Servidor proxy+firewall em rede Microsoft

Black Sunshine · 26 de Julho de 2010, 10:28

Prezados, necessito de uma luz.

Tenho uma rede Microsoft. Infelizmente ela tem que ser nessa plataforma por questões de compatibilidade com ERP. Eu não quero mais usar o ISA Server. Embora ele cumpra bem seu papel, é bastante limitado ao tratar de bloqueios e gerenciamento da conexão. Então vou colocar um servidor Ubuntu para realizar este serviço de acesso e controle da internet. Minha dúvida talvez seja bastante simples de ser respondida. Eu configurei um servidor Ubuntu com Squid, Iptables e Dansguard que funcionou perfeitamente em ambiente de testes. Configurei o DHCP3-Server e o Bind. Não quero proxy com autenticação. Coloquei também a distribuição automática do proxy via WPAD. Quando espetava outro micro na rede, o DHCP fornecia o endereço perfeitamente já com o proxy, sem que fosse necessária a configuração nos navegadores. Ao inserir este servidor na minha rede, a navegação ficava extremamente lenta e isso anulava meu DNS do Windows Server, mesmo tendo configurado meu Bind para ser DNS secundário. Através do LOG percebi que o servidor Windows replicava o DNS perfeitamente. Então eu pergunto a vocês. Seria possível configurar um servidor nestes moldes, mas aproveitando o DHCP e o DNS do próprio Windows, sem usar autenticação no proxy mas fazendo a distribuição do endereço dele via DHCP? Se sim, alguém poderia me indicar algum lugar onde exista material para leitura ou até mesmo dar alguma dica?

Obrigado a todos.

zekkerj · 26 de Julho de 2010, 12:07

Sim, é perfeitamente possível. Ativando o DHCP e o DNS no servidor active directory, vc vai poder trabalhar com esses serviços integrados, melhorando o funcionamento das máquinas windows.

No entanto, explicar detalhes sobre como fazer isso foge aos objetivos deste fórum. Dê uma olhada no site do Guia do Hardware (não necessariamente no fórum), deve haver algum artigo lá sobre como fazer essa configuração.

Ao mesmo tempo, o Squid pode continuar funcionando; inclusive se for do seu interesse, ele pode ser configurado pra fazer a autenticação no AD.

Eu acredito que o motivo da lentidão seja pq você não liberou o servidor windows para fazer consultas/receber respostas na internet. Isso é essencial para a rede windows, uma vez que as estações precisam consultar o DNS do servidor AD para encontrar os seus serviços, por isso ele tem que ser o servidor DNS primário de todas as estações que façam parte do domínio.

Talvez uma revisão nas regras de firewall resolva o seu problema de lentidão.

Black Sunshine · 26 de Julho de 2010, 16:57

Qual seria o fórum correto para se obter informações desse tipo? Só preciso saber como indicar ao servidor Linux como procurar o DHCP e o DNS no Windows.

zekkerj · 26 de Julho de 2010, 23:52

CitarSó preciso saber como indicar ao servidor Linux como procurar o DHCP e o DNS no Windows.

O DHCP, por definição, a estação procura por broadcast. Isso significa que se ele for procurar endereço e o servidor estiver ativo, ele tem que encontrar.

Já o DNS, supondo que o DHCP esteja funcionando, ele aprende no próprio DHCP.

No entanto...

Sua máquina Linux vai oferecer serviço pra rede, não? O serviço de proxy, e provavelmente de firewall também.

Máquina que oferece serviço não pode ser cliente DHCP, ela tem que ter IP fixo.

Black Sunshine · 27 de Julho de 2010, 08:13

Sim, eu sei que ela tem que ter IP fixo. A questão é a seguinte, Vou tentar ser o mais claro possível.

Imaginem o seguinte cenário: um servidor Ubuntu com Squid e Iptables. Configuro o DHCP e o DNS. Declaro nos confs do DHCP e DNS as linhas do WPAD, responsáveis pela distribuição automática de proxy. Faço isso também no Apache. Ao inserir qualquer estação na rede, o servidor entrega o IP, DNS e Gateway, e automaticamente eu navego sem precisar configurar o proxy no navegador.

Imaginem agora o seguinte cenário: O mesmo servidor em uma rede Microsoft, onde tenho um servidor Windows 2008 R2 como AD, DHCP e DNS. O DNS é obrigatório no AD, o DHCP não. Eu poderia manter o DHCP no Ubuntu, visto que as consultas são muito mais rápidas que no Windows, mas o DNS é necessário que fique no 2008. Quando eu configuro o WPAD, preciso que seja indicada a linha do WPAD no Bind. Minha dúvida é saber como o Ubuntu vai se relacionar com o DNS do Windows a fim de distribuir o proxy automaticamente para a rede, visto que tenho a necessidade de manter o DNS no Windows e preciso também que ele faça o cache de DNS.

Deu prá ter uma noção do que preciso?

Valeu a ajuda!

zekkerj · 27 de Julho de 2010, 09:34

CitarDeu prá ter uma noção do que preciso?

Deu sim: precisa ter fé, irmão.

DNS é DNS. Se está configurado direito, vai funcionar; não importa se o servidor é Windows, Linux, DOS ou OS/2 Warp. Basta apontar pra ele e usar.

Black Sunshine · 27 de Julho de 2010, 09:46

Fé é o que eu tenho tido, amigão!

Eu vou tentar fazer nesse esquema. Então o DNS do Windows servirá para cache de internet também, certo?

zekkerj · 27 de Julho de 2010, 09:55

Sim, servirá.

No máximo, você precisará configurar esse DNS para repassar as consultas para os DNSs do seu provedor ("forwarders"), ou configurar a zona hint, que te liga aos root servers para consultas diretas.

Lembre-se só de manter esse servidor protegido de consultas externas, já que ele vai ser cache local.

Black Sunshine · 27 de Julho de 2010, 10:19

Legal. Então eu não preciso me preocupar em instalar um Bind no Ubuntu, certo? Mas e a distribuição automática de proxy? Ela (no Ubuntu) obrigatoriamente passa pelo DNS.

zekkerj · 27 de Julho de 2010, 12:11

Você tem que cadastrar uma máquina chamada "WPAD" no seu servidor DNS, da mesma forma que faria no Bind do linux.

Black Sunshine · 27 de Julho de 2010, 12:16

Boa dica. Vou tentar e posto aqui.