Servidor de Internet - Dhcp-Server/Squid/Webmin

[starke]

Boa tarde pessoal,

Sou iniciante no mundo linux e estou me aventurando com o ubuntu-server em uma maquina que estava sobrando.
A idéia é montar um servidor para disponibilizar vários serviços (somente para testes) entre eles o de internet.
Atualmente tenho uma rede de aproximadamente 20 computadores com uma conexão de 5mb, entre esses 20 usuários sempre tem aqueles que usam p2p e acabam com a navegação do restante do pessoal, fora os problemas de roteadores que sempre acontecem pois acredito o sistema deles não são adequados para tantos usuários.

Bom vamos lá...

Como já falei estou usando uma maquina qualquer com 512ram e 80gb HD com duas placas de rede. Intalei o ubuntu-server 11, configurei as placas de rede, eth1 = internet recebe IP por dhcp do roteador e eth1 distribui os ip para a rede interna.

Obs.: No momento não estou usando o modem ligado diretamente no meu ubuntu-server, o ubuntu recebe a internet do roteador e estou me conectando a ele com outra maquina para realizar os testes.

Pelo que andei estudando existem várias formas de compartilhamento de interner... dhcp, squid, Proxy... mas estou um pouco confuso quanto a isso....

Comecei instalando o dhcp-server, depois de muita leitura e tentativas consegui fazer funcionar usado IPTables para as duas placas de rede conversarem. Pelo que andei lendo usando o dhcp-server + iptables consigo fazer um bom servidor de internet e também descobri que existe o tal do WEBMIN que faz as modificações nos iptables através de uma interface gráfica web, o que tornam as coisas mais fáceis.
Mas onde entra o squid nessa história ? Alguem poderia explicar a sequencia das coisas ? quais as praticas usadas em servidores de empresas atualmente ?

Desde já agradeço.

[zekkerj]

Pelo que andei estudando existem várias formas de compartilhamento de interner... dhcp, squid, Proxy... mas estou um pouco confuso quanto a isso....

São coisas diferentes.

DHCP é um protocolo que permite que uma estação de trabalho "aprenda" todas as informações que ela precisa pra usar uma rede. É com ele que vc faz funcionar o "ip dinâmico".

Squid é um programa que faz a função de "Proxy-Cache", ou seja, ele faz a intermediação entre as máquinas de uma rede local que querem acessar a internet e os sites da internet [proxy], e ao mesmo tempo guarda uma cópia das páginas visitadas, para que a próxima máquina que tente acessar a mesma página tenha o resultado mais rápido [cache].

Alguem poderia explicar a sequencia das coisas ?

Eu gosto muito dos tutoriais do Carlos Morimoto, do Guia do Hardware. Este aqui deve te ajudar.
http://www.hardware.com.br/livros/linux-redes/configurando-servidor-proxy-com-squid.html

[starke]

Pelo que andei estudando existem várias formas de compartilhamento de interner... dhcp, squid, Proxy... mas estou um pouco confuso quanto a isso....

São coisas diferentes.

DHCP é um protocolo que permite que uma estação de trabalho "aprenda" todas as informações que ela precisa pra usar uma rede. É com ele que vc faz funcionar o "ip dinâmico".

Squid é um programa que faz a função de "Proxy-Cache", ou seja, ele faz a intermediação entre as máquinas de uma rede local que querem acessar a internet e os sites da internet [proxy], e ao mesmo tempo guarda uma cópia das páginas visitadas, para que a próxima máquina que tente acessar a mesma página tenha o resultado mais rápido [cache].

Alguem poderia explicar a sequencia das coisas ?

Eu gosto muito dos tutoriais do Carlos Morimoto, do Guia do Hardware. Este aqui deve te ajudar.
http://www.hardware.com.br/livros/linux-redes/configurando-servidor-proxy-com-squid.html

Então para eu fazer o compartlhamento de internet ou uma simpples rede interna sempre vou ter que configurar um dhcp-server para jogar os IPs para as maquinas... squid somente é o cara que vai administrar as permissoes e banda da conexão, certo ? se sim, onde entra o webmin?

[irtigor]

O webmin é uma interface web, que pode ser usada pra administrar o sistema.

[zekkerj]

squid somente é o cara que vai administrar as permissoes e banda da conexão, certo ?

Nunca tinha visto por esse aspecto. Mas sim, vc está correto.

onde entra o webmin?

Como o irtigor disse, o webmin é uma interface web pro sistema. Com o detalhe de que se vc estiver acostumado a trabalhar com a interface normal, não vai precisar de outra.

[starke]

Pela experiencia de vcs... é interessante instalar o webmin ? ele é confiavel ?

[zekkerj]

Eu tive uma experiência ruim com ele uma vez, por isso nunca mais o usei. Como estou acostumado a usar as interfaces comuns de acesso remoto, nunca senti a necessidade de usá-lo também.

[starke]

Ótimo! Aos poucos estou entendendo como funciona...

Agora gostaria de algumas dicas...

Fiz funcionar o servidor, dhcp-server mais proxy transparente com squid. Está tudo funcionando, fiz algumas configurações básicas no squid.conf para testar, instalei o webmin mas preferi não mexer nele e estou indo pro lado do squid.conf, acho que assim aprendo mais e é mais garantido.

As dúvidas são as seguintes:

1)Como posso controlar a banda por usuário ? Vi que no dhcpd.conf tem como fixar o IP através do MAC address, seria um começo ? existe um aplicativo algo como o webmin para que eu posso ver gráficos da conexão ou coisas do gênero para gerenciar os usuários ?

2)Toda a parte de limitações da banda (P2P por exemplo) é feita por IPTables ?

3)Qual é a melhor configuração para o cachê no squid ? 

Seria isso até o momento...

Obrigado

[zekkerj]

Como posso controlar a banda por usuário ? Vi que no dhcpd.conf tem como fixar o IP através do MAC address, seria um começo ? existe um aplicativo algo como o webmin para que eu posso ver gráficos da conexão ou coisas do gênero para gerenciar os usuários ?

O squid permite que vc faça autenticação dos usuários. Nesse caso, uma vez identificado o usuário, vc pode colocá-lo em um perfil de "delay pool".
Não sei se há algum aplicativo que faça esse controle no nível que vc deseja.

Toda a parte de limitações da banda (P2P por exemplo) é feita por IPTables ?

Até onde eu sei, nenhuma limitação de banda é feita pelo iptables. Isso é coisa de outros aplicativos. O iptables até auxilia, fazendo a marcação dos pacotes que precisam ser priorizados, mas a rigor a limitação de banda, em si, é feita pelo kernel em outro módulo que não o netfilter.

Qual é a melhor configuração para o cachê no squid ?

O Squid trabalha com dois caches, um em memória, outro em disco. O tamanho ideal de cada um varia de acordo com o tamanho de sua rede.
Eu acredito que 1GB de memória e 5GB para o disco já seja um bom ponto de partida para uma rede de bom tamanho.
Sobre a memória, uma dica: o Squid usa mais memória além do cache. Além disso, o sistema operacional em si também gasta memória. Eu sugiro não definir cache maior do que 50% da memória física da máquina. Mas qualquer que seja o tamanho do cache definido, é preciso observar e ajustar sempre, para evitar que seu sistema comece a usar Swap (memória virtual).

[starke]

Bom pessoal, até agora muito obrigado pelos esclarecimentos.

Agora estou na configuração do squid, já li vários tutoriais por ai mas mesmo assim não estou conseguindo fazer funcionar o meu squid.

O que está acontecendo: não consigo navegar em nenhum site.

Segui um tutorial do morimoto por não está indo... se alguém puder me ajudar.

Abaixo o meu squid.conf:

http_port 3128
visible_hostname MY.NETWORK

acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 192.168.1.0/255.255.255.0
acl SSL_ports port 443 563
acl Safe_ports port 21 80 443 563 70 210 280 488 59 777 901 1025-65535
acl purge method PURGE
acl CONNECT method CONNECT

http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

acl redelocal src 10.0.0.0/10.0.0.255

http_access allow localhost
http_access allow redelocal

http_access deny all

alguem consegue visualizar o erro ?

Grato

[zekkerj]

Quando vc diz que não consegue navegar, o que acontece? Não acontece nada (a tela fica parada, sem apresentar nada, até que muito tempo depois o navegador diz que o site não está respondendo)? Ou você recebe alguma mensagem de erro? Se recebe, poste também, ajuda a gente a identificar o problema.

Errado, só consigo visualizar esta diretiva:

acl redelocal src 10.0.0.0/10.0.0.255

Acredito que vc queria definir que a "redelocal" para os endereços 10.0.0.0 até 10.0.0.255, não? nesse caso vc deveria ter usado "10.0.0.0/255.255.255.0".

[starke]

Quando vc diz que não consegue navegar, o que acontece? Não acontece nada (a tela fica parada, sem apresentar nada, até que muito tempo depois o navegador diz que o site não está respondendo)? Ou você recebe alguma mensagem de erro? Se recebe, poste também, ajuda a gente a identificar o problema.

Errado, só consigo visualizar esta diretiva:

acl redelocal src 10.0.0.0/10.0.0.255

Acredito que vc queria definir que a "redelocal" para os endereços 10.0.0.0 até 10.0.0.255, não? nesse caso vc deveria ter usado "10.0.0.0/255.255.255.0".

Fala zekkerj,

então...

Esse é a tela das configurações de proxy no browser (somente para provar que estou passando por ele):

Imagem editada por ter mais de 40 kB - Por favor releia as regras do forum
http://img805.imageshack.us/img805/195/browser.jpg
Imagem editada por ter mais de 40 kB - Por favor releia as regras do forum

Este é o erro do browser, acredito que seja o squid mesmo que está bloqueado...

Imagem editada por ter mais de 40 kB - Por favor releia as regras do forum
http://img831.imageshack.us/img831/5686/errojq.jpg
Imagem editada por ter mais de 40 kB - Por favor releia as regras do forum

zekkerj, mudei a linha do squid.conf que vc indicou:

de: acl redelocal src 10.0.0.0/10.0.0.255
para: acl redelocal src 10.0.0.0/255.255.255.0

fiz um teste e funcionou!

Agora não entendi a configuração do Morimoto!

http_port 3128
visible_hostname gdh

acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255 #mudei conforme esta na minha configuração acima
acl SSL_ports port 443 563
acl Safe_ports port 21 80 443 563 70 210 280 488 59 777 901 1025-65535
acl purge method PURGE
acl CONNECT method CONNECT

http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

acl redelocal src 192.168.1.0/24 #mudei conforme dica zekkerj
http_access allow localhost
http_access allow redelocal

http_access deny all

Do jeito que está o .conf do morimoto estava dando conflito com ips (claro, alterei conforme os ranges que eu tenho aqui!)

Alguma explicação pra isso ?

De qualquer forma obrigado por tudo!

[zekkerj]

Ué, mas é exatamente como está na página do Morimoto (/24). Assim deveria funcionar, isso é a mesma coisa que "/255.255.255.0", nesse contexto.

Bom, o que importa é que funcionou, não? Bola pra frente.

[starke]

Ué, mas é exatamente como está na página do Morimoto (/24). Assim deveria funcionar, isso é a mesma coisa que "/255.255.255.0", nesse contexto.

Bom, o que importa é que funcionou, não? Bola pra frente.

Isso mesmo.

Muito obrigado

[starke]

Fala zekkerj,

Como você tem me ajudado bastante nessa minha aventura configurando um servidor caseiro venho novamente pedir sua ajuda.

Bom, pra inicio de conversa quero dizer que aparentemente o servidor está rodando tranquilamente, fiz todos os testes de iptables, squid para atender a minha necessidade e tudo respondeu corretamente, já coloquei o servidor para assumir uma parte rede e se comportou muito bem até agora.
Mas ainda estou usando o modem e roteador e simplesmente pegando a internet deles para jogar no servidor.

O que quero fazer agora é colocar o servidor na rede geral. Internet====>Servidor====>RedeLocal

Qual é a configuração que devo fazer no meu modem ? bridge? pppoe? já li sobre o assunto mas vi que há várias opções, qual é a melhor ? gostaria de alguma sugestão se possível.

Obrigado