BFW 3.0 First Steps [INACTIVE]

News and Announcements.

BFW 3.0 First Steps

Mensagempor Marcelo - Brazil » Sex Jan 09, 2009 9:09 pm

Guys, the text below, was created and updated by Reginaldo. And is originaly in portuguese.
I will start to translate all this job in english, not using automatic translators, so, it can take some time...
What i need:
1) I do not use English Windows, i apreciate if some one get some imagens in english to do this tutorial all in english. :o!
2) English not is my native language, please, correct me all time !


Thanks to rinrinrenacuajo for the initial help. :o!
==========================================================================================================

:arrow: Intro:


Here we goes to keep all informations, news and orientations about 3.0 development.

In a fell days, all of you, will can help on 3.0 development, when the alfa release will be launched.

:arrow: Ready to use:
    ** WebAdmin safe acess with SSL protocol
    ** NTP Server
    ** Bind Server (DNS Server)
    ** Squid 3.0
    ** QOS
    ** Sub-Nets
    ** New Conntrack Automatic Calculation:
      With new calculation, now it's possible 1.652 connections approximately for MB RAM instaled.
    ** DHCP Server to use in networks and subnetworks

:arrow: Pendencies - Upcoming features:
    ** Merge IP Adress with MAC Adress as control mesure system.
    ** Wireless Network configuration
    ** GSM
    ** Load Balance
    ** Port Forwarding
    ** DansGuardian
    ** Sarg
    ** New GUI for WebAdmin
    Note: not exactly in this order


:arrow: BrazilFW 3.0 System Requirements

==> BrazilFW 3.0 - Minimum supported system requirements:
    Pentium 233 MHZ Processor and 128 of system memory.
    Howevet, is highly recommendablem a computer with at least "Pentium III 500 MHZ" and 256 of system memory.
    Note: Attention!, if you use a PC with IGP (Graphics Processing Unit) integrated on board, possibly the system memory avaliable to be used for brazilfw, can decrease.

==> Additional requirements:
    ** NICs
    ** Hubs or switchs
    ** Cable
    ** Access Points, Antennas, other hardware...

    *** Please, check if the items above are in good conditions and were properly installed.
    *** Avoid using low quality cables, too prevent the reuse cables, because these can be in a bad state.
    *** Avoid using low quality nics, (i.e. SIS900).
    *** The above advices, help us to have a fast and reliable network.

:arrow: Download BrazilFW 3.0:

Download .iso image file: :arrow: http://brazilfw.com.br/users/woshman/bt/brazilfw.iso
Código: Selecionar todos
http://brazilfw.com.br/users/woshman/bt/brazilfw.iso


Download BrazilFW 3.0 Build-tree : :arrow: http://www.brazilfw.com.br/users/woshma ... ld.tar.bz2
Código: Selecionar todos
http://www.brazilfw.com.br/users/woshman/bt/brazilfw-3.0-build.tar.bz2



:arrow: Boot from Install CD:

==> Boot from Install CD:
    When you boot from CD, you access to "Boot Menu", this include 3 options explained below
Imagem


==>Installation:
    The actual installer, create a first partition with a size of 100 MB, the rest of avaliable space, is located as second partition.

If you selected the first or second option from "Boot Menu", you'll see something like this:
Imagem



==> Follow these steps to install:

Login as : # root ==> and press "Enter " Key, then type #"Install" (without quotes) ==> and press Enter
Imagem

Imagem

Imagem

Imagem

Imagem

Imagem

Imagem
    press "OK" button to finish and eject the CD, the server is rebooted, now, the server starts from the hard disk.
    (Do not forget to get off the cd from drive to avoid any problem, even booting from hard disk.)

press "OK" button to finish and eject the CD, the server is rebooted, now, the server starts from the hard disk.


:arrow:Setting up connection:
    Whereas
    "eth0" connect to Local Network, and "eth1" connect to internet, then:

    To change the local network configuration or the internet network configuration, enter to /etc/brazilfw/logical
    Código: Selecionar todos
    # cd /etc/brazilfw/logical
    # edit local
    Here, you can change the IP fo your network, mask, ..., save and exit.


    If you want use a static configuration to connect to internet, you can setting it up here:
    Código: Selecionar todos
    # edit internet
    Chage ip Adress, mask, and gateway. Save and exit.


    Make a Backup
    Código: Selecionar todos
    # backup


    While you use a pppoe connection, edit the following parameters to set it up:
    Código: Selecionar todos
    # edit internet
    where LINK_TYPE="static", chage to LINK_TYPE="pppoe"
    and add:
    LINK_USERNAME="xxxxx@xxxxx"
    LINK_PASSWORD="xxxxxxxxxx"
    Save and Exit


    Make a Backup
    Código: Selecionar todos
    # backup


    Restarting the service; to do this, you can use the follow command:
    Código: Selecionar todos
    /etc/rc.d/rc.inet

    NOTE.: Don't forget set on DNS the ip from BFW on client machine, if isn't you can not conect/navigate.

    OBS.: Na máquina cliente não esqueça de colocar no DNS o ip do BFW, se não não haverá navegação.


:arrow: Habiltando Serviços:

==> Squid
    Código: Selecionar todos
    # edit /etc/brazilfw/brazilfw.cfg
    ==> onde estiver CACHE_DISK='no' colocar CACHE_DISK='yes'
    Salve e Saia


    Faça Backup
    Código: Selecionar todos
    # backup


    Para iniciar o Squid:
    Código: Selecionar todos
    # /etc/init.d/squid start

==> QOS
    Código: Selecionar todos
    # edit /etc/brazilfw/brazilfw.cfg

    lá está USE_QOS='no' = QOS desabilitado
    Para habilita-lo mude para
    USE_QOS='yes'


    Logo abaixo tem:

    Código: Selecionar todos
    QOS_DEFAULT_UP='128'
    QOS_DEFAULT_DOWN='256'
    QOS_DEFAULT_GUARANTEE='10'

    Esses valores são os Defaults. Ou seja, o IP que não estiver definido em /etc/brazilfw/qos.cfg ficará enquadrado nos valores defaults.
    Obs.: Você pode modificar os valores default ao seu "gosto"

    qos.cfg:
    Código: Selecionar todos
    # edit /etc/brazilfw/qos.cfg

    lá tem o exemplo:
    #Example
    #IP DOWN kbits UP kbits GUARANTEE %
    #192.168.1.1 512 128 30

    192.168.1.1 = IP a ser controlado
    512 = Taxa DOWN em kbits
    128 = Taxa UP em kbits
    30 = Garantia em Percentual. Obs.: Aqui a garantia só será preenchida se for diferente da do default

    Código: Selecionar todos
    Se você for usar a garantia do default o qos.cfg ficará assim:
    Exemplo:
    192.168.1.2 256 64
    192.168.1.3 256 64
    192.168.1.4 256 64
    assim por diante ....


    Habiltando ou modificando o qos, dê o seguinte comando:
    Código: Selecionar todos
    # /etc/rc.d/rc.qos


==> Criando Sub-redes:

Primeiro uma explicação do porque a máscara esta fixa em /30 (255.255.255.252) no arquivo subnet.cfg:
    Para que as máquinas não se enxerguem a máscara está fixa em /30 (255.255.255.252), que possibilita somente 2 IPs (o Gateway e a máquina cliente). Com máscaras abaixo de /30, tipo /29, /28, /27 e etc, os clientes se enxergarão.
    A concepção do subnet.cfg é justamente a descrita acima, ou seja, evitar que os clientes se enxerguem (bloqueia a visibilidade da Rede)fixando a mascara em /30).
    Caso haja necessidade de uma máscara diferente de /30, que seja para aumentar a Sub-Rede ou limitar um grupo, siga o item 2.

1 - Sub-Redes com Máscara /30
Para criar sub-redes trabalharemos com o arquivo subnet.cfg que está em /etc/brazilfw/ e as criaremos com o comando /etc/rc.d/rc.subnet

Exemplo: Iremos criar 10 Sub-redes. Para isso colocaremos em /etc/brazilfw/subnet.cfg o seguinte:

local 10.50 1 10

Serão criadas 10 sub-redes de 10.50.1.1 a 10.50.10.1 com máscara /30

Explicando o local 10.50 1 10:
    local = Apelido da placa de rede onde sera criada a sub-rede
    10.50 = Raiz da Rede
    1 = Início da sub-rede
    10 = Final da sub-rede

Salve e Saia

Depois dê o seguinte comando:
Código: Selecionar todos
# /etc/rc.d/rc.subnet


Se quizer conferir dê um ifconfig:
Código: Selecionar todos
# ifconfig


Na máquina cliente ficará assim:
    Cliente 1:
    ciente = 10.50.1.2
    mascara = 255.255.255.252
    gateway = 10.50.1.1
    DNS = 10.50.1.1

    Cliente 2:
    ciente = 10.50.2.2
    mascara = 255.255.255.252
    gateway = 10.50.2.1
    DNS = 10.50.2.1

    E assim por diante ......

Para criar intervalos de sub-redes coloque o seguinte em /etc/brazilfw/subnet.cfg:

criando intervalos de 10 em 10
    local 10.50 1 10
    local 10.50 20 30
    local 10.50 40 50
    local 10.50 60 70
    local 10.50 80 90

    Serão criadas as sub-redes:
    DE 10.50.1.1 a 10.50.10.1
    DE 10.50.20.1 a 10.50.30.1
    DE 10.50.40.1 a 10.50.50.1
    ..............
Salve e Saia:

Depois dê o seguinte comando para cria-las:
Código: Selecionar todos
# /etc/rc.d/rc.subnet


Faça Backup:
Código: Selecionar todos
# backup


2 - Sub-Redes com Máscara Diferente de /30

Para isso será necessário criar uma nova interface logica. Lembrando que existe a interface logica chamada local que esta ligada a interface fisica

Criando a uma nova interface lógica, por exemplo "local2"
Código: Selecionar todos
# edit /etc/brafilw/logical/local2

e coloque isto:

LINK_ALIAS="local" # Nome da interface fisica
LINK_CONNECTION="local" # Tipo de conexão
LINK_TYPE="static"
LINK_IP="10.50.0.1" # Nova sub-rede
LINK_NETMASK="255.255.255.128" # /25 (128 micros)

salve e Saia


Reinicie a a rede:
Código: Selecionar todos
# /etc/rc.d/rc.inet


No dhcp acrescente o intervalo da Sub-Rede:
Código: Selecionar todos
# edit /etc/brazilfw/dhcp.cfg

10.50.0.2 10.50.0.127

salve e Saia


Reinicie o dhcp:
Código: Selecionar todos
# /etc/init.d/dhcp reload


==> Habilitando o DHCP:

1 - DHCP convencional para Redes sem sud-redes

    No arquivo brazilfw.cfg que está em /etc/brazilfw/ tem as seguintes opções:

    ==> DHCP_SERVER=´no´ = por padrão vem desabilitado. Para habita-lo troque o ´no´ por ´yes´

    ==> DHCP_DEFAULT_LEASE=´7200´ = que corresponde a 2 Horas (Você pode mudar este valor ao seu gosto)

    Também em /etc/brazilfw/ tem os arquivos dhcp.cfg e o reserve.cfg

    O dhcp.cfg funciona assim: <ip start> <ip end>
    Por exemplo:
    192.168.0.2 192.168.0.50
    (Vai de 192.168.0.2 a 192.168.0.50)

    Se você quizer pode por faixas de IPs:
    Exemplo:
    192.168.0.2 192.168.0.50
    192.168.0.60 192.168.0.90
    192.168.0.95 192.168.0.100

    O reserve.cfg é para fazer a reserva do ip para o mac ficando assim: <ip> <mac>
    Exemplo:
    192.168.0.55 00:00:00:00:00:00

==> Comandos para editar os arquivos:

Para editar o brazilfw.cfg
Código: Selecionar todos
# edit /etc/brazilfw/brazilfw.cfg

Salve e Saia

Para editar o dhcp.cfg
Código: Selecionar todos
# edit /etc/brazilfw/dhcp.cfg

Salve e Saia

Para editar o reserve.cfg
Código: Selecionar todos
# edit /etc/brazilfw/reserve.cfg

Salve e Saia

Depois feitas as devidas alterações, faça backup
Código: Selecionar todos
# backup

Para iniciar o DHCP
Código: Selecionar todos
/etc/init.d/dhcp start

Para reiniciar o DHCP
Código: Selecionar todos
/etc/init.d/dhcp reload

Para parar o DHCP
Código: Selecionar todos
/etc/init.d/dhcp stop



2 - DHCP para Redes com sud-redes e QOS

    Como vimos na mensagem "criando sub-redes" para criar as sub-redes basta entrar com o intervalo da(s) sub-rede(s) no arquivo subnet.cfg que está em /etc/brazilfw/ e depois executando o comando /etc/rc.d/rc.subnet

    Exemplo:
    local 192.168 0 254

    Se quisermos que o DHCP as gerencie, escondendo todo o ambiente para a sub-rede tendo cada faixa "o seu servidor dhcp", basta acresentar dhcp ao final da definição do Intervale de sub-rede. Usando o exemplo anterior, ficaria assim no arquivo subnet.cfg:

    local 192.168 0 254 dhcp

    Para criarmos uma quantidade de subrede e no qos setando a classe da sub-rede para determinada velocidade, seguiremos os exemplos abaixo:

    Exemplos:

    No subnet.cfg
    Código: Selecionar todos
    local 10.10 0 254 dhcp

    No qos.cfg
    Código: Selecionar todos
    10.10.0.0 256 128



    No subnet.cfg
    Código: Selecionar todos
    local 10.20 0 254 dhcp

    No qos.cfg
    Código: Selecionar todos
    10.20.0.0 512 128

    Amarrando os clientes no reserve.cfg
    Código: Selecionar todos
    <ip> <mac>
    10.20.1.2 00:00:00:00:00:00

    Com isso setorizamos o qos e clientes não sendo necessário criarmos um QOS para cada cliente

Observação:
    O DHCP é executado de baixo para cima.
    primeiro vão as subredes e depois vai a rede no fornecimento do dhcp.
    O sistema já aloca essa ordem automaticamente.


:arrow: Resumo de comandos para Iniciar, recarregar (reiniciar) e parar serviços:

Backup:
Código: Selecionar todos
# backup


Reiniciar a rede:
Código: Selecionar todos
# /etc/rc.d/rc.inet


Reiniciar bloqueios:
Código: Selecionar todos
# /etc/rc.d/rc.blocked


Reiniciar Sub-Rede:
Código: Selecionar todos
# /etc/rc.d/rc.subnet


Reiniciar o QOS:
Código: Selecionar todos
# /etc/rc.d/rc.qos


Squid
Iniciar o Squid:
Código: Selecionar todos
# /etc/init.d/squid start

Reiniciar o Squid:
Código: Selecionar todos
# /etc/init.d/squid reload

Parar o Squid:
Código: Selecionar todos
# /etc/init.d/squid stop


DHCP
Iniciar o DHCP:
Código: Selecionar todos
/etc/init.d/dhcp start

Reiniciar o DHCP:
Código: Selecionar todos
# /etc/init.d/dhcp reload

Parar o DHCP:
Código: Selecionar todos
# /etc/init.d/dhcp stop


WebAdmin
Iniciar o WebAdmin:
Código: Selecionar todos
# /etc/init.d/webadmin start

Reiniciar o WebAdmin:
Código: Selecionar todos
# /etc/init.d/webadmin reload

Parar o WebAdmin:
Código: Selecionar todos
# /etc/init.d/webadmin stop


BIND
Iniciar o Bind:
Código: Selecionar todos
# /etc/init.d/named start

Reiniciar o Bind
Código: Selecionar todos
# /etc/init.d/named reload

Parar o Bind
Código: Selecionar todos
# /etc/init.d/named stop




:arrow: Instalando o certificado:
    Agora no BrazilFW 3.0 o acesso ao WebAdmin é por uma conexão segura SSL por certificado.

    Por Padrão para acessar o WebAdmin basta entrar com o endereço https://ns.brazilfw.local:8181 em um navegador.
    Como o certificado ainda não foi instalado no navegador, ao acessar o WebAmin fica uma mensagem em Vermelho.
    Para que esta mensagem em vermelho não apareça mais, precisamos instalar o certicado.
    a validade do certificado é de 10 anos

Abaixo serão relacionados os passos para instalação do certicado.

==> 1 - Passos válidos para o internet Explorer 6.0, 7.0 ou 8.0 Beta:
Na barra de endereço entre com o seguinte: https://ns.brazilfw.local:8181/getcert.cgi
Agora siga as telas:

login e senha: Entre com o login e senha criados para o BrazilFW
Imagem

Abrir
Imagem

Clicar em instalar certificado
Imagem

Avançar
Imagem

Colocar todos os certificados no armazenamento a seguir ==> Procurar
Imagem

Autoridades de Certificação Raiz Confiáveis ==> OK
Imagem

Avançar
Imagem

Concluir
Imagem

Imagem

Imagem

Esse processo instalará o certificado brazilfw cert 3. Com isso tudo que vier do BFW assinado não dará mais a mensagem vermelha

Clicando em cima do cadeado você verá o certificado. Assim você saberá quem assinou, pra qual site e a validade.
Imagem

Imagem


:arrow: ==> 2 - Passos válidos para o Mozila FireFox:

No FireFox, primeiro é necessário baixar e salvar o certificado.

Na barra de endereço entre com o seguinte: https://ns.brazilfw.local:8181/getcert.cgi

Agora siga as telas:

Clique em "Ou você pode adicionar uma exceção"
Imagem

Clique em "adicionar exceção"
Imagem

Verificar certificado ==> confirmar exceção de segurança"
Imagem

Entrar com login e Senha
Imagem

Clique em "Salvar arquivo"
Imagem

Salve o certificado numa pasta de sua preferência"
Imagem


==> Depois do Certificado baixado e salvo siga os passos abaixo:

Ferramentas ==> Opções
Imagem

Aba Avançado ==> Criptografia ==> Certificados
Imagem

Autoridades ==> Importar
Imagem

Aponte para onde você baixou e salvou o certificado
Imagem


Marcar
==>Considerar confiável esta CA para identificar Sites
==> ............................ para identificar usuários
==> ............ para identificar autores de programas
==> ............................................................ OK
==> ...................................................................OK

Imagem


Observação:
1 - Se entrar com o ip em vez do dns aparecerá em vermelho novamente, pois foi assinado somente com o nome.
2 - Se mudar o nome do bfw de ns.brazilfw.local, é so apagar o certificado e reiniciar o webadmin então será gerado um novo certificado para o novo dominio. Para isso, siga os Passos abaixo:

    Comandos para renovar o certificado quando for renovar o dominio:
    Entre pelo Puty
    Código: Selecionar todos
    # /etc/init.d/webadmin stop
    # cd /etc/brazilfw/cert
    # rm -fr brazilfw_ssl.*
    # /etc/init.d/webadmin start
    # backup

    Renove o Bind
    Código: Selecionar todos
    # /etc/init.d/named reload

    Com os procedimentos acima o novo dominio já entra para toda a rede com o novo certificado

:arrow: Acessando o WebAdmin:

    Se você não mudou o domínio que vem por Padrão no BrazilFW digite na barra de endereço do navegador de sua preferência o endereço abaixo:
Veja as Telas:

Imagem

Imagem

Imagem


:arrow: Acesso externo ao WebAdmin:
    Por padrão o acesso externo ao WebAdmin vem bloqueado.
    Se você quizer liberar o acesso externo faça o seguinte:
Código: Selecionar todos
# edit /etc/brazilfw/ports/blocked.cfg

onde estiver yes 8181 tcp coloque no 8181 tcp

Salve e Saia

Faça Backup
Código: Selecionar todos
# backup

Renove o serviço:
Código: Selecionar todos
# /etc/rc.d/rc.blocked
BFW não é meu hobby, é meu router !
Não dou suporte.

"Nem sim, nem não, mas muito pelo contrário, não sou contra nem à favor,
porque em matéria de certas coisas o mais importante é o principalmente,
aliás inclusive, não resta a menor dúvida".
De algum politico brasileiro...
Avatar do usuário
Marcelo - Brazil
BFW Founder
BFW Manager
BFW Beneméritos
 
Mensagens: 3187
Registrado em: Qua Ago 24, 2005 10:40 pm
Localização: Campinas - São Paulo
BrazilFW Box: Hp Proliant ML30 Gen 9, Intel® Xeon® E3-1200 v5 3,0 Ghz, 8 Gb ram DDR4, 1 Tb HD, Links 120x12 mb/s cabo + 100x100 mb/s fibra. Addon: Unifi, 50 clientes lan + 50 cliente wireless.

Voltar para BrazilFW News (English)

Quem está online

Usuários navegando neste fórum: Nenhum usuário registrado e 3 visitantes

cron