Você está na página 1de 54

Como funciona

O Software MyAuth Gateway 3 funciona baseado no conceito de


gateway de captura e concentrador de acesso. Nessa tcnica, um host
localizado em uma rede atrs do MyAuth necessita se autenticar para
obter acesso.
Como existem muitas tecnologias para prover autenticao, cada uma
exige um tipo de infraestrutura ou softwares diferentes, ja tcnica de
captura resume-se apenas em exibir para o usurio uma tela de login
no navegador quando uma pgina for solicitada pela primeira vez.
Essa tela de login consiste em uma pgina html com um formulrio
exigindo login e senha.
Atuando como concentrador de acesso, o MyAuth 3 autenticar
usurios conectados em outros equipamentos de acesso, como
concentradores PPPoE (Cisco, Mikrotik) ou servidores hotspot
(Mikrotik) atraves da tecnologia de autenticao RADIUS.
O MyAuth 3 permite um gerenciamento flexivel, com niveis de acesso
privilegiados para diferentes operadores.
Exemplo de algumas implementaes do MyAuth 3:

Recursos

O Software MyAuth Gateway 3 dispe de vrios recursos que


proveem maior flexibilidade e gerenciamento de usurios e conexes.
Ei-los:
Gerenciamento completo de cadastro de clientes e usurios de acesso.
- Cadastro de cliente, pessoa fsica ou jurdica.
- Cadastro de nome de usurio e senha
- Controle de acesso por endereo IP
- Controle de acesso por endereo MAC

- Controle de acesso por vrios pares de IP/MAC


- Suporte a proxy-transparente por login
- Suporte a autenticao de usurio e senha por meio de protocolo RADIUS
- Suporte a autenticao do endereo MAC por meio do protocolo RADIUS
- Pesquisa por login, ip, mac
- Opo de depurar IP (listar sesses e acessos de um determinado endereo IP)
- Opo de depurar MAC (listar sesses e acessos de um determinado endereo MAC)
- Lista de usurios cadastrados
- Lista de clientes cadastrados
- Lista dos cadastros de clientes acessados recentemente
- Estatsticas de uso de internet por meio de hotspot
- Estatsticas de uso de internet por meio de protocolo RADIUS
- Opo de desativar usurio de acesso
- Opo de programar a desativao de um usurio com uma data/hora especfica.
- Opo de enviar usurio para uma pgina especifica apos autenticao hotspot
- Opo de reservar automaticamente um endereo IP baseado no endereo MAC do
cliente via DHCP
- Informaes de datas de alterao, cadastro, primeiro login e ltimo login de um
usurio de acesso
- Relatrio de conexes de acesso (data/hora, ip, mac, download, upload, motivo da
desconexo) em modo hotspot ou RADIUS
- Grficos de consumo de internet no modo hotspot
- Esttisticas de uso mensal de internet (velocidade, volume de trfego, tempo de uso).
- Opo de integrao com parametros manuais do protocolo RADIUS
Controle financeiro bsico
- Cadastro de mltiplas empresas (matriz e filiais por exemplo)
- Cadastro de conta bancria e tipo de cobrana por empresa
- Baixa automtica de ttulos pagos via arquivo de retorno CNAB240
- Baixa automtica de ttulos pagos via arquivo de retorno CNAB400
- Relatrio de ttulos (pagos, em aberto, por perodo)
- Pesquisa de ttulo pelo "Nosso nmero"
Central de suporte tcnico
- Lista de suportes prestados para um determinado cliente (operador responsvel,
data/hora, tempo, informaes adicionais).
- Estatsticas de suporte prestado a um determinado cliente (operador responsvel,
data/hora, tempo mdio, quantidade).
- Estatisticas de suportes prestados por um operador (tempo mdio, quantidade por
ms, tempo total por ms).
- Lista de suportes em aberto (classificados por operador).
- Lista de suportes com tempo limite esgotado (priorizao de atendimento).
Gerenciamento de grupos de acesso, com recursos de:
- Banda de acesso (velocidade)
- Horrios de acesso
- Limite de tempo
- Limite de volume de dados.
- Integrao com parmetros do protocolo RADIUS, parmetros automticos e manuais.
- Integrao com firewall para bloqueio de servios de internet em modo hotspot
Estatsticas de consumo de CPU, Memria, trfego nas placas de rede em tempo real e
grficos acumulativos.
Lista de usurios on-line no servio hotspot e nos concentradores de acesso.
Grficos em tempo real e acumulativos do consumo de banda do usurio.
Estatsticas de uso de banda, volume de dados, tempo de acesso do usurio.
Relatrio de conexes com IP, MAC, volume de dados enviados e recebidos, tempo de
conexo e motivo da desconexo.
Autenticao de usurios dos concentradores via RADIUS
- Gerenciamento de parmetros personalizados de verificao e retorno.
- Gerenciamento de parmetros via grupo de acesso.

- Os valores de banda so automaticamente configurados para suportar Mikrotik.


Atualizao automtica. Permite que erros ou bugs sejam reparados em tempo record.
Suporte a modulos: recursos podem ser adicionados automaticamente a cada update
sem necessidade de intervernso manual.
Autenticao hotspot.
Suporte a portateis: exibe tela de login hotspot baseada no tipo de celular (Palm, Qtek,
iPhone, etc...).
Permite adicionar manualmente sesses de acesso, para evitar que clientes sempre online se autentiquem.
Servidor RADIUS (porta 1645) integrado com banco de dados de usurios, permite uso
do sistema para autenticar em qualquer concentrador baseado em RADIUS.
Servidor RADIUS (porta 1812) integrado com MAC's cadastrados para autorizao de
Access Points.

Diferena entre MyAuth 2 e MyAuth 3

Depois de quase 2 anos aps o lanamento do MyAuth 2, o MyAuth 3


amadureceu alguns recursos e recebeu muitos outros. Como ele foi
desenvolvido do zero e no aproveitou nada do MyAuth 2, a extrutura
interna completamente diferente e por isso h muitas diferenas.
Veja o que mudou:
Hotspot
No hotspot do MyAuth 2, logins simultneos compatilham banda entre si. No MyAuth 3
isto no acontece, cada sesso de usurio tem sua prpria reserva de banda.
Administrao
O MyAuth 2 focado apenas e uma administrao simples de clientes e usurios com
autenticao.
No MyAuth 3 esses recursos de administrao so muito mais completos.
Suporte tcnico
O recurso de suporte tcnico do MyAuth 2 serve apenas para anotaes bsicas. No
MyAuth 3 h uma completa central de suporte tcnico, permitindo o uso em grande
escala e um gerenciamento completo de tarefas e estatsticas.
RADIUS
No MyAuth 2, o servidor RADIUS apenas para uso interno. No MyAuth 3 o servidor
RADIUS totalmente flexivel para uso com concentradores de acesso.
Acesso restrito ao sistema
No MyAuth 2, o administrador do sistema ou outro usurio criado para administr-lo tem
acesso total ao sistema. O MyAuth 3 possui avanado sistema de controle de acesso.
possvel permitir o acesso de um determinado operador apenas aos recursos que ele
usar no dia-a-dia.
Logs de operaes
No MyAuth 2 no h como saber, em casos onde h mais de um administrador, quem
fez o que. No MyAuth 3 possvel analisar o que cada operador/administrador fez no
sistema (data/hora, o que ele fez), cada ao de cadastro ou alterao fica armazenado
no sistema para depurao de aes.

Estatsticas
O MyAuth 3 possui avanado sistema de estatsticas grficas em tempo real, onde
possivel acompanhar quantativamente todos os consumos e usos do sistema e dos
usurios..
RADIUS e Hotspot
No MyAuth 2, h apenas relatrio de uso do servio hotspot. No MyAuth 3 essas
sesses foram separadas. O provedor que atende apenas como hotspot poder
gerenciar os relatrios de uso e consumo separadamente do uso e consumo via
RADIUS. O sistema permite que um cliente que acessa via hotspot seja impedido de
usar o servio RADIUS e vice-versa.

Pr-requisitos

O MyAuth Gateway 3 um software de preciso e por isso, deve rodar


sob condies aceitveis para prover estabilidade e bom
funcionamento. Algumas condies e pr requisitos devem ser
observados:
Hardware mnimo
Procure user o melhor hardware que puder, as configuraes abaixo
so mnimas para operao em pequeno porte (at 400 clientes
hotspot direto ou 1.500 clientes via RADIUS)
Processador: 3.0 Ghz (mnimo 2 ncleos, recomendvel: 4 ncleos)
Memria RAM: 4 gigabytes, recomendvel: 8 gigabytes
Disco Rgido: 80 Gb, recomendvel 512 Gb (Tipos: SATA, SAS, SSD ou
SCSI)
Interfaces de rede: 2 interfaces de rede 10/100/1.000, recomendamos que cada
uma seja ligada a um switch proprio.

Sistema operacional
Distribuio Linux: Slackware 14.0 (64 bits) ou 14.1 (64 bits), no funciona em
outra distribuio.
Tipo de instalao: Completa, no desmarque nenhum pacote. No desmarque
nenhum pacote (o X necessrio para bibliotecas).

Devido a quantidade de recursos anexos ao kernel, pacotes do


sistema entre outros, o MyAuth no executar em outra distribuio
alm do Slackware.
Conhecimentos do operador
Bsico de hardware PC, conhecimento sobre redes de computadores,
TCP/IP e roteamento, bsico de administrao de redes Linux.

Link de internet

Link de internet maior ou igual a 1024 kbit/s download e 256 kbit/s upload.

Instalao

O MyAuth 3 deve ser instalado em um servidor dedicado ao servio de


compartilhamento de acesso.
Para melhor desempenho, estabilidade e segurana, no execute
nenhum outro servio paralelo ao MyAuth 3 (ex.: correio eletrnico,
hospedagem, etc...). Caso o faa, a TMSoft Solues reserva-se ao
direito de no prestar nenhum suporte tcnico ao servidor.
O primeiro passo baixar o pacote de instalao do MyAuth Gateway
3 no seu servidor. Coloque-o no diretorio "/".
root@servidor:~# cd /
root@servidor:/# wget http://download.tmsoft.com.br/myauth3.tar.gz

Agora descompacte o pacote, execute:


root@servidor:/# tar xvzf myauth3.tar.gz

Aps descompacta-lo no diretrio "/", entre na pasta "/admin" e


execute na ordem:
root@servidor:/# cd /admin
root@servidor:/admin# sh install.sh

Aparecer a tela de instalao. Aguarde enquanto o instalador baixa


os pacotes necessrios e configura o servidor.
Varias telas indicando as aes que esto sendo executadas
aparecero na tela. Aguarde pacientemente at que todas terminem.
Aps esse passo, o MyAuth 3 estar instalado e programado para
executar quando o sistema operacional for carregado.
Depois que o linux for carregado, o MyAuth 3 tambm estar em
execuo. Para acess-lo, abra o navegador (Internet Explorer,
Mozilla, Firefox, etc...) no seguinte endereo:
http:// + IP do Servidor + :1881/admin
Observao: Caso deseje proteger sua conexo ao MyAuth entre

usando a porta 1882, ela automaticamente proteger seus dados com


SSL (HTTPS).
Exemplo: http://192.168.0.219:1881/admin
Se no conseguir abrir, consulte o captulo "Resolvendo problemas".
Aparecer para voc a tela solicitando a licena.

Aps inserir sua licena, aparecer a tela de login administrativo.

Informe o nome de usurio administrador e a senha padro tulipa


Aps isso ser exibida a tela de administrao principal do MyAuth
Gateway 3.

Alterando a senha de administrador

A primeira tarefa alterar a senha de administrador. importante


mant-la segura.
Alterando a senha do administrador pelo terminal do Linux

root@servidor:~# /admin/bin/myauth-password administrador nova_senha_aqui


Senha alterada com sucesso!
root@servidor:/#

Alterando a senha do administrador pelo MyAuth

No menu principal, clique em "Sistema" -> "Usurios administradores"

Aparecer a lista de administradors do sistema:

Clique sobre o usurio "administrador" para editar seu perfil.

Abrir a sesso de informaes do "administrador".

A sesso aberta ser "Informaes", que contem informaes bsicas


do administrador. Clique no icone "Editar" para alter-las.

Na tela da sesso "Editar", preencha os campos "E-mail" e "Senha",


que so obrigatrios e em seguida clique em "Salvar".

A senha do administrador foi alterada, na prxima vez que for entrar


no sistema ela ser a senha exigida!
Configurao da rede

E recomendvel, antes de mais nada, realizar a configurao IP do


servidor.
Configurando endereo IP na placa de rede

As interfaces de rede podem ser configuradas manualmente pelo


terminal, para isso, basta digitar o comando myauth menu:

root@servidor:~# myauth menu

Caso j consiga acesso pelo navegador de outra estao na mesma


rede que o servidor, acesse a pgina administrativa do MyAuth 3.
No menu principal, clique em "Sistema" -> "Configurao" ->
"Interfaces de rede"

Aparecer a lista de interfaces de rede do sistema:

Clique sobre a interface que est conectada na internet para


configur-la. No nosso exemplo a "FastEthernet 0".

Abrir a sesso de configurao e informaoes da interface.

A sesso aberta ser "Status", que contem informaes bsicas da


interface de rede e um grfico tem tempo real do trfego.
Clique no icone "Conf. IP" para configurar o endereo IP da interface.

Informe o endereo IP e a mscara de rede corretamente e em


seguida clique em "Salvar".
Use os procedimentos ensinados acima para configurar as demais
interfaces de rede!
Configurando gateway padro para acesso a internet

Volte lista de interfaces de rede (Menu: "Sistema" -> "Configurao"


-> "Interfaces de rede").

Clique sobre o icone "Gateway padro" para configurar o ip do


gateway de acesso a internet.

Informe o ip do seu gateway (roteador) e clique em "Salvar".


Migrando do MyAuth 2 para MyAuth 3

O MyAuth 3 tem uma nova extrutura de banco de dados, incompatvel


com o banco de dados do MyAuth 2. Para migrar os dados do MyAuth
2 para o MyAuth 3, siga os passos abaixo:
Transferindo dados do MyAuth 2 para o Myauth 3 manualmente

1 - No servidor do MyAuth 2, gere o DUMP do banco de dados e copie


para o servidor do MyAuth 3

root@myauth2:~# mysqldump -ptulipasql -c -B myauth > myauth2.sql


root@myauth2:~# scp myauth2.sql root@IP_SERVIDOR_MYAUTH3:/root/

Substitua IP_SERVIDOR_MYAUTH3 pelo IP do servidor onde est o


MyAuth 3 para copiar o arquivo contendo o banco de dados do
MyAuth 2 para ele.

2 - Aplicando banco de dados do MyAuth 2 no servidor do MyAuth 3


No servidor do MyAuth 3, execute:

root@myauth3:~# cd /root
root@myauth3:~# mysql -ptulipasql -e "drop database if exists myauth"
root@myauth3:~# mysql -ptulipasql < myauth2.sql

3 - Fazendo migrao do banco de dados MyAuth 2 (nome: myauth)


para banco de dados MyAuth 3 (nome: admin)

root@myauth3:~# cd /admin/doc
root@myauth3:/admin/doc# ./db-myauth2-to-myauth3.php

Recuperando backup do MyAuth2 no MyAuth 3 manualmente

Se no seu caso h apenas o arquivo de backup do MyAuth 2, ser


necessrio seguir os passos a baixo (no servidor do MyAuth 3):
1 - Descompactar arquivo de backup.
Crie uma pasta vazia temporria e copie o arquivo de backup para ela,
no nosso exemplo abaixo, considerarei que o nome do arquivo de
backup ARQUIVOBACKUP.tgz, substitua esse nome pelo nome do
arquivo que voc possui.

root@myauth3:~# mkdir /tmp/backup


root@myauth3:~# cp ARQUIVOBACKUP.tgz /tmp/backup
root@myauth3:~# cd /tmp/backup
root@myauth3:/tmp/backup# tar -xzvf ARQUIVOBACKUP.tgz

Descompactando o arquivo de backup numa pasta vazia conforme


exemplo acima, todos os arquivos estaro distribuidos nessa pasta.
Use o comando abaixo para localizar o arquivo que contem o banco
de dados do MyAuth 2:

root@myauth3:/tmp/backup# find -name *.sql


./myauth/backup/200803300430.sql

Localizamos o arquivo com extenso .sql (no nosso exemplo,


200803300430.sql) na subpasta myauth/backup/. Entraremos nessa
pasta para recuperarmos o banco de dados do MyAuth2 no servidor
atual:

root@myauth3:/tmp/backup# cd myauth/backup
root@myauth3:/tmp/backup/myauth/backup# mysql -ptulipasql < 200803300430.sql

2 - Fazendo migrao do banco de dados MyAuth 2 (nome: myauth)


para banco de dados MyAuth 3 (nome: admin)
Agora que ja possuimos no MySQL o banco de dados do MyAuth 2
recuperado do backup, basta migrar os dados:
root@myauth3:~# cd /admin/doc
root@myauth3:/admin/doc# ./db-myauth2-to-myauth3.php

Aps realizar todos os passos acima conforme seu caso, todos os


dados do MyAuth 2 estaro disponveis no MyAuth 3
Personalizando tema da tela de login

O MyAuth possui suporte a temas da tela de login. Um tema uma


coleo de arquivos HTML que so incluidos ao cdigo do MyAuth
sempre que necessrio exibir alguma tela ao clientes.
Os temas so armazenados em sub-pastas da pasta /admin/themes/,
cada tema uma sub-pasta que pode ser selecionado atravs do
MyAuth3 pelo menu "Sistema" -> "Opes" -> "Temas de login".

1 - Contruindo um novo tema


Acesse o shell do servidor linux e v at a pasta /admin/themes:

root@servidor:~# cd /admin/themes
root@servidor:/admin/themes# ls
hotspot/ iphone/

Copie um tema atual com um novo nome, no exemplo abaixo,


criaremos um tema chamado "meutema" que a principio ser uma
copia do tema "hotspot":

root@servidor:/admin/themes# cp hotspot meutema -ra

Entre no diretrio "meutema":

root@servidor:/admin/themes# cd meutema
root@servidor:/admin/themes/meutema# ls
banner.htm*
info.htm* panel.htm* report.php*
rodape.htm*
cotas.php*
info.php* pass.php*
report_login.htm* splash.htm*
financeiro.php* login.htm* popupoff.htm* report_menu.htm* sucess.htm*
graficos.php* logout.htm* popupon.htm* report_painel.htm* theme.conf*

Os principais arquivos do tema so:

login.htm: tela de autenticao


sucess.htm: tela exibida quando o usurio autenticou com
sucesso.
theme.conf: arquivo de configurao do tema.
Ateno: edite o arquivo theme.conf e altere o nome do tema para
que no fique duplicado na tela de configurao do MyAuth.
Para personalizar um arquivo necessrio que o operador tenha
conhecimento de HTML. Para copiar os arquivos entre o Windows e o
Linux uma boa opo usar o WinSCP (clique aqui para baix-lo).
Para incluir imagens na tela do tema, necessrio:
- coloque o arquivo da imagem na pasta /admin/htdocs/
- Referencie a imagem dentro do HTML assim:
/NOME_DO_ARQUIVO.jpg
2 - Ativando o tema criado
V nas configuraes de temas do MyAuth3 pelo menu "Sistema" ->
"Opes" -> "Temas de login"

Clique em seguida em "Salvar". O tema criado ser utilizado


instantneamente.
Criao e recuperao de backups
Criao e recuperao de backups

Todos os cadastros e informaes pertinentes ao MyAuth 3 so


armazenadas no banco de dados MySQL do servidor e em alguns

arquivos de configurao em formato de texto (todos da pasta


/admin/conf/). Para criar um novo backup h duas opes:
1 - Executar no terminal do servidor o comando myauth menu e
selecionar o menu Backup - Criar backup
2 - No menu administrativo do MyAuth, opes "Sistema" -> "Backup e
recuperao" -> "Criar novo backup"
Ao ordenar a criao de um arquivo de backup o MyAuth criar
atravs do comando /admin/bin/backup.sh um arquivo na
pasta /admin/backup/
O arquivo com extenso .tgz possui o dump do MySQL (arquivo com
extenso .sql) e os arquivos de configuraes bsicas do MyAuth3.
Para recuperar um arquivo de backup basta colocar o arquivo na
pasta /admin/backup e executar no terminal do servidor o
comando myauth menu e selecionar o menu Backup e em
seguida Restaurar backup
Dica: para copiar arquivos de uma estao Windows para o servidor
Linux voc pode usar o software WinSCP (facilmente encontrado no
site www.google.com.br)
Apos restaurar um backup, recomendvel que o servidor seja
reiniciado com o comando reboot, em seguida, usando o
comando myauth menu, confira se as configuraes das placas de
rede esto corretas (corrija-as caso encontre incorncias).

Criando e alterando grupos

O grupo de acesso uma definio de padres que sero usados


para controlar o acesso do usurio e alguns recursos como:
- Velocidade de navegao
- Horrios em que a navegao ser permitida (por padro todos os
horrios so permitidos)
- Limite de tempo de navegao (por padro no h limites)
- Parmetros RADIUS para integrao com servios remotos
(PPPoE, VPN, etc...)
- Bloqueio de servios e protocolos (por padro, nenhum servio ou
protocolo bloqueado)

Importante:
- Um usurio (login) s pode ser associado a um grupo.
- Para associar um usurio (login) a um grupo, o grupo deve ser
previamente criado.
Para cadastrar um grupo, clique no menu "Sistema" -> "Grupos de
acesso"

Ao clicar sobre "Grupos de acesso", ser aberta a lista de grupos


cadastrados.

Para criar um novo grupo de acesso, clique sobre o menu "Novo


grupo", informe o nome do grupo e confirme.
O nome do grupo criado aparecer na lista, clique sobre ele para
editar as opes do grupo.

Funes editveis no grupo de acesso:


- Controle de banda: valores de velocidade de acesso que sero
aplicados individualmente a cada membro do grupo (ver mais detalhes
no prximo captulo)
- Acesso agendado: permite controlar os dias da semana e os
horrios de acesso.
- Limites de tempo: permite limitar o tempo on-line dirio, semanal,
mensal, aps primeiro login e tempo de vida.
- Limites de trfego: permite limitar o volume de bytes enviados e
recebido pelo membro do grupo.
- Parmetros radius: configurao de parmetros a serem
enviados em solues onde h autenticao pelo protocolo
RADIUS.
- Opes de bloqueios: permite bloquear servios e protocolos (ex.:
orkut, e-mail, youtube, etc...)
Configurando RADIUS

O MyAuth 3 disponiliza seu banco de dados de autenticao para


consulta remota via protocolo RADIUS. Esse recurso permite a
distribuio de usurios entre vrios outros servidores de autenticao
mantendo o cadastro centralizado. Clique aqui para mais informaes
sobre o protocolo RADIUS.

Servidores RADIUS disponveis no MyAuth3

Principal: Autenticao de login e senha


Porta de autenticao: 1645
Porta de contabilidade: 1646
Secret padro: raioceleste
Arquivo de log: /var/log/radius.log
Finalidade: autenticao de usurio e senha na lista de usurios
Opcional: Autenticao de login e senha sem verificao de MAC
Porta de autenticao: 1640
Porta de contabilidade: 1641
Secret padro: raioceleste
Arquivo de log: /var/log/pure-radius.log
Finalidade: autenticao de usurio e senha na lista de usurios sem
conferir o MAC
Opcional: Autenticao de MAC address
Porta de autenticao: 1812
Porta de contabilidade: 1813
Secret padro: raioceleste
Arquivo de log: /var/log/mac-radius.log
Finalidade: verificar se o MAC address est cadastrado junto a lista de
usurios,
possibilitando controle de acesso wireless centralizado
Detalhe: requer que usurio e senha sejam enviados, o
usurio deve ser o MAC,
a senha pode ser qualquer sequencia ou o prprio MAC
Suporte a criptografia: se o campo "Senha WPA" estiver preenchido no mesmo cadastro
em que o MAC
for registrado, o parametro Mikrotik-Wireless-PSK ser enviado com essa
senha
e requer que a mesma senha tenha no mnimo 8 dgitos
Opcional: Autenticao administrativa
Porta de autenticao: 1820
Porta de contabilidade: 1821
Secret padro: raioceleste
Arquivo de log: /var/log/admin-radius.log
Finalidade: autenticao de usurio e senha junto ao cadastro de
administradores,
permite que equipamentos com suporte a login administrativo remoto
sejam configurados para autorizar o usurio na base administrativa.
Detalhe: o usurio administrador deve estar cadastrado
no MyAuth3, deve
possui autenticao RADIUS ativada no cadastro do login administrativo.
Exemplo: No mikrotik, cadastre no menu RADIUS o ip do servidor RADIUS
(MyAuth3),
o tipo deve ser "login", porta 1820 para autenticao, conforme acima,
no menu USERS ative AAA.

Configurando servidor RADIUS para receber pedidos de


autenticao
Na instalao padro do MyAuth3, todos os concentradores podem
autenticar-se no seus servios de RADIUS usando a secret
"raioceleste", assim, no necessrio configurar os concentradores
RADIUS.
Caso deseje restringir essa tarefa a apenas alguns concentradores
com senhas (secret) diferentes, cadastre-os no menu
Sistema -> Configuraes -> Concentradores RADIUS

Extra: banco de dados MySQL

O MyAuth 3 armazena todas as informaes em formato SQL, o


banco de dados armazenado no software MySQL (software livre de
banco de dados relacional).
Detalhes do banco de dados do MyAuth 3
Para facilitar o desenvolvimento de softwares auxiliares e consulta a
dados integrando a base de dados a documentao de tabelas
distribuida por padro com o sistema, contando na seguinte pasta:

Pasta: /admin/database/
Extenso .txt: arquivo de layout da tabela
Extenso .new: arquivo com atualizaes no layout da tabela
Arquivo mysql.conf: definio de tabelas e senha de acesso

Acesso ao banco de de dados MySQL

Servidor: 127.0.0.1 (ip de loopback)


Porta TCP: 3306
Usurio: root
Senha: tulipasql

Permitir acesso externo a porta tcp/3306 do MySQL


Por questes de segurana o pacote do MySQL distribuido no
Slackware mantem a porta tcp/3306 fechada, sendo assim, para obter
acesso remoto ser necessrio abrir a porta e criar um usurio de
acesso remoto.
Edite o arquivo /etc/rc.d/rc.mysqld e remova a varivel SKIP
Edite o arquivo /etc/my.cnf e garanta que no h nenhuma linha
contendo skip-networking
Reinicie o MySQL:
root@servidor:~# /etc/rc.d/rc.mysqld stop
root@servidor:~# /etc/rc.d/rc.mysqld start

Reinicie o MyAuth 3:
root@servidor:~# myauth stop
root@servidor:~# myauth start

Criando usurio dentro do MySQL


O MySQL possui uma lista de usurios propria, assim o usurio root
dentro do MyQL no o mesmo usurio root do Linux. No exemplo
abaixo ser criado o usurio suporte com senha scarlet

root@servidor:/# mysql -ptulipasql mysql


Welcome to the MySQL monitor. Commands end with ; or \g.
Your MySQL connection id is 1
Server version: 5.0.67 Source distribution
Type 'help;' or '\h' for help. Type '\c' to clear the buffer.
mysql> grant all privileges on *.* to suporte@localhost identified by "scarlet";
Query OK, 0 rows affected (0.01 sec)
mysql> update user set host = "%" where user = "suporte";
Query OK, 1 row affected (0.00 sec)
Rows matched: 1 Changed: 1 Warnings: 0
mysql> flush privileges;
Query OK, 0 rows affected (0.00 sec)
mysql>

Verificando se a porta TCP/3306 est aberta


Com o auxlio do nmap, use o seguinte comando para verificar se a
porta est aberta:
root@servidor:~# nmap localhost -p 3306
Starting Nmap 4.76 ( http://nmap.org ) at 2009-10-07 06:08 BRT
Interesting ports on localhost (127.0.0.1):
PORT STATE SERVICE
3306/tcp open mysql
Nmap done: 1 IP address (1 host up) scanned in 0.07 seconds

Extra: editando dados MySQL

O MyAuth Gateway 3 armazena os dados cadastrais no banco de


dados MySQL, uma arquitetura aberta de banco de dados relacional
baseada em linguagem SQL.
Acesso ao MySQL
Apos ser instalado, o MyAuth3 ativa automaticamente o servidor
MySQL local, para conexo via socket (/var/run/mysql/mysql.sock).
O pacote de distribuio do MySQL no abre a porta tcp/3306
automaticamente.
Servidor: localhost (socket /var/run/mysql/mysql.sock)
Usurio: root
Senha: tulipasql
Nome do DB: admin
Acesso: local apenas (localhost)

Exemplo de acesso ao banco de dados SQL pelo shell do Linux:


root@servidor:~# mysql -ptulipasql admin
Welcome to the MySQL monitor. Commands end with ; or \g.
Your MySQL connection id is 21431
Server version: 5.0.67-log Source distribution
Type 'help;' or '\h' for help. Type '\c' to clear the buffer.
mysql>

Observao: o MyAuth acessa o banco de dados de acordo com


a configurao presente no arquivo /admin/database/mysql.conf
Abrir porta do MySQL para acesso externo - faa apenas se for
necessrio
Pode ser necessrio abrir a porta do MySQL (tcp/3306) para acesso
externo.
Para isso ser necessrio editar o script de inicializao do MySQL e
criar um usurio de acesso remoto.
A - abrindo porta do MySQL - TCP/3306: edite o arquivo
/etc/rc.d/rc.mysqld e comente a linha que contem a varivel SKIP
(coloque # no inicio da linha):
root@servidor:~# mcedit /etc/rc.d/rc.mysqld
# To allow outside connections to the database comment out the next line.
# If you don't need incoming network connections, then leave the line
# uncommented to improve system security.
#SKIP="--skip-networking"

Caso tenha personalizado a configurao do MySQL, importante


garantir que no arquivo /etc/my.cnf no h a linha "skip-networking";
Ateno: Para que a porta seja aberta imediatamente, ser
necessrio reiniciar o servidor.
Apos reiniciar, voc poder usar o comando abaixo para testar se a
porta est aberta:
root@servidor:~# nmap localhost -p 3306
Interesting ports on localhost (127.0.0.1):
PORT STATE SERVICE
3306/tcp open mysql

Nmap done: 1 IP address (1 host up) scanned in 0.15 seconds

B - para criar um usurio de acesso externo, entre no MySQL, abaixo


segue um exemplo de como criar um usurio chamado "tecnico" com
senha "skynet";
root@servidor:~# mysql -ptulipasql admin
Welcome to the MySQL monitor. Commands end with ; or \g.
Your MySQL connection id is 21431
Server version: 5.0.67-log Source distribution
Type 'help;' or '\h' for help. Type '\c' to clear the buffer.
mysql> USE mysql;
Database changed
mysql> GRANT ALL PRIVILEGES ON admin.* TO tecnico@localhost IDENTIFIED BY
"skynet";
Query OK, 0 rows affected (0.01 sec)
mysql> UPDATE user SET host = "%" WHERE user = "tecnico";
Query OK, 1 row affected (0.02 sec)
Rows matched: 1 Changed: 1 Warnings: 0
mysql> flush privileges;
Query OK, 0 rows affected (0.00 sec)
mysql>

No exemplo acima, a SQL UPDATE tem a funo de liberar o acesso


do usurio "tecnico" de qualquer ip na rede. Se desejar permitir para
apenas um IP, troque % pelo ip desejado.
Banco de dados do MyAuth3
O MyAuth usa o banco de dados "admin", os esquemas construtores
das tabelas ficam na pasta /admin/database/, onde cada esquema
possui seu proprio arquivo, com prefixo "def_" e extenso ".txt".
Principais tabelas:
clientes: cadastro de clientes e opes cadastrais do cliente. Chave
principal: coluna "id".
login: cadastro de nome de usurio, senha, ip, mac, grupo (nome do
grupo) e opes de acesso do login. relacionada com a tabela
cliente atravez da coluna "cliente_id", que dever possuir o valor da

coluna "id" da tabela "clientes". Chave principal: coluna "user".


groups: cadastro de grupos de acesso e opes do grupo. Chave
principal: coluna "name" (nome do grupo).
Principais comandos SQL
Se voc possui conhecimento sobre a linguagem SQL, poder ler os
esquemas das tabelas a manipul-las a gosto. A seguir algumas SQL's
utilitrias com o comentrio do efeito de cada uma:
root@servidor:~# mysql -ptulipasql admin
Welcome to the MySQL monitor. Commands end with ; or \g.
Your MySQL connection id is 21431
Server version: 5.0.67-log Source distribution
Type 'help;' or '\h' for help. Type '\c' to clear the buffer.
(desativa o uso de proxy no cadastro do login)
mysql> UPDATE login SET proxy = "";
(desativa o uso de proxy em todos os usurios)
mysql> UPDATE login SET proxy = "";
(ativar o uso de proxy local em todos os usurios)
mysql> UPDATE login SET proxy = "L";
(listar servidores proxy cadastrados)
mysql> SELECT * FROM proxy;
(ativa o uso de proxy remoto em todos os usurios)
(observe o id do proxy cadastrado na tabela proxy)
mysql> UPDATE login SET proxy = "2";
(apagar o mac de todos os todos os usurios)
mysql> UPDATE login SET mac = "";
(ativar boleto automatico em todos os clientes)
mysql> UPDATE clientes SET auto_inserir = 1;
(ativar bloqueio automatico em todos os clientes)
mysql> UPDATE clientes SET bloqueio_automatico = 1;
(desativar bloqueio automatico em todos os clientes)

mysql> UPDATE clientes SET bloqueio_automatico = 1;

Extra: script de usurio

No MyAuth 3 possvel associar um script a ao de login ou logout


de um usurio.
Para implementar isso necessrio ter conhecimentos de:
Programao em Shell Script
Conhecimentos de IPTABLES
Sempre que um um usurio efetua login ou logout o MyAuth verifica a
existncia de um arquivo na pasta/admin/session/ com o nome do
usurio com permisses de execuo (chmod +x).
Ao ser acionado para login ou logou, o script executado com os
seguintes parmetros:
Parmetr
Descrio
o

Valor de exemplo

Ao,
login
valores: login ou logout (represent
a a ao em si)

Endereo IP do usurio

192.168.1.231

Endereo MAC do usurio

00:01:AB:CF:ED:A0

Exemplo:
O usurio "joao" efetuou o login, o MyAuth verifica a existncia do
arquivo /admin/session/joao se se h permisso de execuo, se o
arquivo existir com permisso de execuo ele executado da
seguinte maneira:

root@servidor:/# /admin/session/joao login 192.168.1.231 00:01:AB:CF:ED:A0

Quando o usurio "joao" efetuar logout ou for desconectado a seguinte


linha de comando ser executada:

root@servidor:/# /admin/session/joao logout 192.168.1.231 00:01:AB:CF:ED:A0

No script /admin/session/joao voc dever programar as regras para o


usurio. Por padro, o MyAuth j cria uma tabela no NETFILTER
(iptables) com o nome do usurio e o prefixo "FW", ou seja, no
exemplo acima o usurio "joao" teria uma tabela propria chamada
FWjoao onde todos os pacotes passariam por ela.
As regras na tabela "FW" + "nome do usurio" devem ser inseridas
fazendo verificao de IP pois todos os pacotes passam por ela,
inclusive os pacotes de outros usurios.
Quando o usurio desconectado ou efetua logout o MyAuth
automaticamente remove todas as regras e remove a tabela "FW" +
"nome do usurio" do NETFILTER.
Como exemplo, criaremos para o usurio "joao" um script quer
bloqueia o acesso de servios de e-mail:

root@servidor:/# mcedit /admin/session/joao


chain=FWjoao
action=$1
ip=$2
mac=$3
if [ "$action" = "login" ]; then
# bloquear SMTP
iptables -t filter -A $chain -s $ip -p tcp --dport 25 -j DROP
# bloquear POP3
iptables -t filter -A $chain -s $ip -p tcp --dport 110 -j DROP
# bloquear IMAP
iptables -t filter -A $chain -s $ip -p tcp --dport 143 -j DROP
fi

Agora que o script est pronto, deve-se dar a ele permisso de


execuo:
root@servidor:/# chmod +x /admin/session/joao

Est pronto. Se o usurio estiver on-line, possivel executar o script


manualmente.
Criando grupos de acesso manualmente

No MyAuth no possvel fazer grupos de acesso a servios mas


manualmente possvel. Sempre que o MyAuth iniciado ele verifica
se os arquivos /admin/bin/rc.local e /etc/rc.d/rc.firewall existem e se
so executveis, se existirem e forem executveis ele os executar
aps terminar de se iniciar.
No arquivo /etc/rc.d/rc.firewall voc poder criar tabelas
personalizadas no NETFILTER (iptables) que sero usadas para
agilizar o servio na hora de bloquear determinados servios para
usurios.
No exemplo abaixo, criaremos 2 tabelas personalizadas para acessos
a alguns servios.

root@servidor:/# touch /etc/rc.d/rc.firewall


root@servidor:/# chmod +x /etc/rc.d/rc.firewall
root@servidor:/# mcedit /etc/rc.d/rc.firewall
#!/bin/sh
# Grupos de bloqueio ----------------------------------------# criar grupo 1 que nao pode acessar E-mail e nem fazer PING
iptables -N Grupo1
iptables -F Grupo1
# bloquear acesso a e-mail
iptables -A Grupo1 -p tcp --dport 25 -j DROP # SMTP
iptables -A Grupo1 -p tcp --dport 110 -j DROP # POP3
iptables -A Grupo1 -p tcp --dport 143 -j DROP # IMAP
# bloquear Ping
iptables -A Grupo1 -p icmp -j DROP
# criar grupo 2 que so pode navegar normalmente, o resto
# ser bloqueado
iptables -N Grupo2
iptables -F Grupo2
# liberar navegao
iptables -A Grupo2 -p tcp -m multiport --port 80 -j RETURN # HTTP
iptables -A Grupo2 -p tcp -m multiport --port 443 -j RETURN # HTTPS
iptables -A Grupo2 -p udp -m multiport --port 53 -j RETURN # DNS
# bloquear o resto
iptables -A Grupo2 -j DROP

Reinicie o MyAuth ou execute o arquivo para iniciar as tabelas criadas


(o MyAuth deve estar em execuo).
root@servidor:/# sh /etc/rc.d/rc.firewall

Agora vamos editar 2 arquivos de usurios, o usurio "pedro" ficar no


Grupo1 (no acessa e-mail):

root@servidor:/# touch /admin/session/pedro


root@servidor:/# chmod +x /admin/session/pedro
root@servidor:/# mcedit /admin/session/pedro
chain=FWpedro
action=$1
ip=$2
mac=$3
if [ "$action" = "login" ]; then
# incluir no Grupo1
iptables -t filter -A $chain -s $ip -j Grupo1
iptables -t filter -A $chain -d $ip -j Grupo1
fi

O usurio "marcos" ficar no Grupo2 (apenas navegao):

root@servidor:/# touch /admin/session/marcos


root@servidor:/# chmod +x /admin/session/marcos
root@servidor:/# mcedit /admin/session/marcos
chain=FWmarcos
action=$1
ip=$2
mac=$3
if [ "$action" = "login" ]; then
# incluir no Grupo1
iptables -t filter -A $chain -s $ip -j Grupo2
iptables -t filter -A $chain -d $ip -j Grupo2
fi

Plug-in: SUPER-CACHE

O Super-Cache um software especial desenvolvido pela TMSoft


para armazenamento de contedo dinmico como: videos,
atualizaes de softwares, downloads de softwares excenciais, etc....
A necessidade de um software assim surgiu da altssima demanda
desse tipo de contedo HTTP e pela incapacidade natural dos
software de proxy comuns no mercado (Squid, Microsoft ISA Server,
etc...) de armazenar em cache um contedo com URL dinmica.
Ateno: o Super-Cache no uma verso modificada de softwares
gratuitos encontrados na internet. Trata-se de uma tecnologia totalmente
nova e desenvolvida com tcnicas exclusivas pela TMSoft Solues em
conjunto com o software MyAuth3. Os softwares gratuitos que anunciam

recursos semelhantes so distribuidos sob licena GNU/GPL, onde os


autores no assumem nenhum tipo de responsabilidade sobre o software e
no garante sem bom funcionamento, tampouco se dispe a dar suporte
como garantia de perfeio, como o caso da TMSoft em relao so
Super-Cache. Qualquer dvida por favor entre em contato conosco,
teremos prazer em esclarec-lo melhor.

Como funciona
Um exemplo comum: o portal de video YouTube permite que cada
usurio envie em mdia 1 Gigabyte de contedo multimdia
(audio/video), como h milhes de usurios ativos, o volume de
informao gerada atinge valores astronmicos, sendo necessrio
divid-lo em vrios servidores geograficamente distribudos. Ao solicitar
um vdeo, os softwares do portal direcionam a requisio para o
servidor mais prximo geograficamente do cliente ou que esteja mais
ocioso no nomento.
Vrios motivos impedem que um arquivo seja alocado em cache nos
softwares de proxy-http:
1 - quando a URL solicita contedo dinmico, normalmente
caracterizado pela presena do caracter "?"
2 - quando o site remoto envia cabealhos explicitos com valores que
proibem o armazenamento do arquivo: no-cache, private
3 - quando o site remoto envia cabealhos com informaes de data e
hora da expirao do arquivo
4 - quando a URL dinmica, ou seja, a cada vez que o arquivo
solicitado, ele possui uma URL diferente, como o proxy-cache associa
o arquivo armazenado com sua URL para que, ao ser solicitado uma
segunda vez, a copia em cache seja enviada. Como a URL nunca se
repete, o arquivo em cache nunca utilizado.
Sites que possuem um armazenamento de arquivos muito grande e
que geram um volume de trfego consideravel, normalmente decidem
por distribu-lo em vrios servidores, direcionando a requisio do
cliente para eles aleatoriamente, fazendo com que o item 4 da lista
acima seja o culpado por impedir o cache do arquivo.
Em um provedor de internet, o trfego gerado por esses tipo de
contedos facilmente ultrapassa o limiar de gigabytes por dia.
A soluo para estes problemas: Super-Cache
O super-cache atua exatamente nesses problemas citados acima. Ele

possui algortmos especiais capazes de determinar que um tipo de


contedo balanceado em vrios servidores na internet, e possibilita
o cache deste contedo, provendo alem disso, um cache
extremamente rpido, com a capacidade de gerenciar muitos
TERABYTES, at mesmo PETABYTES de contedo.
Recursos do Super-Cache
Possibilita cache de url's dinmicas (Youtube, Windows Update,
atualizaes de softwares e anti-virus).
Possibilita CACHE-FULL de arquivos em cache, ou seja, quando
um arquivo constar no cache local, ele enviado para o cliente sem
controle de banda, dando ao mesmo uma impresso de altssima
velocidade (este recurso pode ser desativado ou controlado).
Possibilita o compartilhamento de fluxo: se um mesmo arquivo for
solicitado ao mesmo tempo por dois usurios, apenas um fluxo de
internet consumido, em vez de dois, economizando
consideravelmente o consumo de banda).
Suporta armazenamento de milhes de arquivos sem acrescentar
lentido ao sistema.
Update de regras automticamente: a equipe da TMSoft analisa
contantemente os sites na internet que geram trfego consideravel e a
cada update esses sites so migrados para o Super-Cache.
Garantia de perfeio: a TMSoft garante o funcionamento e a
perfeio do software, isentando os clientes da tarifa de suporte em
caso de comprovao de bugs, que so corrigidos rapidamente.
Grficos e estatsticas de trfego e economia de banda.
Suporte a plug-in, permitindo que os prprios tcnicos e
responsveis pelo servidor ativem suporte a um novo site.
At 10x mais rpido que os softwares semelhantes disponveis no
mercado gratuitamente, graas as tecnologias presentes no MyAuth3.
Pre-requisitos de hardware
- Processador de dois ou quatro ncleos (dual-core ou quad-core).
Mnimo 2 Ghz.
- 2 Gb de memria RAM
- Disco dedicado para o cache de no mnimo 500 Gigabytes,
recomendvel 1 Terabyte.
- Atender os pre-requisitos do MyAuth 3

Como ativar o Super-Cache no MyAuth Gateway 3


Primeiro necessrio adquirir o plug-in para sua licena do MyAuth3,
visite o site www.tmsoft.com.br para mais informaes.
Aps adquirir o plug-in, execute o comando de sincronizao de plugins:

root@servidor:/# myauth plugin


Plugin: supercache Status: ATIVO!
root@servidor:/#

Reinicie o MyAuth3, para que o Super-Cache seja iniciado:


root@servidor:/# myauth stop
root@servidor:/# myauth start

Para abrir a tela de configurao do Super-Cache, siga o menu:


Sistema - Proxy HTTP - Opes do Proxy-Local

Em seguida clique no icone do Super-Cache

Ativando suporte a sites


Para entrar em operao, o Super-Cache necessita que ao menos 1
site esteja marcado

Marque os sites e modulos suportados que desejar, em seguida clique


em Salvar para que o cache desses sites seja iniciado. Aps alguns
segundos o super-cache entrar em operao.
Estatsticas
Clique no menu estatsticas para acompanhar a eficiencia do SuperCache. Os domnios em cache sero destacados com cores mais
fortes a medida que forem adquirindo volume.

Cache em disco
Para facilitar a organizao dos arquivos, o Super-Cache armazena o
contedo adquirido na pasta /supercache, e dentro desta pasta, cada
domnio recebe um nome nico, sendo que o nome so pode conter os
seguintes caracteres: a-z, 0-9, _

Caso necessite separar a pasta /supercache em um disco exclusivo,


basta montar a partio nessa pasta (/supercache) pelo /etc/fstab,
tambem possivel montar cada domnio em uma partio ou disco
diferente. Siga o padro comum do linux para montagem de parties.

Exemplo de montagem especial no /etc/fstab onde o /supercache


montado em um disco de partio nica de 1 Tera e meio (/dev/sdb1)
e apenas o Youtube est montado em um terceiro disco de 1 Tera
(/dev/sdc1):
/dev/sda1
swap
swap
defaults
0 0
/dev/sda2
/
reiserfs defaults
1 1
/dev/sdb1
/supercache
reiserfs defaults
1 1
/dev/sdc1
/supercache/youtube reiserfs defaults
1 1
#/dev/cdrom
/mnt/cdrom
auto
noauto,owner,ro 0 0
/dev/fd0
/mnt/floppy
auto
noauto,owner 0 0
devpts
/dev/pts
devpts
gid=5,mode=620 0 0
proc
/proc
proc
defaults
0 0
tmpfs
/dev/shm
tmpfs
defaults
0 0

Monitorando consumo de partioes (comando df -h):

root@servidor:/# df -h
Filesystem
/dev/root
/dev/sdb1
/dev/sdc1
tmpfs

Size
149G
1.5T
1.0T
2.0G

Used Avail Use% Mounted on


28G 122G 19% /
123G 1.3T 8% /supercache
210G 790G 21% /supercache/youtube
0 2.0G 0% /dev/shm

root@servidor:/#

Plug-in: Link-FULL

O LinkFull mais uma tcnologia exclusiva da TMSoft.


ALERTA: o LinkFull tem a finalidade de tornar a velocidade de
acesso dos usurios mais rpida, acima do contratado, de acordo
com a configurao que voc escolher.
Como funciona
Pense no caso abaixo:
Um provedor contratou um link de 25 megabit/s, pagando R$
200,00 por mega. Total pago mensalmente: R$ 5.000,00
Na maior parte do tempo os clientes consomem entre 6 e 20
megabit/s.
Sendo assim, o provedor deixa de usar entre 5 e 19 megabit/s
na maior parte do tempo.

Essa quantidade de link sobrando esta sendo paga, mas no


est em uso, e significa dinheiro esperdiado.
Grfico de consumo do provedor deste exemplo:

Pensando de forma quantitavia:


A 25 megabit/s, a taxa de transferncia mxima de 3,125
megabytes por segundo, em um dia totalizar 270.000.000
megabytes (270 terabytes), em um ms totalizar 8.100.000.000
(8,1 petabyte).
Raramente o consumo mximo desse link de 80 terabytes no
ms, menos de cem vezes a capacidade mxima suportada, e
pior, sendo paga.
O LinkFull foi criado para transformar toda essa quantidade de dados
inutilizada em velocidade para seus clientes.
Veja no grfico a velocidade desperdiada de laranja:

No MyAuth3, cada usurio possui 3 velocidades no controle de banda:


Velocidade normal: definida no controle de banda, velocidade a
que o usurio limitado, exemplo: 128 k.
Velocidade acelerada: definida em porcentagem, quantidade de
banda que ser liberada a mais, normalmente utilizada no
horrio turbinado, exemplo: 512k.
Sem controle de banda: quando a configurao do cache-full
ilimitada.
Quando ativo, o LinkFull trabalha da seguinte maneira (com exemplo):
Define um limiar. Limiar uma linha de consumo de banda,
quando o consumo de link for inferior a essa linha o LinkFull
ativa a acelerao
Tipo de acelerao: se a acelerao estiver ativa, permite que
voc escolha entre duas aes:
o Liberar todos os clientes do controle de banda fazendo o
consumo do link subir imediatamente.
o Ativa a velocidade acelerada (recomendvel), fazendo o
consumo do link subir gradativamente.

Monitoramento do limiar: quando a acelerao ativada, o


trfego tender a atingir a linha de limiar. O LinkFull detectar
isso e desativar a acelerao. Assim, esse processo continuo
de liga e desliga garantir um consumo seguro do link.
Veja no exemplo abaixo uma configurao de limiar num link de 25
megas configurado em 15 megas, sempre que o trafego (de verde)
estiver abaixo da linha de limiar (linha vermelha) o LinkFull ativar a
acelerao.

Como ativar o LinkFull no MyAuth Gateway 3


Primeiro necessrio adquirir o plug-in LINKFULL para sua licena do
MyAuth3, visite o site www.tmsoft.com.br para mais informaes.
Aps adquirir o plug-in, execute o comando de sincronizao de plugins:

root@servidor:/# myauth plugin


Plugin: linkfull Status: ATIVO!
root@servidor:/#

Reinicie o MyAuth3, para que o LinkFull seja iniciado:


root@servidor:/# myauth stop

root@servidor:/# myauth start

Configurando LinkFull:
Para abrir a tela de configurao do LinkFull, siga o menu: Sistema Hotspot - Link-Full

Na tela de configurao, ative o LinkFull e escolha o limiar de


operao.

Opes:
Ativar Link FULL: ativa o sistema de deteco de baixo consumo
de link.
Intervalo de deteco: determina de quanto em quanto tempo o
LinkFull far medies de consumo para determinar se ativa ou
no a acelerao.
Tipo de acelerao: quanto determinar que a acelerao deve
ser ativada, o LinkFull poder aumentar a velocidade dos
usurios ativando a velocidade acelerado do grupo de acesso
ou desativando totalmente o controle de banda.

Plug-in: PPPoE Server

O plugin PPPoE Server mais incrvel integrao j realizada no


MyAuth3. Com esse recurso o servidor se torna um
CONCENTRADOR PPPoE sem necessidade de outros softwares
(Mikrotik RouterOS por exemplo).
Detalhe: No se preocupe, o plugin PPPoE Server no impede o
uso de DHCP, Hotspot, controle de banda. Voc poder usar

todos AO MESMO TEMPO no mesmo servidor sem nenhum efeito


colateral.
Como funciona
Normalmente as conexes entre o cliente e o servidor so realizadas
por simples configurao IP, nesse modo o cliente pode obter o IP via
DHCP ou configur-lo manualmente. Isso pode gerar alguns
problemas:
Clientes se enxergando por usarem a mesma faixa de IPs,
Conflitos de IP causados por intrusos e erros de administrao
dos endereos,
Bridges com problemas em mapear IPs aos MACs impedindo a
navegao do cliente,
Invaso de computadores e disseminao de virus entre os
clientes,
Roteadores paralelos distribuindo DHCP e impedindo o
funcionamento dos clientes,
CLONAGEM DE IP/MAC por invasores.
Com o uso de PPPoE esses problemas podem ser facilmente
resolvidos:
Clientes no se enxergam pois cada conexo um tunel entre o
cliente e o servidor, impossibilitando a comunicao paralela,
No ocorrem mais conflitos de IP pois o protocolo ARP no
mais utilizado,
Bridges no interefem mais no trfego pois o repasse de PPPoE
apenas entre o servidor e o devido cliente,
No possivel que os clientes se invado pois a comunicao
entre eles deixa de acontecer,
No haver mais problemas com roteadores paralelos
distribuindo DHCP,

No possivelo clonar IP/MAC, pois o IP do usurio s


concedido aps autenticao.
Outras vantagens:
Uusrios se autenticaro instantaneamente pelo windows e
navegaro direto na internet,
Usurios com roteadores que fazem a discagem PPPoE no
precisaro perder tempo se autenticando,
Usurios bloqueados conseguiro se conectar por PPPoE mas
ficaro aprisionados na tela de aviso,
Uusrios bloqueados conseguiro emitir segunda via de
BOLETO vencido.
Como ativar o servidor PPPoE no MyAuth Gateway 3
Primeiro necessrio adquirir o plug-in PPPoE Server para sua
licena do MyAuth3, visite o site www.tmsoft.com.br para mais
informaes.
Aps adquirir o plug-in, execute o comando de sincronizao de plugins:

root@servidor:/# myauth plugin


Plugin: pppoeserver Status: ATIVO!
root@servidor:/#

Reinicie o MyAuth3, para que o PPPoE seja iniciado:


root@servidor:/# myauth stop
root@servidor:/# myauth start

Configurando servidor PPPoE:


Detalhe: Ao ativar o PPPoE nos passos anteriores, ele j se
encontrar pronto para uso. No necessrio configur-lo com

os passos a seguir para que ele funcione. O MyAuth


automaticamente instala e configura o servio. Bastar, aps
ativar o plugin, ir at um cliente (windows ou roteador) e
configurar a conexo PPPoE usando o mesmo usurio e senha
cadastrado.
Ateno: Para configurar o cliente PPPoE, consulte o manual do
sistema operacional (Windows, MAC OS, Linux, etc...) ou
fabricante do firmware (RouterOS, AP-Router, Ubiquiti, etc...).
Para abrir a tela de configurao do servidor PPPoE, siga o menu:
Sistema - Servidor PPPoE

Na tela de configurao, Observe.

Opes:
Ativar servidor PPPoE: ativa o servidor PPPoE, caso seja
desativado todas as conexes PPPoE deixaro de funcionar.
Pool de IPs: informe a classe de IPs desejada para distribuio
automtica. Essa faixa de IPs ser usada para os clientes que
no possuem o campo IP RESERVADO preenchido. Caso o
cliente tenha o campo IP RESERVADO preenchido, o IP que o
cliente receber ser o da reserva e no da faixa do "Pool de
IPs".

Permitir acesso automtico sem hotspot: quando ativo, permitir


que o servidor PPPoE automaticamente autorize os usurios no
hotspot. Caso seja desativado, todos os usurios precisaro
realizar uma segunda autenticao via hotspot.
Timeout: tempo de inatividade antes de finalizar uma conexo.
Nome do concentrador: nome do concentrador, uso simbolico,
apenas para diferenciar um servidor do outro caso hajam mais
de um servidor PPPoE na rede.
Nome de servio: identico a opo "Nome do concentrador".
Servidor DNS padro: caso escolha "Automtico", o cliente ser
configurado para usar o IP do servidor como DNS primrio e
secundrio. Caso deseje especificar outros servidores DNS para
o cliente, escolha a opo "Manual" e informe os IPs dos
servidores DNS Primrio e Alternativo.
LCP-ECHO-INTERVAL: Tempo entre os testes de "ping" do
protocolo PPP com o intuito de verificar se o equipamento
cliente(roteador ou windows) permanece conectado.
LCP-FAILURE-TIMES: Nmero de testes de "ping" do protocolo
PPP sem resposta para desconectar o cliente inativo.
Interfaces de rede: interfaces de rede onde os clientes podero
se conectar via PPPoE. No possivel escolher interfaces
conectadas internet. Para escolher o posicionamento das
interfaces, recorra ao menu SISTEMA -> CONFIGURAES ->
INTERFACES DE REDE -> (clique sobre a interface) -> Escolha
o posicionamento a esquerda.
PPP-MRU e PPP-MTU/MSS: tamanho da segmentao dos
pacotes.

Hotspot e opes de DNS

O MyAuth 3 ao ser instalado ativa o servidor DNS do Slackware (bind


9) com capacidade completa para resolver nomes e fazer cache de
DNS.

Por questes de segurana, no recomendvel que usurios que


ainda no se autenticaram tenham acesso a um servio de DNS na
internet. Software de VPN UDP podem usar essa porta aberta para
estabelecer um tunel e por meio desse tunel encaminhar pacotes IPs.
O resultado desse tipo de abertura seria a explorao da rede para
navegao furtiva.

Configurando o hotspot para filtrar DNS


Acesse o menu
Sistema -> Hotspot -> Filtro de DNS

No menu voc poder escolher entre as 3 opes explicadas na

propria tela.
1 - Padro: o filtro no ir aplicar nenhum controle ao DNS. O cliente
poder usar o servidor DNS configurado manualmente ou
automaticamente (dhcp ou pppoe).
2 - Capturar apenas requisies de clientes no autenticados: o filtro
de DNS aplicar um desvio de todos os pacotes DNS enviando-os
para o servidor DNS de sua escolha (ver as opes de SERVIDOR
DNS PRINCIPAL).
3 - Capturar todas as requisies DNS: ao ativar essa opo, o
servidor aplicar um filtro desviando todas as requisies DNS para o
servidor DNS principal (ver opes de SERVIDOR DNS PRINCIPAL).
Mesmo que o cliente envie requisies para servidores DNS fora do
provedor, esses pacotes nunca chegaro a eles pois sero
redirecionados para o novo destino que voc especificar.
SERVIDOR DNS PRINCIPAL
Se voc optar pela opo 2 ou 3, ter que escolher para onde ir
enviar os pacotes DNS capturados. Suas opes so:
1 - Capturar para servidor DNS local: envia os pacotes para o servidor
DNS interno do servidor (bind 9). A configurao do bind fica no
arquivo /etc/named.conf e de responsabilidade do administrador do
servidor (no software desenvolvido pela TMSoft).
2 - Capturar para servidor DNS especfico: caso voc tenha um
servidor DNS proprio ou de confiana, poder enviar as requisies
DNS capturadas para esse servidor.
Opcional: caso o seu link de internet no esteja funcionando, todas as
resolues de nomes deixam de funcionar por falta de contato com os
servidores DNS mundias (root servers ou proxys DNS) e a navegao
no ser possivel. A opo de ATIVAR DNS OFF-LINE permite que os
usurios no autenticados recebem um IP falso como resposta, o que
permitir o funcionamento (pseudo-funcionamento) do DNS e
posteriormente a captura do hotspot.
NOTA DE SEGURANA
Ao escolher as opes que interferem no trfego DNS (opes 2 e 3),
o firewall do MyAuth 3 permitir apenas os servidores DNS
configurados no MyAuth 3 (servidores informados no /etc/resolv.conf,

servidores informados no forwarders do bind 9, servidor dns principal)


pelo firewall. Para consultar os servidores DNS autorizados, use o
comando: iptables -nv -L dns_filter

Você também pode gostar