I will start to translate all this job in english, not using automatic translators, so, it can take some time...
What i need:
1) I do not use English Windows, i apreciate if some one get some imagens in english to do this tutorial all in english.
2) English not is my native language, please, correct me all time !
Thanks to rinrinrenacuajo for the initial help.
==========================================================================================================
Intro:
- All information posted below, has assistance from Woshman.
Now a days, all 3.0 development came from Woshman, Woshman = Washington Filho with assistance from Peart = Felipe.
Here we goes to keep all informations, news and orientations about 3.0 development.
In a fell days, all of you, will can help on 3.0 development, when the alfa release will be launched.
Ready to use:
- ** WebAdmin safe acess with SSL protocol
** NTP Server
** Bind Server (DNS Server)
** Squid 3.0
** QOS
** Sub-Nets
** New Conntrack Automatic Calculation:
- With new calculation, now it's possible 1.652 connections approximately for MB RAM instaled.
Pendencies - Upcoming features:
- ** Merge IP Adress with MAC Adress as control mesure system.
** Wireless Network configuration
** GSM
** Load Balance
** Port Forwarding
** DansGuardian
** Sarg
** New GUI for WebAdmin
Note: not exactly in this order
BrazilFW 3.0 System Requirements
==> BrazilFW 3.0 - Minimum supported system requirements:
- Pentium 233 MHZ Processor and 128 of system memory.
Howevet, is highly recommendablem a computer with at least "Pentium III 500 MHZ" and 256 of system memory.
Note: Attention!, if you use a PC with IGP (Graphics Processing Unit) integrated on board, possibly the system memory avaliable to be used for brazilfw, can decrease.
==> Additional requirements:
- ** NICs
** Hubs or switchs
** Cable
** Access Points, Antennas, other hardware...
*** Please, check if the items above are in good conditions and were properly installed.
*** Avoid using low quality cables, too prevent the reuse cables, because these can be in a bad state.
*** Avoid using low quality nics, (i.e. SIS900).
*** The above advices, help us to have a fast and reliable network.
Download BrazilFW 3.0:
Download .iso image file: http://brazilfw.com.br/users/woshman/bt/brazilfw.iso
- Código: Selecionar todos
http://brazilfw.com.br/users/woshman/bt/brazilfw.iso
Download BrazilFW 3.0 Build-tree : http://www.brazilfw.com.br/users/woshma ... ld.tar.bz2
- Código: Selecionar todos
http://www.brazilfw.com.br/users/woshman/bt/brazilfw-3.0-build.tar.bz2
Boot from Install CD:
==> Boot from Install CD:
- When you boot from CD, you access to "Boot Menu", this include 3 options explained below
==>Installation:
- The actual installer, create a first partition with a size of 100 MB, the rest of avaliable space, is located as second partition.
If you selected the first or second option from "Boot Menu", you'll see something like this:
==> Follow these steps to install:
Login as : # root ==> and press "Enter " Key, then type #"Install" (without quotes) ==> and press Enter
- press "OK" button to finish and eject the CD, the server is rebooted, now, the server starts from the hard disk.
(Do not forget to get off the cd from drive to avoid any problem, even booting from hard disk.)
press "OK" button to finish and eject the CD, the server is rebooted, now, the server starts from the hard disk.
Setting up connection:
- Whereas
- Código: Selecionar todos
# cd /etc/brazilfw/logical
# edit local
Here, you can change the IP fo your network, mask, ..., save and exit.- Código: Selecionar todos
# edit internet
Chage ip Adress, mask, and gateway. Save and exit.- Código: Selecionar todos
# backup
- Código: Selecionar todos
# edit internet
where LINK_TYPE="static", chage to LINK_TYPE="pppoe"
and add:
LINK_USERNAME="xxxxx@xxxxx"
LINK_PASSWORD="xxxxxxxxxx"
Save and Exit- Código: Selecionar todos
# backup
- Código: Selecionar todos
/etc/rc.d/rc.inet
"eth0" connect to Local Network, and "eth1" connect to internet, then:
To change the local network configuration or the internet network configuration, enter to /etc/brazilfw/logical
If you want use a static configuration to connect to internet, you can setting it up here:
Make a Backup
While you use a pppoe connection, edit the following parameters to set it up:
Make a Backup
Restarting the service; to do this, you can use the follow command:
NOTE.: Don't forget set on DNS the ip from BFW on client machine, if isn't you can not conect/navigate.
OBS.: Na máquina cliente não esqueça de colocar no DNS o ip do BFW, se não não haverá navegação.
Habiltando Serviços:
==> Squid
- Código: Selecionar todos
# edit /etc/brazilfw/brazilfw.cfg
==> onde estiver CACHE_DISK='no' colocar CACHE_DISK='yes'
Salve e Saia- Código: Selecionar todos
# backup
- Código: Selecionar todos
# /etc/init.d/squid start
Faça Backup
Para iniciar o Squid:
==> QOS
- Código: Selecionar todos
# edit /etc/brazilfw/brazilfw.cfg
lá está USE_QOS='no' = QOS desabilitado
Para habilita-lo mude para
USE_QOS='yes'- Código: Selecionar todos
QOS_DEFAULT_UP='128'
QOS_DEFAULT_DOWN='256'
QOS_DEFAULT_GUARANTEE='10'- Código: Selecionar todos
# edit /etc/brazilfw/qos.cfg
lá tem o exemplo:
#Example
#IP DOWN kbits UP kbits GUARANTEE %
#192.168.1.1 512 128 30- Código: Selecionar todos
Se você for usar a garantia do default o qos.cfg ficará assim:
Exemplo:
192.168.1.2 256 64
192.168.1.3 256 64
192.168.1.4 256 64
assim por diante ....- Código: Selecionar todos
# /etc/rc.d/rc.qos
Logo abaixo tem:
Esses valores são os Defaults. Ou seja, o IP que não estiver definido em /etc/brazilfw/qos.cfg ficará enquadrado nos valores defaults.
Obs.: Você pode modificar os valores default ao seu "gosto"
qos.cfg:
192.168.1.1 = IP a ser controlado
512 = Taxa DOWN em kbits
128 = Taxa UP em kbits
30 = Garantia em Percentual. Obs.: Aqui a garantia só será preenchida se for diferente da do default
Habiltando ou modificando o qos, dê o seguinte comando:
==> Criando Sub-redes:
Primeiro uma explicação do porque a máscara esta fixa em /30 (255.255.255.252) no arquivo subnet.cfg:
- Para que as máquinas não se enxerguem a máscara está fixa em /30 (255.255.255.252), que possibilita somente 2 IPs (o Gateway e a máquina cliente). Com máscaras abaixo de /30, tipo /29, /28, /27 e etc, os clientes se enxergarão.
A concepção do subnet.cfg é justamente a descrita acima, ou seja, evitar que os clientes se enxerguem (bloqueia a visibilidade da Rede)fixando a mascara em /30).
Caso haja necessidade de uma máscara diferente de /30, que seja para aumentar a Sub-Rede ou limitar um grupo, siga o item 2.
1 - Sub-Redes com Máscara /30
Para criar sub-redes trabalharemos com o arquivo subnet.cfg que está em /etc/brazilfw/ e as criaremos com o comando /etc/rc.d/rc.subnet
Exemplo: Iremos criar 10 Sub-redes. Para isso colocaremos em /etc/brazilfw/subnet.cfg o seguinte:
local 10.50 1 10
Serão criadas 10 sub-redes de 10.50.1.1 a 10.50.10.1 com máscara /30
Explicando o local 10.50 1 10:
- local = Apelido da placa de rede onde sera criada a sub-rede
10.50 = Raiz da Rede
1 = Início da sub-rede
10 = Final da sub-rede
Salve e Saia
Depois dê o seguinte comando:
- Código: Selecionar todos
# /etc/rc.d/rc.subnet
Se quizer conferir dê um ifconfig:
- Código: Selecionar todos
# ifconfig
Na máquina cliente ficará assim:
- Cliente 1:
ciente = 10.50.1.2
mascara = 255.255.255.252
gateway = 10.50.1.1
DNS = 10.50.1.1
Cliente 2:
ciente = 10.50.2.2
mascara = 255.255.255.252
gateway = 10.50.2.1
DNS = 10.50.2.1
E assim por diante ......
Para criar intervalos de sub-redes coloque o seguinte em /etc/brazilfw/subnet.cfg:
criando intervalos de 10 em 10
- local 10.50 1 10
local 10.50 20 30
local 10.50 40 50
local 10.50 60 70
local 10.50 80 90
Serão criadas as sub-redes:
DE 10.50.1.1 a 10.50.10.1
DE 10.50.20.1 a 10.50.30.1
DE 10.50.40.1 a 10.50.50.1
..............
Depois dê o seguinte comando para cria-las:
- Código: Selecionar todos
# /etc/rc.d/rc.subnet
Faça Backup:
- Código: Selecionar todos
# backup
2 - Sub-Redes com Máscara Diferente de /30
Para isso será necessário criar uma nova interface logica. Lembrando que existe a interface logica chamada local que esta ligada a interface fisica
Criando a uma nova interface lógica, por exemplo "local2"
- Código: Selecionar todos
# edit /etc/brafilw/logical/local2
e coloque isto:
LINK_ALIAS="local" # Nome da interface fisica
LINK_CONNECTION="local" # Tipo de conexão
LINK_TYPE="static"
LINK_IP="10.50.0.1" # Nova sub-rede
LINK_NETMASK="255.255.255.128" # /25 (128 micros)
salve e Saia
Reinicie a a rede:
- Código: Selecionar todos
# /etc/rc.d/rc.inet
No dhcp acrescente o intervalo da Sub-Rede:
- Código: Selecionar todos
# edit /etc/brazilfw/dhcp.cfg
10.50.0.2 10.50.0.127
salve e Saia
Reinicie o dhcp:
- Código: Selecionar todos
# /etc/init.d/dhcp reload
==> Habilitando o DHCP:
1 - DHCP convencional para Redes sem sud-redes
- No arquivo brazilfw.cfg que está em /etc/brazilfw/ tem as seguintes opções:
==> DHCP_SERVER=´no´ = por padrão vem desabilitado. Para habita-lo troque o ´no´ por ´yes´
==> DHCP_DEFAULT_LEASE=´7200´ = que corresponde a 2 Horas (Você pode mudar este valor ao seu gosto)
Também em /etc/brazilfw/ tem os arquivos dhcp.cfg e o reserve.cfg
O dhcp.cfg funciona assim: <ip start> <ip end>
Por exemplo:
192.168.0.2 192.168.0.50
(Vai de 192.168.0.2 a 192.168.0.50)
Se você quizer pode por faixas de IPs:
Exemplo:
192.168.0.2 192.168.0.50
192.168.0.60 192.168.0.90
192.168.0.95 192.168.0.100
O reserve.cfg é para fazer a reserva do ip para o mac ficando assim: <ip> <mac>
Exemplo:
192.168.0.55 00:00:00:00:00:00
==> Comandos para editar os arquivos:
Para editar o brazilfw.cfg
- Código: Selecionar todos
# edit /etc/brazilfw/brazilfw.cfg
Salve e Saia
Para editar o dhcp.cfg
- Código: Selecionar todos
# edit /etc/brazilfw/dhcp.cfg
Salve e Saia
Para editar o reserve.cfg
- Código: Selecionar todos
# edit /etc/brazilfw/reserve.cfg
Salve e Saia
Depois feitas as devidas alterações, faça backup
- Código: Selecionar todos
# backup
Para iniciar o DHCP
- Código: Selecionar todos
/etc/init.d/dhcp start
Para reiniciar o DHCP
- Código: Selecionar todos
/etc/init.d/dhcp reload
Para parar o DHCP
- Código: Selecionar todos
/etc/init.d/dhcp stop
2 - DHCP para Redes com sud-redes e QOS
- Como vimos na mensagem "criando sub-redes" para criar as sub-redes basta entrar com o intervalo da(s) sub-rede(s) no arquivo subnet.cfg que está em /etc/brazilfw/ e depois executando o comando /etc/rc.d/rc.subnet
- Código: Selecionar todos
local 10.10 0 254 dhcp
- Código: Selecionar todos
10.10.0.0 256 128
- Código: Selecionar todos
local 10.20 0 254 dhcp
- Código: Selecionar todos
10.20.0.0 512 128
- Código: Selecionar todos
<ip> <mac>
10.20.1.2 00:00:00:00:00:00
Exemplo:
local 192.168 0 254
Se quisermos que o DHCP as gerencie, escondendo todo o ambiente para a sub-rede tendo cada faixa "o seu servidor dhcp", basta acresentar dhcp ao final da definição do Intervale de sub-rede. Usando o exemplo anterior, ficaria assim no arquivo subnet.cfg:
local 192.168 0 254 dhcp
Para criarmos uma quantidade de subrede e no qos setando a classe da sub-rede para determinada velocidade, seguiremos os exemplos abaixo:
Exemplos:
No subnet.cfg
No qos.cfg
No subnet.cfg
No qos.cfg
Amarrando os clientes no reserve.cfg
Com isso setorizamos o qos e clientes não sendo necessário criarmos um QOS para cada cliente
Observação:
- O DHCP é executado de baixo para cima.
primeiro vão as subredes e depois vai a rede no fornecimento do dhcp.
O sistema já aloca essa ordem automaticamente.
Resumo de comandos para Iniciar, recarregar (reiniciar) e parar serviços:
Backup:
- Código: Selecionar todos
# backup
Reiniciar a rede:
- Código: Selecionar todos
# /etc/rc.d/rc.inet
Reiniciar bloqueios:
- Código: Selecionar todos
# /etc/rc.d/rc.blocked
Reiniciar Sub-Rede:
- Código: Selecionar todos
# /etc/rc.d/rc.subnet
Reiniciar o QOS:
- Código: Selecionar todos
# /etc/rc.d/rc.qos
Squid
Iniciar o Squid:
- Código: Selecionar todos
# /etc/init.d/squid start
Reiniciar o Squid:
- Código: Selecionar todos
# /etc/init.d/squid reload
Parar o Squid:
- Código: Selecionar todos
# /etc/init.d/squid stop
DHCP
Iniciar o DHCP:
- Código: Selecionar todos
/etc/init.d/dhcp start
Reiniciar o DHCP:
- Código: Selecionar todos
# /etc/init.d/dhcp reload
Parar o DHCP:
- Código: Selecionar todos
# /etc/init.d/dhcp stop
WebAdmin
Iniciar o WebAdmin:
- Código: Selecionar todos
# /etc/init.d/webadmin start
Reiniciar o WebAdmin:
- Código: Selecionar todos
# /etc/init.d/webadmin reload
Parar o WebAdmin:
- Código: Selecionar todos
# /etc/init.d/webadmin stop
BIND
Iniciar o Bind:
- Código: Selecionar todos
# /etc/init.d/named start
Reiniciar o Bind
- Código: Selecionar todos
# /etc/init.d/named reload
Parar o Bind
- Código: Selecionar todos
# /etc/init.d/named stop
Instalando o certificado:
- Agora no BrazilFW 3.0 o acesso ao WebAdmin é por uma conexão segura SSL por certificado.
Por Padrão para acessar o WebAdmin basta entrar com o endereço https://ns.brazilfw.local:8181 em um navegador.
Como o certificado ainda não foi instalado no navegador, ao acessar o WebAmin fica uma mensagem em Vermelho.
Para que esta mensagem em vermelho não apareça mais, precisamos instalar o certicado.
a validade do certificado é de 10 anos
Abaixo serão relacionados os passos para instalação do certicado.
==> 1 - Passos válidos para o internet Explorer 6.0, 7.0 ou 8.0 Beta:
Na barra de endereço entre com o seguinte: https://ns.brazilfw.local:8181/getcert.cgi
Agora siga as telas:
login e senha: Entre com o login e senha criados para o BrazilFW
Abrir
Clicar em instalar certificado
Avançar
Colocar todos os certificados no armazenamento a seguir ==> Procurar
Autoridades de Certificação Raiz Confiáveis ==> OK
Avançar
Concluir
Esse processo instalará o certificado brazilfw cert 3. Com isso tudo que vier do BFW assinado não dará mais a mensagem vermelha
Clicando em cima do cadeado você verá o certificado. Assim você saberá quem assinou, pra qual site e a validade.
==> 2 - Passos válidos para o Mozila FireFox:
No FireFox, primeiro é necessário baixar e salvar o certificado.
Na barra de endereço entre com o seguinte: https://ns.brazilfw.local:8181/getcert.cgi
Agora siga as telas:
Clique em "Ou você pode adicionar uma exceção"
Clique em "adicionar exceção"
Verificar certificado ==> confirmar exceção de segurança"
Entrar com login e Senha
Clique em "Salvar arquivo"
Salve o certificado numa pasta de sua preferência"
==> Depois do Certificado baixado e salvo siga os passos abaixo:
Ferramentas ==> Opções
Aba Avançado ==> Criptografia ==> Certificados
Autoridades ==> Importar
Aponte para onde você baixou e salvou o certificado
Marcar
==>Considerar confiável esta CA para identificar Sites
==> ............................ para identificar usuários
==> ............ para identificar autores de programas
==> ............................................................ OK
==> ...................................................................OK
Observação:
1 - Se entrar com o ip em vez do dns aparecerá em vermelho novamente, pois foi assinado somente com o nome.
2 - Se mudar o nome do bfw de ns.brazilfw.local, é so apagar o certificado e reiniciar o webadmin então será gerado um novo certificado para o novo dominio. Para isso, siga os Passos abaixo:
- Comandos para renovar o certificado quando for renovar o dominio:
- Código: Selecionar todos
# /etc/init.d/webadmin stop
# cd /etc/brazilfw/cert
# rm -fr brazilfw_ssl.*
# /etc/init.d/webadmin start
# backup- Código: Selecionar todos
# /etc/init.d/named reload
Entre pelo Puty
Renove o Bind
Com os procedimentos acima o novo dominio já entra para toda a rede com o novo certificado
Acessando o WebAdmin:
- Se você não mudou o domínio que vem por Padrão no BrazilFW digite na barra de endereço do navegador de sua preferência o endereço abaixo:
Acesso externo ao WebAdmin:
- Por padrão o acesso externo ao WebAdmin vem bloqueado.
Se você quizer liberar o acesso externo faça o seguinte:
- Código: Selecionar todos
# edit /etc/brazilfw/ports/blocked.cfg
onde estiver yes 8181 tcp coloque no 8181 tcp
Salve e Saia
Faça Backup
- Código: Selecionar todos
# backup
Renove o serviço:
- Código: Selecionar todos
# /etc/rc.d/rc.blocked