MVB Telecomunicações
Modelo de Relatório para o Projeto de Integração da Terceira Fase de Redes
Datas
O projeto deverá ser entregue até o dia 06/03/2007. A etapa de implementação se dará entre os dias 15/03 à 04/04/2007.
Objetivos
implementar serviços de e-mail, firewall, web entre outros em um servidor com sistema operacional linux, conectado a internet e a rede local atraves de modem analogico e interface lan.
Descrição do Projeto
Detalhar o projeto, como será a rede, quais equipamentos serão utilizados, como serão interligados, o que exatamente deve ser configurado e em quais equipamentos. Utilizar esquemas (desenhos) se necessário. (mínimo 2 e máximo 10 páginas )
Instalação do Servidor
Formatação do Servidor e Instalação do Linux
Fomatação do HD.
1- configurar bios do computador para da boot pelo CD
2- Inserir o CD1 da Distribuição Linux Mandrake 10.1
3- escolher a partição que deseja formatar
4- esperar a reinicialização apos a formatação
instalação do mandrake 10.1
1- Inserir o CD1 da Distribuição Mandrake Linux 10.1
2- selecionar install e prescionar enter
3- Selecionar idioma Português Brasil. Clicar Next;
4- Nas próximas janelas, clicar Aceitar e Próximo respectivamente;
5- Na janela de Opções de Nível de Segurança, selecionar nível Padrão;
6- Selecionar a opção de nova instalação, com 3 CD´S;
7- Na janela de particionamento personalizado, fazer o seguinte:
8- Selecionar uma partição livre e criar uma nova com o tamanho desejado;
9- Clicar em definir ponto de montagem;
10- Clicar em confirmar;
11- Na janela atual, selecionar os pacotes que serão instalados e após isso, clicar em confirmar;
12- Definir uma senha de root;
13- Selecionar local em que deseja instalar o Gerenciador de Inicialização "MBR";
14- Clicar sobre o item Configurações somente Rede - LAN e Login e após, clicar em Próximo;
15- Clicar em "Reiniciar";
Etapas de Execução
Descrever detalhadamente as etapas a serem executadas, por exemplo:
Cabeamento
Realizar o cabeamento interligando os equipamentos X, Y e Z.
Levar a linha telefonica até a bancada W.
Identificar cada cabo e tomada com etiquetas.
A identificação será feita seguindo o seguinte código ABC, onde A número da tomada, B equipe, C equipamento final.
Testar os cabos.
Configurar o servidor
configurando as interfaces de rede
- foram instaladas 2 interfaces de rede, eth0 ip verdadeiro e eth1 será configurada como gateway de uma rede local, entao será necessario configura pra que o servidor faça o roteamento e nat.
Configurar o arquivo /etc/sysconfig/network-scripts/ifctg-eth0 da seguinte forma:
DEVICE=eth0 BOOTPROTO=static IPADDR=x.x.x.x NETMASK=a.a.a.a NETWORK=y.y.y.y BROADCAST=z.z.z.z ONBOOT=yes MII_NOT_SUPPORTED=no
Configurar o arquivo /etc/sysconfig/network-scripts/ifctg-eth1 da seguinte forma:
DEVICE=eth1 BOOTPROTO=static IPADDR=192.168.3.1 NETMASK=255.255.255.0 NETWORK=192.168.3.0 BROADCAST=192.168.3.255 ONBOOT=yes MII_NOT_SUPPORTED=no
Alterar o arquivo /etc/sysconfig/network da seguinte forma:
HOSTNAME=M13 NETWORKING=yes GATEWAY=200.135.233.254 GATEWAYDEV=eth0
apos editar e salvar as alteraçoes nesses arquivos, é necessario iniciar ou reiniciar os dispositivos executando o seguinte comando:
service network restart para restart as interfaces service network start para iniciar as interfaces service network stop para o serviço
- para ativar o roteamento é feito no seguinte arquivo /etc/sysctl.conf e modificar a seguinte linha:
net.ipv4.ip_forward=0
Para:
net.ipv4.ip_forward=1
configurando os serviços:
DNS
instalação do pacote:
no mandrike 10.1 instalamos o seguinte pacote:
# urpmi bind (a versão que será instalada do bind é a 9.3.0)
copiar os seguintes arquivos de configuração:
# cp /usr/share/doc/bind-9.3.0/chroot/named/etc/named.conf /etc/
# cp /usr/share/doc/bind-9.3.0/chroot/named/var/named/mandrakesoft.zone /var/named/mvb.zone
# cp /usr/share/doc/bind-9.3.0/chroot/named/var/named/named.ca /var/named/
# cp /usr/share/doc/bind-9.3.0/chroot/named/var/named/named.local /var/named/
# cp /usr/share/doc/bind-9.3.0/chroot/named/var/named/mandrakesoft.reversed /var/named/
para criar o arquivo zone voce pode utlizar como modelo o mandrakesort.zone, no caso da conversão direta de nome pra ip, mas editando e renomeando o arquivo com o "dominio".zone
vi /var/named/"dominio".zone
$ORIGIN .
$TTL 86400 ; 1 day
mvb.sj.cefetsc.edu.br. IN SOA m13.mvb.sj.cefetsc.edu.br. root.m13.mvb.sj.cefetsc.edu.br. (
2007032700 ; serial
86400 ; refresh (1 day)
21600 ; retry (6 hours)
3600000 ; expire (5 weeks 6 days 16 hours)
3600 ; minimum (1 hour)
)
NS m13.mvb.sj.cefetsc.edu.br.
IN MX 0 m13.mvb.sj.cefetsc.edu.br.
$ORIGIN mvb.sj.cefetsc.edu.br.
$TTL 86400 ; 1 day
localhost A 127.0.0.1
ftp A x.x.x.x
m13 A x.x.x.x
local A x.x.x.x
www A x.x.x.x
mail A x.x.x.x
abrir o /etc/named.conf e editar no final do arquivo:
// workaround stupid stuff... (OE: Wed 17 Sep 2003)
zone "ac" { type delegation-only; };
zone "cc" { type delegation-only; };
zone "com" { type delegation-only; };
zone "cx" { type delegation-only; };
zone "museum" { type delegation-only; };
zone "net" { type delegation-only; };
zone "nu" { type delegation-only; };
zone "ph" { type delegation-only; };
zone "sh" { type delegation-only; };
zone "tm" { type delegation-only; };
zone "ws" { type delegation-only; };
zone "mvb.sj.cefetsc.edu.br" {
type master;
file "dominio.zone";
allow-update { key mykey; };
};
Abrir arquivo:
#vi /etc/resolv.conf
- Alterar da seguinte forma:
search m13.mvb.sj.cefetsc.edu.br. nome da maquina namserver 127.0.0.1 search hendrix.sj.cefetsc.edu.br nome do servidor dns externo nameserver 200.135.233.1 ip da maquina # ppp temp entry
- Fechar o arquivo salvando as alterações.
Iniciando/Reiniciando/Parando o serviço DNS
- Após configuração do serviço, inicializá-lo executando:
#service named start (iniciando o serviço) #service named restart (reiniciando o serviço) #service named stop (parando o serviço)
Editando o arquivo "hosts.conf"
- Abrir arquivo /etc/hosts.conf,
xxx.xxx.xxx.xxx seudominio.local seudominio
- Fechar o arquivo salvando as alterações.
Testando o serviço DNS
- para testar o serviço pode realiza o seguinte comando:
ping <nome da maquina.dominio>
- caso não resolveu o nome, ou seja host nao encontrado, visualiaze o arquivo de log do sistema para resolver o problema.
#tail -n 30 /var/log/messages
e reeditar os arquivos de configuração que foram mencionandos acima.
Instalando o Serviço OpenSSH-server
- Para instalar o serviço OpenSSH-server, digitar:
#urpmi openssh-server (instala o serviço SSH para que o Servidor seja acessado remotamente)
- para utilizar o serviço nao é necessário editar os arquivo de configuraçao basta dar o comando de inicialização do serviço.
- arquivo de configuração /etc/ssh/sshd_config
#Port 22 (porta em que o ssh opera) #Protocol 2,1 (versão do protocolo utilizado) Protocol 2 #ListenAddress 0.0.0.0 #ListenAddress ::
# HostKey for protocol version 1 HostKey /etc/ssh/ssh_host_key # HostKeys for protocol version 2 HostKey /etc/ssh/ssh_host_rsa_key HostKey /etc/ssh/ssh_host_dsa_key
# Lifetime and size of ephemeral version 1 server key #KeyRegenerationInterval 1h #ServerKeyBits 768
# Logging #obsoletes QuietMode and FascistLogging #SyslogFacility AUTH #LogLevel INFO LoginGraceTime 2m PermitRootLogin no (permite o login pelo usuario root) #StrictModes yes #MaxAuthTries 6
#RSAAuthentication yes #PubkeyAuthentication yes #AuthorizedKeysFile .ssh/authorized_keys
# For this to work you will also need host keys in /etc/ssh/ssh_known_hosts #RhostsRSAAuthentication no # similar for protocol version 2 #HostbasedAuthentication no # Change to yes if you don't trust ~/.ssh/known_hosts for # RhostsRSAAuthentication and HostbasedAuthentication #IgnoreUserKnownHosts no # Don't read the user's ~/.rhosts and ~/.shosts files #IgnoreRhosts yes
# To disable tunneled clear text passwords, change to no here! #PasswordAuthentication yes (habilita autenticação por senha) #PermitEmptyPasswords no (permite senhas vazias)
# Change to no to disable s/key passwords #ChallengeResponseAuthentication yes
# Kerberos options #KerberosAuthentication no #KerberosOrLocalPasswd yes #KerberosTicketCleanup yes #KerberosGetAFSToken no
#AllowTcpForwarding yes #GatewayPorts no X11Forwarding yes (repassa conexões do protocolo X window) #X11DisplayOffset 10 #X11UseLocalhost yes #PrintMotd yes #PrintLastLog yes #TCPKeepAlive yes #UseLogin no UsePrivilegeSeparation yes #PermitUserEnvironment no #Compression yes #ClientAliveInterval 0 #ClientAliveCountMax 3 #UseDNS yes #PidFile /var/run/sshd.pid #MaxStartups 10
# no default banner path #Banner /some/path
# override default of no subsystems Subsystem sftp /usr/lib/ssh/sftp-server (habilita servidor sftp)
- por exemplo; para libera acesso ao servidor para usuario root basta editar na seguinte linha do arquivo /etc/ssh/ssh_config
PermitRootLogin no
para
PermitRootLogin yes
Iniciando/Reiniciando/Parando o serviço OpenSSH
- Após configuração destes arquivos, inicializá-lo executando:
#service sshd start (iniciando o serviço) #service sshd restart (reiniciando o serviço) #service sshd stop (parando o serviço)
Testando OpenSSH
- utilizar o computador cliente que tenha o protocolo de acesso remoto SSH, da seguinte forma:
ssh <usuario>@<ip_da_maquina>
- <usuario> tem que estar cadastrado no aqrquivo: /etc/passwd
Instalando o Apache
#urpmi apache
Arquivo dee configuração
/etc/httpd/conf/httpd.conf
Arquivo de configuração para paginas pessoais dos usuarios
editar o arquivo /etc/httpd/conf/commonhttpd.conf (apache 1.3.31)
<Directory /home/*/public_html>
AllowOverride FileInfo AuthConfig Limit
Options MultiViews Indexes SymLinksIfOwnerMatch IncludesNoExec
<Limit GET POST OPTIONS PROPFIND>
Order allow,deny
Allow from all
</Limit>
<LimitExcept GET POST OPTIONS PROPFIND>
Order deny,allow
Deny from all
</LimitExcept>
</Directory>
#<Directory /home/*/public_html> # AllowOverride All # Options MultiViews -Indexes Includes FollowSymLinks # <IfModule mod_access.c> # Order allow,deny # Allow from all # </IfModule> #</Directory>
Iniciando/Reiniciando/Parando o serviço Apache
- Após configuração deste arquivo, inicializá-lo executando:
#service apache start (iniciando o serviço) #service apache restart (reiniciando o serviço) #service apache stop (parando o serviço)
testando Apache
basta coloca no navegador o ip local ou nome da maquina para visualiza o index.shml padrão que vem no pacote apache. para editar a pagina html padrão, basta editar /var/www/html/index.shtml
Instalando o Serviço Squid
Squid é um servidor Proxy que pode ser utilizado como firewall, baseado em protocolos que filtram acessos vinods da rede interna da qual faz parte de canal de saída.
- Para instalar o serviço Squid, digitar:
#urpmi squid
Arquivo de configuração
edite o arquivo /etc/squid/squid.conf
http_port 3128 (porta em que o squid trabalha) cache_mem 16 MB ( tamanho do cache de RAM usado pelo squid) cache_swap_low 90 cache_swap_high 95 maximum_object_size 4096 KB client_netmask 255.255.255.0 (mascara de rede)
acl all src 0.0.0.0/0.0.0.0 acl manager proto cache_object acl localhost src 127.0.0.1/255.255.255.255 acl to_localhost dst 127.0.0.0/8 acl SSL_ports port 443 563 acl Safe_ports port 80 # http acl Safe_ports port 21 # ftp acl Safe_ports port 443 563 # https, snews acl Safe_ports port 70 # gopher acl Safe_ports port 210 # wais acl Safe_ports port 1025-65535 # unregistered ports acl Safe_ports port 280 # http-mgmt acl Safe_ports port 488 # gss-http acl Safe_ports port 591 # filemaker acl Safe_ports port 777 # multiling http acl CONNECT method CONNECT
Bloqueando sites
Criando novo arquivo
*Este arquivo conterá os endereços dos sites cujos acessos serão proibidos.
- É necessário que seja inserido um site por linha.
- Criar este arquivo conforme desejar.
- Criar o arquivo no diretório desejado:
#vi /etc/squid/proibir_sites (caminho e nome são exemplos)
- Inserir neste arquivo criado os endereços dos sites proibidos.
Por exemplo: www.playboy.com.br www.sexo.com.br www.batepapo.com.br www.fotolog.com www.orkut.com e assim por diante.
- Fechar o arquivo salvando-o.
Editando o arquivo "squid.conf"
- Abrir arquivo:
#vi /etc/squid/squid.conf
- Inserir as seguintes linhas:
acl proibir_sites dstdomain "/etc/squid/proibir_sites" http_access deny proibir_sites
- Fechar o arquivo salvando as alterações.
Bloqueando palavras
Criando novo arquivo
*Este arquivo conterá as palavras que não devem ser pesquisadasem sites de busca e também presentes no corpo de sites indesejados.
- É necessário que seja inserida uma palavra por linha.
- Criar este arquivo conforme desejar.
- Criar o arquivo no diretório desejado:
#vi /etc/squid/proibir_palavras (caminho e nome são exemplos)
- Inserir neste arquivo criado as palavras indesejadas.
Por exemplo: sexo orkut batepapo bate-papo fotolog flog blog
e assim por diante.
- Fechar o arquivo salvando-o.
Editando o arquivo "squid.conf"
- Abrir arquivo:
#vi /etc/squid/squid.conf
- Inserir as seguintes linhas:
acl proibir_palavras url_regex -i "/etc/squid/palavras_proibidas" http_access deny proibir_palavras
- Fechar o arquivo salvando as alterações.
Iniciando/Reiniciando/Parando o serviço Squid
- Após a configuração deste arquivo, inicializá-lo executando:
#service squid start (iniciando o serviço) #service squid restart (reiniciando o serviço) #service squid stop (parando o serviço)
- Configurar o Navegador da seguinte forma:
- Abrir a opção Configurações de Proxy do Navegador; - Preencher o campo de Servidor de Proxy com o endereço IP; - Atribuir a porta 3128, de uso do Squid.
Configurando o Proxy Transparente
- Editar o seguinte arquivo:
#vi /etc/squid/squid.conf
- Descomentar as seguintes linhas do arquivo:
http_accel_host virtual http_accel_port 80 http_accel_with_proxy on http_accel_uses_host_header on
- Fechar o arquivo salvando as alterações.
- Após isso, criar a seguinte regra, caso esteja utilizando iptables:
#IPTABLES -t nat -A PREROUTING -i eth'x' -p -tcp -dport 80 \ -j REDIRECT -to-port 3128
Instalando o Serviço de ftp
- FTP é a abreviatura de File Transfer Protocol (protocolo de transferência de arquivos). Esse é um dos principais protocolos responsáveis pela transferência de arquivos entre conputadores interligados através de qualquer tipo de rede (LAN, internet, wireless, etc...).
- Para instalar o serviço FTP é necessário baixá-lo da internet. Em nosso servidor usaremos o vsftpd e para instalá-lo digite:
#urpmi vsftpd-2.0.2-3mdk.i586.rpm
- Arquivo de configuração
#/etc/vsftpd.conf
OBS: não há necessidade de alterar o arquivo, basta apenas instalar.
Testando o Serviço
- Abrir o Navegador e acessar sites que estão inclusos nas Regras criadas ou que contenham as palavras proibidas.
- Se tudo estiver configurado corretamente, ao acessar um site que esteja com acesso proibido, conforme regra criada, será mostrada uma página com informações de acesso negado.
- Caso seja possível acessar um site que esteja na regra de proibição, verificar a configuração dos arquivos editados e criados. Se necessário, tornar a editá-los e refazer os testes.
Abrir o arquivo XXXX, no diretório YYYYY, acrescentar as seguintes linhas:
AAAAAAAAA
BBBBBBBBB
Executar os seguintes comandos:
CCCC
DDDD
Testar o funcionamento da seguinte forma:
Fdklafka
...
Listagem do material utilizados
Detalhar todo o material e equipamentos a serem utilizados ao longo do projeto.
Cronograma de Execução previsto
Obs.: Lembre-se de durante a execução do projeto anotar as datas de execução das etapas do mesmo e comparar com o previsto. Isto o ajudará no futuro profissional a melhor avaliar os tempos envolvidos em projetos deste tipo.
| Nome da Etapa | Semana 1 | Semana 2 | Semana 3 |
|---|---|---|---|
| Servidor WEB | 1 dia | ||
| Cabeamento | 4 dias | ||
| Instalação do SO | 1 dia | ..x | |
| Apache | 2 dias | ||
| Postfix | 2 dias | ||
| DenyHosts | 1 dia | ||
| Ftp | 1 dia | ||
| Ssh | 1 dia | ||
| Firewall | 1 dia | ||
| Roteamento | 1 dia | ||
| DNS | 1 dia | ||
| Postfix | 1 dia | ||
| NAT | 1 dia | ||
| Squid | 1 dia |
- x