Noções sobre Rede

[Shivans 0]

Noções sobre Rede

 

 

Qualquer usuário que tenha mais de um micro em casa ou no escritório já deve ter pensado em montar uma pequena rede para aumentar a produtividade do trabalho. Há várias vantagens em se montar uma pequena rede de dois ou mais micros, como o aumento da produtividade e, principalmente, a diminuição de custos.

 

Dois problemas básicos levam os usuários a pensarem em montar uma pequena rede: a troca de arquivos e o uso da impressora.

 

No caso da troca de arquivos, é muito comum termos que ficar levando disquetes para lá e pra cá com textos planilhas para poder trabalharmos em outro micro. Com uma pequena rede montada, você será capaz de ler os arquivos armazenado no disco rígido de outro micro diretamente, sem a necessidade de ficar usando disquetes. Com isso, certamente o seu trabalho terminará mais cedo.

 

A impressora é outro ponto de destaque. Em vez de você ter de comprar uma impressora para cada micro, você poderá imprimir de qualquer micro de sua casa ou escritório. Com isso, você gastará menos com equipamento. É claro que, para montar uma pequena rede, você necessitará comprar placas e cabos, mas com certeza o custo para montar uma pequena rede é bem menor que o custo de uma impressora.

 

> Atenção: Não podemos esquecer que com esse tipo de rede nós poderemos compartilhar também a placa de Fax/Modem, onde todos os micros da rde podem passar e receber fax e ainda navegar pela Internet usando uma única linha telefônica e uma placa de Fax/Modem.

[Shivans 0]

Tipos de Rede

 

 

O tipo de rede que estaremos ensinando é chamado de ponto-a-ponto. Nesse tipo de rede, não há muita dificuldade para configurar os recursos. Além disso, o Windows 3.11 e o Windows 9x trazem suporte a esse tipo de rede junto com o sistema, o que significa que você não precisará de nenhum software adicional para colocar a sua rede ponto-a-ponto funcionando.

 

> Nota: Temos uma exceção nesse caso que é a do Fax/Modem, que necessita de um software extra para compartilhamento de recursos.

 

Por ser de fácil instalação, a rede ponto-a-ponto não é tão segura quanto redes do tipo cliente-servidor. Porém, a maioria das pessoas que montam uma rede ponto-a-ponto não estão preocupadas com segurança, já que a rede provavelmente será montada em um mesmo escritório ou ambiente de trabalho onde todas as pessoas podem ter acesso aos recursos da rede indistintamente.

 

A rede ponto-a-ponto é baseada em compartilhamento, especialmente de arquivos, impressoras e fax modems, como estamos vendo. No tocante aos arquivos, é preciso ter em mente que através desse tipo de redes só é possível compartilhar dados - como arquivos de texto, planilhas, etc - não sendo possível compartilhar programas que necessitam de instalação - como processadores de texto, editores gráficos, planilhas eletrônicas, etc.

 

Outro tipo de rede que existe é a cliente-servidor, como comentamos no parágrafo acima, que necessita de sistemas operacionais do tipo cliente-servidos, como o Windows NT, o Unix ou mesmo o Netware.

[Shivans 0]

Placas e cabos de Rede

 

 

Para montar a sua rede você precisará que todos os micros possuam uma placa de rede. Será com o uso da placa que todos os micros conseguirão comunicar-se, através de um cabo apropriado.

 

Você encontrará no mercado diversos tipos e marcas de placas. O ideal, para facilitar a montagem e configuração da rede, é que todas as placas sejam iguais, isto é, da mesma marca e modelo. Você encontrará no mercado placas de rede ISA e PCI. Em redes pequenas, onde geralmente não temos preocupação com o desempenho, pode-se usar placas de rede ISA sem problemas.

 

A questão fundamental na escolha do modelo de placa de rede está no tipo de cabo que você pretende utilizar, pois você terá de comprar uma placa de rede compatível. Veja abaixo as características de cada conector de uma placa de rede ISA típica:

 

- RJ: esse conector, que é parecido com o conector de um aparelho telefônico, é utilizado por cabo do tipo par trançado.

 

- AUI: esse conector não é usado em redes de pequeno porte, através desse conector é possível instalar um tracesptor para a ultilização de outros tipos de cabo, como cabo coaxial grosso e fibra óptica.

 

- BNC: já esse conector é utilizado por cabo coaxial fino.

 

Hoje em dia as placas de rede não trazem tantos conectores. A maioria das placas que existem hoje no mercado traz somente um conector RJ-45 e mais um BNC. Dessa forma, você deve escolher uma placa de rede de acordo com o tipo de cabo que você pretende utilizar.

 

- Par traçado: também chamado de UTP ou 10BaseT, esse tipo de cabo pode ter até 100 metros de extensão. Caso você possua mais de que 2 micros para serem conectados, você necessitará de um periférico chamado HUB (concentrador), o que aumenta o custo de sua rede.

 

- Cabo coaxial fino: também chamado de easynet ou cheapernet ou 10Base2, esse cabo pode ter até 165 metros de comprimento. Pode ser utilizado diretamente por até 30 micros.

[Shivans 0]

Material necessário

 

 

Em nosso caso, iremos compartilhar 4 micros usando o cabo par trançado com o conector RJ-45 via hub, para isso usaremos o seguinte material:

 

- 4 placas de rede com conexão para RJ-45.

- 4 cabos par traçado de 3 metros.

- 8 conectores RJ-45.

- 1 hub com no mínimo 4 portas.

- 1 alicate para crimpar.

[Shivans 0]

Instalando a placa de Rede

 

 

Primeiro iremos instalar as placas de rede em cada micro. A instalação da placa de rede no micro não é muito difícil: basta você conectá-la ao slot adequado (ISA ou PCI). Como todas as placas de rede hoje em dia são plug and play, provavelmente você não encontrará problemas em sua instalação e configuração.

 

Ao ligar o micro, se o sistema operacional de seu micro for Windows 9x, ele automaticamente detectará a placa e pedirá o disquete contendo os seus drivers. Basta inserir na unidade de disquete o disco ou CD que acompanha a placa e clicar em ok.

 

Após a instalação dos drivers e reinicialização do micro, confira se a placa está ou não apresentando algum tipo de conflito. Para isso, siga os passos a seguir:

 

1- Botão Iniciar / Configurações / Painel de controle.

2- Agora dê dois cliques no ícone Sistema.

3- Clique na guia Gerenciador de dispositivos.

4- Agora verifique a chave Adaptador de rede se sua placa não apresentou nenhum conflito.

 

* Quando a placa está em conflito ela apresenta uma exclamação amarela ou um "X" vermelho sobre sua ilustração.

 

> Dica: Quando uma placa apresenta conflitos, provavelmente é devido à uma interrupção e para solucionar esse problema, basta alterar a interrupção utilizada pela placa. Para isso, siga as instruções:

1- Dê um duplo clique sobre o nome da placa.

2- Na janela que surgir, clique na guia chamada Recursos.

3- Desabilite a caixa "Utilizar configurações automáticas".

4- Altere manualmente a interrupção para um outro valor que não cause conflitos.

[Shivans 0]

Instalando os cabos

 

 

Para o tipo de rede que vamos usar nesta aula, temos que montar o cabo de par trançado com o conector RJ-45 em cada ponta, a seguir conecta-se a ponta do cabo na placa de rede do micro e a outra ponta no hub.

 

Os fios do cabo de par trançado, deverão ser "crimpados" aos plugues RJ-45 utilizando o seguinte padrão, chamado T568A:

 

Pino - Fio

1 - Branco / verde

2 - Verde

3 - Branco / laranja

4 - Azul

5 - Branco / azul

6 - Laranja

7 - Branco / marrom

8 - Marrom

[Shivans 0]

Configurando a Rede

 

 

Agora que nós já instalamos a nossa rede fisicamente, chegou a hora de fazer os ajustes necessários no sistema operacional, para que a nossa rede possa funcionar. Para isso, siga os passos a seguir para todos os micros que forem utilizados:

 

1- Clique em Iniciar / Configurações / Painel de controle.

2- Dê um duplo clique no ícone Redes.

3- Clique na guia Identificação e complete a ficha da seguinte forma:

Nome: Micro1, Micro2, Micro3 ou Micro4

* Um nome diferente para cada micro e sem espaços. No caso estamos compartilhando uma rede para 4 micros.

Grupo de trabalho: Rede 4 us

Descrição do computador: Trabalhando em rede

4- Clique na guia Configuração. Provavelmente aparecerá listada a placa de rede instalada no micro. Caso o driver não esteja instalado faça os passos abaixo e se já estiver instalado, vá para a próxima aula.

 

- Adicionado Adaptador:

1- Clique em Adicionar / Adaptador / Adicionar.

2- Do lado esquerdo da tela clique em Microsoft.

3- Do lado direito clique em Adaptador para rede dial-up.

4- Clique em Ok.

 

- Adicionando Cliente:

1- Clique Adicionar / Cliente / Adicionar.

2- Do lado esquerdo da tela clique em Microsoft.

3- Do lado direito clique Clientes para Microsoft.

4- Clique em Ok.

 

- Adicionando Protocolo:

1- Clique em Adicionar / Protocolo / Adicionar.

2- Do lado esquerdo da tela clique em Microsoft.

2- Do lado direito clique em TCP/IP.

4- Clique em Ok.

 

- Adicionando Compartilhamento:

1- Clique em Adicionar / Serviço / Adicionar.

2- Marque a opção "Compartilhamento de arquivos e impressoras para redes Microsoft".

3- Clique em Ok.

 

Agora você deve reiniciar todos os micros e conferir se sua rede já está reconhecendo as outras unidades, para uma rápida conferência dê dois cliques no ícone Ambiente de rede na área de trabalho da sua janela.

 

> Atenção: Caso você não consiga enxergar os outros computadores na rede, confira os passos anteriores e tente novamente.

[Shivans 0]

Compartilhando a impressora

 

 

Agora sua rede já está montada e configurada, devemos configurar a impressora que você pretende compartilhar, isto é, tornar acessível para todos os demais micros da rede. Os passos a seguir deverão ser feitos no computador onde se encontra a impressora fisicamente.

 

1- Clique em Iniciar / Configurações / Impressoras.

2- Dê um clique com o botão direito do mouse sobre a impressora que deverá ser compartilhada.

3- Na janela que surgiu, clique em Compartilhamento.

4- Clique na guia Compartilhamento.

5- Marque a opção Compartilhando como.

6- No item Nome do Compartilhamento digite o nome de sua impressora.

7- O item Comentário e Senha são opcionais.

8- Clique em Ok.

 

* Repare que o ícone da impressora passou a ter uma "mãozinha" confirmando o compartilhamento.

 

Agora nos outros computadores da rede habilite o uso da impressora seguindo os passos a seguir:

 

1- Dê dois cliques no ícone Ambiente de Rede na área de trabalho do Windows.

2- Dê dois cliques sobre o ícone do computador, onde a impressora está instalada fisicamente.

3- Será exibida uma tela onde mostra todos os dispositivos compartilhados, no caso, a impressora.

4- Dê um duplo clique sobre a impressora.

5- O Windows vai iniciar automaticamente um assistente para a instalação da impressora.

 

> Atenção: Após a impressora ter sido instalada, ela passará a ser listada como sendo um dispositivo conectado ao micro. As impressões poderão ser feitas normalmente de qualquer programa, como se a impressora estivesse fisicamente.

[Shivans 0]

Compartilhando diretórios

 

 

Você pode configurar os micros de sua rede para o compartilhamento de diretórios, permitindo que outros micros possam ler e gravar dados em discos localizados em outros micros. Muito interessante notar que qualquer dispositivo de armazenamento de dados pode ser compartilhado, isto é, o diretório compartilhado não precisa ser necessariamente do disco rígido. Dessa maneira, você pode compartilhar também unidades de CD-ROM, Zip-Drives, etc.

 

Nesse tipo de rede, você pode utilizar outros diretórios para ler arquivos de dados, ou seja, documentos de processador de texto, planilhas, etc. Você não pode utilizar esse recurso para executar um programa que esteja instalado em outra máquina. Isso ocorre porque todo programa quando é instalado, faz modificações no sistema operacional (por exemplo, no registro do Windows e em seus arquivos INI), além de copiar arquivos do próprio programa para o diretório do Windows (tipicamente arquivos com extensão DLL). Como essas modificações são efetuadas somente na máquina onde o programa foi instalada, você não conseguirá rodá-lo a partir de outro micro.

 

Compartilhar diretórios é tão simples como compartilhar impressoras. No micro que possui diretórios a serem compartilhados com os demais micros da rede, faça as seguintes operações:

 

1- No Windows Explorer ou no ícone Meu computador selecione os diretórios que serão compartilhados.

2- Clique com o botão direito do mouse sobre os diretórios selecionados.

3- Na janela que vai surgir, clique na opção Compartilhamento.

4- Agora clique na guia Compartilhamento.

5- Marque a opção Compartilhando como.

6- Defina as opções desta tela a seu gosto.

7- Clique em Ok.

 

> Dica: O ideal seria compartilhar o disco inteiro, assim você não precisará ficar compartilhando cada diretório do disco individualmente. Para isso basta compartilhar o diretório raiz do disco, C: por exemplo.

 

Nos micros onde você deseja ler os discos ou diretórios compartilhados, basta procurar pelo compartilhamento através do ícone Ambiente de rede da área de trabalho. Clicando no ícone do micro onde os recursos estão disponíveis. Clicando sobre o diretório compartilhado, você poderá ver o seu conteúdo e ter acesso aos arquivos.

 

Para tornar tudo ainda mais fácil, você pode definir letras de unidades (D:, E:, F:, etc) para cada disco ou diretório compartilhado. Para isso, faça o seguinte:

 

1- Selecione o diretório que você deseja definir uma letra.

2- Clique no botão direito do mouse sobre ele.

3- Escolha a opção Mapear unidade de rede.

4- Na tela que vai surgir, defina uma letra para o diretório atual.

5- Após esse procedimento, basta acessar a letra da unidade para ter acesso ao disco ou diretório compartilhado.

 

> Nota: Você terá acesso a essa unidade inclusive no prompt do MS-DOS.

[Shivans 0]

Cabeamentos de Redes (cabling)

 

Nos últimos anos muito se tem discutido e falado sobre as novas tecnologias de hardware e software de rede disponíveis no mercado. Engana-se, porém, quem pensa que estes produtos podem resolver todos os problemas de processamento da empresa. Infelizmente, o investimento em equipamentos envolve cifras elevadas, mas é preciso que se dê também atenção especial à estrutura de cabeamento, ou *cabling*, uma das peças-chave para o sucesso de ambientes distribuídos. Conforme pesquisas de órgãos internacionais, o cabeamento hoje é responsável por *80%* das falhas físicas de uma rede, e oito em cada dez problemas detectados referem-se a cabos mal-instalados ou em estado precário.

 

>> Tipos de cabeamento

 

> Cabo coaxial

 

O primeiro tipo de cabeamento que surgiu no mercado foi o cabo coaxial.

 

Há alguns anos, esse cabo era o que havia de mais avançado, sendo que a troca de dados entre dois computadores era coisa do futuro. Até hoje existem vários tipos de cabos coaxiais, cada um com suas características específicas. Alguns são melhores para transmissão em alta freqüência, outros tem atenuação mais baixa, e outros são imunes a ruídos e interferências. Os cabos coaxiais de alta qualidade não são maleáveis e são difíceis de instalar e os cabos de baixa qualidade podem ser inadequados para trafegar dados em alta velocidade e longas distâncias.

 

Ao contrário do cabo de par trançado, o coaxial mantém uma *capacidade* *constante* e baixa, *independente do seu *comprimento*, evitando assim vários problemas técnicos. Devido a isso, ele oferece velocidade da ordem de megabits/seg, não sendo necessário a regeneração do sinal, sem distorção ou eco, propriedade que já revela alta tecnologia. O cabo coaxial pode ser usado em ligações ponto a ponto ou multiponto. A ligação do cabo coaxial causa reflexão devido a impedância não infinita do conector. A colocação destes conectores, em ligação multiponto, deve ser controlada de forma a garantir que as reflexões não desapareçam em fase de um valor significativo. Uma dica interessante: em uma rede coaxial tipo BUS - também conhecida pelo nome de rede coaxial varal, o cabo deve ser casado em seus extremos de forma a impedir reflexões.

 

A maioria dos sistemas de transmissão de banda base utilizam cabos de impedância com características de 50 Ohm, geralmente utilizados nas TVs a cabo e em redes de banda larga. Isso se deve ao fato de a transmissão em banda base sofrer menos reflexões, devido às capacitâncias introduzidas nas ligações ao cabo de 50 Ohm.

 

Os cabos coaxiais possuem uma maior imunidade a ruídos eletromagnéticos de baixa freqüência e, por isso, eram o meio de transmissão mais usado em redes locais.

 

> Par trançado

 

Com o passar do tempo, surgiu o cabeamento de par trançado. Esse tipo de cabo tornou-se muito usado devido a falta de flexibilidade de outros cabos e por causa da necessidade de se ter um meio físico que conseguisse uma taxa de transmissão alta e mais rápida. Os cabos de par trançado possuem dois ou mais fios entrelaçados em forma de espiral e, por isso, reduzem o ruído e mantém constante as propriedades elétricas do meio, em todo o seu comprimento.

 

A *desvantagem* deste tipo de cabo, que pode ter transmissão tanto analógica quanto digital, é sua suscetibilidade às *interferências* a ruídos (eletromagnéticos e rádiofreqüência). Esses efeitos podem, entretanto, ser minimizados com blindagem adequada. Vale destacar que várias empresas já perceberam que, em sistemas de baixa freqüência, a imunidade a ruídos é tão boa quanto a do cabo coaxial.

 

O cabo de par trançado é o meio de transmissão de *menor custo* por comprimento no mercado. A ligação de nós ao cabo é também extremamente simples e de baixo custo. Esse cabo se adapta muito bem às redes com topologia em estrela, onde as taxas de dados mais elevadas permitidas por ele e pela fibra óptica ultrapassam, e muito, a capacidade das chaves disponíveis com a tecnologia atual. Hoje em dia, o par trançado também está sendo usado com sucesso em conjunto com sistemas ATM para viabilizar o tráfego de dados a uma velocidade extremamente alta: 155 megabits/seg.

 

> Fibra óptica

 

Quando se fala em tecnologia de ponta, o que existe de mais moderno são os cabos de fibra óptica. A transmissão de dados por fibra óptica é realizada pelo envio de um sinal de luz codificado, dentro do domínio de freqüência do infravermelho a uma velocidade de 10 a 15 MHz. O cabo óptico consiste de um filamento de sílica e de plástico, onde é feita a transmissão da luz. As fontes de transmissão de luz podem ser diodos emissores de luz (LED) ou lasers semicondutores. O cabo óptico com transmissão de raio laser é o mais eficiente em potência devido a sua espessura reduzida. Já os cabos com diodos emissores de luz são muito baratos, além de serem mais adaptáveis à temperatura ambiente e de terem um ciclo de vida maior que o do laser.

 

Apesar de serem mais caros, os cabos de fibra óptica *não sofrem* *interferências* com ruídos eletromagnéticos e com radiofrequências e permitem uma total isolamento entre transmissor e receptor. Portanto, quem deseja ter uma rede segura, preservar dados de qualquer tipo de ruído e ter velocidade na transmissão de dados, os cabos de fibra óptica são a melhor opção do mercado.

 

O cabo de fibra óptica pode ser utilizado tanto em ligações ponto a ponto quanto em ligações multiponto. A exemplo do cabo de par trançado, a fibra óptica também está sendo muito usada em conjunto com sistemas ATM, que transmitem os dados em alta velocidade. O tipo de cabeamento mais usado em ambientes internos (LANs) é o de par trançado, enquanto o de fibra óptica é o mais usado em ambientes externos.

 

Apenas para complementar: segundo livros que eu tenho falando sobre o assunto, um cabeamento de fibra ótica teria uma largura de banda típica em torno de 1ghz, o suficiente para utilizar-se os serviços mais corriqueiros da Internet (FTP, e-mail, Web, videoconferência, etc) com muita folga, assumindo-se um comprimento máximo de 1,5 KM.

[Shivans 0]

Netbios

 

 

Apresentação

 

Resolvi fazer este texto, porque não me conformo em como pode existir uma espécie de falta de informação sobre o assunto por parte de qualquer pobre mortal, que tem uma pobre máquina ligada numa pobre rede. Por mais pobre seja essa rede, sempre existirá uma máquina com Windows9x/2000, e logo, Netbios estará sendo usando. O Samba também serve como exemplo em sistemas Unix.

 

O Problema

 

Basicamente, o problema é simples: O sujeito compartilha a sua máquina para uma rede caseira e nem coloca senha, isso porque ele pensa: "Para que colocar senha se estamos falando de minha rede interna?". Não pense assim, porque esse é o erro. Quando você mexe em configurações no seu computador, não pense que essas configurações fizeram efeito apenas em sua máquina, mas sim na Internet, isso é claro se sua máquina estiver conectada a Rede Mundial.

 

1. Você compartilhou sua máquina.

2. Não colocou senha.

3. Conectou-se a Internet.

 

Isso é o básico para ser invadido. Basta o suposto cracker passar um scanner pedindo apenas a porta 139 e sua máquina estará lá. Quando você compartilha sua máquina, você abre a porta 139 para o mundo. Todos podem saber o nome de sua máquina e todos podem invadí-la, isso porque você não colocou senha, só por isso, eu garanto: ninguém coloca senha.

 

Resolvendo

 

Compartilhe sua máquina e coloque senha. :)

[Shivans 0]

Servidor proxy

 

 

Introdução

 

Os proxies são principalmente usados para permitir acesso à Web através de um firewall. Um proxy é um servidor HTTP especial que tipicamente roda em uma máquina firewall. O proxy espera por uma requisição de dentro do firewall, a repassa para o servidor remoto do outro lado do firewall, lê a resposta e envia de volta ao cliente.

 

Visão geral de um proxy

 

O proxy está rodando ou em um servidor firewall ou qualquer outro servidor interno que tenha acesso total a Internet - ou em uma máquina dentro do firewall fazendo conexões com o mundo exterior através de SOCKS ou qualquer outro software firewall.

 

Normalmente, o mesmo proxy é usado por todos os clientes em uma subrede. Isto torna possível para ele fazer caching eficiente de todos os documentos requisitados.

 

A habilidade que o proxy tem no uso do cache, o torna atrativo para aqueles que não estão dentro do firewall. Configurar um servidor proxy é fácil e os mais populares programas clientes Web já tem suporte a essa ferramenta. Sendo assim, torna-se simples a tarefa de configurar um grupo de trabalho inteiro para usar o serviço de cache do proxy. Isto reduz os custos com tráfego de rede porque muitos documentos que são requisitados são lidos do cache local.

 

A metodologia atual é baseada em um código de gateway escrito por Tim Berners-Lee como parte do libwww ( WWW commom Library). Kevin Altis, Ari Luotonen e Lou Montulli foram os principais contribuidores para a padronização do proxy. Lou Montulli, autor de Lynx, fez as primeiras mudanças no libwww em colaboração com Kevin Altis. Ari Luotonen mantém o CERN httpd.

 

 

Porque um nível de aplicação proxy?

 

Um nível de aplicação proxy faz um firewall seguramente permeável para os usuários na organização sem criar um furo na segurança onde hackers poderiam entrar na rede da organização.

 

Para clientes Web, as modificações necessárias para suportar um nível de aplicação proxy são menores (leva-se apenas 5 minutos para adicionar suporte proxy para o Emacs Web Browser).

 

Não há necessidade de compilar versões especiais de clientes Web com bibliotecas firewall, o cliente "out-of-the-box" pode ser configurado para ser um cliente proxy. Em outras palavras, quando se usa proxy não necessitamos customizar cada cliente para suportar um tipo ou método especial de firewall: o proxy, em si, é um método padrão para acessar firewalls.

 

Usuários não têm que ter clientes FTP, Gopher e WAIS separados (muito menos modificados) para acessar um firewall - um simples cliente Web com um servidor proxy trata todos esse casos. O proxy também padroniza a aparência de clientes Gopher e FTP.

 

O proxy permite que os programadores esqueçam as dezenas de milhares de linhas de código necessárias para suportar cada protocolo e se concentrem em coisas mais importantes - é possível ter clientes "peso-leve" que somente compreendam HTTP (nenhum suporte nativo aos protocolos FTP, Gopher, etc) - outros protocolos são manuseados transparentemente pelo proxy. Usando HTTP entre o cliente e o proxy, nenhuma funcionalidade é perdida, pois FTP, Gopher e outros protocolos Web são bem mapeados para o HTTP.

 

Clientes sem DNS (Domain Name Service) também podem usar a Web. O endereço IP do proxy é a única informação realmente necessária. Organizações usando endereços, por exemplo, classe A (como 10.*.*.*), em suas redes particulares podem ainda acessar a Internet contanto que o proxy seja visível tanto para a rede particular como para a Internet.

 

Proxy permite um alto nível de log das transações de clientes, incluindo endereço IP, data e hora, URL, contagem de bytes e código de sucesso. Qualquer campo (seja de meta-informação ou seja comum) em uma transação HTTP é um candidato para log. Isto não é possível com log no nível IP ou TCP.

 

Também é possível fazer a filtragem de transações de clientes no nível do protocolo de aplicação. O proxy pode controlar o acesso a serviços por métodos individuais, servidores e domínios, etc.

 

Outra feature interessante do proxy é a cache. O uso de cache é mais efetivo no servidor proxy do que em cada cliente. Isto salva espaço em disco, desde que somente uma cópia é guardada, como também permite um uso de "cache inteligente", onde os documentos freqüentemente referenciados por muitos clientes são guardados por um período mais longo de tempo pelo cache manager.

 

O uso de cache também torna possível acessar algumas páginas mesmo que servidores estejam fora do ar. Essa facilidade torna o serviço melhor, visto que recursos remotos como um site FTP ocupado que são freqüentemente inacessíveis remotamente podem ser agora acessíveis através do cache local. Pode-se citar uma infinidade de usos que podemos fazer com o cache: fazer uma demonstração de algum lugar com uma baixa velocidade de conexão, ler documentos com a máquina não-conectada (obviamente após colocar todos documentos no cache local), etc.

 

Em geral, autores de clientes Web não tem razão para usar versões de firewalls em seus códigos. O proxy é mais simples para configurar do que SOCKS e trabalha em todas as plataformas, não somente Unix.

 

 

Detalhes técnicos

 

Quando uma requisição HTTP normal é feita por um cliente, o servidor pega somente o path e a "porção chave" da URL requisitada; outras partes, como o especificador de protocolo "http:" e o nome do servidor são obviamente claros para o servidor HTTP remoto. O path requisitado especifica um documento ou um script CGI no sistema de arquivos local do servidor; ou ainda algum outro recurso disponível daquele servidor.

 

Quando um usuário entra:

 

http://mycompany.com/information/ProxyDetails.html

 

O browser converte para:

 

GET /information/ProxyDetails.html

 

Uma transação HTTP normal

 

O cliente faz a requisição ao servidor HTTP especificando apenas o recurso relativo àquele servidor (nenhum protocolo ou nome de servidor é colocado na URL).

 

Quando um cliente envia uma mensagem para um servidor proxy a situação é um pouco diferente. O cliente sempre usa HTTP para transações com o proxy, mesmo quando acessa um recurso oferecido por um servidor remoto usando outro protocolo, como Gopher e FTP.

 

Entretando, ao invés de especificar somente o pathname e possíveis palavras que complementariam a procura para o proxy (como ocorre em uma requisição normal), todo a URL é especificada (fig.3 e 4). Desta forma o proxy tem todas as informações necessárias para fazer a requisição para o servidor remoto especificado na URL.

 

Nada melhor que um exemplo para clarear as coisas: se o usuário digitasse a seguinte URL:

 

http://mycompany.com/information/ProxyDetails.html

 

O browser, sabendo da existência do proxy, converteria para a seguinte requisição:

 

GET http://mycompany.com/information/ProxyDetails.html

 

O browser conecta-se então ao servidor e o proxy providencia a conexão com a Internet. Nesse caso, o proxy converteria a requisição para:

 

GET /information/ProxyDetails.html

 

Uma trasação HTTP com proxy

 

O cliente faz uma requisição ao proxy usando HTTP mas especificando toda a URL; o proxy se conecta ao servidor remoto e pede o recurso relativo àquele servidor sem especificar protocolo ou o nome do servidor na URL.

 

Trasação FTP com proxy

 

O cliente faz a requisição ao proxy usando HTTP (embora o recurso seja um FTP). O proxy analisa a URL recebida e percebe que deve abrir uma conexão FTP. O resultado (o arquivo, no caso) é enviado para o cliente usando HTTP.

 

Deste ponto o proxy age como um cliente para conseguir o documento: ele chama o mesmo protocolo libwww que um cliente deveria chamar para que o documento fosse obtido. Entretando, a "apresentação" do documento no proxy é através de HTTP, independente do protocolo que foi usado para consegui-lo. Um comando list, por exemplo, é retornado como um documento HTML.

[Shivans 0]

Howto - Firewall

 

 

1. Introdução

 

O Firewall-HOWTO original foi escrito por David Rudder, drig@execpc.com. Eu gostaria de agradecer-lhe por permitir a atualização do seu trabalho.

 

Os Firewalls ganharam grande fama últimamente com a Segurança para a Internet. Como a maioria das coisas que ganham fama, com a fama veio uma péssima divulgação. Este HOWTO revisará os fundamentos do que é um firewall, e o que é um servidor proxy, como configurar um servidor proxy, e as aplicações desta tecnologia fora da segurança real.

 

1.1. Realimentação

 

Qualquer realimentação é muito bem-vinda. POR FAVOR INFORME QUALQUER INEXATIDÃO NESTE DOCUMENTO!!! Eu sou humano, e propenso a cometer enganos. Se você achar qualquer erro, e os corrigir é do meu maior interesse. Eu tentarei responder há todos e-mails, mas eu estou ocupado, assim não se sinta insultado se eu não responder.

 

Meu endereço de email é markg@netplus.net.

 

1.2. Retratação

 

EU NÃO RESPONSABELIZO-ME POR QUALQUER DANO OCORRIDO DEVIDO A AÇÕES BASEADAS NESTE DOCUMENTO. Este documento é como uma introdução para trabalhar com firewalls e servidores proxy. Eu não sou, e nem pretendo ser um perito em segurança. Eu sou um simples sujeito que leu muito e que gosta de computadores mais do que a maioria das pessoas. Por favor, eu estou escrevendo isto para pessoas que peçam help em subject, e Eu não irei ler aposto a minha vida na precisão do que está aqui.

 

1.3. Direitos autorais

 

A menos que seja contrário, Os documentos HOWTO do Linux são registrados pelos proprios autores respectivos. Os documentos HOWTO do Linux podem ser reproduzidos e distribuído em todo ou em parte, em qualquer meio físico ou eletrônico, contanto que esta advertência de direitos autorais seja mantida em todas as cópias. A redistribuição comercial é permitido e é encorajada; porém, o autor iria gostar de ser notificado de qualquer forma de distribuição.

 

Todas as traduções, trabalhos derivados, ou trabalhos incorporando agregados a qualquer Linux devem ser informados nos documentos de HOWTO debaixo desta advertência de direito autorais.

 

Quer dizer, você pode não produzir um trabalho derivado de um HOWTO e pode impor restrições adicionais em sua distribuição. Exceções para estas regras pode ser concedido debaixo de certas condições; por favor contate o Coordenador de HOWTO para o Linux.

 

Em resumo, nós desejamos promover a disseminação desta informação por tantos canais quanto possível. Porém, nós desejamos reter os direito autorais nos documentos de HOWTO, e gostaria-mos de ser notificado de qualquer plano para redistribuição dos HOWTOs.

 

Se você tem qualquer pergunta, por favor contacte Mark Grennan em.

 

1.4. Minhas Razões por escrever

 

Embora houvesse muitas discussões em comp.os.linux.* em cima do último ano sobre firewalling, eu achei difícil achar informações da qual eu precisava para o setup do firewall. A versão original deste HOWTO era útil mas ainda faltava muito. Eu espero que esta versão do HOWTO Firewall de David Rudder de a todo mundo informação que elas precisam para criar um firewall em horas, não em semanas.

 

Eu também sintia que devia devolver algo à comunidade do Linux.

 

1.5. TODO

 

· Algumas instruções para configuração de clientes

 

· Achando um servidor de Proxy UDP bom que trabalhe com o Linux

 

1.6. Mais Leituras adiante

 

· O NET-2 HOWTO

 

· O Ethernet HOWTO

 

· O Multiple Ethernet Mini HOWTO

 

· Networking with Linux

 

· O PPP HOWTO

 

· O Guia de TCP/IP Network Administrator's por O'Reilly and Associates

 

· A Documentação para o TIS Firewall Toolkit

 

O Sistema confiado em Informação (TIS) no web sites tem uma coleção grande de documentação de firewalls e material relacionado. http://www.tis.com / Também, estou trabalhando num projeto de segurança que estou chamando de Linux Secure. No Web site do Linux Secure estou juntando todas as informações, documentações e programas que você precisa para criar um Sistema de Linux confiável. Envie-me email se você gosta deste tipo de informação.

 

2. Compreendendo Firewalls

 

Um firewall é um termo usado para uma parte do carro. Em carros, os firewalls são objetos físicos que separam a máquina dos passageiros. O significado deles é proteger o passageiro no caso de fogo no motor do carro enquanto ainda o motorista têm acesso aos controles do carro.

 

Um firewall em computadores é um dispositivo que protege uma network privada da parte pública (ou internet como um todo). O computador de firewall, firewall "de agora em diante chamado", pode alcançar ambas network protegida e a internet. A network protegida não pode alcançar a internet, e a internet não pode alcançar os protegidos desta network.

 

Para alguém alcançar a internet de dentro da network protegida, deve dar um telnet para o firewall, e usar a internet de lá.

 

A forma mais simples de um firewall é um sistema de homed-dual. (um sistema com duas conexões de network) Se você pode CONFIAR EM TODOS os seus usuários, você pode simplesmente configurar o Linux (compile com forwarding/gatewaying de IP DESLIGADO!) e todo o mundo ira acessar. Eles poderão usar o login neste sistema através de telnet, usar o FTP, ler email, e usa qualquer outro serviço com que você conta. Com esta configuração, o único computador em sua network privada saberá qualquer coisa sobre o mundo externo é o firewall. O outro sistema em sua network protegida precisa de uma rota default.

 

Isto precisa de redeclarações. Para o firewall acima trabalhar VOCÊ TÊM QUE CONFIAR EM TODOS OS SEUS USUÁRIOS! Eu não recomendo isto.

 

2.1. Desvantagens com os Firewalls

 

O problema com a filtração de firewalls é dele inibir o acesso a sua network através da internet. Só serviços do sistema que tem acesso a filtros de passagem o poderão. Como alguns usuários do servidor de proxy acessão o login no firewall e então acessãor qualquer parte de sua network privada.

 

Também, alguns tipos novos de clientes de network que acessam diariamente. Quando eles querem você tem que achar um modo novo para permitir o acesso de controle antes de que estes serviços possam ser usados.

 

2.2. Tipos de Firewalls

 

Há dois tipos de firewalls.

 

1. IP ou Filtro de Firewalls - aquele bloco todo menos a network selecionada no tráfico.

 

2. Servidores de proxy - faz as conexões da network para você.

 

2.2.1. Flitrando IP em Firewalls

 

Um firewall que filtra trabalhos de IP ao nível de pacote. É projetado para o controle do fluxo de pacotes baseado no destino, porta e informação do tipo de pacote que contem em cada pacote.

 

Este tipo de firewall é muito seguro mas falta utilidades. Pode bloquear as pessoas de ter acesso ao sistema privado mas vai vetar o acesso a seus sistemas públicos ou a quem tem acesso do interior.

 

Filtros para firewalls são filtros absolutos. Até mesmo se você quer que alguém acesse de fora os seus servidores privados você não pode sem dar para todo o mundo o acesso para os servidores.

 

O Linux incluiu um pacote de software que filtra software no kernel começando com a versão 1.3.x.

 

2.2.2. Servidores de proxy

 

Servidores de proxy permitem o acesso há internet indiretamente pelo acesso ao firewall. O melhor exemplo de como trabalha é um telnet a um sistema e então um telnet de lá para outro. Só com um servidor de proxy o processo é automático. Quando você conecta a um servidor de proxy com o seu software de cliente, o servidor de proxy começa e o software cliente (proxy) passa os dados para você.

 

Servidores de proxy duplicam todas as comunicações que eles podem fazer e anota tudo o que fazemos.

 

A grande coisa sobre servidores de proxy é que eles são completamente seguros, quando configurados corretamente. Eles não permitem acessa-lo. Não há uma rota de IP direto.

 

3. Configurando um Firewall

 

3.1. Exigências de hardware

 

Para o nosso exemplo, o computador é um 486-DX66 com 16 meg de memória e uns 500 meg de partição para o Linux. Este sistema tem duas placas de rede uma conectada a nossa LAN privada e a outra conectada a uma LAN chamada de zona desmilitarizada (DMZ). O DMZ tem um roteador conectado a uma conexão para a internet.

 

Esta é uma configuração basica para um negócio. Você poderia usar uma placa de rede e um modem com PPP para a internet. O ponto é, o firewall têm que ter dois números de IP na network.

 

Eu sei que muitas pessoas têm LANs pequenas em casa com dois ou três computadores. Algo que você poderia considerar era por todos os seus modems num Linux encaixotado (talvez num velho 386) e conectando todos eles para a internet com balanceamento de linha. Com esta configuração quando uma única pessoa pede dados os modems dobram o processamento :-)

 

4. Software de Firewalling

 

4.1. Pacotes disponíveis

 

Se tudo o que você deseja é um filtro de firewall, você só precisa do Linux e do pacotes básicos de networking. Um pacote com o que poderia não vir na sua distribuição é a Ferramente de Administração de IP Firewall.

 

(IPFWADM) Vem de http://www.xos.nl/linux/ipfwadm/

 

Se você quer configurar um servidor de proxy você precisará destes pacotes.

 

1. SOCKS

 

2. TIS Firewall Toolkit (FWTK)

 

4.2. O TIS Firewall Toolkit vs SOCKS

 

O Sistema confiado em Informação (http://www.tis.com) publicou uma coleção de programas projetados para a facilitação de firewalling. Os programas fazem a mesma coisa basica que os pacotes de SOCKS, mas com uma estratégia diferente. Onde os SOCKS têm um programa que cobre todas as transações da internet, o TIS tem um programa para cada utilidade que deseja usar o firewall.

 

Para contrastar os dois, usaremos o exemplo para world wide web e de acesso por Telnet. Com o SOCKS, você monta um arquivo de configuração e um daemon. Por este arquivo de daemon, telnet e WWW são habilitados, como também qualquer outro serviço que você não incapacitou.

 

Com o toolkit de TIS, você monta um daemon para cada WWW e telnet, como também configura cada arquivo. Depois que você fizer isto, outro acesso de internet ainda é proibido explicitamente até que seja configurado. Se um daemon para uma utilidade específica não foi configurado (como o talk), há um daemon "plug-in", mas não é flexível, nem fácil de configurar, como as outras ferramentas.

 

Isto poderia parecer secundário, mas faz uma grande diferença. O SOCKS permite que você use algo malfeito. Como uma configuração pobre para o servidor de SOCKS, alguém de dentro poderia ganhar mais acesso para a internet que era originalmente pretendido. Com o toolkit da TIS, tanto o lado de dentro como o de fora somente as pessoas que o administrador permiti o acesso irão os ter.

 

SOCKS são mais fáceis de montar, mais fácil de compilar e permitem uma maior flexibilidade. O toolkit da TIS está mais seguro se você quer regular os usuários de dentro da sua network protegida. Ambos provêem absoluta proteção do exterior.

 

Eu cobrirei a instalação e a configuração de ambos.

 

5. Preparando o sistema do Linux

 

5.1. Compilando o Kernel

 

Comece com uma instalação nova de sua distribuição de Linux. (Eu usei RedHat 3.0.3 e os exemplos aqui estão baseado nesta distribuição).

 

Menos os software que você carregou para o seu sistema, e/ou os bugs de backdoors que podem introduzir problemas de segurança em seu sistema, assim carregue só um conjunto mínimo de aplicações.

 

Escolha um kernel estável. Eu usei o Kernel 2.0.14 do Linux para o meu sistema.

 

Assim esta documentação está baseado nestas condições.

 

Você precisa recompilar o kernel do Linux com as opções necessárias. Neste momento, você deveria ler o HOWTO KERNEL, o HOWTO Ethernet e o HOWTO NET-2 se você não o fez isto antes.

 

Aqui está o relatório que você precisa configurar para a network Eu vou usar o 'make config'

 

1. Debaixo da configuração Geral

a. Turn Networking Support ON

 

2. Debaixo das Opções de Networking

a. Turn Network firewalls ON

b. Turn TCP/IP Networking ON

c. Turn IP forwarding/gatewaying OFF (A MENOS QUE você deseje usar filtro de IP)

d. Turn IP Firewalling ON

e. Turn IP firewall packet loggin ON (isto não é requerido mas é uma idéia boa)

f. Turn IP: masquerading OFF (eu não estou cobrindo este assunto aqui.)

g. Turn IP: accounting ON

h. Turn IP: tunneling OFF

i. Turn IP: aliasing OFF

j. Turn IP: PC/TCP compatibility mode OFF

k. Turn IP: Reverse ARP OFF

l. Turn Drop source routed frames ON

 

3. Debaixo do suporte para device de network

a. Turn Network device support ON

b. Turn Dummy net driver support ON

c. Turn Ethernet (10 or 100Mbit) ON

d. Selecione a sua placa de rede

 

Agora você deve recompilar, reinstalar o kernel e reiniciar. Sua placa de rede devem mostrar as informações caso o seu boot tenha ocorrido com sucesso. Se não, revise os outros HOWTOs novamente até que esteja funcionando.

 

5.2. Configurando duas placas de redes

 

Se você tem duas placas de rede no seu computador, você provável irá precisar colocar uma declaração no append no seu arquivo de /etc/lilo.conf para reconhecimento do IRQ e endereço de ambas placas de rede. No meu lilo anexei a seguinte declaração:

 

append="ether=12,0x300,eth0 ether=15,0x340,eth1"

 

5.3. Configurando os Endereços da rede

 

Esta é a parte realmente interessante. Agora você tem algumas decisões para fazer. Desde que nós não queremos a internet para ter acesso a qualquer parte da nossa network privada, nós não precisamos usar endereços reais. Há vários endereços de internet definidos aparte para networks privadas. Porque todo mundo precisa demais endereços e porque estes endereços não podem cruzar a Internet eles são uma ótima escolha.

 

Destes, 192.168.2.xxx, serão configurados e nós os usaremos em nossos exemplos.

 

Seu firewall de proxy será um sócio de networks e assim pode passar os dados por ele para a network privada.

 

 

 

199.1.2.10 __________ 192.168.2.1

_ __ _ \ | | / _______________

| \/ \/ | \| Sistema |/ | |

/ Internet \--------| Firewall |------------| Workstation/s |

\_/\_/\_/\_/ |__________| |_______________|

 

 

Se você for usar um flitro de firewall você ainda podm usar estes números. Você precisará usar IP mascarading para fazer isto funcionar.

 

Com este processo o firewall remeterá os pacotes e os traduzira num IP "REAL" para dirigir-se então para a Internet.

 

Você tem que nomear o IP real para a placa de rede da network do lado da Internet (fora). E, nomear 192.168.2.1 para a placa de rede do lado de dentro. Este será o seu endereço de IP do proxy/gateway. Você pode nomear todas as outras máquinas na network protegida com algum número do alcance de 192.168.2.xxx. (192.168.2.2 até 192.168.2.254)

 

Desde que eu uso o Linux RedHat (Ei sujeitos, queiram me dar uma cópia de plugs? ;-) para configurar a network no momento do boot eu somei um arquivo 'ifcfg-eth1' no diretório de /etc/sysconfig/network-scripts. Este arquivo é lido durante o processo de boot para configurar a sua network e a tabela de rotas. Aqui esta o meu ifcfg-eth1 olhe ele;

 

#!/bin/sh

#>>>Device type: ethernet

#>>>Variable declarations:

DEVICE=eth1

IPADDR=192.168.2.1

NETMASK=255.255.255.0

NETWORK=192.168.2.0

BROADCAST=192.168.2.255

GATEWAY=199.1.2.10

ONBOOT=yes

#>>>End variable declarations

 

Você também pode usar este script para conectar automaticamente através de um modem o seu provedor. Olhe o script ipup-ppp.

 

Se você vai usar um modem para a sua conexão com a internet o seu endereço de IP de fora será nomeado pelo seu provedor ao se conectar-se.

 

5.4. Testando a sua network

 

Comece conferindo o ifconfig e o route. Se você tem duas placas de network seu ifconfig deve parecer-se com algo assim:

 

#ifconfig

lo Link encap:Local Loopback

inet addr:127.0.0.0 Bcast:127.255.255.255 Mask:255.0.0.0

UP BROADCAST LOOPBACK RUNNING MTU:3584 Metric:1

RX packets:1620 errors:0 dropped:0 overruns:0

TX packets:1620 errors:0 dropped:0 overruns:0

 

eth0 Link encap:10Mbps Ethernet HWaddr 00:00:09:85:AC:55

inet addr:199.1.2.10 Bcast:199.1.2.255 Mask:255.255.255.0

UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1

RX packets:0 errors:0 dropped:0 overruns:0

TX packets:0 errors:0 dropped:0 overruns:0

Interrupt:12 Base address:0x310

 

eth1 Link encap:10Mbps Ethernet HWaddr 00:00:09:80:1E:D7

inet addr:192.168.2.1 Bcast:192.168.2.255 Mask:255.255.255.0

UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1

RX packets:0 errors:0 dropped:0 overruns:0

TX packets:0 errors:0 dropped:0 overruns:0

Interrupt:15 Base address:0x350

 

e sua tabela de rotas deve ser assim:

#route -n

Kernel routing table

Destination Gateway Genmask Flags MSS Window Use Iface

199.1.2.0 * 255.255.255.0 U 1500 0 15 eth0

192.168.2.0 * 255.255.255.0 U 1500 0 0 eth1

127.0.0.0 * 255.0.0.0 U 3584 0 2 lo

default 199.1.2.10 * UG 1500 0 72 eth0

 

Nota: 199.1.2.0 é o lado de Internet deste firewall e 192.168.2.0 é o lado privado. Agora tente pingar a internet do firewall. Eu usava nic.ddn.mil como meu ponto de teste. Ainda é um bom teste, mas provou ser menos fidedigno do que eu tinha esperado. Se não funcionar no princípio, tente pingar outros lugares que não são conectados a sua LAN. Se isto não funcionar, então a sua configuração de PPP esta incorreta. Re-leia o HOWTO Net-2, e tente novamente.

 

Logo, tente pingar um host de dentro da network protegida do firewall. Todos os computadores devem ser capazes de pingar um ao outro. Se não, revise o HOWTO NET-2 novamente e trabalhe na network um pouco mais.

 

Então, tente o ping no endereço externo de firewall de dentro da network protegida. (NOTA: isto é nem todos os números IP 192.168.2.xxx.) Se você pode, então você não desligou o IP Forwarding. Tenha certeza que este é o modo que você quer. Se você deixou ligado você deve passar pela seção de Filtração de IP desde documento.

 

Agora tente pingar a internet por detrás do seu firewall. Use o mesmo endereço antes que usamos. (I.E. nic.ddn.mil) Novamente, se você tem o IP Forwarding desligado, isto não deve acontecer. Mas, se você tem o IP Forwarding, deve ocorrer.

 

Se o IP Forwarding estiver ligago e você estiver usando o endereço do IP "REAL" (não o 192.168.2.*) para a sua network privada, e você não puder pingar para a internet mas você puder pingar da internet ao seu firewall, cheque, se o seu sistema de roteamento não está removendo os pacotes do seu endereço da network privada. (Seu provedor pode ter que fazer isto para você).

 

Se você criou a sua network protegida em 192.168.2.*, então não podem ser removidos os pacotes de qualquer maneira. Se você saltou à frente e você já tem IP masquerading ligado, este teste deve funcionar.

 

Agora, você tem a sua configuração básica do sistema.

 

5.5. Segurança no Firewall

 

O firewall não é muito bom se permanecer aberto a ataques por um serviço novo. Um "sujeito" ruim poderia ganhar acesso para o firewall e modificar para as suas próprias necessidades.

 

Comece desligando qualquer serviço desnecessário. Olhe o arquivo /etc/inetd.conf. Este arquivo controla o que é chamado de "super servidor" super. Estes controles são um grupo de daemons do servidor e os começa quando eles são pedidos.

 

Definitivamente desligue o netstat, systat, tftp, bootp, e o finger. Para desligar um serviço, ponha # como o primeiro caráter da linha do serviço. Quando acabado, envie um SIG-HUP ao processo digitando "kill -HUP ", onde é o número de processo do inetd. Isto fará com que o inetd releia o seu arquivo de configuração (inetd.conf) e reinicia-lo.

 

Teste através do telnet a porta 15 do firewall, a porta do netstat. Se você acessar a saida do netstat, você não reiniou corretamente.

 

6. Configuração do filtro para IP (IPFWADM)

 

Para começar, você deveria ter o IP Forwarding ligado no seu kernel e o seu sistema deve ser reinicado e remetendo sempre o IP. Sua tabela de rotas deve apresentar os lugares e você deve ter acesso a tudo, ambos atráves da saida e pela entrada.

 

Mas, nós estamos construindo um firewall e assim nós precisamos começar desligado para que todo o mundo tem acesso.

 

No meu sistema eu criei várias scripts para configurar o firewall policiando o forwarding e contando o policiamento. Eu chamo os scripts dentro do /etc/rc.d assim o meu sistema é configurado no momento do boot.

 

Através do default do IP Forwarding o sistema no kernel do Linux remete tudo. Por causa disto, seu script de firewall deve começar negando acesso para tudo e enxaguando qualquer registro de da ultima vez que você redou. Este script fará este truque.

 

#

# setup para pacote IP Accounting and Forwarding

#

# Remetendo(Forwarding)

#

# O default é negando todos os serviços

ipfwadm -F -p deny

# Flush all commands

ipfwadm -F -f

ipfwadm -I -f

ipfwadm -O -f

 

Agora nós temos o último firewall. Nothing can get through. Você não deve ter alguma dúvida sobre os serviços que você precisa remeter estão aqui alguns exemplos que devem ser úteis.

 

# Forward email para o seu servidor

ipfwadm -F -a accept -b -P tcp -S 0.0.0.0/0 1024:65535 -D 192.1.2.10 25

 

# Forward email de conexões para a saída do servidor de email

ipfwadm -F -a accept -b -P tcp -S 196.1.2.10 25 -D 0.0.0.0/0 1024:65535

 

# Forward Web de conexões do seu Servidor de Web

/sbin/ipfwadm -F -a accept -b -P tcp -S 0.0.0.0/0 1024:65535 -D 196.1.2.11 80

 

# Forward Web de conexões para a saída do seu Servidor de Web

/sbin/ipfwadm -F -a accept -b -P tcp -S 196.1.2.* 80 -D 0.0.0.0/0 1024:65535

 

# Forward Trafico do DNS

/sbin/ipfwadm -F -a accept -b -P udp -S 0.0.0.0/0 53 -D 196.1.2.0/24

 

Você também poderia se interessar pela resposta do tráfico que vai para o seu firewall. Este script conta os pacote. Você pode somar uma linha ou responder por pacotes que vão para um único sistema.

 

# Flush the current accounting rules

ipfwadm -A -f

# Considerando os Accounting

/sbin/ipfwadm -A -f

/sbin/ipfwadm -A out -i -S 196.1.2.0/24 -D 0.0.0.0/0

/sbin/ipfwadm -A out -i -S 0.0.0.0/0 -D 196.1.2.0/24

/sbin/ipfwadm -A in -i -S 196.1.2.0/24 -D 0.0.0.0/0

/sbin/ipfwadm -A in -i -S 0.0.0.0/0 -D 196.1.2.0/24

 

Se tudo o que você quis era um filtro para o firewall você pode parar aqui. Desfrute :-)

[Shivans 0]

Howto - Servidor proxy

 

 

7. Instalando o Servidor de Proxy TIS

 

7.1. Buscando o software

 

O TIS FWTK se encontra em ftp://ftp.tis.com/.

 

Não cometa o mesmo engano que eu fiz. Quando você esta nos arquivos de ftp do TIS, LEIA OS README's. O fwtk do TIS é colocado em diretório escondido no servidor deles.

 

TIS requer que você envie um email para fwtk-request@tis.com com a palavra SEND no corpo da mensagem para saber o nome do diretório escondido. Não é necessário nenhum assunto na mensagem. O sistema deles verá a correspondência e então você receberá o nome do diretório (bom durante 12 horas) para baixar o arquivo.

 

Enquanto eu estou escrevendo o TIS está lançando a versão 2.0 (beta) do FWTK.

 

Esta versão parece compilar bem (com alguns exceções) e tudo está funcionando para o meu uso. Esta é a versão que eu estarei cobrindo aqui. Quando eles lançar o código final eu atualizarei o HOWTO.

 

Instale o FWTK, crie um diretório fwtk-2.0 no seu diretório /usr/src. Mova a sua cópia do FWTK (fwtk-2.0.tar.gz) para este diretório e descompacta ele (tar zxf fwtk-2.0.tar.gz).

 

O FWTK não faz proxy SSL de documentos Web mas há um complemento para isto escrito por Jean-Christophe Touvet. É encontra-se no ftp://ftp.edelweb.fr/pub/contrib/fwtk/ssl-gw.tar.Z. Touvet não faz apóio sobre o código.

 

Eu estou usando uma versão modificada que inclui acesso para o Secure Netscape e o servidores de notícias escritos por Eric Wedel. Está disponível em

 

ftp://mdi.meridian-data.com/pub/tis.fwtk/...w/ssl-gw2.tar.Z.

 

Em nosso exemplo eu usarei a versão do Eric Wedel.

 

Instale ele, simplesmente crie um diretório de ssl-gw em seu diretório /usr/src/fwtk-2.0 e o ponha lá.

 

Quando eu instalei este gateway ele requereu algumas mudanças antes de compilar com o resto do toolkit.

 

A primeira mudança era ao arquivo de ssl-gw.c. Eu achei que não precisava incluir este arquivo.

 

Defined(__linux de #if)

#include

#endif

 

Segundo é que não veio com um Makefile. Eu copiei um outro do diretório do gateway e substitui o nome do gateway por ssl-gw.

 

7.2. Compilando o TIS FWTK

 

Versão 2.0 do FWTK compilou fácil em relação as mais velhas versões. Eu ainda achei várias coisas que precisaram ser mudadas antes de que a versão BETA compilace completamente. Espero ansiomente estas mudanças sejam feitas na versão final.

 

Arrume ele, comece mudando o diretório de /usr/src/fwtk/fwtk contido no arquivo Makefile.config.linux em cima do arquivo Makefile.config NÃO RODE o FIXMAKE. As instruções lhe dizem que o execute. Se você o faz o arquivo makefile quebra em relação a cada diretório.

 

Eu tive uma dificuldade com o fixmake. O problema é o script do sed adicione um '.' e '' para a linha que contem o Makefile. Estes é o trabalho no script do sed.

 

sed 's/^include[ ]*\([^ ].*\)/include \1/' $name .proto > $name

 

Logo nós precisamos editar o arquivo de Makefile.config. Há duas mudanças que você pode precisar fazer.

 

O autor fixou o diretório de fonte para o diretório home dele. Nós iremos compilar o nosso código em /usr/src assim você deve mudar a variável FWTKSRCDIR para refletir isto.

 

FWTKSRCDIR=/usr/src/fwtk/fwtk

 

Segundo, pelo menos alguns sistema do Linux o banco de dados de gdbm. O Makefile.config está usando dbm. Você pode precisar mudar isto. Eu tive que fazer para RedHat 3.0.3.

 

DBMLIB=-lgdbm

 

A última dificuldade está no x-gw. O bug na versão BETA é no código do socket.c. Configure isto removendo estas linhas de código.

 

#ifdef SCM_RIGHTS /* 4.3BSD Reno and later */

+ sizeof(un_name->sun_len) + 1

#endif

 

Se você somar o ssl-gw ao seu fonte FWTK no diretório que você precisa some na lista de diretório no Makefile.

 

DIRS= smap smapd netacl plug-gw ftp-gw tn-gw rlogin-gw http-gw x-gw ssl-gw

Agora rode-o.

 

7.3. Instalando o TIS FWTK

 

Rode o make install.

 

O diretório de instalação default é /usr/local/etc. Você pode mudar isto (eu não o fiz) para um diretório mais seguro. Eu escolhi mudar o acesso a este diretório para 'chmod 700'.

 

Depois agora resta é configurar o firewall.

 

7.4. Configurando o TIS FWTK

 

Agora é que realmente começa a diversão. Nós temos que ensinar o sistema a chamar os novos serviços e criar uma tabela de controles.

 

Eu não vou tentar ré-escrever o manual do TIS FWTK aqui. Eu mostrarei a você a colocação de como estou trabalhado e explico os problemas que ocorreram quando eu fui rodar eles.

 

Há três arquivos que compõem estes controles.

 

· /etc/services

 

· Chama um serviço para a porta do sistema aberta.

 

· /etc/inetd.conf

 

· Chama o programa inetd que define quando alguém bate em uma porta de serviço.

 

· /usr/local/etc/netperm-table

 

· Chama os serviços de FWTK que permitir e negam os serviços.

 

Para chamar as funções do FWTK, você precisa edita os arquivos acima. Editando os arquivos de serviços sem o arquivo inetd.conf ou netperm-table configurados corretamente o seu sistema pode ficar inacessível.

 

7.4.1. O arquivo de netperm-table

 

Estes controles do arquivo podem ter acesso aos serviços do TIS FWTK. Você deva pensar no tráfico que é usar o firewall de ambos os lados.

 

Pessoas de fora da sua network deveriam se identificar antes de ganhar acesso, mas as pessoas de dentro de sua network poucos poderiam ser permitidos.

 

Assim as pessoas podem se identificar, o firewall usa um programa chamado authsrv para manter um banco de dados de IDs do usuário IDs e a password. A seção de autenticação do netperm-table controla onde o banco de dados é mantem quem pode ter acesso.

 

Eu tive alguma dificuldade de fechar o acesso para este serviço. Note a linha premit-host Eu usei um '*' para dar ha todo mundo acesso. A colocação correta para esta linha é '' authsrv: localhost de premit-host localhost se você quer trabalhar com isto.

 

#

# Proxy configuration table

#

# Authentication server and client rules

authsrv: database /usr/local/etc/fw-authdb

authsrv: permit-hosts *

authsrv: badsleep 1200

authsrv: nobogus true

# Client Applications using the Authentication server

*: authserver 127.0.0.1 114

 

Inicializar o banco de dados, su para o root, e executar ./authsrv no Diretório do /var/local/etc para criar o registro de usuário administrativo. Aqui é uma sessão de amostra.

 

Leia a documentação de FWTK para aprender a somar os usuários e grupos.

 

#

# authsrv

authsrv# list

authsrv# adduser admin "Auth DB admin"

ok - user added initially disabled

authsrv# ena admin

enabled

authsrv# proto admin pass

changed

authsrv# pass admin "plugh"

Password changed.

authsrv# superwiz admin

set wizard

authsrv# list

Report for users in database

user group longname ok? proto last

------ ------ ------------------ ----- ------ -----

admin Auth DB admin ena passw never

authsrv# display admin

Report for user admin (Auth DB admin)

Authentication protocol: password

Flags: WIZARD

authsrv# ^D

EOT

#

 

A porta de controle do telnet (tn-gw) são dianteiros e o primeiro você deve montar.

 

Eu permito que o host de dentro da network privada possa passar em meu exemplo, sem se autenticar. (permit-hosts 19961.2.* -passok) Mas, qualquer outro usuário tem que entrar no ID do usuário e com a password para usar o proxy. (permit-hosts * -auth)

 

Eu também permito que um outro sistema (196.1.2.202) tenha acesso ao meu firewall diretamente sem passar pelo firewall. As duas linhas inetacl- in.telnetd do in.telnetd faz isto. Eu explicarei como estas linhas são chamadas posteriormente.

 

O intervalo de Telnet deveria ser mantido pequeno.

 

# telnet gateway rules:

tn-gw: denial-msg /usr/local/etc/tn-deny.txt

tn-gw: welcome-msg /usr/local/etc/tn-welcome.txt

tn-gw: help-msg /usr/local/etc/tn-help.txt

tn-gw: timeout 90

tn-gw: permit-hosts 196.1.2.* -passok -xok

tn-gw: permit-hosts * -auth

#Só o Administrador pode acessar o telnet diretamente para o Firewall

pela Porta 24 netacl-in.telnetd:

 

permit-hosts 196.1.2.202 -exec /usr/sbin/in.telnetd

 

Os r-comandos trabalham do mesmo modo como o telnet.

 

# rlogin gateway rules:

rlogin-gw: denial-msg /usr/local/etc/rlogin-deny.txt

rlogin-gw: welcome-msg /usr/local/etc/rlogin-welcome.txt

rlogin-gw: help-msg /usr/local/etc/rlogin-help.txt

rlogin-gw: timeout 90

rlogin-gw: permit-hosts 196.1.2.* -passok -xok

rlogin-gw: permit-hosts * -auth -xok

# Somente o administrador pode acessar o telnet diretamente do firewall via Porta

netacl-rlogind: permit-hosts 196.1.2.202 -exec /usr/libexec/rlogind -a

 

Você não deve deixar que ninguém tenha acesso ao seu firewall diretamente e isso inclui o FTP assim não põe um servidor de FTP, no seu firewall.

 

Novamente, a linha de permit-hosts permite que qualquer um na network protegida acesse livremente a Internet e tudos os outros têm que autenticar eles. Eu incluí um arquivo de logs de envio e recebimento no meu controle. (-log { retr stor })

 

O intervalo do ftp controla quanto tempo leva para derrubar um conexão péssima como também quanto tempo uma conexão ficará aberto com nenhuma atividade.

 

# ftp gateway rules:

ftp-gw: denial-msg /usr/local/etc/ftp-deny.txt

ftp-gw: welcome-msg /usr/local/etc/ftp-welcome.txt

ftp-gw: help-msg /usr/local/etc/ftp-help.txt

ftp-gw: timeout 300

ftp-gw: permit-hosts 196.1.2.* -log { retr stor }

ftp-gw: permit-hosts * -authall -log { retr stor }

 

Web, gopher e browser baseado em ftp são controlados pelo http-gw. As primeiras duas linhas criam um diretório para armazenar documentos do ftp e do web de como eles estão atravessando o firewall. Eu faço estes arquivos na raiz e pôs o em um diretório acessível só através da raiz.

 

A conexão de Rede deve ser mantida pequena. Controlar quanto tempo o usuário espere em uma conexão ruim.

 

# www and gopher gateway rules:

http-gw: userid root

http-gw: directory /jail

http-gw: timeout 90

http-gw: default-httpd www.afs.net

http-gw: hosts 196.1.2.* -log { read write ftp }

http-gw: deny-hosts *

 

O ssl-gw é uma passagem real como qualquer outra porta. Seja cuidadoso com isto. Neste exemplo eu permito que qualquer um de dentro da network protegida possa se conectar a qualquer servidor de fora da network menos nos endereços 127.0.0.* e 192.1.1.* e então só em portas 443 até 563. Portas 443 até 563 são portas conhecidas do SSL.

 

# ssl gateway rules:

ssl-gw: timeout 300

ssl-gw: hosts 196.1.2.* -dest { !127.0.0.* !192.1.1.* *:443:563 }

ssl-gw: deny-hosts *

 

Aqui é um exemplo de como usar um plug-gw permitir que as conexões para um servidor de news. Neste exemplo eu permito que qualquer um dentro da network protegida possa conectar a só um sistema e só para isto é a porta de news.

 

A segunda linha permite ao servidor de notícias passar os seus dados através da network protegida.

 

Porque a maioria dos clientes espera ficar conectados enquanto o usuário leia as notícias, o intervalo para um servidor de news deve ser longo.

 

# NetNews Pluged gateway

plug-gw: timeout 3600

plug-gw: port nntp 196.1.2.* -plug-to 199.5.175.22 -port nntp

plug-gw: port nntp 199.5.175.22 -plug-to 196.1.2.* -port nntp

 

A porta do finger é simples. Qualquer um de dentro da network protegida deve logar-se primeiro e então nós lhes permitimos usar o programa finger no firewall. Se não é enviado uma mensagem.

 

# Enable finger service

netacl-fingerd: permit-hosts 196.1.2.* -exec /usr/libexec/fingerd

netacl-fingerd: permit-hosts * -exec /bin/cat /usr/local/etc/finger.txt

 

Eu não tenho configuração de Correio e serviços de X-window assim eu não estou incluindo estes exemplos. Se qualquer um tem um exemplo em funcionamento, por favor envia-me um email.

 

7.4.2. O arquivo de inetd.conf

 

Aqui esta um arquivo de /etc/inetd.conf completo. Tudos serviços têm um comentário por fora. Eu incluí o arquivo completo para mostrar como desligar tudo, e como também as configurações para os novos serviços do firewall.

 

#echo stream tcp nowait root internal

#echo dgram udp wait root internal

#discard stream tcp nowait root internal

#discard dgram udp wait root internal

#daytime stream tcp nowait root internal

#daytime dgram udp wait root internal

#chargen stream tcp nowait root internal

#chargen dgram udp wait root internal

#FTP firewall gateway ftp-gw stream tcp nowait.400 root /usr/local/etc/ftp-gw ftp-gw

#Telnet firewall gateway telnet stream tcp nowait root /usr/local/etc/tn-gw

/usr/local/etc/tn-gw

# local telnet services telnet-a stream tcp nowait root /usr/local/etc/netacl in.telnetd

# Gopher firewall gateway gopher stream tcp nowait.400 root /usr/local/etc/http-gw /usr/local/etc/http-gw

# WWW firewall gateway http stream tcp nowait.400 root /usr/local/etc/http-gw /usr/local/etc/http-gw

# SSL firewall gateway ssl-gw stream tcp nowait root /usr/local/etc/ssl-gw ssl-gw

# NetNews firewall proxy (using plug-gw) nntp stream tcp nowait root /usr/local/etc/plug-gw plug-gw nntp

#nntp stream tcp nowait root /usr/sbin/tcpd in.nntpd

# SMTP (email) firewall gateway

#smtp stream tcp nowait root /usr/local/etc/smap smap

#

# Shell, login, exec and talk are BSD protocols.

#

#shell stream tcp nowait root /usr/sbin/tcpd in.rshd

#login stream tcp nowait root /usr/sbin/tcpd in.rlogind

#exec stream tcp nowait root /usr/sbin/tcpd in.rexecd

#talk dgram udp wait root /usr/sbin/tcpd in.talkd

#ntalk dgram udp wait root /usr/sbin/tcpd in.ntalkd

#dtalk stream tcp waut nobody /usr/sbin/tcpd in.dtalkd

#

# Pop and imap mail services et al

#

#pop-2 stream tcp nowait root /usr/sbin/tcpd ipop2d

#pop-3 stream tcp nowait root /usr/sbin/tcpd ipop3d

#imap stream tcp nowait root /usr/sbin/tcpd imapd

#

# The Internet UUCP service.

#

#uucp stream tcp nowait uucp /usr/sbin/tcpd /usr/lib/uucp/uucico -l

#

#Serviço de Tftp é provido principalmente para boot. Na maioria dos locais

#só corra quando uma máquinas que agem como "servidor de boot". Não descomente

#isto a menos que você *precise* disto.

#

#tftp dgram udp wait root /usr/sbin/tcpd in.tftpd

#bootps dgram udp wait root /usr/sbin/tcpd bootpd

#

#finger, systat e netstat distribuem informação de usuário que pode ser

#potencialmente valiosas "para quebra do sistema". Muitos locais escolhem incapacitar

#alguns ou tudos estes serviços para melhora segurança.

#

#cfinger é para GNU troque que não está atualmente em uso no RHS Linux

#

finger stream tcp nowait root /usr/sbin/tcpd in.fingerd

#cfinger stream tcp nowait root /usr/sbin/tcpd in.cfingerd

#systat stream tcp nowait guest /usr/sbin/tcpd /bin/ps -auwwx

#netstat stream tcp nowait guest /usr/sbin/tcpd /bin/netstat -f inet

#

# Serviço para sincronização do relógio.

#

#time stream tcp nowait root /usr/sbin/tcpd in.timed

#time dgram udp wait root /usr/sbin/tcpd in.timed

#

# Authentication

#

auth stream tcp wait root /usr/sbin/tcpd in.identd -w -t120

authsrv stream tcp nowait root /usr/local/etc/authsrv authsrv

#

# End of inetd.conf

 

7.4.3. O arquivo de /etc/services

 

Isto é aonde tudo começa. Quando um cliente conecta o firewall isto conecta em uma porta conhecido (menos em 1024). Por exemplo o telnet conecta na porta 23. O deamon do inetd ouve esta conexão e olha para o nome deste no arquivo de /etc/services. E então chamada o programa definido no nome do arquivo /etc/inetd.conf.

 

Alguns dos serviços que nós estamos criando normalmente não são no arquivo /etc/services. Você pode nomear alguns deles a qualquer porta que você quer.

 

Por exemplo, eu nomeei o telnet do administrador para porta(telnet-a) 24. Você poderia nomear isto para aportar 2323 se você desejar. Para o administrador (VOCÊ) conectar diretamente ao firewall você vai precisar que o telnet não acesse 24 nem 23 e se você configurar o seu arquivo netperm-table, como eu fiz, você só será capaz de dentro da sua network protegida.

 

telnet-a 24/tcp

ftp-gw 21/tcp # this named changed

auth 113/tcp ident # User Verification

ssl-gw 443/tcp

 

8. O Servidor de Proxy do SOCKS

 

8.1. Configurando um Servidor de Proxy

 

O servidor de proxy do SOCKS está disponível em ftp://sunsite.unc.edu/pub/Linux/system/Ne...sc/socks-linux- src.tgz. Também há um exemplo de config dentro deste diretório chamado de "socks-conf". Descompacte e utilizar o tar no arquivo em um diretório do seu sistema, e siga as instruções em como instalar. Eu tive alguns problemas quando eu fiz isto. Tenha certeza que seu Makefiles estão corretos.

 

Uma coisa importante para notar é que o servidor de proxy precisa ser anexado no /etc/inetd.conf. Você tem que anexar a seguinte linha:

 

socks stream tcp nowait nobody /usr/local/etc/sockd sockd

 

avisa ao servidor para roda-lo quando pedido.

 

8.2. Configurando o Servidor de Proxy

 

Os programas SOCKS precisam de dois arquivos de configuração separados. Um conta o acesso permitido, e um dirigi os pedidos apropriados para o servidor de proxy. O arquivo de acesso deve ser colocado no servidor. O arquivo de roteamento deve ser colocado em toda máquina Un*x. O DOS e, presumivelmente, computadores Macintosh farão o seu próprio roteamento.

 

8.2.1. O Arquivo de Acesso

 

Com o socks4.2 Beta, o arquivo de acesso é chamado de "sockd.conf". Deve conter 2 linhas, uma de permição(permit) e um de linha de negação(deny). Cada linha terá três entradas:

 

· O Identifier (permit/deny)

 

· O endereço do IP

 

· O modificador de endereço

 

O identifier é o que permite ou nega. Você deve ter ambos um linha de permição e um de negação.

 

O endereço IP é formado de quatro byte de enreçamento de IP típico de anotação. I.E. 192.168.2.0.

 

O modificador de endereço também é um IP típico que envia quatro número de byte. Funciona como um netmask. Verefique este número para ser 32 bits (1s ou 0s). Se o bit é um 1, o bit correspondente do endereço que isto está conferindo tem que emparelhar o bit correspondente no campo do endereço IP. Por exemplo, se a linha é:

 

permit 192.168.2.23 255.255.255.255

 

permitirá que somente o endereço IP se emparelhar com todo o bit em 192.168.2.23, isto é, somente 192.168.2.3. A linha:

 

permit 192.168.2.0 255.255.255.0

 

permita que todo número dentro de grupo 192.168.2.0 até

 

192.168.2.255, a Classe C inteira do domínio. Você não deve ter a seguinte linha:

 

permit 192.168.2.0 0.0.0.0

 

como isto permitirá todos os endereço, indiferentemente.

 

Assim, primeiro permite todo endereço que você quer permitir, e então negue o resto. Permiti que todo mundo no domínio 192.168.2.xxx, com a seguintes linhas:

 

permit 192.168.2.0 255.255.255.0 deny 0.0.0.0 0.0.0.0

 

configure corretamente. Note que o primeiro "0.0.0.0" na linha de negação. Com um modificador de 0.0.0.0, o IP se dirigem ao campo não se importando. Todos os 0's é a norma porque é fácil de digitar.

 

Mais de uma entrada de cada é permitido.

 

Também podem ser concedidos a usuários específicos ou podem ser negados acesso. Isto é via a autenticação do ident. Nem todos os sistemas apóiam o ident e incluindo o Trumpet Winsock, assim eu não irei mostra isto. A documentação do socks é bastante adequado neste assunto.

 

8.2.2. O Arquivo de roteamento

 

O arquivo de rotemaneto no SOCKS é chamado probremente de "socks.conf". Eu digo "chamado pobremente" porque é parecido com o nome do arquivo de acesso isto é fácil para obter duas confusões.

 

O arquivo de roteamento é chamado para os clientes do SOCKS quando usa o socks e quando não. Por exemplo, em nossa network, 192.168.2.3 não vai precisar usar o socks para falar com 192.168.2.1, firewall. Tem uma conexão direta por Ethernet. Define 127.0.0.1, o loopback, automaticamente. Claro que você não precisa de SOCKS para acessar a você mesmo.

 

Há três entradas:

 

· negação (deny)

 

· direct

 

· Sockd

 

Negue os acessos para o SOCKS quando rejeitar um pedido. Esta entrada tem o mesmo três campos como em sockd.conf, identificador, endereço e modificador.

 

Geralmente, desde que isto também seja para o sockd.conf, o arquivo de acesso, o campo de modificador é fixado em 0.0.0.0. Se você quer impedir você pode chamar de qualquer lugar, você pode fazer isto aqui.

 

A entrada direct conta quais são os endereços que não usaram o socks. Estes são todos os endereços que podem ser alcançados sem o servidor de proxy. Novamente nós temos os três campos, identificador, endereço e modificador. Nosso exemplo seria

 

direct 192.168.2.0 255.255.255.0

 

Indo direto assim a qualquer parte de nossa network protegida. A entrada do sockd conta ao computador que o host tem o servidor de daemon de socks. A sintaxe é:

 

sockd @=

 

Note a entrada @=. Isto permite lhe definir os endereços de IP de um lista de servidores de proxy. Em nosso exemplo, nós usamos somente um servidor de proxy. Mas, você pode ter muitos para permitir uma maior carga e para a redundância em caso de fracasso.

 

O endereço de IP e campos do modificador trabalham igual como nos outros exemplos. Você tem que especificar quais os endereços que vão poder acessar. 6.2.3. DNS por detrás de um Firewall.

 

Configurar um Serviço de Nomes de Domínio por detrás um firewall é um tarefa relativamente simples. Você precisa montar o DNS somente na máquina com o firewall. Então, definir cada máquina atrás do firewall para usar este DNS.

 

8.3. Trabalhando Com um Servidor de Proxy

 

8.3.1. Unix

Para ter suas aplicações trabalhando com o servidor de proxy, eles precisam ter o "sockified". Você precisará de dois telnets diferente, um para acessar a comunicação, e um para comunicação pelo servidor de proxy. O SOCKS vem com instruções de como definir um programa SOCKify, como também vários programas de pre-SOCKified. Se você usa a versão de SOCKified para acessar algum direct, o SOCKS trocarão automaticamente um pelo outra versão para você. Por causa disto, nós queremos mencionar novamente que todos os programas em nossa network protegida é substituida com os programas do SOCKified. "finger" se torna "finger.orig , "telnet" se torna "telnet.orig", etc.

 

Você tem que dizer ao SOCKS sobre cada um destes no arquivo de include/socks.h.

 

Certos programas acessarão o roteamento e o sockifying nisto. O Netscape é um deles. Você pode usar um servidor de proxy dentro do Netscape com entradas no endereço do servidor (192.168.2.1 em nosso caso) nos campos de Socks dentro do Proxy. Cada aplicação precisará de pelo menos um pouco de arrumação embora de como acessar um servidor de proxy.

 

8.3.2. MS Windows com o Trumpet Winsock

 

O Trumpet Winsock vem embutido com capacidades para oe servidor de proxy. No menu de "setup", entre o endereço IP do servidor, e os endereços de todo os computadores que acessam diretamente. O Trumpet define todos os pacotes de inicialização.

 

8.3.3. Acessando um Servidor para usar pacotes com UDP

 

O SOCKS trabalha somente com pacotes do TCP, e não UDP. Isto faz com que prejudique em muitas utilizações. Muitos programas úteis, como o talk, o Archie, use o UDP. Há um pacote projetadou para ser usado com um servidor proxy para pacotes de UDP chamado UDPrelay, por Tom Fitzgerald, fitz@wang.com. Infelizmente, na hora deste trabalho, ele ainda não é compatível com o Linux.

 

8.4. Desvantagens com o Servidores de Proxy

 

O servidor de proxy é, acima de tudo, um dispositivo de segurança. Usando para acessar a internet e aumentar os endereços de IP limitados terá muitas desvantagens. Um servidor de proxy permitirá maior acesso de dentro da sua network protegida para o exterior, mas manterá o interior completamente inacessesivel do exterior. Isto significa que nenhum servidor, usará conexões de talk ou o archie, ou acessar aos computadores interiores. Estas desvantagens poderiam parecer leves, mas pensa do seguinte modo:

 

· Que você deixou um relatório que você está fazendo em seu computador dentro de um network protegida com firewall. Você está em casa, e decide que você gostaria de revisar. Você não pode. Você não pode alcançar o seu computador porque está atrás de um firewall. Você tenta acessar no firewall primeiro, mas então todo mundo tem o acesso do servidor de proxy, e ninguém, montou uma conta para você.

 

· Que sua filha vai para faculdade. Você quer enviar um email para ela. Você tem algumas coisas privadas para falar, e teria seu mail enviado diretamente da sua máquina. Você confia em no seu administrador de sistema completamente, mas ainda, este é um mail privado.

 

· A inabilidade para usar pacotes de UDP representa uma desvantagem grande com o servidores de proxy. Eu imagino outras capacidades de UDP que estarão vindo brevemente.

 

O FTP causa outro problema com um servidor de proxy. Se você usar um ls, o servidor de FTP abre uma cova na máquina de cliente e envia a informação. Um servidor de proxy não permiti isto, assim o FTP não trabalha particularmente.

 

E, servidores de proxy rodam lentamente. Por causa do overhead, quase todos os pedidos necessitam de acesso rapidamente.

 

Basicamente, se você tem um endereço IP, e você não está preocupado com a segurança, não use firewall e/ou servidores de proxy. Se você não tem um endereço de IP, mas você também não esta preocupado com a segurança, você também pode querer olhar sobre emluador de IP, como o Term, Slirp ou TIA. O Term está disponível no ftp://sunsite.unc.edu, Slirp esta disponível em ftp://blitzen.canberra.edu.au/pub/slirp, e TIA esta disponível em marketplace.com. Estes pacotes rodam mais rapidos, permiti conexões melhores, e provê um nível maior de acessos para dentro da network da internet. Servidores de proxy são bons para cadeias que têm muitos hosts que querem conectar a internet voando, com uma configuração e pouco trabalho depois.

 

9. Configurações avançadas

 

Há uma configuração que eu gostaria de revisar antes de acabar este documento. Eu há pouco esbocei suficientemente provavelmente bastará para a maioria das pessoas. Porém, eu penso que o próximo esboço mostrará uma configuração mais avançada que pode clarear algumas perguntas. Se você tiver perguntas além do que eu há pouco cobri, ou há está interessado na versatilidade de servidores de proxy e firewalls, prosseguida lendo.

 

9.1. Uma grande network com ênfase na segurança

 

Por exemplo, digamos que você seja o líder de millisha e você quer uma network local. Você tem 50 computadores e um subnet de 32 (5 bits) numeros de IP.

 

E você precisa de vários níveis de acesso dentro de sua network porque você diz para os seus seguidores coisas diferentes. Então, você vai precisar proteger certas partes da sua network do resto.

 

Os níveis são:

 

1. O nível externo. Este é o nível para o que é mostrado para todo mundo. todo o mundo. Aqui é aonde você divulga e delira para adquirir os novos voluntários.

 

2. Tropa. Este é o nível das pessoas além do que adquiriram do nível externo. Aqui é onde você os ensina sobre o governo demôniaco e como fazer bombas.

 

3. Mercenário. Aqui é onde são mantidos realmente os planos. Neste nível é armazenado toda a informação em como o 3º governo mundial vai assumir o mundo, seus planos envolvendo o Newt Gingrich, a Cidade de Oklahoma, lown se preocupam produtos e que realmente é armazenado e cabe nesta área 51.

 

9.1.1. A Configuração da Network

 

Os números de IP são organizados como:

 

· O número 1 é o 192.168.2.255 que é o broadcast e não é utilizável.

 

· São alocados 23 dos 32 endereços de IP para 23 máquinas que serão acessível a internet.

 

· 1 IP extra vai para uma linux naquela cadeia

 

· 1 extra vai para um linux diferente naquela cadeia.

 

· 2 IP #'s vão para o roteador

 

· 4 permanecem, menos os que são determinados domínio nomeiados como paul, ringo, john, e george, só para confundir as coisas um pouco.

 

· As networks protegidas têm os endereços 192.168.2.xxx

 

Então, são construídas duas networks separadas, cada uma quartos diferentes. Elas são roteadas por Ethernet de infra-vermelho de forma que são completamente invisíveis para o quarto externo. Por sorte, o funcionamento de ethernet de infra-vermelho há pouco funcionam como uma ethernet normal.

 

Estas networks são cada conectados a um dos linux com um endereço extra de IP. Há um servidor de arquivo que conecta as duas networks protegidas. Isto porque os planos por assumir o mundo envolvem algumas das Tropas mais altas. O servidor de arquivo assegura o endereço 192.168.2.17 para a Network da tropa e 192.168.2.23 para a network Mercenária. Elas tem IP diferente que acessam porque tem que ter placas deEthernet diferentes. O IP Forwarding está desligado.

 

IP Forwarding em ambas os Linux também estão desligados. O roteador não vai por pacotes que destinaram para 192.168.2.xxx a menos que explicitamente contasse para fazer isto, assim a internet não podera entrar. A razão para IP Forwarding estar desligado aqui é de forma que os pacotes da Network da Tropa não podeça alcançar a network Mercenária, e vica-versa.

 

O servidor de NFS também pode ser definido aqui para oferecer arquivos diferentes para as networks diferentes. Isto pode ser feito à mão, e um pouco de artifícios com vínculos simbólicos pode fazer isto de forma que os arquivos comuns pode ser compartilhados com todos. Usando esta ligação e outra placa de ethernet podemos oferecer um servidor de arquivos para todas as três networks.

 

9.1.2. A Configuração do Proxy

 

Agora, desde que todos os três níveis querem poder monitorar a network para os próprios propósitos desviados, toda as três necessitam ter acesso certo. A network externa é conectada diretamente na internet, assim nós não temo que fazer configuração dos servidores de proxy aqui. A netowrks dos Mercenário e da Tropa estão atrás de firewalls, assim é necessário montar o servidor de proxy.

 

Ambas as cadeias serão muito semelhantemente na configuração. Ambas têm o mesmo Endereços de IP nomeadas nelas. Eu defini vários parâmetros, só fazer isto mais interessante.

 

1. Ninguém pode usar o servidor de arquivo para acesso a internet. Isto expõe o servidor de arquivo para vírus e outras coisas sórdidas, e é bastante importante, assim se for fora dos limites.

 

2. Nós não permitir-mos o acesso de tropa ao World Wide Web. Eles estão em treinando, e este tipo de poder de recuperação de informação poderia danificar o aprendizado.

 

Assim, o arquivo do sockd.conf arquivam no linux da Tropa terá esta linha:

 

deny 192.168.2.17 255.255.255.255

 

e na máquina Mercenária:

 

deny 192.168.2.23 255.255.255.255

 

E, no linux da Tropa terá esta linha

 

deny 0.0.0.0 0.0.0.0 eq 80

 

Isto diz para negar o acesso para todas as máquinas que tentam acessar a porta igual (eq) a 80, a porta de http. Isto ainda permitirá todos os outros serviços, só neguando o acesso ao Web.

 

Então, ambos os arquivos terão:

 

permit 192.168.2.0 255.255.255.0

 

permiti que todos os computadores na network 192.168.2.xxx pode usar o servidor de proxy com exceção desses que já foram negados (ie. o servidor de arquivo e o acesso a Web da network da Tropa).

 

O arquivo de sockd.conf da Tropa será assim:

 

deny 192.168.2.17 255.255.255.255

deny 0.0.0.0 0.0.0.0 eq 80

permit 192.168.2.0 255.255.255.0

 

e o arquivo do Mercenário será como:

 

deny 192.168.2.23 255.255.255.255

permit 192.168.2.0 255.255.255.0

Isto deve configurar tudo corretamente. Cada network está isolada adequadamente, com a quantidade formal de interação. Todo o mundo deve estar contente.

 

Agora, assuma o mundo!

[Shivans 0]

Montando uma Rede

 

 

Se você tem dois ou mais computadores, provavelmente teria a vida facilitada se os colocasse em rede. As vantagens são muitas e você só tem a ganhar. É possível compartilhar impressoras, pastas e HDs inteiros, CD-ROMs, Scanners e até a conexão com a Internet, veja só:

 

Compartilhamento de dispositivos: se alguma máquina não possuir um periférico, como impressora, CD-ROM, zip drive, scanner, e outros, poderá utilizar o dispositivo desejado, desde que disponível em algum outro computador da rede.

 

Compartilhamento de recursos: será possível acessar ou armazenar dados em HDs de outros computadores da rede e, em certos casos, até mesmo rodar programas remotamente, aproveitando o processamento de uma máquina mais poderosa da rede.

 

Compartilhamento de conexão: uma única conexão com a Internet é o bastante para que todos os computadores da rede tenham acesso simultâneo e independente à Web. Esse recurso poderá ser utilizado até mesmo com conexões discadas, que utilizam modems convencionais mas, obviamente, é recomendado apenas para conexões de banda larga.

 

As maravilhas são muitas, mas montar uma rede não é tão fácil. Também não é complicado, mas exige alguns requisitos de hardware e software que devem ser providenciados. Antes de sair às lojas comprando o que for nessessário, certifique-se que as máquinas que serão colocadas em rede possuem slots livres ou, como eu disse na matéria Upgrade?, poderá ter uma surpresa desagradável. Conectar duas máquinas é relativamente simples: ambas deverão ter pelo menos uma placa de rede, de preferência 10/100 Mbps PCI, que possui um desempenho satisfatório, além de custar relativamente barato, cerca de 40 reais cada. Vale lembrar que a máquina com acesso à Internet (banda larga) já possui uma placa instalada, que a conecta com o "modem". Portanto, essa máquina deverá ter duas placas de rede, uma para conecta-la à rede externa (Internet) e outra para conecta-la à rede interna. O cabo que liga a placa de rede com o "modem" é do tipo normal, mas para unir os dois computadores deverá ser utilizado um cabo de rede Ethernet de par trançado categoria 5, com conectores RJ-45. Isso é suficiente para conectar dois computadores mas, se houver três ou mais, será necessário adquirir um hub. Nesse caso, esqueça o cabo de par trançado, e adquira cabos normais. Os requisitos de software são mais simples: instalação e configuração dos protocolos e um proxy server, mas são necessários o CD do Windows e os disquetes com os drivers das placas de rede.

 

Instalar a rede fisicamente é algo que pode ser realizado sem dificuldades até mesmo por leigos. Abra os gabinetes dos computadores, encaixe as placas nos slots correspondentes, e fixe-as com parafusos. Então, basta conectar o cabo em ambas as placas de rede. Pronto, só isso, fisicamente a rede já está montada, falta apenas a configuração de software. No caso do uso do hub, os cabos deverão ligar a placa da rede interna de cada computador ao hub, que se encarregará de providenciar a comunicação entre as máquinas. Nada mais fácil. :)

 

Ligue os computadores. Provavelmente o Windows irá reconhecer que um novo dispositivo foi adicionado ao sistema, e pedirá os disquetes com os drivers apropriados. Se isso não acontecer, espere o sistema carregar, vá no Painel de Controle, e escolha Adicionar novo hardware. Quando aparecer a pergunta Deseja que o Windows procure o seu novo hardware?, escolha não, selecione Adaptadores de rede, e Com disco. Se o disquete já estiver na unidade, basta instruir o sistema a procurar pelo driver apropriado por lá.

 

O próximo passo é configurar as máquinas, de modo que elas possam se comunicar. Novamente, vá ao Painel de Controle, e escolha Rede. Em Identificação, escolha um Nome do computador qualquer, mas diferente, para cada máquina da rede. Em Grupo de Trabalho, escolha um nome qualquer, que deverá ser idêntico para todas as máquinas. O campo Descrição do Computador é opcional.

 

Na aba Configuração, é necessário adicionar e configurar protocolos e serviços. Qualquer protocolo pode ser utilizado na rede interna, desde que seja instalado e configurado corretamente em todas as máquinas. As opções são muitas, e incluem NetBEUI e NWLINK (Protocolo compatível com IPX/SPX), mas o aconselhável é sempre TCP/IP, principalmente se é desejado o acesso à Internet. Diversos protocolos podem ser instalados, mas isso não é aconselhável, pois pode causar queda de desempenho da comunicação da rede. Se for realmente necessário, certifique-se de manter o protocolo mais utilizado no topo da lista, pois isso fará com que a máquina tente se comunicar primariamente através dele.

 

Configurando TCP/IP

 

Definido o TCP/IP como protocolo principal, é necessário instalar, em todas as máquinas, não somente esse protocolo, bem como o Cliente Para Redes Microsoft, responsável por validar o logon na rede, e o serviço de Compartilhamento de Arquivos e Impressoras para Rede Microsoft. A seguir, configure o TCP/IP da seguinte maneira: no servidor web (o computador que já possui acesso à Internet), serão listadas duas placas de rede. Uma delas, é evidente, já está configurada para o acesso à Web. Na outra, em Endereço IP, assinale Especificar um endereço IP: e preencha 192.168.10.1 para Endereço IP, e 255.255.255.0 para Máscara de sub-rede. Em Ligações, certifique-se que estão assinalados Cliente para redes Microsoft e Compartilhamento de arquivos e impressoras para redes Microsoft.

 

Aqui vem um ponto muito importante: certas características são essenciais para o funcionamento da rede interna, e devem ser habilitadas na placa da rede interna. As mesmas características não somente são desnecessárias para a placa com acesso à Internet, como ainda podem representar um grave risco à segurança se estiverem habilitadas. Esse recurso de compartilhamento, por exemplo. Recursos compartilhados na placa de acesso externo podem ser rastreados, ou seja, um "hacker", utilizando ferramentas bem fáceis de se encontrar na Internet, poderá localizar e acessar o conteúdo de suas pastas compartilhadas. Portanto, não se esqueça de desabilitar esse recurso na placa de acesso externo. Se for necessário mante-lo, habilite proteção por senha.

 

Teste de ping

 

Em todas as outras máquinas, utilize a mesma máscara de sub-rede, 255.255.255.0. Em Gateway, adicione 192.168.10.1. Em IP, defina 192.168.10.2 para a segunda máquina, 192.168.10.3 para a terceira, e assim por diante. Em Configuração DNS, personalize cada máquina utilizando o nome escolhido anteriormente (na aba Identificação), e adicione 192.168.10.1 em ordem de pesquisa do servidor DNS. Nessas máquinas, também é importante certificar-se que estão assinalados Cliente para redes Microsoft e Compartilhamento de arquivos e impressoras para redes Microsoft. Reinicie todas as máquinas. Se tudo deu certo, todas receberão a tela de logon quase ao término do carregamento do Windows. Se segurança não for um ítem fundamental (e em casa geralmente não é), não é necessário definir a senha, bastando se identificar com o nome do computador escolhido anteriormente.

 

Agora, os computadores terão que se comunicar e, para isso, deve ser realizado o teste do ping. No servidor Web (192.168.10.1), abra um Prompt do MS-DOS e digite ping 192.168.10.2. Se existirem outros clientes, teste todos. O mesmo deve ser feito em todas as outras máquinas, ou seja, todas as comunicações deverão ser testadas. É difícil haver problemas nesta fase. Se, no entanto, alguma máquina não estiver se comunicando, diversas poderão ser as causas. Pra começar, tente dar um ping no loopback, ou seja, 127.0.0.1. Isso significa que a máquina tentará comunicar-se consigo mesma. Se houver problemas, o TCP/IP pode estar "bichado", e terá que ser reinstalado. Se tudo ocorreu bem nesse teste, tente reiniciar a máquina e logar novamente. Se ainda assim o problema persistir, então o erro muito provavelmente está naquela interface que fica entre a cadeira e o teclado, ou seja, o usuário. Você cometeu algum engano, e terá que rever todos os passos para localizar o erro. Talvez haja um IP duplicado, ou algo assim.

 

A seguir, compartilhe as pastas que desejar em todas as máquinas. Para faze-lo, basta clicar com o botão direito na pasta ou unidade de disco (partição) desejada, e escolher Compartilhamento. É possível escolher o nível de segurança desejado, através de três opções: somente leitura, completo ou um dos dois, com proteção por senha. Cabe a você decidir o que é mais adequado.

 

Falta compartilhar a conexão com a Internet, e existem diversas maneiras de fazer isso. Os Windows 98 e Me possuem nativamente um recurso, chamado Internet Connection Sharing mas, para dizer a verdade, nunca o utilizei. Sou da época do Windows 95, então me acostumei a utilizar o WinGate, que é um dos melhores servidores proxy do mercado.

 

Apesar de, na instalação, o programa perguntar se deseja instalar como cliente ou servidor, esqueça. Funciona perfeitamente e, estranhamente ainda melhor, se for instalado somente na máquina que será o servidor, ou seja, a máquina que possui a conexão direta com a Internet. Portanto, escolha Configure this computer as a WinGate server. Também perguntará se deseja instalar o ENS (Extended Network Support), mas provavelmente você não precisará desse recurso, a menos que tenha clientes rodando sistemas operacionais não Windows como, por exemplo, o Linux. Apenas dê next nas próximas alternativas, que tratam sobre auto update e segurança do sistema.

 

Configurando o GateKeeper

 

O WinGate possui um painel de controle, o GateKeeper, que fica no tray, ao lado do relógio do Windows. É nesse painel que serão realizadas as configurações do programa. Na realidade, para a coisa funcionar, não há muito o que configurar. Você até pode criar usuários e grupos de usuários com permissões distintas no acesso ao servidor, mas para uma rede caseira isso não é realmente necessário. O essencial é configurar os binds (ligações), de todos os serviços da aba services, e também dos seguintes serviços da aba system: DHCP Service, Winsock Redirector Service, GDP Service e DNS Service. Para fazer isso, basta clicar no serviço desejado, um menu irá aparecer. Clique na aba Bindings e escolha, como demonstrado na figura ao lado, Connections will be accepted on the following interface only apontando para 192.168.10.1. Repito, faça isso com todos os serviços da aba service e os quatro que citei da aba system, e não se esqueça de salvar as alterações.

 

Por fim, todas as aplicações das máquinas clientes devem ser configuradas para poderem acessar o WinGate. Isso sempre é realizado em configurações de proxy ou firewall, presente na esmagadora maioria dos softwares atuais. No Internet Explorer, por exemplo, acesse o menu Ferramentas, e escolha Opções da Internet. Na aba Conexões, escolha Configurações da LAN, Usar um servidor proxy, e preencha 192.168.10.1 em endereço e 80 em porta. Clique em Avançado, e assinale Usar o mesmo servidor proxy para todos os protocolos. Essas configurações valem para qualquer aplicação on-line, como navegadores, clientes de e-mail ou FTP, off-line browsers, jogos, e etc. Para o ICQ, são necessárias outras configurações. Clique no botão ICQ, vá em Preferences, Connections, Firewall, escolha Socks5 e configure com a porta do Winsock Redirector Service que, por padrão, é a 2080, embora possa ser alterada. Se tiver dúvidas, consulte o Help do programa, é bem eficiente. Não se esqueça também que é fundamental utilizar firewall no servidor, que deve ser configurado para garantir acesso aos IPs da rede interna, e proteger a todos de ataques vindos da Internet.

 

Provavelmente existem outras maneiras de fazer o mesmo que descrevi, pois na informática sempre existem diversas maneiras de chegar ao mesmo resultado. No entanto, a solução que descrevi é eficiente, e é a que utilizo em minha casa, onde tenho uma rede com apenas um cliente, a máquina do meu pai. Vale lembrar que se o servidor for desligado, os clientes não conseguirão acessar a Internet. Eu fico meses sem desligar a máquina, apenas uma ou outra reinicialização quando o sistema trava ou fica instável, e também quando é necessário reiniciar para que alguma aplicação seja atualizada.

[Shivans 0]

Receita para uma rede caseira

 

É simples interligar os computadores de sua casa ou microempresa para que compartilhem impressora ou arquivos

 

Sua casa já está com três computadores: o velho Pentium 100 ficou com a filha, que digita os trabalhos da escola no Word. Quando você comprou o Athlon 1.0 para o filho que trabalha com gráficos e imagens, herdou um antigo Pentium III 500, ainda bom de jogo. Como a impressora é uma só, imprimir alguma coisa exige logística: envio de e-mails de um quarto para o outro, tráfego intenso pela casa de disquetes ou zip discs.

 

Se você quer acabar com esses transtornos, monte uma rede caseira em casa. A receita, que também serve para microempresas, não é complicada, e o resultado é que todas as máquinas compartilham harmoniosamente impressora, scanner e até arquivos.

 

A melhor escolha é uma rede peer-to-peer, ou seja, aquela em que não existe um computador central. Todos os micros têm o mesmo grau de importância na rede. Além da facilidade de instalação física, o Windows 95/98/ME pode ser utilizado como sistema operacional de rede. Assim, a instalação do software também fica muito simples.

 

Com o material (ver quadro) nas mãos, passamos à primeira parte da montagem da rede: a instalação física.

 

A instalação de uma placa de rede é simples. Tenha à mão uma chave de fenda normal e outra do tipo philips de tamanho médio, o CD de instalação do seu sistema operacional e os drivers da placa (driver é um programa que informa ao sistema operacional como uma determinada placa funciona).

 

Passo a passo - Desligue o computador da tomada. Ponha o gabinete sobre uma mesa. Antes de abri-lo, toque um objeto metálico, para descarregar a eletricidade acumulada em seu corpo, que pode danificar a placa-mãe. E só retire a placa a ser instalada do saco plástico antiestático na hora de espetá-la no slot, que aqui supomos que seja de padrão PCI.

 

Agora, é só espetar a placa no slot PCI. Ligue o PC. Deverá aparecer uma janela, chamada ''Novo hardware encontrado'', indicando que o Windows detectou um adaptador de rede PCI. O Plug and Play deverá identificar a placa e mostrar outra janela, com o tipo da placa.

 

Em seguida instalaremos os drivers da placa de rede. Com sorte, nem será preciso recorrer ao disquete ou CD-ROM que acompanham a placa, porque o Windows já tem drivers para muitas placas de rede. Mas se aparecer uma janela perguntando se você prefere manter o arquivo presente em seu micro em vez de instalar o que está sendo copiado escolha sim, ou seja, permaneça com o arquivo que já está no micro.

 

Para ver se a placa de rede está instalada sem conflitos, entre no Gerenciador de Dispositivos (''Iniciar'' > ''Configurações'' > ''Painel de Controle'' > ''Sistema'' > ''Gerenciador de Dispositivos''). Não deve haver nenhum ponto de exclamação ou cruz vermelha indicando conflito ou falha do funcionamento.

 

Siga os mesmos passos em todos os micros da rede. Em seguida, conecte os cabos às placas e ao HUB. Ligue o HUB.

 

Controle da rede - Nossa rede só funcionará se for controlada por um sistema operacional de rede. No nosso caso usaremos o próprio Windows 98 para configurar a rede. No Windows 95 as diferenças são muito pequenas, e no Windows ME há assistentes que facilitam ainda mais a configuração.

 

Primeiro de tudo, vamos definir o que é um protocolo de rede: é um conjunto-padrão de regras relacionadas ao software e ao hardware que determina como os computadores vão se comunicar entre si na rede. Os protocolos mais importantes usados atualmente são:

 

TCP/IP ou Transmission Control Protocol/Internet Protocol: é o protocolo usado na Internet. Pode ser empregado em redes locais para compartilhamento de uma conexão à Internet ou para jogos em rede.

 

IPX/SPX é o protocolo utilizado nas chamadas ''Redes Novell''. Como a Novell estabeleceu um verdadeiro ''padrão'' para redes locais, pode ser que alguns programas (mais antigos) exijam o protocolo IPX para funcionar em rede. Jogos ''multiplayer'' (para vários jogadores) mais antigos costumam usar IPX.

 

NetBEUI, ou NetBIOS Extende User Interface, é um protocolo rápido e eficiente usado em pequenas redes locais. Este é um dos protocolos mais fáceis de instalar e configurar e deve ser o escolhido - a não ser que algum programa exija um dos outros protocolos já citados.

 

Notem que numa rede podemos ter dois protocolos ativos. Por exemplo, vamos sempre usar o protocolo TCP/IP quando estivermos na rede Internet, e o NetBEUI nas redes locais.

 

Agora, vamos ao sistema operacional. Nem é preciso lembrar que os passos a seguir devem ser executado em todos os micros que farão parte da rede.

 

No Windows 98 - O primeiro passo para configurar o software de rede é acessar a janela de configuração da rede, no seguinte caminho: ''Iniciar'' > ''Configurações'' > ''Painel de Controle''. Depois é só dar um duplo clique no ícone Rede.

 

Agora vamos instalar o protocolo NetBEUI para controlar a nossa rede - caso o único protocolo presente na janela Rede de seu Windows seja o TCP/IP. A primeira coisa a fazer é clicar no botão ''Adicionar...'', mostrado quando abrimos a janela de configuração da Rede. Vai aparecer uma janela com o título: ''Selecionar tipo de componente de rede''. Clique em ''Protocolo'' e depois no botão ''Adicionar...''.

 

Vai aparecer uma janela chamada ''Selecionar Protocolo de rede''. Então você deve escolher como ''Fabricante'' a ''Microsoft'', e o ''Protocolo de rede'', ''NetBEUI''. Finalmente clique em OK. A janela de configuração da Rede terá agora os dois protocolos, NetBEUI e TCP/IP.

 

Em seguida, vamos descartas as associações desnecessárias. Na janela Rede, seção ''Configuração'', o protocolo NetBEUI estará associado ao ''Adaptador de rede dial-up'' e também à nossa placa de rede ''AMD PCNET Family Ethernet Adapter (PCI-ISA)''. O ''Adaptador de rede dial-up'' nada mais é do que o fax/modem de seu micro configurado para acessar a rede Internet. Desta forma, como será usado apenas na Internet, não vai precisar usar o protocolo NetBEUI. Da mesma forma, se a nossa placa de rede (no caso, a ''AMD PCNET...'') não for usada numa rede que trabalhe com TCP/IP esta associação também poderá ser removida.

 

Assim devemos remover todas as associações desnecessárias na janela Configuração da Rede, reduzindo a sobrecarga da rede, tornando-a mais eficiente e, ''de quebra'', ainda diminuindo o risco de ''invasão'' em nosso micro. Note que, se for preciso, você poderá reinstalar o protocolo removido usando o procedimento descrito na seção ''Instalando o protocolo NetBEUI''.

[Shivans 0]

Compartilhando acesso em banda larga

 

 

Fazer uma rede doméstica, compartilhar arquivos e periféricos não é mais novidade. Mas até bem pouco tempo, era praticamente inviável compartilhar o acesso à Internet, afinal, dividir uma conexão discada de 56 Kbps seria um suplício. O crescimento da banda larga, no entanto, tornou vantajoso usar o mesmo ponto de acesso para mais de um computador.

 

As empresas que provêem cesso não incentivam essa atitude, afinal, quanto menos Kbps você usar da rede, melhor para elas. A Net, responsável pelo Virtua e a Telemar, pelo Velox não fazem nenhuma restrição legal ou contratual contra a medida. Eles simplesmente deixam claro que os técnicos estão limitados a prestar suporte apenas ao computador que está recebendo a Internet rápida. Já a TVA, que controla a Ajato, proíbe seus usuários de dividir suas conexões. A explicação não convence: ''O dimensionamento do produto foi feito para servir um computador individualmente'', diz Amilton De Lucca, diretor de Internet e Telecomunicação da empresa.

 

Para a TVA, dois computadores compartilhando uma mesma conexão podem deixar a rede mais lenta, uma vez que o sistema é baseado na idéia de que nem todos usuários vão estar conectados ao mesmo tempo. Ou seja, mesmo contratando um acesso de 256 Kbps, você não vai usar toda essa velocidade. E esse 'saldo' fica com a empresa.

 

Uma das justificativas para a proibição dada pelo Ajato é que alguns usuários estariam servindo como provedor de acesso para o vizinhos. ''Já localizamos um usuário no Rio que cobrava pelo acesso da vizinhança'', argumenta De Lucca. ''A cláusula contratual proibindo a divisão da conexão existe para evitar abusos, mas se o uso for de maneira moderada e internamente, não há problemas'', completa.

 

Alguns programas ajudam a configurar o computador para permitir o compartilhamento. O mais conhecido deles é o Wingate. Mas o Windows 98 SE , ME, 2000 e XP já trazem um assistente - o Internet Connection Sharing - que facilita bastante a tarefa.

 

O caderno Internet preparou um roteiro para ajudar os leitores a compartilhar o ponto de Internet com mais de um computador.

 

1. Com os dois computadores em rede, clique em Iniciar > Programas > Acessórios > Comunicações > Assistente de rede doméstica. Ao aparecer uma tela de apresentação, selecione 'avançar';

 

2. Na configuração da conexão à Internet, selecione a opção ''uma conexão direta com o meu provedor usando o seguinte dispositivo''. A partir daí, selecione a placa de rede conectada ao modem;

 

3. O assistente irá perguntar: ''Deseja que outros computadores da rede doméstica usem a conexão com a Internet deste computador''? Marque sim e selecione a placa que está sendo usada para a rede doméstica;

 

4. Agora é hora de criar um disco de instalação da rede para solucionar problemas futuros. É aconselhável fazer esse procedimento de segurança, mas não é obrigatório. Agora, é só clicar em 'concluir'.

 

Seu compartilhamento de rede está configurado no computador que fornecerá a Internet. Agora, você deve repetir o processo no segundo computador. A única diferença é no passo número 2. Lá, você deve marcar a opção na qual informa que a Internet usada vem de ''outro computador em minha rede doméstica que fornece acesso direto''.

 

Pronto! Seu compartilhamento está feito.

[Shivans 0]

Princípios básicos do TCP/IP - Parte 1

 

 

Sevidores DNS

 

Não é necessário conhecer profundamente a teoria de redes de computadores para entendermos como a Internet funciona. Basta apenas um pouco de organização em nossas idéias, lembrando sempre um único conceito: você só consegue chegar a um computador na Internet se este computador tiver um nome único em todo o mundo. Se ele tiver um nome único ele poderá ser localizado como se fosse um destinatário de uma carta de correio.

 

Na aula anterior falamos sobre a origem da Internet. Uma das colocações feitas é a existência de um órgão central no Estados Unidos chamado Internic. Este órgão é responsável por atribuir nomes a cada computador do mundo.

 

Vamos por partes. Um computador só entende números. Portanto, o protocolo TCP/IP só entende números. Números do tipo 200.244.93.14. A este número único chamamos de número IP. Com certeza não conseguiríamos localizar nosso Site Web preferido se tivéssemos que gravar toda esta quantidade de números. Para contornar este problema, logo no início da Internet foi desenvolvido junto com o TCP/IP o DNS - Domain Name Service.

 

O que vem a ser o DNS?

 

O DNS nada mais é que um programa de computador que consegue descobrir os números dos computadores do mundo a partir de um nome. Com certeza se você está ligado à Intenet passou algum tempo junto ao seu provedor de acesso preenchendo diversos itens de configuração, entre eles o servidor de DNS.

 

E como funciona o DNS?

 

Vamos imaginar que você deseje acessar o site http://www.jbonline.com.br. Este site tem número IP 200.244.93.14. Quando você coloca este número em seu navegador, seu computador/navegador tem uma "conversa" (protocolo) mas ou menos assim:

 

Obs.: Pode haver variações.

 

Computador/navegador fala com DNS - (O número IP do servidor DNS foi configurado quando você se conectou a Internet). DNS, quem é www.jbonline.com.br?

 

DNS - Vou dar uma olhadinha em minha memória recente (memória cache). Opa, ninguém acessou este site na última hora (Timeout de DNS). Espera um minutinho que vou perguntar ao DNS chefe (DNS Master).

 

Conforme colocado, a Internet, e portanto as redes de computadores, se baseiam em números únicos. Os DNS Masters são máquinas de números IP conhecidos mundialmente e registrados manualmente pelos administradores de redes em seus servidores (computadores) de DNS. Estes servidores Master contêm toda informação necessária para localizar um computador na Internet. O servidor de DNS possui, em um arquivo local na máquina, os números dos computadores dos DNS masters que eles precisam acessar. Verificando um destes números locais (pois algum pode estar "ocupado") o servidor mestre é acessado.

 

DNS fala com DNS Chefe - Chefe, quem é www.jbonline.com.br?

 

DNS chefe fala com DNS - Olha, eu não sei. Posso apenas dizer que a máquina responsável por responder pelo Brasil (br) éuma máquina da Fapesp de número XXX.XXX.XXX.XXX. (delegação de autoridade de domínio). Vá nesta máquina e pergunte para ela.

 

DNS fala com DNS chefe - Ok Chefe, vou falar com ela. Obrigado por me informar o número do br.

 

DNS fala com DNS do Brasil (BR) - DNSBR, quem é www.jbonline.com.br ? Me falaram que você sabe tudo sobre br.

 

DNSBR fala com DNS - Oi. Eu sou responsável por responder pelas máquinas br. Entre elas as .com (comercial). Também respondo por outras como .gov - Governo, .org - Organização etc. Enfim, mando aqui no Brasil. Mas eu dei a responsabilidade para máquina 200.229.231.67 para responder por todo jbonline.com.br. Pergunte a ela quem é WWW. Eu não sei.

 

DNS fala com DNSBR - Obrigado. Vou perguntar a 200.229.231.67.

 

DNS fala com DNSJBONLINE - Oi, você sabe me informar quem é www ? Já me falaram que você é responsável por jbonline.com.br.

 

DNSJBONLINE fala com DNS - Claro. O número da máquina é 200.244.93.14.

 

DNS fala com DNSJBONLINE - Obrigado. Vou informar ao navegador.

 

DNS fala com computador/navegador - Olha www.jbonline.com.br é a máquina de número IP 200.244.93.14. É só falar com ela.

 

E assim localizamos uma máquina na rede (número) a partir de um nome.

[Shivans 0]

Princípios básicos do TCP/IP - Parte 2

 

. Organização das Redes;

. Noção sobre classes de IPs.

 

"...percorrer / um pedaço / do caminho não é o mesmo / que tomar o caminho errado..." (O Mundo de Sofia).

 

Vimos na aula passada como funcionam os servidores de DNS. Os servidores DNS nada mais são que programas que permitem que a partir de uma nome como www.jb.com.br seja possível encontrar um número único para uma dada máquina na Internet. Conforme colocado, o segredo da Internet está em termos nomes e números únicos para máquinas. Existem certos recursos na Internet, entretanto, que permitem que esta observação não seja 100% válida. Falaremos mais tarde sobre estes recursos quando conversarmos sobre Firewalls.

 

Mas como estes números estão organizados?

 

O Internic, "órgão" central da Internet, definiu um conjunto de regras que permitem organizar as máquinas dentro da Internet. Estes números tem a forma: xxx.xxx.xxx.xxx. Onde o valor de xxx pode variar de 0 até 255 de acordo com algumas regras. Como números válidos temos: 200.244.93.14, 128.128.0.1.

 

Como foi visto na primeira aula, a Internet nada mais é do que um conjunto de redes de computadores conectados entre si. Uma rede de computadores, por sua vez, é um conjunto de computadores ligados, no nosso caso, cada qual com um número IP único no mundo.

 

Pensemos em uma visão macro da Internet. Nesta nossa primeira visão temos uma organização do mundo a nível mundial. Podemos então pensar em dividir os números IPs de acordo com os países. Cada país seria uma grande rede. Dentro dos países temos os estados. Cada estado seria uma rede dentro das redes dos países. Imaginemos as empresas, universidades e demais "grupos de grande porte". Estes seriam redes dentro de países, dentro de estados. Imaginemos você. Você seria um computador dentro da organização, dentro do Estado, do país, da Internet.

 

Esta maneira simples de pensar nos leva a uma organização natural para os números IPs do Interneic. O Internic organiza os números IPs nas chamadas classes. Uma Classe de IP define uma relação entre Número de redes/ número de computadores dentro de uma rede.

 

Redes Classe A - São as redes de grande abrangência. É nossa analogia com países. São redes onde temos poucas redes com muitos computadores. Por exemplo, imagine uma rede para cada país. Neste caso temos poucos países para muitos computadores.

 

Redes classe B - São as redes intermediárias, onde temos um número intermediário de redes e computadores. Na nossa analogia, as redes de estados. Podemos ter muitos estados, cada qual com muitos computadores.

 

Redes Classes C - São redes do tipo "Organização", onde temos poucas redes (a organização - normalmente uma única rede) com muitos computadores.

 

Na prática, não temos uma organização por países mas sim pela necessidade prática de uma empresa fornecedora de serviços Internet. Por exemplo, uma grande empresa como a Embratel possui uma rede do tipo Classe A e divide esta rede entre seus clientes. Mas sempre mantendo a organização hierárquica, organizando sua grande rede em redes menores até chegar ao seu computador.

 

O importante na organização das redes não é nos prendermos em seus detalhes mas entendermos que na Internet que, além de um nome único para cada máquina, temos uma organização hierárquica entre os computadores que estão organizados em redes.

 

Podemos ter, por exemplo, uma pequena empresa com uma rede do tipo C (ou mais de uma rede do tipo C). Quando um computador de número único quer falar com outro em outro país ele percorre esta hierarquia de redes. Ele primeiro fala com a rede "do seu estado", para depois falar com a rede do seu país, para depois falar com a rede de outro país, para falar com o estado do outro país e depois com a máquina destino propriamente dita. Mas, e os detalhes?

 

Vamos tentar entender como funciona esta comunicação entre computadores utilizando mais uma vez exemplos. Imagine seu computador. Para estar na Internet ele deve possuir um número único. Este número único faz com que ele pertença a uma rede. Quando você deseja ter acesso a uma máquina de outro número, seu computador segue mais ou menos os seguintes passos:

 

1. O número que quero acessar pertence à minha rede?

 

Se pertence à minha rede, eu posso falar diretamente com ele.

 

Obs.: A comunicação entre micros será estudada posteriormente.

 

2. O computador está em outra rede?

 

Se está, então tenho que tentar falar com ele através de um caminho. Qual caminho?

 

Vou mandar minhas informações para o meu default gateway. O default gateway é um computador dentro da sua rede que tem comunicação com outras redes. O Default gateway é programado quando você instala a Internet na sua máquina junto ao seu provedor de acesso.

 

3. O default gateway está ligado a outras máquinas que possuem conhecimento de como enviar o pedido de informação de uma máquina (informaçao de rotas). Ou seja, uma vez que o default gateway receba um pedido para falar com outra máquina na Internet, ele vai passando este pedido por outros gateways, que vão procurando caminhos dentro da Internet ao longo das diversas redes até achar (ou não) o número destino.

 

4. Uma vez localizado o número destino, a máquina destino envia a resposta da informação solicitada percorrendo o caminho contrário, mas não necessariamente o mesmo. A informação-resposta vai trafegar ao longo das redes por um dado caminho (rota) até o número de quem solicitou informação.

[Shivans 0]

Proxys, Socks e Cache

 

 

 

Em nossa última conversa falamos sobre a necessidade de nomes únicos para podermos ligar os computadores em rede. Em uma mesma rede, os nomes são únicos nas placas de rede, nos números IPs e nomes de máquinas. Como em todas as regras temos as exceções. Os servidores de Proxy e Socks permitem que várias máquinas falem com a Internet utilizando um mesmo número IP. Antes de falarmos deles, entretanto, vale a pena explicarmos o que vem a ser o Cache.

 

O Cache é um mecanismo que permite armazenar as informações mais recentes obtidas de uma fonte de dados de maneira eficiente de modo que quando estas informações são novamente necessárias elas estão disponíveis de maneira rápida. Os mecanismos de Cache podem ser implementados tanto em Hardware quanto em software.

 

É comum quando compramos um computador existir uma especificação do tipo: computador Pentium-III, 550MHz, 64M de RAM, 256K de Cache etc. Neste caso, o Cache é implementado em Hardware, nada mais sendo que uma memória de alta velocidade que serve de intermediária entre nossa memória principal de velocidade mais lenta e nosso processador. Por ser intermediária, a informação antes de ser utilizada é lida da memória principal para a memória Cache.

 

Quando falamos que uma informação está no Cache do nosso computador, estamos falando que a informação está armazenada em uma área do computador onde pode ser recuperada rapidamente. Neste caso, estamos dizendo que a informação está na memória do computador e não no disco rígido.

 

Dependendo da situação, a implementação do Cache vai se dar de uma dada maneira. Mas em todos os casos, Cache significa recuperação de informação de maneira rápida; significa também um mecanismo intermediário que obteve seu conteúdo de uma outra fonte de informação.

 

Na Internet, o Cache é de vital importância para acelerar a navegação. É também a maior fonte de problemas para o leitor. Sem entender direito como funciona o Cache, podemos estar lendo páginas antigas de um Site. O pior de tudo, é que muitas vezes não temos controle sobre o Cache.

 

O primeiro mecanismo de Cache na Internet está no nosso navegador. Todos os navegadores (NetScape, Internet Explorer etc) possuem um mecanismo de Cache. Quando navegamos em uma página na Internet, trazemos para nosso computador não apenas a informação da página (texto). Trazemos também as imagens.

 

As imagens são os elementos de uma página Web que mais demoram a ser carregados. Algumas páginas Web, muitas vezes só são apresentadas aos leitores quando todas as imagens são obtidas.

 

As imagens em um site Web não mudam tanto quanto sua informação. Grande parte delas são utilizadas no desenho do site para ilustrações, botões, ícones etc. Se pensarmos nas imagens, o mecanismo de Cache é excelente para navegação. Após carregar a página de um Site, podemos continuar navegando entre as páginas, sendo que quando retornamos a uma página já lida, esta é carregada imediatamente, pois está no Cache; na memória intermediária; entre o navegador e o servidor Web (site).

 

Esta rapidez também é uma armadilha. Pois da mesma forma que ficamos felizes em ler a página de maneira mais rápida podemos estar lendo uma informação desatualizada.

 

Quem trabalha com o Internet Explorer já deve ter experimentado a situação onde mesmo quando o computador não está conectado a Internet é possível ler a página de um site previamente visitado. Neste caso, o Explorer pergunta se a pessoa deseja trabalhar off-line. Clicando em trabalhar off-line, a página do Site é imediatamente carregada. Na verdade uma página antiga já armazenada no seu computador/cache.

 

Mas será que o Cache é tão importante?

 

A resposta é que é impossível viver sem ele e que existem mecanismos que permitem ao Cache ser inteligente o suficiente para saber quando uma dada informação deve ser atualizada. Entretanto, esta inteligência pode falhar. Como regra geral, sempre que desconfiar de uma informação errada de um site de confiança recarregue a página. Mesmo assim, pode não funcionar...