Servidor Linux para um provedor wireless - Dicas http://www.hardware.com.br/dicas/servidor-linux-provedor-wireless.

html

Servidor Linux para um provedor wireless

Por Tiago André Geraldi em 21 de julho de 2007 às 14h37 10

Introdução

Esta dical mostra como configurar um servidor com controle de banda, prioridade, firewall,
cadastramento de IP preso à um MAC, proxy transparente e cache DNS, deixando tudo visível
através de um único arquivo de configuração.

A pouco tempo me deparei com a criação de um servidor para um provedor de internet

wireless e depois de muitas dificuldades, cheguei a um arquivo de configuração único que
serve de painel de controle para o gerenciamento dos clientes e que é processado através de
um script. Acredito que facilitará bastante a vida de quem está entrando no ramo. Neste artigo
tratarei todo o processo da criação de um servidor do gênero chegando até esse script de
configuração.

Usei como base a distribuição Ubuntu Server 7.04, até mesmo para testar essa nova promessa
das distros para servidores. Mas você poderá seguir sem problemas esse tutorial com qualquer
Debian ou derivado como o Kurumin. Com algumas adaptações na instalação dos pacotes,
pode ser usado qualquer outra distribuição Linux.

Basicamente um servidor para provedor de internet wireless funciona como um roteador entre
o link da empresa de telecom e os clientes. Numa interface de rede ele recebe o link, e a outra
interface é ligada ao AP que distribuirá o sinal através da torre.

Não é necessário um hardware avançado para este servidor. Um PC com processador de 1 GHz
e com 256 MB de RAM é suficiente para atender mais de 100 clientes. Antes de se preocupar
com a capacidade de processamento do servidor você deve analisar se o link que você
contratou é suficiente para o seu número de clientes, fato que varia muito de acordo com os
planos de acesso que você está oferecendo e também com a efetividade dos seus clientes.

A maioria dos provedores calculam a proporção de 8 pra 1, ou seja, posso ter 8 clientes com
256 kbps de acesso cada um, e só possuir um link de 256 kbps que nunca todos os clientes
estarão usando efetivamente a internet ao mesmo tempo, eu como cliente de um provedor
wireless posso confirmar que na prática isso não funciona muito bem. Seja mais camarada
com seus clientes, principalmente se eles usam aplicativos P2P. :)

Serviços do servidor

Para controle de banda e de prioridade usaremos o script CBQ. No Ubuntu, Debian e derivados
ele é instalado através do pacote "shaper", se a sua distro não possui um pacote de instalação
do CBQ você poderá baixá-lo no sourceforge.net e executá-lo, ele é apenas um script que
interpreta arquivos de texto colocados no /etc/cbq ou no /etc/shaper, não há nenhum processo
de instalação.

O proxy transparente será feito com o Squid. Um proxy, entre muitas outras utilidades serve
como cache de páginas, ou seja, reservaremos um espaço no disco rígido do servidor de
acordo com a capacidade livre para armazenar as paginas acessadas.

Por exemplo, um usuário abriu o site www.kernel.org, o proxy então guarda o conteúdo desse
site em seu cache, em seguida um outro cliente abriu o mesmo site, então o proxy verifica se
a pagina foi atualizada, se não houver atualização ele apenas pega o que tem em seu cache e
manda para o cliente, sem a necessidade de buscar novamente o mesmo conteúdo na
internet.

Na prática isso ocasiona uma incrível poupança de banda. Denominamos o nosso proxy de
"transparente" porque ele não precisará ser configurado manualmente no navegador dos
clientes, através de uma regra no firewall redirecionaremos o fluxo de navegação para o Squid.

Colocaremos também no servidor o serviço Bind9 para cache DNS. Teremos nossa própria
tabela de mapeamento de endereços na internet, assim, na configuração de rede dos seus
clientes, você poderá colocar como DNS primário o IP do seu servidor (o mesmo que o
gateway) e não o da telecom, além de deixar a configuração mais prática também economiza o
link.

Para evitar "furões" acessando sua internet usaremos o cadastro de IP preso a um MAC. O MAC
é o endereço físico da interface de rede, ele é único, cada placa de rede ou wireless tem um
endereço MAC diferente, (para vê-lo use "ifconfig" no Linux e "ipconfig /all" no prompt do
Windows). Na hora de cadastrar seu cliente você colocará o MAC da interface dele e o endereço
IP que você escolheu, no momento que o cliente for usar a internet, se os dois endereços não
coincidirem o acesso não funcionará. Não que seja um sistema 100% seguro porque endereços
MACs podem ser facilmente emulados, mas já dificultará bastante a vida de usuários não
autorizados.

Para firewall usaremos um script iptables muito simples baseado no firewall do Kurumin.

Instalação e configuração

A instalação do Ubuntu Server não é complicada e não será tratada aqui. No processo de
instalação é possível já deixar ativo alguns serviços de servidor como DNS e o "LAMP" que são
os serviços para servidor de páginas e e-mail. É recomendável que você não tenha esses
serviços instalados no seu servidor, se tiver instalado, desative-os e preferencialmente use-os
em outro servidor.

Antes de mais nada você de ter configurado as interfaces de rede durante a instalação ou
posteriormente, e sua conexão com a internet já deve estar funcionando. Na primeira interface
você coloca o IP que recebeu da telecom e na segunda interface você coloca a faixa de IPs que
quiser.

Você pode dar ao servidor o IP 192.168.0.1/255.255.255.0 a os seus clientes todos os

endereços entre 192.168.0.2 até 192.168.0.254 ou o IP 10.0.0.1/255.0.0.0 entre inúmeras
outras possibilidades, isso não importa, só levaremos em consideração de agora em diante que
sua interface com a internet é a eth0 e a interface com os clientes é a eth1, (se a sua

1 de 4 02/03/2011 20:40
Servidor Linux para um provedor wireless - Dicas http://www.hardware.com.br/dicas/servidor-linux-provedor-wireless.html

sua interface com a internet é a eth0 e a interface com os clientes é a eth1, (se a sua
configuração for diferente você terá que adaptar algumas coisas).

Primeiramente logue-se como root, no Ubuntu é necessário entrar com a conta normal e
depois:

$ sudo su

Para facilitar as coisas, primeiro instale o SSH e use o servidor remotamente, irá facilitar na
hora de copiar os scripts listados neste artigo e depois você poderá deixar o servidor sem
monitor.

# apt-get update
# apt-get install ssh

Agora você pode usar o servidor através de outro computador que esteja na mesma rede, ligue
a interface de rede eth1 num switch e configure outro computador com a mesma classe de IP.
Para se conectar no Linux use o comando "ssh usuario@ip_do_servidor", no Windows baixe o
programa Putty facilmente encontrado no Google.

Por questões de segurança muitos administradores mudam a porta padrão (22) do SSH para
dificultar invasões, se desejar pode você fazer isso editando o arquivo "/etc/ssh
/sshd_config.conf"

Agora a instalação dos serviços. Para instalar os pacotes usados dê o seguinte comando:

# apt-get install shaper squid bind9 -y

Ok, ao término os pacotes necessários já estarão instalados. Começaremos a configurá-los.

Para o DNS não é necessário fazer nada, assim que instalado ele já funciona como cache de
endereçamentos.

Configuração do Proxy

O primeiro a ser configurado será o proxy Squid, vamos remover o arquivo padrão e criar um
totalmente novo (o editor de texto vi não é muito agradável no Ubuntu, você pode instalar e
usar o vim, o nano, etc.):

# rm /etc/squid/squid.conf
# vi /etc/squid/squid.conf

Coloque o seguinte conteúdo. Observe os comentários e faça as adaptações necessárias.

http_port 3128 transparent

visible_hostname provedor_wireless

acl all src 0.0.0.0/0.0.0.0

acl manager proto cache_object

# mude a faixa de IPs de acordo com a que você decidiu usar:

acl clientes src 192.168.0.0/255.255.255.0

# arquivos de Log
cache_access_log /var/log/squid/access.log
cache_log /var/log/squid/cache.log

# tamanho máximo de arquivo que o cache guardará,

# pode ser aumentado.
maximum_object_size 80000 KB

# diretório onde será ficará armazenado o cache das páginas.

# O 10000 é o número em MBs do HD que será reservado para o cache.
# Mude como achar melhor.
# Você pode também mudar o diretório do cache, apenas certifique-se
# de que o usuário proxy tenha permissão de escrita neste local.
cache_dir ufs /var/spool/squid/ 10000 16 256

# usuário que executa o servidor proxy

cache_effective_user proxy

# habilita permissão pra rede definida e bloqueia acessos vindos de

# outros endereços
http_access allow clientes
http_access deny all

## FIM DO ARQUIVO ##

Depois de configurado o arquivo, você já pode ativar o Squid:

# /etc/init.d/squid restart

Cadastramento dos Clientes

Os seus clientes serão cadastrados no arquivo "/etc/provedor/clientes". Crie esse arquivo:

# vi /etc/provedor/clientes

Agora preencha esse arquivo como exemplo:

0010|novo-teste|192.168.0.7|128|12|8|00:E0:06:EF:7F:D8|3|A
0011|teste|192.168.0.3|256|30|15|00:0B:CD:A4:AE:2C|5|B

2 de 4 02/03/2011 20:40
Servidor Linux para um provedor wireless - Dicas http://www.hardware.com.br/dicas/servidor-linux-provedor-wireless.html

0011|teste|192.168.0.3|256|30|15|00:0B:CD:A4:AE:2C|5|B

Cada linha corresponde a um cliente. Os campos são separados com "|" (pipe-line). O primeiro
campo é o código do cliente, inicie a partir de 0010, sempre com 4 dígitos. Em seguida o
nome, o endereço IP escolhido, a velocidade de conexão, a taxa de download, a taxa de
upload, o endereço MAC, a prioridade (quanto mais baixo mais prioridade) e por fim, "A", ativo
ou "B", bloqueado.

O script que lê essas informações será o "configurador.sh", crie-o na mesma pasta e depois
dê permissão de execução

# touch /etc/provedor/configurador.sh
# chmod +x /etc/provedor/configurador.sh
# vi /etc/provedor/configurador.sh

A explicação do seu funcionamento vem em seguida. Cole o conteúdo:

#!/bin/bash
# script criado por Tiago Andre Geraldi - virgulla@gmail.com

rm -f /etc/shaper/*
rm /etc/provedor/users.sh
touch /etc/provedor/users.sh
chmod +x /etc/provedor/users.sh

LISTA=`cat /etc/provedor/clientes`
for CLIENTE in $LISTA; do
CODIGO=`echo $CLIENTE | awk -F "|" '{print $1}'`
NOME=`echo $CLIENTE | awk -F "|" '{print $2}'`
IP=`echo $CLIENTE | awk -F "|" '{print $3}'`
CON=`echo $CLIENTE | awk -F "|" '{print $4}'`
DOWN=`echo $CLIENTE | awk -F "|" '{print $5}'`"kbit"
UP=`echo $CLIENTE | awk -F "|" '{print $6}'`"kbit"
MAC=`echo $CLIENTE | awk -F "|" '{print $7}'`
PRIO=`echo $CLIENTE | awk -F "|" '{print $8}'`
STAT=`echo $CLIENTE | awk -F "|" '{print $9}'`
# checa se esta ativado
if [ "$STAT" = "A" ]; then

UPLOAD="/etc/shaper/cbq-"$CODIGO"."$NOME"_upload"
DOWNLOAD="/etc/shaper/cbq-"$CODIGO"."$NOME"_download"
touch $UPLOAD
touch $DOWNLOAD
chown 755 /etc/shaper/*

# eth1 corresponde a interface de rede conectada aos usuarios

# mude se necessario

echo "DEVICE=eth1,100Mbit,10Mbit" >> $UPLOAD

echo "RATE=$CON""KBit" >> $UPLOAD
echo "WEIGHT=$UP" >> $UPLOAD
echo "PRIO=$PRIO" >> $UPLOAD
echo "BOUNDED=yes" >> $UPLOAD
echo "ISOLATED=yes" >> $UPLOAD
echo "MARK=30" >> $UPLOAD

echo "DEVICE=eth1,100Mbit,10Mbit" >> $DOWNLOAD

echo "RATE=$CON""KBit" >> $DOWNLOAD
echo "WEIGHT=$DOWN" >> $DOWNLOAD
echo "PRIO=$PRIO" >> $DOWNLOAD
echo "RULE=""$IP" >> $DOWNLOAD
echo "BOUNDED=yes" >> $DOWNLOAD
echo "ISOLATED=yes" >> $DOWNLOAD

echo "iptables -t nat -A POSTROUTING -s $IP"" -j MASQUERADE" >> /etc/nat/users.sh

echo "iptables -A FORWARD -s $IP"" -j ACCEPT" >> /etc/nat/users.sh
echo "iptables -A FORWARD -d $IP"" -j ACCEPT" >> /etc/nat/users.sh

arp -s $IP $MAC

fi

done

sh /etc/provedor/firewall.sh
/etc/init.d/shaper restart

## FIM DO ARQUIVO ##

O script trabalha com a pasta /etc/shaper onde fica o controle de banda, também usa o
arquivo /etc/provedor/users.sh que será criado pelo script e que será lido pelo firewall que
criaremos depois. Neste arquivo fica a habilitação de internet para os IPs cadastrados.

A primeira coisa que ele faz é apagar os arquivos atuais. Em seguida ele lê o "/etc/provedor
/clientes" e guarda em variáveis, cria os arquivos do controle de banda e o "/etc/provedor
/users.sh" atualizado. Dá o comando "arp" que prende o Ip ao MAC e por último reinicia o
serviço de controle de banda e re-executa o firewall.

Sempre que fizer alguma alteração nos cadastros basta que você execute o configurador:

# sh /etc/provedor/configurador.sh

Mas calma, você ainda precisa criar o firewall, senão nada funcionará.

Firewall

Crie o arquivo "/etc/provedor/firewall.sh" com o conteúdo abaixo (fique atento nos

comentários). Depois de salvar dê permissão de execução.

3 de 4 02/03/2011 20:40
Servidor Linux para um provedor wireless - Dicas http://www.hardware.com.br/dicas/servidor-linux-provedor-wireless.html

#!/bin/bash
# Esse script criado por Tiago André Geraldi é baseado
# no firewall criado por Carlos Morimoto para o Kurumin Linux

## limpa as tabelas das regras, nada a ser mudado aqui

iptables -F
iptables -X
iptables -t nat -F
iptables -t nat -X
iptables -t filter -F
iptables -t filter -X
iptables -t mangle -F
iptables -t mangle -X

# habilita internet para os usuários cadastrados

sh /etc/nat/users.sh

# Marcacao de pacotes para controle de banda. Mude a faixa de IPs de acordo com a sua
for i in `seq 2 254`
do
iptables -t mangle -A POSTROUTING -s 192.168.0.$i -j MARK --set-mark $i
done

# Habilita roteamento
echo 1 > /proc/sys/net/ipv4/ip_forward

# Habilita PROXY TRANSPARENTE

# mude a interface rede se eth1 não for a interface conectada ao wireless
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128

# Abre uma porta (inclusive para a Internet). Neste caso apenas deixamos aberto o acesso
para SSH, Proxy e DNS.

iptables -A INPUT -p tcp --destination-port 22 -j ACCEPT

iptables -A INPUT -p tcp --destination-port 53 -j ACCEPT
iptables -A INPUT -p tcp --destination-port 3128 -j ACCEPT
iptables -A INPUT -p tcp --destination-port 80 -j ACCEPT

# Proteções diversas contra portscanners, ping of death, ataques DoS, etc.

iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
iptables -A FORWARD -p tcp -m limit --limit 1/s -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
iptables -A FORWARD --protocol tcp --tcp-flags ALL SYN,ACK -j DROP
iptables -A FORWARD -m unclean -j DROP

# Abre para a interface de loopback.

iptables -A INPUT -i lo -j ACCEPT

# BLOQUEA O QUE NAO SE ENCAIXA NAS REGRAS ACIMA

iptables -A INPUT -p tcp --syn -j DROP
iptables -P FORWARD DROP

## FIM DO ARQUIVO ##

Conclusão

Depois dos passos anteriores, seu servidor já pode ser executado:

# sh /etc/provedor/configurador.sh

Coloque essa linha sem o "#" no arquivo /etc/init.d/bootmisc.sh para que seja executado
automaticamente na inicialização. Em distribuições não Debian você deve usar o "/etc/rc.d
/rc.local".

Agora você precisa pegar o endereço MAC dos seus clientes definir um IP pra cada um e
cadastrar todos. O gateway e DNS para os clientes é o IP do seu servidor, no exemplo
192.168.0.1.

Existe muitas possibilidades de implementação de um servidor para provedor. A forma que

utilizei torna a configuração nos clientes trabalhosa mas infelizmente a tecnologia wireless não
oferece segurança tolerável mesmo usando criptografia. Acredito ser essa a melhor opção.

Tratei aqui de forma abstrata os serviços como proxy, DNS e firewall. Eles são ferramentas
poderosíssimas. Se procura soluções diferentes ou deseja implementar novos recursos você
encontrará material abundante aqui mesmo neste site.

4 de 4 02/03/2011 20:40