Firewall/Gateway · 5 min read · Oct 21, 2025

Configurar Ubuntu-Server 6.10 Como Um Firewall/Gateway Para Seu Ambiente Empresarial - Página 10

Agora edite /etc/default/mailscanner. Deve ficar assim:

# Isso define quantos dias os arquivos permanecerão na área de "quarentena" antes
# de serem removidos automaticamente.
#
q_days=7
#
# Isso define quanto a prioridade do daemon mailscanner deve ser
# reduzida (ou seja, "nice -X"). Como é uma tarefa orientada a lotes,
# pode facilmente abrir mão de alguns ciclos de CPU para tarefas mais interativas.
#
run_nice=5
#
# Descomente esta linha assim que o MailScanner estiver totalmente configurado.
#
run_mailscanner=1

Em seguida, edite /etc/courier/imapd-ssl e mude o seguinte:

TLS_CERTFILE=/etc/apache2/ssl/apache.pem

Agora faça o mesmo com seu /etc/courier/pop3d-ssl.

Em seguida, faça:

shutdown -r now

e aguarde até que ele reinicie.

Agora você precisa enviar uma mensagem de boas-vindas a cada usuário real, criando assim as estruturas Maildir em seus diretórios pessoais necessárias para poder fazer login em suas contas. Você pode usar o módulo postfix do webmin para isso.

Não é necessário enviar nada para seus aliases.

Seu Servidor Webmail está localizado em https://your.domain/webmail (primeiro envie essas mensagens!).

Munin está em http://your.domain/munin

Webmin está em https://your.domain:10000

Se você não configurou nenhum domínio, use https://192.168.1.1/webmail etc.

Verifique se você consegue fazer login no seu webmail e realmente enviar e receber e-mails dentro da sua rede local.

Se você estiver satisfeito, abra a porta 25 no seu firewall para tráfego tcp de entrada (postfix) e a porta 6277 (dcc) para tráfego udp de entrada.

Você pode querer tornar seu servidor webmail disponível para seus usuários do mundo exterior. Abra a porta 443 (apache ssl) para tráfego tcp de entrada também. Abrir a porta 993 também é uma boa ideia para conexões tcp, pois facilita imaps.

Meu /etc/shorewall/rules agora parece assim: (apenas para começar, todas as configurações de firewall mostradas neste artigo são apenas para colocá-lo em funcionamento, você pode querer ajustar essas configurações assim que terminar!)

#############################################################################################################
#AÇÃO       ORIGEM      DESTINO     PROTOCOLO   DESTINO ORIGEM      ORIGINAL    TAXA        USUÁRIO/
#                       PORTA   PORTA(S)        DESTINO     LIMITAÇÃO   GRUPO
#                       PORTA   PORTA(S) DESTINO        LIMITAÇÃO   GRUPO
#
#   Aceitar conexões DNS do firewall para a rede
#
ACCEPT  net $FW tcp 25
ACCEPT  net $FW tcp 443
ACCEPT  net $FW udp 6277
DNS/ACCEPT  $FW     net
#
#   Aceitar conexões SSH da rede local para administração
#
SSH/ACCEPT  loc     $FW
#
#   Permitir Ping da rede local
#
Ping/ACCEPT loc     $FW
#
# Rejeitar Ping da zona de rede "ruim".. e evitar que seu log seja inundado..
#
Ping/REJECT net     $FW
ACCEPT      $FW loc     icmp
ACCEPT      $FW net     icmp
#
#ÚLTIMA LINHA -- ADICIONE SEUS REGISTROS ANTES DESTE -- NÃO REMOVA

Reinicie o firewall:

/etc/init.d/shorewall restart

Em seguida, faça:

/var/dcc/libexec/updatedcc

Agora configuramos seu Servidor VPN.

Edite /etc/pptpd.conf. Deve ficar assim agora:

###############################################################################
# $Id: pptpd.conf 4255 2004-10-03 18:44:00Z rene $
#
# Arquivo de configuração de exemplo do Poptop /etc/pptpd.conf
#
# As alterações entram em vigor quando o pptpd é reiniciado.
###############################################################################
# TAG: ppp
# Caminho para o programa pppd, padrão '/usr/sbin/pppd' no Linux
#
#ppp /usr/sbin/pppd
# TAG: option
# Especifica a localização do arquivo de opções PPP.
# Por padrão, o PPP procura em '/etc/ppp/options'
#
option  /etc/ppp/options.pptpd
# TAG: debug
# Ativa (mais) depuração para syslog
#
#debug
# TAG: stimeout
# Especifica o tempo limite (em segundos) ao iniciar a conexão de controle
#
# stimeout 10
# TAG: noipparam
# Suprime a passagem do endereço IP do cliente para o PPP, que é
# feito por padrão, caso contrário.
#
#noipparam
# TAG: logwtmp
# Usa wtmp(5) para registrar conexões e desconexões de clientes.
#
# logwtmp       ## comente isso!! pacote deb quebrado!!
# TAG: bcrelay 
# Ativa o relé de broadcast para clientes a partir da interface 
#
#bcrelay eth1
# TAG: localip
# TAG: remoteip
# Especifica os intervalos de endereços IP local e remoto.
#
# Qualquer endereço funciona, desde que a máquina local cuide do
# roteamento. Mas se você quiser usar a rede MS-Windows, deve
# usar endereços IP fora do espaço de endereços LAN e usar a opção proxyarp
# no arquivo de opções pppd, ou executar bcrelay.
#
# Você pode especificar endereços IP únicos separados por vírgulas ou pode
# especificar intervalos, ou ambos. Por exemplo:
#
# 192.168.0.234,192.168.0.245-249,192.168.0.254
#
# RESTRIÇÕES IMPORTANTES:
#
# 1. Nenhum espaço é permitido entre vírgulas ou dentro dos endereços.
#
# 2. Se você fornecer mais endereços IP do que MAX_CONNECTIONS, ele começará
# a partir do início da lista e irá até obter
# MAX_CONNECTIONS IPs. Outros serão ignorados.
#
# 3. Sem atalhos em intervalos! ou seja, 234-8 não significa 234 a 238,
# você deve digitar 234-238 se quiser dizer isso.
#
# 4. Se você fornecer um único localIP, tudo bem - todos os IPs locais serão
# definidos para o dado. Você AINDA deve fornecer pelo menos um remoto
# IP para cada cliente simultâneo.
#
# (Recomendado)
localip 192.168.1.1
remoteip    192.168.1.90-99
# ou
#localip 192.168.0.234-238,192.168.0.245
#remoteip 192.168.1.234-238,192.168.1.245
speed   115200

Em seguida, edite /etc/ppp/options. Deve ficar assim:

lock

Agora faça:

touch /etc/ppp/options.pptpd

Agora edite /etc/ppp/options.pptpd. Deve ficar assim:

lock
ms-dns 192.168.1.1
ms-wins 192.168.1.1
domain your.domain.here
debug
name pptp-vpn
auth
proxyarp
refuse-pap
refuse-chap
refuse-mschap
require-mschap-v2
require-mppe-128
chapms-strip-domain
lcp-echo-failure 10
lcp-echo-interval 30
nobsdcomp

Em seguida, edite /etc/ppp/chap-secrets. Deve ficar assim:

# Segredos para autenticação usando CHAP
# cliente   servidor    segredo         endereços IP
user    pptp-vpn    abcdefg "*"

Agora faça:

/etc/init.d/pptpd restart

Você deve ser capaz agora de configurar uma conexão vpn de dentro do seu firewall como “user” com a senha “abcdefg” (sem as aspas). Altere este nome de usuário e senha iniciais e adicione alguns usuários, se desejar. Talvez você tenha que reiniciar algumas máquinas para que funcione.

Agora abra seu firewall para conexões vpn. Para fazer isso, defina seu /etc/shorewall/rules como mostrado.

Meu /etc/shorewall/rules neste momento:

#############################################################################################################
#AÇÃO       ORIGEM      DESTINO     PROTOCOLO   DESTINO ORIGEM      ORIGINAL    TAXA        USUÁRIO/
#                       PORTA   PORTA(S)        DESTINO     LIMITAÇÃO   GRUPO
#                       PORTA   PORTA(S) DESTINO        LIMITAÇÃO   GRUPO
#
#   Aceitar conexões DNS do firewall para a rede
#
ACCEPT  net $FW tcp 25
ACCEPT  net $FW tcp 443
ACCEPT  net $FW tcp 993
ACCEPT  net $FW udp 6277
DNAT    net loc:192.168.1.1 tcp 1723
DNAT    net loc:192.168.1.1 47
DNS/ACCEPT  $FW     net
#
#   Aceitar conexões SSH da rede local para administração
#
SSH/ACCEPT  loc     $FW
#
#   Permitir Ping da rede local
#
Ping/ACCEPT loc     $FW
#
# Rejeitar Ping da zona de rede "ruim".. e evitar que seu log seja inundado..
#

Para completar esta etapa, faça:

/etc/init.d/shorewall restart

Assim, agora seus clientes poderão fazer seu trabalho em casa também.

Observe que isso só faz sentido quando seu servidor tem uma conexão de banda larga confiável com a internet, que na Holanda é o padrão de fato, mesmo para escritórios muito pequenos e a maioria dos endereços residenciais. Nesse aspecto, estamos muito à frente do resto do mundo.

Share: X/Twitter LinkedIn
#Firewall/Gateway

Receba novas postagens na sua caixa de entrada

Sem spam. Cancele a assinatura a qualquer momento.