Escolar Documentos
Profissional Documentos
Cultura Documentos
Servidor Firewall
www.linux2business.com.br
1/27
Voc pode:
Copiar, distribuir, exibir e executar a obra.
A reproduo do material contido neste tutorial permitido desde que se incluam os crditos ao
autor e a frase: Reproduzido da Linux2Business www.linux2business.com.br em local
visvel.
www.linux2business.com.br
2/27
ndice
Verso...................................................................................................................................................4
Objetivo................................................................................................................................................5
CentOS.................................................................................................................................................6
Instalao.........................................................................................................................................6
Configurao....................................................................................................................................6
Servios desnecessrios..............................................................................................................6
Desabilitar Ctrl-Alt-Del..............................................................................................................7
Desabilitar Terminais..................................................................................................................7
Desabilitar Acesso Local para Usurio root...............................................................................7
Desabilitar Acesso SSH para Usurio root.................................................................................8
SNMP..........................................................................................................................................8
SUDO..........................................................................................................................................8
DNS (Master / Slave).........................................................................................................................10
DHCP.................................................................................................................................................18
Proxy...................................................................................................................................................19
Firewall (Iptables)..............................................................................................................................21
Sincronizao de data e hora (NTP)...................................................................................................26
Referncias.........................................................................................................................................27
www.linux2business.com.br
3/27
Verso
Criado/Alterado
Data
Verso
Sandro Venezuela
28/07/10
V1.0
Sandro Venezuela
24/08/10
V 1.1
Sandro Venezuela
09/09/10
V 1.2
Sandro Venezuela
18/10/10
V 1.3
Sandro Venezuela
23/11/10
V 1.4
www.linux2business.com.br
4/27
Objetivo
Apresentar os procedimentos de instalao e configurao de um servidor Firewall contendo alm
das regras de Firewall, os servios de Proxy, DHCP, DNS Mestre e Escravo, e NTP, utilizando o
sistema operacional GNU/Linux, distribuio CentOS 5.
As configuraes foram realizadas tomando como referncia o uso de duas redes, sendo uma a rede
das estaes e a outra a dos servidores (DMZ), alm claro a rede da Internet.
Sero apresentadas tambm as configuraes realizadas no momento da instalao do sistema
operacional.
www.linux2business.com.br
5/27
CentOS
Instalao
Iniciar o servidor atravs da unidade de CD/DVD com a mdia do CentOS 5. A instalao deve
ocorrer sempre no idioma English.
Na configurao do fuso horrio deve-se marcar sempre a opo UTC para definio da data e hora.
O particionamento do disco deve obedecer a seguinte configurao:
Partio
Ponto de Montagem
Tamanho
/dev/sda1
1GB
/dev/sda2
/usr
4GB
/dev/sda3
swap
1GB
/home
/tmp
/var
1GB
1GB
>10GB
/dev/sda5(LVM)
Configurao
Servios desnecessrios
Desabilitando os servios desnecessrios
#chkconfighaldaemonoff
#chkconfigkudzuoff
#chkconfigiptablesoff
#chkconfigip6tablesoff
#chkconfigmcstransoff
#chkconfigmessagebusoff
#chkconfignetfsoff
#chkconfigrestorecondoff
Obs.: Os servios iptables e ip6tables somente esto sendo desabilitados porque sero
configuradas novas regras de firewall, seno recomenda-se que estes servios sejam mantidos.
www.linux2business.com.br
6/27
Desabilitar Ctrl-Alt-Del
Editar o arquivo /etc/inittab, comentando a seguinte linha:
# what to do when CTRL-ALT-DEL is pressed
# ca::ctrlaltdel:/sbin/shutdown -r -t 4 now
Desabilitar Terminais
Editar o arquivo /etc/inittab, comentando a seguinte linha, em negrito:
...
# for ARGO UPS
sh:12345:powerfail:/sbin/shutdown -h now THE POWER IS FAILING
# getty-programs for the normal runlevels
# <id>:<runlevels>:<action>:<process>
# The "id" field MUST be the same as the last
# characters of the device (after "tty").
1:2345:respawn:/sbin/mingetty --noclear tty1
2:2345:respawn:/sbin/mingetty tty2
# 3:2345:respawn:/sbin/mingetty tty3
# 4:2345:respawn:/sbin/mingetty tty4
# 5:2345:respawn:/sbin/mingetty tty5
# 6:2345:respawn:/sbin/mingetty tty6
#
#S0:12345:respawn:/sbin/agetty -L 9600 ttyS0 vt102
#cons:12345:respawn:/sbin/smart_agetty -L 38400 console
...
Normalmente devem ser permitidos somentes 2 terminais, acessveis localmente atravs das teclas
Alt+F1 e Alt+F2. Se for necessrio mais terminais, basta habilitar, descomentando o terminal
correspondente.
Para habilitar a alterao, execute o comando:
# init q
Obs.: Este procedimento SOMENTE deve ser realizado aps a criao de pelo menos um usurio,
normalmente criado no momento da instalao.
www.linux2business.com.br
7/27
Obs.: Este procedimento SOMENTE deve ser realizado aps a criao de pelo menos um usurio,
normalmente criado no momento da instalao.
SNMP
Para o servio de monitoramento do servidor, devemos instalar o pacote net-snmp atravs do
YUM. Em seguida, deve-se criar o arquivo snmpd.conf, no diretrio /etc/snmp, com o seguinte
contedo:
com2sec local
com2sec local
127.0.0.1/32
192.168.0.39/32
group MyROGroup v1
group MyROGroup v2c
group MyROGroup usm
view all
included
private
linux2business
local
local
local
.1
80
any
noauth
exact
all
none
none
syslocation Linux2Business
syscontact System Admin <sysadmin@linux2business.com.br>
Obs.: O endereo IP 192.168.0.39 deve ser substitudo pelo endereo do seu servidor de
monitoramento via SNMP.
Por fim, devemos iniciar o servio SNMP:
# service snmpd start
E habilitar para que o servio seja sempre iniciado junto com o sistema operacional:
# chkconfig snmpd on
SUDO
Para esta funcionalidade, deve-se instalar o pacote sudo atravs do YUM.
Com o comando visudo, que altera o arquivo /etc/sudoers, devemos adicionar os seguintes
parmetros para o usurio sysadmin:
www.linux2business.com.br
8/27
# visudo
(Incluir ao final do arquivo)
# SysAdmin User
sysadmin ALL = NOPASSWD: /usr/bin/passwd administrator, /sbin/reboot, /sbin/halt
Obs.: Para cada servidor existir uma configurao especfica do sudo a ser realizada.
Com a configurao acima o usurio sysadmin ter o poder de alterar a senha do usurio
administrator, reiniciar e desligar o servidor.
Outros comandos podem ser configurados, porm devem estar de acordo com a poltica de TI da
empresa.
www.linux2business.com.br
9/27
Atravs
dos
arquivos de exemplo, disponveis no diretrio /usr/share/doc/bind<verso>/sample, ser configurado um servidor de nomes (DNS) utilizado tanto para a rede
interna quanto externa e posteriormente configurado um novo servidor secundrio (Slave).
Como o servidor ser executado em um ambiente restrito, ou seja, uma jaula chroot, toda
configurao
ser
criada
dentro
dos
diretrios
/var/named/chroot/etc
e
/var/named/chroot/var/named, conforme abaixo:
Arquivo /var/named/chroot/etc/named.conf:
options
{
directory
dump-file
statistics-file
memstatistics-file
"/var/named";
"data/cache_dump.db";
"data/named_stats.txt";
"data/named_mem_stats.txt";
version
"BIND";
{ 127.0.0.1; };
{ 127.0.0.1; };
allow-transfer { 192.168.100.20; };
allow-query { 127.0.0.1; };
recursion yes;
include "/etc/named.root.hints";
include "/etc/named.rfc1912.zones";
zone "linux2business.br" {
type master;
file "internal.linux2business.br.db";
allow-update { none; };
};
zone "linux2business.org.br" {
www.linux2business.com.br
10/27
type master;
file "internal.linux2business.org.br.db";
allow-update { none; };
};
};
view "internal"
{
match-clients
match-destinations
{ 172.16.0.0/24; 192.168.100.0/24; };
{ 172.16.0.0/24; 192.168.100.0/24; };
allow-transfer { 192.168.100.20; };
allow-query { 172.16.0.0/24; 192.168.100.0/24; };
recursion yes;
include "/etc/named.root.hints";
zone "linux2business.br" {
type master;
file "internal.linux2business.br.db";
allow-update { none; };
};
zone "linux2business.org.br" {
type master;
file "internal.linux2business.org.br.db";
allow-update { none; };
};
};
view
{
"external"
match-clients
match-destinations
{ any; };
{ any; };
allow-transfer { 192.168.100.20; };
allow-query { any; };
recursion no;
include "/etc/named.root.hints";
zone "linux2business.br" {
type master;
file "external.linxux2business.br.db";
allow-update { none; };
};
zone "linux2business.org.br" {
type master;
file "external.linxux2business.org.br.db";
allow-update { none; };
};
};
key ddns_key
{
algorithm hmac-md5;
www.linux2business.com.br
11/27
Arquivo /var/named/chroot/etc/named.rfc1912.zones:
// named.rfc1912.zones:
//
// ISC BIND named zone configuration for zones recommended by
// RFC 1912 section 4.1 : localhost TLDs and address zones
//
zone "localdomain" IN {
type master;
file "localdomain.zone";
allow-update { none; };
};
zone "localhost" IN {
type master;
file "localhost.zone";
allow-update { none; };
};
zone "0.0.127.in-addr.arpa" IN {
type master;
file "named.local";
allow-update { none; };
};
zone
IN {
"0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa"
type master;
file "named.ip6.local";
allow-update { none; };
};
zone "255.in-addr.arpa" IN {
type master;
file "named.broadcast";
allow-update { none; };
};
zone "0.in-addr.arpa" IN {
type master;
file "named.zero";
allow-update { none; };
};
Arquivo /var/named/chroot/etc/named.root.hints:
//
//
The 'named.root' root cache hints zone for the bind DNS 'named'
nameserver.
//
//
named's cache must be primed with the addresses of the root zone '.'
nameservers.
//
The root zone file can be obtained by querying the root 'A' nameserver:
//
$ dig . ns @198.41.0.4 > named.root
//
Or by download via FTP / HTTP:
//
$ wget ftp://ftp.rs.internic.net/domain/named.root
www.linux2business.com.br
12/27
//
//
Every view that is to provide recursive service must include this zone.
//
zone "." IN {
type hint;
file "named.root";
};
allow_transfer
allow_query
allow_update
recursion
Com os arquivos de configurao do DNS criados, vamos agora criar os arquivos de zona para os
domnios, tanto para a rede interna quanto externa. Os arquivos esto apresentados abaixo:
Arquivo /var/named/chroot/var/named/internal.linux2business.br.db:
$TTL 86400
@ IN SOA fw.linux2business.br. root.fw.linux2business.br. (
2008080105
; serial
28800
; refresh (seconds)
7200
; retry (seconds)
604800
; expire (seconds)
86400 )
; minimum (seconds)
linux2business.br.
fw
ns1
web
mail
ns2
base
proxy
ntp
www
webmail
ldap
ldap2
smtp
NS
NS
MX 10
ns1.linux2business.br.
ns2.linux2business.br.
mail.linux2business.br.
A
A
A
A
A
A
A
A
CNAME
CNAME
CNAME
CNAME
CNAME
CNAME
192.168.100.10
192.168.100.1
192.168.100.1
192.168.100.10
192.168.100.20
192.168.100.20
192.168.100.30
172.16.0.1
fw
web
web
base
mail
mail
www.linux2business.com.br
13/27
imap
CNAME
Arquivo /var/named/chroot/var/named/internal.linux2business.org.br.db:
$TTL 86400
@ IN SOA fw.linux2business.org.br. root.fw.linux2business.org.br. (
2008080102
; serial
28800
; refresh (seconds)
7200
; retry (seconds)
604800
; expire (seconds)
86400 )
; minimum (seconds)
linux2business.org.br.
fw
ns1
www
mail
ns2
base
ntp
webmail
ldap
ldap2
NS
NS
MX 10
ns1.linux2business.org.br.
ns2.linux2business.org.br.
mail.linux2business.org.br.
A
A
A
A
A
A
A
CNAME
CNAME
CNAME
CNAME
192.168.100.10
192.168.100.1
192.168.100.1
192.168.100.10
192.168.100.20
192.168.100.20
192.168.100.30
fw
www
base
mail
Arquivo /var/named/chroot/var/named/external.linux2business.br.db:
$TTL 86400
@ IN SOA fw.linux2business.br. root.fw.linux2business.br. (
2008080101
; serial
28800
; refresh (seconds)
7200
; retry (seconds)
604800
; expire (seconds)
86400 )
; minimum (seconds)
linux2business.br.
fw
ns1
www
mail
ns2
base
webmail
ldap
ldap2
NS
NS
MX 10
ns1.linux2business.br.
ns2.linux2business.br.
mail.linux2business.br.
A
A
A
A
A
A
A
CNAME
CNAME
CNAME
200.0.0.10
200.0.0.1
200.0.0.1
200.0.0.10
200.0.0.20
200.0.0.20
200.0.0.30
www
base
mail
Arquivo /var/named/chroot/var/named/external.linux2business.org.br.db:
$TTL 86400
@ IN SOA fw.linux2business.org.br. root.fw.linux2business.org.br. (
2008080101
; serial
28800
; refresh (seconds)
7200
; retry (seconds)
www.linux2business.com.br
14/27
604800
86400 )
linux2business.org.br.
fw
ns1
www
mail
ns2
base
webmail
ldap
ldap2
; expire (seconds)
; minimum (seconds)
NS
NS
MX 10
ns1.linux2business.org.br.
ns2.linux2business.org.br.
mail.linux2business.org.br.
A
A
A
A
A
A
A
CNAME
CNAME
CNAME
200.0.0.10
200.0.0.1
200.0.0.1
200.0.0.10
200.0.0.20
200.0.0.20
200.0.0.30
www
base
mail
Vamos criar os links simblicos para os arquivos criados dentro do ambiente chroot, seno alguns
comandos de verificao do DNS, como named-checkconf e named-checkzone, no iro
funcionar:
#
#
#
#
#
#
>
#
>
#
>
#
>
#
#
#
#
#
#
#
cd /etc
ln -s /var/named/chroot/etc/named.conf named.conf
ln -s /var/named/chroot/etc/named.rfc1912.zones named.rfc1912.zones
ln -s /var/named/chroot/etc/named.root.hints named.root.hints
cd /var/named
ln -s /var/named/chroot/var/named/external.linux2business.br.db \
external.linux2business.br.db
ln -s /var/named/chroot/var/named/external.linux2business.org.br.db
external.linux2business.org.br.db
ln -s /var/named/chroot/var/named/internal.linux2business.br.db \
internal.linux2business.br.db
ln -s /var/named/chroot/var/named/internal.linux2business.org.br.db \
internal.linux2business.org.br.db
ln -s /var/named/chroot/var/named/localdomain.zone localdomain.zone
ln -s /var/named/chroot/var/named/localhost.zone localhost.zone
ln -s /var/named/chroot/var/named/named.broadcast named.broadcast
ln -s /var/named/chroot/var/named/named.ip6.local named.ip6.local
ln -s /var/named/chroot/var/named/named.local named.local
ln -s /var/named/chroot/var/named/named.root named.root
ln -s /var/named/chroot/var/named/named.zero named.zero
Por fim, vamos habilitar o servio para que seja iniciado junto com o sistema operacional:
# chkconfig named on
"/var/named";
"data/cache_dump.db";
"data/named_stats.txt";
www.linux2business.com.br
15/27
memstatistics-file
"data/named_mem_stats.txt";
version
"BIND";
{ 127.0.0.1; };
{ 127.0.0.1; };
allow-transfer { none; };
allow-notify { 192.168.100.1; };
allow-query { 127.0.0.1; };
recursion yes;
include "/etc/named.root.hints";
include "/etc/named.rfc1912.zones";
zone "linux2business.br" {
type slave;
file "slaves/internal.linux2business.br.db";
masters { 192.168.100.1; };
};
zone "linux2business.org.br" {
type slave;
file "slaves/internal.linux2business.org.br.db";
masters { 192.168.100.1; };
};
};
view "internal"
{
match-clients
match-destinations
{ 172.16.0.0/24; 192.168.100.0/24; };
{ 172.16.0.0/24; 192.168.100.0/24; };
allow-transfer { none; };
allow-notify { 192.168.100.1; };
allow-query { 172.16.0.0/24; 192.168.100.0/24; };
recursion yes;
include "/etc/named.root.hints";
zone "linux2business.br" {
type slave;
www.linux2business.com.br
16/27
file "slaves/internal.linux2business.br.db";
masters { 192.168.100.1; };
};
zone "linux2business.org.br" {
type slave;
file "slaves/internal.linux2business.org.br.db";
masters { 192.168.100.1; };
};
};
view
{
"external"
match-clients
match-destinations
{ any; };
{ any; };
allow-transfer { none; };
allow-notify { 192.168.100.1; };
allow-query { any; };
recursion no;
include "/etc/named.root.hints";
zone "linux2business.br" {
type slave;
file "slaves/external.linxux2business.br.db";
masters { 192.168.100.1; };
};
zone "linux2business.org.br" {
type slave;
file "slaves/external.linxux2business.org.br.db";
masters { 192.168.100.1; };
};
};
key ddns_key
{
algorithm hmac-md5;
// Use /usr/sbin/dns-keygen to generate TSIG keys
secret "9FDDwPimOMnhsfNtmjaxQvNSSdrBIHwg6gjxxRxZMvKP8wHRRPDzyiZaW76s";
};
www.linux2business.com.br
17/27
DHCP
Instalar o pacote dhcp, atravs do YUM:
# yum install dhcp
Para configurar o servio DHCP devemos alterar o arquivo /etc/dhcpd.conf, conforme abaixo:
Arquivo /etc/dhcpd.conf:
ddns-update-style interim;
authoritative;
subnet 172.16.0.0 netmask 255.255.255.0 {
default-lease-time 3600;
max-lease-time 14400;
option subnet-mask
option broadcast-address
option routers
255.255.255.0;
172.16.0.255;
172.16.0.1;
option
option
option
option
"linux2business.br";
172.16.0.1;
172.16.0.1;
-10800; # Brazil East
domain-name
domain-name-servers
ntp-servers
time-offset
www.linux2business.com.br
18/27
Proxy
Instalar o pacote squid, atravs do comando YUM:
# yum install squid
Obs.: Para listar somente as linhas vlidas, ou seja que no so comentrios e tambm no so
linhas em branco, deve-se utilizar o comando grep ^[^#$] /etc/squid/squid.conf.
A configurao acima bem simples, liberando o acesso a qualquer estao que tenha um endereo
IP dentro da rede 172.16.0.0/24. Qualquer regra de bloqueio que for adicionada a configurao deve
ser obrigatoriamente inserida antes da linha http_access allow internal_net.
Outro detalhe, para liberar sites que funcionam em portas diferentes da porta 80, como por exemplo,
www.linux2business.com.br
19/27
81, 82, etc, necessrio adicionar uma ACL com o parmetro Safe_ports com a porta necessria,
por exemplo, acl Safe_ports port 81.
Por fim, uma breve explicao sobre os parmetros cache_mem e cache_dir, onde o primeiro deve
ser configurado com aproximadamente 25% da memria RAM total do servidor, porm comum
encontrar na Internet pessoas indicando valores de at 75% da memria RAM.
No parmetro cache_dir, o tamanho do cache (terceiro valor, logo aps a definio do diretrio)
depende do tamanho disponvel na partio /var, lembrando que cada 1GB de tamanho representa
um consumo de 10MB da memria RAM.
Um detalhe importante, a configurao do Squid apresentada acima no para um Proxy
transparente, assim, para funcionar, o navegador deve ser alterado.
www.linux2business.com.br
20/27
Firewall (Iptables)
Normalmente o pacote iptables j vem instalado, porm se for necessrio, este pacote pode ser
instalado via YUM, atravs do comando abaixo:
# yum install iptables
Para configurar as regras de firewall deve-se criar o script firewall no diretrio /etc/init.d,
conforme abaixo:
Arquivo /etc/init.d/firewall:
#!/bin/sh
#
# firewall
Start iptables firewall
#
# chkconfig: 2345 08 92
# description: Starts, stops and saves iptables firewall
#
# Source function library.
. /etc/init.d/functions
IPTABLES=iptables
IPV=${IPTABLES%tables} # ip for ipv4 | ip6 for ipv6
PROC_IPTABLES_NAMES=/proc/net/${IPV}_tables_names
VAR_SUBSYS_IPTABLES=/var/lock/subsys/$IPTABLES
if [ ! -x /sbin/$IPTABLES ]; then
echo -n $"/sbin/$IPTABLES does not exist."; warning; echo
exit 0
fi
if lsmod 2>/dev/null | grep -q ipchains ; then
echo -n $"ipchains and $IPTABLES can not be used together."; warning; echo
exit 1
fi
# Default firewall configuration:
IPTABLES_STATUS_NUMERIC="yes"
IPTABLES_STATUS_VERBOSE="no"
IPTABLES_STATUS_LINENUMBERS="yes"
start() {
# Load Modules
modprobe ip_nat_ftp
modprobe ip_conntrack_ftp
# Disable IP Spoofing attack
sysctl -w net.ipv4.conf.all.rp_filter=2 > /dev/null 2>&1
# Enable IP Forward
sysctl -w net.ipv4.ip_forward=1 > /dev/null 2>&1
# Kill Timestamps
sysctl -w net.ipv4.tcp_timestamps=0 > /dev/null 2>&1
# Enable protection Cookie TCP syn
sysctl -w net.ipv4.tcp_syncookies=1 > /dev/null 2>&1
www.linux2business.com.br
21/27
-p
-p
-p
-p
-p
-p
icmp
icmp
icmp
icmp
icmp
icmp
www.linux2business.com.br
22/27
# NAT
iptables -t nat -A POSTROUTING -j MASQUERADE -s 192.168.100.0/24 -o eth0
iptables -t nat -A POSTROUTING -j MASQUERADE -s 172.16.0.0/24 -o eth0
# PREROUTING
iptables -t nat -A PREROUTING -i eth0 -d 200.0.0.10 -p tcp -m multiport
--dport 80,443,8080 -j DNAT --to 192.168.100.10
iptables -A FORWARD -j ACCEPT -i eth0 -o eth1 -d 192.168.100.10 -p tcp -m
multiport --dport 80,443,8080
iptables -A FORWARD -j ACCEPT -i eth1 -o eth0 -s 192.168.100.10 -p tcp -m
multiport --sport 80,443,8080
# Sets policy
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
# Logs
iptables -A INPUT -j LOG --log-level alert --log-prefix DROP
iptables -A OUTPUT -j LOG --log-level alert --log-prefix DROP
iptables -A FORWARD -j LOG --log-level alert --log-prefix DROP
touch $VAR_SUBSYS_IPTABLES
www.linux2business.com.br
23/27
return $ret
}
stop() {
# Clear the firewall rules
iptables -F
iptables -t nat -F
iptables -X
iptables -t nat -X
# Sets policy
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
rm -f $VAR_SUBSYS_IPTABLES
return $ret
}
status() {
tables=`cat $PROC_IPTABLES_NAMES 2>/dev/null`
# Do not print status if lockfile is missing and iptables modules are not
# loaded.
# Check if iptable module is loaded
if [ ! -f "$VAR_SUBSYS_IPTABLES" -a -z "$tables" ]; then
echo $"Firewall is stopped."
return 1
fi
# Check if firewall is configured (has tables)
if [ ! -e "$PROC_IPTABLES_NAMES" ]; then
echo $"Firewall is not configured. "
return 1
fi
if [ -z "$tables" ]; then
echo $"Firewall is not configured. "
return 1
fi
NUM=
[ "x$IPTABLES_STATUS_NUMERIC" = "xyes" ] && NUM="-n"
VERBOSE=
[ "x$IPTABLES_STATUS_VERBOSE" = "xyes" ] && VERBOSE="--verbose"
COUNT=
[ "x$IPTABLES_STATUS_LINENUMBERS" = "xyes" ] && COUNT="--line-numbers"
for table in $tables; do
echo $"Table: $table"
$IPTABLES -t $table --list $NUM $VERBOSE $COUNT && echo
done
return 0
}
restart() {
stop
start
}
www.linux2business.com.br
24/27
case "$1" in
start)
stop
start
RETVAL=$?
;;
stop)
stop
RETVAL=$?
;;
restart)
restart
RETVAL=$?
;;
status)
status
RETVAL=$?
;;
*)
echo $"Usage: $0 {start|stop|restart|status}"
exit 1
;;
esac
exit $RETVAL
Obs.: As regras apresentadas acima devem ser adequadas aos servios existentes na rede e tambm
as necessidades de cada estrutura de servidores. Normalmente prefiro criar regras bem explcitas,
indicando quais servidores ou redes tem acesso determinados servios.
Uma vez criado o script, deve-se configurar as permisses corretas e habilit-lo para iniciar com o
sistema operacional:
# chmod a+x /etc/init.d/firewall
# chkconfig firewall on
www.linux2business.com.br
25/27
Para configurar o servio NTP deve-se alterar o arquivo /etc/ntp.conf, conforme abaixo:
Arquivo /etc/ntp.conf:
# Permit
# permit
restrict
restrict
Obs.: A configurao depende da topologia da rede utilizada. Neste caso ser permitido aos
servidores da DMZ sincronizarem a data e hora com o servidor Firewall, assim como as estaes de
trabalho da rede local.
Um detalhe importante na sincronizao da data e hora o horrio de vero, onde para funcionar
corretamente, todas as estaes de trabalho precisam ter atualizado o arquivo de timezone, que
determina o dia correto do incio e trmino do horrio de vero.
Nas estaes com o sistema GNU/Linux, este arquivo /etc/localtime, que pode ser um link
simblico para o arquivo /usr/share/zoneinfo/Brazil/East, ou uma cpia deste arquivo.
www.linux2business.com.br
26/27
Referncias
www.linux2business.com.br
27/27