dissabte, gener 21
Construïnt el nostre propi firewall smoothwall
A kriptopolis hi ha tota una guia per muntar el nostra propi firewall amb un ordinador antic i aprofitar per fer un filtre de continguts i antivirus. construir firewall. La veritat es que en aquests moments, el tinc aquí casa i va molt bé.
Després, explica com instal·lar l'antivirus, un filtre de continguts i una interfície per a aquest darrer.
La veritat es que voldria comentar una mica tots els articles.
respecte el primer, la instal·lació, tot i ser senzilla, a vegades no està del tot clara. L'smoothwall està molt bé però hi ha alguns missatges que no queden clars.
La topologia de xarxa és bastant útil per a qualsevol usuari, però ara, amb tot el tema de les xarxes sense fils, potser hagués estat més útil també explicar què hauria de fer un usuari convencional.
Jo aquí no ho faré, ja que la meva xarxa és una mica especial... Si us hi voleu familiaritzar una mica, podeu consultar els articles de la web sobre xarxes:
Bé, a la instal·lació...
el que canvia més es que on t'explica el tema de l'ADSL, si tenim router, hem de posar "Disable ADSL",potser, s'hauria d'anomenar "Disable ADSL USB" o quelcom semblant. Als routers(encaminadors), tinc apagats els servidors DHCP, però el del firewall sí que està activat. A tipus de connexió, en el meu cas es STATIC ja que tinc IP fixa i ja està, la IP del router normal, és 172.26.0.1 en el meu cas, hi ha molts que són 10.0.x.x, mireu els articles anteriors per saber més sobre com saber aquesta adreça. Així, on configurem els DNS, hem de posar com a default gateway la ip del router o la ip fixa pública (la que ens dona telefònica) hi ha l'interfície vermella posem la ip 172.26.0.2 per exemple.
El router sense fils té una ip de la subxarxa verda i fora del rang del servidor DHCP.
Per connectar els ordinadors, NO feu servir el port UPLINK del router, ja que l'utilitzarem com a switch o commutador.
Sé que no està tot gaire clar, intentaré si tinc temps fer un article amb cara i ulls i posar-lo a la meva web.
A partir d'aquí i un cop cada cable està al seu lloc, seguir el capítol de l'antivirus de kriptopolis és molt fàcil.
Respecta a d'instal·lar dansguardian (el filtre de continguts) sempre surt algun error..
El que és important es que s'iniciï el dansguardian. Si l'error és :
aneu a services ->web proxy i mireu que estigui activat Enabled i Transparent.
si és dansguardian: permission denied
fer chmod -R 755 /etc/dansguardian /usr/sbin/dansguardian
Altres es poden arreglar amb
chown -R nobody: /tmp/dgvirus
Recomano que si us surt un error feu una cerca a DansGuardian 2.8.0.6 & AntiVirus 6.4.3
Recomano que reinicieu el servidor després de instal·la el dansguardian.
Instal·lar la interfície gràfica no te més complicació.
Si no voleu USB comenteu aquestes línies a /etc/rc.d/rc.sysinit
echo "Loading USB subsystem"
/sbin/modprobe usbcore 2> /dev/null
/sbin/modprobe usb-uhci 2> /dev/null
/sbin/modprobe usb-ohci 2> /dev/null
mount -t usbdevfs none /proc/bus/usb
Intal·lar la interfície gràfica no em va donar cap problema.
Finalment, amb tot funcionant, volia canviar algunes petites funcionalitats.
A vegades, el filtre de continguts és massa restrictiu, podeu anar a services->content filter->Groups i canviar el "Naughtyness limit", És com un límit de punts que pot tenir una pàgina per si es filtrada. Jo el tinc a 75. Les referències són:
També vaig activar el Temporary Denied Page bypass i el vaig possar a 300 (5 minuts).
Un cop fet això, a Logging->Reporting level vaig canviar a l'opció 2 que fa que et puguis personalitzar la pàgina de prohibit amb un script en perl.
Això últim, ho vaig fer per poder canviar la pàgina d'error i que si surt en el meu ordinador hi hagi una forma d'esquivar-ho temporalment, ja que en algunes web, la inclusió de publicitat fa que no es permeti la seva visualització.
Per fer això, assignarem una IP estàtica al nostre ordinador utilitzant l'adreça MAC i canviarem les opcions del servidor DHCP per a què no assigni la nostra IP, que en aquest cas serà 192.168.0.200
Ara doncs passem a fer l'script en perl. El meu està basat en un d'en dr3w2k Trobat als fòrums d'smoothwall.
L'script dansguardian.pl l'heu de posar a home/httpd/cgi-bin. podeu trobar instruccions més concretes per si us surt un error a Dansguardian Acces Denied
L'script en perl fa que surti una imatge si et connectes d'una ip en concreta que permet passar el bloqueig:
#!/usr/bin/perl
$allow_html_code = 0;
&ReadEnvs;
$deniedurl = $in{'DENIEDURL'};
$reason = $in{'REASON'};
$user = $in{'USER'};
$ip = $in{'IP'};
$hash = $in{'HASH'};
$ippriv = "192.168.0.200";
print "Content-type: text/html\n\n";
print '<HTML><HEAD><TITLE>DansGuardian - Accés Denegat</TITLE></HEAD>';
print '<BODY>';
if ($ip eq $ippriv) {
print '<CENTER>';
print '<TABLE WIDTH=700 BORDER=0 CELLPADDING=2 CELLSPACING=0><TR>';
print '<TD COLSPAN=2 HEIGHT=100 BGCOLOR=#fea700>';
print '<P ALIGN=CENTER><FONT FACE="arial, helvetica"><FONT SIZE=6><B>Accés denegat!</B> </FONT></FONT></P>';
print '</TD></TR><TR>';
print '<TD COLSPAN=2 HEIGHT=30 BGCOLOR=#fffacd> </TD>';
print '</TR><TR>';
print '<TD WIDTH=150 VALIGN=top align=center BGCOLOR=#b0c4de><img src="http://192.168.0.1:81/ui/assets/3.5/img/lock.gif">';
print '<br><br><br><FONT FACE="arial, helvetica"><b>La teva IP:</b>';
print "<br>$ip";
print '<br><br><br><br><br><br><br><br>';
print '<img src="http://192.168.0.1:81/ui/assets/3.5/img/smoothwall.promo.button.gif">';
print '<br><FONT FACE="arial, helvetica" size=-2>SmoothWall Express 2.0<br>amb DansGuardian i ClamAV</TD>';
print '<TD WIDTH=550 BGCOLOR=#ffffff>';
print "<br><P ALIGN=CENTER><FONT SIZE=4><FONT FACE=\"arial, helvetica\"><FONT COLOR=#000000>Em sap greu $user , però l'accés a:";
print "<BR><BR><A HREF=\"$deniedurl\">$deniedurl</A>";
print '<BR><BR><FONT SIZE=3>... ha estat denegat per aquest motiu:';
print "<BR><br><FONT COLOR=#ff0000><B>$reason</B>";
print "<Br><br><br><a href=\"$deniedurl?GBYPASS=$hash\"><img src=\"http://192.168.0.1:81/ui/assets/3.5/img/on.gif\" border=0></a>";
print '<br><br><br>';
print '</P></TD></TR></TABLE>';
print '</CENTER>';
}
else {
print '<CENTER>';
print '<CENTER>';
print '<TABLE WIDTH=700 BORDER=0 CELLPADDING=2 CELLSPACING=0><TR>';
print '<TD COLSPAN=2 HEIGHT=100 BGCOLOR=#fea700>';
print '<P ALIGN=CENTER><FONT FACE="arial, helvetica"><FONT SIZE=6><B>Accés denegat!!</B> </FONT></FONT></P>';
print '</TD></TR><TR>';
print '<TD COLSPAN=2 HEIGHT=30 BGCOLOR=#fffacd> </TD>';
print '</TR><TR>';
print '<TD WIDTH=150 VALIGN=top align=center BGCOLOR=#b0c4de><img src="http://192.168.0.1:81/ui/assets/3.5/img/lock.gif">';
print '<br><br><br><FONT FACE="arial, helvetica"><b>La teva IP:</b>';
print "<br>$ip";
print '<br><br><br><br><br><br><br><br>';
print '<img src="http://192.168.0.1:81/ui/assets/3.5/img/smoothwall.promo.button.gif">';
print '<br><FONT FACE="arial, helvetica" size=-2>SmoothWall Express 2.0<br>amb DansGuardian i ClamAV</TD>';
print '<TD WIDTH=550 BGCOLOR=#ffffff>';
print "<br><P ALIGN=CENTER><FONT SIZE=4><FONT FACE=\"arial, helvetica\"><FONT COLOR=#000000>Em sap greu $user , però l'accés a:";
print "<BR><BR><A HREF=\"$deniedurl\">$deniedurl</A>";
print '<BR><BR><FONT SIZE=3>... ha estat denegat per aquest motiu:';
print "<BR><br><FONT COLOR=#ff0000><B>$reason</B>";
print '<br><br><br>';
print '</P></TD></TR></TABLE>';
print '</CENTER>';
}
exit;
sub ReadEnvs {
local($cl, @clp, $pair, $name, $value);
if ( $ENV{'REQUEST_METHOD'} eq 'POST' ) {
read(STDIN, $cl, $ENV{'CONTENT_LENGTH'} );
}
else {
$cl = $ENV{'QUERY_STRING'};
}
@clp = split(/::/, $cl);
foreach $pair (@clp) {
($name, $value) = split(/==/, $pair);
$value =~ tr/+/ /;
$value =~ s/%([a-fA-F0-9][a-fA-F0-9])/pack("C", hex($1))/eg;
$value =~ s///g;
if ($allow_html_code != 1) {
$value =~ s/<([^>]|\n)*>//g;
}
$in{$name} = $value;
}
}
La imatge lock.gif és :
Després, explica com instal·lar l'antivirus, un filtre de continguts i una interfície per a aquest darrer.
La veritat es que voldria comentar una mica tots els articles.
respecte el primer, la instal·lació, tot i ser senzilla, a vegades no està del tot clara. L'smoothwall està molt bé però hi ha alguns missatges que no queden clars.
La topologia de xarxa és bastant útil per a qualsevol usuari, però ara, amb tot el tema de les xarxes sense fils, potser hagués estat més útil també explicar què hauria de fer un usuari convencional.
Jo aquí no ho faré, ja que la meva xarxa és una mica especial... Si us hi voleu familiaritzar una mica, podeu consultar els articles de la web sobre xarxes:
- Muntar i configurar una xarxa domèstica a Windows
- Muntar i configurar una xarxa domèstica sense fils o híbrida a Windows >
- Muntar i configurar una xarxa no homogènia sense compartició d'Internet mitjançant un pont de xarxa
- Configurar permisos i compartició de fitxers en xarxa i local
Bé, a la instal·lació...
el que canvia més es que on t'explica el tema de l'ADSL, si tenim router, hem de posar "Disable ADSL",potser, s'hauria d'anomenar "Disable ADSL USB" o quelcom semblant. Als routers(encaminadors), tinc apagats els servidors DHCP, però el del firewall sí que està activat. A tipus de connexió, en el meu cas es STATIC ja que tinc IP fixa i ja està, la IP del router normal, és 172.26.0.1 en el meu cas, hi ha molts que són 10.0.x.x, mireu els articles anteriors per saber més sobre com saber aquesta adreça. Així, on configurem els DNS, hem de posar com a default gateway la ip del router o la ip fixa pública (la que ens dona telefònica) hi ha l'interfície vermella posem la ip 172.26.0.2 per exemple.
El router sense fils té una ip de la subxarxa verda i fora del rang del servidor DHCP.
Per connectar els ordinadors, NO feu servir el port UPLINK del router, ja que l'utilitzarem com a switch o commutador.
Sé que no està tot gaire clar, intentaré si tinc temps fer un article amb cara i ulls i posar-lo a la meva web.
A partir d'aquí i un cop cada cable està al seu lloc, seguir el capítol de l'antivirus de kriptopolis és molt fàcil.
Respecta a d'instal·lar dansguardian (el filtre de continguts) sempre surt algun error..
El que és important es que s'iniciï el dansguardian. Si l'error és :
connecting to parent proxy
aneu a services ->web proxy i mireu que estigui activat Enabled i Transparent.
si és dansguardian: permission denied
fer chmod -R 755 /etc/dansguardian /usr/sbin/dansguardian
Altres es poden arreglar amb
chown -R nobody: /tmp/dgvirus
Recomano que si us surt un error feu una cerca a DansGuardian 2.8.0.6 & AntiVirus 6.4.3
Recomano que reinicieu el servidor després de instal·la el dansguardian.
Instal·lar la interfície gràfica no te més complicació.
Si no voleu USB comenteu aquestes línies a /etc/rc.d/rc.sysinit
echo "Loading USB subsystem"
/sbin/modprobe usbcore 2> /dev/null
/sbin/modprobe usb-uhci 2> /dev/null
/sbin/modprobe usb-ohci 2> /dev/null
mount -t usbdevfs none /proc/bus/usb
Intal·lar la interfície gràfica no em va donar cap problema.
Finalment, amb tot funcionant, volia canviar algunes petites funcionalitats.
A vegades, el filtre de continguts és massa restrictiu, podeu anar a services->content filter->Groups i canviar el "Naughtyness limit", És com un límit de punts que pot tenir una pàgina per si es filtrada. Jo el tinc a 75. Les referències són:
50 is for young children
100 for old children
160 for young adults
També vaig activar el Temporary Denied Page bypass i el vaig possar a 300 (5 minuts).
Un cop fet això, a Logging->Reporting level vaig canviar a l'opció 2 que fa que et puguis personalitzar la pàgina de prohibit amb un script en perl.
Això últim, ho vaig fer per poder canviar la pàgina d'error i que si surt en el meu ordinador hi hagi una forma d'esquivar-ho temporalment, ja que en algunes web, la inclusió de publicitat fa que no es permeti la seva visualització.
Per fer això, assignarem una IP estàtica al nostre ordinador utilitzant l'adreça MAC i canviarem les opcions del servidor DHCP per a què no assigni la nostra IP, que en aquest cas serà 192.168.0.200
Ara doncs passem a fer l'script en perl. El meu està basat en un d'en dr3w2k Trobat als fòrums d'smoothwall.
L'script dansguardian.pl l'heu de posar a home/httpd/cgi-bin. podeu trobar instruccions més concretes per si us surt un error a Dansguardian Acces Denied
L'script en perl fa que surti una imatge si et connectes d'una ip en concreta que permet passar el bloqueig:
#!/usr/bin/perl
$allow_html_code = 0;
&ReadEnvs;
$deniedurl = $in{'DENIEDURL'};
$reason = $in{'REASON'};
$user = $in{'USER'};
$ip = $in{'IP'};
$hash = $in{'HASH'};
$ippriv = "192.168.0.200";
print "Content-type: text/html\n\n";
print '<HTML><HEAD><TITLE>DansGuardian - Accés Denegat</TITLE></HEAD>';
print '<BODY>';
if ($ip eq $ippriv) {
print '<CENTER>';
print '<TABLE WIDTH=700 BORDER=0 CELLPADDING=2 CELLSPACING=0><TR>';
print '<TD COLSPAN=2 HEIGHT=100 BGCOLOR=#fea700>';
print '<P ALIGN=CENTER><FONT FACE="arial, helvetica"><FONT SIZE=6><B>Accés denegat!</B> </FONT></FONT></P>';
print '</TD></TR><TR>';
print '<TD COLSPAN=2 HEIGHT=30 BGCOLOR=#fffacd> </TD>';
print '</TR><TR>';
print '<TD WIDTH=150 VALIGN=top align=center BGCOLOR=#b0c4de><img src="http://192.168.0.1:81/ui/assets/3.5/img/lock.gif">';
print '<br><br><br><FONT FACE="arial, helvetica"><b>La teva IP:</b>';
print "<br>$ip";
print '<br><br><br><br><br><br><br><br>';
print '<img src="http://192.168.0.1:81/ui/assets/3.5/img/smoothwall.promo.button.gif">';
print '<br><FONT FACE="arial, helvetica" size=-2>SmoothWall Express 2.0<br>amb DansGuardian i ClamAV</TD>';
print '<TD WIDTH=550 BGCOLOR=#ffffff>';
print "<br><P ALIGN=CENTER><FONT SIZE=4><FONT FACE=\"arial, helvetica\"><FONT COLOR=#000000>Em sap greu $user , però l'accés a:";
print "<BR><BR><A HREF=\"$deniedurl\">$deniedurl</A>";
print '<BR><BR><FONT SIZE=3>... ha estat denegat per aquest motiu:';
print "<BR><br><FONT COLOR=#ff0000><B>$reason</B>";
print "<Br><br><br><a href=\"$deniedurl?GBYPASS=$hash\"><img src=\"http://192.168.0.1:81/ui/assets/3.5/img/on.gif\" border=0></a>";
print '<br><br><br>';
print '</P></TD></TR></TABLE>';
print '</CENTER>';
}
else {
print '<CENTER>';
print '<CENTER>';
print '<TABLE WIDTH=700 BORDER=0 CELLPADDING=2 CELLSPACING=0><TR>';
print '<TD COLSPAN=2 HEIGHT=100 BGCOLOR=#fea700>';
print '<P ALIGN=CENTER><FONT FACE="arial, helvetica"><FONT SIZE=6><B>Accés denegat!!</B> </FONT></FONT></P>';
print '</TD></TR><TR>';
print '<TD COLSPAN=2 HEIGHT=30 BGCOLOR=#fffacd> </TD>';
print '</TR><TR>';
print '<TD WIDTH=150 VALIGN=top align=center BGCOLOR=#b0c4de><img src="http://192.168.0.1:81/ui/assets/3.5/img/lock.gif">';
print '<br><br><br><FONT FACE="arial, helvetica"><b>La teva IP:</b>';
print "<br>$ip";
print '<br><br><br><br><br><br><br><br>';
print '<img src="http://192.168.0.1:81/ui/assets/3.5/img/smoothwall.promo.button.gif">';
print '<br><FONT FACE="arial, helvetica" size=-2>SmoothWall Express 2.0<br>amb DansGuardian i ClamAV</TD>';
print '<TD WIDTH=550 BGCOLOR=#ffffff>';
print "<br><P ALIGN=CENTER><FONT SIZE=4><FONT FACE=\"arial, helvetica\"><FONT COLOR=#000000>Em sap greu $user , però l'accés a:";
print "<BR><BR><A HREF=\"$deniedurl\">$deniedurl</A>";
print '<BR><BR><FONT SIZE=3>... ha estat denegat per aquest motiu:';
print "<BR><br><FONT COLOR=#ff0000><B>$reason</B>";
print '<br><br><br>';
print '</P></TD></TR></TABLE>';
print '</CENTER>';
}
exit;
sub ReadEnvs {
local($cl, @clp, $pair, $name, $value);
if ( $ENV{'REQUEST_METHOD'} eq 'POST' ) {
read(STDIN, $cl, $ENV{'CONTENT_LENGTH'} );
}
else {
$cl = $ENV{'QUERY_STRING'};
}
@clp = split(/::/, $cl);
foreach $pair (@clp) {
($name, $value) = split(/==/, $pair);
$value =~ tr/+/ /;
$value =~ s/%([a-fA-F0-9][a-fA-F0-9])/pack("C", hex($1))/eg;
$value =~ s///g;
if ($allow_html_code != 1) {
$value =~ s/<([^>]|\n)*>//g;
}
$in{$name} = $value;
}
}
La imatge lock.gif és :
L'heu de possar a /home/httpd/html/ui/assets/3.5/img/
Aquest sistema és molt insegur, en pròximes entrades veurem com millorar la seguretat utilitzant, per exemple, usuaris. En aquests moments, si un usuari manualment posa la seva IP a 192.168.0.200, veurà la versió que li permet saltar-se el filtre.
Si tot això sembla massa complicat, sempre pots possar la teva IP a la llista d'excepcions Ip a services->Content-> "Exception IP list file" feu clic a edit i hi afegiu la vostra IP. Aquesta opció però, és menys interessant...Per cert, (penseu que si no heu fet el pas d'assignar una IP a la vostra MAC, cada cop canviarà la vostra adreça.!!!
Actualització: per mirar altres tipologies mirar a:
I de moment, això és tot. Per cert, els diagrames són fets amb Microsoft Visio.
Aquest sistema és molt insegur, en pròximes entrades veurem com millorar la seguretat utilitzant, per exemple, usuaris. En aquests moments, si un usuari manualment posa la seva IP a 192.168.0.200, veurà la versió que li permet saltar-se el filtre.
Si tot això sembla massa complicat, sempre pots possar la teva IP a la llista d'excepcions Ip a services->Content-> "Exception IP list file" feu clic a edit i hi afegiu la vostra IP. Aquesta opció però, és menys interessant...Per cert, (penseu que si no heu fet el pas d'assignar una IP a la vostra MAC, cada cop canviarà la vostra adreça.!!!
Actualització: per mirar altres tipologies mirar a:
I de moment, això és tot. Per cert, els diagrames són fets amb Microsoft Visio.
Etiquetes de comentaris: Català
Subscriure's a Missatges [Atom]
