem acesso a opções úteis ao usar o Kurumin para compartilhar a conexão com a rede local, como por exemplo direcionar faixas de portas para micros da rede interna, fechar portas de saída de forma a bloquear o uso de programas como o ICQ e o MSN e assim por diante.

Você gostaria que o firewall permita conexões vindas da rede local? Isso permite que você compartilhe arquivos, impressoras e outros recursos com os micros da rede local, ao mesmo tempo em que continua protegido contra conexões vindas da Internet.

Esta opção é útil principalmente ao usar o Kurumin para compartilhar a conexão entre vários micros, usando duas placas de rede.

Neste caso, não se esqueça de ativar também o compartilhamento da conexão em Iniciar Configuração do Sistema > Compartilhar Conexão e Firewall

Respondendo sim ele perguntará a faixa de endereços usada na sua rede local. Se você responder "192.168.0.0" significa que ele aceitará pacotes vindos de qualquer micro que

192.168.0.1 e 192.168.0.254:

nectar no servidor de FTP que você esqueceu habilitado por exemplo, mas você conseguirá acessar a Internet normalmente, com

Isso garante uma configuração de firewall bastante segura com um mínimo de dor de vançadas você tem acesso a opções úteis ao usar o

Kurumin para compartilhar a conexão com a rede local, como por exemplo direcionar faixas de portas para micros da rede interna, fechar portas de saída de forma a bloquear o

Você gostaria que o firewall permita conexões vindas da rede local? Isso permite que você compartilhe arquivos, impressoras e outros recursos com os micros da rede local, ao

do contra conexões vindas da Internet.

Esta opção é útil principalmente ao usar o Kurumin para compartilhar a conexão entre

Neste caso, não se esqueça de ativar também o compartilhamento da conexão em Iniciar

Respondendo sim ele perguntará a faixa de endereços usada na sua rede local. Se você responder "192.168.0.0" significa que ele aceitará pacotes vindos de qualquer micro que

Em seguida você terá a opção de abrir portas TCP também para conexões vindas da Internet: Você gostaria que o firewall permita conexões vindas de alguma porta específica, como por exemplo na porta 22, usada pelo servidor Isto permitirá que você use o SSH, FTP ou outro servidor qualquer para acessar seu micro remotamente ou compartilhar arquivos com outras pessoas, mas abrirá uma possível brecha de segurança. Se você não sabe do que estou falando, Caso você responda não, então o firewall mantém todas as portas da conexão com a Internet fechadas. Ao responder sim você deve indicar uma a uma quais portas devem ficar abertas. Lembre-se do exemplo do SSH: todo servidor disponível para a potencial de segurança, por isso só abra as portas para os servidores que você realmente for utilizar. Você pode abrir também as portas usadas pelo bittorrent (6881 à 6889) ou portas usadas por jogos multiplayer por exemplo.


Em seguida você terá a opção de abrir portas TCP também para conexões vindas da

Você gostaria que o firewall permita conexões vindas de alguma porta específica, como por exemplo na porta 22, usada pelo servidor SSH vindas da internet?

Isto permitirá que você use o SSH, FTP ou outro servidor qualquer para acessar seu micro remotamente ou compartilhar arquivos com outras pessoas, mas abrirá uma possível

Se você não sabe do que estou falando, responda não.

Caso você responda não, então o firewall mantém todas as portas da conexão com a Internet fechadas. Ao responder sim você deve indicar uma a uma quais portas devem

se do exemplo do SSH: todo servidor disponível para a Internet é um risco potencial de segurança, por isso só abra as portas para os servidores que você realmente

Você pode abrir também as portas usadas pelo bittorrent (6881 à 6889) ou portas usadas por jogos multiplayer por exemplo.

Em seguida você terá a opção de abrir portas TCP também para conexões vindas da

Você gostaria que o firewall permita conexões vindas de alguma porta específica, como

Isto permitirá que você use o SSH, FTP ou outro servidor qualquer para acessar seu micro remotamente ou compartilhar arquivos com outras pessoas, mas abrirá uma possível

Caso você responda não, então o firewall mantém todas as portas da conexão com a Internet fechadas. Ao responder sim você deve indicar uma a uma quais portas devem

Internet é um risco potencial de segurança, por isso só abra as portas para os servidores que você realmente

Você pode abrir também as portas usadas pelo bittorrent (6881 à 6889) ou portas usadas

O script gera regras para o iptables com base nas suas respostas. Estas regras são executadas quando você conclui a configuração do Firewall e continuam sendo ativadas durante o boot até que você explicitamente clique no "Desativar Kurumin Firewall". Estas regras são armazenadas no arquivode texto. Você pode verificar as regras e até mesmo alteraresponder as perguntas do script todas novamente. Se você abriu o firewall para conexões vInternet por exemplo, o script ficará assim:----------------------- #!/bin/bash # Script de configuração do iptables gerado pelo configurador do Kurumin# Este script pode ser usado em outras distribuições Linu# Kernel 2.4 em diante # Por Carlos E. Morimoto # Abre para uma faixa de endereços da rede localiptables -A INPUT -p tcp --syn # Abre uma porta (inclusive para a Internet)iptables -A INPUT -p tcp --destination # Ignora pings echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_all # Proteções diversas contra portscanners, ping of death, ataques DoS, etc.iptables -A FORWARD -p icmp iptables -A FORWARD -p tcp iptables -A FORWARD -m state iptables -A FORWARD -p tcp iptables -A FORWARD --protocol tcp iptables -A FORWARD -m unclean # Abre para a interface de loopback.# Esta regra é essencial para o KDE e outros programas gráficos# funcionarem adequadamente. iptables -A INPUT -p tcp --syn


pt gera regras para o iptables com base nas suas respostas. Estas regras são executadas quando você conclui a configuração do Firewall e continuam sendo ativadas durante o boot até que você explicitamente clique no "Desativar Kurumin Firewall".

as são armazenadas no arquivo /etc/init.d/kurumin-firewall, que é um arquivo de texto. Você pode verificar as regras e até mesmo altera-las manualmente sem precisar responder as perguntas do script todas novamente.

Se você abriu o firewall para conexões vindas da rede local e abriu a porta 22 para Internet por exemplo, o script ficará assim:

# Script de configuração do iptables gerado pelo configurador do Kurumin# Este script pode ser usado em outras distribuições Linux que utilizam o

# Abre para uma faixa de endereços da rede local syn -s 192.168.0.0/255.255.255.0 -j ACCEPT

# Abre uma porta (inclusive para a Internet) destination-port 22 -j ACCEPT

echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_all

# Proteções diversas contra portscanners, ping of death, ataques DoS, etc.p icmp --icmp-type echo-request -m limit --limit 1/s p tcp -m limit --limit 1/s -j ACCEPT m state --state ESTABLISHED,RELATED -j ACCEPTp tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s protocol tcp --tcp-flags ALL SYN,ACK -j DROP

m unclean -j DROP

# Abre para a interface de loopback. # Esta regra é essencial para o KDE e outros programas gráficos # funcionarem adequadamente.

syn -s 127.0.0.1/255.0.0.0 -j ACCEPT

pt gera regras para o iptables com base nas suas respostas. Estas regras são executadas quando você conclui a configuração do Firewall e continuam sendo ativadas durante o boot até que você explicitamente clique no "Desativar Kurumin Firewall".

firewall, que é um arquivo las manualmente sem precisar

indas da rede local e abriu a porta 22 para

# Script de configuração do iptables gerado pelo configurador do Kurumin x que utilizam o

# Proteções diversas contra portscanners, ping of death, ataques DoS, etc. limit 1/s -j ACCEPT

j ACCEPT limit 1/s -j ACCEPT

# Ignora qualquer pacote de entrada, vindo de qualquer endereço, a menos que especificado o contrário acima. Bloqueia tudo. iptables -A INPUT -p tcp --syn ----------------------- As regras são auto explicativas. A receber qualquer conexo firewall primeiro verifica todas estas regras, seqüencialmente, para decidir de o pacote passa ou não.

• Se o pacote vier da rede local ele é aceito• Se o pacote for para porta 22 ele é aceito• Se for um ping ele é recusado (de

descobrirem se você está online).• Se o pacote se encaixar dentro de uma das regras que protegem contra ataques ele é

recusado. Sem conversa, um tiro na cabeça.• Se o pacote vier da sua própria máquina (um programa te

coisa na tela por exemplo) ele é aceito• Se o pacote for uma resposta a uma conexão que você iniciou, como por exemplo o

servidor do guiadohardware.net enviando a página do site que você está acessando ele é aceito.

• Se o pacote não se encaixar em nenhuma das regras acima, ele é simplesmente descartado pelo firewall. Ele não entra na sua máquina e o emissor não recebe qualquer resposta. Ele não sabe se o pacote foi recebido ou não, fica no vácuo, o que dá a impressão de que o seu micro n

Depois das duas perguntas da versão básica, você tem a opção de acessar as opções avançadas do script. Elas permitem usar mais alguns truques do iptables, como direcionar portas e bloquear também portas de saída, para evitar que outros micinterna usem o ICQ e o MSN por exemplo.


# Ignora qualquer pacote de entrada, vindo de qualquer endereço, a menos que especificado o contrário acima. Bloqueia tudo.

syn -j DROP

As regras são auto explicativas. A receber qualquer conexão, vinda de qualquer endereço o firewall primeiro verifica todas estas regras, seqüencialmente, para decidir de o pacote

Se o pacote vier da rede local ele é aceito Se o pacote for para porta 22 ele é aceito Se for um ping ele é recusado (de forma a dificultar um pouco para outros descobrirem se você está online). Se o pacote se encaixar dentro de uma das regras que protegem contra ataques ele é recusado. Sem conversa, um tiro na cabeça. Se o pacote vier da sua própria máquina (um programa tentando mostrar alguma coisa na tela por exemplo) ele é aceito Se o pacote for uma resposta a uma conexão que você iniciou, como por exemplo o servidor do guiadohardware.net enviando a página do site que você está acessando

encaixar em nenhuma das regras acima, ele é simplesmente descartado pelo firewall. Ele não entra na sua máquina e o emissor não recebe qualquer resposta. Ele não sabe se o pacote foi recebido ou não, fica no vácuo, o que dá a impressão de que o seu micro nem está online.

Depois das duas perguntas da versão básica, você tem a opção de acessar as opções avançadas do script. Elas permitem usar mais alguns truques do iptables, como direcionar portas e bloquear também portas de saída, para evitar que outros micros da sua rede interna usem o ICQ e o MSN por exemplo.

# Ignora qualquer pacote de entrada, vindo de qualquer endereço, a menos que

ão, vinda de qualquer endereço o firewall primeiro verifica todas estas regras, seqüencialmente, para decidir de o pacote

forma a dificultar um pouco para outros

Se o pacote se encaixar dentro de uma das regras que protegem contra ataques ele é

ntando mostrar alguma

Se o pacote for uma resposta a uma conexão que você iniciou, como por exemplo o servidor do guiadohardware.net enviando a página do site que você está acessando

encaixar em nenhuma das regras acima, ele é simplesmente descartado pelo firewall. Ele não entra na sua máquina e o emissor não recebe qualquer resposta. Ele não sabe se o pacote foi recebido ou não, fica no vácuo, o que

Depois das duas perguntas da versão básica, você tem a opção de acessar as opções avançadas do script. Elas permitem usar mais alguns truques do iptables, como direcionar

ros da sua rede

Antes de começar você precisa definir qual é a interface que está conectada na Internet e qual está conectada na rede local para que o script possa criar as regras corretamente. Você pode verificar isso rapidamente rodando o comando "sudo ifconfig". Em resumo: Se você tem duas placas de rede então uma é a eth0 e a outra a eth1. Você vai saber qual está com o cabo da rede local logo que for configurar a rede. Se você se conecta na Internet usando via PPPoE então o sistema utiliza uma interface virtual chamadaconexão via modem) no lugar de usar a localização correta da placa de rede.

Em seguida caímos na tela de opções. Lembre


Antes de começar você precisa definir qual é a interface que está conectada na Internet e qual está conectada na rede local para que o script possa criar as regras corretamente.

r isso rapidamente rodando o comando "sudo ifconfig". Em resumo:

Se você tem duas placas de rede então uma é a eth0 e a outra a eth1. Você vai saber qual está com o cabo da rede local logo que for configurar a rede.

Se você se conecta na Internet usando uma conexão via ADSL ou cabo com autenticação via PPPoE então o sistema utiliza uma interface virtual chamada ppp0 (como se fosse uma conexão via modem) no lugar de usar a localização correta da placa de rede.

Em seguida caímos na tela de opções. Lembre-se que as regras do iptables são

Antes de começar você precisa definir qual é a interface que está conectada na Internet e qual está conectada na rede local para que o script possa criar as regras corretamente.

r isso rapidamente rodando o comando "sudo ifconfig". Em resumo:

Se você tem duas placas de rede então uma é a eth0 e a outra a eth1. Você vai saber qual

uma conexão via ADSL ou cabo com autenticação (como se fosse uma

conexão via modem) no lugar de usar a localização correta da placa de rede.

se que as regras do iptables são

processadas seqüencialmente, desde que as regras não conflitem entre sí, você pode criar quantas regras forem necessárias e em qualquer ordem. A própria tela de opções fica em loop, permitindo ir adicionando opções até quescolha a opção f:

Nós já conhecemos as opçõesopção b (abrir uma porta do firewall). Elas são as mesmas opções que vimos na configuração inicial do Firewall. Mas, a opção a tem mais umaImagine que você queira dar acesso aos micros da filial da sua empresa em Marabá, onde usam um link com o ip fixo 200.220.234.12. Você poderia abrir a faixa 200.220.234.0 de forma que o firewall permitisse acessos vindos de lá, mas continuasse bloqueando o restante. Você pode abrir para várias faixas de endereços distintas. A opção c (Redirecionar uma faixa de portas para um micro da rede local) também é interessante. Você deve lembrar que ao servidor que está com a conexão recebe conexões vindas da Internet. Os micros da rede local acessam via NAT e apenas recebem respostas para conexões iniciadas por eles.


processadas seqüencialmente, desde que as regras não conflitem entre sí, você pode criar quantas regras forem necessárias e em qualquer ordem.

A própria tela de opções fica em loop, permitindo ir adicionando opções até qu

Nós já conhecemos as opções a (adicionar uma faixa de endereços para a rede local) e a (abrir uma porta do firewall). Elas são as mesmas opções que vimos na

configuração inicial do Firewall.

tem mais uma função além de abrir o firewall para os micros da rede local. Imagine que você queira dar acesso aos micros da filial da sua empresa em Marabá, onde usam um link com o ip fixo 200.220.234.12. Você poderia abrir a faixa 200.220.234.0 de

l permitisse acessos vindos de lá, mas continuasse bloqueando o restante. Você pode abrir para várias faixas de endereços distintas.

A opção c (Redirecionar uma faixa de portas para um micro da rede local) também é

Você deve lembrar que ao compartilhar uma conexão entre vários micros, apenas o servidor que está com a conexão recebe conexões vindas da Internet. Os micros da rede local acessam via NAT e apenas recebem respostas para conexões iniciadas por eles.

processadas seqüencialmente, desde que as regras não conflitem entre sí, você pode criar

A própria tela de opções fica em loop, permitindo ir adicionando opções até que você

(adicionar uma faixa de endereços para a rede local) e a (abrir uma porta do firewall). Elas são as mesmas opções que vimos na

função além de abrir o firewall para os micros da rede local. Imagine que você queira dar acesso aos micros da filial da sua empresa em Marabá, onde usam um link com o ip fixo 200.220.234.12. Você poderia abrir a faixa 200.220.234.0 de

l permitisse acessos vindos de lá, mas continuasse bloqueando o

A opção c (Redirecionar uma faixa de portas para um micro da rede local) também é

compartilhar uma conexão entre vários micros, apenas o servidor que está com a conexão recebe conexões vindas da Internet. Os micros da rede local acessam via NAT e apenas recebem respostas para conexões iniciadas por eles.

Mas, imagine que você queira qumicro192.168.0.3 da rede local fique disponível para a Internet? É justamente isso que esta opção permite fazer. Você pode direcionar uma porta ou faixa de portas do servidor para um micro da rede local, de forma que ele passe a receber as conexões vindas da Internet. Fazendo isso, quando o servidor receber uma conexão qualquer na porta 80 ele a repassará para o micro 192.168.0.3, de forma que emissor nem perceba que quem respondeu a solicitação foi outro servidor. Esta opção pode ser usada também para permitir que os micros da rede local recebam chamadas do net meeting, joguem online e qualquer outra tarefa onde seja necessária manter uma determinada porta aberta. A limitação é que continua existindo um única pque apenas um micro da rede interna pode receber cada porta de cada vez. Veja um exemplo de como redirecionar as portas 6881 à 6889 usadas pelo bittorrent para o micro 192.168.0.2 da rede local:

As opções d e e do configurador são opções de censura. Eu não gosto muito delas, mas parece que algumas pessoas acham muito importante limitar o que os outros podem


Mas, imagine que você queira que um servidor Web, escutando na portada rede local fique disponível para a Internet? É justamente isso que

Você pode direcionar uma porta ou faixa de portas do servidor para um micro da rede a que ele passe a receber as conexões vindas da Internet. Fazendo isso,

quando o servidor receber uma conexão qualquer na porta 80 ele a repassará para o micro 192.168.0.3, de forma que emissor nem perceba que quem respondeu a solicitação

Esta opção pode ser usada também para permitir que os micros da rede local recebam chamadas do net meeting, joguem online e qualquer outra tarefa onde seja necessária manter uma determinada porta aberta.

A limitação é que continua existindo um única por 80, uma única porta 21, etc. De forma que apenas um micro da rede interna pode receber cada porta de cada vez.

Veja um exemplo de como redirecionar as portas 6881 à 6889 usadas pelo bittorrent para o micro 192.168.0.2 da rede local:

do configurador são opções de censura. Eu não gosto muito delas, mas parece que algumas pessoas acham muito importante limitar o que os outros podem

e um servidor Web, escutando na porta 80 do da rede local fique disponível para a Internet? É justamente isso que

Você pode direcionar uma porta ou faixa de portas do servidor para um micro da rede a que ele passe a receber as conexões vindas da Internet. Fazendo isso,

quando o servidor receber uma conexão qualquer na porta 80 ele a repassará para o micro 192.168.0.3, de forma que emissor nem perceba que quem respondeu a solicitação

Esta opção pode ser usada também para permitir que os micros da rede local recebam chamadas do net meeting, joguem online e qualquer outra tarefa onde seja necessária

or 80, uma única porta 21, etc. De forma que apenas um micro da rede interna pode receber cada porta de cada vez.

Veja um exemplo de como redirecionar as portas 6881 à 6889 usadas pelo bittorrent para

do configurador são opções de censura. Eu não gosto muito delas, mas parece que algumas pessoas acham muito importante limitar o que os outros podem

fazer. A opção d permite bloquear portas de saída, ou seja bloquear portas no sentido Rede local > Internet. Isso permite bloquear o uso de determinados programas que utilizem estas portas. O MSN por exemplo utiliza as portas 1863 e 5190 (é preciso bloquear as duas), se você bloqueá-las no firewall o MSN não conseguirá mais se conectar na rede em nenhum dos micros da rede local e nem mesmo a partir do próprio servidor.

A opção e é um batch que bloqueia várias portas usadas por programas P2P. Ela não é totalmente efetiva pois estes programas utilizam técnicas para burlar vários tipos de proteção, mas de qualquer forma o uso dessa opção deve dificultar um pouco as coisas. Depois de terminar, pressione a teclajanela do kedit com o conteúdo do arquivovocê possa revisar as regras criadas e alterar qualquer coisa que achar necessária. Fechando a janela o firewall já fica ativo e configurado para carregar automaticamente durante o boot.


permite bloquear portas de saída, ou seja bloquear portas no sentido Rede local et. Isso permite bloquear o uso de determinados programas que utilizem estas

portas. O MSN por exemplo utiliza as portas 1863 e 5190 (é preciso bloquear as duas), se las no firewall o MSN não conseguirá mais se conectar na rede em nenhum

icros da rede local e nem mesmo a partir do próprio servidor.

é um batch que bloqueia várias portas usadas por programas P2P. Ela não é totalmente efetiva pois estes programas utilizam técnicas para burlar vários tipos de

lquer forma o uso dessa opção deve dificultar um pouco as coisas.

Depois de terminar, pressione a tecla f para salvar todas as alterações. O script abrirá uma janela do kedit com o conteúdo do arquivo /etc/init.d/kurumin-firewall

sa revisar as regras criadas e alterar qualquer coisa que achar necessária.

Fechando a janela o firewall já fica ativo e configurado para carregar automaticamente

permite bloquear portas de saída, ou seja bloquear portas no sentido Rede local et. Isso permite bloquear o uso de determinados programas que utilizem estas

portas. O MSN por exemplo utiliza as portas 1863 e 5190 (é preciso bloquear as duas), se las no firewall o MSN não conseguirá mais se conectar na rede em nenhum

é um batch que bloqueia várias portas usadas por programas P2P. Ela não é totalmente efetiva pois estes programas utilizam técnicas para burlar vários tipos de

lquer forma o uso dessa opção deve dificultar um pouco as coisas.

para salvar todas as alterações. O script abrirá uma firewall gerado para que

sa revisar as regras criadas e alterar qualquer coisa que achar necessária.

Fechando a janela o firewall já fica ativo e configurado para carregar automaticamente

Autenticando Squid no AD utilizando grupos do AD como base para o acesso, dpodemos habilitar a utilização do proxy ou não para os usuários, liberando ou não a utilização do MSN para os usuários também e permitindo que os administradores ou a diretoria navegue sem restrições.

Configuração no Windows

Vamos precisar saber algumas informações e vamos precisar criar um usuário no Windows. Precisamos saber qual é domínio do AD (Active Directory). Clique no iniciar, depois em executar, digite Com este comando ele vai abrir o gerenciamento qual é o nome do domínio. Exemplo: dominio.local. Criar usuário: Vamos criar um usuário para autenticar o Squid onde você cria seus usuários. Crie um usuário com o nome "squid" e defina um senha para ele. Vamos criar também 3 grupos.

� PROXY_ADM

� PROXY_MSN

� PROXY_USERS

Porque os grupos?

� O usuário do AD que estiver dentro do grupo PROXY_ADM terá acesso total as

páginas;

� O usuário do AD que estiver dentro do grupo PROXY_USERS terá acesso as páginas,

mas com o bloqueios determinados;

� O usuário do AD que estiver dentro do grupo PROXY_MSN terá acesso ao MSN.


Autenticando Squid no AD utilizando grupos do AD como base para o acesso, dpodemos habilitar a utilização do proxy ou não para os usuários, liberando ou não a utilização do MSN para os usuários também e permitindo que os administradores ou a diretoria navegue sem

saber algumas informações e vamos precisar criar um usuário no

Precisamos saber qual é domínio do AD (Active Directory).

Clique no iniciar, depois em executar, digite dsa.msc e pressione ENTER.

Com este comando ele vai abrir o gerenciamento de usuários e grupos do AD, verifique qual é o nome do domínio. Exemplo: dominio.local.

Vamos criar um usuário para autenticar o Squid onde você cria seus usuários.

Crie um usuário com o nome "squid" e defina um senha para ele.

criar também 3 grupos.

O usuário do AD que estiver dentro do grupo PROXY_ADM terá acesso total as

O usuário do AD que estiver dentro do grupo PROXY_USERS terá acesso as páginas,

os determinados;

O usuário do AD que estiver dentro do grupo PROXY_MSN terá acesso ao MSN.

Autenticando Squid no AD utilizando grupos do AD como base para o acesso, de forma que podemos habilitar a utilização do proxy ou não para os usuários, liberando ou não a utilização do MSN para os usuários também e permitindo que os administradores ou a diretoria navegue sem

saber algumas informações e vamos precisar criar um usuário no

e pressione ENTER.

de usuários e grupos do AD, verifique

Vamos criar um usuário para autenticar o Squid onde você cria seus usuários.

O usuário do AD que estiver dentro do grupo PROXY_ADM terá acesso total as

O usuário do AD que estiver dentro do grupo PROXY_USERS terá acesso as páginas,

O usuário do AD que estiver dentro do grupo PROXY_MSN terá acesso ao MSN.

IMPORTANTE: Se o usuário não estiver no grupo PROXY_USERS ou PROXY_ADM ele não navegará.

Instalando e configurando o Squid

A distribuição utilizada para este artig Instalação do Squid: # yast -i squid Depois de instalado o Squid cria o diretório /etc/squid com os arquivos de configuração e são eles que vamos usar, digite: # cd /etc/squid Faça uma cópia do squid.conf: # cp squid.conf squid.conf.old Agora vamos editar o arquivo squid.conf: # vi squid.conf Procure a linha: #http_port 3128 E descomente-a, deixando assim:

# porta pela qual o Squid libera o acessohttp_port 3128 Salve e saia: <ESC> :wq <ENTER> Pesquise pelo binário squid_ldap_auth:


IMPORTANTE: Se o usuário não estiver no grupo PROXY_USERS ou PROXY_ADM ele não

Instalando e configurando o Squid

A distribuição utilizada para este artigo foi o SUSE Linux 10.2.

Depois de instalado o Squid cria o diretório /etc/squid com os arquivos de configuração e são eles que vamos usar, digite:

Faça uma cópia do squid.conf:

# cp squid.conf squid.conf.old

Agora vamos editar o arquivo squid.conf:

a, deixando assim:

# porta pela qual o Squid libera o acesso

Pesquise pelo binário squid_ldap_auth:

IMPORTANTE: Se o usuário não estiver no grupo PROXY_USERS ou PROXY_ADM ele não

Depois de instalado o Squid cria o diretório /etc/squid com os arquivos de configuração e

# find / -iname squid_ldap_auth Você deve obter o caminho completo do binário: /usr/sbin/squid_ldap_auth Agora vamos editar o arquivo squid.conf novamente: # vi squid.conf Localize a linha: #auth_param basic program /usr/libexec/ncsa_auth /usr/etc/passwd E adicione abaixo dela a seguinte linha:

auth_param basic program /usr/sbin/squid_ldap_auth sAMAccountName=%s -h 192.168.0.254 password Explicação:

� dc=dominio,dc=local = domínio do AD ( meu exemplo no início, dominio.local)

� 192.168.0.254 = Endereço IP do servidor AD

� cn=squid,cn=users,dc=dominio,dc=local = Caminho completo de onde está o

usuário

� password = A senha que foi definida no AD

Descomente as seguinte linhas também:

auth_param basic children 5auth_param basic realm Digite sua senhaauth_param basic credentialsttl 2 hoursauth_param basic casesensitive off <ESC> :wq <ENTER> Pesquise pelo binário squid_ldap_group:


iname squid_ldap_auth

Você deve obter o caminho completo do binário:

/usr/sbin/squid_ldap_auth

Agora vamos editar o arquivo squid.conf novamente:

#auth_param basic program /usr/libexec/ncsa_auth /usr/etc/passwd

E adicione abaixo dela a seguinte linha:

auth_param basic program /usr/sbin/squid_ldap_auth -R -b dc=dominio,dc=local h 192.168.0.254 -D cn=squid,cn=users,dc=dominio,dc=local

dc=dominio,dc=local = domínio do AD ( meu exemplo no início, dominio.local)

192.168.0.254 = Endereço IP do servidor AD

cn=squid,cn=users,dc=dominio,dc=local = Caminho completo de onde está o

password = A senha que foi definida no AD

Descomente as seguinte linhas também:

auth_param basic children 5 auth_param basic realm Digite sua senha auth_param basic credentialsttl 2 hours auth_param basic casesensitive off

ise pelo binário squid_ldap_group:

b dc=dominio,dc=local -f n=squid,cn=users,dc=dominio,dc=local -w

dc=dominio,dc=local = domínio do AD ( meu exemplo no início, dominio.local)


# find / -iname squid_ldap_group Você deve obter o caminho completo do binário: /usr/sbin/squid_ldap_group Agora vamos editar o arquivo squid.conf novamente: # vi squid.conf Localize no arquivo que trata sobrepouco e adicione a seguinte linha:

external_acl_type ldap_group %LOGIN /usr/sbin/squid_ldap_group "dc=dominio,dc=local" -D cn=squid,cn=users,dc=dominio,dc=local "(&(objectclass=person)(sAMAccountName=%v)(memberof=cn=%a,ou=groups,dc=dominio,dc=local))" -h 192.168.0.254 Explicação:

� dc=dominio,dc=local = domínio do AD ( meu exemplo no início, dominio.local);

� 192.168.0.254 = Endereço IP do servidor AD;

� cn=squid,cn=users,dc=dominio,dc=local

usuário;

� password = A senha que foi definida no AD;

� memberof=cn=%a,ou=groups,dc=dominio,dc=local = Local onde foi criado os 3

grupos no AD;

<ESC> :wq <ENTER> Configurações das regras do Squid

Digite: # vi /etc/squid/squid.conf Vamos criar as ACLs.


iname squid_ldap_group

Você deve obter o caminho completo do binário:

/usr/sbin/squid_ldap_group

Agora vamos editar o arquivo squid.conf novamente:

Localize no arquivo que trata sobre external_acl_type logo abaixo do que alteramos a pouco e adicione a seguinte linha:

external_acl_type ldap_group %LOGIN /usr/sbin/squid_ldap_group -R -D cn=squid,cn=users,dc=dominio,dc=local -w password (sAMAccountName=%v)(memberof=cn=%a,ou=groups,dc=domini

h 192.168.0.254

dc=dominio,dc=local = domínio do AD ( meu exemplo no início, dominio.local);

192.168.0.254 = Endereço IP do servidor AD;


password = A senha que foi definida no AD;

memberof=cn=%a,ou=groups,dc=dominio,dc=local = Local onde foi criado os 3

Configurações das regras do Squid

external_acl_type logo abaixo do que alteramos a

-b w password -f

(sAMAccountName=%v)(memberof=cn=%a,ou=groups,dc=domini

dc=dominio,dc=local = domínio do AD ( meu exemplo no início, dominio.local);

= Caminho completo de onde está o

memberof=cn=%a,ou=groups,dc=dominio,dc=local = Local onde foi criado os 3

Procure a linha: #acl password proxy_auth REQUIRED Descomente-a:

acl password proxy_auth REQUIRED Crie ACLs com as seguintes informações:

# Administradores - Acesso total liberadoacl proxyadmins external ldap_g # Grupo para acesso a Internetacl proxyusers external ldap_group PROXY_USERS # Grupo para acesso ao MSNacl proxymsn external ldap_group PROXY_MSN # Regras de bloqueio/desbloqueio de conteudo # Controle de downloads # Sites que nao precisam de autenticacaoacl sites_sem_autenticacao dstdom_regex # Controle de uso do MSN acl msn_urls urlpath_regex #acl msn_ips dst -i "/etc/squid/rules/msn_ips" # Controle de downloads acl downloads_proibidos urlpath_regex acl downloads_permitidos urlpath_regex # Controle de palavras acl palavras_proibidas url_regex acl palavras_permitidas url_regex # Controle de dominios acl sites_proibidos dstdom_regex


#acl password proxy_auth REQUIRED

acl password proxy_auth REQUIRED

Crie ACLs com as seguintes informações:

Acesso total liberado acl proxyadmins external ldap_group PROXY_ADM

# Grupo para acesso a Internet acl proxyusers external ldap_group PROXY_USERS

# Grupo para acesso ao MSN acl proxymsn external ldap_group PROXY_MSN

# Regras de bloqueio/desbloqueio de conteudo

cisam de autenticacao acl sites_sem_autenticacao dstdom_regex -i "/etc/squid/rules/sites_sem_autenticacao"

acl msn_urls urlpath_regex -i "/etc/squid/rules/msn_urls"

i "/etc/squid/rules/msn_ips"

acl downloads_proibidos urlpath_regex -i "/etc/squid/rules/downloads_proibidos"acl downloads_permitidos urlpath_regex -i "/etc/squid/rules/downloads_permitidos"

acl palavras_proibidas url_regex -i "/etc/squid/rules/palavras_proibidas"acl palavras_permitidas url_regex -i "/etc/squid/rules/palavras_permitidas"

acl sites_proibidos dstdom_regex -i "/etc

i "/etc/squid/rules/sites_sem_autenticacao"

i "/etc/squid/rules/downloads_proibidos" i "/etc/squid/rules/downloads_permitidos"

proibidas" i "/etc/squid/rules/palavras_permitidas"

/squid/rules/sites_proibidos"acl sites_permitidos dstdom_regex # Controle de URL's acl urls_proibidas url_regex acl urls_permitidas url_regex #Configuracao das regras: # Libera sites sem autenticacaohttp_access allow sites_sem_autenticacao # Libera acesso total para administradoreshttp_access allow proxyadmins# Controle de uso do MSN http_access deny msn_urls !proxymsn#http_access deny msn_ips !proxymsn # Controle de downloads http_access deny downloads_proibidos !downloads_permitidos!urls_permitidas # Controle de palavras http_access deny palavras_proibidas !sites_permitidos !urls_permitidas # Controle de sites http_access deny sites_proibidos # Controle de URL's http_access deny urls_proibidas !urls_permitidas # Libera acesso para usuarios autenticadoshttp_access allow password proxyusers # Example rule allowing access from your local networks. # to list your (internal) IP networks from where browsing should# be allowed http_access allow localhost


/squid/rules/sites_proibidos" acl sites_permitidos dstdom_regex -i "/etc/squid/rules/sites_permitidos"

acl urls_proibidas url_regex -i "/etc/squid/rules/urls_proibidas" acl urls_permitidas url_regex -i "/etc/squid/rules/urls_permitidas"

# Libera sites sem autenticacao http_access allow sites_sem_autenticacao

# Libera acesso total para administradores http_access allow proxyadmins

http_access deny msn_urls !proxymsn #http_access deny msn_ips !proxymsn

http_access deny downloads_proibidos !downloads_permitidos !sites_permitidos

http_access deny palavras_proibidas !sites_permitidos !urls_permitidas

http_access deny sites_proibidos

http_access deny urls_proibidas !urls_permitidas

# Libera acesso para usuarios autenticados http_access allow password proxyusers

# Example rule allowing access from your local networks. Adapt # to list your (internal) IP networks from where browsing should

http_access allow localhost

i "/etc/squid/rules/sites_permitidos"

!sites_permitidos

http_access deny palavras_proibidas !sites_permitidos !urls_permitidas

# And finally deny all other access to this proxyhttp_access deny all Feito isso salve e feche o arquivo. <ESC> :wq <ENTER> Criando arquivos e iniciando o Squid

Para finalizar as configurações vamos criar os arquivos onde ficarão as regras: # mkdir /etc/squid/rules # touch /etc/squid/rules/sites_sem_autenticacao# touch /etc/squid/rules/msn_urls# touch /etc/squid/rules/msn_ips# touch /etc/squid/rules/downloads_proibidos# touch /etc/squid/rules/downloads_permitidos# touch /etc/squid/rules/palavras_p# touch /etc/squid/rules/palavras_permitidas# touch /etc/squid/rules/sites_proibidos# touch /etc/squid/rules/sites_permitidos# touch /etc/squid/rules/urls_proibidas# touch /etc/squid/rules/urls_permitidas E dentro de cada arquivo adicionar ade acordo com o nome de cada arquivo. Vamos criar o cache para o Squid: # squid -z Agora vamos iniciar o Squid: # /etc/rc.d/squid start ou # rcsquid restart Para garantir que o serviço irá inicia # chkconfig squid on


nd finally deny all other access to this proxy

Feito isso salve e feche o arquivo.

Criando arquivos e iniciando o Squid

Para finalizar as configurações vamos criar os arquivos onde ficarão as regras:

# touch /etc/squid/rules/sites_sem_autenticacao # touch /etc/squid/rules/msn_urls # touch /etc/squid/rules/msn_ips # touch /etc/squid/rules/downloads_proibidos # touch /etc/squid/rules/downloads_permitidos # touch /etc/squid/rules/palavras_proibidas # touch /etc/squid/rules/palavras_permitidas # touch /etc/squid/rules/sites_proibidos # touch /etc/squid/rules/sites_permitidos # touch /etc/squid/rules/urls_proibidas # touch /etc/squid/rules/urls_permitidas

E dentro de cada arquivo adicionar as URLs ou palavras a serem bloqueadas ou liberadas de acordo com o nome de cada arquivo.

Vamos criar o cache para o Squid:

Agora vamos iniciar o Squid:

Para garantir que o serviço irá iniciar caso seja feito reboot no servidor digite:

Para finalizar as configurações vamos criar os arquivos onde ficarão as regras:

s URLs ou palavras a serem bloqueadas ou liberadas

r caso seja feito reboot no servidor digite:

E pronto, seu Squid já estará autenticando os usuários, agora basta configurar no navegador das estações para que usem proxy. Lembrenavegar ele tem que estar em dos grupos do AD (PROXY_ADM ou PROXY_USERS).Squid autenticando no Active Directory (AD) Windows 2008 Server

Essa dica é para quem estava acostumado a usar a autenticação MSNT_AUTH tentou usar em uma rede com AD do Windows 2008, descobriu que essa autenticação não funciona mais. Ou mesmo um servidor proxy Squid novo que queira instalar em sua rede e fazê-lo autenticar no servidor do Domínio Win2008. Para fazer o Squid reconhecer que a conta do usbasta alterar a forma de autenticação de MSNT_AUTH para o autenticadorExemplo:

� Faça um backup do seu arquivo squid.conf;

� Faça essa alteração em seu servidor por sua conta e risco.

Cenário de teste:

� IP do Servidor Win2008 = 192.168.0.100

� Domínio (AD) = contoso.local

Depois é só alterar seu arquivo # vi /etc/squid/squid.conf * Substitua a autenticação MSNT_AUTH, se já estava utilizando, por essas lin

# linha 1 - Parâmetros para Consultar Usuários no AD:auth_param basic program /usr/lib/squid/ldap_auth "cn=Administrador,cn=Users,dc=contoso,dc=local" sAMAccountName=%s -h 192.168.0.100# linha 2: auth_param basic children 5# linha 3 - Mensagem que ira aparecer na caixa de autenticação:auth_param basic realm TEXTO CAIXA AUTENTICAÇÃO# linha 4:


E pronto, seu Squid já estará autenticando os usuários, agora basta configurar no navegador das estações para que usem proxy. Lembre-se para que o usuário possa

em dos grupos do AD (PROXY_ADM ou PROXY_USERS).Squid autenticando no Active Directory (AD) Windows 2008 Server

Essa dica é para quem estava acostumado a usar a do Squid no Active Directory do Windows 2003 e, quando

uma rede com AD do Windows 2008, descobriu que essa autenticação não funciona mais. Ou mesmo um servidor proxy Squid novo que queira instalar em sua rede e

lo autenticar no servidor do Domínio Win2008.

Para fazer o Squid reconhecer que a conta do usuário existe e que sua senha é válida, basta alterar a forma de autenticação de MSNT_AUTH para o autenticador

Faça um backup do seu arquivo squid.conf;

Faça essa alteração em seu servidor por sua conta e risco.

vidor Win2008 = 192.168.0.100

Domínio (AD) = contoso.local

Depois é só alterar seu arquivo squid.conf, que geralmente fica "/etc/squid/squid.conf":

* Substitua a autenticação MSNT_AUTH, se já estava utilizando, por essas lin

Parâmetros para Consultar Usuários no AD: auth_param basic program /usr/lib/squid/ldap_auth -R -b "dc=contoso,dc=local" "cn=Administrador,cn=Users,dc=contoso,dc=local" -w "senha_do_administrador"

h 192.168.0.100

auth_param basic children 5 Mensagem que ira aparecer na caixa de autenticação:

auth_param basic realm TEXTO CAIXA AUTENTICAÇÃO

E pronto, seu Squid já estará autenticando os usuários, agora basta configurar no se para que o usuário possa

em dos grupos do AD (PROXY_ADM ou PROXY_USERS).

do Windows 2003 e, quando uma rede com AD do Windows 2008, descobriu que essa autenticação não

funciona mais. Ou mesmo um servidor proxy Squid novo que queira instalar em sua rede e

uário existe e que sua senha é válida, basta alterar a forma de autenticação de MSNT_AUTH para o autenticador LDAP.

squid.conf, que geralmente fica "/etc/squid/squid.conf":

* Substitua a autenticação MSNT_AUTH, se já estava utilizando, por essas linhas.

b "dc=contoso,dc=local" -D w "senha_do_administrador" -f

auth_param basic credentialsttl 30 minutes# Linha 5: acl que pede autenticação:acl autentica proxy_auth REQUIRED E não esqueça de adicionar antes de "http_access deny all", geralmente última linha:

# Linha que Libera a internet para rede local somente com autenticaçãohttp_access allow autentica redelocal Obs.: Se existir a uma linha liberando

# http_access allow redelocal (comente a linha que permita navegar sem autenticação)


auth_param basic credentialsttl 30 minutes # Linha 5: acl que pede autenticação:

proxy_auth REQUIRED

E não esqueça de adicionar antes de "http_access deny all", geralmente última linha:

# Linha que Libera a internet para rede local somente com autenticaçãohttp_access allow autentica redelocal

Obs.: Se existir a uma linha liberando a rede sem autenticação, comente. Exemplo:

# http_access allow redelocal

(comente a linha que permita navegar sem autenticação)

E não esqueça de adicionar antes de "http_access deny all", geralmente última linha:

# Linha que Libera a internet para rede local somente com autenticação

a rede sem autenticação, comente. Exemplo:

0504 configurando firewall kurumin - ScanSource Brasil ... · Configurando o Firewall no Kurumin...

Documents

Transcript of 0504 configurando firewall kurumin - ScanSource Brasil ... · Configurando o Firewall no Kurumin...