Você está na página 1de 15

07/07/13

07/07/13 Vyatta, o concorrente livre dos roteadores Cisco [Artigo]

Vyatta, o concorrente livre dos roteadores Cisco [Artigo]

07/07/13 Vyatta, o concorrente livre dos roteadores Cisco [Artigo]

Vyatta, o concorrente livre dos roteadores Cisco

Autor: Davidson Rodrigues Paulo <davidsonpaulo at gmail.com> Data: 24/03/2009

O que é Vyatta

Vyatta é uma solução de roteador, firewall e VPN de código aberto, com suporte comercial, criada para concorrer com as soluções proprietárias e inflexíveis existentes no mercado, como as da Cisco.

Na sua essência, o Vyatta é uma distribuição Linux baseada no Debian especialmente desenvolvida para funcionar como um roteador, incluindo uma interface de gerenciamento que facilita a configuração de diversos serviços como rotas dinâmicas, DHCP, proxy, alta disponibilidade etc.

Por ser baseado em software, o Vyatta pode ser instalado em qualquer hardware convencional ou mesmo ser virtualizado. Por ser um software livre, ele pode ser obtido gratuitamente, incluindo seu código-fonte. Por ser uma distribuição Linux, você pode instalar e configurar qualquer software que não seja originalmente suportado pelo Vyatta. Por ser um produto comercial, você pode contratar serviços de suporte e treinamento, tendo inclusive a opção de adquirir appliances, que são hardwares especializados que já vêm com o Vyatta instalado.

O que o Vyatta pode fazer por mim

A seguir a relação dos recursos encontrados no Vyatta.

Protocolos IP e de roteamento:

IPv4encontrados no Vyatta. Protocolos IP e de roteamento: RIPv2 OSPFv2 Rotas estáticas BGPv4 IPv6 Gerenciamento de

RIPv2encontrados no Vyatta. Protocolos IP e de roteamento: IPv4 OSPFv2 Rotas estáticas BGPv4 IPv6 Gerenciamento de

OSPFv2no Vyatta. Protocolos IP e de roteamento: IPv4 RIPv2 Rotas estáticas BGPv4 IPv6 Gerenciamento de endereço

Rotas estáticasno Vyatta. Protocolos IP e de roteamento: IPv4 RIPv2 OSPFv2 BGPv4 IPv6 Gerenciamento de endereço IP:

BGPv4IP e de roteamento: IPv4 RIPv2 OSPFv2 Rotas estáticas IPv6 Gerenciamento de endereço IP: Estático Relay

IPv6IP e de roteamento: IPv4 RIPv2 OSPFv2 Rotas estáticas BGPv4 Gerenciamento de endereço IP: Estático Relay

Gerenciamento de endereço IP:

EstáticoRotas estáticas BGPv4 IPv6 Gerenciamento de endereço IP: Relay DHCP Servidor DHCP DNS dinâmico

Relay DHCPBGPv4 IPv6 Gerenciamento de endereço IP: Estático Servidor DHCP DNS dinâmico

Servidor DHCPIPv6 Gerenciamento de endereço IP: Estático Relay DHCP DNS dinâmico

DNS dinâmicode endereço IP: Estático Relay DHCP Servidor DHCP www.vivaolinux.com.br/artigos/impressora.php?codigo=9736

07/07/13

Vyatta, o concorrente livre dos roteadores Cisco [Artigo]

Cliente DHCPVyatta, o concorrente livre dos roteadores Cisco [Artigo] Encaminhamento de DNS Encapsulamento: Ethernet Frame Relay

Encaminhamento de DNSconcorrente livre dos roteadores Cisco [Artigo] Cliente DHCP Encapsulamento: Ethernet Frame Relay VLANs 802.1Q MLPPP PPP

Encapsulamento:

Ethernet[Artigo] Cliente DHCP Encaminhamento de DNS Encapsulamento: Frame Relay VLANs 802.1Q MLPPP PPP HDLC PPPoE GRE

Frame RelayCliente DHCP Encaminhamento de DNS Encapsulamento: Ethernet VLANs 802.1Q MLPPP PPP HDLC PPPoE GRE IP in

VLANs 802.1QEncaminhamento de DNS Encapsulamento: Ethernet Frame Relay MLPPP PPP HDLC PPPoE GRE IP in IP Otimização

MLPPPde DNS Encapsulamento: Ethernet Frame Relay VLANs 802.1Q PPP HDLC PPPoE GRE IP in IP Otimização

PPPDNS Encapsulamento: Ethernet Frame Relay VLANs 802.1Q MLPPP HDLC PPPoE GRE IP in IP Otimização de

HDLCEncapsulamento: Ethernet Frame Relay VLANs 802.1Q MLPPP PPP PPPoE GRE IP in IP Otimização de performance:

PPPoEEthernet Frame Relay VLANs 802.1Q MLPPP PPP HDLC GRE IP in IP Otimização de performance: Balanceamento

GREEthernet Frame Relay VLANs 802.1Q MLPPP PPP HDLC PPPoE IP in IP Otimização de performance: Balanceamento

IP in IPEthernet Frame Relay VLANs 802.1Q MLPPP PPP HDLC PPPoE GRE Otimização de performance: Balanceamento de carga

Otimização de performance:

Balanceamento de carga de link WANPPP HDLC PPPoE GRE IP in IP Otimização de performance: Fila de pacotes por prioridade (QoS)

Fila de pacotes por prioridade (QoS)de performance: Balanceamento de carga de link WAN Bonding de link Ethernet Fila de pacotes por

Bonding de link Ethernetde carga de link WAN Fila de pacotes por prioridade (QoS) Fila de pacotes por classe

Fila de pacotes por classe (QoS)de pacotes por prioridade (QoS) Bonding de link Ethernet MLPPP Controle de banda ECMP Cache de

MLPPPBonding de link Ethernet Fila de pacotes por classe (QoS) Controle de banda ECMP Cache de

Controle de bandade link Ethernet Fila de pacotes por classe (QoS) MLPPP ECMP Cache de Web Registro e

ECMPFila de pacotes por classe (QoS) MLPPP Controle de banda Cache de Web Registro e monitoramento:

Cache de Webde pacotes por classe (QoS) MLPPP Controle de banda ECMP Registro e monitoramento: Syslog SNMPv2c Segurança:

Registro e monitoramento:

Syslogde banda ECMP Cache de Web Registro e monitoramento: SNMPv2c Segurança: Firewall de inspeção dependente de

SNMPv2cde banda ECMP Cache de Web Registro e monitoramento: Syslog Segurança: Firewall de inspeção dependente de

Segurança:

Firewall de inspeção dependente de estado (stateful)de Web Registro e monitoramento: Syslog SNMPv2c Segurança: Network Address Translation (NAT) VPN baseada em SSL

Network Address Translation (NAT)Firewall de inspeção dependente de estado (stateful) VPN baseada em SSL (OpenVPN) VPN site-a-site (IPSec) VPN

VPN baseada em SSL (OpenVPN)de estado (stateful) Network Address Translation (NAT) VPN site-a-site (IPSec) VPN remota (PPTP, L2TP, IPSec)

VPN site-a-site (IPSec)Address Translation (NAT) VPN baseada em SSL (OpenVPN) VPN remota (PPTP, L2TP, IPSec) Encriptação DES, 3DES,

VPN remota (PPTP, L2TP, IPSec)(NAT) VPN baseada em SSL (OpenVPN) VPN site-a-site (IPSec) Encriptação DES, 3DES, AES Autenticação MD5 e

Encriptação DES, 3DES, AESVPN site-a-site (IPSec) VPN remota (PPTP, L2TP, IPSec) Autenticação MD5 e SHA-1 Prevenção de invasão Filtro

Autenticação MD5 e SHA-1VPN remota (PPTP, L2TP, IPSec) Encriptação DES, 3DES, AES Prevenção de invasão Filtro de URL Alta

Prevenção de invasãoEncriptação DES, 3DES, AES Autenticação MD5 e SHA-1 Filtro de URL Alta disponibilidade: VRRP

Filtro de URL3DES, AES Autenticação MD5 e SHA-1 Prevenção de invasão Alta disponibilidade: VRRP

Alta disponibilidade:

VRRPPrevenção de invasão Filtro de URL Alta disponibilidade: www.vivaolinux.com.br/artigos/impressora.php?codigo=9736

07/07/13

Vyatta, o concorrente livre dos roteadores Cisco [Artigo]

Cluster de VPN IPSecVyatta, o concorrente livre dos roteadores Cisco [Artigo] Isolamento de falha de protocolo Administração: CLI

Isolamento de falha de protocololivre dos roteadores Cisco [Artigo] Cluster de VPN IPSec Administração: CLI integrada Interface gráfica Web

Administração:

CLI integradaVPN IPSec Isolamento de falha de protocolo Administração: Interface gráfica Web Arquivo de configuração único

Interface gráfica Webde falha de protocolo Administração: CLI integrada Arquivo de configuração único Telnet SSHv2 Diagnósticos

Arquivo de configuração únicoAdministração: CLI integrada Interface gráfica Web Telnet SSHv2 Diagnósticos e rastreamento de pacotes:

TelnetInterface gráfica Web Arquivo de configuração único SSHv2 Diagnósticos e rastreamento de pacotes: tcpdump

SSHv2gráfica Web Arquivo de configuração único Telnet Diagnósticos e rastreamento de pacotes: tcpdump Captura de

Diagnósticos e rastreamento de pacotes:

tcpdumpúnico Telnet SSHv2 Diagnósticos e rastreamento de pacotes: Captura de pacotes com Wireshark Suporte a BGP

Captura de pacotes com WiresharkSSHv2 Diagnósticos e rastreamento de pacotes: tcpdump Suporte a BGP MD5 Comandos de loopback serial

Suporte a BGP MD5de pacotes: tcpdump Captura de pacotes com Wireshark Comandos de loopback serial Virtualização: VMware Tools

Comandos de loopback serialtcpdump Captura de pacotes com Wireshark Suporte a BGP MD5 Virtualização: VMware Tools integrado Paravirtualização

Virtualização:

VMware Tools integradoa BGP MD5 Comandos de loopback serial Virtualização: Paravirtualização Xen Quem desenvolve o Vyatta O Vyatta

Paravirtualização Xende loopback serial Virtualização: VMware Tools integrado Quem desenvolve o Vyatta O Vyatta é desenvolvido pela

Quem desenvolve o Vyatta

O Vyatta é desenvolvido pela empresa de mesmo nome, Vyatta, Inc. Sediada em Belmont, Califórnia, a

empresa é composta por especialistas oriundos de grandes companhias que participaram ativamente do processo de crescimento do uso do software livre e de código aberto e/ou são grandes nomes do segmento de equipamentos e softwares de rede, entre elas Cisco, Nortel, Redhat, Sun Microsystems, Redback Networks, Digital Island, Level 3, Internap, Hewlett-Packard, Oracle e AMD. Uma curiosidade: a empresa foi fundada em 2005 por Allan Leinwand, um ex-funcionário da Cisco, contratado na época em que a empresa tinha aproximadamente 100 funcionários apenas.

O modelo de negócios da Vyatta é baseado na venda de suporte, serviços, treinamento e hardware.

Para mais informações, leia o Vyatta Corporate em formato PDF:

Curioso para ver como utilizar o Vyatta? Não perca tempo, vire a página!

Obtendo e iniciando o Vyatta

07/07/13

Vyatta, o concorrente livre dos roteadores Cisco [Artigo]

Antes de continuar, quero esclarecer algo. Talvez você tenha visto a lista de recursos do Vyatta e imaginado:

"Tá, tudo bem, mas quais desses recursos estão disponíveis na versão gratuita e quais estão disponíveis só na versão paga?". Se esse for o caso, saiba que não existe uma versão paga do Vyatta pois, como dito anteriormente, o modelo de negócios do fabricante é baseado na venda de serviços e de hardware, o software é sempre aberto e gratuito. Portanto, se você não puder (ou não quiser) gastar nada com o Vyatta, não precisará abrir mão de nenhum dos recursos que ele oferece.

Dito isto, vamos baixar o Vyatta e começar a usá-lo. Para esse artigo, estamos considerando a versão VC5.0.2, que você pode baixar em algum dos endereços abaixo:

Appliance para VMware: vyatta-virtual-appliance-vc5.0.2.zip vyatta-virtual-appliance-vc5.0.2.zip

Nos meus testes, usei a imagem ISO para instalar o Vyatta em uma máquina virtual VirtualBox. Se você

utilizar o VMware, baixe o appliance, que já vem pronto para usar. Para instalar em um hardware real, baixe

a imagem ISO e grave-a em um CD.

O Vyatta é um live-CD, o que significa que você pode testá-lo, configurá-lo e só depois instalar no sistema, que é o que faremos nesse artigo.

Utilizei o VirtualBox para criar uma máquina virtual com as seguintes características:

Nome: Vyatta 5;uma máquina virtual com as seguintes características: Tipo de sistema: Debian; Memória principal: 256MB; Disco

Tipo de sistema: Debian;virtual com as seguintes características: Nome: Vyatta 5; Memória principal: 256MB; Disco rígido: 8GB; Rede: eth0

Memória principal: 256MB;características: Nome: Vyatta 5; Tipo de sistema: Debian; Disco rígido: 8GB; Rede: eth0 (interface do hospedeiro),

Disco rígido: 8GB;5; Tipo de sistema: Debian; Memória principal: 256MB; Rede: eth0 (interface do hospedeiro), eth1 (rede interna,

Rede: eth0 (interface do hospedeiro), eth1 (rede interna, 'Vyatta');Debian; Memória principal: 256MB; Disco rígido: 8GB; CD/DVD-ROM: Imagem (vyatta-livecd-vc5.0.2.iso). Também para

CD/DVD-ROM: Imagem (vyatta-livecd-vc5.0.2.iso).do hospedeiro), eth1 (rede interna, 'Vyatta'); Também para os testes, criei uma máquina virtual Zenwalk

Também para os testes, criei uma máquina virtual Zenwalk 6.0 para usar o Vyatta como gateway, com as seguintes características:

Nome: Zenwalk 6.0;o Vyatta como gateway, com as seguintes características: Tipo de sistema: Linux 2.6; Memória principal: 256MB;

Tipo de sistema: Linux 2.6; Linux 2.6;

Memória principal: 256MB;Nome: Zenwalk 6.0; Tipo de sistema: Linux 2.6; Disco rígido: 8GB; Rede: eth0 (rede interna,

Disco rígido: 8GB;Tipo de sistema: Linux 2.6; Memória principal: 256MB; Rede: eth0 (rede interna, 'Vyatta'). Agora basta

Rede: eth0 (rede interna, 'Vyatta').Linux 2.6; Memória principal: 256MB; Disco rígido: 8GB; Agora basta iniciar a máquina virtual Vyatta e

Agora basta iniciar a máquina virtual Vyatta e deixá-la inicializar a partir do live-CD do Vyatta, o que exibirá

a tela mostrada abaixo.

07/07/13

Vyatta, o concorrente livre dos roteadores

Cisco [Artigo]

Vyatta, o concorrente livre dos roteadores Cisco [Artigo] Press i one Enter para carregar o s

Pressione Enter para carregar o sistema e então faça login usando o usuário "vyatta" e a senha "vyatta":

d o o usuário "vyatta" e a senha "vyatta": Pronto, o Vyatta já est á f

Pronto, o Vyatta está funcional. Você pode configurá-lo, ver se funciona e só depois instalá-lo no computador. A partir da próxima página veremos como realizar algumas operações no Vyatta.

Preparando-se para configurar o roteador

A configuração inicial do Vyatta deve ser feita através da sua interface em modo texto. Para alterarmos qualquer opção precisaremos entrar no modo de configuração, através do comando "configure". Sabemos que estamos no modo de configuração quando é exibido o texto '[edit]' sempre que apertamos a tecla Enter.

Uma vez no modo de configuração, utilizamos o comando set para alterar as propriedades dos recursos oferecidos pelo Vyatta. Como exemplo, vamos alterar os dados da interface ethernet eth0:

# set interfaces ethernet eth0 address 192.168.0.1/24

# set interfaces ethernet eth0 description "Rede Local"

No exemplo acima, repare que nós digitamos "set interfaces ethernet eth0" nos dois comandos executados.

07/07/13

Vyatta, o concorrente livre dos roteadores Cisco [Artigo]

Podemos reduzir a digitação, agilizando o trabalho, com o comando edit. A seguir, usaremos o edit para realizar a mesma configuração anterior, porém de uma maneira mais prática, digitando 15% menos caracteres:

# edit interfaces ethernet eth0

# set address 192.168.0.1/24

# set description "Rede Local"

# exit

Você vai perceber que, após usar o comando edit, sempre que pressionarmos Enter será exibido "[edit interfaces ethernet eth0]" ao invés de apenas "[edit]", assim você sabe que está editando uma opção específica. O comando exit serve para você retornar a raiz das configurações do Vyatta.

Um recurso muito útil é o complemento automático de comandos. Assim, por exemplo, se você digitar "set int[Tab]" ele completará automaticamente para "set interfaces". O complemento automático funciona também para exibir quais os comandos, opções ou parâmetros estão disponíveis. Assim, se tivermos duas interfaces de rede ethernet, por exemplo, eth0 e eth1, e digitarmos "set interfaces ethernet [Tab]", o Vyatta mostrará as duas interfaces disponíveis.

As configurações realizadas com o comando set não são aplicadas imediatamente. Para que elas entrem em vigor é necessário executar:

# commit

Dessa forma, podemos alterar várias configurações e aplicá-las todas de uma única vez. Ainda assim, qualquer modificação realizada no Vyatta é válida somente até ele ser desligado. Para tornar as modificações permanentes, é preciso utilizar o seguinte comando:

# save

Para sair do modo de configuração, digite:

# exit

Se você tiver feito alguma alteração e não quiser aplicá-la, digite:

# exit discard

Agora você já sabe o que é necessário saber para conseguir navegar entre as opções do Vyatta e alterar suas configurações. Vire a página para aprender a configurar o seu roteador.

Configurando o Vyatta: configurações locais

Interfaces de rede

O ambiente de rede tratado nesse artigo é o seguinte:

07/07/13

Vyatta, o concorrente livre dos roteadores Cisco [Artigo]

Vyatta, o concorrente livre dos roteadores Cisco [Artigo] Com essas i n f ormações em mãos,

Com essas informações em mãos, vamos configurar as interfaces de rede do Vyatta. (Você deve estar no modo de configuração).

# edit interfaces ethernet eth0

# set address 192.168.0.198/24

# set description "Internet"

# exit

# edit interfaces ethernet eth1

# set address 10.0.0.1/24

# set description "Rede local"

# commit

Agora precisamos configurar o DNS e o gateway padrão:

# edit system

# set name-server 192.168.0.72

# set name-server 192.168.0.74

# set gateway-address 192.168.0.1

# commit

Vamos definir o domínio e o nome de máquina (hostname):

# edit system

# set domain-search domain vyatta.int

# set domain-search domain vyatta.com.br

# set host-name router

# commit

NOTA: A opção "domain-search" deve ser usada apenas quando se utiliza mais de um domínio na rede, se esse não for o caso deve-se usar a opção domain-name.

Por fim, vamos ajustar o fuso horário e definir o servidor de hora (NTP).

# edit system

# set ntp-server 192.168.0.72

# set time-zone Brazil/East

# commit

Pronto, nosso roteador já deve ser capaz de acessar os recursos de rede, resolver nomes e acessar a

07/07/13

Vyatta, o concorrente livre dos roteadores Cisco [Artigo]

internet. Agora, devemos configurá-lo de forma a permitir que a máquina virtual Zenwalk acesse os mesmos serviços através do Vyatta. Veremos isso na próxima página.

Configurando o Vyatta: DHCP, NAT e proxy

DHCP

Nossa primeira tarefa é configurar o servidor DHCP para que as máquinas da rede 10.0.0.0/24 possam obter um endereço IP automaticamente. Primeiramente, fazemos a configuração geral do serviço:

# edit service dhcp-server

# set disabled false

# edit shared-network-name rede-local

# set authoritative disable

# edit subnet 10.0.0.0/24

# set start 10.0.0.11 stop 10.0.0.200

# set dns-server 192.168.0.72

# set dns-server 192.168.0.74

# set default-router 10.0.0.1

# set server-identifier 10.0.0.1

# commit

Pronto, o servidor DHCP já está ativo e os computadores da rede 10.0.0.0/24 já conseguem obter um endereço IP automaticamente.

Se quisermos que uma determinada máquina sempre obtenha o mesmo IP, basta criar um mapeamento estático. Para fazer isso, vamos precisar do endereço físico (MAC address) da placa de rede.

# edit service dhcp-server

# edit shared-network-name rede-local subnet 10.0.0.0/24

# edit static-mapping administrador

# set ip-address 10.0.0.199

# set mac-address 00:13:AB:43:F8:42

# commit

Com o comando acima, nós definimos que o IP 10.0.0.199 está reservado para o computador cuja placa de rede tiver o endereço MAC 00:13:AB:43:F8:42.

Configurando NAT

Para que as estações de trabalho da rede 10.0.0.0/24 possam acessar tanto a rede 192.168.0.0/24 quanto a internet, podemos criar uma regra de NAT simples para mascaramento de IP:

07/07/13

Vyatta, o concorrente livre dos roteadores Cisco [Artigo]

# edit service nat rule 1

# set type masquerade

# set outbound-interface eth0

# commit

Para fins de comparação, os comandos acima têm o mesmo efeito da seguinte regra do iptables:

# iptables -A POSTROUTING -t nat -o eth0 -j MASQUERADE

Feito isso, as estações já poderão acessar as redes externas, inclusive a internet.

E, por falar em internet, que tal dar uma acelerada na Web, habilitando um cache de páginas? O Vyatta vem

com recursos de proxy-cache, usando para isso o aclamado Squid. Para habilitar um proxy transparente

apenas para cache, com tamanho de 1GB (1024MB), os comandos abaixo são suficientes:

# edit service webproxy

# set cache-size 1024

# set default-port 3128

# set listen-address 10.0.0.1

# commit

Se você quiser bloquear algum site ou domínio, o Vyatta também lhe dá essa opção. Como exemplo, vamos bloquear todo o domínio microsoft.com, deixando liberado apenas o subdomínio technet.microsoft.com:

#

edit service webproxy url-filtering squidguard

#

set local-block microsoft.com

#

set local-ok technet.microsoft.com

#

set redirect-url http://192.168.0.80/acesso_negado.php?url=%u

#

commit

O

endereço:

http://192.168.0.80/acesso_negado.php?url=%u

será exibido quando o usuário acessar uma URL bloqueada, onde a variável %u será substituída pela URL em questão, de forma que, se o usuário acessar, por exemplo, http://www.microsoft.com, o Vyatta vai redirecionar o usuário para o endereço:

http://192.168.0.80/acesso_negado.php?url=http://www.microsoft.com

Para uma lista de variáveis válidas, consulte a documentação do SquidGuard em:

Nosso roteador já está funcional, agora é hora de aumentar a segurança. Próxima página!

Configurando o Vyatta: firewall

07/07/13

Vyatta, o concorrente livre dos roteadores Cisco [Artigo]

Até o momento, configuramos o acesso à rede 192.168.0.0/24 e à internet sem nenhuma restrição, ou seja, todo e qualquer computador da rede 10.0.0.0/24 pode acessar qualquer recurso externo, além de o próprio Vyatta estar acessível a partir de qualquer computador de qualquer uma das redes às quais ele está ligado, o que não é nada bom do ponto de vista da segurança. Temos que restringir o acesso e, para isso, vamos usar os recursos de firewall do Vyatta.

Antes de iniciar a configuração, é preciso entender como o Vyatta organiza as regras de firewall. O processo consiste de duas etapas: primeiro, cria-se um grupo de regras, que recebe um nome para fácil identificação e, depois, esse conjunto de regras é associado a uma interface de rede.

Cada interface de rede pode ter associadas no máximo três conjuntos de regras de firewall, sendo uma para cada direção do tráfego de rede. As direções aqui são:

in: tráfego que entra pela interface com destino a um computador de outra rede;cada direção do tráfego de rede. As direções aqui são: out: tráfego saindo pela interface vindo

out: tráfego saindo pela interface vindo de um computador de outra rede;pela interface com destino a um computador de outra rede; local: tráfego entrando pela interface com

local: tráfego entrando pela interface com destino ao Vyatta ou com origem no Vyatta saído pela interface.saindo pela interface vindo de um computador de outra rede; Sabendo isso, vamos começar criando um

Sabendo isso, vamos começar criando um conjunto de regras que permita à estação do administrador (10.0.0.199) acessar a internet. Para que isso seja possível, os seguintes acessos deverão ser liberados:

Acesso à porta 80/TCP de qualquer IP;seja possível, os seguintes acessos deverão ser liberados: Acesso à porta 53/UDP dos servidores DNS (192.168.0.72

Acesso à porta 53/UDP dos servidores DNS (192.168.0.72 e 192.168.0.74).ser liberados: Acesso à porta 80/TCP de qualquer IP; Como o tráfego tem origem na LAN

Como o tráfego tem origem na LAN com destino à internet, vamos chamar esse conjunto de regras de "lan- net".

Com esses dados em mãos, vamos criar a primeira regra do nosso firewall:

# edit firewall name lan-net rule 1

# set description "Administrador acessar a internet"

# set source address 10.0.0.199

# set destination port 80

# set protocol tcp

# set state new enable

# set state established enable

# set action accept

# exit

Agora, vamos liberar o acesso aos servidores DNS, regras 2 e 3:

# edit firewall name lan-net rule 2

# set description "Administrador acessar DNS"

# set source address 10.0.0.199

# set destination address 192.168.0.72

# set destination port 53

# set protocol udp

07/07/13

Vyatta, o concorrente livre dos roteadores Cisco [Artigo]

# set state new enable

# set state established enable

# set action accept

# exit

# edit firewall name lan-net rule 3

# set description "Administrador acessar DNS"

# set source address 10.0.0.199

# set destination address 192.168.0.74

# set destination port 53

# set protocol udp

# set state new enable

# set state established enable

# set action accept

# exit

Agora, precisamos associar essas regras a uma interface de rede. No nosso caso, as regras se aplicam ao tráfego de rede que entra pela interface eth1 com direção à rede externa. Portanto, vamos aplicar essas regras na direção "in" da interface eth1 e usar o comando commit para que as regras de firewall entrem em vigor:

# set interfaces ethernet eth1 firewall in name lan-net

# commit

Tenha bastante atenção ao criar suas regras de firewall, pois a partir do momento que você as aplica em uma determinada direção de uma interface de rede, todo o tráfego relacionado que não for explicitamente liberado será bloqueado.

As três regras de firewall mostradas aqui são equivalentes aos seguintes comandos do iptables:

# iptables -A FORWARD -i eth1 -s 10.0.0.199 -p tcp --dport 80 -m state --state NEW,ESTABLISHED -j ACCEPT

# iptables -A FORWARD -i eth1 -s 10.0.0.199 -d 192.168.0.72 -p udp --dport 53 -m state --state NEW,ESTABLISHED -j ACCEPT

# iptables -A FORWARD -i eth1 -s 10.0.0.199 -d 192.168.0.74 -p udp --dport 53 -m state --state NEW,ESTABLISHED -j ACCEPT

# iptables -A FORWARD -i eth1 -j DROP

-j ACCEPT # iptables -A FORWARD -i eth1 -j DROP NOTA: Observe a última regra: nós

NOTA: Observe a última regra: nós não a criamos, ela foi aplicada automaticamente pelo Vyatta.

Com base nesse exemplo você poderá facilmente configurar outras regras de firewall para gerenciar o tráfego das redes conectadas ao seu roteador.

Configurando o Vyatta: acesso remoto

O Vyatta pode ser administrado de três diferentes maneiras:

1. SSH

07/07/13

Vyatta, o concorrente livre dos roteadores Cisco [Artigo]

2. Telnet

3. Web (HTTPS)

O uso do telnet não é recomendado, visto que as informações são transportadas em um canal inseguro.

Vamos mostrar como habilitar somente o SSH e a interface Web, ambas utilizando criptografia para

transporte seguro de dados.

SSH

Para habilitar o SSH na porta 22 e não permitir login como root, execute os seguintes comandos:

# edit service ssh

# set port 22

# set allow-root false

# commit

É importante criar regras de firewall para restringir o acesso via SSH somente para os IPs dos

administradores do roteador. No nosso caso, vamos liberar esse acesso para o IP 10.0.0.199. O tráfego tem origem na LAN com direção ao Vyatta, então vamos chamar o novo conjunto de regras de firewall de "lan-

local":

# edit firewall name lan-local rule 1

# set description "Administrador acessar Vyatta via SSH"

# set source address 10.0.0.199

# set destination address 10.0.0.1

# set destination port 22

# set protocol tcp

# set state new enable

# set state established enable

# set action accept

# exit

# set interfaces ethernet eth1 firewall local name lan-local

# commit

Interface web

A interface de gerenciamento Web é bem simples, sendo uma representação gráfica fiel dos comandos

disponíveis no modo texto, o que é bom pois, dessa forma, o uso da interface gráfica não fará você esquecer como utilizar a interface texto e vice-versa. No mais, a interface Web nos permite realizar as configurações mais rapidamente na maioria dos casos.

Para habilitar a interface de gerenciamento Web, basta um único comando, seguido de um commit:

# set service https

07/07/13

Vyatta, o concorrente livre dos roteadores Cisco [Artigo]

# commit

Depois, assim como no caso do SSH, precisamos liberar o acesso somente para o administrador. Vamos adicionar uma regra ao conjunto de regras lan-local:

# edit firewall name lan-local rule 2

# set description "Administrador acessar Vyatta via Web"

# set source address 10.0.0.199

# set destination address 10.0.0.1

# set destination port 443

# set protocol tcp

# set state new enable

# set state established enable

# set action accept

# commit

Bom, agora nós já testamos o Vyatta tempo suficiente para decidirmos instalá-lo na máquina. Vamos fazer isso? Próxima página!

Instalando o Vyatta

Antes de iniciar a instalação do Vyatta, você provavelmente vai querer que ele utilize as configurações que você definiu enquanto executava o sistema a partir do live-CD. Para fazer isso, basta salvar as alterações:

# save

# exit

Agora, basta iniciar o processo de instalação:

$ install-system

A instalação é tão simples que dispensa maiores explicações, você só vai precisar saber como utilizar o fdisk caso queira criar um esquema de particionamento diferente do padrão, o que dificilmente será necessário.

diferente do padrão, o que dificilmente será necessário. www.vivaolinux.com.br/artigos/impressora.php?codigo=9736

07/07/13

Vyatta, o concorrente livre dos roteadores Cisco [Artigo]

Vyatta, o concorrente livre dos roteadores Cisco [Artigo] Term i na d o o processo, re

Terminado o processo, reinicie o roteador e deixe-o iniciar pelo disco rígido:

$ reboot

Parabéns, seu roteador Vyatta está instalado e funcionando. Agora você pode configurar quaisquer outros serviços que deseje.

Considerações finais

O objetivo desse artigo é apresentar o Vyatta, mostrando apenas seus recursos mais básicos. O Vyatta é um

roteador realmente muito completo, atendendo tanto as necessidades de iniciantes que desejam configurar serviços de rede básicos como de especialistas que precisam configurar sistemas avançados de roteamento para redes de grande porte, e tanto dos usuários domésticos quanto das grandes corporações.

A possibilidade de utilizá-lo em hardware convencional o torna uma solução muito mais flexível. Além disso,

por ser um software livre e não possuir diferentes versões com mais ou menos recursos, mas uma única versão com todos eles disponíveis, não temos a preocupação que costumamos ter na escolha de roteadores proprietários, que são vendidos em diversos modelos e configurações e, via de regra, quanto mais recursos possuem, mais caros são.

Os fabricantes do Vyatta declaram ser concorrentes diretos da Cisco, nada mais nada menos que o líder

07/07/13

Vyatta, o concorrente livre dos roteadores Cisco [Artigo]

mundial em roteadores de rede, anunciando o Vyatta como uma solução superior sob muitos aspectos, por fazer mais com menos. Exagero? Não sei. Ainda não vi ninguém que tenha dito que é exagero. Até agora, só li coisas boas acerca do Vyatta. Eu testei e gostei, e não há motivos para que você também não goste.

Para mais informações sobre o Vyatta, visite o site oficial:

http://www.vyatta.org/ - Comunitário http://www.vyatta.org/ - Comunitário

Para ajuda e suporte gratuitos, visite o fórum do Vyatta:

Para manter-se informado sobre as últimas novidades, inscreva-se na newsletter:

E é isso. Nos vemos em um próximo artigo. Obrigado por ter lido e, já que você chegou até aqui, diga o que você achou deste artigo e do Vyatta no espaço para os comentários, logo abaixo.

Um grande abraço,

http://www.vivaolinux.com.br/artigo/Vyatta-o-concorrente-livre-dos-roteadores-Cisco