B R M A
B a l a n c e
Manual Técnico
BRMA® BALANCE
EMPRESA
Atuando no segmento de comunicação de dados desde 1998, a BRconnection® vem se destacan-do por desenvolver e disponibilizar ao mercadestacan-do a solução BRMA® que, além de barrar o uso não-produtivo da Internet, garante a segurança das informações da sua empresa, as quais, ao nosso ver, constituem um dos maiores patrimônios do seu empreendimento.
Somos imensamente gratos aos mais de 5 mil clientes que confiam à BRconnection® e aos seus 300 parceiros - espalhados por todo territó-rio nacional, além de outros países - a missão de garantir o uso produtivo e seguro da Internet em seus ambientes de trabalho.
Com este manual, esperamos garantir sua plena satisfação com as nossas soluções e serviços. Desenvolvido com grande esmero, ele vai ajudá-lo passo-a-passo na instalação do BRMA®. As dúvidas que por ventura não sejam soluciona-das com a simples leitura deste manual podem ser enviadas para o e-mail suporte@brc.com.br, nossa equipe terá o máximo prazer em atendê-lo. Boa leitura!
UTILIZAÇÃO DO MANUAL
Este manual destina-se às pessoas que possuem conhecimentos básicos nos seguintes ítens da área de informática: • Redes • LAN/WAN • TCP/IP • Internet • BRMA
Caso não haja tais conhecimentos é recomendada a contratação de serviço especializado para a im-plantação da solução. Consulte a BRconnection®
Índice
1 Estruturas onde o BRMA® Balance pode ser configurado...12
1.1 BRMA® + n Balances + Storage...12
1.1.1 BRMA® + n smartWEB® Balance...12
1.1.2 BRMA® + n MAIL Balance + Storage...12
1.1.3 BRMA® + n smartWEB e MAIL Balance + Storage...12
1.2 BRMA® + n Balances + Storage + Banco de Dados...13
1.3 BRMA® + Servidor de E-mail...13
2 Configurando o BRMA®...14
2.1 Configurando o smartWEB® Balance...14
2.2 Configurando o MAIL Balance...16
3 Instalando os nós...19
4 Instalando o NFS...20
5 Configurando o Antivírus...21
11
BR
M
A B
ala
nce
- M
an
ua
l T
écn
ico
A primeira coisa a saber antes de iniciar a configuração é identificar a necessidade do cliente pelos hits de navegação e e-mail. Podemos configurar somente o smartWEB® Balance, somente o Mail Balance ou os dois recursos em conjunto. O BRMA® deve ter no mínimo 3 placas de rede, eth0 (rede local), eth1 (internet) e eth2 (com rede dedicada para o balance – já saiba quais endereços será utilizado para a configuração da interface).
A placa eth2 já deve estar configurada com o endereço IP da rede dedicada. Em nosso exemplo usaremos a rede 10.0.0.0/30, com a eth2 configurada para 10.0.0.1.
Para iniciarmos a configuração do BRMA® Balance, o correto é configurar primeiro o BRMA® e depois os nós.
Observação 1: Se a configuração a ser feita é em um BRMA® já
insta-lado com usuários cadastrados, faça um backup dos diretórios /home, /var/spool/mail/quarentena.antispam e /var/log/brma/antispam. Este backup será restaurado no servidor NFS / Storage após instalação e configuração.
12
BR
co
nn
ec
tio
n
- I
nt
er
ne
t C
on
tro
la
da
1 Estruturas onde o BRMA® Balance pode ser configurado
1.1 BRMA® + n Balances
1.1.1 BRMA® + n smartWEB® Balance
1.1.2 BRMA® + n MAIL Balance + Storage
13
BR
M
A B
ala
nce
- M
an
ua
l T
écn
ico
1.2 BRMA® + n Balances + Storage + Banco de Dados
14
BR
co
nn
ec
tio
n
- I
nt
er
ne
t C
on
tro
la
da
2 Configurando o BRMA®
Descompactar o pacote 20070301-RELEASE-01.tgz em /usr/libexec/brma/. Após descompactar, substituir o INIT di firewall que está em /usr/libexec/brma/INIT/ para /etc/rc.d/init.d/
2.1 Configurando o smartWEB® Balance
Esta configuração é feita no menu Módulos >> smartWEB®.
Balanceamento de Serviço smartWEB®
Habilitado: habilitar o serviço de balance
Interface DMZ do Pool smartWEB®: interface da DMZ onde será instalado
os nós (geralmente eth2).
IP do Banco de dados: se o servidor de banco de dados for instalado em
15
BR
M
A B
ala
nce
- M
an
ua
l T
écn
ico
IP do Nó: endereço IP a ser utilizado nos servidores balances.
Observação 1: ao configurar o smartWEB® balance é alterado
automatica-mente o item Config >> Rede >> Hosts com os nomes dos nós. Este passo é importante para levantar o serviço. Neste caso, ao instalar os nós respeite os nomes cadastrados (no1, no2 …)
Observação 2: Em /etc/passwd foi criado automaticamente um usuário balance
para sincronismo das informações.
Observação 3: A base de dados do smartWEB é sincronizada do gateway
16
BR
co
nn
ec
tio
n
- I
nt
er
ne
t C
on
tro
la
da
2.2 Configurando o MAIL Balance
Esta configuração é feita no menu E-mail >> Balanceamento.
Habilitado: para habilitar o serviço de balance para o servidor de e-mail. IP do banco de dados: caso o administrador queira instalar o postgres em
outra máquina. O servidor de banco de dados, caso instalado, deve estar obrigatoriamente na DMZ.
IP dos nós: neste item deve ser cadastrado o endereço IP dos servidores
ba-lances (este item é amarrado junto ao sistema da BRconnection® no momento
da compra do serviço. Só é possível cadastrar o número de nós adquiridos).
IP do servidor smtp: IPs que aceitam conexão smtp. (Inserir o endereço IP
da eth0 e da eth1).
Configuração de Compartilhamento
Habilitado: habilitar o compartilhamento quando utilizado um data storage. IP do Servidor / Data Storage: informar o endereço IP do servidor data storage.
17
BR
M
A B
ala
nce
- M
an
ua
l T
écn
ico
Ponto de Compartilhamento: quando configurado com um NAS devem ser
criados 3 compartilhamentos: home, quarentena e logs do antispam. Se for outro linux com NFS deve-se utilizar a estrutura do exemplo.
Observação 1: Quando habilitado o Mail Balance, automaticamente em /etc/
ssh/sshd_config é habilitado para permitir ssh do usuário root.
Observação 2: O formato da caixa postal é alterado de mailbox para maildir,
uti-lizando então o webmail Squirrelmail, não mais o Openwebmail. As mensagens em formato Maildir são armazenadas em /home/usuário/Maildir (este diretório é criado automaticamente no cadastramento dos usuários via interface).
Observação 3: Para migrar os e-mails de formato mailbox para formato maildir
instale o pacote TimeDate.1.16-0.i386.rpm que se encontra no diretório /usr/ libexec/brma/RPMSMAILBAL/ após o pacote instalado execute o migrador:
/usr/libexec/brma/bin/migra-mailbox_maildir.pl
Observação 4: Quando utilizado quota para os e-mails, o backup da Quota
de Disco ficará guardado no backup de configurações e o backup da Quota de Maildir ficará guardado no backup do home.
Observação 5: Não recomendamos dar direito de bash para o usuário nesta
estrutura, pois a quota e os e-mails são criados em formato de arquivo e podem ser corrompidos com sua edição.
18
BR
co
nn
ec
tio
n
- I
nt
er
ne
t C
on
tro
la
da
Após configurar a interface
a) Criar 3 objetos endereços: no1 (10.0.0.2), no2 (10.0.0.3) e nos (com o
endereço IP dos dois nós).
b) Criar um mascaramento para os dois nós com destino endereço todos
e porta todas/tcp. (O mascaramento não permite objetos com múltiplos endereços, então deve ser utilizado o objeto no1 e no2).
c) Servidor MX: para o recebimento correto dos e-mails pelo servidor MX,
deve ser criada uma regra no firewall de encaminhar com destino o objeto nos, a porta smtp com destino o device eth1.
d) Navegação: no grupo brma_www criar uma regra de encaminhar (sem
NAT habilitado) para destino o objeto nos, a porta http e todos os devi-ces.
e) Envio de E-mail: no grupo brma_smtp_local criar uma regra de
encami-nhar (sem NAT habilitado) para destino o objeto nos, a porta smtp e todos os devices.
f) Recebimento de E-mail: no firewall, criar uma regra de encaminhar com
destino o objeto nos, a porta pop (e/ou imap) e todos os devices.
g) Webmail: para utilizar o webmail, neste caso o squirrelmail, deve ser
criado um grupo com uma regra de encaminhar (sem NAT habilitado) com destino nos, porta squirrelmail (com as portas 240 e 10005) e todos os devices.
Observação 1: O nome do processo no BRMA® é BRMA_Balancing. O
nome do cgi é brma_bal e se encontra em /usr/libexec/brma/daemon/
Observação 2: O processo do squid, quando configurado o smartWEB®
Balance não é executado no BRMA®, somente nos nós.
Observação 3: Foram instalados automaticamente os pacotes de sqlite para
armazenamento dos relatórios e portmap, para sincronismo do NFS. O serviço de portmap é iniciado automaticamente no boot, pois foi habilitado no ntsysv.
Observação 4: Neste modelo de balanceamento, um dos serviços principais
para o funcionamento é o Rmon do gateway, pois toda a comunicação com os nós é feito por ele.
Exemplo: não existe licença nos nós, a comunicação se tem update, e se pode ser habilitado o serviço é feito através do Rmon do gateway.
19
BR
M
A B
ala
nce
- M
an
ua
l T
écn
ico
Observação 5: Todo o sincronismo é feito através de chave SSH. Essa
troca de chave (confiabilidade) é feita dos nós para o Rmon do gateway.
Observação 6: O Squid eo sedmail.cf dos balances são diferentes do
ga-teway. Se for necessário trocar, deve pegar outro balance.
3 Instalando os nós
Insira o CD do Balance na unidade de CD-ROM do servidor e inicialize-o. O CD do Balance carrega o instalador automaticamente quando o computador é iniciado.
Após o boot, aparecerá a tela de apresentação do Balance. Pressione [ENTER] para prosseguir.
Em seguida surgirá a tela para escolha do idioma de instalação (Inglês, Português ou Espanhol), marque a opção desejada, selecione <OK> e tecle [ENTER] para prosseguir.
Surgirá a tela de boas vindas e apresentação do BRMAlinux. Tecle [ENTER] para prosseguir.
O próximo passo é a leitura do contrato de licenciamento do software BRMA®. Após a leitura, tecle [ENTER] para prosseguir.
Em seguida você deve responder se concorda com os termos do contrato. Se-lecione <SIM> e tecle [ENTER] para prosseguir.
Neste momento o instalador pede permissão para formatar e particionar seu HD automaticamente.
Selecione <SIM> e tecle [ENTER].
Será mostrada uma tela com as opções de serviços do Balance, E-mail, smar-tWEB® e Storage. Os serviços de E-mail e smarsmar-tWEB® podem ser instalados no mesmo servidor, porém o serviço Storage deve estar em uma máquina dedicada. Selecione a opção mais apropriada para a rede em questão e selecione <ACEI-TAR> para a instalação prosseguir e executar a formatação e o particionamento automático do HD.
Em seguida, aparecerá a tela de configuração para a placa de rede (que estará co-nectada a uma DMZ do BRMA®). Informe os seguintes itens: Endereço IP, Máscara e Gateway (apontando para o endereço IP da placa da rede DMZ do BRMA®).
20
BR
co
nn
ec
tio
n
- I
nt
er
ne
t C
on
tro
la
da
Após a configuração da placa de rede, confirme os endereços.
Prosseguindo a instalação, você será questionado sobre a senha do usuário root, usuário master do sistema operacional BRMAlinux, que deve conter no mínimo 6 caracteres. Tecle [ENTER] para aceitar.
Observação 1: As senhas dos nós são sincronizadas com o BRMA®, isto quer dizer,
todos os servidores terão a mesma senha.
No próximo passo da instalação serão gravados diversos arquivos no HD e este pro-cesso levará alguns minutos, portando, aguarde sua conclusão.
No final da instalação, uma tela de congratulação aparecerá, tecle [ENTER] para aceitar e reiniciar o sistema. Aguarde o boot do servidor.
Observação 2: Para saber se a configuração está correta para o funcionamento do
ba-lance, testar no nó um ssh para o BRMA®, este terá que se logar sem pedir senha.
Observação 3: O monitoramento do brsendmaild.cgi deve ser feito em todos os nós.
Este se encontra na estrutura /opt/brc/brma_balancing/daemon/brsendmaild.cgi.
Observação 4: Em /etc/sysconfig/network foi configurado, automaticamente, o nome
da máquina+domínio.
4 Instalando o NFS
Ler o item 3 deste manual: Instalando os nós.
Observação 1: Após terminar os procedimentos, desligar as máquinas balances e
gateway. Enquanto as máquinas permanecem desligadas, rebootar o storage. Veri-ficar se a máquina storage levantou corretamente. Após, ligar a máquina gateway e em seguida os balances.
Observação 2: Neste servidor foi configurado o arquivo /etc/exports com a seguinte
configuração:
/home 10.0.0.0/30 (rw,sync,no_root_squash)
/var/spool/mail/quarentena.antispam 10.0.0.0/30 (rw,sync,no_root_squash)
/var/log/brma/antispam 10.0.0.0/30 (rw,sync,no_root_squash)
Observação 3: O serviço de nfs foi iniciado no servidor storage.
Observação 4: o modelo informado neste manual de NFS não é recomendado para
uso em produção por não possuir sistema de failover. Nestes casos, deve ser usado Storage Hardware profissional.
21
BR
M
A B
ala
nce
- M
an
ua
l T
écn
ico
5 Configurando o Antivírus
Para utilizar um antivírus homologado com a estrutura do balance, é necessário instalá-lo no BRMA® e também nos nós, com suas licenças em todas as máquinas.
6 Homologações
smartWEB® BALANCE
Autenticação Terminal Service Antivírus Gatekeeper para HTTP Monitor de Navegação
Relatórios (Navegação, Tráfego e Manutenção) Gráficos (Tráfego, Sumário e Diários e Semanais ...)
MAIL BALANCE
Quota Antispam
Antivírus (Gatekeeper, Command Line, McAfee e Clamav) E-mail (Configurações, Manutenção, Mensagens e E-mail Virtual) Webmail Squirrelmail
Monitor (E-mail / Antispam e Quota) Relatórios (E-mail, Tráfego e Manutenção)
Gráficos (E-mail, Tráfego, Sumário e Diários / Semanais ...) Webmail Squirrelmail UTILS Backup Restore Update Registro Agendamento
BRconnection, BRMA® e smartWEB® são marcas registradas da BRconnection.