Servidor em Casa

welington27
(usa Debian)

Enviado em 12/02/2012 - 20:14h

Boa noite pessoal, é o seguinde eu montei uma máquina aqui em casa como servidor nela instalei um servidor squid uma serie de coisas bem legal instalei o Sarg para vizualizar os sites acessados e tudo mais. Até ai blz, acontece que eu queria fazer com que esse servidor fosse o ponto principal tipo assim eu defini que alguns ips acessacem tudo todos os sites facebook tudo mesmo mais assim só acontece isso se eu colocar no navegador o proxy direcionado para esse servidor que no caso é o IP 192.168.1.10 na porta 3128 que é a do squid. Mais assim aqui em casa eu tenho uma ADSL GVT de 15MB saindo de um roteador Thonsom TG 580 acontece que eu não faço ideia como faço para que tudo responda meu servidor e tipo assim se outra pessoa acessar a net que não seja os IPs que defini cairem no proxy sem que haja necessidade de eu configurar o navegador é o famoso Proxy transparente. Por favor pessoal me ajudem???

danniel-lara
(usa Fedora)

Enviado em 12/02/2012 - 20:20h

me diz uma coisa
esse servidor tem 2 placas de rede?
como esta ligado a topologia de rede
o router da gvt esta ligado no servidor ?

welington27
(usa Debian)

Enviado em 12/02/2012 - 20:23h

A porta eth0 do servidor ta ligada em uma das interfaces do Roteador wiriless não sei como faço pra ligar a internet no servidor porque a internet bem é em cabo de faz modem não é isso??

E meu servidor tem duas interfaces eth0 e eth1.

welington27
(usa Debian)

Enviado em 12/02/2012 - 21:21h

Olá Pessoal alguém pode me ajudar com essa questão???

welington27
(usa Debian)

Enviado em 12/02/2012 - 21:51h

Olá Pessoal alguém aqui pra me ajudar??w
Meu msn é welington-orbitel@hotmail.com se alguém puder e tiver interesse em me ajudar me add por favor preciso muito disso galera???

felipe.augusto13
(usa Ubuntu)

Enviado em 12/02/2012 - 22:11h

Cara pelo que entendi ta tudo ligado certo, o roteador wireless ex eth0 e rede lan na eth1.
Para que a rede funcione com proxy transparente é necessario realizar um script de firewall exemplo abaixo para direcionar o trafego da porta 80 para porta do proxy 3128 além de adicionar no squid conforme abaixo.


/etc/init.d/firewall

#!/bin/bash
$IPT -t nat -A PREROUTING -i $eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128


/etc/squid/squid.conf

http_port ipservidor:3128 transparent


Agora dentre isto não tenho certeza se os clientes do wireless irão passar pelo proxy pois eles estão depois do servidor, o ideal seria um access point na rede, pois com ele voce configurava o roteador sem acesso wireless.

ve lá qualquer coisa post ai.

welington27
(usa Debian)

Enviado em 12/02/2012 - 22:20h

Não amigão assim, aqui tem um roteador Wiriless até ai blz.
Ai esse servidor esta conectado em uma das portas desse roteador o pc daqui de casa esta conectado na outra porta e eu to usando a wiriless ai não tem nada conectado na porta eth1 é isso que quero entender porque assim, como vou ligar a internet na eth0 no servidor se a internet aqui é um cabo de Fax Modem???

felipe.augusto13
(usa Ubuntu)

Enviado em 12/02/2012 - 23:05h

Entendi, o roteador deve estar conectado no servidor na eth0, um cabo deve sair da eth1 e ser conectado num switch para liberar a rede local para rede. O seu computador deve estar conectado no switch e nao no roteador.
Se voce conecta o seu pc direto no roteador ele dali vai para internet, nao passa pelo servidor...Quando seta no browser o proxy ele vai para rede e procura o servidor e sim valida as regras, acredito que é mais ou menos assim.

A maneira que é ligada o servidor é muito importante, para filtrar dados ele deve estar entre router e rede local. Se não deveria existir alguma regra no router que so libera-se a internet por um ip que no caso seria o servidor, so que neste caso vai muito de router para router.

welington27
(usa Debian)

Enviado em 12/02/2012 - 23:24h

Entendi amigão, mais assim então eu posso colocar um switch por exemplo de 8 portas aqui em casa ai a eth1 do servidor ligar nesse switch né, e a eth0 pode continuar no roteador wiriless?

Mais assim como eu faço pra configurar para que o Servidor seja a saida de internet? Pois acho que tem que configurar no meu roteador wiriless e tipo não sei como posso fazer amigão ele é um Thonsom TG 580 você tem algum conhecimento dele sabe o que posso fazer para acontecer isso e tipo as regras que eu criar aqui de firewall servem para as pessoas que acessam a rede wiriless daqui por que tenho que saber como faço pra criar pra ambas essa regra sem precisar configurar de navegador em navegador. Tipo assim meu script de firewall já esta feito só quero mesmo saber como lanço na rede para poder dar certo da uma olhada no meu script e vê o que você acha????



#!/bin/bash

limpar(){
iptables -F
iptables -t nat -F
iptables -P FORWARD ACCEPT
echo 0 > /proc/sys/net/ipv4/ip_forward
}

IFEXT=eth0
IFINT=eth1

case $1 in
stop)
limpar
;;
start)
limpar
iptables -P FORWARD DROP
echo 1 > /proc/sys/net/ipv4/ip_forward


echo " Bloqueando BackOriffice!!!"
iptables -A OUTPUT -p tcp --dport 1243 -j REJECT
iptables -A OUTPUT -p udp --dport 1243 -j REJECT
iptables -A OUTPUT -p tcp --dport 5800 -j REJECT
iptables -A OUTPUT -p tcp --dport 5801 -j REJECT
iptables -A OUTPUT -p tcp --dport 5900 -j REJECT
iptables -A OUTPUT -p tcp --dport 5901 -j REJECT
iptables -A OUTPUT -p tcp --dport 31337 -j REJECT
iptables -A OUTPUT -p tcp --dport 31338 -j REJECT
iptables -A OUTPUT -p tcp --dport 6000 -j REJECT
iptables -A OUTPUT -p tcp --dport 64320 -j REJECT
iptables -A OUTPUT -p udp --dport 64320 -j REJECT
iptables -A OUTPUT -p tcp --dport 26000 -j REJECT
iptables -A OUTPUT -p tcp --dport 8010 -j REJECT
iptables -A OUTPUT -p tcp --dport 6000 -j REJECT
iptables -A OUTPUT -p tcp --dport 6001 -j REJECT
iptables -A OUTPUT -p udp --dport 6001 -j REJECT
iptables -A OUTPUT -p tcp --dport 3306 -j REJECT
iptables -A OUTPUT -p udp --dport 161 -j REJECT
iptables -A OUTPUT -p udp --dport 111 -j REJECT
iptables -A OUTPUT -p tcp --dport 111 -j REJECT
iptables -A OUTPUT -p udp --dport 162 -j REJECT
iptables -A OUTPUT -p udp --dport 23 -j REJECT
iptables -A OUTPUT -p tcp --dport 111 -j REJECT
iptables -A OUTPUT -p tcp --dport 143 -j REJECT
echo " OH !! "

iptables -A OUTPUT -p tcp -o $IFEXT --dport 137 -j DROP
iptables -A OUTPUT -p udp -o $IFEXT --dport 137 -j DROP
iptables -A OUTPUT -p tcp -o $IFEXT --dport 138 -j DROP
iptables -A OUTPUT -p udp -o $IFEXT --dport 138 -j DROP
iptables -A OUTPUT -p udp -o $IFEXT --dport 139 -j DROP
iptables -A OUTPUT -p tcp -o $IFEXT --dport 139 -j DROP
iptables -A OUTPUT -p tcp -o $IFEXT --dport 445 -j DROP
iptables -A OUTPUT -p udp -o $IFEXT --dport 445 -j DROP
iptables -A OUTPUT -p tcp -o $IFEXT --dport 1512 -j DROP
iptables -A OUTPUT -p udp -o $IFEXT --dport 1512 -j DROP
iptables -A INPUT -p tcp -i $IFEXT --dport 6000 -j DROP
iptables -A INPUT -p udp -i $IFEXT --dport 6000 -j DROP
iptables -A INPUT -p tcp -i $IFEXT --dport 137 -j DROP
iptables -A INPUT -p udp -i $IFEXT --dport 137 -j DROP
iptables -A INPUT -p tcp -i $IFEXT --dport 138 -j DROP
iptables -A INPUT -p udp -i $IFEXT --dport 138 -j DROP
iptables -A INPUT -p udp -i $IFEXT --dport 139 -j DROP
iptables -A INPUT -p tcp -i $IFEXT --dport 139 -j DROP
iptables -A INPUT -p tcp -i $IFEXT --dport 445 -j DROP
iptables -A INPUT -p udp -i $IFEXT --dport 445 -j DROP
iptables -A INPUT -p tcp -i $IFEXT --dport 1512 -j DROP
iptables -A INPUT -p udp -i $IFEXT --dport 1512 -j DROP
echo " OK :-) "


echo " Liberando SMTP !!! "
iptables -A INPUT -p tcp -s 0/0 -d 0/0 --dport 25 -j ACCEPT
echo " OK :-) "

echo " Proxy 3128 "
iptables -A INPUT -p tcp -s 0/0 -d 0/0 --dport 3128 -j ACCEPT
echo " OK :-) "

echo " Liberando DNS !!! "
iptables -A INPUT -p tcp -s 0/0 -d 0/0 --dport 53 -j ACCEPT
iptables -A INPUT -p udp -s 0/0 -d 0/0 --dport 53 -j ACCEPT
echo " OK :-) "

echo " Liberando HTTPD !!! "
iptables -A INPUT -p tcp -s 0/0 -d 0/0 --dport 80 -j ACCEPT
#iptables -A INPUT -p tcp -s 0/0 -d 0/0 --dport 8000 -j ACCEPT
#iptables -A INPUT -p tcp -s 0/0 -d 0/0 --dport 8001 -j ACCEPT
echo " OK :-) "

echo " Liberando POP3 !!! "
iptables -A INPUT -p tcp -s 0/0 -d 0/0 --dport 110 -j ACCEPT
echo " OK :-) "

echo " Liberando WEB MAIL !!! "
iptables -A INPUT -p tcp -s 0/0 -d 0/0 --dport 143 -j ACCEPT
iptables -A INPUT -p udp -s 0/0 -d 0/0 --dport 143 -j ACCEPT
echo " OK :-) "

echo " Bloqueando SUNRPC !!! "
iptables -A INPUT -p tcp -s 0/0 -d 0/0 --dport 111 -j REJECT
echo " OK :-) "


echo " Bloqueando NMAP !!! "
iptables -A INPUT -p tcp --tcp-flags ALL FIN,URG,PSH -j DROP
echo " OK :-) "


#SQUID
#Compartilhar Internet
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
#Proxy Transparente
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128

echo "firewall executado as: $(date +%R:%F)" >> /root/nat.log
;;
*)
echo " Use: $(basename $0) {start|stop}"
;;
esac

tonnytg
(usa Outra)

Enviado em 12/02/2012 - 23:31h

Posso estar falando besteira, mas no meu d-link tem uma opção conhecida como DMZ.
O roteador força qualquer máquina a passar pelo computador citado no DMZ.
Então na lógica todos os computadores no d-link são obrigados a passar por esse computador.
Porém aqui só da para citar IP não da para jogar em determinada porta.

guilherme_yohan
(usa Ubuntu)

Enviado em 13/02/2012 - 14:00h

Amigão, eu uso geralmente o Script abaixo, com proxy transparente e tudo mais....
talvez possa lhe ajudar.

[squid.conf]
# Regras Padr�o

http_port 3128 transparent # Porta Squid
cache_mem 128 MB # limite de cache na memoria RAM
maximum_object_size_in_memory 128 KB # tamanho maximo de arquivo guardado na memoria RAM
maximum_object_size 5000 KB # tamanho maximo de arquivo guardado no HD
minimum_object_size 0 KB # tamanho minimo de arquivo guardado no HD
cache_swap_low 40 # Limpeza de cache
cache_swap_high 65 # Limpeza de cache
cache_dir ufs /home/cache 350000 32 256 # diretorio do cache tamanho do hd diretorio e sub-diretorio
error_directory /home/html/English # diretorio da pagina de erro
cache_access_log /var/log/squid/access.log # diretorio do relatorio de acesso

# Portas

SSL_port 443 22 563 80
Safe_port 3128 80 25 110 443 563 1025-65535
acl CONNECT method CONNECT

# ACL's

acl all src 0.0.0.0/0.0.0.0
acl rede src 192.168.0.0/24
acl palavras dstdom_regex -i "/etc/squid/palavras"
acl sites_bloque url_regex -i "/etc/squid/sites_bloque"
acl extensao url_regex -i "/etc/squid/extensao"
acl msn url_regex -i gateway.dll
acl msn2 url_regex -i /gateway/gateway.dll
acl msn3 dstdomain loginnet.passport.com .loginnet.passport.com
acl msn4 req_mime_type -i ^application/x-msn-messenger$

# Regras de Acessos

http_access deny palavras
http_access deny sites_bloque
http_access deny extensao
http_access deny msn
http_access deny msn2
http_access deny msn3
http_access deny msn4
http_access allow rede
http_access deny all


[dhc.conf]

ddns-update-style none;
authoritative;


subnet 192.168.0.0 netmask 255.255.255.0 {
range 192.168.0.2 192.168.0.250;
option routers 192.168.0.1;
option domain-name-servers 192.168.0.1;

}


[c_iptables.sh]

# COMPARTILHAR INTERNET ENTRE

echo Compartilhando Internet
echo 1 > /proc/sys/net/ipv4/ip_forward

if ! [ 'grep "0" /proc/sys/net/ipv4/ip_forward' ] > /dev/null; then
echo Nao alterado
else
echo Alteracao ok
fi

sleep 2

# REDIRECIONAR PORTA 80 PARA 3128

echo Redirecionando porta 80 para 3128

iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

echo Acho que deu certo, tenta ai...
sleep 2


Há um tempo atraz, eu desenvolvia vários servidores firewall's, devido a iso, fui obrigado a desenvolver uma rotina que me preparasse o basico do servidor, se quiser uma cópia, entre em contato.

Espero ter ajudado :)

andrecanhadas
(usa Debian)

Enviado em 13/02/2012 - 15:01h

Vai precisar de 2 placas de rede:

A internet ligada no linux diretamente em eth0

e o roteador que fara o wifi ligado no linux eth1

Dessa forma vc tem como fazer o proxy transparente, do contrario todos sairiam direto pelo roteador ignorando seu proxy.