DOCUMENTAÇÃO SERVIDOR PROXY

APRESENTAÇÃO: As duas máquinas estão trabalhando em um formato
streamline high-avaiable e load-balance.
Onde as conexões dos usuários são balanceadas entre os dois
servidores e em caso de falha de um deles as conexões são
redirecionadas ao nodo operante. No re-estabelecimento do nodo
inoperante as conexões voltam a ser balanceadas.
Topologia:

200.182.94.64/26

Fig 1
Como funciona?
Todo o tempo um dos nodos é o Linux-Diretor ativo enquanto o
outro é um “hot stand-by”. O diretor Linux ativo aceita o tráfego através
do IP virtual 172.16.8.77 e balanceia entre os dois nodos utilizando o
LVS. Cada nodo monitora o outro através do Heartbeat e no caso do
diretor linux ativo falhar o nodo stand-by assume o IP virtual fazendo

O Apache2 publica os logs do squid para acesso via web. O Proxy_auth verifica as autorizações dos usuários do active directory em acessar ou não a internet. . Se o serviço não estiver operante em um dos nodos o nodo é removido da lista de servidores disponíveis. O Squid provê o acesso as páginas da internet baseado em listas de controle de acesso personalizadas para cada nível de usuário: Restritos. Quando o diretor Linux recebe uma conexão de um usuário ele decide para qual servidor real ira encaminhar a conexão. • O nível Parcial abrange o acesso de todas as páginas Web com exceção as páginas cadastradas como proibidas no sistema • O nível Ilimitado abrange o acesso de toda a Web sem restrições. • O Nível bilioteca abrange todos os IPS das máquinas utilizadas para acesso dos munícipes nas bibliotecas. Todos os pacotes pertencentes a esta conexão continuarão sendo encaminhados para o mesmo servidor assim a integridade da conexão entre o usuário e o nodo servidor é mantida. O SARG gera os relatórios de acessos concatenando os logs dos dois nodos servidores através de script programado para execução diária pelo cron. Parciais.com que o serviço seja mantido. • O Nível Restrito abrange o acesso apenas de páginas cadastradas como autorizadas no sistema. O IPTABLES atua como firewall bloqueando portas e conexões indesejadas. Por default os usuários habilitados para acesso a internet são incluídos no grupo Parcial Os níveis que necessitam de autenticação são restritos a apenas uma máquina por login para inibir o compartilhamento de senhas pelos usuários. e será re-inserido quando voltar a operar. Ilimitados e Bibliotecas. O Ldirectord monitora a operação do squid nos dois servidores fazendo conexões periódicas ao serviço. O Rsync mantém os arquivos de configuração e acl’s do squid e logs do sarg sincronizados entre os 2 nodos. Uma tabela de encaminhamento de conexões é mantida sincronizada entre os dois nodos(diretor e standby) fazendo com que cada conexão existente no momento da falha possa ser mantida enquanto o nodo responsável pela conexão estiver operante. para que estes não solicitem autenticação no acesso á internet.

Rsync Eth1 > Internet Eth2 > Rede interna.ipv4. HARDWARE: 2 COMPUTADORES PENTIUM IV COM AS SEGUINTES DESCRIÇOES: 3.8-2-386 e libncurses5-dev 1.conf #echo #echo #echo #echo "net.conf = 2" >> /etc/sysctl.ipv4.6.3 .eth0.Configuração da Rede: Eth0 > Heartbeat. falta de autenticação e uso múltiplo de senha.2 .eth1.arp_announce = #echo "net.eth2.Particionamento: Hdc1 > / com 79GB Hdc2 > Swap com 500MB Hdc3 > não montado com 500MB 1.arp_ignore 1" >> /etc/sysctl.Instalação e configuração dos nodos: As duas máquinas foram instaladas a partir do GNU/Linux Debian SARGE r2 com kernel 2.ip_forward = 1" >> /etc/sysctl.conf .conf.all. 1.conf.conf.conf #echo "net.eth1. 1 .ipv4.arp_ignore "net.conf. Iinstalação básica.arp_announce #sysctl -p 2" >> /etc/sysctl.conf.ipv4.As mensagens de erro são personalizadas para informar o usuário sobre conteúdo indevido.ipv4.conf = 1" >> /etc/sysctl.conf = 2" >> /etc/sysctl.arp_announce #echo "net. 512MB.eth2.ipv4. 80GB.ipv4.6.conf = 1" >> /etc/sysctl.arp_announce #echo "net.1 .ipv4. >> Marvel Gigabit #echo "net.Instalado kernel-headers-2.conf = 2" >> /etc/sysctl.conf = 1" >> /etc/sysctl.all.2GHZ HT.arp_ignore "net.conf.conf.eth0.conf.arp_ignore = "net.ipv4.

0/16 gw 172.8.182.1 configuração de rede para nodo1: 1.16.248.255.8.77 netmask 255.255.94.251.251.182.8.16.127 # gateway 200.8.168.168.4 Configuração dos módulos do kernel para suporte à IPVS echo echo echo echo echo echo echo echo ip_vs_dh >> /etc/modules ip_vs_ftp >> /etc/modules ip_vs >> /etc/modules ip_vs_lblc >> /etc/modules ip_vs_lblcr >> /etc/modules ip_vs_lc >> /etc/modules ip_vs_nq >> /etc/modules ip_vs_rr >> /etc/modules modprobe modprobe modprobe modprobe modprobe modprobe modprobe modprobe ip_vs_dh ip_vs_ftp ip_vs ip_vs_lblc ip_vs_lblcr ip_vs_lc ip_vs_nq ip_vs_rr .66 netmask 255.3.0 broadcast 172.255.8.255.8.2 auto eth2 iface eth2 inet static address 172.85 netmask 255.8.64 broadcast 200.8.168.7 # gateway auto eth0 iface eth0 inet static address 192.251.255.2 1.255.16.182.16.0.63 gateway 200.16.2 Configuração da rede para Nodo2 auto lo iface lo inet loopback auto lo iface lo inet loopback auto lo:0 iface lo:0 inet static address 172.255.182.1 auto eth1 iface eth1 inet static address 200.7 # gateway auto eth1 iface eth1 inet static address 200.0 broadcast 172.94.16.255 # gateway 172.192 network 200.168.252 network 192.83 netmask 255.0 broadcast 200.4 broadcast 192.5 netmask 255.255 # gateway 172.255.251.0.192.94.77 netmask 255.16.255.94.168.94.94.1.255.255.251.255.0 network 172.8.0 network 172.4 broadcast 192.255.8.182.16.16.3.248.251.15.94.168.182.16.6 netmask 255.15.255 pre-up sysctl -p > /dev/null auto eth0 iface eth0 inet static address 192.0/16 gw 172.16.2 route add –net 172.16.16.192.192 network 200.2 route add –net 172.16.2 netmask 255.255 pre-up sysctl -p > /dev/null auto lo:0 iface lo:0 inet static address 172.252 network 192.65 auto eth2 iface eth2 inet static address 172.94.255.

**Vc tb será perguntado sobre a configuração da sincronização do serviço IPVS.5.0 Configuração do HeartBeat: 2.5. Vc deve responder não.16.8. É recomendado que vc selecione “NONE”.1 Para instalação do ultramonkey deve ser adicionado o seguinte repositório: deb http://www.2 apt-get install squid squidclient squid-cgi smbclient nmap iptraf tcpdump apache2 ultramonkey3 *durante a instalação do pacote ipvsadm o instalador pedirá para configurar o /etc/ipvsadm.5 Instalação dos pacotes: 1.d/authkeys auth 3 3 md5 <senha> #chmod 600 /etc/ha.cf \ LVSSyncDaemonSwap::master \ IPaddr2::172.echo echo echo echo ip_vs_sed >> /etc/modules ip_vs_sh >> /etc/modules ip_vs_wlc >> /etc/modules ip_vs_wrr >> /etc/modules modprobe modprobe modprobe modprobe ip_vs_sed ip_vs_sh ip_vs_wlc ip_vs_wrr 1.1 /etc/ha.15.2 /etc/ha.ultramonkey.org/download/3 sarge main 1.d/authkeys 2.ultramonkey.d/haresources Proxy-Node1 \ ldirectord::ldirectord.255 .rules.77/21/eth2/172. 2.org/download/3/ sarge main deb-src http://www.16.

16.cf logfacility local0 bcast eth0 #linux mcast eth0 225.1 /etc/ha.8.d/ha.8.cf checktimeout=10 checkinterval=2 autoreload=no logfile="local0" quiescent=no virtual=172.8.0.16.0 Configurando Ldirectord: 3. stop 05 0 1 6 .83:3128 gate service=http scheduler=rr protocol=tcp checktype=connect .2 respawn hacluster /usr/lib/heartbeat/ipfail apiauth ipfail gid=haclient uid=hacluster 2. 3.16.8.4 inicialização do serviço: /usr/sbin/update-rc.16.d/ldirectord.0.77:3128 real=172.1 694 1 0 auto_failback off node Proxy-Node1 node Proxy-Node2 ping 172.85:3128 gate real= 172.d -f heartbeat remove /usr/sbin/update-rc.3 /etc/ha.d heartbeat start 75 2 3 4 5 .2.

au/ftp/rsync/rsync-2.gz 4.3./configure make make install 4.d/rsyncd /etc/rc2.168./init.0 Rsync: 4.d/S88rsync .d/rsyncd #!/bin/sh rsync –daemon #chmod +x /etc/init.tar.8.1 Download do Rsync http://samba.conf: pid file = /var/run/rsyncd.3.d/rsyncd #ln –s .6..5 hosts deny = * [squid_confs] path = /etc/squid read only = false [sarg_logs] path = /var/www/html/squid-reports read only = false 4.2 o service ldirectord será iniciado pelo heartbeat /usr/sbin/update-rc.3 Configuração do servidor 4.251.edu.2 compilação e instalação: .d -f ldirectord remove 4.3.2 /etc/init.anu.1 /etc/rsyncd.pid max connections = 5 use chroot = yes uid = root hosts allow = 192.

conf /usr/local/bin/rsync -u -t /etc/squid/squid.168.6::squid_confs/acls/conteudo_liberado /usr/local/bin/rsync -u -t 192.d/squid reload * Todos os IPS utilizados neste script correspondem ao nodo oposto onde roda o script.251.168.251.4.6::squid_confs/acls/usuarios_ilimitados /etc/squid/acls/usuarios_ilimitados # #sincronizacao do usuarios_parciais # /usr/local/bin/rsync -u -t /etc/squid/acls/usuarios_parciais 192.168. .6::squid_confs/acls/usuarios_ilimitados /usr/local/bin/rsync -u -t 192.168.6::squid_confs/acls/conteudo_bloqueado /usr/local/bin/rsync -u -t 192.conf /usr/local/bin/rsync -u -t 192.251.6::squid_confs/acls/conteudo_bloqueado /etc/squid/acls/conteudo_bloqueado # #sincronizacao do conteudo_liberado # /usr/local/bin/rsync -u -t /etc/squid/acls/conteudo_liberado 192.conf /etc/squid/squid.6::squid_confs/acls/conteudo_liberado /etc/squid/acls/conteudo_liberado # #sincronizacao do usuarios_ilimitados # /usr/local/bin/rsync -u -t /etc/squid/acls/usuarios_ilimitados 192.168.251.251.conf # #sincronizacao do conteudo_bloqueado # /usr/local/bin/rsync -u -t /etc/squid/acls/conteudo_bloqueado 192.4 Script para sincronização: * #! /bin/bash #sincronizacao do squid.6::squid_confs/squid.168.251.251.conf 192.6::squid_confs/acls/usuarios_parciais /usr/local/bin/rsync -u -t 192.251.168.251.168.168.168.6::squid_confs/squid.6::squid_confs/acls/usuarios_parciais /etc/squid/acls/usuarios_parciais # #reload das configuracoes /etc/init.251.

0 CONFIGURAÇÃO SQUID 6. 5. .2 Configuração tar xvzf smb_auth-0. *ps para autenticação de outros domínios a relação de confiança tem que estar funcionando corretamente.39 saude -P guarulhos -W sica -P guarulhos -W educ P guarulhos -W biblioteca -P guarulhos -W dcc -P guarulhos -W drh -P guarulhos -W dti -P guarulhos -W financas -P guarulhos -W obras -P guarulhos -W planejamento -P guarulhos -W sdu3 -P guarulhos -W sema -P guarulhos -W juridico -P guarulhos 6.4 Parcela de autenticação no squid.3 Configuração servidor de domínio: Criar arquivo proxyauth na pasta netlogon do servidor de domínio eleito para autenticação.8.nl/~richard/software/smb_auth-0.05 vi Makefile Alterar o SAMBAPREFIX para: SAMBAPREFIX=/usr make make install 5.gz 5.conf auth_param basic program /usr/local/bin/smb_auth -W guarulhos -U 172.1 Download: http://www.gz cd smb_auth-0.tar.tar.hacom.05.1 Foram criados os arquivos /etc/squid/acls/ conteudo_bloqueado conteudo_liberado ips_bibliotecas usuarios_ilimitados usuarios_restritos Para cadastro dos alvos das diretivas de acesso.5.16.0 Smb_auth: 5.05.

16.8.0.255.0.br unique_hostname Proxy-Node1.0.0.0 acl manager proto cache_object acl localhost src 127.0.0.6.1/255.gov.gov.0. snews acl SSL_ports port 873 # rsync acl Safe_ports port 80 # http acl Safe_ports port 21 # ftp acl Safe_ports port 443 563 # https. 0 20% 4320 acl all src 0.br # ############# SECAO DE AUTENTICACAO ############## # auth_param basic program /usr/local/bin/smb_auth -W guarulhos -U 172. 6. snews acl Safe_ports port 70 # gopher .255.39 saude -P guarulhos -W sica -P guarulhos -W educ P guarulhos -W biblioteca -P guarulhos -W dcc -P guarulhos -W drh -P guarulhos -W dti -P guarulhos -W financas -P guarulhos -W obras -P guarulhos -W planejamento -P guarulhos -W sdu3 -P guarulhos -W sema -P guarulhos -W juridico -P guarulhos auth_param basic children 10 auth_param basic realm "Digite seu Login e senha da rede" auth_param basic credentialsttl 2 hours auth_param basic casesensitive off authenticate_ip_ttl 120 seconds # ########################################### # refresh_pattern ^ftp: 1440 20% 10080 refresh_pattern ^gopher: 1440 0% 1440 refresh_pattern .sp.2 Foram criados os arquivos /usr/share/squid/errors/Portuguese/ ERR_LIMITA_IP ERR_CONTEUDO ERR_AUTENTICA ERR_CACHE_ACCESS_DENIED -> ERR_AUTENTICA ERR_ACCESS_DENIED -> ERR_CONTEUDO Para cadastro das mensagens personalizadas de erro fornecidas para os usuários.0/0.3 squid.guarulhos.guarulhos.sp.0/8 acl SSL_ports port 443 563 # https.0.255 acl to_localhost dst 127.conf: hierarchy_stoplist cgi-bin ? acl QUERY urlpath_regex cgi-bin \? no_cache deny QUERY hosts_file /etc/hosts error_directory /usr/share/squid/errors/Portuguese visible_hostname Proxy_Box.

3 # # # http_access allow manager localhost http_access deny manager http_access allow purge localhost http_access deny purge http_access deny !Safe_ports http_access deny CONNECT !SSL_ports http_access allow localhost http_access deny all .1 28.acl Safe_ports port 210 # wais acl Safe_ports port 1025-65535 # unregistered ports acl Safe_ports port 280 # http-mgmt acl Safe_ports port 488 # gss-http acl Safe_ports port 591 # filemaker acl Safe_ports port 777 # multiling http acl Safe_ports port 631 # cups acl Safe_ports port 873 # rsync acl Safe_ports port 901 # SWAT acl purge method PURGE acl CONNECT method CONNECT # ############ ACLS PERSONALIZADAS ######### # acl ips_bibliotecas src "/etc/squid/acls/ips_bibliotecas" acl limitaip max_user_ip -s 1 acl completo proxy_auth_regex "/etc/squid/acls/usuarios_ilimitados" REQUIRED acl parcial proxy_auth_regex "/etc/squid/acls/usuarios_parciais" REQUIRED acl restrito proxy_auth REQUIRED acl conteudo_bloqueado url_regex "/etc/squid/acls/conteudo_bloqueado" acl conteudo_liberado url_regex "/etc/squid/acls/conteudo_liberado" # # ############ AUTORIZACOESS ################# # # http_access allow ips_bibliotecas http_access deny !completo !parcial !restrito deny_info ERR_LIMITA_IP limitaip http_access deny limitaip http_access allow completo deny_info ERR_CONTEUDO conteudo_bloqueado http_access allow parcial !conteudo_bloqueado http_access allow restrito conteudo_liberado !conteudo_bloqueado # ############################################ debug_options ALL.

tar.7.Arial temporary_dir /tmp output_dir /var/www/html/squid-reports resolve_ip no user_ip no topuser_sort_field BYTES reverse user_sort_field BYTES reverse date_format e lastlog 30 remove_temp_files yes index yes overwrite_report no records_without_userid ip use_comma no topsites_num 100 topsites_sort_order BYTES D index_sort_order D report_type topusers topsites sites_users users_sites date_time denied auth_failures site_user_time_date downloads charset Latin1 topuser_fields NUM DATE_TIME USERID CONNECT BYTES %BYTES IN-CACHE-OUT USED_TIME MILISEC %TIME TOTAL AVERAGE user_report_fields CONNECT BYTES %BYTES IN-CACHE-OUT USED_TIME MILISEC %TIME TOTAL AVERAGE topuser_num 100 download_suffix "zip.2.bin.adt.2 Compilando e instalando: #tar xvzf sarg-2.3 Configurando 7.Squid Analysis Report Generator 7.bzip.gz.com.gz #.lzh.0 SARG .net/sarg/sarg-2.cab.1.md .lha.drv$.iso.conf language Portuguese access_log /var/log/squid/access_log_total graphs yes title Logs de acesso do servidor proxy %M $M font_face Tahoma.Verdana./configure #make #make install 7.1 Download http://prdownloads.1 /usr/local/sarg/sarg.dot.arj.3.tar.1.ace.doc.gz?download 7.2.sourceforge.

251.[0:0] :syn-flood .130 -p udp --sport 53 -j ACCEPT -A OUTPUT -p tcp -m tcp --syn -o eth2 ! -d 172.8.16.0.251.16.6 "echo "" >/var/log/squid/access.d/sarg.28.8.16.6::sarg_logs/ 8.83 --dport 3128 -j DROP -A INPUT -i eth2 -p tcp -m tcp -s 172.8.8.0/16 -j ACCEPT -A FORWARD -i eth1 -o eth2 -p udp -m udp -d 172.2 -j ACCEPT -A OUTPUT -o eht1 -p udp --dport 53 -j ACCEPT -A OUTPUT -o eth1 -p tcp --syn -j ACCEPT -A OUTPUT -o eth1 -m state --state NEW.log rsh 192.log" /usr/bin/sarg /usr/local/bin/rsync -u -t -r /var/www/html/squid-reports/* 192.0/16 -j ACCEPT -A OUTPUT -o eth2 -p icmp -d 172.sh >>Nodo1 #!/bin/bash cat /var/log/squid/access.0/16 -j ACCEPT -A INPUT -i eth2 -p udp -m udp -s 172.0.16.201 -p udp --sport 53 -j ACCEPT -A INPUT -i eth1 -s 201.39/32 -j DROP -A FORWARD -i eth2 -o eth1 -p tcp -m tcp -s 172.2 Script para associação e publicação dos logs /etc/ha.16.0.7.0 Configuração IPTABLES: 8.0.28.16.16.ESTABLISHED -j ACCEPT .log >> /var/log/squid/access_log_total echo "" >/var/log/squid/access.251.16.168.168.[0:0] :port-scan .[0:0] #-A OUTPUT -o eth1 -j ACCEPT -A INPUT -i eth1 -p tcp ! --syn -j ACCEPT -A INPUT -i lo -j ACCEPT -A OUTPUT -o lo -j ACCEPT -A INPUT -i eth2 -p tcp -d 172.168.0/16 -j ACCEPT -A INPUT -i eth2 -s 172.0.0/16 -j ACCEPT -A OUTPUT -o eth2 -p tcp -m tcp -d 172.0.0/16 -j ACCEPT -A FORWARD -i eth1 -o eth2 -p tcp -m tcp -d 172.2 -p icmp -j ACCEPT -A INPUT -i eth1 -s 201.log > /var/log/squid/access_log_total rsh 192.RELATED.16.0/16 -j ACCEPT -A FORWARD -i eth2 -o eth1 -p udp -m udp -s 172.8.6 cat /var/log/squid/access.16.3.0.8.1 Nodo 1 *filter :INPUT DROP [0:0] :FORWARD DROP [0:0] :OUTPUT DROP [0:0] :ping-death .16.16.0/16 -j ACCEPT -A OUTPUT -o eth2 -p udp -m udp -d 172.0.

SYN.RST SYN.SYN.SYN.ACK.URG FIN.16.[0:0] #-A OUTPUT -o eth1 -j ACCEPT -A INPUT -i eth1 -p tcp ! --syn -j ACCEPT -A INPUT -i lo -j ACCEPT -A OUTPUT -o lo -j ACCEPT -A INPUT -i eth2 -p tcp -d 172.ACK.SYN -j DROP 8.ACK.0 -p tcp -m tcp --dport 22 -j ACCEPT #-A INPUT -p tcp -m tcp --dport 3128 -m state --state NEW.PSH.201 -p udp --sport 53 -j ACCEPT -A INPUT -i eth1 -s 201.URG -j DROP -A INPUT -i eth1 -p tcp -m tcp --tcp-flags FIN.RST.SYN.ACK SYN --state NEW -j LOG --logprefix "IPTABLES SYN-FLOOD:" -A INPUT -i eth1 -p tcp -m state -m tcp ! --tcp-flags SYN.RST.URG FIN.URG FIN.RST.RST.PSH.RST.ESTABLISHED -j ACCEPT -A INPUT -i eth1 -p tcp -m tcp --tcp-flags SYN.39/32 -j DROP .8.8.URG NONE -j DROP -A INPUT -i eth1 -p tcp -m tcp --tcp-flags SYN.PSH.16.85 --dport 3128 -j DROP -A INPUT -i eth2 -p tcp -m tcp -s 172.28.16.8.ACK SYN -j syn-flood -A INPUT -i eth1 -p tcp -m state -m tcp ! --tcp-flags SYN.[0:0] :syn-flood .16.0/16 -j ACCEPT -A INPUT -i eth2 -p udp -m udp -s 172.ACK.255.0.0/255.URG -j DROP -A INPUT -i eth1 -p tcp -m tcp --tcp-flags FIN.RST.ACK.URG -j DROP -A INPUT -i eth1 -p tcp -m tcp --tcp-flags FIN.8.[0:0] :port-scan .16.0.RELATED.8.RST.PSH.28.0/16 -j ACCEPT -A INPUT -i eth2 -s 172.RST.16.-A INPUT -i eth0 -p all -j ACCEPT -A OUTPUT -o eth0 -p all -j ACCEPT -A ping-death -m limit --limit 1/sec --limit-burst 4 -j RETURN -A ping-death -j LOG --log-prefix "IPTABLES PING-DEATH:" -A ping-death -j DROP -A port-scan -m limit --limit 1/sec --limit-burst 4 -j RETURN -A port-scan -j LOG --log-prefix "IPTABLES PORT-SCAN:" -A port-scan -j DROP -A syn-flood -m limit --limit 1/sec --limit-burst 4 -j RETURN -A syn-flood -j LOG --log-prefix "IPTABLES SYN-FLOOD:" -A syn-flood -j DROP # # #-A FORWARD -p tcp -j ACCEPT #-A INPUT -s 172.RST.0.0/16 -j ACCEPT -A OUTPUT -o eth2 -p tcp -m tcp -d 172.PSH.SYN.ACK RST -j port-scan -A INPUT -i eth1 -p tcp -m tcp --tcp-flags FIN.16.RST -j DROP -A INPUT -i eth1 -p tcp -m tcp --tcp-flags FIN.0/16 -j ACCEPT -A OUTPUT -o eth2 -p udp -m udp -d 172.ACK SYN --state NEW -j DROP -A INPUT -i eth1 -p icmp -m icmp --icmp-type 8 -j ping-death -A INPUT -i eth1 -p tcp -m tcp --tcp-flags FIN.0.130 -p udp --sport 53 -j ACCEPT -A OUTPUT -p tcp -m tcp --syn -o eth2 ! -d 172.248.ACK.SYN.RST.16.2 Nodo 2: *filter :INPUT DROP [0:0] :FORWARD DROP [0:0] :OUTPUT DROP [0:0] :ping-death .PSH.8.SYN.SYN FIN.2 -p icmp -j ACCEPT -A INPUT -i eth1 -s 201.

RELATED.br .SYN.SYN FIN.ACK.ACK.PSH.RST.SYN.RST.ACK.2 Nodo 2: 0-58/2 * * * * /etc/ha.0.SYN.sh 9.d/sarg.usp.PSH.RST.2 -j ACCEPT -A OUTPUT -o eht1 -p udp --dport 53 -j ACCEPT -A OUTPUT -o eth1 -p tcp --syn -j ACCEPT -A OUTPUT -o eth1 -m state --state NEW.PSH.248.br 55 23 * * * /etc/ha.ACK RST -j port-scan -A INPUT -i eth1 -p tcp -m tcp --tcp-flags FIN.usp.RST.SYN.0.SYN.RST -j DROP -A INPUT -i eth1 -p tcp -m tcp --tcp-flags FIN.SYN.PSH.8.URG FIN.RST.d/rsync.ACK SYN --state NEW -j DROP -A INPUT -i eth1 -p icmp -m icmp --icmp-type 8 -j ping-death -A INPUT -i eth1 -p tcp -m tcp --tcp-flags FIN.0/16 -j ACCEPT -A FORWARD -i eth1 -o eth2 -p udp -m udp -d 172.URG FIN.RELATED.ESTABLISHED -j ACCEPT -A INPUT -i eth1 -p tcp -m tcp --tcp-flags SYN.0/16 -j ACCEPT -A FORWARD -i eth2 -o eth1 -p udp -m udp -s 172.URG -j DROP -A INPUT -i eth1 -p tcp -m tcp --tcp-flags FIN.0/16 -j ACCEPT -A FORWARD -i eth1 -o eth2 -p tcp -m tcp -d 172.sh 0 * * * * /usr/sbin/ntpdate -s ntp.SYN.RST.0 -p tcp -m tcp --dport 22 -j ACCEPT #-A INPUT -p tcp -m tcp --dport 3128 -m state --state NEW.16.16.255.SYN -j DROP 9.0/255.1 Nodo 1: 1-59/2 * * * * /etc/ha.ACK.16.URG -j DROP -A INPUT -i eth1 -p tcp -m tcp --tcp-flags FIN.0.RST.d/rsync.ACK SYN -j syn-flood -A INPUT -i eth1 -p tcp -m state -m tcp ! --tcp-flags SYN.URG NONE -j DROP -A INPUT -i eth1 -p tcp -m tcp --tcp-flags SYN.ACK.0.16.16.URG FIN.16.RST.ESTABLISHED -j ACCEPT -A INPUT -i eth0 -p all -j ACCEPT -A OUTPUT -o eth0 -p all -j ACCEPT -A ping-death -m limit --limit 1/sec --limit-burst 4 -j RETURN -A ping-death -j LOG --log-prefix "IPTABLES PING-DEATH:" -A ping-death -j DROP -A port-scan -m limit --limit 1/sec --limit-burst 4 -j RETURN -A port-scan -j LOG --log-prefix "IPTABLES PORT-SCAN:" -A port-scan -j DROP -A syn-flood -m limit --limit 1/sec --limit-burst 4 -j RETURN -A syn-flood -j LOG --log-prefix "IPTABLES SYN-FLOOD:" -A syn-flood -j DROP # # #-A FORWARD -p tcp -j ACCEPT #-A INPUT -s 172.8.sh 0 * * * * /usr/sbin/ntpdate -s ntp.0 Configuração do cron 9.RST.ACK.ACK SYN --state NEW -j LOG --logprefix "IPTABLES SYN-FLOOD:" -A INPUT -i eth1 -p tcp -m state -m tcp ! --tcp-flags SYN.PSH.URG -j DROP -A INPUT -i eth1 -p tcp -m tcp --tcp-flags FIN.0/16 -j ACCEPT -A OUTPUT -o eth2 -p icmp -d 172.-A FORWARD -i eth2 -o eth1 -p tcp -m tcp -s 172.RST SYN.RST.PSH.

nl/~richard/software/smb_auth.howtoforge.com/high_availability_loadbalanced_apache_clu ster_p2 http://www. P.Referências: http://www.netfilter.edu.html http://www.anu.hacom. Anjos denismarcelo@guarulhos.linuxvirtualserver.org/ www.org/ Elaborado por Denis M.au/ftp/rsync/README http://samba.au/rsync/ http://squid-cache.org.org www.vergenet.ultramonkey.drbd.linux-ha.org/ http://samba.org http://www.br .net/linux/ldirectord/ http://www.br/ http://www.linuxchix.org http://ha.sp.edu.anu.gov.