Re: instalar um servidor Debian GNU/Linux

To: debian-user-portuguese@lists.debian.org
Subject: Re: instalar um servidor Debian GNU/Linux
From: marciotex@pop.com.br
Date: Sun, 01 Aug 2004 17:16:22 -0300
Message-id: <[🔎] 87brhuehrd.fsf@marciotex.tchelinux>
References: <[🔎] I1RMEO$CE81F1307CE4395B9C191D49FF0808F7@terra.com.br>

Obrigado pela resposta, Vinícius.

"Vinicius Vasconcellos" <vini00@terra.com.br> writes:

>> Olá pessoal.
> Olá :D
>  
>> Assumi o compromisso de executar uma tarefa nova para mim: instalar um
>> servidor Debian GNU/Linux numa rede com 20 desktops windows. Não sou
>> profissional na área de computação. Talvez esteja começando a ser :)
>> Nunca havia pensado em ganhar grana mexendo em computadores mas pintou a
>> oportunidade e eu não devo recusá-la.
>
> Massa, boa sorte!
> Vamos lá, se eu responder errado, o pessoal  da lista por favor me corrija.
>
>> O cenário:
>> 
>> 1) a Internet será compartilhada por toda rede via um ponto de adsl;
>> 
>> 2) ainda não sei se o modem é também roteador (saberei logo);
>> 
>> 3) há um servidor Dell novinho em folha (ainda não sei suas
>>    especificações, saberei logo), para smtp, samba, backup, impressão,
>>    servidor web  (talvez squid e mysql também), todos estes serviços
>>    devem ficar restritos à rede interna; 
>
> Cuidado em alocar varios recursos num mesmo equipamento, já pensou se
> da pau, e a seguranca ?!? 

Ok, vou considerar isto.

>> 4) 20 desktops rodando windows (não por muito tempo, eu os
>> convencerei a migrar :) ) 
>> 
>> 5) uma máquina antiga (provavelmente um P100) para firewall
>> 
>> Bem, minhas primeiras dúvidas são as seguintes:
>> 
>> 1) Pelo que tenho me informado, o firewall (iptables) necessariamente
>>    deve rodar noutra máquina que o servidor "interno", por
>>    segurança. Estou certo?
>
> Sim, a maquina tem que ser um servidor interno mesmo.Assim:
> Link ADSL -> Firewall -> rede interna

Por quê? Suponhamos que o firewall seja configurado assim:
(configuração extraída do Kurumin)

# Abre para uma faixa de endereços da rede local
iptables -A INPUT -p tcp --syn -s 192.168.0.0/255.255.255.0 -j ACCEPT

# Abre para a interface de loopback.
# Esta regra é essencial para o KDE e outros programas gráficos 
# funcionarem adequadamente.

iptables -A INPUT -p tcp --syn -s 127.0.0.1/255.0.0.0 -j ACCEPT

# Ignora qualquer pacote de entrada, vindo de qualquer endereço, a menos
#  que especificado o contrário acima. Bloqueia tudo. 

iptables -A INPUT -p tcp --syn -j DROP

ou seja, todo pacote de entrada que é de fora é bloqueado.

Isto não impede, por exemplo, que o squid faça requisições HTTP para
fora e receba respostas não é? Não impede que o servidor smtp envie para
o smarthost (servidor do provedor) os e-mails de saída certo? Em suma,
não impede que a máquina firewall/servidor envie pacotes para fora e receba
respostas a estes pacotes. Ou impede? 

Esta é uma questão sobre a qual tenho dúvida e que é crucial. Se impede,
não há o que discutir: o servidor precisa receber respostas às suas
requisições para fora e, portanto, deve ser uma máquina distinta do firewall. 

>> 2) A máquina firewall necessariamente deve ser a máquina roteadora?
>> Por quê?  
>
> No meu ponto de vista, sim. Pq o link que chega da "RUA" passa pela
> maquina firewall, filtra a "informação" e "passa" para a rede
> interna. 
>
>> 
>> 3) Qual a diferença entre router e gateway?
> Router-> roteador, passar o pacote de um lado para outro (adsl para
>rede interna, e vice-versa) 
>
> Gateway ou dg (default gateway) -> portão de saida por onde "sai" a
> informação (neste caso e a maquina firewall) 

Deixa ver se entendi: suponhamos que eu tenha uma intranet fora da
internet, isolada. Esta rede deve ter um gateway, uma máquina
responsável por receber e entregar os pacotes, certo? Mas eu não preciso
de um router, pois não há lado de fora e lado de dentro. É isto?

Suponhamos que eu decida "ligar" esta rede à Internet. Então eu preciso
de uma máquina router, que dá uma mão para os indefesos pacotes
atravessarem a ponte :). É isto?

>> 4) Supondo que o modem seja roteador, não há problema em se ter uma
>>    outra máquina fazendo roteamento?
>
> Ai esbaramos no problema de performace (considerando tudo configurado)
> o sistema fara dois NAT um do modem para o Firewall e o "reverso".  
> Na minha opnião seria melhor realizar apenas um NAT, ou seja, modem->
> Firewall e o firewall realiza o NAT para a rede interna. 

Certo. E é possível "desligar" o roteamento do modem? Depende do modem?

Outra coisa, a máquina firewall, tens idéia de como dimensioná-la? Como
saber que performance eu preciso no firewall? Haverá poucas regras, em
princípio (suponho que isto tenha alguma relevância na performance). Um
link adsl (ainda não sei a taxa de upstream e dowstream). 

>  
>> 5) Sites, links e dicas sobre o assunto? Já li e estou estudando os
>>    HOWTOS "clássicos", (networking, router...) da ldp, além da
>>    documentação do netfilter.
>
> Já esta no caminho certo :D
>
> []s! 

Legal. Mais uma vez, obrigado pela atenção

Um abraço,
-- 
Marcio Roberto Teixeira

endereço eletrônico: marciotex@pop.com.br
chave pública: hkp://wwwkeys.pgp.net
                        http://www.marciotex.pop.com.br/keypub_8709626B.asc
página pessoal (em construção): http://www.marciotex.pop.com.br
Usuário "tchê" Debian/GNULinux

Porto Alegre - RS - Brasil

Reply to:

Follow-Ups:
- Re: instalar um servidor Debian GNU/Linux
  - From: caio ferreira <idic@terra.com.br>

References:
- Re:instalar um servidor Debian GNU/Linux
  - From: "Vinicius Vasconcellos" <vini00@terra.com.br>

Prev by Date: Re: por que e como configurar MTA no Debian perfil desktop?
Next by Date: Re:instalar um servidor Debian GNU/Linux
Previous by thread: Re:instalar um servidor Debian GNU/Linux
Next by thread: Re: instalar um servidor Debian GNU/Linux
Index(es):
- Date
- Thread