Parte 2

Por:

Compartilhadores de arquivos

“Pelo menos (calculo eu) 90% dos usuários que tem Speedy usa algum tipo de programa para compartilhamento de arquivos (WinMX, KaZaA, Mor

Quando você monta o servidor 486 com o Coyote Linux e configura ele do jeito que vc escreveu, todas as portas são bloqueadas para que ninguém da Internet entre no computador, certo?

Mas se eu uso qualquer um dos compartilhadores de arquivo acima citados e estiver com um firewall, ele sempre bloqueia qualquer tipo de acesso. Eu tive que configurar o BlackICE para aceitar conexões da porta TCP 5100 e UDP 5101 p/ qualquer pessoa poder baixar arquivos de mim. Infelizmente para alguém baixar arquivos do Kazaa, eu tenho que desabilitar o firewall, pois não sei qual porta o Kazaa usa…

Como eu configuro o Coyote Linux para ele deixar “abertas” as portas desses programas?

Também sei que, se eu configurar o Coyote Linux do jeito q eu estou falando, as portas ficarão abertas não somente para os programas de compartilhamento, mas para qualquer hacker, ou mais provavelmente um lamer, invadir meu computador. Não existiria uma outra forma de evitar isso acontecer? Será que colocando um firewall no(s) computador(es) já resolveria o problema?”

Manter um compartilhador de arquivos habilitado no micro não é uma boa idéia em termos de segurança, mas enfim, se você não está preocupado com isso pode simplesmente fazer com que o Coyote redirecione todas as portas para o micro da rede com o compartilhador. Para isso, abra o utilitário de configuração (o no 486, não no Wizzard que gera o disquete) e acesse a seção 1, e em seguida a opção 4 (IP Masquequerading configuration). Adicione as seguintes linhas:

# Abrir todas as portas

/sbin/ipmasqadm autofw -A -r tcp 1 65535 -h 192.168.0.2
/sbin/ipmasqadm autofw -A -r udp 1 65535 -h 192.168.0.2

Pressione Ctrl + S <Enter> para salvar o arquivo e em seguida Ctrl + C para fechar o editor. Não se esqueça de voltar ao menu principal e salvar a alteração no disquete, acessando a opção b (backup configuration). Reinicie o roteador para que as alterações entrem em vigor.

Substitua o “192.168.0.2” nas duas linhas pelo endereço do PC com o compartilhador na rede local. Veja que utilizando isto os demais PCs da rede continuam inacessíveis de fora, mas o PC com o compartilhador vai ficar totalmente aberto, como se estivesse ligado diretamente à internet. É altamente recomendável manter um Firewall habilitado para garantir pelo menos um nível mínimo de proteção.

Se você souber quais portas o compartilhador utiliza (é só dar uma lida no FAQ ou Read-me do programa) você pode adicionar as linhas abrindo apenas as portas desejadas. Se o compartilhador usa as portas TCP 5100 e UDP 5101 as linhas ficariam:

# Abrir as portas TCP 5100 e UDP 5101

/sbin/ipmasqadm autofw -A -r tcp 5100 5100 -h 192.168.0.2
/sbin/ipmasqadm autofw -A -r udp 5101 5101 -h 192.168.0.2

Este mesmo recurso pode ser utilizado quando você quiser jogar online. Basta ver quais são as portas utilizadas pelo jogo e configurar o roteador para redirecioná-las para o PC desejado. Lembre-se que ao redirecionar portas o PC fica vulnerável a qualquer ataque vindo nas portas em questão. Isso pode até mesmo comprometer outros PCs da rede, caso o invasor consiga obter acesso completo ao PC exposto e usá-lo para acessar os demais.

Os PCs domésticos com conexões de banda larga são muito visados, pois apesar de não conterem arquivos importantes, como no caso das empresas, podem ser utilizados para hospedar servidores de arquivos. A maior parte dos mirrors de sites Warez e de filmes e muitos dos PCs conectados ao Kazaa e outros serviços de compartilhamento são justamente PCs invadidos, cujos donos não sabem o que está acontecendo.

Isto acontece em escala tão grande justamente por que a maior parte dos usuários domésticos não estão preocupados com segurança.

“Eu também não estou conseguindo acessar muitos FTPs usando o PC que está conectado através do Coyote. Como resolvo isso?”

Você precisa habilitar o “Passive mode” no seu cliente de FTP. Isto faz com que o seu cliente envie e receba requisições na mesma porta TCP/IP. Esta dica serve não apenas para o Coyote linux, mas para quem utiliza qualquer firewall que tenha problemas com o Active mode.

Coyote não disca

“Instalei o Coyote Linux como descreveu na matérias, mas não consigo configurá-lo para fazer a discagem quando os outros PCs acessam a rede. O Coyote está instalado em um K6-2 300 com 32 de RAM, placa rtl8139, e modem US Robotics 1780 56k ISA, jumpeado.”

Oi Luiz, você precisa alterar a string de inicialização no Wizzard que gera o disquete, na aba de configuração do modem. A string default não funciona com vários modelos. Experimente usar “ATZ” ou outra string que você tenha certeza que funcione com o seu modem.

Segunda opção, Freesco

O Coyote é facílimo de configurar, mas em compensação não oferece todos os recursos que muitos de nós gostaríamos de usar. Se você já passou por ele e gostaria de algo mais, pode tentar o Freesco, outro mini-Linux que oferece mais opções de configuração, suporta dois modems e até três placas de rede, pode ser usado como um roteador entre várias redes internas, suporta dial-in (ou seja, pode ser usado como um mini-provedor de acesso, dando acesso à rede a usuários conectados via modem), pode ser usado como servidor de impressão e até mesmo como um pequeno servidor web, entre outras possibilidades.

O Freesco nasceu com o objetivo de permitir o uso de PCs antigos com o objetivo de substituir vários modelos de roteadores CISCO, que custavam somas consideráveis a alguns anos atrás. Assim como no Coyote a configuração mínima para o Fresco é um 386 com 12 MB de memória. Dependendo do número de serviços habilitados ele pode rodar em apenas 8 MB. Existe a opção de rodá-lo a partir de um disquete ou instala-lo no HD, uma opção que veremos mais adiante.

Graças justamente ao maior número de recursos, o Freesco oferece uma configuração mais complexa que a do Coyote, principalmente se você quiser usar os recursos mais sofisticados. Apesar disso, o utilitário de configuração é bastante amigável, permitindo que até mesmo um leigo consiga configurar o sistema com a ajuda do manual.

Em compensação, o Freesco fica devendo o suporte a PPPoE, o que impossibilita o uso com a maior parte das conexões de banda larga. Ou seja, as duas distribuições são complementares e como ambas rodam a partir de um disquete você pode até mesmo criar dois disquetes, com configurações diferentes para o servidor e trocar conforme sua necessidade.

Comece baixando o pacote com a imagem, os nódulos adicionais e o manual em:
http://www.freesco.org/

Este pacote contém três pastas: a “freesco-027” contém a imagem do disquete, junto com alguns utilitários de gravação e a “modules-027” contém drivers para diversos modelos de placas de rede. Você encontrará também uma pasta com os manuais do Freesco, em Inglês.

Tudo o que você precisa fazer é usar o Rawwritewin.exe que incluí no pacote para gravar a imagem “freesco.027” no disquete. Ao contrário do Coyote a configuração é feita através de um Wizzard incluído no próprio disquete e não através do Windows.

No linux use o comando: dd if=freesco.027 of=/dev/fd0

O Freesco oferece suporte nativo para apenas alguns poucos modelos de placas de rede:

  • ne: Placas NE2000 ISA e algumas PCI.
  • Ne2k-pci: A maior parte das placas NE 2000 PCI e as placas com chipset Realtek rtl8029
  • 3c509: Placas 3com modelos 3c509, 3c509B, 3c529 e 3c579
  • 3c59x: Placas 3com modelos 3c590, 3c595, 3c900, 3c905 e 3c905B
  • rtl8139: Placas Realtek rtl8129 e rtl8139 (aquelas que são usadas em mais de 80% dos PCs nacionais… 😉
  • tulip: Placas DEC 21040, 21041 e 21140 em versão PCI.
  • Smc-ultra: SMC Elite Ultra (8216) e SMC EtherEZ (8416).

Esta colação já engloba mais de 90% das placas em uso. Mas, se a sua não estiver na lista, abra a pasta “/modules/net“, onde estão os drivers para mais 74 modelos de placas. Tudo o que você precisa fazer é copiar o módulo da sua placa para a pasta /ROUTER/DRV no disquete do Freesco. Você pode fazer isto tanto através do Windows quanto do Linux. O disquete tem 51 KB de espaço disponível, espaço suficiente para copiar drivers para até três placas de rede diferentes (o número máximo suportado pelo Freesco).

De volta ao 486, esqueça o disquete no drive e, na tela de boot digite “setup” para acessar o utilitário de configuração. O login é “root“, senha “root“. Mais tarde você terá a oportunidade de alterar a senha.
indexjce
Acesse a opção 1) Choose router type and set it up para iniciar a configuração. Depois você pode dar uma olhada também nas configurações avançadas, acessando a opção 2.

A possibilidade de usar até três placas de rede e mais dois modems, abre um leque de possibilidades muito grande. É justamente esta a primeira pergunta do assistente:
indexjcf
A opção d) Dialup line router é a mais comum, para PCs com apenas uma placa de rede e um modem, onde a conexão via modem é compartilhada entre os PCs da rede local. Assim como o Coyote o Freesco suporta apenas hardmodems ISA, nada de softmodems ou modems PCI.

A segunda opção, l) Leased line router é uma solução que não inclui compartilhamento da internet, apenas ativa o recurso de dial-in, permitindo que usuários remotos acessem a sua rede doméstica via modem. É uma solução mais segura para acessar seus arquivos do trabalho ou de qualquer outro lugar sem precisar abrir um servidor FTP visível para toda a Internet.

Escolhendo esta opção você precisará editar o arquivo /RC/RC_LEASE no disquete. Os valores default já funcionam, mas nunca é demais checar para ver se eles atendem às suas necessidades. Este arquivo é formato com quebras de linha no padrão Unix, nem o Notepad, nem o Word/Wordpad são capazes de salvá-los corretamente, use se possível um editor de textos do Linux.

A terceira opção b) Ethernet Bridge serve para interligar duas ou três redes distintas, transformando o 486 num roteador de pacotes. Esta opção pode ser usada para interligar redes distintas e de quebra diminuir o número de colisões de pacotes e melhorar o desempenho da rede, já que o bridge é capaz de reconhecer os endereços de destino de todos os pacotes e encaminha-los apenas quando necessário, ao contrário de um hub que encaminha tudo, indiscriminadamente.

Outra possibilidade para esta opção é compartilhar uma conexão via cabo ou ADSL, mas neste caso funcionará apenas com as instalações antigas, que não exigem autenticação, já que ao contrário do Coyote o Freesco não suporta PPPoE.

Finalmente, temos a opção p) Print Server, que transforma o servidor num servidor de impressão.

Se nenhuma das quatro opções for o que está procurando, acesse as configurações avançadas. Você pode distribuir as placas de rede, modems e impressora de praticamente qualquer forma.

O assistente passará então a pedir as informações habituais, sobre o nome da máquina, o domínio (que pode ser qualquer nome, ou então o domínio do provedor em alguns casos), o endereço IP de cada uma das placas de rede, a máscara de sub-rede, o endereço dos servidores DNS do provedor, etc.

A configuração do modem também é bastante simples, pois o utilitário é capaz de detectar automaticamente qualquer hardmodem instalado no sistema. Existe apenas uma pequena ressalva. Caso o modem esteja configurado para utilizar a COM 1 ou COM 2 você precisa desativar a porta serial correspondente na seção “Integrated Pheripherals” do Setup, caso contrário o modem e a porta serial entrarão em conflito e o modem não conseguirá detectar o modem. Depois basta responder às perguntas de praxe, como número do provedor, domínio, DNS, etc. Um detalhe importante é que o número a ser discado deve ser informado no formato T88888888 ou P88888888, onde o T ou o P indicam que a linha é tone ou pulse.

O assistente perguntará também sobre quantas placas de rede estão instaladas no sistema (How many ethernet cards do you have [1-3]?) e sobre os endereços utilizados por elas.

Ao contrário do Coyote, você não precisará indicar o driver de cada placa, basta que eles tenham sido previamente copiados para o disquete. Em compensação, o Freesco nem sempre é capaz de detectar os endereços de IRQ das placas, mesmo que sejam PCI.

Se os endereços indicados pelo assistente não funcionarem, dê um boot normal pelo disquete, sem acessar a configuração e use os comandos:

# cat /proc/interrupts
# cat /proc/ioports

O primeiro retorna uma lista com todos os IRQs do sistema e os dispositivos que o ocupam. As placas de rede aparecem como eth0, eth1 e eth2:

  • 0: 10652568 XT-PIC timer
  • 1: 1317 XT-PIC keyboard
  • 2: 0 XT-PIC cascade
  • 5: 165882 XT-PIC soundblaster
  • 8: 1 XT-PIC rtc
  • 10: 965679 XT-PIC eth0
  • 11: 520496 XT-PIC eth1
  • 12: 122211 XT-PIC PS/2 Mouse
  • 14: 136321 XT-PIC ide0
  • 15: 21594 XT-PIC ide1

O segundo volta uma lista com os endereços de I/O de todos os dispositivos. As placas de rede aparecem aqui com os nomes dos fabricantes e dos chipsets usados, geralmente no final da lista, como em:

ec00-ecff : Realtek Semiconductor Co., Ltd. RTL-8139

Com os endereços em mãos, basta acessar novamente a configuração e configurar corretamente as placas. O assistente perguntará também sobre os endereços IP de cada uma das placas de rede. Você pode ter por exemplo duas sub-redes diferentes, uma usando a faixa de endereços 192.168.0.x e a outra usando a faixa 10.0.0.x.

Além do DHCP, o Freesco oferece varias opções de servidores, que podem ser habilitados nas próximas perguntas feitas pelo assistente:

421 Enable DHCP server y/n [y]?

431 Enable public HTTP server y/n [n]?

442 Control HTTP server IP port [81]?

451 Enable Print Server y/n [y]?

452 Print server IP port [515]?

453 Output device name [lp1]?

Na configuração do DHCP você pode estabelecer uma faixa de endereços que serão distribuídos. Isto permite misturar clientes com IP fixo e IP dinâmico na mesma rede. O DHCP pode ser configurado para fornecer apenas endereços entre 192.168.0.150 e 192.168.0.200 por exemplo, o que é configurado na opção “723 IP range“.

O serviço de HTTP é uma versão simples do Apache, capaz de exibir apenas páginas HTML simples (incluindo imagens e arquivos) e scripts em CGI. Ao habilitar o servidor http, basta colocar as páginas na pasta /www do Freesco.

Naturalmente, não é uma boa idéia tentar montar um servidor Web nos 50 KB livres do disquete. Você precisará instalar o Freesco num HD, com espaço suficiente para guardar todos os arquivos a serem compartilhados. Para instalar o Freesco no HD, basta dar boot usando um disquete pré-configurado e dar o comando “move2hdd“. Terminado, basta retirar o disquete e dar boot através do HD. Para alterar a configuração use o comando “router.bat setup” . Ao rodar a partir do HD você também terá a opção de ativar a memória virtual, através da opção “15. Swap File” no menu de configurações avançadas. A memória virtual ajuda também caso você tenha um micro com apenas 8 MB, permitindo ativar todos os serviços necessários.

O HD onde o Freesco será instalado deve ser formatado em FAT 16 e ter uma versão do DOS instalada. Basta dar boot usando um disquete do Windows 98 e digitar “SYS C:” para tornar o HD bootável, o suficiente para instalar o Freesco.

A opção seguinte, “442 Control HTTP server IP port [81]?” permite justamente alterar a porta TCP/IP usada pelo servidor web. O default é a porta 81 e não a 80 que é o padrão. Lembre-se que ao utilizar qualquer porta diferente da 80 os visitantes terão de acessar o servidor incluindo a porta no endereço, como em http://200.220.198.34:81

O Freesco inclui ainda um servidor de impressão. Basta manter a impressora conectada na porta LPT1 e ativar o serviço (sem alterar a porta default). Nos clientes Windows ou Linux, basta fazer a instalação normal de uma impressora de rede, indicando o endereço IP do servidor e fornecendo os drivers de impressão, já que o servidor Freesco não é capaz de armazená-los. Não é preciso instalar a impressora no servidor, pois o Freesco apenas repassa os comandos enviados pelos clientes.

Depois de finalizar o assistente não se esqueça de ativar a opção 3 no menu principal (Save Config) para salvar todas as alterações no disquete. Você pode alterar qualquer uma das configurações posteriormente acessando o menu de configurações avançadas. Veja que estão disponíveis basicamente as mesmas opções, sem mistério:
indexjcg
A menos que você pretenda usar o servidor Web, ou incluir mais módulos no sistema, eu recomendo continuar usando o disquete. Ele é mais seguro, pois impede que em caso de invasão alguém consiga instalar programas no seu roteador e além disso como o disquete é lido apenas durante o boot, acaba sendo mais confiável do que utilizar um HD velho, que já está no final da sua vida útil,com a vantagem adicional de não fazer barulho e gastar cerca de 10 Watts a menos de energia. Você pode ver um texto explicando como instalar novos módulos no Freesco no http://www.freesco.org.

Mandrake Security (Single Firewall)

Se você tem em mãos um 486 ou Pentium com pelo menos 300 MB de HD e 32 MB de memória e quer um pouco mais de recursos que os oferecidos pelo Coyote e pelo Freesco, existe uma terceira alternativa, que é o Mandrake Security.

Esta já é uma distribuição Linux completa, mas especializada na tarefa de montar um servidor capaz de rotear pacotes, compartilhar a conexão e proporcionar outros serviços, como servidor web, firewall por análise de pacotes, ssh, etc. Apesar disso, o pacote é bastante compacto, é possível instalá-lo em menos de 200 MB. Mesmo incluindo a memória swap, é possível fazer uma instalação tranqüila num HD de 300 MB.

Você pode baixar o ISO do CD num dos FTPs da Mandrake, veja a lista no:
http://www.mandriva.com/en/download/free

Você pode comprar também o CD já gravado no:
https://www.hardware.com.br/press/cd/#mandriva

A instalação pode ser feita dando boot pelo CD-ROM, caso o micro já ofereça este recurso ou usando um disquete de boot, criado gravando o arquivo CDROM.ISO encontrado no diretório “dosutils” do CD-ROM, usando o programa Rawwritewin encontrado no mesmo diretório ou usando o comando “cp /mnt/cdrom/images/cdrom.img /dev/fd0” no Linux.

O Mandrake Security usa o mesmo instalador do Mandrake Linux, o DrakX, um instalador gráfico extremamente simples. Para usa-lo o PC precisa de uma placa de vídeo compatível com o padrão VESA e um monitor que suporte 800×600 a 56 Hz. Caso o monitor não suporte esta taxa de atualização, que é o caso de muitos monitores LCD, que suportam apenas 60 e 70 Hz, você pode usar o modo “vgalo” que usa 640 x 480 com 60 Hz, suportado por qualquer monitor VGA.
tutorial-coyote_linux-mandrake_sec01
Caso a placa de vídeo não seja compatível com o VESA (como a Trident 9680) você ainda pode usar o modo texto, que possui basicamente as mesmas opções, mas numa interface mais simples.

As opções da instalação são bastante simples, nada muito diferente do que vimos na configuração do Coyote e o Freesco.

De início temos a escolha da linguagem do sistema, configuração do layout do teclado e escolha do nível default de segurança. O default é high (alto) onde o sistema fica quase que totalmente fechado e você precisa habilitar manualmente os serviços que desejar usar. Na sua primeira instalação você pode querer optar por um nível mais baixo, o vai facilitar o uso do sistema.

Em seguida vem o particionamento do disco, que é sempre uma etapa crítica. Se você não quiser manter outro sistema operacional em dual boot basta marcar a opção de particionamento automático, caso contrário você precisará editar as partições do disco, reduzindo o tamanho da partição Windows e criando a partição raiz e a partição do arquivo de troca do Linux.
tutorial-coyote_linux-mandrake_sec01-2
Finalmente temos a configuração dos endereços IP das placas de rede, endereços dos servidores DNS, etc. (o instalador detectará placas de rede PCI automaticamente, mas assim como no caso do Coyote e do Freesco só hardmodems são suportados, embora seja possível instalar softmodems posteriormente, caso você encontre e consiga instalar os drivers necessários). Nesta etapa você também poderá configurar as conexões via modem, caso tenha algum.

Finalizando você deverá estabelecer uma senha de root, uma senha de administração e caso desejado adicionar mais alguns usuários sem privilégios de administração. Você tem ainda a opção de criar um disquete de boot e de alterar a configuração do lilo caso desejado. Feito isso é só reiniciar para começar a usar o sistema.

Depois da instalação, toda a configuração do sistema passa a ser realizada via rede, a partir de qualquer outro PC conectado ao servidor. Basta abrir o navegador e acessar o endereço http://ip_do_servidor:8483, como em http://192.168.0.1:8483. Depois de fornecer a senha de root você terá acesso ao utilitário de administração, que permite configurar todos os serviços e outros recursos do sistema através de uma interface segura.
tutorial-coyote_linux-mandrake_sec02
Do lado esquerdo da interface você tem acesso a um menu com seis seções:

  • System Properties
  • Internet Access
  • Services
  • Restrict Access
  • Monitoring
  • Management Tools

A seção System Properties concentra as configurações mais básicas do sistema, definidas durante a instalação. Por aqui você pode alterar:

  • Nome da máquina e domínio
  • Senha de Administrador
  • Data e hora do servidor
  • Configuração dos endereços IP das placas de rede e a opção de detectar e instalar novas placas. O sistema é capaz de detectar automaticamente praticamente qualquer placa PCI, já que que instala por default uma grande coleção de drivers. Placas ISA plug-and-play podem ser problemáticas, mas também costumam ser automaticamente detectadas, enquanto placas ISA de legado precisam ser configuradas manualmente.

A segunda seção, Internet Access permite configurar o acesso à Internet. O Mandrake Security oferece um conjunto de recursos muito mais completo que o do Coyote ou do Freesco. Todas as categorias de acesso são bem suportadas, incluindo ISDN, ADSL, Cabo, Radio, link dedicado, etc. Os softmodems ainda não são suportados, mas já existe a possibilidade de instalar os drivers manualmente. Caso o seu modem seja um Lucent, Agere você pode consultar meu tutorial sobre o tema em: http://www.guiadohardware.info/tutoriais/063/

Nesta seção as opções são:

  • Access Status: Logo na tela principal você pode ativar ou desativar a conexão configurada, conforme a necessidade. Você pode desativar a conexão via ADSL à noite por exemplo, mesmo que prefira manter o servidor ligado.
  • Analog modem: Aqui vão os dados do provedor, telefone, login, etc. o asistente é capaz de detectar hardmodems automaticamente.
  • ISDN Modem: São suportados tanto modems ISDN externos quanto internos, diferente do que temos no Freesco, onde são suportados apenas modems ISDM externos. O sistema é capaz de detectar o modem automaticamente e inclui drivers para a grande maioria dos modelos em uso. O ISDN é um serviço disponível em praticamente todos os estados Brasileiros, o assinante passa a ter duas linhas digitais e pode conectar-se a 64k ou 128 k (usando as duas linhas e pagando o dobro de pulsos). É mais rápido que o acesso modem, mas em compensação também muito mais caro. Em São Paulo o ISDN é oferecido na forma do serviço Multilink.
  • DSL Conection: O suporte a ADSL é completo, incluindo o PPPoE, basta configurar a conexão adequadamente, como vimos anteriormente, no tópico sobre o Coyote linux.
  • Cable, Lan: Para quem acessa via cabo a configuração é bastante simples, basta configurar a conexão como indicado elo provedor. O mais comum é usar a opção DHCP.

A terceira seção, Services, permite configurar o servidor DHCP e o servidor Proxy do Mandrake Security.

O DHCP já não é mais novidade para nós, você pode habilitar ou desabilitar o serviço e também especificar a faixa de endereços que serão usadas por ele caso pretenda misturar estações com IP estático e dinâmico na mesma rede. O servidor Proxy por sua vez é uma opção que não existe no Coyote e no Fresco, ele permite ao mesmo tempo acelerar a velocidade de navegação das estações, cacheando as páginas mais freqüentemente acessadas e estabelecer regras de acesso, impedindo o acesso em determinados horários ou a determinados sites ou removendo os banners de propaganda das páginas. O servidor Proxy é configurado através da opção WebProxy Filtering URLs, que veremos a seguir.

Agora que já configuramos as placas de rede e modems instalados no sistema, já configuramos o acesso à internet, chegou a hora de compartilhar o acesso com a rede local, configurar o firewall e, caso necessário, estabelecer regras de acesso para os usuários da rede. Tudo isso é feito através da categoria Restrict Access.
tutorial-coyote_linux-mandrake_sec03

As opções disponíveis aqui são:

  • Office Trafic: Esta categoria é formada por três telas de opções. Esta é primeira parte da configuração do Firewall, onde você deve especificar o nível de acesso que os usuários terão à Internet. Você pode escolher entre várias opções, que vão dos extremos de simplesmente não permitir nenhum tipo de acesso a simplesmente oferecer acesso completo, sem nenhum tipo de restrição, como temos no ICS do Windows ou no Coyote Linux.

Você pode também indicar manualmente quais protocolos os usuários poderão usar. Assim você pode bloquear o acesso a servidores IRC, impedir o uso do ICQ ou de qualquer programa (bloqueando as portas usadas por ele) ou qualquer outra coisa que tenha em mente.

tutorial-coyote_linux-mandrake_sec04

  • Internet Traffic: Aqui você deve configurar as regras de firewall para as conexões entrantes, ou seja, o que fazer com o tráfego de dados “de fora pra dentro”. O default é simplesmente bloquear qualquer tráfego que não seja uma respostas à conexões iniciadas pelas estações, mas você pode configurar o servidor para redirecionar o tráfego recebido em determinadas portas para um dos PCs da sua rede local caso pretenda rodar um servidor Web ou FTP por exemplo. Se você quiser habilitar o modo stealth, como fizemos na configuração do Coyote Linux, basta redirecionar todas as portas para um endereço onde não exista PC algum.
  • WebProxy Filtering URLs: Esta é a parte mais interessante da configuração do firewall, onde você pode estabelecer regras de acesso à internet, como bloquear sites que os clientes não poderão acessar (impedir que os seus filhos acessem sites pornográficos por exemplo), bloquear banners de propaganda e estabelecer horários em que a conexão com a Internet não estará disponível (você pode permitir que os funcionários do escritório acessem a Web apenas durante o horário do almoço por exemplo).

Para que estas regras funcionem é preciso configurar os navegadores nos clientes para acessar a Web através de um proxy. No IE a opção fica em Ferramentas > Opções da Internet > Conexões > Configurações da Lan > Usar um servidor Proxy. O endereço que vai com campo é o do próprio servidor de conexão (192.168.0.1 ou o que você tiver configurado). A menos que você tenha alterado porta do proxy na seção services a porta será 3328.

As opções disponíveis são:

  • Privileged source IPs: Nesta sub-opção você pode especificar excessões à regra, ou seja, os endereços IP das máquinas dentro da sua rede local (a sua por exemplo 🙂 que estão livres de todas as regras de acesso impostas.
  • Banned source IPs: Aqui vão os endereços IP de máquinas dentro da sua rede local que não terão acesso ao servidor proxy. Note que estas máquinas podem acessar normalmente a internet caso não utilizem o proxy.
  • Banned sites: Sites que os clientes não poderão acessar. Você pode fazer a filtragem através de palavras chave, por endereços individuais ou por domínios (bloqueando todos os sites dentro de um portal como o http://www.uol.com.br por exemplo).
  • Advertising: É aqui que é configurado o bloqueio de propagandas. Acesse um site qualquer, clique sobre os banners de propaganda e veja de qual domínio eles provém. Adicione o domínio no filtro (doubleclick.net por exemplo) e todas as imagens recebidas deste domínio deixarão de ser redirecionadas às estações. Ou seja, os banners não aparecerão mais.

Bloqueando o domínio ads3.hpg.com.br você deixa de ver banners ao acessar páginas hospedadas no hpg e assim por diante.

  • Time Restriction: Horários em que os clientes poderão acessar ou não a Internet.

Na categoria seguinte, “schedule” você pode estabelecer também horários em que o servidor discará uma conexão. O default é usar discagem por demanda, ou seja, discar sempre que algum usuário tentar acessar um endereço qualquer na internet, mas você pode fazer com que o servidor permaneça conectado durante um certo período de tempo, todo dia das 8:00 às 18:00 por exemplo, o que pode ser útil num escritório onde muita gente acessa a internet continuamente. A vantagem para os usuários é que não será mais preciso esperar o servidor discar e estabelecer a conexão.

Tome cuidado ao programar um horário de conexão contínua para não levar um susto ao receber a conta de telefone no final do mês.
tutorial-coyote_linux-mandrake_sec05

A penúltima seção, Monitoring, oferece uma série de gráficos que permitem acompanhar a taxa de utilização do servidor, tanto em termos de processamento quanto e termos de uso de banda e, através do log, acompanhar quais máquinas acessaram a rede, em que horários e ainda quais foram os endereços acessados.

Você pode acompanhar ainda as tentativas de acesso externo ao seu sistema. Se algum engraçadinho tentar invadir sua rede, o endereço IP ficará armazenado e você poderá entrar em contato com o provedor responsável.
tutorial-coyote_linux-mandrake_sec06
Na última seção, Actions, você terá acesso a um terminal SSH, que poderá usar para realizar funções que não estão incluídas no assistente de configuração, instalar novos pacotes, etc. Lembre-se que você têm em mãos um servidor Linux completo, que pode fazer muito mais do que simplesmente compartilhar a conexão.
tutorial-coyote_linux-mandrake_sec07
Logo abaixo você terá acesso também ao utilitário de backup, que permite gravar as configurações do servidor num disquete e recuperá-las caso você precise reinstalar o sistema ou altere algo que não devia. Para finalizar, está disponível também um assistente de atualização do sistema, que automatiza o trabalho de instalar patches de segurança e atualizações para os programas incluídos no pacote. O sistema é muito simples de usar, basta escolher um mirror entre os disponíveis e escolher os pacotes a serem atualizados entre os disponíveis.

Sobre o Autor

Redes Sociais:

Deixe seu comentário

X