Guia: Compartilhando a conexão e configurando o Squid

Compartilhar a conexão usando uma única placa de rede

Se você está usando um notebook ou barebone, com uma placa onboard e sem slots de expansão, existe a possibilidade de compartilhar a conexão usando uma única placa de rede, utilizando uma placa de rede virtual.

Normalmente, a topologia para compartilhar a conexão é ligar o modem ADSL/Cabo na placa eth0 do servidor, conectar a placa eth1 do mesmo servidor no hub/switch, juntamente com as demais estações. Ao compartilhar usando uma única placa, todo mundo passa a ser conectado diretamente ao hub/switch, inclusive o modem. O servidor é configurado para ter duas placas de rede "lógicas", uma para se conectar na internet e outra para a rede local.

Uma dica é que os modems ADSL geralmente utilizam um cabo de rede cross-over, já que são feitos para serem conectados diretamente a um PC e não ao hub. Nestes casos, você precisa ligar o modem na porta up-link do hub. Isso normalmente não é necessário ao usar um switch, pois eles são capazes de detectar o cabo cruzado e corrigir o sinal via software.

O primeiro passo é se conectar normalmente à internet no servidor, usando as configurações de sempre. A partir do momento em que ele estiver acessando, crie o alias para a placa de rede "lógica" que o conectará aos micros da rede local, usando o comando:

# ifconfig eth0:1 192.168.0.1/24

Isso fará com que o servidor passe a se comportar como se tivesse duas placas de rede, uma ligada ao modem ADSL e outra ligada à rede local, respondendo no endereço 192.168.0.1 (você pode trocar por outro se preferir). O "/24" indica a configuração da máscara de sub-rede, equivale a digitar "255.255.255.0". Para que isso funcione no Debian e algumas distribuições derivadas dele, é preciso instalar o pacote "net-tools" (apt-get install net-tools).

Compartilhe a conexão da forma usual, configure os clientes da rede e eles já serão capazes de navegar. Lembre-se de que um alias para a placa de rede não é o mesmo que uma placa de rede física espetada na placa-mãe. Por isso, o utilitário para compartilhar a conexão incluído na sua distribuição pode ter problemas para trabalhar desta forma. Se por acaso ele falhar, use os quatro comandos para compartilhar diretamente através do Iptables que já vimos.

Compartilhar a conexão usando uma única placa de rede relaxa um pouco a segurança da rede. Embora o modem ADSL fique conectado diretamente ao hub, ninguém na internet será capaz de enxergar os micros da rede local, pois eles utilizarão uma faixa de IPs inválida, como 192.168.0.x ou 10.0.0.x. Você ainda pode adicionar um firewall "fecha tudo" no servidor, para que ele não responda a pings, feche todas as portas, etc.

O problema é que com o modem ADSL ligado diretamente ao hub, alguém que consiga obter acesso à configuração do modem poderia ganhar acesso aos micros da rede local através dele. Os modems ADSL não são apenas dispositivos burros que fazem a conversão analógico/digital, eles possuem vários recursos para rotear pacotes, criar vários tipos de filtros e, em muitos casos, até túneis VPN.

As empresas de telefonia e provedores geralmente protegem as configurações do modem com uma senha para que o usuário não possa ficar brincando com elas, mas em geral usam a mesma senha em milhares de modems. Em alguns casos, o modem vem aberto para aceitar conexões da web, protegido apenas pela senha, sem falar que por terem tantos recursos sempre existe a possibilidade de surgirem bugs diversos de segurança. Pense no modem ADSL como um PC vulnerável, que nunca recebe atualizações de segurança.

Se alguém consegue obter acesso à configuração do modem, pode ganhar acesso aos micros da rede local que estarão conectados diretamente a ele. Este é o grande problema. Usando duas placas de rede ainda seria preciso passar pelo servidor de compartilhamento, que pode ser protegido com um bom firewall. Ao conectar o modem diretamente ao hub, esta linha de proteção é perdida.