BFW Firewall & Router

[Lelouch]

***** Tutorial de la Versión 3.0 de BrazilFW *****

BrazilFW Firewall and Router
• A powerful network security tool, easy, safe and totally free.







Haga clic aquí para créditos


Tutorial disponible en los siguientes idiomas: (Haga clic en la imagen)

*** *** ***
******************************************************************************************************************************************
ATENCIÓN !!!

Esta versión (3.0) está en desarrollo.

[Lelouch]

Índice del Tutorial de la versión 3.0 de BrazilFW:


1. Introducción.
   
2. Origen de BrazilFW 3.0
3. Especificaciones Técnicas de BrazilFW 3.0
4. Evolución de la versión 3.0 de BFW.
5. Requisitos para correr la versión 3.0
6. Descarga de la .iso y del Build-Tree de la versión 3.0
7. Boot desde CD.
8. Instalación.
9. Actualizando BFW 3.0
10. Cambiando la contraseña predeterminada de BFW 3.0
11. Conociendo el WebAdmin de BFW 3.0.
12. Instalando el Certificado Digital.
13. Conociendo el brazilfw.cfg – Archivo maestro de la versión 3.0
14. Puertos predeterminados de BFW 3.0
15. Bloqueo de Puertos.
16. Nuevo Cálculo de conntrack automático
17. Configurando la Conexión.
18. Configurando LoadBalance.
19. Trabajando con "Smart Route".
20. Trabajando con Tareas programadas - Cron.
21. Habilitando Control de IP x MAC.
22. Habilitando IPUpdate.
23. Habilitando Servicio interno de Email de 3.0
24. Habilitando Squid.
25. Trabajando con DansGuardian.
26. Trabajando con Generadores de Registros - Sarg y WebAlizer.
27. Trabajando con QOS.
28. Trabajando con DHCP.
29. Trabajando con Sub-redes.
30. Trabajando con Red Wireless.
31. Trabajando con Wireless en modo AP.
32. Trabajando con virtualización.
33. Trabajando con Port Forwarding - Redirección de puertos.
34. Clonación de MAC.
35. Servidor DNS Nativo de BFW 3.0 = Bind.
36. Reservado para futuro, el capítulo
37. Reservado para futuro, el capítulo
38. Resumen de Comandos.
39. Indice do Apéndice.
40. Apéndice 1 - Dirección IP, Máscara de red y la Sub-Red (IPv4).
41. [url]Reservado para futuro, el capítulo.[/url]
42. [url]Reservado para futuro, el capítulo.[/url]
43. [url]Reservado para futuro, el capítulo.[/url]
44. [url]Reservado para futuro, el capítulo.[/url]
45. [url]Reservado para futuro, el capítulo.[/url]
46. [url]Reservado para futuro, el capítulo.[/url]
47. [url]Reservado para futuro, el capítulo.[/url]
48. Créditos.

[Lelouch]

Introducción.

Compañeros, este tutorial es una fusión del topic de tests de la versión 3.0 de BrazilFW, pero también incluye nueva información, como por ejemplo la instalación del certificado de BrazilFW.
Toda la información necesaria para la elaboración de este tutorial es autoría de WoshMan.

Lo ideal sería siempre dejar este tutorial con la última información sobre el uso de la versión 3.0 de BrazilFW.

Actualmente desenvuelve la versión 3.0, Woshman = Washington Filho teniendo ayuda en los tests de las primeras versiones, de Peart = Felipe.

Click aquí para volver al Índice.

[Lelouch]

Origen de BrazilFW 3.0

Capítulo en Construcción!!!!

Orígen de BrazilFW 3.0.


Click aquí para volver al Índice.

[Lelouch]

Especificación Técnica de BrazilFW 3.0.

• Kernel: 2.6.25.4
• Beep: 1.2.2
• Bind: 9.6.1rc1
• Bridge-utils: 1.4
• Busybox-1.13.4
• Dialog: 1.1.20080316
• Dhcpd-4.1.1b1
• Dosfstools: 2.11
• Dropbear: 0.50
• E2fsprogs 1.41.1
• E3 (edit) 2.7.1 incluye archivo de respaldo con ~
• Ebtables: 2.0.8-2
• Hdparm: 8.9 (con soporte para S.A.T.A.)
• Iproute2: 2.6.25
• Iptables: 1.4.0
• Iputils: 20071127
• Ipwatchd: 1.1 (stop ip crash when other person clone the brazilfw ip)
• lshw B.02.13
• l7filter
• Init-tools: 3.3
• Madwifi: 0.9.4 (Drivers/Controladores para atheros)
• Mtools: 3.9.11 (Soporte para syslinux)
• Ndiswrapper: 1.52 (Drivers/Controladores Windows XP)
• Pppd 2.4.4
• Rp-pppoe: 3.8
• Stunnel: 4.23 (soporte SSL)
• Syslinux 3.71
• Thttpd: 2.25b (servidor http)
• Util-linux-ng 2.14.1
• Wireless_tools: 0.29
• Wpa_supplicant: 0.5.10 (wpa wireless)

Libs:

• ld-2.7.so*
• ld-linux.so.2@
• libc-2.7.so*
• libcom_err.so.2@
• libcom_err.so.2.1*
• libcrypt-2.7.so*
• libcrypt.so.1@
• libc.so.6@
• libdl-2.7.so*
• libdl.so.2@
• libe2p.so.2@
• libe2p.so.2.3*
• libgcc_s.so@
• libgcc_s.so.1*
• libm-2.7.so*
• libm.so.6@
• libncursesw.so.5@
• libncursesw.so.5.6*
• libnsl-2.7.so*
• libnsl.so.1@
• libnss_compat-2.7.so*
• libnss_compat.so.2@
• libnss_dns-2.7.so*
• libnss_dns.so.2@
• libnss_files-2.7.so*
• libnss_files.so.2@
• libnss_hesiod-2.7.so*
• libnss_hesiod.so.2@
• libnss_nis-2.7.so*
• libnss_nisplus-2.7.so*
• libnss_nisplus.so.2@
• libnss_nis.so.2@

Servicios Existentes:

• Modos de Conexión
  
  • STATIC (IP fijo)
  • DHCP,
  • Dinamico (PPPoE)
  • edge
• Acceso seguro a WebAdmin por medio de protocolo SSL
• Servidor Bind (DNS Server)
• Squid-3.0.STABLE15
• QOS
• Sub-Redes
• Load Balance (balanceo de de carga) integrado.
  
  • Con cualquier tipo de Conección (STATIC, PPPOE, DHCP e edge)
• DHCP Server para red y Sub-Redes
• GSM
• Nuevo Cálculo de conntrack automático:
  
  • Con el nuevo cálculo, ahora son posibles 1.652 conexiones aproximadamente por MB de memoria RAM instalada.
• Ipupdate 2.0 por link independiente.
• Soporte para wireless en modo cliente
• Email con suporte para ssl (gmail)
• Port Forwarding - (Redireccionamento de Puertos)
• Smart Route
• Amarre de IP X MAC
• DansGuardian - Ideal para uso en redes empresariales
• Sarg para uso en redes empresariales
• WebAlizer para uso en Provedores

• Development new "framework" for webadmin
• Native suporte with ssl
• Startup work with iface
• Ilimited interfaces
• Ilimited pppoe
• Ilimited dhcp-client
• Automated detect hardware
• No more sleep time in the boot

Click aquí para volver al Índice.

[Lelouch]

Evolución de la versión.

1. Topic de Evolución de BrazilFW 3.0
   
2. Relación de versiones de Prueba
   
3. Relación de Novedades
   
4. Relación de Correccion de errores/Bugs y mejoras

Click aquí para volver al Índice.

[Lelouch]

Requisitos para ejecutar la versión 3.0

Computador necesario:

• Para ejecutar BFW 3.0 se recomienda como mínimo un Pentium 233 MHZ con 128 MB de memoria RAM, hd con 600 MB, pero se recomienda por lo menos un "Pentium III 500 MHZ" con 256 MB de memoria RAM.
  
  • Obs.: Atención con placas (boards) que tengan el video integrado.
    Si usted instala un servidor con 128 MB de RAM y la board tiene vídeo integrado, la memoria RAM que estará disponible para el sistema seguramente estará por debajo de los 128 MB.

Virtualización:

La versión 3.0 de BrazilFW es compatible con las seguientes aplicaciones de Virtualización:

• VMWARE
  
• VIRTUAL BOX
• VIRTUAL PC

Otros Items:

• Placas de Rede
• Hubs o switches o hub-switches
• Cableado
• APs, Antenas e etc ...
  
  • Verifie que los items arriba mencionados esten en buenas condiciones de uso, verifique tambien si fueron instalados adecuadamente.
  • Evite usar cables de baja calidad o reusar cables que se encuentren en dudoso estado.
  • Evite utilizar Placas de Rede de baja calidad, como opr ejemplo una SIS900.
  • Puede no parecer, pero estas recomendaciones nos ayudan a tener una red ágil y confiable.

Click aquí para volver al Índice.

[Lelouch]

Descarga de la .iso de la versión 3.0 e Instalación/Update de la Build-Tree de 3.0

• Descargar de la .iso de BrazilFW 3.0:
  • http://brazilfw.com.br/users/woshman/bt/brazilfw.iso


• Build-tree de BrazilFW 3.0:
  • build-tree {install/update}
    

    Código: Selecionar todos

    get-pkg /users/woshman/build-tree

Click aquí para volver al Índice.

[Lelouch]

Iniciar desde CD.

El CD de BrazilFW 3.0 trae los siguientes items:

• Boot Menu con 2 kernels ambos con sooprte para Multi-Processador:
  
  1. El primero es para máquinas que posean hasta 4 GB de memoria RAM.
  2. El segundo es para máquinas que posean hasta 64 GB de memoria RAM.
     
     • En caso de tener un solo procesador, el propio sistema se encargará de hacer los ajustes necesarios.
  3. Test de memoria.
     
     • En esta opción tiene la posibilidad de hacer un test de la Memoria RAM de Server.
  
  Iniciar desde CD:
  Pantalla del Boot Menu poco despues de iniciar.
  
  • El Timer es de 15 segundos. Si no selecciona una opcion el instalador ingresará de manera automatica a la primera opcion.
  
  
  
  Después de optar por la primera o la segunda opción tendremos la siguiente pantalla::

Click aquí para volver al Índice.

[Lelouch]

Instalación de BFW 3.0 en un "Disco" de Gran Capacidad:

• El instalador crea la primera partición con 100 MB y coloca el espacio restante del HD en la segunda Partición.

Para Instalar siga estos pasos:

Ingrese como: # root ==> Enter


Ingrese con la contraseña predeterminada: # root ==> Enter


Entre com: # Instalar ==> Enter


Ahora siga estos pasos

• Despues de terminar, haga clic en OK y el server será reiniciado. Deje que el computador bootee desde el HD.
  
  • No olvide retirar el CD, ya que incluso dando arranque desde el HD, si el CD se encuentra
    todavia en la unidad de CD esto puede genear problema

Click aquí para volver al Índice.

[Lelouch]

Atualización/Updade de BrazilFW 3.0 despues de Instalado:

• Despues de instalado, al ser lanzada una nueva versión, basta con bajar la nueva .iso y copiar los archivos brazilfw.gz e version.inf para el directorio /mnt y reiniciar el server. Con esto, su servidor será actualizado.
  
  O
• Atualización / update
  
  • Apartir de la versión 3.0.197 ==> update ==> For webadmin

Click aquí para volver al Índice.

[Lelouch]

Cambiando la contraseña predeterminada de BFW 3.0

La contraseña predeterminada de BFW 3.0 es: root

Código: Selecionar todos

root

´Cambie la contraseña despues de la instalación con el siguiente comando:

Código: Selecionar todos

passwd

Haga Backup:

Código: Selecionar todos

backup

Vea los pantallasos:







Click aquí para volver al Índice.

[Lelouch]

Conociendo el WebAdmin de BFW 3.0.

Capturas de pantalla del WebAdmin:








Clicke aqui para voltar ao Índice.

[Lelouch]

Instalando el Certificado Digital.

Ahora, acceder al WebAdmin de BrazilFW 3.0 se realizará por medio de una conexión segura por certificado SSL.

Por defecto, para acceder al WebAdmin basta con ingresar la direccion https://ns.brazilfw.local:8181 en su navegador.
Como el certificado aun no ha sido instalado en el navegador, al acceder al WebAmin mostrará un mensaje en rojo.
Para que este mensaje en rojo no vuelva a parecer, debemos instalar el certificado.
La validez del certificado es de 10 años

A continuación se relacionan los pasos para la instalación del certificado.

==> 1 – Procedimiento válido para internet Explorer 6.0, 7.0 u 8.0 :
En la barra de direcciones ingrese lo siguiente: https://ns.brazilfw.local:8181/getcert.cgi
Ahora, guíese por las siguientes capturas de pantalla:

Nombre de usuario (login) y contraseña: Ingrese con los datos creados para BrazilFW


Abrir


Clic en instalar certificado


Siguiente


Colocar todos los certificados en el siguiente almacén ==> Examinar


Entidades emisoras raíz de confianza ==> OK


Siguiente


Finalizar






Este proceso instalará el certificado brazilfw cert 3. Hecho esto, al ingresar al WebAdmin de BFW no volverá a mostrar el mensaje de color rojo

Al hacer clic sobre el candado, usted verá el certificado. Así usted sabrá que certificado está asignado, y para cual sitio es válido.





==> 2 – Procedimiento válido para Mozila FireFox:

En FireFox, primero se debe bajar y guardar el certificado.

En la barra de direcciones ingrese lo siguiente: https://ns.brazilfw.local:8181/getcert.cgi

Ahora, guíese por las siguientes capturas de pantalla:

Clic en "O puede agregar una excepción "


Clic en "agregar excepción "


Verificar certificado ==> confirmar excepción de seguridad "


Ingresar con Usuario y Contraseña


Clic en "Guardar archivo"


Guarde el certificado en una carpeta de su preferencia "



==> Después de bajar el Certificado y guardarlo, realice los siguientes pasos:

Herramientas ==> Opciones


Pestaña “Avanzado” ==> Criptografía ==> Certificados


Autoridades ==> Importar


Localice certificado en la carpeta donde lo halla guardado y selecciónelo



Marcar las siguientes opciones
==>Considerar confiable este CA para identificar Sitios
==> ............................ para identificar usuarios
==> ............ para identificar autores de programas
==> ............................................................ OK
==> ...................................................................OK



Observación:
1 – Si ingresa con la ip en cambio del dns, aparecerá el mensaje de color rojo nuevamente, ya que fue instalado solamente con el nombre.
2 – Si cambia el nombre de su bfw (ns.brazilfw.local), vasta con eliminar el certificado y reniciar el servicio de WebAdmin, entonces será generado un nuevo certificado para el nuevo dominio. Para esto, haga lo siguiente:

Comandos para renovar el certificado después de renovar el dominio:
Ingrese vía PuTTy


Código: Selecionar todos

/etc/init.d/webadmin stop
cd /etc/brazilfw/cert
rm -fr brazilfw_ssl.*
/etc/init.d/webadmin start
backup


Renueve el Bind


Código: Selecionar todos

/etc/init.d/named reload


Con los procedimientos de arriba el nuevo dominio ya entra para toda la red con un nuevo certificado

Accediendo al WebAdmin:

Si usted cambio el dominio que viene por defecto en el BrazilFW, digite en la barra de direcciones del navegador de su preferencia la siguiente dirección:

https://ns.brazilfw.local:8181

Clicke aqui para voltar ao Índice.

[Lelouch]

Traducido por juliojc
Conociendo el brazilfw.cfg - Archivo Maestro de la Versión 3.0

En este capítulo conoceremos el Archivo Maestro del BFW 3.X ( /etc/brazilfw/brazilfw.cfg ) a través de los comentarios realizados por cada línea

Variables

• Los nombres de las variables están en letras mayúsculas y posiblemente tengan guión abajo ( _ ).
  
• Las variables son citadas en minúsculas entre comillas simples ( ' ' )

• El contenido que viene por defecto del /etc/brazilfw/brazilfw.cfg se ve así:
  

  Código: Selecionar todos

  WEBADMIN_PORT='8181'
SSH_PORT='22'
ADMIN_AUTH='xxxxxxxxxxxxxxxx'
DNSSERVER='yes'
DNS1=''
DNS2=''
DHCP_DNS1=''
DHCP_DNS2=''
NAMESERVER='ns'
DOMAIN='brazilfw'
LOCALDOMAIN='local'
PERSIST_LOG='no'
USE_SWAP='no'
SWAP_MEM=''
PARTITION=''
TIMEZONE='EST3'
CACHE_DISK='no'
USE_QOS='no'
QOS_DEFAULT_GUARANTEE='10'
DHCP_SERVER='no'
DHCP_DEFAULT_LEASE='7200'
IPUPDATE='no'
IPUPDATE_REFRESH='600'
USE_MAC_CONTROL='no'
DISABLE_NAT='no'
DISABLE_CONNLIMIT='no'
CERTIFICATE_ISSUED_TO=''
EXTERNAL_PING='yes'

• Ahora veamos las variables y sus definiciones:
  
  WEBADMIN_PORT='8181'
  
  • Puerto de acceso al WebAdmin. Puerto por defecto = 8181
  SSH_PORT='22'
  
  • Puerto de acceso al ssh. Puerto por defecto = 22
  ADMIN_AUTH='xxxxxxxxxxxxxxxxxx'
  
  • Contraseña de root encriptada
  DNSSERVER='yes'
  
  • Servidor DNS nativo del 3.x (Bind). Por defecto está habilitado ='yes'
    
    • Estando el Bind habilitado las variables DNS1; DNS2; DHCP_DNS1 e DHCP_DNS NO deben ser llenadas.
  DNS1=''
  DNS2=''
  DHCP_DNS1=''
  DHCP_DNS2=''
  
  • Las variables DNS1; DNS2; DHCP_DNS1 e DHCP_DNS sólo deben ser llenadas si el el Bind (DNSSERVER) está en 'no'
  NAMESERVER='ns'
  
  • Nombre del Servidor DNS. Por defecto viene como 'ns'
  DOMAIN='brazilfw'
  
  • Nombre del Dominio. Por defecto viene como 'brazilfw'
  
  LOCALDOMAIN='local'
  
  • Extensión del Dominio. Por defecto viene como 'local'
  PERSIST_LOG='no'
  
  • Graba el log en disco. Por defecto viene deshabilitado = 'no'
  USE_SWAP='no'
  
  • Activa Memoria virtual en disco. Por defecto viene deshabilitado = 'no'
  SWAP_MEM=''
  
  • Establece el valor de la Memoria Virtual en disco
    
    • Similar a la memoria virtual del Windows (SWAP MEMORY)
      Ejemplo: SWAP_MEM='1024' - Será creada una memoria virtual de 1024 MB que será tomada de la memoria RAM del Server.
  PARTITION=''
  
  • Define manualmente donde está la partición, en caso de usar otro HD. Aún se está testeando.
  TIMEZONE='EST3'
  
  • Región de los uso horario
  CACHE_DISK='no'
  
  • Servidor Proxy nativo del 3.X (Squid). Por defecto viene deshabilitado = 'no'
  USE_QOS='no'
  
  • Control de Ancho de Banda del 3.X Por defecto viene deshabilitado = 'no'
  QOS_DEFAULT_GUARANTEE='10'
  
  • Valor por defecto que garantiza para QoS
  DHCP_SERVER='no'
  
  • Servidor DHCP. Por defecto viene deshabilitado = 'no'
  DHCP_DEFAULT_LEASE='7200'
  
  • Tiempo de concesión para DHCP Server. Por defecto viene '7200' = 2 Horas.
  IPUPDATE='no'
  IPUPDATE_REFRESH='600'
  
  • IpUpdate y tiempo de actualización. Por defecto viene deshabilitado = 'no' y con el tiempo '600' = 10 Minutos.
  USE_MAC_CONTROL='no'
  
  • Control de MAC X IP. Por defecto viene deshabilitado = 'no'
  DISABLE_NAT='no'
  
  • Deshabilita el Enmascaramiento de IP (Compartido). El valor predeterminado es = 'no'
  DISABLE_CONNLIMIT='no'
  
  • Deshabilita el Connlimit automático del QOS. El valor predeterminado es = 'no'
  CERTIFICATE_ISSUED_TO=''
  
  • Para personalizar el certificado de (https).
  EXTERNAL_PING='yes'
  
  • Activa o Desactiva el Ping Externo. Por defecto está Activado = 'yes'

Clic aquí para volver al Índice.

[Lelouch]

Puertos predeterminados de BFW 3.0

• Relación de Puertos en BFW 3.0
  
  
  • 22.....................Acceso SSH
  • 53.....................Acceso DNS
  • 3128..................Acceso Squid
  • 8080..................Acceso Dansguardian
  • 8181..................Acceso Webadmin

Clicke aqui para voltar ao Índice.

[Lelouch]

Bloqueo de puertos en BFW 3.0

Contenido del archivo: "/etc/brazilfw/ports/blocked.cfg"

Código: Selecionar todos

yes 22 tcp # Acceso externo a SSH
yes 53 all # Acceso externo a DNS
yes 3128 tcp # Acceso externo a Squid
yes 8080 tcp # Acceso externo a Dansguardian
yes 8181 tcp # Acceso externo a Webadmin

• De manera predeterminada; los accesos externos a los siguientes "servicios" vienen bloqueados:
  
  • SSH
  • DNS
  • Squid
  • Dansguardian
  • Webadmin
• Para desbloquear un determinado puerto, basta con cambiar el yes por no y reiniciar el servicio.

Ejemplo:

Si quiere liberar el acceso externo al webadmin haga lo siguiente:

Código: Selecionar todos

edit /etc/brazilfw/ports/blocked.cfg

Donde dice "yes 8181 tcp" cambie por "no 8181 tcp"

Guarde y salga

Realice un Backup

Código: Selecionar todos

# backup

Para reiniciar el servicio:

Código: Selecionar todos

# /etc/rc.d/rc.blocked

Actualizado y traducido por: juliojc
Liberando el Acceso Externo (Administrativo)

A Partir de la versión 3.0.206 todos los servicios que necesiten del acceso externo, deberán ser liberados antes.

Ejemplo: Liberar el acceso externo al SSH y al Webadmin.

1 - Usando el Terminal (a través del propio servidor o accediendo por ssh)


Por consola:


Código: Selecionar todos

cd /etc/brazilfw/ports
edit accept.cfg



Y editamos:


Código: Selecionar todos

yes <porta ssh> tcp
yes <porta webadmin> tcp


ctrl+wq
backup

Reemplace <porta ssh> por el número del puerto (por defecto es 22)
Reemplace <porta webadmin> por el número del puerto (por defecto es 8181)

Para reiniciar el servicio:


Código: Selecionar todos

/etc/rc.d/rc.accept

Clic aquí para volver al Índice.

[Lelouch]

Nuevo Cálculo de ConnTrack Automático

• Cálculo de Conntrack Automático = El sistema ajusta automáticamente la cantidad máxima de conexiones de su red de acuerdo a la cantidad de memoria RAM que posea el Servidor:
  
  
  • Antes, la regla era: 64 conexiones por Mega.
    Ejemplo: Su servidor tiene 256 MB de RAM, usted tendría 256 x 64 = 16.384 conexiones.
    Fuente: viewtopic.php?f=2&t=67340#p158468
    
    
  • Ahora con el nuevo calculo, quedaría así:
    1.652 conexiones aproximadamente por Mega
    Ejemplo: Su servidor tiene 256 MB de RAM, usted tendría 256 x 1.652 = 422.912 conexiones aproximadamente.

Clicke aqui para voltar ao Índice.

[Lelouch]

Configurando la Conexión.

Observación Importante:

De manera predeterminada el BrazilFW apunta a eth0 para la red local y la eth1 para internet.
Con eso, todos los ejemplos en este capitulo y en los siguientes se seguirán usando esta misma configuración predeterminada de BrazilFW. Teniendo, por ejemplo, un segundo link de internet, este sería eth2 y así sucesivamente.

Red Local = eth0:

La eth0 viene con la red 192.168.0.1/24. Coloque la que usted acostumbre a usar. Solo tenga cuidado deusar una clase valida para red privada (cualquier duda en cuanto a "redes privadas" vea el siguiente tutorial "Endereço IP, Máscaras de Redes e Sub-Rede (IPV4).").

eth0 de forma predeterminada
Ruta => /etc/brazilfw/logical/local


Código: Selecionar todos

LINK_ALIAS="local"
LINK_CONNECTION="local"
LINK_TYPE="static"
LINK_IP="192.168.0.1"
LINK_NETMASK="255.255.255.0"


Para cambiar la red local edite el archivo /etc/brazilfw/logical/local


Código: Selecionar todos

edit /etc/brazilfw/logical/local

Cambie por la IP y mascara de su red/Subred, Guarde y Salga

Para cambiar la red local y el link de internet entre en /etc/brazilfw/logical


Link Internet = eth1:

• El(los) archivo(s) del(los) link(s) de internet están en el /etc/brazilfw/logical/
• Abajo veremos ejemplos para los tipos de conexión de internet de BFW3.0
• Recordando que, aquí fue colocado el nombre del archivo del link de "internet", pero usted puede colocar cualquier otro nombre.
  
  
  1. Conexión estática:
     

     Código: Selecionar todos

     LINK_ALIAS="internet"
LINK_CONNECTION="internet"
LINK_TYPE="static"
LINK_IP="10.1.1.2"
LINK_NETMASK="255.255.255.252"
LINK_GATEWAY="10.1.1.1"
# LINK_WEIGHT es el peso del link para LoadBalance
LINK_WEIGHT="1"

     
     
     

     Código: Selecionar todos

     edit /etc/brazilfw/logical/internet

# Usted debe cambiar la ip, mascara y gateway del link estático. Guarde y Salga

     
     
  2. Conexión pppoe:
     

     Código: Selecionar todos

     LINK_ALIAS="internet"
LINK_CONNECTION="internet"
LINK_TYPE="pppoe"
LINK_USERNAME="xxxxxxxxxx@xxxxxxx.com.br"   
LINK_PASSWORD="xxxxxxxxxxx"
# LINK_WEIGHT es el peso del link para LoadBalance
LINK_WEIGHT="1"

     
     

     Código: Selecionar todos

     edit /etc/brazilfw/logical/internet
LINK_USERNAME="coloque aqui su login DSL"
LINK_PASSWORD="coloque aqui a su contraseña DSL"
Guarde y Salga.

     
     
  3. Conexión DHCP:
     

     Código: Selecionar todos

     LINK_ALIAS="internet"
LINK_CONNECTION="internet"
LINK_TYPE="dhcp"
# LINK_WEIGHT es el peso del link para LoadBalance
LINK_WEIGHT="1"

  
  
  Conexión ppp (conexión vía grps/edge/evdo/3g:
  
  • Operadora Claro:
    

    Código: Selecionar todos

    edit /etc/brazilfw/logical/claro
LINK_DEVICE="ttyUSB0" #En caso que su módem sea detectado en otro puerto, favor cambiar.
LINK_CONNECTION="internet"
LINK_TYPE="ppp"
LINK_PHONE="*99***1#"
LINK_PROVIDER="claro.com.br'
LINK_USERNAME="claro"
LINK_PASSWORD="claro"
LINK_WEIGHT="1"

    
    
    
  • Operadora Vivo:
    

    Código: Selecionar todos

    edit /etc/brazilfw/logical/vivo
LINK_DEVICE="ttyUSB0" #En caso que su módem sea detectado en otro puerto, favor cambiar.
LINK_CONNECTION="internet"
LINK_TYPE="ppp"
LINK_PHONE="#777" #vivozap
LINK_PROVIDER=""
LINK_USERNAME="<ddd><telefone>@vivozap.com.br" #ex 1991234567@vivozap.com.br
LINK_PASSWORD="vivo"
LINK_WEIGHT="1"

Realice Backup

Código: Selecionar todos

backup

Para iniciar o reiniciar el servicio:

Código: Selecionar todos

/etc/rc.d/rc.inet

OBS.: Si no va a usar la versión 3.0 como servidor DHCP, deberá colocar en DNS la IP de BFW en la máquina cliente, de lo contrario no habrá navegación.

Clicke aqui para voltar ao Índice.

[Lelouch]

Configurando LoadBalance.

• LoadBalance usando dos links ADSL (1 de 2 MB e 1 de MB). Usando pppoe en los dos links.
  
  • Válido para links de diferentes operadoras. Para links de la misma operadora vea la Observación de abaijo.

Placa de Red:

• En /etc/brazifw/physical tenemos el archivo de internet que hace referencia a la eth1. Lo que tenemos que hacer es crear archivos para cada ethX que adicionaremos.
  
  
• Ejemplo: internet2 para eth2 y asi sucesivamente (Nota: El nombre internet2 puede cambiarlo por uno que crea conveniente)
  
  Entonces en /etc/brazifw/physical tendríamos, además de otros, los siguientes archivos:
  
  
• internet para eth1 (Este viene de forma predeterminada)
  

  Código: Selecionar todos

  edit /etc/brazilfw/physical/internet

INTERFACE_TYPE="cabled"
INTERFACE_PHYSICAL="eth1"

  
  
• internet2 para eth2 (Deberá crearlo)
  

  Código: Selecionar todos

  edit /etc/brazilfw/physical/internet2

INTERFACE_TYPE="cabled"
INTERFACE_PHYSICAL="eth2"

  
  
  
• Existiendo más placas de red signa el mismo esquema.

Ahora tenemos que crear los discadores en /etc/brazifw/logical

• Allí ya tenemos el archivo internet que hace referencia a eth1
  

  Código: Selecionar todos

  edit /etc/brazilfw/logical/internet

LINK_ALIAS="internet"
LINK_CONNECTION="internet"
LINK_TYPE="pppoe"
LINK_USERNAME="xxxxxx@xxxxx"
LINK_PASSWORD="xxxxxxx"
LINK_WEIGHT="2"

  
  
• Ahora, tenemos que crear el archivo, como por ejemplo, internet2 que será el segundo "discador" para la interfase eth2
  

  Código: Selecionar todos

  edit /etc/brazilfw/logical/internet2

LINK_ALIAS="internet2"
LINK_CONNECTION="internet"
LINK_TYPE="pppoe"
LINK_USERNAME="xxxxxx@xxxxx"
LINK_PASSWORD="xxxxxxx"
LINK_WEIGHT="1"

  
  
• Existiendo mas placas de red se debe seguir el mismo esquema.

Haga Backup:

Código: Selecionar todos

backup

Para iniciar o reiniciar el servicio:

Código: Selecionar todos

/etc/rc.d/rc.inet

• Observación: Si los links usados para hacer LoadBalance fuesen de la misma operadora, los módems deben ser Routeados. Si usamos los módems en modo Bridge con enlaces de la misma operadora tendremos problemas.
  Antes, dos explicaciones:
  
  1. Motivo: Enlaces de la misma operadora con el módem en modo Bridge el Gateway para BrazilFW será el mismo.
     Entendido?
  2. Módem Routeado: antes que aparezca un grupo en contra y un grupo a favor del modem routeado, digo que, disculpen los contras, es solo usar modem confiables para la tarea. Entonces, por favor, nada de estar intentando mostrar "esto o aquello" del módem routeado. Ese asunto es casi una religión y la religión no se discute, se sigue o no se sigue.
     Entendido?

Placa de Red:

• En /etc/brazifw/physical tenemos el archivo internet que hace referencia a eth1. Lo que tenemos que hacer es crear archivos para cada ethX que adicionaremos.
  
  
• Ejemplo: internet2 para eth2 y así sucesivamente (Nota: El nombre internet2 usted puede cambiarlo por el que crea conveniente)
  
  Entonces en /etc/brazifw/physical tendríamos, además de otros, los siguientes archivos:
  
  
• internet para eth1 (Este ya viene de manera predeterminada)
  

  Código: Selecionar todos

  edit /etc/brazilfw/physical/internet

INTERFACE_TYPE="cabled"
INTERFACE_PHYSICAL="eth1"

  
  
• internet2 para eth2 (Tendrá que crearlo)
  

  Código: Selecionar todos

  edit /etc/brazilfw/physical/internet2

INTERFACE_TYPE="cabled"
INTERFACE_PHYSICAL="eth2"

  
  
  
• Existiendo más placas de red sigan el mismo esquema.

Ahora tenemos que crear los Links en /etc/brazifw/logical

• Allí ya tenemos el archivo internet que hace referencia a eth1
  

  Código: Selecionar todos

  edit /etc/brazilfw/logical/internet

LINK_ALIAS="internet"
LINK_CONNECTION="internet"
LINK_TYPE="static"
LINK_IP="10.1.1.2"
LINK_NETMASK="255.255.255.252"
LINK_GATEWAY="10.1.1.1"
LINK_WEIGHT="2"

  
  
• Ahora, tenemos que crear el archivo, como por ejemplo, internet2 que será el segundo "link" para eth2
  

  Código: Selecionar todos

  edit /etc/brazilfw/logical/internet2

LINK_ALIAS="internet2"
LINK_CONNECTION="internet"
LINK_TYPE="static"
LINK_IP="10.50.1.2"
LINK_NETMASK="255.255.255.252"
LINK_GATEWAY="10.50.1.1"
LINK_WEIGHT="1"

  
  
• Existiendo más placas de red sigan el mismo esquema.

Haga Backup:

Código: Selecionar todos

backup

Para iniciar o reiniciar el servicio:

Código: Selecionar todos

/etc/rc.d/rc.inet

Clicke aqui para voltar ao Índice.

[Lelouch]

Trabajando con "Smart Route".

Smart Route:

El enlace es verificado cada 10 segundos, en caso de cambios, tanto Squid como las rutas serán recargadas.

Parámetros:

Header del /etc/brazilfw/route.cfg:


Código: Selecionar todos

[activo] [origen] [ruta(s)] [comando] [argumentos]



Ejemplos:


Código: Selecionar todos

yes n internet1,internet2 port 443 tcp
yes n internet1,internet2 port 80 tcp browser
yes s internet1,internet2 source browser
yes f internet2,internet1 port 25 tcp
yes f internet2,internet. port 110 tcp
yes s internet1,internet2 source 192.168.0.1,192.168.0.2,192.168.0.3,192.168.0.4
yes s internet2,internet1 source 192.168.0.5,192.168.0.6,192.168.0.7
yes s internet1,internet2 source 192.168.0.0/24,10.0.0.5,192.168.50.0/30

[activo]

yes/no

[origen]

n = network (origen de la red)
f = firewall (origen del propio firewall)
s = squid (origen del squid)

[rutas] = además de los links

Ejemplo: Se tienen 3 links y fue colocado el alias para los links:

link 1 = internet1
link 2 = internet2
link 3 = internet3

1. Para separar los links usamos la coma (,).
   
   • Ejemplo: internet,internet2,internet3
2. El orden es quien define la priridad. 1º,2º,3º...
3. Si por algun motivo el primer link esta caído, el segundo lo asumirá, si el segundo link esta caído, el tercero lo asumirá, volviendo el primer link este asumirá el puesto de el.
4. Si fuese definido solamente un link, teniendo mas de un servidor y el link definido está caido, el entrará en load balance.

[comando]

1. Si el [origem] for n o f
   
   1. port [puerto] [protocolo] [filtro]
   2. source [ip]
   3. dest [ip/url]
   4. source-port [ip] [puerto] [protocolo] [filtro]
   5. dest-port [ip] [puerto] [protocolo] [filtro]
   6. [protocolo] = tcp, udp
   7. [filter] = Todos los filtros validos del protocolo L7
2. Si el [origem] for s
   
   source [ip(s) / browser]
   browser = Detecta que navegador está usando el usuarioy el fija solamente la ruta predeterminada en el comando
   dest-domain [dominios] ex: .terra.com.br .orkut.com .uol.com.br
   
   Ejemplos para ser usados en route.cfg:
   

   Código: Selecionar todos

    edit /etc/brazilfw/route.cfg

   
   

   Código: Selecionar todos

    # sin squid
 yes n internet1,internet2 port 80 tcp browser

 # con squid
 yes s internet1,internet2 source browser

 # https
 yes n internet1,internet2 port 443 tcp

 # Cambiar el nombre internet1,internet2,... por el nombre que definió antes en la configuración del sistema

   
   
   "Dividiendo (sectorizando)" la Red:
   
   • Obs.: Para separar las IPs o Redes usamos la coma (,).
   
   Ejemplos:
   
   1. Colocando ips para salir en un orden y otros ips en otro orden.
      

      Código: Selecionar todos

      yes s internet1,internet2 source 192.168.0.1,192.168.0.2,192.168.0.3,192.168.0.4
yes s internet2,internet1 source 192.168.0.5,192.168.0.6,192.168.0.7

      
      
      
   2. Colocando una red para salir en un oren y otras redes en otro orden.
      

      Código: Selecionar todos

      yes s internet1,internet2 source 192.168.0.0/24
yes s internet2,internet1 source 10.1.1.1/24,192.168.50.0/30

      
      
      
   3. Forzando un IP por un solo link y el resto de la red por otro link.
      

      Código: Selecionar todos

      yes s internet1,internet2 source 192.168.0.5
yes s internet2,internet3 source all
# Todo lo que no for do IP 192.168.0.5 entra en internet2 o en internet3

      
      
      
   4. Forzando dominios por un solo link.
      

      Código: Selecionar todos

      yes s internet1,internet2 dest-domain .terra.com.br,.orkut.com.br,.uol.com.br

      
      
      
      Pregunta del usuario "rhine-pr":
      Tengo una cantidad enorme de ips de youtube, globo, y otros, como debo configurar LoadBalance para escoger esos destinos?
      
      Por Ejemplo, Determinar que una dirección de internet (no de ip interno) salga por un determinado link, tipo:
      

      Código: Selecionar todos

      dest y LB1 209.85.173.0/24 80 80 #googlevideos
dest y LB2 209.85.174.0/23 80 80 #googlevideos
dest y LB3 209.85.192.0/23 80 80 #googlevideos

# Determinar que cada IP saldrá por un link usando el puerto 80 ...

      
      Para la red interna, quedaría asií:
      

      Código: Selecionar todos

      net y LB1 LAN1 192.168.7.1 32 #

# Determinar que el link 1 va a ser direccionado para eth0 (lan1) para el IP 192.168.7.1

      
      
      
      
      Respuesta de "Woshman":
      
      En BrazilFW 3.x, usando el squid, quedaría así:
      

      Código: Selecionar todos

      yes s internet1,internet2,internet3 dest-domain video.google.com
yes s internet2 dest-domain .globo.com
yes s internet3 dest-domain .youtube.com

yes s internet1,internet2,internet3 source 192.168.7.1/32

Para iniciar o reiniciar el servicio:

Código: Selecionar todos

/etc/rc.d/rc.route

Clicke aqui para voltar ao Índice.

[Lelouch]

Trabajando con las Tareas Programadas - Cron.

Tareas Programadas - Cron:

De forma predeterminada el cron (Tareas programadas) viene habilitado.
Después de realizar alguna modificación del archivo /etc/brazilfw/cron.cfg es solo recargar el servicio.

Parámetros:

Header de /etc/brazilfw/cron.cfg:


Código: Selecionar todos

mm hh dd MM ss script comentario
|  |  |  |  |    |       |
|  |  |  |  |    |       +-------- Comentário
|  |  |  |  |    +---------------- Comando/script a ser ejecutado
|  |  |  |  +--------------------- Dia de la semana (0 - 6) (comenzando en domingo=0)
|  |  |  +------------------------ Mes (1 - 12)
|  |  +--------------------------- Día del mes (1 - 31)
|  +------------------------------ Hora (0 - 23)
+--------------------------------- Minuto (0 - 59)



Observaciones:

1. En Día de la semana, 0 se refiere a domingo; y 6, a sábado. En el caso del dia de la semana, este también funciona con las tres primeras letras (en inglés) del día da semana (SUN,MON,TUE,WED,THU,FRI,SAT)
   
   
2. En cualquier posición se puede usar el * (asterisco) cuando no importa el campo en cuestión.
   
   
3. Se puede utilizar intervalos en esos campos. El carácter para intervalo es el - (Guión).
   
   
4. Se puede utilizar una lista de valores en esos campos. El carácter para la lista es la , (coma).
   
   
5. Cualquier texto colocado después del programa que será ejecutado, será considerado comentario y no será interpretado por el cron

Ejemplo:


1. Código: Selecionar todos

   00 * * * * script
# Todos los días cada hora (siempre)

   
   

2. Código: Selecionar todos

   00-59/5 * * * * script
#De cinco en cinco minutos (osea, cada 5 minutos) todos los días (note la división por 5 en el intervalo 00-59)

Para reiniciar el servicio:

Código: Selecionar todos

/etc/init.d/cron reload

Clicke aqui para voltar ao Índice.

[juliojc]

Habilitando el Control IP x MAC.

Amarrar IP x MAC:

Parámetros:

En el encabezado /etc/brazilfw/reserve.cfg:


Código: Selecionar todos

[ip] [mac]
192.168.0.1 2e:00:54:16:a4:66



Observaciones:

1. El archivo /etc/brazilfw/reserve.cfg es el mismo para la reserva de ips para el DHCP
   
2. El MAC debe estar con dos puntos(:) y no con el guión (-)
   
   • Ejemplo: 192.168.0.1 2e:00:54:16:a4:66

Para activar el control de mac/ip editar el archivo /etc/brazilfw/brazilfw.cfg y escribir 'yes' en USE_MAC_CONTROL

Código: Selecionar todos

edit /etc/brazilfw/brazilfw.cfg
USE_MAC_CONTROL='yes'

• El concepto usado en el control MAC x IP es la misma de la Lista Blanca. Sólo navegarán quienes estén registrados en la lista.
  Si el Control MAC x IP está habilitado en el brazilfw.cfg, y el MAC no está en la lista, el cliente no conseguirá hacer nada.
  Ni siquiera podrá conseguir hacer ping al BFW. A través del MAC no registrado sólo se podrá tener acceso al puerto del webadmin y al puerto ssh para realizar un eventual mantenimiento.

Ejemplo:

• Si necesita bloquear una determinada MAC.
  Basta con ir a la línea de IP/MAC, la comenta y recarga el servicio. Automáticamente el cliente es bloqueado, no pasará por el QOS ni por el Squid.
  

  Código: Selecionar todos

  edit /etc/brazilfw/reserve.cfg

  
  

  Código: Selecionar todos

  #192.168.0.1 2e:00:54:16:a4:66

  
  

  Código: Selecionar todos

  /etc/rc.d/rc.macip

Para iniciar o reiniciar el servicio:

Código: Selecionar todos

/etc/rc.d/rc.macip

Click aquí para volver al Índice.

[juliojc]

Habilitando el IPUpdate.


Parámetros:

En el encabezado /etc/brazilfw/ipupdate.cfg:



Código: Selecionar todos

edit /etc/brazilfw/ipupdate.cfg




Código: Selecionar todos

<alias> <servicio> <dominio> <usuario> <contraseña> son válidos para el no-ip y para el zoneedit
# Ejemplo
internet no-ip woshman.no-ip.info blablabla 123456

<alias> <servicio> <dominio> <usuario> <contraseña> <sistema> <backup mx (yes/no)> <wildcard * (yes/no)> <mail exchanger>
# Ejemplo
internet dyndns woshman.dyndns.info blablabla 123456 dyndns no yes (si usa, coloque el ip)

ctrl+qy




• Es necesario habilitar el IpUpdate en el Archivo Principal ( /etc/brazilfw/brazilfw.cfg )
  

  Código: Selecionar todos

  edit /etc/brazilfw/brazilfw.cfg

IPUPDATE="yes"

ctrl+qy

Para iniciar el servicio:

Código: Selecionar todos

/etc/init.d/ipupdate start

Para reiniciar el servicio:

Código: Selecionar todos

/etc/init.d/ipupdate reload

Click aquí para volver al Índice.

[juliojc]

Habilitando el Servicio interno de Email del 3.0

Como utilizar el sistema de email:

Código: Selecionar todos

edit /etc/brazilfw/mail.cfg

• Si fuera a utilizar gmail
  

  Código: Selecionar todos

  SERVER="smtp.gmail.com"
EMAIL="blabla@gmail.com"
NAME="Nombre de muestra"
AUTH="on"
PORT="587"
SSL="yes"
PASSWORD="blabla"
ctrl+qy

  
  
• Si fuera a utilizar terra
  

  Código: Selecionar todos

  SERVER="smtp.poa.terra.com.br"
EMAIL="blabla@terra.com.br"
NAME="Nombre de muestra"
AUTH="login" # login = autenticación POP3
PASSWORD="blabla"
ctrl+qy

Programa ejemplo:

• Código: Selecionar todos

  edit teste

  
  

• Código: Selecionar todos

  #!/bin/sh

. /lib/system-mail

to "teste@teste.com.br"
subject "Hello World"
message "<html><p>Hello World</p><img src=\"oi.jpg\"></html>"
image /teste/oi.jpg
logread | dos2unix -d > /tmp/log.txt
attach /tmp/log.txt
rm -fr /tmp/log.txt
priority high
send

ctrl+qy

  
  

• Código: Selecionar todos

  chmod +x teste

  
  

• Código: Selecionar todos

  ./teste

Click aquí para volver al Índice.

[gamba47]

Habilitando Squid.


Especificaciones para Squid 3.0 para BrazilFW 3.0:

• Para que Squid 3.0 funcione en BFW 3.0 es necesario tener un HD con un mínimo de 840MB, con un espacio libre de aproximadamente 541MB.
  
  
• El espacio para Squid en el HD esta calculado en un 60% de la capacidad de la partición.
  Por Ejemplo: Para una Partición de 10 GB el sistema libera 6 GB para el cache.
  
  
• En el Squid para BrazilFW 2.x se crea automaticamente 16 directorios independientemente del tamaño del disco. Ahora, en Squid 3.0 de BrazilFW 3.0 los directorios son creados de acuerdo con el tamaño del disco.
  Por ejemplo: 541 MB crea 1 directorio, 10 GB crea 14 directorios .
  
  
• Por cada GB de cache solamente hay que adicionar 10MB de memoria RAM, el sistema hace el cálculo automático del espacio del cache.
  
  
• Por el momento el trabajo de squid es solo de manera transparente.
  
  
  
• Parametros definidos (fijos por el momento) en Squid para BFW 3.0:
  
  
  • cache_mem 16 MB ======================> Por el momento el cache en la memoria es de 16MB
  • maximum_object_size 20480 KB ==========> Objeto máximo 20 MB
  • minimum_object_size 0 KB ==============> Objeto mínimo 0 KB
  • maximum_object_size_in_memory 256 KB => Objeto máximo en la memória 256 KB

Estas configuraciones por el momento estan fijas, no esta siendo permitido hacer alteraciones en las mismas.

Para habilitar el Squid haga lo siguiente:

Código: Selecionar todos

edit /etc/brazilfw/brazilfw.cfg
# Donde dice CACHE_DISK='no' colocar CACHE_DISK='yes'
Salve y Salga



Haga Backup


Código: Selecionar todos

backup



Para iniciar el servicio:


Código: Selecionar todos

/etc/init.d/squid start

Click aquí para volver al índice.

[marianitosanchez]

Trabajando con DansGuardian.

DansGuardian para BrazilFW 3.0:

El Dansguardian es un filtro que si integra al SQUID para la filtración del “contenido incorrecto”, según nuestra configuración

Es muy útil en las redes donde se necesita un control riguroso de las páginas visitadas, siendo mucho más completas que las reglas del mismo SQUID. Aunque es riguroso, es extremadamente flexible.

ATENCIÓN:

Se aconseja utilizar el Dansguardian solamente dentro de empresas. Dentro de ISP o Proveedores no es aconsejable.

El Dansguardian en acción:



Vamos a conocer algunos archivos del DansGuardian que se configuren para los bloqueos:

Todos los archivos que comiencen con "banner" son de negación y todos los que comienzan con "exception" son de excepción

Archivos que están en el directorio /etc/brazilfw/dansguardian/lists/

o bannedextensionlist ==> Lista de bloqueo por extensión de archivos. Aquí colocan las extenciones de los archivos que desean bloquear el acceso.
o bannedsitelist ==> Lista de sitios bloqueados, coloquen aquí sus listas en archivo blacklist.
o filtergroupslist ==> aquí se pode atribuir a un usuario a determinado grupo, al principio todos son un solo grupo.
o bannediplist ==> Lista de IP's bloqueadas. Las IP's contenidas en este archivo no tendran ningun tipo de acceso.
o bannedmimetypelist ==> Tipo MIME bloqueados (download bloqueado).
o bannedphraselist ==> Lista de frases "prohibidas" dentro de página (y no una URL).
o bannedregexpurllist ==> Lista de expresiones regulares bloqueadas.
o bannedurllist ==> Lista de URLs bloqueadas.
o banneduserlist ==> Lista de usuarios bloqueados, usuarios sin acceso a Internet.
o banneduserlist ==> Usuarios bloqueados.
o contentregexplist ==> Contenido basado en expresiones regulares que serán sustituidos.
o exceptioniplist ==> Excepción de IP's filtradas (IP's de la RED que no serán filtrados).
o exceptionsitelist ==> Sitios liberados. los sitios contenidos aquí son liberados de todo contenido.
o exceptionphraselist ==> Lista frases que las consideramos una excepción.
o exceptionurllist ==> Lista de urls que consideramos son una excepción (urls liberadas).
o exceptionuserlist ==> Lista de usuarios que consideramos una excepción.
o greysitelist ==> Sitios que estan en la lista ¿¿blanca??
o greyurllist ==> URLs que están en la lista ¿¿blanca??
o pics ==> Definición de PICS Labeling.
--------------------------
o weightedphraselist ==> Lista de frases/palabras e seus "pesos" (os pesos podem ser positivos ou negativos)
--------------------------

Archivos que están en el directorio /etc/brazilfw/dansguardian/

o dansguardian.conf ==> Archivo de configuración principal.
o dansguardianf1.conf ==> Archivo de configuración de grupos de usuarios.

No pienses dos veces, LEE TODOS LOS ARCHIVOS DE CONFIGURACION, eso te ayudara a entender mejor la lógica del funcionamiento del DansGuardian.

Para habilitar el DansGuardian en BrazilFW, hace lo siguiente:

Código: Selecionar todos

edit /etc/brazilfw/custom/squid.cfg

En la linea WEB_CONTENT_FILTER='no'

Cambiar 'no' por 'yes'

Salvar y salir

Configure sus bloqueos (luego salvar y salir). Después parar el SQUID e iniciar nuevamente.

Para parar SQUID

Código: Selecionar todos

/etc/init.d/squid stop

Para iniciar SQUID

Código: Selecionar todos

/etc/init.d/squid start

Cuando modifique algun archivo del directorio /etc/brazilfw/dansguardian/lists/, hacer:

Código: Selecionar todos

/etc/init.d/squid reload

Cuando se muevan los archivos dansguardian.conf:
dansguardianf1.conf, bannedip y exceptionip que están juntos dentro del mismo directorio del dansguardian.conf, ejecute el siguiente comando:

Código: Selecionar todos

/etc/init.d/squid restart-dg

Fuentes:

• Woshman: memberlist.php?mode=viewprofile&u=1335
• DansGuardian: http://www.dansguardian.org
• http://br-linux.org/tutoriais/003552.html
• Squid + DansGuardian
• http://www.vivaolinux.com.br/dica/Liber ... nsguardian

Click aquí para volver al índice.

Este capítulo ha sido traducido al español por marianitosanchez

[ghost]

Trabajando con generadores de registros - Sarg y WebAlizer.

Generadores de registros de BrazilFW 3.0 - Sarg y WebAlizer:

• Sarg
  
  • Para uso en Redes Empresariales.
• WebAlizer
  
  • Para uso en Proveedores.

Sarg:




Activando Sarg:

Código: Selecionar todos

edit /etc/brazilfw/custom/squid.cfg

En la linea SQUID_REPORT='      '

Coloque 'sarg'

Guardey salga

Definiendo el idioma:

Código: Selecionar todos

edit /etc/brazilfw/custom/squid.cfg

En la linea SARG_LANGUAGE='     '

Coloque 'Portuguese' o 'English' o 'Spanish'

Guarde y salga

Período de Permanencia de los registros:

Código: Selecionar todos

edit /etc/brazilfw/custom/squid.cfg

En la linea DELETE_REPORT_AFTER_DAYS='0'

0 (CERO) = Los registros estan deshabilitados

Si coloca por ejemplo '30', los archivos con mas de 30 dias seran borrados.

Guarde y salga

Observacion:

• Si los Hosts estan definidos en el archivo /etc/brazilfw/hosts.cfg, en Sarg aparecera con el nombre del Host.
  Lo que no este definido saldra con el numero de IP.

WebAlizer:




Activando WebAlizer:

Código: Selecionar todos

edit /etc/brazilfw/custom/squid.cfg

En la linea SQUID_REPORT='      '

Coloque 'webalizer'

Guarde y salga

Si Squid ya esta ejecutandose habra que detenerlo y volverlo a iniciar:

• Para detener Squid:
  

  Código: Selecionar todos

  /etc/init.d/squid stop

• Para iniciar Squid:
  

  Código: Selecionar todos

  /etc/init.d/squid start

Para ver los registros

Código: Selecionar todos

https://ns.brazilfw.local:8181/report

• Los registros son actualizados cada 10 minutos

Click aquí para volver al índice.

Este capítulo ha sido traducido al español por ghost

[ghost]

Trabajando con QOS.

Obs.: Por ahora en el QOS de la 3.0 no se define la velocidad total del enlace.

Habilitando QOS

• Código: Selecionar todos

  edit /etc/brazilfw/brazilfw.cfg

En la linea USE_QOS='no' = QOS deshabilitado
Modifiquela para USE_QOS='yes' para habiltar QOS
Guarde y salga

  
  
  Luego mas abajo aun en el archivo /etc/brazilfw/brazilfw.cfg tenemos:

• Código: Selecionar todos

  QOS_DEFAULT_UP='128'
QOS_DEFAULT_DOWN='256'
QOS_DEFAULT_GUARANTEE='10'

  
  Estos son los valores predeterminados. O sea, la IP/Clase de Red que no este definido en /etc/brazilfw/qos.cfg quedara encajada en esos valores predeterminados.
  Obs.: Puede modificar los valores predeterminados a su "gusto"
  
  
  Cabezera del /etc/brazilfw/qos.cfg:
  

  Código: Selecionar todos

  [IP] [DOWN kbits] [UP kbits] [GUARANTEE %]
Ejemplo
192.168.0.0/24 512 128 30
192.168.1.1 512 128 30

  
  
  • Teniendo que:
    
    • [IP] = IP/Clase de Red a ser controlada.
      
      
    • [DOWN kbits] = Velocidad de Download en kbits (kilo bits por segundo). Cuidado, es kilo bits y no Kilo Bytes
      
      
    • [UP kbits] = Velocidad de Upload en kbits (kilo bits por segundo). Cuidado, es kilo bits y no Kilo Bytes
      
      
    • [GUARANTEE %] = Ancho de banda garantizado en porcentaje. Obs.: Aquí, la garantía se cumple si es diferente de la del Default
  
  
• Si fuera a utilizar el default definido en el archivo /etc/brazilfw/qos.cfg quedaria asi:
  

  Código: Selecionar todos

  Ejemplo:
192.168.0.0/24 512 128
192.168.1.2 256 64
192.168.1.3 256 64
192.168.1.4 256 64
etc ....

Definiendo Clase(s) de Red o Subred en el QOS:

• En la definición de una clase de red o subred, debemos prestar atención a las siguientes particularidades:

1. Definiendo una clase de red/subred:
   
   • Cuando se define una clase de red/subrede en el archivo /etc/brazilfw/qos.cfg, siempre se debe colocar la mascara de red. Si no se define la mascara de red el QOS va a asumir que la máscara es /32 para esa classe.
     
     

     Código: Selecionar todos

     Ejemplo:
192.168.0.0/27 512 128
192.168.1.0/24 512 128

   
   
2. Definiendo una IP con velocidad diferente de la que está en la clase de red/subrede:
   
   • Cuando definimos una Velocidad para una IP diferente de la que está en la clase que este IP pertence, devemos declarar primeiro la IP para despues declarar la clase. Invertido este orden la regla no va a funcionar
     

     Código: Selecionar todos

     Ejemplo:
# Modo incorrecto:
192.168.0.0/27 512 128
192.168.0.1/27 128 64

# Modo Correcto
192.168.0.1/27 128 64
192.168.0.0/27 512 128

Para editar el archivo /etc/brazilfw/qos.cfg:


Código: Selecionar todos

edit /etc/brazilfw/qos.cfg


Habilitando o modificando el qos, ejecute el siguiente comando:


Código: Selecionar todos

/etc/rc.d/rc.qos

Click aquí para volver al índice.

Este capítulo ha sido traducido al español por ghost

[ghost]

Trabajando con DHCP.

1 - DHCP convencional para Redes sin subredes

En el archivo /etc/brazilfw/brazilfw.cfg estan las siguientes opciones:


• DHCP_SERVER=´no´ = por defecto viene deshabilitado. Para habilitarlo cambie ´no´ por ´yes´
  
  
• DHCP_DEFAULT_LEASE=´7200´ = que corresponde a 2 Horas (puede modificar este valor a gusto)


Tambien en el directorio (carpeta) /etc/brazilfw/ tenemos los archivos dhcp.cfg y reserve.cfg


• Cabezera de /etc/brazilfw/dhp.cfg:
  

  Código: Selecionar todos

  [ip start] [ip end]

Por ejemplo:
192.168.0.2 192.168.0.50 # Va de 192.168.0.2 a 192.168.0.50


  
  
• Si quiere puede usar rangos de IPs:
  

  Código: Selecionar todos

  Ejemplo:
192.168.0.2 192.168.0.50
192.168.0.60 192.168.0.90
192.168.0.95 192.168.0.100

  
  
• El archivo reserve.cfg es para hacer reservas MAC+IP:
  Cabezera de /etc/brazilfw/reserve.cfg:
  

  Código: Selecionar todos

  [ip] [mac]
Ejemplo:
192.168.0.55 00:00:00:00:00:00

• Comandos para editar los archivos:
  
  • Para editar brazilfw.cfg
    

    Código: Selecionar todos

    edit /etc/brazilfw/brazilfw.cfg
Guarde y salga

    
    
  • Para editar dhcp.cfg
    

    Código: Selecionar todos

    edit /etc/brazilfw/dhcp.cfg
Guarde y salga

    
    
  • Para editar reserve.cfg
    

    Código: Selecionar todos

    edit /etc/brazilfw/reserve.cfg
Guarde y salga

    
    
  • Luego de realizar cualquier modificacion, haga un backup
    

    Código: Selecionar todos

    backup

    
    
  • Para iniciar DHCP
    

    Código: Selecionar todos

    /etc/init.d/dhcp start

    
    
  • Para reiniciar DHCP
    

    Código: Selecionar todos

    /etc/init.d/dhcp reload

    
    
  • Para detener el DHCP
    

    Código: Selecionar todos

    /etc/init.d/dhcp stop

2 - DHCP para Redes con subredes y QOS

• Como se ve en el topico "Trabajando con Subredes" para crear las subredes basta con ingresar el intervalo de la(s) subred(es) en el archivo /etc/brazilfw/subnet.cfg y luego ejecutar el comando /etc/rc.d/rc.subnet
  

  • Código: Selecionar todos

    Ejemplo:
local 192.168 0 254

• Si quisieramos que el DHCP las gestione, ocultando todo el sistema para la sub-rede teniendo cada rango "su propio servidor dhcp", basta con agregar dhcp al final del rango de subrede. Utilizando el ejemplo anterior, quedaria asi en el archivo /etc/brazilfw/subnet.cfg:
  

  Código: Selecionar todos

  local 192.168 0 254 dhcp

  
  
• Para crear un número de subred y la configuración QoS de la clase de sub-red a cierta velocidad, siga los siguientes ejemplos:
  
  
  Ejemplos:
  
  1. En subnet.cfg
     

     Código: Selecionar todos

     local 10.10 0 254 dhcp

     
     En qos.cfg
     

     Código: Selecionar todos

     10.10.0.0/24 256 128

     
     
     
  2. En subnet.cfg
     

     Código: Selecionar todos

     local 10.20 0 254 dhcp

     
     En qos.cfg
     

     Código: Selecionar todos

     10.20.0.0/24 512 128

• Congigurando las reservas en reserve.cfg
  

  Código: Selecionar todos

  [ip] [mac]
10.20.1.2 00:00:00:00:00:00

  
  Con esto sectorizamos los clientes en el QOS sin tener que crear un QOS individual

Observacion:

El DHCP es ejecutado de abajo para arriba. Primeiro van las subredes y luego va la red en el dhcp. El sistema ya lo asigna automaticamente de esta forma.

Click aquí para volver al índice.

Este capítulo ha sido traducido al español por ghost

[ghost]

Trabajando con Sub-redes.

Creando Subredes:

• Primero una explicacion de por que la mascara esta fija en /30 (255.255.255.252)
  en el archivo /etc/brazilfw/subnet.cfg:
  
  
  • Para que las máquinas no se vean la máscara de red está fija en /30 (255.255.255.252), que posibilita solamente 2 IPs (el Gateway y la máquina cliente).
    Con máscaras menores a /30, ejemplo /29, /28, /27, etc, los clientes se veran.
    
    
  • El diseño de /etc/brazilfw/subnet.cfg es exactamente como se describe arriba, es decir, para evitar que los clientes esten visibles (bloquea la visibilidad de la red) mediante el establecimiento de la máscara /30
    
    
  • En caso de que exista la necesidad de una máscara diferente de /30, que sea para aumentar la Subred o limitar un grupo, siga el item 2.

1 - Subredes con Máscara /30

• Para crear subredes trabajaremos con el archivo /etc/brazilfw/subnet.cfg
  y las crearemos con el comando /etc/rc.d/rc.subnet
  
  
• Ejemplo: Vamos a crear 10 Subredes. Para eso colocaremos en /etc/brazilfw/subnet.cfg el siguiente:
  

  Código: Selecionar todos

  local 10.50 1 10

Guarde y salga

  
  Seran creadas 10 subredes de 10.50.1.1 a 10.50.10.1 con máscara /30
• Explicando el local 10.50 1 10:
  
  • local = Nombre de la placa de red donde se creara la subred
  • 10.50 = Indice de la red
  • 1 = Início de la subred
  • 10 = Fin de la subred
  
  Para Crear las Subredes ejecute el siguiente comando:
  

  Código: Selecionar todos

  /etc/rc.d/rc.subnet

  
  Si desea dar un ifconfig:
  

  Código: Selecionar todos

  ifconfig

  
  
  
  • En la maquina cliente quedaria de la siguiente forma:
    
    1. Cliente 1:
       cliente = 10.50.1.2
       mascara = 255.255.255.252
       gateway = 10.50.1.1
       DNS = 10.50.1.1
       
       
    2. Cliente 2:
       cliente = 10.50.2.2
       mascara = 255.255.255.252
       gateway = 10.50.2.1
       DNS = 10.50.2.1
       
       
    3. Etc ......
  
  
  • Para crear intervalos de subredes coloque lo siguiente en /etc/brazilfw/subnet.cfg:
    
    
    • creando intervalos de 10 en 10
    local 10.50 1 10
    local 10.50 20 30
    local 10.50 40 50
    local 10.50 60 70
    local 10.50 80 90
    
    Guarde y salga:
    
    
    • Seran creadas las subredes:
      DE 10.50.1.1 a 10.50.10.1
      DE 10.50.20.1 a 10.50.30.1
      DE 10.50.40.1 a 10.50.50.1
      ..............
    Luego ejecute el siguiente comando para crearlas:
    

    Código: Selecionar todos

    /etc/rc.d/rc.subnet

    
    Haga un Backup:
    

    Código: Selecionar todos

    backup

2 - Subredes con Máscara Diferente de /30

• Para crear subredes con máscara diferente de /30 será necesario crear una nueva interface lógica.
  Recordando que ya existe una interface lógica llamada /etc/brazilfw/logical/local que esta ligada a la interface fisica.
  
  
• Creando una nueva interface lógica, por ejemplo "local2"
  

  Código: Selecionar todos

  edit /etc/brafilw/logical/local2

coloque esto:

LINK_ALIAS="local" # Nombre de la interface fisica
LINK_CONNECTION="local" # Tipo de conexion
LINK_TYPE="static"
LINK_IP="10.50.0.1" # Nueva subred
LINK_NETMASK="255.255.255.128" # /25 (128 utilizables)

Guarde y salga

  
  Reinicie la red:
  

  Código: Selecionar todos

  /etc/rc.d/rc.inet

  
  En el caso de que tenga DCHP habilitado, configure el intervalo de la Subred:
  

  Código: Selecionar todos

  edit /etc/brazilfw/dhcp.cfg

10.50.0.2 10.50.0.127

Guarde y salga

  
  Reinicie el dhcp:
  

  Código: Selecionar todos

  /etc/init.d/dhcp reload

Click aquí para volver al índice.

Este capítulo ha sido traducido al español por ghost

[reginaldo]

Trabajando con Red Wireless.




Capítulo en Construcción!!!!




Clicke aqui para voltar ao Índice.

[reginaldo]

Trabajando con Wireless en modo AP.




Capítulo en Construcción!!!!




Clicke aqui para voltar ao Índice.

[reginaldo]

Trabajando con virtualización.

Virtualización:

La versión 3.0 de BrazilFW es compatible con las seguientes aplicaciones de Virtualización:

• VMWARE
  
• VIRTUAL BOX
• VIRTUAL PC

Capítulo en Construcción!!!!





Clicke aqui para voltar ao Índice.

[ghost]

Trabajando con Port Forwarding - Redirección de puertos.

Port Forwarding:

Usado para redirecionamento de Puertos.

Parametros:

Cabezera de /etc/brazilfw/ports/forward.cfg:


Código: Selecionar todos

#<active> <alias> <protocol> <port> <ip-destination> [port]
#active: yes/no
#protocol: tcp/udp/all
#alias: all/name of logical connection


Ejemplos:


Código: Selecionar todos

yes internet all 21 192.168.0.11 21 #ejemplo





Código: Selecionar todos

yes all all 21 192.168.0.11 21 #ejemplo


• <active>
  
  yes/no
• <alias> = alias de enlaces = nombre de la conexión lógica
  
  coloque all para todos o especifique el link a ser usado (LoadBalance)
• <protocol>
  
  tcp / udp / all
• <port>
  
  Puerto de Origem
• <ip-destination>
  
  Ip Interno de la Red
• [port]
  
  Puerto de Destino

Para iniciar o reiniciar el servicio:

Código: Selecionar todos

/etc/rc.d/rc.forward

Click aquí para volver al índice.

Este capítulo ha sido traducido al español por ghost

[ghost]

Clonacion de MAC

En la version 3.0.197 fue agregado el clonado de MAC. A continuacion veremos como se realiza en la version 3.0.

Devemos ir al archivo que configura fisicamente la placa de rede ( /etc/brazilfw/physical )
y modificar la variable ( INTERFACE_MAC="<mac>" )

Ejemplo:

• Clonar MAC para eth1 = internet

Código: Selecionar todos

edit /etc/brazilfw/physical/internet

Código: Selecionar todos

Modifique a: INTERFACE_MAC="00:00:00:00:00:00"

El archivo /etc/brazilfw/physical/internet quedara con el siguiente contenido:

Código: Selecionar todos

INTERFACE_TYPE="cabled"
INTERFACE_PHYSICAL="eth0"
INTERFACE_MAC="00:00:00:00:00:00"

Guarde y salga

Luego ejecute:

Código: Selecionar todos

/etc/rc.d/rc.inet

Observacion:

En la version 2.x cuando se altera la MAC para volver a la original es necesario reiniciar el servidor.
Ahora en la version 3.x es solo ir a la interfaz fisica y colocar el valor INTERFACE_MAC="".
Luego ejecute nuevamente /etc/rc.d/rc.inet. Con esto la MAC vuelve a la original.

Click aquí para volver al índice.

Este capítulo ha sido traducido al español por ghost

[marianitosanchez]

Servidor nativo DNS del BFW 3.0 = Bind

BrazilFW 3.0 viene con un servidor nativo de DNS. Este servidor es el BIND.

Por default viene ya habilitado. Podemos ver esto en:

Código: Selecionar todos

DNSSERVER='yes'

que se encuentra en el archivo /etc/brazilfw/brazilfw.cfg

tambien podemos encontrar lo siguiente:

Código: Selecionar todos

DNS1=''
DNS2=''
DHCP_DNS1=''
DHCP_DNS2=''

Con el BIND habilitado NO configure las variables de arriba, solo necesita configurarlas si el servidor DNS es deshabilitado.

Código: Selecionar todos

DNSSERVER='no'

No es aconsejable deshabilitar el BIND para usar otros medios de resolucion de nombres. El BIND es un excelente servidor de DNS y ya esta perfectamente integrado a la version 3.0 del BFW


Click aquí para volver al índice.

Este capítulo ha sido traducido al español por marianitosanchez

[gamba47]

Reservado para futuro, el capítulo



Capítulo en Construcción!!!!



Click aquí para volver al Índice.

[reginaldo]

Reservado para futuro, el capítulo



Capítulo en Construcción!!!!



Click aquí para volver al Índice.

[gamba47]

Resumen de Comandos.

Comandos para Iniciar, Recargar, Reiniciar y Parar Servicios:

Para ser ejecutados en la linea de comando, directamente en el servidor o a través de ssh.

• Instalar BrazilFW 3.0: install

• Backup: backup

• Reiniciar el servicio de internet: /etc/rc.d/rc.inet

• Reiniciar los bloqueos: /etc/rc.d/rc.blocked

• Reiniciar Sub-Redes: /etc/rc.d/rc.subnet

• Reiniciar el QOS: /etc/rc.d/rc.qos

• Reiniciar el Firewall: /etc/rc.d/rc.firewall

• Reiniciar el Redirecionamento de Puertas: /etc/rc.d/rc.forward

• Reiniciar el Control de IP x MAC: /etc/rc.d/rc.macip

• Reiniciar el servicio Smart Route: /etc/rc.d/rc.route

• Alterar la contraseña del sistema: passwd

• Actualizar la hora del sistema: /etc/rc.d/rc.time

• Reiniciar el Sistema: reboot

• Apagar el Sistema: poweroff

• Primer llamada del sistema: /etc/rc.d/rc.sysinit

• Log del sistema (demonio): /etc/rc.d/rc.syslogd

• Squid:
  
  • Iniciar Squid: /etc/init.d/squid start
  • Recargar Squid: /etc/init.d/squid reload
  • Parar Squid: /etc/init.d/squid stop
  • Reiniciar Squid con DansGuardian: /etc/init.d/squid restart-dg
  • Recrear el Cache de Squid: /etc/init.d/squid cachedir
  • Rotar los Logs dr Squid (Es ejecutado por CRON automaticamente): /etc/init.d/squid rotate

• DHCP:
  
  • Iniciar el servicio de DHCP: /etc/init.d/dhcp start
  • Recargar DHCP: /etc/init.d/dhcp reload
  • Parar DHCP: /etc/init.d/dhcp stop
  • Reiniciar DHCP: /etc/init.d/dhcp restart

• WebAdmin:
  
  • Iniciar el WebAdmin: /etc/init.d/webadmin start
  • Recargar WebAdmin: /etc/init.d/webadmin reload
  • Parar WebAdmin: /etc/init.d/webadmin stop

• BIND (Servidor DNS):
  
  • Iniciar el servicio Bind: /etc/init.d/named start
  • Recargar Bind: /etc/init.d/named reload
  • Parar Bind: /etc/init.d/named stop
  • Detalles de Bind: /etc/init.d/named details

• Cron (Tareas agendadas/programadas):
  
  • Iniciar el servicio Cron: /etc/init.d/cron start
  • Recargar Cron: /etc/init.d/cron reload
  • Parar Cron: /etc/init.d/cron stop

• IpUpdate:
  
  • Iniciar IpUpdate: /etc/init.d/ipupdate start
  • Recargar IpUpdate: /etc/init.d/ipupdate reload
  • Parar IpUpdate: /etc/init.d/ipupdate stop

• SSH:
  
  • Iniciar SSH: /etc/init.d/sshd start
  • Recargar SSH: /etc/init.d/sshd reload
  • Parar SSH: /etc/init.d/sshd stop

• Acpi (Suporte ao desligamento da máquina):
  
  • Para Iniciar: /etc/init.d/acpi start
  • Para Parar: /etc/init.d/acpi stop

• IpWatch (Proteccion contra IP duplicado - Si hay una IP en la red con que duplique la del Servidor BrazilFW este no caera y seguirá funcionando correctamente):
  
  • Para Iniciar: /etc/init.d/ipwatch start
  • Para Parar: /etc/init.d/ipwatch stop

Otros Comandos Utiles:

Para ser ejecutados en la linea de comandos, directamente en el servidor o a través de ssh.

• Para verificar la versión de BrazilFW: cat /etc/issue

• Para ver la versión del Kernel: uname -r ó cat /proc/version

• Para ver quien esta "On-line": cat /proc/net/arp

• Para conocer la MAC de un determinado IP en la red: arping -f -c1 -w1 <ip.de.máquina>

• Para ver el estado de los links de internet: ip ro

Click aquí para volver al índice.

Este capítulo ha sido traducido al español por gamba47