Apresento a seguir alguns passos para se configurar um proxy transparente com o Ubuntu. O objetivo \u00e9 ter um ponto de monitora\u00e7\u00e3o das requisi\u00e7\u00f5es \u00e0 Internet feitas a partir dos computadores da rede dom\u00e9stica. N\u00e3o se trata de uma arquitetura de rede no estado-da-arte em seguran\u00e7a, principalmente em rela\u00e7\u00e3o a ataques internos, mas estes n\u00e3o s\u00e3o uma grande preocupa\u00e7\u00e3o no momento. N\u00e3o tive custos em equipamentos adicionais, pois usei uma m\u00e1quina antiga.<\/p>\n
A rede que temos em casa \u00e9 t\u00edpica: um roteador wireless Linksys WRT54G<\/strong> atr\u00e1s de um cable modem com V\u00edrtua. Os computadores conectam-se ao roteador por cabo ou rede wireless, e usam o servidor DHCP do pr\u00f3prio roteador.<\/p>\n Olhando assim, j\u00e1 se tinha o ponto \u00fanico de acesso \u00e0 Internet: o WRT54G. Mas, apesar de ser um roteador dom\u00e9stico espetacular, as funcionalidades de filtro, logging e monitora\u00e7\u00e3o s\u00e3o limitadas. Assim, a id\u00e9ia foi usar um computador antigo como roteador, antes de passar pelo WRT54G. Estando configurado como um roteador, o PC poderia fazer an\u00e1lise, filtro e monitora\u00e7\u00e3o dos acessos.<\/p>\n Nesta configura\u00e7\u00e3o, usei um computador antigo com as seguintes caracter\u00edsticas:<\/p>\n Instalei o Ubuntu Server 8.10 Intrepid<\/strong>. Ap\u00f3s a instala\u00e7\u00e3o, baixei o pacote xubuntu-desktop<\/strong> pelo apt-get para poder usar os recursos b\u00e1sicos de GUI. Ap\u00f3s a instala\u00e7\u00e3o, removi o teclado e o mouse, deixando apenas os cabos de rede e de for\u00e7a. Evita-se assim mais fios emaranhados pela casa, e os acessos s\u00e3o feitos por ssh -X<\/strong>.<\/p>\n IP Fixo no Roteador<\/strong><\/p>\n O primeiro passo \u00e9 configurar o IP fixo do servidor. O NetworkManager deu um certo trabalho ent\u00e3o configurei manualmente, no \/etc\/network\/interfaces:<\/p>\n Minha rede local \u00e9 192.168.1.X. O final 50 \u00e9 o IP do roteador, cujo hostname \u00e9 nets<\/strong>.O gateway padr\u00e3o \u00e9 o WRT54G (IP final 1).<\/p>\n \u00c9 preciso configurar tamb\u00e9m o servidor DNS a ser usado pelo nets, no arquivo \/etc\/resolv.conf. Uso o proprio WRT54G:<\/p>\n O NetworkManager \u00e9 meio metido a besta e \u00e0s vezes sobrescreve o resolv.conf. Depois de um reboot, ele sobrescreveu o meu. Alterei manualmente novamente, rebootei e o NM n\u00e3o mexeu mais nele.<\/p>\n Neste ponto, estamos acessando a Internet normalmente a partir do nets.<\/p>\n Servidor DNS<\/strong><\/p>\n O pr\u00f3ximo passo \u00e9 instalar o servidor DNS no nets. Isto n\u00e3o \u00e9 realmente necess\u00e1rio para o meu setup, pois poderia usar o pr\u00f3prio WRT54G como servidor DNS. Mas, se, quem sabe, no futuro, desejar-se fazer uma DMZ, j\u00e1 temos um DNS na rede interna, que apenas delega as requisi\u00e7\u00f5es para o WRT54G.<\/p>\n No Ubuntu, basta instalar o Bind:<\/p>\n N\u00e3o precisei alterar nenhuma configura\u00e7\u00e3o e ele j\u00e1 saiu funcionando, delegando as requisi\u00e7\u00f5es para o DNS server do \/etc\/resolv.conf. Para testar, pode usar o nslookup a partir de outro computador, digitando ‘server 192.168.1.50’ e depois consultando um dom\u00ednio.<\/p>\n Servidor DHCP<\/strong><\/p>\n A id\u00e9ia principal da configura\u00e7\u00e3o do roteador no nets \u00e9 que os computadores que usam DHCP tenham seu gateway configurado para o pr\u00f3prio nets. Ent\u00e3o, desabilitei o servidor DHCP no WRT54G e instalei um no nets, que vai distribuir os IPs na rede, assim como as configura\u00e7\u00f5es de gateway e DNS. Para instalar o servidor DHCP, podemos usar:<\/p>\n O arquivo de configura\u00e7\u00e3o principal \u00e9 o \/etc\/dhcp\/dhcpd.conf, no qual fiz as seguintes altera\u00e7\u00f5es:<\/p>\n Em resumo, estamos distibuindo IPs com final 150 a 200 para as m\u00e1quinas. Estas usar\u00e3o o nets e o WRT54G, nesta ordem, como servidores DNS. E o nets ser\u00e1 o gateway padr\u00e3o. Configurado isso, \u00e9 preciso reiniciar o servidor DHCP:<\/p>\n Para testar, pegamos um notebook que est\u00e1 conectado \u00e0 rede wireless e fazemos a desconex\u00e3o da rede, reconectando-o a seguir. O notebook deve pegar um IP como 192.168.1.150, com gateway e DNS apontando para 192.168.1.50 (nets). \u00c9 interessante, pois quem est\u00e1 provendo a conex\u00e3o na camada wireless (wi-fi) \u00e9 o WRT54G, mas quem est\u00e1 distribuindo os IPs \u00e9 o servidor nets.<\/p>\n Neste ponto, no entanto, n\u00e3o se consegue usar a Internet no notebook, pois o gateway 192.168.1.50 n\u00e3o est\u00e1 encaminhando os pacotes para a Internet.<\/p>\n IP forwarding <\/strong><\/p>\n Para que o nets passe realmente a agir como um roteador, precisamos alterar um par\u00eametro do kernel. Apesar de soar grave, \u00e9 bastante simples:<\/p>\n Para que tome efeito, fa\u00e7a reboot do servidor (sudo shutdown -r now). \u00c9 poss\u00edvel alterar isso sem rebootar, mas o reboot agora \u00e9 \u00fatil porque j\u00e1 testa a persist\u00eancia da configura\u00e7\u00e3o.<\/p>\n Ap\u00f3s o reboot, o notebook – e outros clientes DHCP – j\u00e1 podem acessar a Internet.<\/p>\n Squid Proxy<\/strong><\/p>\n O pr\u00f3ximo passo agora \u00e9 instalar e configurar o Squid, tradicional servidor de Proxy Web:<\/p>\n Fiz tr\u00eas altera\u00e7\u00f5es no \/etc\/squid\/squid.conf:<\/p>\n Alterado o arquivo, \u00e9 preciso reiniciar o servi\u00e7o:<\/p>\n Aqui, j\u00e1 se pode testar o Squid como proxy normal. No Firefox de um dos clientes DHCP, configure o servidor proxy apontando para o nets, porta 3128, para todos os protocolos. O navega\u00e7\u00e3o deve acontecer sem problemas e voc\u00ea pode acompanhar pelo log do squid:<\/p>\n Depois do teste, lembre-se de desconfigurar o servidor proxy no Firefox. O objetivo \u00e9 fazer um proxy transparente<\/strong>, ou seja, que n\u00e3o precisa de configura\u00e7\u00f5es na parte do cliente.<\/p>\n IPTables redirecionando para Squid<\/strong><\/p>\n O Iptables j\u00e1 vem instalado por padr\u00e3o no Ubuntu Server. Mas, para se assegurar que est\u00e1 em seu sistema, pode-se executar:<\/p>\n Ele vem configurado como “passa-tudo”. Ou seja, recebe o pacote (cujo encaminhamento j\u00e1 habilitamos no kernel) e libera o encaminhamento para o gateway. Para fazer com que o roteador direcione as requisi\u00e7\u00f5es HTTP para o Squid, \u00e9 preciso fazer uma altera\u00e7\u00e3o no Iptables:<\/p>\n Ou seja os pacotes TCP que chegarem para a porta 80 dever\u00e3o ser encaminhados para a porta 3128, onde est\u00e1 o Squid. \u00c9 poss\u00edvel fazer isto tamb\u00e9m para outras – ou qualquer – portas. Mas, neste exemplo, s\u00f3 nos interessa o tr\u00e1fego HTTP.<\/p>\n Para fazer com que estas configura\u00e7\u00f5es do Iptables n\u00e3o se percam no reboot, \u00e9 preciso salv\u00e1-las:<\/p>\n E criar um script de inicializa\u00e7\u00e3o da interface de rede:<\/p>\n Teste o reboot agora e depois verifique se a regra foi persistida no Iptables:<\/p>\n Conclus\u00e3o e pr\u00f3ximos passos<\/strong><\/p>\n Neste ponto, o notebook e os outros clientes DHCP devem estar navegando normalmente pela Internet, sem configura\u00e7\u00e3o especial de proxy. E o log disso pode ser acompanhado pelo Squid. Estando o tr\u00e1fego passando pelo Squid, pode-se usar todo o seu poder para filtrar, acelerar, monitorar e fazer cache de conte\u00fado.<\/p>\n O ambiente est\u00e1 OK, mas h\u00e1 alguns pontos de melhoria, como, por exemplo, configura\u00e7\u00e3o din\u00e2mica do servidor DNS no servidor DHCP, evitando que as requisi\u00e7\u00f5es DNS d\u00eaem tantos pulos dentro da rede. Do ponto de vista de seguran\u00e7a, tamb\u00e9m seria interessante bloquear no WRT54G as requisi\u00e7\u00f5es vindas de outros computadores que n\u00e3o o nets. Mas isso fica para outro dia.<\/p>\n\n
auto eth0\r\niface eth0 inet static\r\naddress 192.168.1.50\r\ngateway 192.168.1.1\r\nnetmask 255.255.255.0\r\nnetwork 192.168.1.0\r\nbroadcast 192.168.1.255<\/pre>\n
joao@nets:\/etc$ cat \/etc\/resolv.conf\r\n# Generated by NetworkManager\r\nnameserver 192.168.1.1<\/pre>\n
sudo apt-get install bind9<\/pre>\n
sudo apt-get install dhcp3-server<\/pre>\n
# Comentar as isto, para evitar configura\u00e7\u00f5es globais\r\n#option domain-name \"example.org\";\r\n#option domain-name-servers ns1.example.org, ns2.example.org;\r\n...\r\n# Descomentar e alterar a configura\u00e7\u00e3o da seguinte rede:\r\nsubnet 192.168.1.0 netmask 255.255.255.0 {\r\nrange 192.168.1.150 192.168.1.200;\r\noption domain-name-servers 192.168.1.50, 192.168.1.1;\r\noption domain-name \"intra.delvalle.com\";\r\noption routers 192.168.1.50;\r\noption broadcast-address 192.168.1.255;\r\ndefault-lease-time 6000;\r\nmax-lease-time 72000;\r\n}<\/pre>\nsudo \/etc\/init.d\/dhcp3-server restart<\/pre>\n
# descomente a seguinte linha, para habilitar o NAT no servidor\r\nnet.ipv4.ip_forward=1<\/pre>\n
sudo apt-get install squid<\/pre>\n
# Identificar a rede local em uma ACL\r\nacl localnet src 192.168.1.0\/24 # RFC1918 ...\r\n...\r\n# Descomentar para permitir acesso a partir da rede interna\r\nhttp_access allow localnet\r\n...\r\n# Adicionar o transparent para permitir HTTP transparente\r\n# para qualquer host e porta\r\nhttp_port 3128 transparent<\/pre>\n
sudo \/etc\/init.d\/squid restart<\/pre>\n
joao@nets:\/etc\/squid$ sudo -i\r\nroot@nets:~# tail -f \/var\/log\/squid\/*<\/pre>\n
sudo apt-get install iptables<\/pre>\n
sudo iptables -t nat -A PREROUTING -i eth0 -p tcp \\\\\r\n --dport 80 -j REDIRECT --to-port 3128<\/pre>\n
joao@nets:\/etc$ sudo -i\r\nroot@nets:~# iptables-save > \/etc\/iptables.rules<\/pre>\n
root@nets# echo '#!\/bin\/sh' > \/etc\/network\/if-up.d\/iptables\r\nroot@nets# echo 'iptables-restore < \/etc\/iptables.rules' >> \/etc\/network\/if-up.d\/iptables\r\nroot@nets# chmod +x \/etc\/network\/if-up.d\/iptables<\/pre>\n
joao@nets:~$ sudo iptables -L -v -t nat\r\nChain PREROUTING (policy ACCEPT 4 packets, 471 bytes)\r\npkts bytes target prot opt in out source destination\r\n0 0 REDIRECT tcp -- eth0 any anywhere anywhere tcp dpt:www redir ports 3128\r\n...<\/pre>\n