O Zabbix é uma solução de nível empresarial e de código aberto. Ele monitora diversos parâmetros de rede, servidores e a saúde dos serviços, utilizando um mecanismo flexível de notificação. Este mecanismo permite configurar alertas, por e-mail e outros meios como Telegram, para quase qualquer evento, facilitando uma rápida resposta a problemas. Além disso, o Zabbix oferece recursos avançados para relatórios e visualização de dados armazenados, sendo ideal para o planejamento de capacidade.

Requisitos Debian 12 Bookworm

– Instalação do Debian 12 Bookworm limpa passo-a-passo

Melhorando o seu BASH

Para melhorar seu bash e entender o comando a seguir, visite: Como melhorar a produtividade no seu Debian após a instalação

# apt -y install wget; wget remontti.com.br/debian; bash debian; su -

Instalação do NGINX

Procederemos com a instalação do nginx, ocultando a sua versão como uma boa prática.

# apt -y install nginx
# sed -i 's/# server_tokens/server_tokens/' /etc/nginx/nginx.conf
# systemctl restart nginx

Instalação PHP 8

Vamos instalar extensões do PHP usadas pelo Zabbix e evitar a instalação de pacotes recomendados (–no-install-recommends) para que o Apache não seja instalado.

#  apt -y install --no-install-recommends \
 php php-{fpm,cli,mysql,pear,gd,gmp,bcmath,mbstring,curl,xml,zip,json,pgsql}

Aumentar o limite de tempo de execução e o tamanho máximo de upload no PHP.

# vim /etc/php/8.2/fpm/php.ini

Localize max_execution_time e altere para 600 e upload_max_filesize para 100MB

max_execution_time = 600
upload_max_filesize = 100M

Reinicie o serviço do PHP.

# systemctl restart php8.2-fpm

Instalação do PostgreSQL

Instalação dos pacotes necessários do PostgreSQL.

# apt -y install postgresql postgresql-contrib

Altere para o usuário postgres.

# su - postgres

Acesse o terminal de comandos do banco de dados.

$ psql

Para definir a senha do usuário postgres e instalar o adminpack.

postgres=# \password postgres
Digite nova senha para postgres: 
Digite-a novamente:
postgres=# CREATE EXTENSION adminpack;
CREATE EXTENSION
postgres=# \q 
$ exit

Realize ajustes no arquivo pg_hba.conf para autenticação com senha.

# sed -i '/postgres.*peer/s/peer/md5/' /etc/postgresql/15/main/pg_hba.conf
# sed -i '0,/local\s*all\s*all\s*peer/s/peer/md5/' /etc/postgresql/15/main/pg_hba.conf

É recomendado ajustar as configurações padrões do PostgreSQL conforme a memória disponível.

vim /etc/postgresql/15/main/postgresql.conf

#-----------------------------------------
# 4GB de Memoria RAM
#-----------------------------------------
max_connections = 500
shared_buffers = 1GB
work_mem = 16MB
maintenance_work_mem = 128MB
max_wal_size = 1GB
min_wal_size = 256MB
effective_cache_size = 2GB

#-----------------------------------------
# 8GB de Memoria RAM
#-----------------------------------------
max_connections = 1000
shared_buffers = 2GB
work_mem = 32MB
maintenance_work_mem = 512MB
max_wal_size = 2GB
min_wal_size = 512MB
effective_cache_size = 4GB

#-----------------------------------------
# 16GB de Memoria RAM
#-----------------------------------------
max_connections = 2000
shared_buffers = 4GB
work_mem = 64MB
maintenance_work_mem = 1GB
max_wal_size = 4GB
min_wal_size = 1GB
effective_cache_size = 8GB

Reinicie o serviço do PostgreSQL.

# systemctl  restart postgresql

Instalação do Zabbix 7 LTS

Inclua o repositório oficial do Zabbix versão 7 LTS.

# cd /tmp/
# wget https://repo.zabbix.com/zabbix/7.0/debian/pool/main/z/zabbix-release/zabbix-release_7.0-1+debian12_all.deb
# dpkg -i zabbix-release_7.0-1+debian12_all.deb
# apt update

# apt -y install zabbix-server-pgsql zabbix-frontend-php \
  zabbix-nginx-conf zabbix-sql-scripts zabbix-agent traceroute

Crie uma base de dados chamada zabbix e um usuário também chamado zabbix no PostgreSQL. Lembre-se de alterar a senha. Use o gerador de senha: https://senhasegura.remontti.com.br/

# su - postgres
$ createuser --pwprompt zabbix
Digite a senha para a nova role:  <SENHA ZABBIX>
Digite-a novamente: <SENHA ZABBIX>
Senha: <SENHA POSTGRES CASO TENHA DEFINIDO NA INSTALAÇÃO DO MESMO>

$ createdb -O zabbix zabbix
Senha: <SENHA POSTGRES>

Importe o esquema inicial e os dados. Você será solicitado a inserir a senha que foi criada anteriormente.

$ zcat /usr/share/zabbix-sql-scripts/postgresql/server.sql.gz | psql -U zabbix -d zabbix &>/dev/null
Senha para usuário zabbix: : <SENHA ZABBIX>
$ exit

Configure o arquivo zabbix_server.conf para conectar ao banco de dados PostgreSQL.

# vim /etc/zabbix/zabbix_server.conf

Descomente e defina a senha na linha # DBPassword=.

#...
DBPassword=<SENHA ZABBIX>
#...

Ajuste o arquivo /etc/zabbix/php-fpm.conf, descomente e defina o fuso horário correto. timezone Sua região.

# vim /etc/zabbix/php-fpm.conf

Adicione timezone, e ajuste upload_max_filesize:

php_value[date.timezone] = America/Sao_Paulo
php_value[upload_max_filesize] = 100M

Configure as definições do nginx.

# vim /etc/nginx/conf.d/zabbix.conf 

Deixei algumas linhas comentadas como exemplo, faça de acordo com sua necessidade.

server {
        listen 80;
        listen [::]:80;
        server_name    zabbix.remontti.com.br localhost;
        #server_name   OU_SEU_IP;

        # Metodo simples para quem quer rodar em uma determinada porta
        #listen 8181;
        #listen [::]:8181;
        #server_name     _;

        root    /usr/share/zabbix;
        index   index.php;

        # Desmomente para deixar restringido apenas para determinados prefixos
        #allow  192.168.87.0/24;
        #allow  127.0.0.1;
        #allow  2001:0db8::/32;
        #allow  ::1;
        #deny   all;
        #error_page  403   http://www.remontti.com.br;

        client_max_body_size 100M;
 
        location = /favicon.ico {
                log_not_found   off;
        }

        location / {
                try_files       $uri $uri/ =404;
        }

        location /assets {
                access_log      off;
                expires         10d;
        }

        location ~ /\.ht {
                deny            all;
        }

        location ~ /(api\/|conf[^\.]|include|locale) {
                deny            all;
                return          404;
        }

        location ~ [^/]\.php(/|$) {
                fastcgi_pass    unix:/var/run/php/zabbix.sock;
                fastcgi_split_path_info ^(.+\.php)(/.+)$;
                fastcgi_index   index.php;

                fastcgi_param   DOCUMENT_ROOT   /usr/share/zabbix;
                fastcgi_param   SCRIPT_FILENAME /usr/share/zabbix$fastcgi_script_name;
                fastcgi_param   PATH_TRANSLATED /usr/share/zabbix$fastcgi_script_name;

                include fastcgi_params;
                fastcgi_param   QUERY_STRING    $query_string;
                fastcgi_param   REQUEST_METHOD  $request_method;
                fastcgi_param   CONTENT_TYPE    $content_type;
                fastcgi_param   CONTENT_LENGTH  $content_length;

                fastcgi_intercept_errors        on;
                fastcgi_ignore_client_abort     off;
                fastcgi_connect_timeout         60;
                fastcgi_send_timeout            180;
                fastcgi_read_timeout            180;
                fastcgi_buffer_size             128k;
                fastcgi_buffers                 4 256k;
                fastcgi_busy_buffers_size       256k;
                fastcgi_temp_file_write_size    256k;
        }
}

Habilite o Zabbix para iniciar com o sistema.

# systemctl enable zabbix-server

Vamos reiniciar os serviços

# systemctl restart zabbix-server zabbix-agent nginx

Acesse http://seu_ip:porta ou http://zabbix.seudominio.com.br no navegador.

Siga as instruções de configuração na interface web do Zabbix.

Selecione o idioma, e Próximo passo

Se tudo estiver ok: Próximo passo

Selecione PostgreSQL e informe a senha do usuário zabbix criada anteriormente, clique em Próximo passo.

Defina um nome, e selecione o Tema padrão e clique em Próximo passo

Se tudo estiver ok, Próximo passo

Fim

Entre com Usuário Admin e senha zabbix

Simples né? Gostou e quer me ajudar?

Se quiser fazer uma doação para o café ficarei muito feliz pelo seu reconhecimento!

Se não puder doar pode deixar seu agradecimento nos comentário também ficarei feliz em saber que ajudei. Se tiver qualquer pergunta deixe-a também. Se preferir entrar em Contato clique aqui.

Abraço!

Fontes:
https://www.zabbix.com/documentation/

O post Guia completo para instalar e configurar Zabbix 7 LTS no Debian 12 Bookworm com NGINX e PostgreSQL apareceu primeiro em Remontti.

• Gerenciamento de endereço IP (IPAM) – Redes e endereços IP, VRFs e VLANs
• Racks de equipamentos – Organizados por grupo e local
• Dispositivos – Tipos de dispositivos e suas instalações
• Conexões – Rede, console e conexões de energia entre dispositivos
• Virtualização – Máquinas virtuais e clusters
• Circuitos de dados – Circuitos e fornecedores de comunicações de longa distância
• Segredos – Armazenamento criptografado de credenciais sensíveis

Requisitos:
Instalação do Debian 12 Bookworm

Para tornar-se root corretamente, utilize o comando abaixo com o sinal de hífen.

su -

Instale os pacotes necessários que são pré-requisitos para a instalação do NetBox.

# apt install gcc vim net-tools wget redis-server supervisor\
  postgresql-contrib postgresql libpq-dev \
  python3 python3-pip python3-venv python3-dev\
  build-essential libxml2-dev libxslt1-dev\
  libffi-dev libssl-dev zlib1g-dev graphviz\
  nginx redis python3-setuptools python3-gunicorn

Faça login como usuário postgres para criar o banco de dados necessário.

# su - postgres

Acesse o terminal do postgres com o comando a seguir:

$ psql

Altere a senha conforme necessário.

postgres=# CREATE DATABASE netboxdb;
postgres=# CREATE USER netboxuser WITH PASSWORD 'sua_senha';
postgres=# GRANT ALL PRIVILEGES ON DATABASE netboxdb TO netboxuser;
postgres=# ALTER USER netboxuser WITH SUPERUSER;
postgres=# \q

Verifique se o serviço redis está funcionando corretamente.

$ redis-cli ping

Deverá retornar: PONG

Volte ao usuário root.

exit

Prossiga com o download do projeto NetBox verificando se há uma nova versão disponível no GitHub. Acesse o diretório temporário, faça o download do NetBox, extraia o arquivo, mova para o diretório correto e ajuste as permissões.

# cd /tmp
# wget https://github.com/netbox-community/netbox/archive/refs/tags/v3.7.4.tar.gz
# tar vxf v3.7.4.tar.gz
# mv netbox*/ /opt/netbox
# cd /opt/netbox/
# chown www-data: /opt/netbox/netbox/media/ -R

Gere a SECRET KEY que será usada posteriormente.

# /opt/netbox/netbox/generate_secret_key.py 

Exemplo:

T7TE07O$j^Jqf9(*20q8M5kG4%NBIci#gEEn0$wuw*qodT7Lfo

Copie e ajuste o arquivo de configuração com suas informações.

# cp /opt/netbox/netbox/netbox/configuration_example.py /opt/netbox/netbox/netbox/configuration.py
# vim /opt/netbox/netbox/netbox/configuration.py

Edite o arquivo de configuração como no exemplo a seguir:

ALLOWED_HOSTS = ['localhost','netbox.remontti.com.br']

DATABASE = {
    'NAME': 'netboxdb',
    'USER': 'netboxuser',
    'PASSWORD': 'sua_senha',
    'HOST': 'localhost',
    'PORT': '',
    'CONN_MAX_AGE': 300,
}

SECRET_KEY = 'T7TE07O$j^Jqf9(*20q8M5kG4%NBIci#gEEn0$wuw*qodT7Lfo'

LOGIN_REQUIRED = True

Proceda com a instalação executando:

# /opt/netbox/upgrade.sh

Crie um usuário administrador para o NetBox com o seguinte comando:

# source /opt/netbox/venv/bin/activate
(venv) # python3 /opt/netbox/netbox/manage.py createsuperuser
Username: remontti
Email address: noc@remontti.com.br
Password: xxxx
Password (again): xxxxx
Superuser created successfully.
(venv) # deactivate

Configure o servidor web (nginx) e inicie os serviços do NetBox.

# cp /opt/netbox/contrib/gunicorn.py /opt/netbox/gunicorn.py
# cp /opt/netbox/contrib/*.service /etc/systemd/system/
# sed -i 's/User=netbox/User=root/' /etc/systemd/system/netbox*.service
# sed -i 's/Group=netbox/Group=root/' /etc/systemd/system/netbox*.service
# systemctl daemon-reload
# systemctl enable netbox netbox-rq netbox-housekeeping
# systemctl start netbox netbox-rq netbox-housekeeping
# systemctl status netbox netbox-rq

Configure o nginx removendo o arquivo default e criando um novo arquivo de configuração.

# rm /etc/nginx/sites-enabled/default
# vim /etc/nginx/sites-available/netbox.conf

Insira a configuração necessária no arquivo `netbox.conf` do nginx.

server {
    listen 80;
    listen [::]:80;
 
    server_name netbox.remontti.com.br;

    client_max_body_size 25m;
 
    location /static/ {
        alias /opt/netbox/netbox/static/;
    }
 
    location / {
        proxy_pass http://localhost:8001;
        proxy_set_header Host $http_host;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header X-Forwarded-Proto $scheme;
    }
}

Crie um link simbólico para ativar a configuração do nginx e reinicie o serviço.

# ln -s /etc/nginx/sites-available/netbox.conf /etc/nginx/sites-enabled/
# systemctl restart nginx

Acesse seu NetBox pelo navegador em “https://netbox.remontti.com.br/” ou “https://ip/” e faça login com a senha criada.

Instale o plugin topology-views.

# source /opt/netbox/venv/bin/activate
(venv) # vim /opt/netbox/netbox/netbox/configuration.py

Configure o plugin `netbox_topology_views` no arquivo de configuração.

PLUGINS = ["netbox_topology_views"]

PLUGINS_CONFIG = {
    'netbox_topology_views': {
        'static_image_directory': 'netbox_topology_views/img',
        'allow_coordinates_saving': True,
        'always_save_coordinates': True
    }
}

Conclua a instalação do plugin e atualize as configurações.

(venv) # cd /opt/netbox/netbox
(venv) # pip3 install netbox-topology-views
(venv) # python3 manage.py migrate netbox_topology_views
(venv) # python3 manage.py collectstatic --no-input
# deactivate
# systemctl restart netbox netbox-rq netbox-housekeeping

Agradecimentos e convite para doação:
Se quiser fazer uma doação para o café, ficarei muito feliz pelo seu reconhecimento!

Participe do canal no telegram para ficar sempre atualizado. Agradeço por qualquer feedback nos comentários ou contato direto.

Fonte: Documentação Oficial do NetBox

O post Instalação e Configuração do NetBox no Debian 12: Guia Completo apareceu primeiro em Remontti.

REQUISITOS
1 – Debian 12 Bookworm – Instalação limpa

Acesse seu bash e vire root com o comando su – para evitar comandos “que não existem”, e antes de mais nada tenha seu repositório atualizado.

# su -
# apt update
# apt upgrade

Se o seu sistema Debian acabou de ser instalado e está em sua configuração inicial, aqui está o meu comando secreto que eu uso em todos os servidores após a instalação. Esse comando tem o objetivo de aprimorar a produtividade do shell (bash) no Debian e instalar alguns pacotes essenciais. É basicamente um script que inclui a maior parte das etapas descritas no tutorial: Como melhorar a produtividade no seu Debian após instalação

# apt install wget -y; wget remontti.com.br/debian; bash debian
# su - 

O serviço web não é necessário, mas normalmente juntamente do Freeradius acabo instalando um phpmyadmin por exemplo para poder fazer uma administração fácil do banco de dados entre outros. Se desejar pular esta etapa ela é opcional.

Instalação do Serviço Web+PHP

Vamos instalar os pacotes necessários

# apt install apache2 apache2-utils libapache2-mod-php\
  php php-mysql php-cli php-pear php-gmp php-gd php-bcmath\
  php-mbstring php-curl php-xml php-zip -y

Ajuste fino, quiser saber mais clique aqui.

# a2enmod rewrite ; a2enmod headers
# sed -i 's/ServerTokens OS/ServerTokens Prod/' /etc/apache2/conf-available/security.conf
# sed -i 's/ServerSignature On/ServerSignature Off/' /etc/apache2/conf-available/security.conf
# systemctl restart apache2

Instalação do MariaDB & phpMyAdmin

# apt install mariadb-server mariadb-client phpmyadmin

Por padrão o pacote MaraiDB no Debian usa unix_socket para autenticar o login do usuário, o que basicamente significa que você pode usar o nome de usuário e a senha do sistema operacional para efetuar login no console do MariaDB. Assim, você pode logar diretamente sem fornecer a senha root do MariaDB. Mais a frente vou ensinar como definir uma senha, não farei agora pois se você alterar nesse momento ao instalar o phpMyAdmin terá um erro.

Selecione Apache2

Responda Sim

Informe a senha para o banco de dados do phpmyadmin. http://senhasegura.remontti.com.br/

Repita a senha

Para acessar o phpmyadmin:http://[SERVER_IP]/phpmyadmin/

Para aumentar a seguraça vamos definir uma senha para o usuário root do MariDB, não esqueça de alterar ALTERE_3ST4_SENHA pela sua senha.

# mariadb -u root

USE mysql;
ALTER USER 'root'@'localhost' IDENTIFIED BY 'ALTERE_3ST4_SENHA';
FLUSH PRIVILEGES;
EXIT;

Apague seus rastros, em /root/.mysql_history temos um histórico com todos os comandos dado no terminal do MariaDB, então não é legal deixar lá em texto puro a senha que setamos!

# > /root/.mysql_history

Instalação do FreeRadius

Abra o terminal de comando do MariaDB e crie a base e o usuário chamados de radius e defina a senha para este usuário.

# mariadb -u root -p

Altere SENHA_USER_RADIUS. Você pode gerar uma senha forte e segura em https://senhasegura.remontti.com.br

CREATE DATABASE radius;
GRANT ALL PRIVILEGES ON radius.* TO 'radius'@'localhost' IDENTIFIED BY 'SENHA_USER_RADIUS';
FLUSH PRIVILEGES;
quit;

Instale os pacotes do freeradius

# apt install freeradius freeradius-mysql freeradius-utils

Com o banco de dados radius criado iremos importar as tabelas padrões do freeradius:

# mariadb -u radius -p radius < /etc/freeradius/3.0/mods-config/sql/main/mysql/schema.sql

Após comando será solicitado a senha do usuario radius (SENHA_USER_RADIUS).

Vamos fazer backups primeiramente dos arquivos que iremos alterar.

# cp /etc/freeradius/3.0/radiusd.conf /etc/freeradius/3.0/radiusd.conf.orig
# cp /etc/freeradius/3.0/mods-available/sql /etc/freeradius/3.0/mods-available/sql.orig
# cp /etc/freeradius/3.0/mods-available/eap /etc/freeradius/3.0/mods-available/eap.orig
# cp /etc/freeradius/3.0/sites-available/default  /etc/freeradius/3.0/sites-available/default.org
# cp /etc/freeradius/3.0/mods-available/sqlippool /etc/freeradius/3.0/mods-available/sqlippool.orig

Irei abusar do comando sed de agora em diante com o intuito de entrar nos arquivos para editar, se não souber o que cada comando representa recomendo utilizar o chat GPT, cola lá e pergunta que ele explica rsrs (estou ficando velho)

# sed -i '/^\s*stripped_names = no/s/^\(\s*stripped_names =\) no/\1 yes/g' /etc/freeradius/3.0/radiusd.conf
# sed -i '/^\s*auth = no/s/^\(\s*auth =\) no/\1 yes/g' /etc/freeradius/3.0/radiusd.conf
# sed -i '/^\s*auth_badpass = no/s/^\(\s*auth_badpass =\) no/\1 yes/g' /etc/freeradius/3.0/radiusd.conf
# sed -i '/^\s*auth_goodpass = no/s/^\(\s*auth_goodpass =\) no/\1 yes/g' /etc/freeradius/3.0/radiusd.conf

Ajustaremos o mod SQL para trabalhar com conexão do tipo mysql, e informamos os dados para conexão com o banco de dados. Arquivo /etc/freeradius/3.0/mods-available/sql.orig

# sed -i 's/driver = "rlm_sql_null"/driver = "rlm_sql_mysql"/' /etc/freeradius/3.0/mods-available/sql
# sed -i 's/dialect = "sqlite"/dialect = "mysql"/' /etc/freeradius/3.0/mods-available/sql
# sed -i '/server = "localhost"/s/^#//g' /etc/freeradius/3.0/mods-available/sql
# sed -i '/port = 3306/s/^#//g' /etc/freeradius/3.0/mods-available/sql
# sed -i '/login = "radius"/s/^#//g' /etc/freeradius/3.0/mods-available/sql
# sed -i '/password = "radpass"/s/^#//g' /etc/freeradius/3.0/mods-available/sql
# sed -i '/read_clients = yes/s/^#//g' /etc/freeradius/3.0/mods-available/sql

No próximo comando altere SENHA_USER_RADIUS para a senha de conexão do usuário radius.

# sed -i 's/radpass/SENHA_USER_RADIUS/' /etc/freeradius/3.0/mods-available/sql

Habilite os mods sql e sqlippool:

# ln -s /etc/freeradius/3.0/mods-available/sql /etc/freeradius/3.0/mods-enabled/sql
# ln -s /etc/freeradius/3.0/mods-available/sqlippool /etc/freeradius/3.0/mods-enabled/sqlippool

Desativando o TLS do Mysql

# sed -i '84,102 {s/^/##/}' /etc/freeradius/3.0/mods-available/sql
# sed -i 's/disable_tlsv1_2 = yes/disable_tlsv1_2 = no/' /etc/freeradius/3.0/mods-available/eap 
# sed -i 's/disable_tlsv1_1 = yes/disable_tlsv1_1 = no/' /etc/freeradius/3.0/mods-available/eap 
# sed -i 's/disable_tlsv1 = yes/disable_tlsv1 = no/' /etc/freeradius/3.0/mods-available/eap
# sed -i '/disable_tlsv1/s/^#//g' /etc/freeradius/3.0/mods-available/eap
# sed -i 's/tls_min_version = "1.2"/tls_min_version = "1.0"/' /etc/freeradius/3.0/mods-available/eap

Agora no arquivo /etc/freeradius/3.0/sites-enabled/default vamos comentar alguns componentes que não nos interessa (Se você entrar no arquivo e editar manualmente ele está todo comentado, auto explicativo.) e incluir alguns componentes como o SQL.

# sed -i '/^[[:space:]]*digest/s/^/## /' /etc/freeradius/3.0/sites-available/default
# sed -i '/^[[:space:]]*suffix/s/^/## /' /etc/freeradius/3.0/sites-available/default
# sed -i '/^[[:space:]]*files/s/^/## /' /etc/freeradius/3.0/sites-available/default
# sed -i '/^[[:space:]]*-ldap/s/^/## /' /etc/freeradius/3.0/sites-available/default
# sed -i '/^[[:space:]]*exec/s/^/## /' /etc/freeradius/3.0/sites-available/default
# sed -i '/^[[:space:]]*detail/s/^/## /' /etc/freeradius/3.0/sites-available/default
# sed -i '/^[[:space:]]*unix/s/^/## /' /etc/freeradius/3.0/sites-available/default
# sed -i '/^[[:space:]]*attr_filter.accounting_response/s/^/## /' /etc/freeradius/3.0/sites-available/default
# sed -i '/^[[:space:]]*-ldap/s/^/## /' /etc/freeradius/3.0/sites-available/default
# sed -i 's/-sql/sql/' /etc/freeradius/3.0/sites-available/default
# sed -i '741 s/# *//' /etc/freeradius/3.0/sites-available/default
# sed -i '958,970 {s/^/##/}' /etc/freeradius/3.0/sites-available/default
# sed -i '76 {s/^/#/}' /etc/freeradius/3.0/mods-available/sqlippool
# sed -i '77 s/# *//' /etc/freeradius/3.0/mods-available/sqlippool
# sed -i '66 s/# *//' /etc/freeradius/3.0/mods-available/sqlippool
# sed -i '/^[[:space:]]*#.*sqlippool/s/^#//' /etc/freeradius/3.0/sites-available/default

Faremos os ajustes no arquivo inner-tunnel

# cp /etc/freeradius/3.0/sites-available/inner-tunnel /etc/freeradius/3.0/sites-available/inner-tunnel.org

# sed -i '/^[[:space:]]*suffix/s/^/## /' /etc/freeradius/3.0/sites-available/inner-tunnel
# sed -i '/^[[:space:]]*files/s/^/## /' /etc/freeradius/3.0/sites-available/inner-tunnel
# sed -i '/^[[:space:]]*-ldap/s/^/## /' /etc/freeradius/3.0/sites-available/inner-tunnel
# sed -i 's/-sql/sql/' /etc/freeradius/3.0/sites-available/inner-tunnel
# sed -i '/^[[:space:]]*radutmp/s/^/## /' /etc/freeradius/3.0/sites-available/inner-tunnel
# sed -i '266 s/# *//' /etc/freeradius/3.0/sites-available/inner-tunnel
# sed -i '336,361 {s/^/##/}' /etc/freeradius/3.0/sites-available/inner-tunnel
# sed -i '370,381 {s/^/##/}' /etc/freeradius/3.0/sites-available/inner-tunnel

Verifique com o comando abaixo se a saída dos seus arquivos ficou assim:

# cat /etc/freeradius/3.0/sites-enabled/default |grep -v "#" |awk 'NF>0'

server default {
listen {
	type = auth
	ipaddr = *
	port = 0
	limit {
	      max_connections = 16
	      lifetime = 0
	      idle_timeout = 30
	}
}
listen {
	ipaddr = *
	port = 0
	type = acct
	limit {
	}
}
listen {
	type = auth
	port = 0
	limit {
	      max_connections = 16
	      lifetime = 0
	      idle_timeout = 30
	}
}
listen {
	ipv6addr = ::
	port = 0
	type = acct
	limit {
	}
}
authorize {
	filter_username
	preprocess
	chap
	mschap
	eap {
		ok = return
	}
	sql
	expiration
	logintime
	pap
	Autz-Type New-TLS-Connection {
		  ok
	}
}
authenticate {
	Auth-Type PAP {
		pap
	}
	Auth-Type CHAP {
		chap
	}
	Auth-Type MS-CHAP {
		mschap
	}
	mschap
	eap
}
preacct {
	preprocess
	acct_unique
}
accounting {
	sqlippool
	sql
}
session {
	sql
}
post-auth {
	if (session-state:User-Name && reply:User-Name && request:User-Name && (reply:User-Name == request:User-Name)) {
		update reply {
			&User-Name !* ANY
		}
	}
	update {
		&reply: += &session-state:
	}
	sqlippool
	sql
	remove_reply_message_if_eap
	Post-Auth-Type Challenge {
	}
	Post-Auth-Type Client-Lost {
	}
	if (EAP-Key-Name && &reply:EAP-Session-Id) {
		update reply {
			&EAP-Key-Name := &reply:EAP-Session-Id
		}
	}
}
pre-proxy {
}
post-proxy {
	eap
}
}

# cat /etc/freeradius/3.0/sites-enabled/inner-tunnel |grep -v "#" |awk 'NF>0'

server inner-tunnel {
listen {
       ipaddr = 127.0.0.1
       port = 18120
       type = auth
}
authorize {
	filter_username
	chap
	mschap
	update control {
		&Proxy-To-Realm := LOCAL
	}
	eap {
		ok = return
	}
	sql
	expiration
	logintime
	pap
}
authenticate {
	Auth-Type PAP {
		pap
	}
	Auth-Type CHAP {
		chap
	}
	Auth-Type MS-CHAP {
		mschap
	}
	mschap
	eap
}
session {
	sql
}
post-auth {
	sql
}
pre-proxy {
}
post-proxy {
	eap
}

SQLIPPOOL

Para muitos o o maior pesadelo DUPLICIDADE DE IPs
No Debian 12 temos a versão 3.2.1 do freeradius sendo rodada, nessa versão alguma melhorias já foram aplicadas, mas eu ainda acho falha para maioria dos IPs, então vou deixar aqui algumas alterações que tenho aplicado para uma realidade provedores que acredito que irá atender sem dores de cabeça.

Importe o banco de dados e aplique as regras de procedure.

# mariadb -u radius -p radius < /etc/freeradius/3.0/mods-config/sql/ippool/mysql/schema.sql
# mariadb -u radius -p radius < /etc/freeradius/3.0/mods-config/sql/ippool/mysql/procedure.sql 

Crie uma cópia do arquivo original, nunca se saber quando iremos precisar.

# cp /etc/freeradius/3.0/mods-config/sql/ippool/mysql/queries.conf /etc/freeradius/3.0/mods-config/sql/ippool/mysql/queries.conf.orig

Para debugs e até mesmo algum script que visa buscar por falhas ou entendimento irei criar a coluna action na tabela radippool, nela estarei gravando qual a ação/query que ele executou do queries.conf.

# mysql -u radius -p -D radius -e 'ALTER TABLE radippool ADD COLUMN \`action\` VARCHAR(20) NULL AFTER pool_key;'

Vamos pagar tudo que tem em queries.conf e criar todas as entradas.

# > /etc/freeradius/3.0/mods-config/sql/ippool/mysql/queries.conf
# vim /etc/freeradius/3.0/mods-config/sql/ippool/mysql/queries.conf

Deixei nos comentários o macimo de explicação

#
# TODOS OS IPS NA RADIPPOOL. AS POLÍTICAS SERÃO AS SEGUINTES:
# 
#  1 - Quando um novo login tentar selecionar um endereço IP pela primeira vez na "radippool", o sistema verificará 
#      se esse login já utilizou um endereço com Pool-Name que esta solicitado.
#  2 - Se o login não tiver usado nenhum endereço da Pool-Name solicitada, será atribuído aleatoriamente um novo endereço, 
#      desde que o "expiry_time" seja menor que a data e hora atual.
#  3 - Se todos os endereços IPs dentro da Pool-Name solicitada já sendo utilizado ou estiverem em estado aguardando ("waiting"), 
#      a query "allocate_find" irá verificando se o "expiry_time" é menor que a data e hora atual e assim utilizando um dos IPs 
#      em "waiting" com o "expiry_time" mais antigo. Isso é comum por exemplo quando um cliente cancela sua assinatura.
#  3 - Se todos os endereços IPs dentro da Pool-Name solicitada já estiverem sendo utilizados ou estiverem em estado de espera ("waiting"), 
#      nossa query "allocate_find" irá verificar se o "expiry_time" é menor que a data e hora atual e, assim, utilizará um dos IPs
#      em estado de espera com o "expiry_time" mais antigo. Isso é comum, por exemplo, quando um cliente cancela sua assinatura.
#  4 - Se todos os IPs da Pool-Name estiverem em uso e o "expiry_time" for maior que a data atual informada pelo lease_duration, 
#      significa que essa pool-name acabou, nesse a query "allocate_find" buscará na Pool-Name definida na variável "pool_next". 
#      Por exemplo, ao esgotar os IPs da Pool-Name "publicos", serão entregues IPs da Pool-Name "cgant".
#  5 - Se a Pool-Name solicitada e a Pool-Name definida em "pool_next" não tiverem mais endereços disponíveis, 
#      ou não forem encontradas, a responsabilidade de entregar os IPs ficará a cargo do roteador.
#
#  OBS: Escolher um IP randomicamente é mais interessante para balanceamento de carga.
#
#  Autor: Rudimar Remontti 
#


#  Usar SKIP LOCKED acelera as consultas de seleção
#  No entanto, requer MySQL >= 8.0.1 ou MariaDB >= 10.6.
#
#skip_locked = ""
skip_locked = "SKIP LOCKED"


#
#  Por padrão, ao utilizar todos os endereços IPs de uma pool, 
#  o módulo sqlippool do FreeRADIUS permite que seu roteador (NAS) 
#  distribua a pool configurada por ele.
#  Porém estarei aqui fazendo uma alteração na função "allocate_find"
#
pool_next = "cgnat"


#
#  Alocar um endereço IP já utilizado.
#
#  Se um usuário já utilizou um determinado IP, entregue 
#  para ele o mesmo endereco com "expiry_time" mais recente.
#
allocate_existing = "\
	SELECT framedipaddress FROM ${ippool_table} \
	WHERE pool_name = '%{control:${pool_name}}' \
	AND username = '%{User-Name}' \
	ORDER BY expiry_time DESC \
	LIMIT 1 \
	FOR UPDATE ${skip_locked}"


#
# Encontre um endereço IP livre no Pool-Name solicitado 
# ou no Pool-Name especificado na variável pool_next. 
# A explicação está no início deste arquivo.
#
#  Nota: Isso pode se tonar lento se você tiver mais de 30 mil IPs livres, 
#        é rerecomendo fazer um tuning no seu MariaDB/MySQL.
#
allocate_find = "\
	SELECT framedipaddress \
	FROM ${ippool_table} \
	WHERE ( \
	    CASE \
	        WHEN ( \
	            SELECT COUNT(framedipaddress) \
	            FROM radippool \
	            WHERE pool_name = '%{control:Pool-Name}' AND expiry_time < NOW() \
	            LIMIT 1 \
	        ) > 0 THEN \
	            (pool_name = '%{control:Pool-Name}' AND expiry_time < NOW()) \
	        ELSE \
	            CASE \
	                WHEN ( \
	                    SELECT COUNT(framedipaddress) \
	                    FROM radippool \
	                    WHERE pool_name = '${pool_next}' AND username = '%{User-Name}' \
	                    LIMIT 1 \
	                ) > 0 THEN \
	                    (pool_name = '${pool_next}' AND username = '%{User-Name}') \
	                ELSE \
	                    (pool_name = '${pool_next}' AND expiry_time < NOW()) \
	            END \
	    END \
	) \
	ORDER BY expiry_time ASC, RAND() \
	LIMIT 1 \
	FOR UPDATE ${skip_locked}"

#
#  Se um IP não puder ser alocado, verifique se o pool existe ou não. 
#  Isso permite que o módulo diferencie entre um pool cheio e nenhum pool.
#  Nota: Se você não estiver executando módulos de pool redundantes, esta consulta pode 
#  ser comentada para evitar executar esta consulta toda vez que um IP não for alocado.
#
pool_check = "\
	SELECT id \
	FROM ${ippool_table} \
	WHERE pool_name='%{control:${pool_name}}' \
	LIMIT 1"

#
#  Atualização dos IPs já alocado.
#
allocate_update = "\
	UPDATE ${ippool_table} \
	SET \
		nasipaddress = '%{NAS-IP-Address}', pool_key = '${pool_key}', \
		callingstationid = '%{Calling-Station-Id}', \
		username = '%{User-Name}', expiry_time = NOW() + INTERVAL ${lease_duration} SECOND, \
		action = 'allocate_update' \
	WHERE framedipaddress = '%I'"

#
#  Esta série de consultas libera um número de IP quando um registro de INÍCIO de contabilidade chega.
#
start_update = "\
	UPDATE ${ippool_table} \
	SET \
		expiry_time = NOW() + INTERVAL ${lease_duration} SECOND, \
		action = 'start_update' \
	WHERE nasipaddress = '%{NAS-IP-Address}' \
	AND pool_key = '${pool_key}' \
	AND username = '%{User-Name}' \
	AND callingstationid = '%{Calling-Station-Id}' \
	AND framedipaddress = '%{${attribute_name}}'"

#
#  Essa consulta expira um número de IP quando um registro de PARADA de contabilidade chega.
#
stop_clear = "\
	UPDATE ${ippool_table} \
	SET \
	    nasipaddress = '', \
	    pool_key = 'waiting', \
	    callingstationid = '', \
		expiry_time = NOW() - INTERVAL 2 SECOND, \
		action = 'stop_clear' \
	WHERE nasipaddress = '%{%{Nas-IP-Address}:-%{Nas-IPv6-Address}}' \
	AND pool_key = '${pool_key}' \
	AND username = '%{User-Name}' \
	AND callingstationid = '%{Calling-Station-Id}' \
	AND framedipaddress = '%{${attribute_name}}'"

#
#  Atualização do IP quando está em utilização, a atualização é feita 
#  a cada x tempo (interim-update/Acct-Interim-Interval) aumenta o tempo definido em "lease_duration"
#
alive_update = "\
	UPDATE ${ippool_table} \
	SET \
		expiry_time = NOW() + INTERVAL ${lease_duration} SECOND, \
		action = 'alive_update' \
	WHERE nasipaddress = '%{%{Nas-IP-Address}:-%{Nas-IPv6-Address}}' \
	AND pool_key = '${pool_key}' \
	AND username = '%{User-Name}' \
	AND callingstationid = '%{Calling-Station-Id}' \
	AND framedipaddress = '%{${attribute_name}}'"


#
#  Libera todos os endereços IP alocados a um NAS quando este é ligado ou reiniciado. 
#  Exemplo que uma falha de energia.
#  
on_clear = "\
	UPDATE ${ippool_table} \
	SET \
		expiry_time = NOW() + INTERVAL ${lease_duration} SECOND, \
		action = 'on_clear' \
	WHERE nasipaddress = '%{%{Nas-IP-Address}:-%{Nas-IPv6-Address}}'"


#
#  Libera todos os endereços IP alocados a um NAS quando este é desligado ou fica offline.
#
off_clear = "\
	UPDATE ${ippool_table} \
	SET \
		expiry_time = NOW(), \
		action = 'off_clear' \
	WHERE nasipaddress = '%{%{Nas-IP-Address}:-%{Nas-IPv6-Address}}'"

É interessante você ajustar o tempo lease_duration = 3600 que por padrão é de 1h no arquivo /etc/freeradius/3.0/mods-available/sqlippool, para mim obtive resultados melhores com 30min, porém sempre respeitando o tempo de Acct-Interim-Interval que deve ser um tempo menor, entre 5 a 10 minutos, para evitar duplicidades de IPs.
Falo sobre isso no tutorial https://blog.remontti.com.br/4085 recomendo a leitura!

# sed -i 's/lease_duration = 3600/lease_duration = 1200/' /etc/freeradius/3.0/mods-available/sqlippool
# systemctl  restart freeradius

Caso você tenha uma alta demanda de requisições você deve fazer algumas alterações no radiusd.conf.
Altere conforme sua necessidade, e hardware de seu servidor. Vale lembrar que fazendo essas alterações pode ser necessário alterar o limite de conexões ao MariaDB. Não abuse nessas configurações recomendo ler a documentação.

# vim /etc/freeradius/3.0/radiusd.conf

Você pode começar dobrando os valores, ex.:

[...]
thread pool {
        start_servers = 10
        max_servers = 64
        min_spare_servers = 6
        max_spare_servers = 20
        max_queue_size = 131072
        max_requests_per_server = 0
        auto_limit_acct = no
}
[...]

Em grande escalas é importante que você também realize um tuning no MariaDB. Recomendo:
- https://github.com/major/MySQLTuner-perl
- https://github.com/BMDan/tuning-primer.sh

Finalizando

Habilite o freeradius para começar junto com a inicialização do sistema

# systemctl enable freeradius

Pare o serviço e inicie em modo debug

# systemctl stop freeradius
# freeradius -X

Se nenhum erro acontecer uma mensagem com: Ready to process requests aparecer parabéns seu freeradius está funcionando. Através do comando debug você consegue acompanhar as ações que o freeradius irá fazer, ótimo para estudos e entendimento. Para encerrar o modo debig use Crtl+c, e então inicie o serviço de forma normal.

# systemctl start freeradius

Para integrar seu servidor freeradius para fazer autenticações PPPoE, Hotspot, Wireless PSK/EAP entre outras, você precisa aprender mais sobre as tabelas do banco de dados e quais atributos usar em cada situação sempre pensando na segurança. Você pode acessar https://blog.remontti.com.br/4085 onde irá encontra alguns modelos de autenticação que atente praticamente todos os cenários de provedores.

Gostou? Quer me ajudar?

Se quiser fazer uma doação para o café ficarei muito feliz pelo seu reconhecimento!

Se não puder doar pode deixar seu agradecimento nos comentário também ficarei feliz em saber que ajudei. Se tiver qualquer pergunta deixe-a também. Se preferir entrar em Contato clique aqui.

Participe do canal no telegram para ficar atualizado sempre que publicar um novo tutorial.

Abraço!

Resolução de problema:

Se seu login conter @ no entanto não terminar como domínio padrão exemplo user@dom.xxx.yy user@dom.xxx, e sim apenas user@dom edite:

# vim /etc/freeradius/3.0/policy.d/filter

Altere para accept o seguinte filtro:

        if ((&User-Name =~ /@/) && (&User-Name !~ /@(.+)\.(.+)$/))  {
            update request {
                &Module-Failure-Message += 'Rejected: Realm does not have at least one dot separator'
            }
            #reject
            accept
        }

Fonte:
https://wiki.freeradius.org/guide/SQL-HOWTO
https://wiki.freeradius.org/modules/Rlm_sql
https://wiki.freeradius.org/modules/Rlm_sqlippool

O post Instalação FreeRadius no Debian 12 Bookworm (Extra sqlippool) apareceu primeiro em Remontti.

Neste tutorial você adquirirá conhecimentos e habilidades relacionadas à análise de fluxo de rede bem como a área de segurança. Você poderá examinar os dados de fluxo de rede capturados e identificar padrões, tendências e anomalias no tráfego de rede. Isso pode ajudar a detectar atividades suspeitas, como ataques cibernéticos, tráfego malicioso ou congestionamentos.

Distribuição Utilizada

Debian 12 bookworm (Instalação Limpa)

Requisitos de hardware

Para o que vamos utilizar aqui não precisamos nada tão agressivo, porém o armazenamento vai depender muito de quanto tempo você for deixar salvo, em média você pode colocar 2GB a 4GB (por source) de dados por dias (mas isso é bem relativo), em questão de CPU e memoria 2 CPU e 2GB de memória já da conta, mas se puder coloca mais melhor para processar os dados.

Pacotes Requeridos

# apt install \
 curl wget unzip man-db tcpdump htop tree dialog git \
 build-essential autoconf pkg-config flex byacc bison \
 php php-dev apache2 libapache2-mod-php autogen \
 libtool librrd-dev libbz2-dev libpcap-dev rrdtool \
 libcurl4-openssl-dev librrds-perl libsocket6-perl \
 librrdp-perl libio-socket-inet6-perl libmailtools-perl \
 libnet-telnet-perl libnet-whois-ip-perl libnet-snmp-perl \
 libio-socket-ssl-perl libgd-perl git -y

Crie o diretório onde iremos baixar nossos arquivos extras

# mkdir /root/nf

NFDUMP

NFDUMP é um conjunto de ferramentas para coletar e processar dados netflow/ipfix e sflow, enviados de dispositivos compatíveis com netflow/sflow.

O conjunto de ferramentas contém vários coletores para coletar dados de fluxo:

• nfcapd suporta netflow v1, v5/v7, v9 e IPFIX
• sfcapd suporta sflow.
• nfpcapd converte dados pcap lidos de uma interface de host ou de arquivos pcap.

O nfdump possui um filtro de fluxo muito poderoso para processar fluxos. A sintaxe do filtro é muito semelhante ao tcpdump, mas adaptada e estendida para filtragem de fluxo. Um filtro de fluxo também pode conter matrizes de muitos milhares de endereços IP, etc., para pesquisar registros específicos.

O nfdump pode agregar fluxos de acordo com um número de elementos definido pelo usuário. Isso mascara certos elementos e permite somar registros de fluxo correspondentes aos mesmos valores.

A combinação de filtragem e agregação de fluxo como entrada para qualquer estatística de fluxo permite processamento de fluxo complexo. Os dados de fluxo pré-filtrados e agregados também podem ser gravados de volta em um arquivo de fluxo binário, que novamente pode ser processado com nfdump

O nfdump pode enriquecer a listagem de fluxos com informações de localização geográfica e informações de AS, a menos que as informações de AS já estejam disponíveis nos registros de fluxo. Os endereços IP podem ser marcados com um código de país de duas letras ou com uma etiqueta de localização mais longa contendo a região geográfica, o país e a cidade. A localização geográfica e as informações AS são recuperadas do banco de dados geoDB opcional, criado pelo programa geolookup das ferramentas nfdump. geolookup usa o banco de dados Maxmind GeoDB ou GeoLite2 para criar um banco de dados de pesquisa binária para nfdump.

Instalação:
O nfdump até se encontra no repositório do Debian 12 (na versão 1.7.1) como um serviço de coleta, como a ideia é mais voltada a depois utilizar o nfsen, irei baixar a ultima versão que inclusive tem alguns recursos interessantes que você pode se aprofundar posteriormente.

# mkdir /root/nf
# cd /root/nf
# git clone https://github.com/phaag/nfdump.git
# cd nfdump
# ./autogen.sh

Na compilação podemos ativar algumas features adicionais, para ver mais sobre use o comando:

# ./configure --help

Estarei instalando as seguintes: (–enable-influxdb –enable-maxmind opcional)

# ./configure --enable-nfprofile --enable-nftrack --enable-jnat --enable-influxdb --enable-maxmind 
# make ; make install

Atualize o cache das bibliotecas dinâmicas.

# ldconfig

Iremos ter uma lista de novos binários em /usr/local/bin/

├── geolookup
├── nfanon
├── nfcapd
├── nfdump
├── nfexpire
├── nfprofile
├── nfreplay
├── nftrack
└── updateGeoDB.sh

Configure seu roteador para enviar dados de netflow para porta 2055, e com o comando a baixo vamos analisar se os mesmo estão chegando em nosso servidor e capturados pelo nfcap.

# nfcapd -E -p 2055 -w /tmp/

Verbose log level: 3
Add flow source: ident: none, IP: any IP, flowdir: /tmp
Bound to IPv4 host/IP: any, Port: 2055
Init v1
Init v5/v7: Default sampling: 1
Init v9: Max number of v9 tags enabled: 105, default sampling: 1
Init IPFIX: Max number of ipfix tags enabled: 88, default sampling: 1
Startup nfcapd.
Process_v9: New v9 exporter: SysID: 1, Domain: 2166325505, IP: 10.10.10.255
Process_v9: New v9 exporter: SysID: 2, Domain: 18841857, IP: 10.10.10.255
^CFile Block Header: type: 3, size: 64, NumRecords: 2
Ident: 'none' Flows: 0, Packets: 0, Bytes: 0, Sequence Errors: 0, Bad Packets: 0
Terminating nfcapd.

Ctrl+C Para cancelar (Não precisa deixar em execução, deixe apenas alguns segundos para ver se esta chegando os flows)

# ls -lh /tmp/nfcapd.*

Se tudo ocorreu bem você ira ter uma arquivo da captura com o nome nfcapd.AAAAMMDDHHMM [ANO MÊS DIA HORA MINUTO]

-rw-r--r-- 1 root root 149K jul 11 14:54 /tmp/nfcapd.202307111450

Nfdump é muito poderoso, para dar apenas uma provinha do que estamos falando testes os comandos a baixo para visualizar as saídas. O ultimo comando você vai gostar!

# nfdump -r /tmp/nfcapd.202307111450
# nfdump -r /tmp/nfcapd.202307111450 dst ip 8.8.8.8
# nfdump -r /tmp/nfcapd.202307111450 dst ip 8.8.8.8 and dst port 53
# nfdump -r /tmp/nfcapd.202307111500 dst port 80 or dst port 443 -s srcip/bytes
# nfdump -r /tmp/nfcapd.202307111450 -s record/bytes
# nfdump -r /tmp/nfcapd.202307111450 -s dstip/bytes
# nfdump -r /tmp/nfcapd.202307111450 -s dstas/bytes
# nfdump -r /tmp/nfcapd.202307111450 -s dstas/bytes
# nfdump -r /tmp/nfcapd.202307111450 'net 200.200.200.0/22 and (dst port 80 or dst port 443)' -s dstas/bytes -n 20

Para mais informações de como utiliza-lo use comando man para ver o manual do nfdump.

# man nfdump

Mas não se preocupe ainda em aprender todas as possibilidades, para isso vamos aprender agora utilizar duas ferramentar que poderão ser uteis para você. Mas ler esse manual não vai cair o braço.

NFSEN

O NfSen é uma ferramenta de código aberto para análise e visualização de dados de fluxo de rede. Com uma interface web intuitiva (estilo anos 90 ), ele coleta registros de fluxo de diferentes dispositivos e os apresenta de forma compreensível. Além disso, oferece recursos avançados, como detecção de ataques e armazenamento de dados de fluxo histórico, tornando-o uma opção popular para monitoramento e solução de problemas em redes de grande porte.

# cd /root/nf
# wget https://github.com/phaag/nfsen/archive/v1.3.9.tar.gz
# tar -vxzf v1.3.9.tar.gz
# cd nfsen-1.3.9
# sed -i 's/\$USER\s*=\s*"netflow";/\$USER    = "www-data";/' etc/nfsen-dist.conf
# sed -i 's/\$WWWUSER\s*=\s*"www";/\$WWWUSER  = "www-data";/' etc/nfsen-dist.conf
# sed -i 's/\$WWWGROUP\s*=\s*"www";/\$WWWGROUP = "www-data";/' etc/nfsen-dist.conf
# sed -i 's/\$HTMLDIR\s*=\s*"\/var\/www\/nfsen\/";/\$HTMLDIR    = "\/var\/www\/html\/nfsen\/";/' etc/nfsen-dist.conf
# sed -i 's/\$BUFFLEN = 200000;/\$BUFFLEN = 1073741824;/' etc/nfsen-dist.conf

Vamos definir nosso enviadores de fluxos (sim você pode enviar de vários locais)

# vim etc/nfsen-dist.conf

Procure pela seguintes linhas:

%sources = (
    'Borda'        => { 'port' => '2055', 'col' => '#0D47A1', 'type' => 'netflow' },
    'Cgnat'        => { 'port' => '3055', 'col' => '#B71C1C', 'type' => 'netflow' },
);

No exemplo acima estarei incluindo analise do meu Cgnat para fins de investigação de problemas (Mas se prepare que os arquivos capturados serão gigantes). Vale lembrar que para cada source a porta não pode ser a mesma!

Caso você queira adicionar ou remover um novo source edite o arquivo /data/nfsen/etc/nfsen.conf e rode o comando /data/nfsen/bin/nfsen reconfig

Vamos criar o diretório /data/nfsen onde ficarão nossos dados do sistema.

# mkdir -p /data/nfsen
# ./install.pl etc/nfsen-dist.conf

De um ENTER ao perguntar: Perl to use: [/usr/bin/perl]

  Check for required Perl modules: All modules found.
  Setup NfSen:
  Version: 1.3.9: install.pl 2022-12-19

  Perl to use: [/usr/bin/perl]  [ENTER]
  Setup php and html files.
  mkdir /var/www/html/nfsen/

  Copy NfSen dirs etc bin libexec plugins doc ...
  Copy config file '/etc/nfsen.conf'

  In directory: /data/nfsen/bin ...
  Update script: nfsen
...
...

Vamos ajustar o timezone do PHP

# vim /etc/php/8.2/apache2/php.ini

Localize e altere: (remova “;” do início para descomentar)

date.timezone = 'America/Sao_Paulo'

# vim /etc/php/8.2/cli/php.ini

Localize e altere:

date.timezone = 'America/Sao_Paulo'

Reinicie p apache

# systemctl restart apache2

Agora vamos criar um serviço no systemd para nosso amigo nfsen

# ln -s /data/nfsen/bin/nfsen /etc/init.d/nfsen

Crie o arquivo:

# vim /lib/systemd/system/nfsen.service

Adicione:

[Unit]
Description=nfsen
After=network-online.target

[Service]
Type=simple
#Type=oneshot
RemainAfterExit=yes
ExecStart=/data/nfsen/bin/nfsen start
ExecStop=/data/nfsen/bin/nfsen stop
ExecReload=/data/nfsen/bin/nfsen restart
 
[Install]
WantedBy=multi-user.target

Recarregue o daemon e vamos por para rodar

# systemctl daemon-reload
# systemctl enable nfsen
# systemctl start nfsen
# systemctl status nfsen

Verificar logs

# journalctl -u nfsen 
# journalctl -u nfsen -p err

Vamos ver se as portas estão na escuta

# ss -putan | grep nfcapd

udp   UNCONN 0      0     0.0.0.0:2055     0.0.0.0:*     users:(("nfcapd",pid=20756,fd=3))
udp   UNCONN 0      0     0.0.0.0:3055     0.0.0.0:*     users:(("nfcapd",pid=20752,fd=3))

Se quiser testar se algo esta chegando o tcpdump pode ser uma boa escolha também.

# tcpdump -i enp0s3 -n udp port 2055 -T cnfp -c 10
# tcpdump -i enp0s3 -n udp port 3055 -T cnfp -c 10

Vamos entender como os dados vão ser armazenados
Em /data/nfsen/profiles-data/live/ todos nossos sources terão uma pasta, outra pasta com ano, mes, dia. Cada arquivos criado tem um intervalo de 5 minutos. Aguarde uns 15min e rode o seguinte comando:

# tree /data/nfsen/profiles-data/live/

Iremos ver que alguns arquivos e diretórios já foram criados.

├── Borda
│   ├── 2023
│   │   └── 07
│   │       └── 11
│   │           ├── nfcapd.202307111600
│   │           ├── nfcapd.202307111605
│   │           ├── nfcapd.202307111610
│   │           ├── nfcapd.202307111615
│   │           └── nfcapd.202307111620
│   └── nfcapd.current.29124
└── Cgnat
    ├── 2023
    │   └── 07
    │       └── 11
    │           ├── nfcapd.202307111600
    │           ├── nfcapd.202307111605
    │           ├── nfcapd.202307111610
    │           ├── nfcapd.202307111615
    │           └── nfcapd.202307111620
    └── nfcapd.current.29128

9 directories, 12 files

Projeto não tem uma index então para não precisar informar na url nfsen.php crie um atalho apontando para index.php

# ln -s /var/www/html/nfsen/nfsen.php /var/www/html/nfsen/index.php

Agora acesse: http://__endereco_servidor/nfsen/
E temos nossa bela interface anos 90! Não me preocupo com isso, a ferramenta é o que importa. Recomendo você dar uma olha na documentação.

NFSEN-NG

O projeto NfSen-NG é uma implementação melhorada do NfSen, que oferece recursos avançados para coleta, análise e visualização de dados de tráfego de rede. Com sua interface web intuitiva e poderosa, o “nfsen-ng” permite aos usuários monitorar e analisar o tráfego em tempo real, realizar pesquisas detalhadas em dados históricos e criar relatórios personalizados, facilitando a detecção de problemas, a análise de desempenho e a tomada de decisões relacionadas à rede.

# cd /var/www/html
# git clone https://github.com/mbolli/nfsen-ng /var/www/html/nfsen-ng
# cd /var/www/html/nfsen-ng/
# chmod +x backend/cli.php
# cp backend/settings/settings.php.dist backend/settings/settings.php
# mkdir /var/www/html/nfsen-ng/backend/datasources/data/
# chown -R www-data: /var/www/html/nfsen-ng/

Vamos fazer alguns ajustes para ler nossa mesma base de dados do nfsen.

# vim backend/settings/settings.php

Localize os sources.

        'sources' => array(
            'source1', 'source2',
        ),

Informe os seus:

        'sources' => array(
            'Borda', 'Cgnat',
        ),

Se desejar incluir algumas porta para analisar os gráficos.

        'ports' => array(
            80, 22, 53,
        ),

No meu vou alterar para:

        'ports' => array(
            0, 22, 53, 80, 443,
        ),

Localize e altere:

        'binary' => '/usr/bin/nfdump',
        'profiles-data' => '/var/nfdump/profiles-data',

Por

        'binary' => '/usr/local/bin/nfdump',
        'profiles-data' => '/data/nfsen/profiles-data',

Enable apache modules

# a2enmod rewrite expires

Configure a biblioteca RRD para o PHP

# pecl install rrd
# echo "extension=rrd.so" > /etc/php/8.2/mods-available/rrd.ini
# phpenmod rrd

Configure virtual host para ler o .htaccess

# vim /etc/apache2/sites-available/000-default.conf

Deve ficar assim:

<VirtualHost *:80>
    ServerAdmin webmaster@localhost
    DocumentRoot /var/www/html

    <Directory /var/www/html/>
        Options FollowSymLinks Indexes
        AllowOverride All
    </Directory>

    ErrorLog ${APACHE_LOG_DIR}/error.log
    CustomLog ${APACHE_LOG_DIR}/access.log combined
</VirtualHost>

Reinicie o serviço web

# systemctl restart apache2

Vamos criar um “serviço” no systemd para iniciar o /var/www/html/nfsen-ng/backend/cli.php.

# vim /lib/systemd/system/nfsen-ng.service

Adicione?

[Unit]
Description=nfsen-ng
After=network-online.target
 
[Service]
Type=simple
RemainAfterExit=yes
ExecStart=su - www-data --shell=/bin/bash -c '/var/www/html/nfsen-ng/backend/cli.php start'
ExecStop=su - www-data --shell=/bin/bash -c '/var/www/html/nfsen-ng/backend/cli.php stop'
 
[Install]
WantedBy=multi-user.target

Recarregue o daemon e vamos por para rodar

# systemctl daemon-reload
# systemctl enable nfsen-ng
# systemctl start nfsen-ng
# systemctl status nfsen-ng

Acesse agora: http://__endereco__/nfsen-ng/

Utilizando um filtro Ex: “dst as 15169 OR dst as 2906 OR dst as 32934” obtém um informações com destino aos 3 AS.

Se notar na parte verde temos o comando executado no terminal

# nfdump -M '/data/nfsen/profiles-data/live/Borda' -R '2023/07/11/nfcapd.202307111605:2023/07/11/nfcapd.202307111730' -s 'dstas/pps' 'dst as 15169 OR dst as 2906 OR dst as 32934'

Pode ser um bom “meio de você aprender os comandos”.

Algo legal do NfSen-Ng é que ele tem uma API: http://__endereco__//nfsen-ng/api/config de uma lida em https://github.com/mbolli/nfsen-ng/blob/master/README.md como utiliza, com um pouco de imaginação você pode fazer algumas coisas bem legais.

Script para ir apagando arquivos mais antigos

# mkdir /root/scripts/
# vim /root/scripts/faxina_nf.sh

Adicione (ajuste os dias para realidade do seu disco)

#!/bin/bash
  
# Defina o diretório do NFSen
nf_dir="/data/nfsen/profiles-data/live/"

#Define o número de dias a ser removido
ref_date=$(date -d '60 days ago' +%Y%m%d)

# Ativar o modo de depuração
debug=false

# Percorre os diretórios e exclui os arquivos antigos
find "$nf_dir" -type f -name 'nfcapd.*' | while read -r file; do
    # Obtém a data do arquivo em vez do diretório
    file_date=$(date -r "$file" +%Y%m%d)
    if [[ "$file_date" -lt "$ref_date" ]]; then
        if [[ "$debug" = true ]]; then
            echo "$(date -r "$file") - $file excluído"
        fi
        rm "$file"
    fi
done

Agende o script para roda todos os dias as 4h da manhã

# crontab -e

Adcione

# m h  dom mon dow   command
# Apaga coletas
00 04  *   *   *     /root/scripts/faxina_nf.sh

Reinicie o cron

# systemctl  restart cron

Para verificar o tamanho do diretório use o comando

# du -sh /data/nfsen/profiles-data/live/

E para ver o disco use:

# df -h

Gostou e quer me ajudar manter o blog?

Se quiser fazer uma doação para o café ficarei muito feliz pelo seu reconhecimento!

Se não puder doar pode deixar seu agradecimento nos comentário também ficarei feliz em saber que ajudei. Se tiver qualquer pergunta deixe-a também. Se preferir entrar em Contato clique aqui.

Abraço!

Fonte:
https://github.com/phaag/nfdump
https://github.com/phaag/nfsen
https://nfsen.sourceforge.net/
https://github.com/mbolli/nfsen-ng
https://github.com/phaag/nfinflux
https://github.com/phaag/nfexporter
https://github.com/phaag/go-nfdump

O post Guia passo a passo: Instalando NFDUMP, NFSEN e NFSEN-NG para Análise de Fluxo de Rede no Debian 12 Bookworm apareceu primeiro em Remontti.

O Grafana é um software livre que permite a visualização de formato de dados métricos. Ele permite criar painéis e gráficos a partir de várias fontes, e neste tutorial vamos aprender a instala-lo e integrar com o Zabbix.

Requisitos:

Debian
Instalação Debian 12 Bookworm
Instalação Debian 11 Bullseye
Zabbix:
Instalação do Zabbix 7 LTS + NGINX + PostgreSQL + Debian 12 Bookworm
Instalação do Zabbix 6 LTS + NGINX + PostgreSQL + Debian 12 Bookworm
Instalação do Zabbix 6 LTS + NGINX + PostgreSQL + Debian 11 Bullseye

Vamos baixar a key do repositório e adiciona-lo

# apt install gnupg2 apt-transport-https software-properties-common wget
# wget -q -O - https://apt.grafana.com/gpg.key | \
 gpg --dearmor | tee /etc/apt/keyrings/grafana.gpg > /dev/null
# echo "deb [signed-by=/etc/apt/keyrings/grafana.gpg]\
 https://apt.grafana.com stable main" > /etc/apt/sources.list.d/grafana.list

Atualize o repositório e instale o grafana

# apt update; apt install grafana -y 

Já aconteu dos desenvolvedores remover do repositório o pacote grafana, nesse caso acesse:
https://grafana.com/grafana/download?edition=oss e faça a instalação de forma manual.

Proxy com Nginx grafana

Se você esta usando como servidor web o Nginx para acessar o grafana através de um domínio faça: (se o seu for apache pule)

# vim /etc/nginx/sites-available/grafana.conf

Adicione:

server {
    listen 80;
    listen [::]:80;

    server_name grafana.remontti.com.br;

    # Descomente para restringir o acesso apenas aos IPs Listados
    # allow 127.0.0.1;
    # allow ::1;
    # allow 192.168.0.0/16;
    # allow 2801:db8::/32;
    # deny  all;
    # error_page  403   http://www.remontti.com.br;
 
    location / {
        proxy_pass http://127.0.0.1:3000;  # Porta padrão do Grafana
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header X-Forwarded-Proto $scheme;
        proxy_read_timeout 90;

        # Suporte a WebSocket
        proxy_http_version 1.1;
        proxy_set_header Upgrade $http_upgrade;
        proxy_set_header Connection "upgrade";
        proxy_cache_bypass $http_upgrade;
    }
}

Cria o link para sites-enabled em seguida verifique as configurações e reinicie o serviço.

# ln -s /etc/nginx/sites-available/grafana.conf /etc/nginx/sites-enabled/
# nginx -t
# systemctl restart nginx

Proxy com Apache grafana

Se você esta usando como servidor web o Apache para acessar o grafana através de um domínio faça:

# a2enmod rewrite; a2enmod headers; a2enmod proxy ; a2enmod proxy_http ; 
mkdir /var/www/grafana

# vim /etc/apache2/sites-available/grafana.conf

Adicione:

<VirtualHost *:80>
	Protocols h2 http/1.1
	ServerName grafana.remontti.com.br
	ServerAdmin noc@remontti.com.br
	DocumentRoot /var/www/grafana

	ErrorDocument 403 http://www.remontti.com.br

	<Directory /var/www/grafana/>
		Options Indexes FollowSymLinks
		AllowOverride all
		# Descomente para restringir o acesso apenas aos IPs Listados
		# Require ip 127.0.0.1 ::1 200.200.200.0/26 2001:db8:cafe::/48
	</Directory>

	LogLevel warn

	ProxyPreserveHost On
	ProxyPass / http://127.0.0.1:3000/
	ProxyPassReverse / http://127.0.0.1:3000/

	ErrorLog ${APACHE_LOG_DIR}/grafana_error.log
	CustomLog ${APACHE_LOG_DIR}/grafana_access.log combined
	TransferLog ${APACHE_LOG_DIR}/grafana_access.log

</VirtualHost>

Ative a nova configuração e reinicie o Apache:

# a2ensite grafana
# systemctl restart apache2

Vamos fazer alguns ajustes:

# vim /etc/grafana/grafana.ini

Como utilizei um proxy irei executar o grafana apenas em modo localhost para que a porta 3000 fique aberta apenas para ele mesmo. Localize ;http_addr = e deixe assim:

http_addr = 127.0.0.1

Em ;domain = ajuste para seu domínio.

domain = grafana.remontti.com.br

E ajuste a ;root_url = %(protocol)s://%(domain)s:%(http_port)s/ para:

root_url = %(protocol)s://%(domain)s/

Instale o Plugin Zabbix

# grafana-cli plugins install alexanderzobnin-zabbix-app

É recomendado que mensalmente você faça atualizações dos plugins instalados, com o comando:

# grafana-cli plugins update-all

Depois da versão 11.1 existe um bug que acaba nao dando permissão para o usuário grafana ler/gravar em /var/lib/grafana/plugins, então corrija utilizando o comando:

# chown -R grafana: /var/lib/grafana/plugins

Agora sim colocamos o Grafana para iniciar junto com a inicialização, ativamos e inicializamos o serviço:

# systemctl daemon-reload
# systemctl enable grafana-server
# systemctl start grafana-server

Acesse em seu navegador seu “http://grafana._______.___.__” ou então http://IP_URL:3000 ou pela porta que você alterou. O nome de usuário padrão é admin e a senha padrão é admin.

Se caso perder a senha de admin pode resetar ela com o comando:

grafana-cli admin reset-admin-password admin

Ao fazer login pela primeira vez, você será solicitado a alterar sua senha.

Integração com a base de dados Zabbix

Acesse o Menu (1) Administration (2) Plugins(3) Localize o Zabbix e clique no mesmo.

Escreva na pesquisa (1) Zabbix e em seguida clique sobre (2)

Clique em Enable (1)

Volte ao Menu (1) abra Connections (2) Clique em Data sources (3)

Clique em Add data sourece

Escreve na busca (1) Zabbix e clique nele (2)

Agora em URL http://localhost/api_jsonrpc.php se você seguiu o tutorial do bloque para instalação do zabbix com domínio deve ter visto uma alias também para localhost, caso contrário informe os dados correto da URL do seu Zabbix.

Role mais um pouco e informe o usuário e senha do zabbix (eu gosto de criar um usuário só para isso)

Clique em Save & test (1) Se tudo ocorrer bem você receberá uma mensagem de sucesso (2)

Volte ao Menu, Connections, Data source (1) e clique em Add new data source (2)

Iremos adicionar o Postgresql para otimizar as consultas no zabbix, isso faz total diferença em otimização! Então pesquise (1) por Postgresql e clique sobre (2)

Informe os dados de conexão com o Postgres qual usou na instalação da base do zabbix.

Role para baixo e selecione a versão (1) do seu PostgreSQL. Para Debian 12 a versão é a 15, e para Debian 11 a versão é a 13. Em Seguida Clique em Save & Test (2) Se uma mensagem de sucesso (3) aparecer tudo funcionou!

Volte ao Menu, Connections, Data source (1) e clique em Zabbix (2)

Role até achar Direct DB Connection (1) e clique em enable (2), em Data Source selecione PostgreSQL (3) em seguida clique em Save & Test (4), você receberá uma mensagem de sucesso (5)

Agora vem a parte mais “legal” que é você montar seus gráficos, como isso é algo bem peculiar de cada um, o intuito aqui era ensinar instalar. Recomendo a leitura de Introdução ao Grafana-Zabbix do autor do plugin.

Simples né? Gostou e quer me ajudar?

Se quiser fazer uma doação para o café ficarei muito feliz pelo seu reconhecimento!

Se não puder doar pode deixar seu agradecimento nos comentário também ficarei feliz em saber que ajudei. Se tiver qualquer pergunta deixe-a também. Se preferir entrar em Contato clique aqui.

Abraço!

Fontes:
https://grafana.com/docs/grafana/latest/installation/debian/
https://grafana.com/grafana/plugins/alexanderzobnin-zabbix-app
https://www.zabbix.com/documentation/

O post Instalação do Grafana 11> com integração com Zabbix – (Debian 11 Bullseye/12 Bookworm) apareceu primeiro em Remontti.

O Zabbix é uma solução de nível enterprise, de código aberto. O Zabbix é um software que monitora vários parâmetros da rede, dos servidores e da saúde dos serviços. Utiliza-se de um mecanismo flexível de notificação que permite configurar alertas por e-mail entre outros como Telegram, para praticamente qualquer evento. As notificações permitem que se reaja rapidamente à problemas no ambiente. O Zabbix oferece excelentes recursos de relatórios e visualização de dados armazenados. Isso faz com que o Zabbix seja a ferramenta ideal para planejamento de capacidade.

Requisitos Debian 12 Bookworm

– Instalação do Debian 12 Bookworm limpa passo-a-passo
– Servidor WEB NGINX + PHP 8.2 + PostgreSQL +Let’s Encrypt Debian 12 Bookworm (LNP)

Instalação do Zabbix 6 LTS

Para instalação do Zabbix vamos incluir o repositório do oficial do Zabbix Versão 6 LTS.

# su -
# cd /tmp
# apt install wget

Repositório Debian 12

# cd /tmp/
# wget https://repo.zabbix.com/zabbix/6.0/debian/pool/main/z/zabbix-release/zabbix-release_6.0-5+debian12_all.deb
# apt install ./zabbix-release_6.0-5+debian12_all.deb
# apt update; apt upgrade -y; apt update

# apt install zabbix-server-pgsql zabbix-frontend-php php-pgsql zabbix-nginx-conf zabbix-sql-scripts zabbix-agent

Vamos criar uma base de dados chamada zabbix e um usuário também chamado de zabbix no PostgreSQL.
Não esqueça de alterar a senha: Use o gerador de senha: https://senhasegura.remontti.com.br/

# su - postgres
$ createuser --pwprompt zabbix
Digite a senha para a nova role:  <SENHA ZABBIX>
Digite-a novamente: <SENHA ZABBIX>
Senha: <SENHA POSTGRES CASO TENHA DEFINIDO NA INSTALAÇÃO DO MESMO>

$ createdb -O zabbix zabbix
Senha: <SENHA POSTGRES>

Importe o esquema inicial e os dados. Você será solicitado a inserir a senha que foi criada anteriormente.

$ zcat /usr/share/zabbix-sql-scripts/postgresql/server.sql.gz | psql -U zabbix -d zabbix &>/dev/null
Senha para usuário zabbix: : <SENHA ZABBIX>
$ exit

Edite o arquivo zabbix_server.conf para informar os dados para conexão com do PostgreSQL.

# vim /etc/zabbix/zabbix_server.conf

Procure por # DBPassword= descomente e sete sua senha.

#...
DBPassword=<SENHA ZABBIX>
#...

Ajuste o arquivo /etc/zabbix/php-fpm.conf, descomente e defina o fuso horário correto. timezone Sua região.

# vim /etc/zabbix/php-fpm.conf

Adicione:

php_value[date.timezone] = America/Sao_Paulo

Ajuste as configurações do nginx.

# vim /etc/nginx/conf.d/zabbix.conf 

Deixei algumas linhas comentadas como exemplo, faça de acordo com sua necessidade.

server {
        listen 80;
        listen [::]:80;
        server_name    zabbix.remontti.com.br localhost;
        #server_name   OU_SEU_IP;

        # Metodo simples para quem quer rodar em uma determinada porta
        #listen 8181;
        #listen [::]:8181;
        #server_name     _;

        root    /usr/share/zabbix;
        index   index.php;

        # Desmomente para deixar restringido apenas para determinados prefixos
        #allow  192.168.87.0/24;
        #allow  127.0.0.1;
        #allow  2001:0db8::/32;
        #allow  ::1;
        #deny   all;
        #error_page  403   http://www.remontti.com.br;

        client_max_body_size 100M;
 
        location = /favicon.ico {
                log_not_found   off;
        }

        location / {
                try_files       $uri $uri/ =404;
        }

        location /assets {
                access_log      off;
                expires         10d;
        }

        location ~ /\.ht {
                deny            all;
        }

        location ~ /(api\/|conf[^\.]|include|locale) {
                deny            all;
                return          404;
        }

        location ~ [^/]\.php(/|$) {
                fastcgi_pass    unix:/var/run/php/zabbix.sock;
                fastcgi_split_path_info ^(.+\.php)(/.+)$;
                fastcgi_index   index.php;

                fastcgi_param   DOCUMENT_ROOT   /usr/share/zabbix;
                fastcgi_param   SCRIPT_FILENAME /usr/share/zabbix$fastcgi_script_name;
                fastcgi_param   PATH_TRANSLATED /usr/share/zabbix$fastcgi_script_name;

                include fastcgi_params;
                fastcgi_param   QUERY_STRING    $query_string;
                fastcgi_param   REQUEST_METHOD  $request_method;
                fastcgi_param   CONTENT_TYPE    $content_type;
                fastcgi_param   CONTENT_LENGTH  $content_length;

                fastcgi_intercept_errors        on;
                fastcgi_ignore_client_abort     off;
                fastcgi_connect_timeout         60;
                fastcgi_send_timeout            180;
                fastcgi_read_timeout            180;
                fastcgi_buffer_size             128k;
                fastcgi_buffers                 4 256k;
                fastcgi_busy_buffers_size       256k;
                fastcgi_temp_file_write_size    256k;
        }
}

Inicie o servidor Zabbix e os processos do agente e configure-os para que sejam iniciados durante o boot do sistema.

# systemctl enable zabbix-server zabbix-agent

# vim /etc/php/8.2/fpm/php.ini

Localize max_execution_time e altere de 30 para 600

max_execution_time = 600

# systemctl restart zabbix-server zabbix-agent nginx php8.2-fpm

Acesse em seu navegador http://seu_ip:porta ou http://zabbix.seudominio.com.br

Selecione o Edioma, e Próximo passo

Se tudo estiver ok: Próximo passo

Selecione PostgreSQL e informe a senha do usuário zabbix criada anteriormente, clique em Próximo passo.

Defina um nome, e selecione o Tema padrão e clique em Próximo passo

Se tudo estiver ok, Próximo passo

Fim

Entre com Usuário Admin e senha zabbix

Simples né? Gostou e quer me ajudar?

Se quiser fazer uma doação para o café ficarei muito feliz pelo seu reconhecimento!

Se não puder doar pode deixar seu agradecimento nos comentário também ficarei feliz em saber que ajudei. Se tiver qualquer pergunta deixe-a também. Se preferir entrar em Contato clique aqui.

Abraço!

Fontes:
https://www.zabbix.com/documentation/

O post Instalação do Zabbix 6 LTS + NGINX + PostgreSQL + Debian 12 Bookworm apareceu primeiro em Remontti.

O que é o Nginx Proxy Manager?
É um sistema que possui uma interface web limpa, eficiente e fácil de configurar, sem precisar saber muito sobre Nginx ou Letsencrypt.

Característica
– Interface de administração bonita e segura baseada
– Crie facilmente domínios de encaminhamento, redirecionamentos, streams e hosts 404 sem saber nada sobre Nginx
– SSL grátis usando Let’s Encrypt ou forneça seus próprios certificados SSL personalizados
– Listas de acesso e autenticação HTTP básica para seus hosts
– Configuração avançada do Nginx disponível para superusuários
– Gerenciamento de usuários, permissões e log de auditoria

Distribuição testadas:
Debian 12 Bookworm
Debian 11 Bullseye

Como melhorar a produtividade no seu Debian após instalação (Recomendado)

Porta Utilizadas
81 – Porta de administração do Nginx Proxy Manager
80 – Porta HTTP pública
443 – Porta HTTP pública

Configurações de interface de Rede

Para a configuração da interface de rede vou usar uma configuração Pointopoint (Ponto a ponto) assim utilizando de apenas um endereço IP público, você pode (deve) ler este tutorial para conhecer varias possibilidades de configuração de rede pensa em como economizar endereços IPs.

# vim /etc/network/interfaces

No meu exemplo vamos pesar que esse servidor esteja conectado ao RouterOS/Mikrotik ether2 e meu endereço de IP publico será o 200.200.200.255

allow-hotplug enp0s3
iface enp0s3 inet static
        address 200.200.200.255
        pointopoint 192.168.171.171
        netmask 255.255.255.255
        gateway 192.168.171.171

Agora no seu RouterOS vamos criar nosso Pointopoint gatewai 192.168.171.171 tendo como network o endereço IP público.

RouterOS# /ip address
RouterOS# add address=192.168.171.171 comment=Pointopoint interface=ether2 network=200.200.200.255

Se você não tem IP publico para colocar em seu servidor, então fixe um endereço IP Privado e redirecione as potas 80,81 e 443 para ele, utilizando seu IP público que está em seu router. Exemplo:

allow-hotplug enp0s3
iface enp0s3 inet static
        address 10.10.10.2/24
        gateway 10.10.10.1

E é clario se você conter endereço IPv6, não deixe de configurar sua placa! Exemplo:

iface enp0s3 inet6 static
        pre-up modprobe ipv6
        address 2804:bebe:cafe::2
        netmask 64
        gateway 2804:bebe:cafe::1

Instalação Docker

Iremos instalar os pacotes necessários, bem como adicionar o repositório oficial do Docker

# apt install ca-certificates curl gnupg2 apt-transport-https lsb-release
# curl -fsSL https://download.docker.com/linux/debian/gpg | apt-key add -
# echo "deb https://download.docker.com/linux/debian $(lsb_release -cs) stable" > /etc/apt/sources.list.d/docker.list

Atualize o repositório e instale-o

# apt update
# apt install docker-ce docker-ce-cli containerd.io

Instalação Docker Compose

Vamos fazer download do Docker Compose, e adicionar aos binários do nosso servidor como um executável.

# curl -L "https://github.com/docker/compose/releases/download/v2.24.5/docker-compose-$(uname -s)-$(uname -m)" -o /usr/local/bin/docker-compose
# chmod +x /usr/local/bin/docker-compose
# ln -s /usr/local/bin/docker-compose /usr/bin/docker-compose

Versão baixada foi a 2.24.5, mas você pode consultar uma mais recente em: https://github.com/docker/compose/releases/, para verificar qual versão instalado use:

# docker-compose --version

Docker Compose version v2.24.5

Instação Nginx Proxy Manager

Crie os diretórios quais ficarão todas as configurações:

# mkdir /etc/nginx-proxy
# mkdir /etc/nginx-proxy/{data,letsencrypt}

Crie seu arquivo de composição do Docker com as configuração, para realizar a instalação dos containers do Nginx Proxy Manager e MariaDB com o Docker Compose. (Ajustes as senhas)

# vim /etc/nginx-proxy/docker-compose.yml

Adicione:

version: "3"
services:
  app:
    image: 'jc21/nginx-proxy-manager:latest'
    restart: unless-stopped
    ports:
      # These ports are in format <host-port>:<container-port>
      - '80:80'       # Porta HTTP pública
      - '443:443'     # Porta HTTPS pública
      - '81:81' # Porta de administracao do Nginx Proxy
      # Adicione qualquer outra porta Stream que você queira expor, ex
      # - '21:21' # FTP
    environment:
      DB_MYSQL_HOST: "db"
      DB_MYSQL_PORT: 3306
      DB_MYSQL_USER: "nginxproxy"
      DB_MYSQL_PASSWORD: "S3NHA_NGINX_PR0XY"
      DB_MYSQL_NAME: "nginxproxy"
      # Remova o comentário se você não tem o IPv6 em seu host
      # DISABLE_IPV6: 'true'
    volumes:
      - ./data:/data
      - ./letsencrypt:/etc/letsencrypt
    depends_on:
      - db

  db:
    image: 'jc21/mariadb-aria:latest'
    restart: unless-stopped
    environment:
      MYSQL_ROOT_PASSWORD: 'S3NHA_D3_R00T'
      MYSQL_DATABASE: 'nginxproxy'
      MYSQL_USER: 'nginxproxy'
      MYSQL_PASSWORD: 'S3NHA_NGINX_PR0XY'
    volumes:
      - ./mysql:/var/lib/mysql

Execute o comando Docker Compose

# cd /etc/nginx-proxy
# docker-compose up -d

Aguarde finalizar… em seguida visualize se os containers que foram criados

# docker ps -a

CONTAINER ID   IMAGE                             COMMAND             CREATED          STATUS         PORTS                                                                                  NAMES
6b796a07af22   jc21/nginx-proxy-manager:latest   "/init"             9 seconds ago    Up 7 seconds   0.0.0.0:80-81->80-81/tcp, :::80-81->80-81/tcp, 0.0.0.0:443->443/tcp, :::443->443/tcp   nginx-proxy-app-1
4c93d3b8a544   jc21/mariadb-aria:latest          "/scripts/run.sh"   13 seconds ago   Up 8 seconds   3306/tcp                                                                               nginx-proxy-db-1

Abra em navegador http://IP_SERVIDOR/ se tudo ocorreu bem você verá:

Agora abra na porta 81 http://IP_SERVIDOR:81/ e entre com:

Email: admin@example.com 
Password: changeme

Ao entrar pela primeira vez um formulário com informações será exibido para você alterar seus dados, altere seus e-mail e senha.

Configurações de DNS Autoritativa

Para que possamos encaminhar os acessos iremos necessitar configurar um subdomínios para cada situação em nosso servidor DNS autoritativo.

Vamos criar um cenário fictício para ilustrar melhor. Temos 1 clientes recebendo IPs privados da classe de um CGNAT, e o mesmo solicita um redirecionamento de portas para seu DVR. O cliente recebe o endereço IP privado 100.64.0.71 (Fixado) seu DVR esta na porta 80 na rede local 192.168.0.7. Para cada situação irei criar um novo subdomínio, exemplo “dvrudi” no servidor DNS autoritativo apontando para o IP Público do seu servidor Nginx Proxy, assim eu acesso “dvrudi.remontti.com.br”. Agora ao acessar o roteato e criar o redirecionamento provavelmente não iremos poder usar a porta 80, pois ela já é a porta de acesso do roteador 100.64.0.71, e é bem possível que você tenha fechado ela em seu firewall também para se proteger de ataques, neste caso use outra porta exemplos 60080 para fazer o direcionamento para a porta 80 do DVR, o cliente nem precisa saber desta porta 60080 ela é a penas a porta de entrada do Nginx Proxy. Agora volte ao Admin do NPM, no menu Hosts >> Proxy Hosts >> Add Proxy Host

Se desejar pode ativar certificado grátis com Lets Encrypt.

Agora ao acessar “dvrudi.remontti.com.br” ele estará acessando diretamente o DVR. #clientefeliz

Legal não? Agora você pode ter um painel administrativo para redirecionamento de serviços web, no exemplo sitei o caso de CGNAT, mas você pode usar para qualquer outra situação, bem como até apontar para um subdiretório, e restringir o acesso do mesmo, sabe esses ERP porco que você acessar com /admin, daria para restringir. Bom o painel do NPM é bem intuitivo, para quem já conhece o Nginx sabe das suas enumeras possibilidades vai achar um doce.

Atualizando do NPM

# cd /etc/nginx-proxy/
# docker-compose down
# docker-compose pull
# docker-compose up -d

Gostou? Se quiser apoiar o blog e fazer uma doação para o café ficarei muito feliz pelo seu reconhecimento!

Se não puder doar pode deixar seu agradecimento nos comentário também ficarei feliz em saber que ajudei. Se tiver qualquer pergunta deixe-a também. Se preferir entrar em Contato clique aqui.

Abraço!

Fonte:
https://nginxproxymanager.com/guide/
https://github.com/NginxProxyManager/nginx-proxy-manager

O post Instalação do Nginx Proxy Manager apareceu primeiro em Remontti.

Leia

– Requisitos do hardware do servidor Speedtest.
– Política de aceitação do servidor Speedtest
– Toda Documentação.

Configuração do DNS

No exemplo vou usar o subdomínio teste, no domínio remontti.com.br `teste.remontti.com.br`, logo é necessário configurar seu subdomínio “teste” em seu DNS Server, NÃO USE subdomínio chamado speedtest pois você terá possivelmente seu pedido negado. Exemplo de entradas no DNS para IPv4 (A) e IPv6 (AAAA)

[...]

teste       A       192.168.0.2
            AAAA    2001:db8:bebe:cafe::2

[...]

Distribuição testadas

Debian 12 Bookworm
Debian 11 Bullseye

Pacotes necessários, não esqueça de virar root de forma correta `su -`

# su -
# apt install vim wget unzip net-tools psmisc

Faça alguns ajustes de kernel para melhorar a performace do servidor:

# vim /etc/sysctl.conf

Adicione ao final:

# Kernel deve tentar manter o máximo possível de dados em memória principal 
vm.swappiness = 5

# Evitar que o sistema fique sobrecarregado com muitos dados sujos na memória.
vm.dirty_ratio = 10
vm.dirty_background_ratio = 5

# Aumentar o número máximo de conexões simultâneas
net.core.somaxconn = 65535

# Aumentar o tamanho máximo do buffer de recepção e transmissão de rede
net.ipv4.tcp_mem = 4096 87380 16777216
net.core.rmem_max = 16777216
net.core.wmem_max = 16777216
net.ipv4.tcp_rmem = 4096 87380 16777216
net.ipv4.tcp_wmem = 4096 65536 16777216

# Melhorar o desempenho da conexão e a evitar congestionamentos
net.ipv4.tcp_sack = 1
net.ipv4.tcp_window_scaling = 1
net.ipv4.tcp_moderate_rcvbuf = 1
net.ipv4.tcp_timestamps = 1

# Reduzir o tempo limite de conexão TCP
net.ipv4.tcp_fin_timeout = 15

# Ativar o escalonamento de fila de recepção de pacotes de rede
net.core.netdev_max_backlog = 8192

# Aumentar o número máximo de portas locais que podem ser usadas
net.ipv4.ip_local_port_range = 1024 65535

# Define o controle de saída de pacotes como "fq" para melhorar a distribuição de dados.
net.core.default_qdisc=fq

# Ativa o algoritmo BBR para melhorar a velocidade e evitar congestionamento de rede.
net.ipv4.tcp_congestion_control=bbr

Carregue para o kernel as novas alterações

# sysctl -p

Módulos do kernel

# modprobe -a tcp_illinois
# echo "tcp_illinois" >> /etc/modules

TCP Illinois é um algoritmo de controle de congestionamento que utiliza uma combinação de técnicas de controle de congestionamento baseadas em perda e atraso para melhorar o desempenho em redes de alta perda. Ele foi projetado para funcionar bem em ambientes móveis sem fio, onde a perda de pacotes é frequentemente causada por condições de RF em mudança.

# modprobe -a tcp_westwood
# echo "tcp_westwood" >> /etc/modules

TCP Westwood é um algoritmo de controle de congestionamento que utiliza medidas de janela e de banda para detectar congestionamentos em vez de depender da detecção de perda de pacotes, que pode ser menos confiável em ambientes sem fio. Ele foi projetado especificamente para ambientes móveis sem fio e pode ser uma boa opção para melhorar o desempenho em redes sem fio com alta variação de taxa de perda de pacotes.

# modprobe -a tcp_htcp
# echo "tcp_htcp" >> /etc/modules

O TCP-HTCP (Highspeed TCP for large congestion windows) é um algoritmo de controle de congestionamento do protocolo TCP que foi projetado para melhorar o desempenho em conexões de alta velocidade com janelas de congestionamento grandes.

Vamos criar o diretório /usr/local/src/ooklaserver onde ira ficarnossa aplicação OoklaServer.

# mkdir /usr/local/src/ooklaserver

Vamos baixar nosso script de instalação em /usr/local/src/ooklaserver e executar a instalação.

# cd /usr/local/src/ooklaserver
# wget https://install.speedtest.net/ooklaserver/ooklaserver.sh
# chmod +x ooklaserver.sh
# ./ooklaserver.sh install

Please confirm (y/n) > y

Server Platform is linux-x86_64-static-musl
This will install the Ookla server for linux-x86_64-static-musl to the current folder. Please confirm (y/n) > y
Checking Directory Structure
Downloading Server Files
--2024-11-12 16:55:44--  https://install.speedtest.net/ooklaserver/stable/OoklaServer-linux-x86_64-static-musl.tgz
Resolvendo install.speedtest.net (install.speedtest.net)... 2a04:4e42::731, 2a04:4e42:200::731, 2a04:4e42:400::731, ...
Conectando-se a install.speedtest.net (install.speedtest.net)|2a04:4e42::731|:443... conectado.
A requisição HTTP foi enviada, aguardando resposta... 200 OK
Tamanho: 4638658 (4,4M) [application/gzip]
Salvando em: “OoklaServer-linux-x86_64-static-musl.tgz”

OoklaServer-linux-x86_64-static-mus 100%[================================================================>]   4,42M  21,9MB/s    em 0,2s    

2024-11-12 16:55:46 (21,9 MB/s) - “OoklaServer-linux-x86_64-static-musl.tgz” salvo [4638658/4638658]

Extracting Server Files
OoklaServer
OoklaServer.properties.default
Stopping OoklaServer Daemon (5419)
Starting OoklaServer
Daemon Started (5464)
NOTE:

We strongly recommend following instructions at

   https://support.ookla.com/hc/en-us/articles/234578588-Linux-Startup-Script-Options

to ensure your daemon starts automatically when the system reboots

Neste momento o servidor ookla já iniciou, acesse em seu navegado http://sub.dominio:8080 e verifique se o mesmo esta rodando> OoklaServer – It worked!

Pare o serviço ooklaserver

# ./ooklaserver.sh stop

Ou (se seu tempo é curto)

# killall -9 OoklaServer

Stopping OoklaServer Daemon (715) . . . . . . . . . . . . . . . . . . . .
Additional OoklaServer processes running; stopping
Stopping OoklaServer Daemon (715) . . . . . . . . . . . . . . . . . . . .
Stopping OoklaServer Daemon (858) .
Stopping OoklaServer Daemon (859) .
Stopping OoklaServer Daemon (879) . . . . . . . . . . . . . . . .
Lingering OoklaServer processes running; killing (715
964
965)

Edite o arquivo de configuração OoklaServer

# vim /usr/local/src/ooklaserver/OoklaServer.properties

A partir de 2023 IPv6 virou obrigatório, descomente (remova o # da frente) a linha a baixo deixando true.

OoklaServer.useIPv6 = true

Descomente a linha e inclua todos seus subidominios para seu domínio ex `*.remontti.com.br`

OoklaServer.allowedDomains = *.ookla.com, *.speedtest.net, *.remontti.com.br

Ativa o filtro que bloqueia agentes de usuário conhecidos como indesejados, ajudando a reduzir tráfego de fontes não oficiais.

OoklaServer.userAgentFilterEnabled = true

Define o número máximo de conexões simultâneas permitidas por endereço IP; o padrão é 50.

OoklaServer.ipTracking.maxConnPerIp = 5

Estabelece o número máximo de conexões permitidas por IP dentro de cada intervalo de tempo (bucket); o padrão é 10.

OoklaServer.ipTracking.maxConnPerBucketPerIp = 10

Define a capacidade máxima do pool de threads de trabalho; o padrão é 30.000.

OoklaServer.workerThreadPool.capacity = 30000

Especifica o tamanho máximo de quadro (frame) aceito em conexões WebSocket, em bytes; o padrão é 5 MB (5.242.880 bytes).

OoklaServer.websocket.frameSizeLimitBytes = 5242880

Define o tempo máximo, em minutos, para manter estatísticas de IPs inativos após a última conexão registrada; o padrão é 35 minutos.

OoklaServer.ipTracking.maxIdleAgeMinutes = 35

Se você desejar visualizar os logs descomente em “# Log to files”. Um arquivo em /usr/local/src/ooklaserver/ooklaserver.log será criado.

# Log to files
#
logging.loggers.app.name = Application
logging.loggers.app.channel.class = FileChannel
logging.loggers.app.channel.pattern = %Y-%m-%d %H:%M:%S [%P - %I] [%p] %t
logging.loggers.app.channel.path = ${application.dir}/ooklaserver.log
logging.loggers.app.level = information

Sobreecreva OoklaServer.properties.default com o OoklaServer.properties, para em futuras atualizações (Ocorre automaticamente) ele use como base as suas configurações.

# cp /usr/local/src/ooklaserver/OoklaServer.properties /usr/local/src/ooklaserver/OoklaServer.properties.default

Para que o Ooklaserver seja tratado como um serviço vamos configurar-lo no systemd.

# vim /lib/systemd/system/ooklaserver.service

[Unit]
Description=OoklaServer-SpeedTest 
After=network.target

[Service]
User=root
Group=root
Type=simple
RemainAfterExit=yes

WorkingDirectory=/usr/local/src/ooklaserver
ExecStart=/usr/local/src/ooklaserver/ooklaserver.sh start
ExecReload=/usr/local/src/ooklaserver/ooklaserver.sh restart
#ExecStop=/usr/local/src/ooklaserver/ooklaserver.sh stop
ExecStop=/usr/bin/killall -9 OoklaServer

TimeoutStartSec=60
TimeoutStopSec=300

[Install]
WantedBy=multi-user.target
Alias=speedtest.service

Recarrege o daemon

# systemctl daemon-reload

Verifique o status, nosso serviço ira estar disabled

# systemctl status ooklaserver

● ooklaserver.service - OoklaServer-SpeedTest
     Loaded: loaded (/lib/systemd/system/ooklaserver.service; disabled; vendor preset: enabled)
     Active: inactive (dead)

Vamos deixa-lo enable para subir com o boot do sistema.

# systemctl enable ooklaserver

Created symlink /etc/systemd/system/speedtest.service → /lib/systemd/system/ooklaserver.service.
Created symlink /etc/systemd/system/multi-user.target.wants/ooklaserver.service → /lib/systemd/system/ooklaserver.service.

Verifique se ficou enabled

#  systemctl status ooklaserver

● ooklaserver.service - OoklaServer-SpeedTest
     Loaded: loaded (/lib/systemd/system/ooklaserver.service; enabled; vendor preset: enabled)
     Active: inactive (dead)

Inicie o serviço e verifique seu status se o mesmo ficou active.

# systemctl start ooklaserver
# systemctl status ooklaserver

● ooklaserver.service - OoklaServer-SpeedTest
     Loaded: loaded (/lib/systemd/system/ooklaserver.service; enabled; vendor preset: enabled)
     Active: active (exited) since Fri 2021-11-05 15:31:58 -03; 1s ago
    Process: 2408 ExecStart=/usr/local/src/ooklaserver/ooklaserver.sh start (code=exited, status=0/SUCCESS)
   Main PID: 2408 (code=exited, status=0/SUCCESS)
      Tasks: 47 (limit: 2312)
     Memory: 10.5M
        CPU: 185ms
     CGroup: /system.slice/ooklaserver.service
             ├─2416 ./OoklaServer --daemon --pidfile=/usr/local/src/ooklaserver/OoklaServer.pid
             └─2420 /usr/local/src/ooklaserver/OoklaServer --ward --parent-pidfile=OoklaServer.pid --server-id=d907db80a>

nov 05 15:31:58 deb11 systemd[1]: Started OoklaServer-SpeedTest.
nov 05 15:31:59 deb11 ooklaserver.sh[2408]: Starting OoklaServer
nov 05 15:31:59 deb11 ooklaserver.sh[2408]: Daemon Started (2416)

Se desejar reinicie o servidor para ver se o serviço ooklaserver carregou no boot!

# reboot

Ao voltar verifique se o mesmo iniciou.

# systemctl status ooklaserver

● ooklaserver.service - OoklaServer-SpeedTest
     Loaded: loaded (/lib/systemd/system/ooklaserver.service; enabled; vendor preset: enabled)
     Active: active (exited) since Fri 2021-11-05 15:34:19 -03; 22s ago
    Process: 332 ExecStart=/usr/local/src/ooklaserver/ooklaserver.sh start (code=exited, status=0/SUCCESS)
   Main PID: 332 (code=exited, status=0/SUCCESS)
      Tasks: 50 (limit: 2312)
     Memory: 18.3M
        CPU: 157ms
     CGroup: /system.slice/ooklaserver.service
             ├─390 ./OoklaServer --daemon --pidfile=/usr/local/src/ooklaserver/OoklaServer.pid
             └─404 /usr/local/src/ooklaserver/OoklaServer --ward --parent-pidfile=OoklaServer.pid --server-id=da57142421>

nov 05 15:34:19 deb11 systemd[1]: Started OoklaServer-SpeedTest.
nov 05 15:34:20 deb11 ooklaserver.sh[332]: Starting OoklaServer
nov 05 15:34:20 deb11 ooklaserver.sh[332]: Daemon Started (390)

Certifique-se acessando em seu navegador http://sub.dominio:8080.

O serviço ooklaserver tem um alias com o nome speedtest, então se quiser usar `systemctl status speedtest` também funiona.

# systemctl status speedtest

Para verificar a versão use:

#  /usr/local/src/ooklaserver/OoklaServer -v

Se você realizar o teste agora https://www.ookla.com/pt/host-tester você encontrará 1 erros:
É que você não tem certificado válido, a OoklaServer fala que você pode usar o certifica automatico que ela ira gerar, ao fazer o registro. Nota: Este processo automatizado só começa depois que o servidor foi registrado e revisado por Ookla . Você pode ler aqui mais sobre.

Solução para o certificado

Vamos instalar o Certbot, que irá gerar os certificados com o Let’s Encrypt.

# apt install certbot

Geramos o certificado para teste.remontti.com.br, lembrando que seu servidor DNS deve estar apontando para o IP Publivo do seu servidor para poder gerar o certificado sem erro.

# certbot certonly --standalone

Reponda: email (null@remontti.com.br), Y, N, Seu Domínio

Saving debug log to /var/log/letsencrypt/letsencrypt.log
Plugins selected: Authenticator standalone, Installer None
Enter email address (used for urgent renewal and security notices)
 (Enter 'c' to cancel): null@remontti.com.br                            <<<<<<<<<<<<<<<<<<<<<

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Please read the Terms of Service at
https://letsencrypt.org/documents/LE-SA-v1.2-November-15-2017.pdf. You must
agree in order to register with the ACME server. Do you agree?
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
(Y)es/(N)o: Y                                                           <<<<<<<<<<<<<<<<<<<<<

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Would you be willing, once your first certificate is successfully issued, to
share your email address with the Electronic Frontier Foundation, a founding
partner of the Let's Encrypt project and the non-profit organization that
develops Certbot? We'd like to send you email about our work encrypting the web,
EFF news, campaigns, and ways to support digital freedom.
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
(Y)es/(N)o: N                                                           <<<<<<<<<<<<<<<<<<<<<
Account registered.
Please enter in your domain name(s) (comma and/or space separated)  (Enter 'c'
to cancel): teste.remontti.com.br                                       <<<<<<<<<<<<<<<<<<<<<
Requesting a certificate for teste.remontti.com.br
Performing the following challenges:
http-01 challenge for teste.remontti.com.br
Waiting for verification...
Cleaning up challenges

IMPORTANT NOTES:
 - Congratulations! Your certificate and chain have been saved at:
   /etc/letsencrypt/live/teste.remontti.com.br/fullchain.pem
   Your key file has been saved at:
   /etc/letsencrypt/live/teste.remontti.com.br/privkey.pem
   Your certificate will expire on 2022-02-03. To obtain a new or
   tweaked version of this certificate in the future, simply run
   certbot again. To non-interactively renew *all* of your
   certificates, run "certbot renew"
 - If you like Certbot, please consider supporting our work by:

   Donating to ISRG / Let's Encrypt:   https://letsencrypt.org/donate
   Donating to EFF:                    https://eff.org/donate-le

Os arquivos do certificado foram criados em /etc/letsencrypt/live/SUB.DOMINIO.XXX.XX/ com validade de 90 dias.

Edite o arquivo de configuração OoklaServer, para usar o nosso certificado gerado.

# vim /usr/local/src/ooklaserver/OoklaServer.properties

Localize openSSL.server.certificateFile e openSSL.server.privateKeyFile

# openSSL.server.certificateFile = cert.pem
# openSSL.server.privateKeyFile = key.pem

Descomente as linhas e e adicione o caminho para os seus.

openSSL.server.certificateFile = /etc/letsencrypt/live/SUB.DOMINIO.XXX.XX/fullchain.pem
openSSL.server.privateKeyFile = /etc/letsencrypt/live/SUB.DOMINIO.XXX.XX/privkey.pem

Sobreecreva OoklaServer.properties.default com o OoklaServer.properties novamente para em futuras atualizações.

# cp /usr/local/src/ooklaserver/OoklaServer.properties /usr/local/src/ooklaserver/OoklaServer.properties.default

Reinicie o OoklaServer. (Pode levar ate 2min, tenha paciência)

# systemctl  restart ooklaserver.service

Agora acesse com HTTPS em seu navegador: https://sub.dominio:8080, e o certificado agora deve ser válido.

Realizando os testes novamente em https://www.ookla.com/pt/host-tester, o erro de certificado estará resolvido.

Mais ao final deixarei um script para renovação automática do certificado, pois o mesmo é valido apenas por 90 dias.

Cadastro Ookla

Hora de criar sua conta no ookla.com e fazer a solicitação para virar um host! https://account.ookla.com/register/servers, se você já tem acesse: https://account.ookla.com/servers/create
Com sua conta criada e validada no e-mail de verificação logue: https://account.ookla.com/, clique em Go To Servers, e aceite os Termos. Add Server preencha com os seus dados e do servidor.

Agora basta aguardar, pode levar alguns dias para aprovação, você receberá um e-mail lhe avisado (se não for aprovado eles lhe dirão porque). Boa sorte!

Renovar o certificado automaticamente

Para evitar que o certificado expire faremos um script colocando o certbot para renovar uma vez ao mês pelo cron do servidor.

# vim /usr/local/src/ooklaserver/renova-certificado

Adicione:

#!/bin/bash
# Renova o certificado
/usr/bin/certbot renew -q
# Aguarda o certificado renovar
sleep 30
# Reinicie o OoklaServer
/usr/bin/systemctl restart ooklaserver

De permissão para execução e adicione ao cron, para que ele rode o script toda a meia noite do dia 1º de cada mês.

# chmod +x /usr/local/src/ooklaserver/renova-certificado
# echo '00 00   1 * *   root    /usr/local/src/ooklaserver/renova-certificado' >> /etc/crontab

Verifique se a última linha está nosso script.

# cat /etc/crontab

# /etc/crontab: system-wide crontab
# Unlike any other crontab you don't have to run the `crontab'
# command to install the new version when you edit this file
# and files in /etc/cron.d. These files also have username fields,
# that none of the other crontabs do.

SHELL=/bin/sh
PATH=/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin

# Example of job definition:
# .---------------- minute (0 - 59)
# |  .------------- hour (0 - 23)
# |  |  .---------- day of month (1 - 31)
# |  |  |  .------- month (1 - 12) OR jan,feb,mar,apr ...
# |  |  |  |  .---- day of week (0 - 6) (Sunday=0 or 7) OR sun,mon,tue,wed,thu,fri,sat
# |  |  |  |  |
# *  *  *  *  * user-name command to be executed
17 *    * * *   root    cd / && run-parts --report /etc/cron.hourly
25 6    * * *   root    test -x /usr/sbin/anacron || ( cd / && run-parts --report /etc/cron.daily )
47 6    * * 7   root    test -x /usr/sbin/anacron || ( cd / && run-parts --report /etc/cron.weekly )
52 6    1 * *   root    test -x /usr/sbin/anacron || ( cd / && run-parts --report /etc/cron.monthly )
#
00 00   1 * *   root    /usr/local/src/ooklaserver/renova-certificado

Reinici o cron para ele carregar a nova rotina.

# systemctl restart cron

Se o certificado por venturar expirar e o script não renovar, basta você rodar na mão:

# certbot renew 
# systemctl restart ooklaserver

Parabéns seu servidor está pronto!

Atualização

Para verificar a versão atual, execute o comando:

# /usr/local/src/ooklaserver/OoklaServer -v

Hoje, dia 12/11/2024, a versão em uso é:
2.11.1.2 2024-02-13.1456.91c4f93

Para realizar a atualização, acesse o diretório e interrompa o serviço.

# cd /usr/local/src/ooklaserver
# ./ooklaserver.sh stop

Remova o script de instalação e faça o download novamente:

# rm ooklaserver.sh
# wget https://install.speedtest.net/ooklaserver/ooklaserver.sh

Dê permissão de execução e execute a instalação:

# chmod a+x ooklaserver.sh
# ./ooklaserver.sh install

Pare novamente o serviço e inicie-o pelo systemd:

# ./ooklaserver.sh stop
# systemctl restart ooklaserver

Se quiser fazer uma doação para o café ficarei muito feliz pelo seu reconhecimento!

Se não puder doar pode deixar seu agradecimento nos comentário também ficarei feliz em saber que ajudei. Se tiver qualquer pergunta deixe-a também. Se preferir entrar em Contato clique aqui.

O post Instalação do SpeedTest (OoklaServer) no Debian 11/12 gerenciado pelo systemd apareceu primeiro em Remontti.

Ante de iniciar a instalação é preciso saber como funciona um DNS:

DNS Recursivo
O DNS recursivo é responsável pela resolução de nomes, começando sempre com consultas recursivas nos servidores raízes. Para melhorar a eficiência, reduzir o tráfego DNS na Internet e aumentar o desempenho em aplicativos de usuário final, utilizamos o cache de DNS, armazenando resultados das consulta DNS por um período de tempo determinado na configuração (tempo de vida determinado pelo autoritativo do domínio consultado).

DNS Autoritativo
É o serviço DNS que possui autoridade sob um domínio. Assim, como o servidor ns1.remontti.com.br é o DNS autoritativo de meu domínio remontti.com.br, é ele que sempre vai responder qualquer subdomínio ou “hosts” (por exemplo: blog.remontti.com.br).
É nesse servidor que você vai apontar nas configurações de um domínio registrado no registro.br, por exemplo.

DNS Reverso
DNS atua resolvendo o nome do domínio/subdomínio para um endereço IP correspondente. Já o DNS Reverso, como o próprio nome diz, resolve o endereço IP para o nome de domínio associado ao host. Ou seja, quando temos disponível o endereço IP de um host e não sabemos o endereço do domínio (nome dado à máquina ou outro equipamento que acesse uma rede), tentamos resolver o endereço IP através do DNS reverso que procura qual nome de domínio está associado aquele endereço.
Os servidores que utilizam o DNS Reverso conseguem verificar a autenticidade de endereços, verificando se o endereço IP atual corresponde ao endereço IP informado pelo servidor DNS.
Isto evita que alguém utilize um domínio que não lhe pertence para enviar spam, por exemplo (por isso que ele é importante para servidores de e-mail).

Correção dos dados de geolocalização
É muito importante que sua geolocalização estaja correta no maxmind.com, verifique alguns de de seus IPs.
https://www.maxmind.com/en/geoip-demo

Para correção temos dois formulários.
Correct a GeoIP Location
https://support.maxmind.com/geoip-data-correction-request/correct-a-geoip-location/
Correct a GeoIP ISP or Organization
https://support.maxmind.com/geoip-data-correction-request/correct-a-geoip-isp-or-organization/

Instalação do Debian

Requesitos:
Debian 12 Bookworm – Instalação Limpa (Recomendado)
Debian 11 Bullseye – Instalação Limpa

Leitura obrigatória:
Configurando interface de rede no Debian
Como melhorar a produtividade no seu Debian após instalação

Vire root com o comando correto!

# su - 

No Debian 12 o rsyslog foi abandonado como sistema de logs e esta usando systemd-journald. Como o bind salva alguns logs em arquivo e o fail2ban lê os mesmo vamos precisar dele, para isso instale o mesmo:

# apt install rsyslog

Instalação fail2ban e nftables (Master/Slave)

Fail2Ban é uma estrutura de software de prevenção de intrusões que protege os servidores contra ataques de força bruta. Ele opera monitorando arquivos de logs, sendo o mais comum seu uso para bloquear endereços IPs que podem pertencer à hosts que estão tentando violar a segurança do seu servidor.
nftables é um firewall baseado no iptables que agora no Debian 11 já vem instalado por padrão subistituindo o antigo iptables.

# apt install fail2ban

Entendo o funcionamento do fail2ban:

# fail2ban-client status

Por padrão o filtro de SSH já vem habilitado, então seu SSH (porta 22) já está “protegida”, se alguém errar a senha por 5 vezes terá seu IP bloqueado por 10 minutos.

Status
|- Number of jail:      1
`- Jail list:   sshd

Para alterar esses padrões de tempo e número de tentativas edite: (este arquivo é muito bem comentado o que cada variável faz!)

# vim /etc/fail2ban/jail.conf

Localize as linhas, e ajuste de acordo com suas necessidades

bantime  = 10m
findtime  = 10m
maxretry = 5

Se desejar desativar o filtro de SSH

# vim /etc/fail2ban/jail.d/defaults-debian.conf

Altere para false

[sshd]
enabled = false

Porém como eu sempre altero a porta do SSH de todo o servidor bem como tempo para digitar a senha, é natural que o fail2ban não ira poteger caso você tenha alterado a mesma. Inclusive recomendo você adotar essa boa pratica.

# vim /etc/ssh/sshd_config

Em Port defina a nova porta, e LoginGraceTime defina o tempo em segundos para digitar a senha, e nunca seja ignorante de permitir o acesso root direto no SSH em PermitRootLogin, a não ser que tenha uma forte motivo para isso (Me conte nos comentários, até hoje não tive motivo para tal!)

Port 60002
LoginGraceTime 10
#PermitRootLogin prohibit-password # Nao seja burro de colocar um yes aqui!

Com a porta alterada do SSH (como no exemplo 60002) vamos ajusta no fail2ban para proteger essa nova porta

# vim /etc/fail2ban/jail.conf

Localize e adicione 60002:

[sshd]
Port = ssh,60002

Por padrão de segurança do fail2ban usa o iptables e faz o bloquei apenas da porta do serviço que esta sofrendo o “ataque”, vamos subistituir o iptables pelo nftables ou por route. Vou deixar os dois modelos a baixo de exemplo.

nftables: Em vez de usar o filtro multiport, vou setar allports e modificá-lo para que tentativas de violação crie uma regra de firewall de drop e não reject definitivamente o IP e não apenas fechando a porta do serviço. Para isso edite:

# vim /etc/fail2ban/jail.conf

Localize banaction e banaction_allports e altere para nftables-allports:

banaction = nftables-allports
banaction_allports = nftables-allports

Para bloquear tudo e não apenas a porta do serviço atacada:

# vim /etc/fail2ban/action.d/nftables.conf

Localize rule_match-allports e remova o meta l4proto \{ \} ficando:

rule_match-allports =

Ainda no altere o blocktype de reject para drop

blocktype = drop

Habilite o nftblaes para o boot do sistema, em seguida reinicie os serviços

# systemctl enable nftables
# systemctl restart nftables fail2ban

Verifique se mesmo estão rodando sem nenhum erro:

# systemctl status nftables fail2ban

route: Com o método route iremos em vezes de criar uma regra de firewall para o IP que esta “atacando” vamos coloca-lo em blackhole, assim se você possuir algum roteamento já poderá exportar o IP para sua borda para matar lá já (gosto + dessa).

# vim /etc/fail2ban/jail.conf

Localize banaction e banaction_allports e altere para route:

banaction = route
banaction_allports = route

Vamos ajustar agora para ação ser blackhole

# vim /etc/fail2ban/action.d/route.conf

Em blocktype altere para blackhole

blocktype = blackhole

# systemctl restart fail2ban

Se tiver acesso a outro servidor externo tente fazer uma conexão SSH, e erre varias vezes a senha para ser bloqueado, assim você pode validar seu fail2ban.

Para visualizar seu firewall nftables use o comando:

# nft list ruleset

Ou se usou route para mostra a tabela de rotas:

# ip route list
# ip -6 route list

Alguns comandos úteis do fail2ban
Visulizar os filtros

# fail2ban-client status

Visualizar detalhe de um filtro

# fail2ban-client status NOME_FILTRO
# fail2ban-client status sshd

Remover um IP de um determinado filtro

# fail2ban-client set sshd unbanip IPADDRESS
# fail2ban-client set sshd unbanip 200.200.200.200

Exemplo de script para remover todos os IPs banidos uma a um.

#!/bin/bash
BANIDOS=`fail2ban-client status bind9 | grep "Banned IP list" | awk '{$1=$2=$3=$4=$5=""; print $0}'`
IPS=$(echo $BANIDOS | tr " " "\n")
for IP in $IPS
 do
  #echo "Removendo: ${IP}"
  fail2ban-client set bind9 unbanip ${IP} ;
  #ip route del ${IP}
done

Se desejar adicionar algum prefixo a uma lista branca você pode editar:

# vim /etc/fail2ban/jail.conf

Localize ignoreip, desomente a linha (remova o # da frete) e adicione os prefixo que deseja ignorar, para não cair bloqueio.

ignoreip = 127.0.0.1/8 ::1 200.200.200.0/22 2000:2000::/32

Reinicie o serviço

# systemctl restart fail2ban

Instalação do Bind9 (Master/Slave)

Instalação dos pacotes

# apt install bind9 dnsutils

Arquitetura de arquivos e diretórios do bind9 no Debian 11:

/etc/bind/
├── bind.keys
├── db.0
├── db.127
├── db.255
├── db.empty
├── db.local
├── named.conf
├── named.conf.default-zones
├── named.conf.local
├── named.conf.options
├── rndc.key
└── zones.rfc1918
/usr/share/dns/
├── root.ds
├── root.hints
├── root.hints.sig
└── root.key
/var/cache/bind/
├── managed-keys.bind
└── managed-keys.bind.jnl

Configuração do Recursivo

Alteramos o DNS do servidor fazendo com que ele consulte em si próprio, através dos IPs de loopback. Essa alteração deve ser feita no arquivo /etc/resolv.conf.

# echo "nameserver 127.0.0.1" > /etc/resolv.conf
# echo "nameserver ::1" >> /etc/resolv.conf

Para validar se seu servidor conseguer resolver nomes nele próprio, use o comando dig e host. Alguns comandos de Ex:

# dig @localhost google.com.br 
# dig @127.0.0.1 google.com.br 
# dig @::1 google.com.br +short
# host google.com.br

Como identificar o problema com resoluções de nomes, famoso: “Meu DNS não está resolvendo nomes!”. Use o atributo +trace, assim o mesmo mostrará todo o caminho feito para a resolução, assim você ira identificar onde “parou” e não obteve a informação necessária. Ex:

# dig @localhost google.com.br +trace

Observe as linhas em destaque.

; <<>> DiG 9.16.15-Debian <<>> @localhost google.com.br +trace
; (2 servers found)
;; global options: +cmd
.                       517911  IN      NS      b.root-servers.net.
.                       517911  IN      NS      c.root-servers.net.
.                       517911  IN      NS      m.root-servers.net.
.                       517911  IN      NS      a.root-servers.net.
.                       517911  IN      NS      l.root-servers.net.
.                       517911  IN      NS      k.root-servers.net.
.                       517911  IN      NS      e.root-servers.net.
.                       517911  IN      NS      i.root-servers.net.
.                       517911  IN      NS      d.root-servers.net.
.                       517911  IN      NS      f.root-servers.net.
.                       517911  IN      NS      g.root-servers.net.
.                       517911  IN      NS      h.root-servers.net.
.                       517911  IN      NS      j.root-servers.net.
.                       517911  IN      RRSIG   NS 8 0 518400 20211107...
;; Received 1137 bytes from ::1#53(localhost) in 0 ms

br.                     172800  IN      NS      f.dns.br.
br.                     172800  IN      NS      e.dns.br.
br.                     172800  IN      NS      b.dns.br.
br.                     172800  IN      NS      c.dns.br.
br.                     172800  IN      NS      d.dns.br.
br.                     172800  IN      NS      a.dns.br.
br.                     86400   IN      DS      2471 13 2 5E4F35...
br.                     86400   IN      RRSIG   DS 8 1 86400 202...
;; Received 741 bytes from 198.41.0.4#53(a.root-servers.net) in 140 ms

google.com.br.          3600    IN      NS      ns1.google.com.
google.com.br.          3600    IN      NS      ns2.google.com.
google.com.br.          3600    IN      NS      ns3.google.com.
google.com.br.          3600    IN      NS      ns4.google.com.
uh3thc9qu1qbt25pspmqnbuvm420ur2e.com.br. 900 IN NSEC3 1 1 10 A8A465B84D7...
uh3thc9qu1qbt25pspmqnbuvm420ur2e.com.br. 900 IN RRSIG NSEC3 13 3 900 202...
hekajlrgmga91msd4es7bmhol7dbtbbi.com.br. 900 IN NSEC3 1 1 10 A8A465B84D7...
hekajlrgmga91msd4es7bmhol7dbtbbi.com.br. 900 IN RRSIG NSEC3 13 3 900 202...
;; Received 507 bytes from 2001:12f8:a::10#53(c.dns.br) in 140 ms

google.com.br.          300     IN      A       142.250.219.195
;; Received 58 bytes from 2001:4860:4802:38::a#53(ns4.google.com) in 144 ms

Primeiramente consultamos os root servers, que estão em nosso servidor essa info, logo perceba que ele fez a consulta dos root servers em localhost, em seguida um dos root servers falou para ele que é são os DNS responsáveis do .br e no exemplo ele escolheu o a.root-servers.net, que falou para ele quem são os DNS fo google, e o DNS do google, neste cado o c.dns.br falou qual é o IPv4 (A) do google.com.br = 42.250.219.195, o valor 300 é o tempo que seu servidor irá armazenar essa resposta em cache. Eu levaria muito tempo para explicar aqui, então quando tiver um curso meu de DNS não fique de fora

Configurando Recursivo no DNS Master

Nesse cenário vou usar os prefixos 45.80.48.0/22 e 2804:f123::/32 (desculpe caso seja de alguém)

Edite:

# vim /etc/bind/named.conf.options

A explicação de todos os campos e variáveis estão nos comentários do arquivo:

// ACL "autorizados" essa colocamos os IPs que são autorizados a fazer consultas recursivas neste servidor.
// Neste caso vou incluir os IPs que foram nos delegados bem como de localhost e todos IPs privados.
acl autorizados {
        127.0.0.1;
        ::1;
        192.168.0.0/16;
        172.16.0.0/12;
        100.64.0.0/10;
        10.0.0.0/8;
        2001:db8::/32; 
        fd00::/8; 
        fe80::/10; 
        fc00::/8;        
        45.80.48.0/22;
        2804:f123::/32;
}; 

options {
    // O diretório de trabalho do servidor
    // Quaisquer caminho não informado será tomado como padrão este diretório
    directory "/var/cache/bind";
 
    //Suporte a DNSSEC
    dnssec-validation auto;
 
    // Conforme RFC1035
    // https://www.ietf.org/rfc/rfc1035.txt
    // Se o servidor deve responder negativamente (NXDOMAIN) para consultas de domínios que não existem.
    auth-nxdomain no;
 
    // Respondendo para IPv4 e IPv6
    // Porta 53 estará aberta para ambos v4 e v6 (pode ser informar apenas os IPs que ficarão ouvindo)
    // ex listen-on { 127.0.0.1; 45.80.48.2; }; 
    // ex listen-on-v6 { ::1; 2804:f123:bebe:cafe::2; };
    // ou any para todos os IPs das interfaces (recomendado, pricipalmente em anycast)
    listen-on { any; };
    listen-on-v6 { any; };
 
    // Serve como uma ferramenta de mitigação para o problema de ataques de amplificação de DNS
    // No momento, a implementação de RRL (Response Rate Limiting)é recomendada apenas para servidores autoritativos
    // Se seu servidor será apenas autoritativo descomente as linhas a baixo. (https://kb.isc.org/docs/aa-00994)
    //rate-limit {
    //    responses-per-second 15;
    //    window 5;
    //};
 
    // Informações adicionais em suas respostas DNS
    // Melhora o desempenho do servidor, reduzindo os volumes de dados de saída.
    // O padrão BIND é (no) não.
    minimal-responses yes;

    // Reduzir o tráfego da rede e aumentar o desempenho, o servidor armazena respostas negativas.
    // é usado para definir um tempo máximo de retenção para essas respostas no servidor. (segundos)
    // Determina por quanto tempo o servidor irá acreditar nas informações armazenadas em cache de 
    // respostas negativas (NXDOMAIN) antes de buscar novamente informações.
    max-ncache-ttl 300;

    // Desativar recursão. Por padrão já é yes.
    // recursion no;
 
    // Especifica quais hosts estão autorizados a fazer consultas
    // recursivas através deste servidor.
    // Aqui que você vai informar os IPs da sua rede que você irá permitir consultar os DNS.
    allow-recursion { autorizados; };
 
    // Endereço estão autorizados a emitir consultas ao cache local,
    // sem acesso ao cache local as consultas recursivas são inúteis.
    allow-query-cache { autorizados; };
 
    // Especifica quais hosts estão autorizados a “fazer perguntas” ao seu DNS. 
    // Se for apenas recursivo pode informa a ACL “autorizados” 
    // allow-query { autorizados; };
    allow-query { any; };
 
    // Especifica quais hosts estão autorizados a receber transferências de zona a partir do servidor.
    // Seu servidor Secundário, no nosso ex vou deixar então o ips dos dois servidores v4 e v6.
    allow-transfer {
        45.80.48.3;
        2804:f123:bebe:cafe::3;
    };
    also-notify {
        45.80.48.3;
        2804:f123:bebe:cafe::3;
    };
 
    // Esta opção faz com que o servidor slave ao fazer a transferência de zonas
    // mastes deste servidor no formato binário (raw) do arquivo ou texto (text)
    // text será legível por humanos, já raw formato é mais eficiente em termos de desempenho.
    // masterfile-format raw;
    masterfile-format text;

    // Para evitar que vase a versao do Bind, definimos um nome
    // Reza a lenda que deixar RR DNS Server seu servidor nunca sofrerá ataques.
    version "RR DNS Server – Do good";

    // Define a quant. máxima de memória a ser usada para o cache do servidor (bytes ou porcentagem)
    // Por padrão no debian 10/bind9 ele reserva 90% da memoria física. Então não se apavore com log ex.:
    // Servidor com 2GB: none:106: 'max-cache-size 90%' - setting to 1795MB (out of 1994MB)
    // Recomendo não alterar
    // max-cache-size 512M;
    // max-cache-size 50%;

    // Isso define o tempo mínimo para o qual o servidor armazena 
    // em cache as respostas positivas, em segundos.
    // Ex o tiktok.com manda tempo de ttl de 20 segundos, 
    // e você quer ignorar esse valor 20 e setar que o minimo seja 90.
    // que é o máximo permitido.
    min-cache-ttl 90;

    // Não recomendado alterar para menos que 24h.
    // Define o tempo máximo durante o qual o servidor armazena (informado pelo dono do domínio)
    // em cache as respostas positivas, em segundos. O max-cache-ttl padrão é 604800 (uma semana) 
    // max-cache-ttl 86400; // 24h 

};

Leitura recomendada:
https://bind9.readthedocs.io/en/latest/reference.html
https://downloads.isc.org/isc/bind9/9.11.24/doc/arm/Bv9ARM.ch06.html

Para verificar se seu arquivo tem algum erro use o comando named-checkconf

# named-checkconf /etc/bind/named.conf.options

Imprime todas as configurações

# named-checkconf -p

Bem útil para você mandar suas conf quando esta com algum problema lá no grupo do telegram

Reinicie o bind9 para que as novas configurações sejam carregadas, e verifique se o serviço subiu sem erros.

# systemctl restart bind9
# systemctl status bind9

# systemctl restart bind9
# systemctl status bind9

Configurando Recursivo (Slave)

Não esqueça da parte do fail2ban e nftables.

# vim /etc/bind/named.conf.options

Já explicado no master, a diferença aqui aqui não temos os campos allow-transfer e also-notify, já que ele é o servidor secundário.

acl autorizados {
        127.0.0.1;
        ::1;
        192.168.0.0/16;
        172.16.0.0/12;
        100.64.0.0/10;
        10.0.0.0/8;
        2001:db8::/32; 
        fd00::/8; 
        fe80::/10; 
        fc00::/8;        
        45.80.48.0/22;
        2804:f123::/32;
}; 

options {
    directory "/var/cache/bind";
    dnssec-validation auto;
    auth-nxdomain no;
    listen-on { any; };
    listen-on-v6 { any; };
    minimal-responses yes;
    max-ncache-ttl 300;
    allow-recursion { autorizados; };
    allow-query-cache { autorizados; };
    //allow-query { autorizados; }; //Se apenas for recursivo
    allow-query { any; };
    allow-transfer { none; };
    masterfile-format text;
    version "RR DNS Server";
};

Reinicie o bind9 para que as novas configurações sejam lidas, e verifique se o serviço subiu sem erros.

# systemctl restart bind9
# systemctl status bind9

Colocando o fail2ban para protege seu DNS (Master/Slave)

Ele irá ler os logs do bind com tentativas de consultas negadas (denied), para isso precisamos configurar nosso bind para gerar tal logs.Faça isso no Mastere Slave.

# vim /etc/bind/named.conf

Adicione logging { … }:

// This is the primary configuration file for the BIND DNS server named.
//
// Please read /usr/share/doc/bind9/README.Debian.gz for information on the 
// structure of BIND configuration files in Debian, *BEFORE* you customize 
// this configuration file.
//
// If you are just adding zones, please do that in /etc/bind/named.conf.local

logging {
 
    channel security_file {
        file "/var/log/named/security.log" versions 3 size 30m;
        severity dynamic;
        print-time yes;
    };
 
    channel file_log {
        file "/var/log/named/bind.log" versions 3 size 1m;
        severity info;
        #severity debug 3;
        print-time yes;
        print-severity yes;
        print-category yes;
    };
 
    channel dnssec_log {
        file "/var/log/named/dnssec.log" versions 3 size 1m;
        severity warning;
        print-time yes;
    };
 
    category security { security_file; };
    category default { file_log; };
    category dnssec { dnssec_log; };
    category lame-servers { null; };
    category edns-disabled { null; };
    category resolver { null; };
    category unmatched { null; };
 
};

include "/etc/bind/named.conf.options";
include "/etc/bind/named.conf.local";
include "/etc/bind/named.conf.default-zones";

Crie o diretório onde o bind vai registrar seus logs e dê permissão para que ele possa gravar nesta pasta.

# mkdir /var/log/named/
# chown bind: /var/log/named/

Reinicie o serviço

# systemctl restart bind9

Iremos criar um filtro para ler os logs do bind

# vim /etc/fail2ban/filter.d/bind9.conf

Adicione:

# Fail2Ban filter file for named (bind9).
# v9.18.x

# This filter blocks attacks against named (bind9) however it requires special
# configuration on bind.
#
# By default, logging is off with bind9 installation.
#
# You will need something like this in your named.conf to provide proper logging.
#
# logging {
#     channel security_file {
#         file "/var/log/named/security.log" versions 3 size 30m;
#         severity dynamic;
#         print-time yes;
#     };
#     category security {
#         security_file;
#     };
# };

[Definition]

# Daemon name
_daemon=named(?:-\w+)?

# Shortcuts for easier comprehension of the failregex

__pid_re=(?:\[\d+\])
__daemon_re=\(?%(_daemon)s(?:\(\S+\))?\)?:?
__daemon_combs_re=(?:%(__pid_re)s?:\s+%(__daemon_re)s|%(__daemon_re)s%(__pid_re)s?:)

_category = (?!error|info)[\w-]+
_category_re = (?:%(_category)s: )?

#       hostname       daemon_id         spaces
# this can be optional (for instance if we match named native log files)
__line_prefix=\s*(?:\S+ %(__daemon_combs_re)s\s+)?%(_category_re)s

prefregex = ^%(__line_prefix)s(?:(?:error|info):\s*)?client(?: @\S*)? <HOST>#\S+(?: \([\S.]+\))?: <F-CONTENT>.+</F-CONTENT>\s(?:denied|denied \(allow-query-cache did not match\)|\(NOTAUTH\))\s*$

failregex = ^(?:view (?:internal|external): )?query(?: \(cache\))?
            ^zone transfer
            ^bad zone transfer request: '\S+/IN': non-authoritative zone

ignoreregex =

# DEV Notes: Debian 12
# Author: Rudimar Remontti

Ativamos o filtro que criamos, e definimos o tempo de banimento para 12h, se você desejar pode ajustar para mais ou menos se achar necessário. E “maxretry” que é a quantidade de tentativas usaremos 1, limitando a 1 tentativa (não recomendo alterar) apenas para já ser bloqueado.

# vim /etc/fail2ban/jail.d/bind9.conf

[bind9]
enabled  = true
port     = domain,953
protocol = tcp
logpath  = /var/log/named/security.log
bantime  = 12h
maxretry = 1

Em seguida ativamos reinciamos os serviços.

# systemctl restart fail2ban
# systemctl status fail2ban

Consulte se o filtro bind9 foi carregado

# fail2ban-client status

Status
|- Number of jail:      2
`- Jail list:   bind9, sshd

Para validar realize um teste de um servidor externo não autorizado à resolver nomes em seu servidor com o comando dig, ex:

# dig @ip_so_seu_dns google.com.br

Deixe rodando o comando para visualizar os logs.

# tail -f /var/log/named/security.log

Log como ira aparecer, onde 192.168.254.198 é o IP que tentou resolver nomes e google.com.br foi o dóminio.

25-Oct-2021 17:57:09.284 client @0x7f79e80104c8 192.168.254.198#63239 (google.com.br): query (cache) 'google.com.br/A/IN' denied

Verificando agora o fail2ban vamos encontrar o IP 192.168.254.198 em Banned IP list.

# fail2ban-client status bind9

Status for the jail: bind9
|- Filter
|  |- Currently failed: 0
|  |- Total failed:     1
|  `- File list:        /var/log/named/security.log
`- Actions
   |- Currently banned: 1
   |- Total banned:     1
   `- Banned IP list:   192.168.254.198

Verificando as regras do firewall nftables também iremos encontra-lo.

# nft list ruleset

table inet filter {
        chain input {
                type filter hook input priority filter; policy accept;
        }

        chain forward {
                type filter hook forward priority filter; policy accept;
        }

        chain output {
                type filter hook output priority filter; policy accept;
        }
}
table inet f2b-table {
        set addr-set-bind9 {
                type ipv4_addr
                elements = { 192.168.254.198 }
        }

        chain f2b-chain {
                type filter hook input priority filter - 1; policy accept;
                ip saddr @addr-set-bind9 drop
        }
}

Para remover o IP basta:

# fail2ban-client set bind9 unbanip 192.168.254.198

Atualização dos Roots servers

Não é comum os Roots Servers terem alguma alteração, mas é algo que ao logo desses anos vi acontecer já, então caso um dia precise atualiza-los. Primeiramente renomei o arquivo atual root.hints

# mv /usr/share/dns/root.hints /usr/share/dns/root.hints.`date +%Y%m%d`

Agora vamos baixar a versão mais recente.

# apt install wget 
# wget https://www.internic.net/domain/named.root -O /usr/share/dns/root.hints

Para visualizar se tem alguma diferença entre os arquivos execute o comando:

# diff /usr/share/dns/root.hints /usr/share/dns/root.hints.`date +%Y%m%d`

Perceba que o que mudou apenas foi a data em last update. Resto do arquivo continua igual.

11,13c11,13
< ;
< ;       last update:     October 14, 2021
< ;       related version of root zone:     2021101401
---
> ; 
> ;       last update:     January 11, 2021 
> ;       related version of root zone:     2021011101

Desativar IPv6 do bind

Se por algum motivo precisar desabilitar faça:

# vim /etc/default/named

OPTIONS="-u bind"

Para

OPTIONS="-4 -u bind"

# vim /etc/bind/named.conf.options

listen-on-v6 { any; };

Para

listen-on-v6 { none; };

Reinicie o serviço

# systemctl restart bind

Configurando um proxy do DNS recursivo

Está confiuração deixará de usar os Root Serves e irá fazer as consultar em outros servidores DNS, e armazenar no seu cache local.

# vim /etc/bind/named.conf.options

Adicione dentro de options { ….. }

  recursion yes;
  forwarders {
      8.8.8.8;
      1.1.1.1;
      1.0.0.1;
      8.8.4.4;
  };
  forward only;

Comando dig

Algumas coisas que você precisa saber, ex:

# dig google.com.br @localhost

; <<>> DiG 9.16.15-Debian <<>> google.com.br @localhost
; <<>> DiG 9.16.15-Debian <<>> google.com.br @localhost
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 49083
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 4, ADDITIONAL: 9

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1232
; COOKIE: 595c2c7eb1d62205010000006177f1e2e08119b0ec4133aa (good)
;; QUESTION SECTION:
;google.com.br.                 IN      A

;; ANSWER SECTION:
google.com.br.          300     IN      A       172.217.173.67

;; AUTHORITY SECTION:
google.com.br.          3599    IN      NS      ns1.google.com.
google.com.br.          3599    IN      NS      ns4.google.com.
google.com.br.          3599    IN      NS      ns3.google.com.
google.com.br.          3599    IN      NS      ns2.google.com.

;; ADDITIONAL SECTION:
ns1.google.com.         172800  IN      AAAA    2001:4860:4802:32::a
ns2.google.com.         172800  IN      AAAA    2001:4860:4802:34::a
ns3.google.com.         172800  IN      AAAA    2001:4860:4802:36::a
ns4.google.com.         172800  IN      AAAA    2001:4860:4802:38::a
ns1.google.com.         172800  IN      A       216.239.32.10
ns2.google.com.         172800  IN      A       216.239.34.10
ns3.google.com.         172800  IN      A       216.239.36.10
ns4.google.com.         172800  IN      A       216.239.38.10

;; Query time: 1560 msec
;; SERVER: ::1#53(::1)
;; WHEN: ter out 26 09:17:38 -03 2021
;; MSG SIZE  rcvd: 344

O resultado retornará algumas seções, porém como configuramos no named.conf.options minimal-responses yes, iremos ter apenas 3. Isso deixa seu DNS mais otimizado, além do mais yes é o padrão agora na versão 9.16 do bind, caso queira testar experimente setar em: no.

; <<>> DiG 9.16.15-Debian <<>> google.com.br @localhost
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 13858
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1232
; COOKIE: 38763b6c79757a2a010000006177f255c6a6a6d3e4833e77 (good)
;; QUESTION SECTION:
;google.com.br.                 IN      A

;; ANSWER SECTION:
google.com.br.          300     IN      A       172.217.173.67

;; Query time: 1524 msec
;; SERVER: ::1#53(::1)
;; WHEN: ter out 26 09:19:33 -03 2021
;; MSG SIZE  rcvd: 86

HEADER: Ela contém diversas informações a respeito da consulta.

;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 49083
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 4, ADDITIONAL: 9

- status indica o tratamento de erro nas consultas, sendo eles:
-- NOERROR: Nenhum erro encontrado, ou seja, sucesso.
-- SERVFAIL: Houve algum problema com o servidor, que não conseguiu processar a query.
-- NXDOMAIN: Significa que o domínio pesquisado não existe.
-- REFUSED: O servidor rejeitou a solicitação.
-flags: indicador das opções de recursividade e de autoridade, em resumo este conjunto de “letrinhas” (aa, rd, ra, etc), indica o estado ligado/desligado RFC1035
-- qr: se a mensagem é uma query (0) ou uma resposta (1). Como estamos avaliando somente as respostas, este bit sempre estará ligado (consequentemente, sempre veremos a string “qr” no campo “flags“).
-- aa: que o servidor que respondeu à solicitação é autoritativo do domínio.
-- rd: que a query é recursiva, que as requisições devem ser encaminhadas a outros servidores até que o servidor autoritativo seja encontrado.
-- ra: que o servidor que respondeu à requisição suporta consultas recursivas.
-- tc: que a mensagem de resposta está truncada.
-- z: reservado para uso futuro.
- contadores: na mesma linha das flags, econtramos quantos resultados vieram nas sessões.

QUERY: 1, ANSWER: 1, AUTHORITY: 4, ADDITIONAL: 9

QUESTION
Replica a query que foi enviada para consulta, por padão quando não passa A = IPv4

;; QUESTION SECTION:
;google.com.br.                 IN      A

Outros exemplos:

# dig AAAA google.com.br @localhost
# dig MX google.com.br @localhost
# dig NS google.com.br @localhost
# dig TXT google.com.br @localhost
# dig ANY google.com.br @localhost

ANSWER
Contém a resposta para a consulta que foi enviada.

;; ANSWER SECTION:
google.com.br.          86400   IN      CAA     0 issue "pki.goog"
google.com.br.          60      IN      SOA     ns1.google.com. dns-admin.google.com. 405356128 900 900 1800 60
google.com.br.          300     IN      AAAA    2800:3f0:4001:819::2003
google.com.br.          300     IN      A       172.217.173.67
google.com.br.          300     IN      MX      0 smtp.google.com.
google.com.br.          300     IN      TXT     "v=spf1 -all"
google.com.br.          2774    IN      NS      ns4.google.com.
google.com.br.          2774    IN      NS      ns2.google.com.
google.com.br.          2774    IN      NS      ns1.google.com.
google.com.br.          2774    IN      NS      ns3.google.com.

AUTHORITY
Servidores que respondem com “autoridade” pelo domínio (os NS)

;; AUTHORITY SECTION:
google.com.br.          3599    IN      NS      ns1.google.com.
google.com.br.          3599    IN      NS      ns4.google.com.
google.com.br.          3599    IN      NS      ns3.google.com.
google.com.br.          3599    IN      NS      ns2.google.com.

ADDITIONAL
Informações auxiliares ou adicionais à pesquisa, no exemplo IPs dos servidores DNS

;; ADDITIONAL SECTION:
ns1.google.com.         172800  IN      AAAA    2001:4860:4802:32::a
ns2.google.com.         172800  IN      AAAA    2001:4860:4802:34::a
ns3.google.com.         172800  IN      AAAA    2001:4860:4802:36::a
ns4.google.com.         172800  IN      AAAA    2001:4860:4802:38::a
ns1.google.com.         172800  IN      A       216.239.32.10
ns2.google.com.         172800  IN      A       216.239.34.10
ns3.google.com.         172800  IN      A       216.239.36.10
ns4.google.com.         172800  IN      A       216.239.38.10

E na ultima sessão entrosamos podemos dizer mais 4 sub sessões:

;; Query time: 1560 msec
;; SERVER: ::1#53(::1)
;; WHEN: ter out 26 09:17:38 -03 2021
;; MSG SIZE  rcvd: 344

- QUERY TIME: vai informar o tempo que levou para realizar a consulta solicitada, quando esse tempo retora 0 é porque a consulta ele pegou do cache.
- SERVER: Qual servidor ele realizou a consulta
- WHEN: dara e hora da consulta + UTC
- MSG SIZE: tamanho do pacote

Um pouquinho de dig para vocês!

Seu DNS recursivo já está pronto, se seu intuito é apenas um DNS recursivo pode pular a parte do autoritativo/reverso, e eu recomendo que você crie uma regra extra no seu nftables (firewall) para fechar a porta 53 externamente, então vou deixar um modelo dessa configuração:
ISSO SÓ DEVER SER FEITO SE SEU DNS FOR APENAS RECURSIVO!

# vim /etc/nftables.conf

Em elements, altere para os seus IPs que terão permissão, o arquivo é quase que auto explicativo. Eu vou aproveitar e criar uma proteção para o SSH e o Zabbix agent

#!/usr/sbin/nft -f
  
flush ruleset

table inet filter {

    set acesso-total4 {
        type ipv4_addr
        flags interval
        elements = { 200.200.200.0/26, 200.200.200.128/29 }
    }
    set acesso-total6 {
        type ipv6_addr
        flags interval
        elements = { 2001:db8:f0da::/48 }
    }
    set acesso-dns4 {
        flags interval
        type ipv4_addr
        elements = { 127.0.0.1, 192.168.0.0/16, 10.0.0.0/8, 172.16.0.0/12, 100.64.0.0/10, 200.200.200.0/22 }
    }
    set acesso-dns6 {
        flags interval
        type ipv6_addr
        elements = { ::1, 2001:db8::/32 }
    }
    chain input {
        type filter hook input priority 0;

        #ip saddr  @acesso-total4 accept
        #ip6 saddr @acesso-total6 accept

        # Permite acesso SSH na porta 22 (alterada para 60002), a 22 eu fecho só de sacanagem, para aparecer filtrada nos scanners
        ip saddr  @acesso-total4 tcp dport 22 counter accept
        ip6 saddr @acesso-total6 tcp dport 22 counter accept
        ip saddr  @acesso-total4 tcp dport 60002 counter accept
        ip6 saddr @acesso-total6 tcp dport 60002 counter accept
        tcp dport 22 counter drop
        tcp dport 60002 counter drop

        # Permite coleta de dados pelo Zabbix-Agent na porta 10050
        ip saddr  @acesso-total4 tcp dport 10050 counter accept
        ip6 saddr @acesso-total6 tcp dport 10050 counter accept
        tcp dport 10050 counter drop   

        # Permite Acesso DNS na porta 53
        ip saddr  @acesso-dns4 udp dport 53 counter accept
        ip saddr  @acesso-dns4 tcp dport 53 counter accept
        ip6 saddr @acesso-dns6 udp dport 53 counter accept
        ip6 saddr @acesso-dns6 tcp dport 53 counter accept
        udp dport 53 counter drop
        tcp dport 53 counter drop

        type filter hook input priority 0;
    }
    chain forward {
        type filter hook forward priority 0;
    }
    chain output {
        type filter hook output priority 0;
    }
}

Reinicie os serviços

# systemctl restart nftables fail2ban

Autoritativo

Valorize os domínios.br registrados no https://registro.br/ o memos financia todo o projeto NIC.BR, que na internet brasileira tem uma papel fundament

Configuração do Autoritativo (Master)

Para ficar organizado criaremos alguns diretórios em /var/cache/bind/. Primeiramente a pasta master-aut que se é referencia onde vai ficar nossa configuração do DNS Master autoritativo, e dentro desta pasta uma com o nome do nosso domínio no exemplo remontti.net.br, assim se você tiver vários dominios criamos uma pasta para cada ficando bem organizado.

# mkdir /var/cache/bind/master-aut
# mkdir /var/cache/bind/master-aut/remontti.net.br

Agora vamos criar um em /var/cache/bind/master-aut/remontti.net.br/ para que conter toda a configuração do mesmo, e para ficar objetivo adotei em usar o nome do próprio domínio.hosts ex: remontti.net.br.hosts

# vim /var/cache/bind/master-aut/remontti.net.br/remontti.net.br.hosts

É importante que o serial (2021102601) seja alterado toda vez que for o aruquivo sofrer qualquer alteração, assim o servidor slave saberá que precisa importar novamente as configurações. Ele segue o padrão [ano-mes-dia-sequencial] não que seja uma regra.

$ORIGIN .
$TTL 86400 ; 1 day
remontti.net.br        IN SOA  ns1.remontti.net.br. hostmaster.remontti.net.br. (
                            2023020101 ; serial
                            14400      ; refresh (4 hours)
                            3600       ; retry (1 hour)
                            2419200    ; expire (4 weeks)
                            300        ; minimum (5 minutes)
                            )
 
                        NS      ns1.remontti.net.br.
                        NS      ns2.remontti.net.br.
 
                        A       45.80.48.4
                        AAAA    2804:f123:bebe:cafe::4

$ORIGIN remontti.net.br.
$TTL 10800   ; 3 hours
 
ns1                     A       45.80.48.2
                        AAAA    2804:f123:bebe:cafe::2
hostmaster              A       45.80.48.2
                        AAAA    2804:f123:bebe:cafe::2

ns2                     A       45.80.48.3
                        AAAA    2804:f123:bebe:cafe::3

www                     A       45.80.48.4
                        AAAA    2804:f123:bebe:cafe::4

No exemplo estou confiurando apenas alguns subdomínos básicos, como ns1, ns2, www e apontando ele para seus respectivos endereços IPv4 e IPv6, os ipos mais comuns de registros:
- A: Associa um nome a um endereço IPv4.
- AAAA: Associa um nome a um endereço IPv6.
- NS: Name Server. Define quais servidores são os servidores autoritativos do domínio
- SOA: Start-Of-Authority. Detalhes da autoridade do domínio. Descreve o servidor que tem autoridade sobre a zona, além do contato técnico, número serial e outros campos.
- MX: Mail eXchanger. Define os servidores de e-mail.
- PTR: Pointer. Retorna o nome associado a um endereço IP. (reverso)
- CNAME: Canonical NAME. Usados para criar apelidos para o domínio.
- TXT: TeXT. Usados para descrições, comentários, observações de um domínio. Também usado para definir configurações de SPF.

Vamos criar um diretório para gerar nossas keys do DNSSEC.

# mkdir /var/cache/bind/master-aut/remontti.net.br/keys

Entre no diretório:

# cd /var/cache/bind/master-aut/remontti.net.br/keys

Agora vamos a criação das chaves:

# dnssec-keygen -a ECDSAP256SHA256 remontti.net.br

Generating key pair.
Kremontti.net.br.+007+29298

# dnssec-keygen -a ECDSAP256SHA256 -f KSK remontti.net.br

Generating key pair.
Kremontti.net.br.+007+26883

Os comandos acima irão gerar 4 arquivos com extensões .key e .private

├── Kremontti.net.br.+007+26883.key
├── Kremontti.net.br.+007+26883.private
├── Kremontti.net.br.+007+29298.key
└── Kremontti.net.br.+007+29298.private

Altere as permissões de diretórios/arquivos para que o bind consiga criar as assinaturas de forma automaticamente.

# chown bind: /var/cache/bind/master-aut/ -R

Em /etc/bind/named.conf.local "chamaremos" a zona remontti.net.br

# vim /etc/bind/named.conf.local

Adicione ao final do arquivo:

zone "remontti.net.br" {
        type master;
        file "/var/cache/bind/master-aut/remontti.net.br/remontti.net.br.hosts";
        key-directory "/var/cache/bind/master-aut/remontti.net.br/keys/";
        dnssec-policy default;
        inline-signing yes;
        serial-update-method unixtime;
};

Para facilitar farei um atalho da pasta /var/cache/bind/master-aut em /etc/bind/master-aut.

Se você é da turma do mimi você pode subistiruir `type master` por `type primary` e `type slave` por `type secondary` bem como nome das pastas.

# ln -s /var/cache/bind/master-aut /etc/bind/master-aut

Reinicie o serviço.

# systemctl restart bind9

Certifique-se que o bind esta rodando sem erros

# systemctl status bind9

Novos arquivos são gerados em /var/cache/bind/master-aut/remontti.net.br/ .jbk .signed .signed.jnl

└── remontti.net.br
    ├── keys
    │   ├── Kremontti.net.br.+007+26883.key
    │   ├── Kremontti.net.br.+007+26883.private
    │   ├── Kremontti.net.br.+007+29298.key
    │   └── Kremontti.net.br.+007+29298.private
    ├── remontti.net.br.hosts
    ├── remontti.net.br.hosts.jbk
    ├── remontti.net.br.hosts.signed
    └── remontti.net.br.hosts.signed.jnl

Precisaremos descobri nossa keytag e o digest que serão informados no registro.br, para isso rode o comando:

# (d=remontti.net.br; dig @127.0.0.1 +norecurse "$d". DNSKEY | dnssec-dsfromkey -f - "$d" | head -1)

remontti.net.br. IN DS 26883 7 2 F8C2518674B22DB06B1EF38E030F9A238E4FA25D0E2FB80357496E92617FF841

Sendo, keytag:26883 e o digest: F8C2518674B22DB06B1EF38E030F9A238E4FA25D0E2FB80357496E92617FF841

Possíveis bloqueios do fail2ban em caso de configuração errada, ao verificação de um domínios que seu servidor não é autoritativo, ou por um erro na configuração, a consulta será interpretada como recursiva, logo o IP de origem será bloqueado pelo fail2ban, e registrado no arquivo de logs /var/log/named/security.log.

Para evitar fail2ban bloquei seus IPs e pricnipalmente do registro.br, pois muitas pessoas acabam configurando errado seu DNS e na hora de verificar acabam sendo bloqueando. Para evitarmos isso vamos incluir seus IPs bem como os do registrobr na variável ignoreip do fail2ban:

# vim /etc/fail2ban/jail.conf

Localize #ignoreip =, remova o comentário (#) e inclua os prefixo do registrobr 200.160.0.0/20 200.219.148.0/24 2001:12f8:6::/47 2001:12ff::/32 bem como altere 45.80.48.0/22 2804:f123::/32 para IPs do seu AS

ignoreip = 127.0.0.1/8 ::1 200.160.0.0/20 200.219.148.0/24 2001:12f8:6::/47 2001:12ff::/32 45.80.48.0/22 2804:f123::/32

Reinicie o fail2ban

# systemctl restart fail2ban

Configuração do Autoritativo (Slave)

A configuração do slave é bem simples, pois ele irá importar do master todas as configurações.
Para organização vamos seguir o mesmo padrão de diretórios do master

# mkdir /var/cache/bind/slave-aut
# mkdir /var/cache/bind/slave-aut/remontti.net.br

Informamos nossa zona do tipo slave e o IP do nosso servidor master.

# vim /etc/bind/named.conf.local

zone "remontti.net.br" {
        type slave;
        file "/var/cache/bind/slave-aut/remontti.net.br/remontti.net.br.hosts.signed";
        masters { 45.80.48.2; };
        allow-notify { 45.80.48.2; };
};

Alteramos a permissão do diretório para que o bind consiga criar os arquivos.

# chown  bind: /var/cache/bind/slave-aut -R

Mais uma vez farei uma atalho dentro de /etc/bind para facilitar.

# ln -s /var/cache/bind/slave-aut /etc/bind/slave-aut

E reiniciamos o serviço

# systemctl restart bind9

Agora ao verificar o diretório /var/cache/bind/slave-aut/remontti.net.br/ encontraremos nosso arquivo criado automaticamente importado do servidor master.

# ls -lhs /var/cache/bind/slave-aut/remontti.net.br

Validando seu autoritativo no registro.br

Vamos verificar se o servidor responde pelo nosso domínio, acesse: https://registro.br/tecnologia/ferramentas/verificacao-de-dns/ e preecha o formulário com o seu domínio "remontti.net.br" e o IP do seu servidor e clique em pesquisar.
RESULTADO

DOMÍNIO           : remontti.net.br
DNS               : 45.80.48.2
STATUS            : Autoridade sobre o domínio
VERSÃ             : O2021102601
TEMPO DE RESPOSTA : 19.422 ms

Se seu servidor DNS estiver respondedo pelo domínio solicitado uma resposta de sucesso ira apacer: Autoridade sobre o domínio. Repita o mesmo no seu servidor Slave
Agora vamos fazer o mesmo para validade nosso DNSSEC, acesse: https://registro.br/tecnologia/ferramentas/verificacao-de-ds/ e preecha o formulário com o seu domínio "remontti.net.br" e o IP do seu servidor e clique em pesquisar.
RECORDS DS DAS CHAVES ENCONTRADAS

KEY TAG	  ALGORITMO	        DIGEST DS
26883	  RSA-SHA-1-NSEC3	F8C2518674B22DB06B1EF38E030F9A238E4FA25D0E2FB80357496E92617FF841

Se tudo estiver OK, ira receber o resultado da sua KEYTAG e DISGEST bem como encontrado anteriormente.

Seu domínio já está pronto para ser configurado no registro.br, para isso acesse sua conta clique sobre seu domínio e clique em: ALTERAR SERVIDORES DNS, e preecha o formulário, exemplo:

Posso ter mais de um autoritativo no mesmo servidor?

Sim, inclusive o reverso é um autoritavio, vamos falar dele em seguida. Não existe um limite, o limite é seu hardware.
Veja mais um exemplo para um segundo domínio:

# mkdir /var/cache/bind/master-aut/cursodns.com.br
# vim /var/cache/bind/master-aut/cursodns.com.br/cursodns.com.br.hosts

Adicione:

$ORIGIN .
$TTL 86400 ; 1 day
cursodns.com.br           IN SOA  ns1.cursodns.com.br. hostmaster.cursodns.com.br. (
                            2023020101 ; serial
                            14400      ; refresh (4 hours)
                            3600       ; retry   (1 hour)
                            2419200    ; expire  (4 weeks)
                            300        ; minimum (5 minutes)
                            )
 
                        NS      ns1.cursodns.com.br.
                        NS      ns2.cursodns.com.br.
 
                        A       45.80.48.4
                        AAAA    2804:f123:bebe:cafe::4
                        MX      10 mail.cursodns.com.br.
                        TXT     "v=spf1 a mx -all"
                        SPF     "v=spf1 a mx -all"

$ORIGIN cursodns.com.br.
_dmarc                  TXT "v=DMARC1; p=none"
_domainkey              TXT "t=y; o=~;"

$ORIGIN _domainkey.cursodns.com.br.
mail                    TXT "v=DKIM1; k=rsa; p=6B4EDqoi5l64qyxnenKx56IOIjPAnj350mq"

$ORIGIN cursodns.com.br.
$TTL 10800   ; 3 hours
 
ns1                     A       45.80.48.2
                        AAAA    2804:f123:bebe:cafe::2
hostmaster              A       45.80.48.2
                        AAAA    2804:f123:bebe:cafe::2

ns2                     A       45.80.48.3
                        AAAA    2804:f123:bebe:cafe::3

www                     A       45.80.48.4
                        AAAA    2804:f123:bebe:cafe::4
ftp                     A       45.80.48.4
                        AAAA    2804:f123:bebe:cafe::4
imap                    A       45.80.48.4
                        AAAA    2804:f123:bebe:cafe::4
pop                     A       45.80.48.4
                        AAAA    2804:f123:bebe:cafe::4
smtp                    A       45.80.48.4
                        AAAA    2804:f123:bebe:cafe::4
mail                    A       45.80.48.4
                        AAAA    2804:f123:bebe:cafe::4

Vamos criar um diretório para gerar nossas keys do DNSSEC.

# mkdir /var/cache/bind/master-aut/cursodns.com.br/keys

Entre no diretório:

# cd /var/cache/bind/master-aut/cursodns.com.br/keys

Agora vamos a criação das chaves:

# dnssec-keygen -a ECDSAP256SHA256 cursodns.com.br

Generating key pair.
Kcursodns.com.br.+007+00558

# dnssec-keygen -a ECDSAP256SHA256 -f KSK cursodns.com.br

Generating key pair.
Kcursodns.com.br.+007+46491

Altere as permissões de diretórios/arquivos para que o bind consiga criar as assinaturas de forma automaticamente.

# chown bind: /var/cache/bind/master-aut/ -R

Adicione a zona cursodns.com.br em named.conf.local

# vim /etc/bind/named.conf.local

Adicione ao final do arquivo:

zone "cursodns.com.br" {
        type master;
        file "/var/cache/bind/master-aut/cursodns.com.br/cursodns.com.br.hosts";
        key-directory "/var/cache/bind/master-aut/cursodns.com.br/keys/";
        dnssec-policy default;
        inline-signing yes;
        serial-update-method unixtime;
};

Se desejar validar seu arquivo antes de reiniciar o serviço:

# cd /var/cache/bind/master-aut/
# named-checkzone cursodns.com.br cursodns.com.br.hosts

Tudo ok, altere as permissões para não ter erro, e reinicie o bind:

# chown  bind: /var/cache/bind/master-aut -R
# systemctl restart bind9

Para o Slave

# mkdir /var/cache/bind/slave-aut/cursodns.com.br
# vim /etc/bind/named.conf.local

zone "cursodns.com.br" {
        type slave;
        file "/var/cache/bind/slave-aut/cursodns.com.br/cursodns.com.br.hosts.signed";
        masters { 45.80.48.2; };
        allow-notify { 45.80.48.2; };
};

# chown  bind: /var/cache/bind/slave-aut -R
# systemctl restart bind9

Posso ter domínios "fakes"?
Sim, basta criar uma zona. Mas juridicamente você pode ter dor de cabeça. Recomendo a leitura do DNS Response Policy Zone (RPZ) para que retornem resultados modificados em grande escala de uma foma mais eficaz. Alguns administradores podem usar o DNS RPZ para impedir acessos indesejados, normalmente é usado em empresas para bloquear por exemplo hosts infectados por malwares, sites pornográficos, entre outros casos, bloqueando a resolução de nomes. Segue um modelo simples e rápido para montar seu RPZ.

# vim /var/cache/bind/master-aut/cursodns.com.br/cursodns.com.br.hosts

Adicione mais uma entrada em para um novo subdominio "umbrella" apontando para um servidor, esse pode está rodando um serviço web qual pode ter uma tela com um aviso.

//...
umbrella                        A       45.80.48.5
                                AAAA    2804:f123:bebe:cafe::5
//...

Adicione uma nova zona chamada rpz.zone

# vim /etc/bind/named.conf.local

zone "rpz.zone" {
    type master;
    file "/var/cache/bind/rpz/db.rpz.zone";
    allow-query { none; };
};

# vim /etc/bind/named.conf.options

Dentro de options { ... } adcione:

options {
//...
    response-policy {
      zone "rpz.zone" policy CNAME umbrella.cursodns.com.br;
    };
//...

};
Criaremos o diretório rpz, bem como o arquivos de hosts

# mkdir /var/cache/bind/rpz/
# ln -s /var/cache/bind/rpz/ /etc/bind/rpz
# vim /var/cache/bind/rpz/db.rpz.zone

$TTL 1H
@       IN      SOA LOCALHOST. umbrella.cursodns.com.br. (
                2023020101      ; Serial  
                1h              ; Refresh
                15m             ; Retry
                30d             ; Expire 
                2h              ; Negative Cache TTL
        )
        NS  umbrella.cursodns.com.br.
 
xvideos.com     IN CNAME .
*.xvideos       IN CNAME .
redtube.com     IN CNAME .
*.redtube.com   IN CNAME .
pornhub.com     IN CNAME .
*.pornhub.com   IN CNAME .

Sendo que para cada dominio que você deseja apontar para resolver o mesmo IP do nosso umbrella.cursodns.com.br siga este padrão:

domino.com     IN CNAME .
*.domino.com       IN CNAME .

Assim qualquer subidominio (*).domino.com seja traduzido sempre para o mesmo IP.

Altere as permissões e reinicie o serviço

# chown bind: /var/cache/bind/rpz/ -R
# systemctl restart bind9

Agora faça um teste para ver o que seu servidor ira traduzir:

# dig xvideos.com @localhost

; <<>> DiG 9.16.15-Debian <<>> xvideos.com @localhost
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 1040
;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 2

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1232
; COOKIE: a060f744b32f2a4f01000000617842817ffcfff0a6b99fff (good)
;; QUESTION SECTION:
;xvideos.com.                   IN      A

;; ANSWER SECTION:
xvideos.com.            5       IN      CNAME   umbrella.cursodns.com.br.
umbrella.cursodns.com.br. 10800 IN      A       45.80.48.5

;; ADDITIONAL SECTION:
rpz.zone.               1       IN      SOA     LOCALHOST. umbrella.cursodns.com.br. 2020062400 3600 900 2592000 7200

;; Query time: 0 msec
;; SERVER: ::1#53(::1)
;; WHEN: ter out 26 15:01:37 -03 2021
;; MSG SIZE  rcvd: 175

# dig qqrcoisa.xvideos.com @localhost
# dig pornhub.com @localhost
# dig www.pornhub.com @localhost
# dig redtube.com @localhost

Uma boa list de hosts você pode encontrar aqui.
Não esquece de mandar meu presente de natal!

Reverso DNS Master - Para prefixos maiores ou igual a /24.

Obs: Para fazer a Delegações de DNS reverso do seu bloco, é importante que você já tenha configurado no registro.br seu DNS autoritativo.

Para ficar organizado criaremos a pasta master-rev para salvar todos nossos arquivos

# mkdir /var/cache/bind/master-rev

Para nosso cenários vou usar os prefixos 45.80.48.0/22 e 2804:f123::/32. O bloco 45.80.48.0/22 será necessário quebrar em 4 arquivos uma para cada prefixo /24 qual teremos nossos 1024 nome de hosts (IPs).

Lembra que anteriormente comentei que o reverso não passa de um domínio autoritativo? Então é isso mesmo, a forma de configuração é a mesma, porem já temos o nosso domínios para IPv4 x.x.x.in-addr.arpa e x.x.x.x.x.x.x.x.ip6.arpa para IPv6.

Primeiro arquivo /24 farei com o nome de 45.80.48.rev, poderia ser qualquer nome, mas assim fica bem sugestivo.

# vim /var/cache/bind/master-rev/45.80.48.rev

Preste atenção em 48.80.45.in-addr.arpa. essa linha ela deve ser alterada com o inverso do seu IP, de trás para frente.
Outra coisa importante é o serial (2021102601) ele está presente em todos os arquivos e deve ser alterado toda vez que for alterado. Ele segue o padrão [ano-mes-dia-sequencial]. É fundamental altera-lo para que o servidor slave copie sempre que tiver uma alteração.

Neste arquivo darei nomes personalizados apenas para o ns1 e ns2 o resto usarei o GENERATE para gerar de forma automatica todos os mais de mil nomes, sengindo o padrão 45-80-50-x.remontti.net.br.

$ORIGIN .
$TTL 86400      ; 1 day
48.80.45.in-addr.arpa IN SOA ns1.remontti.net.br. hostmaster.remontti.net.br. (
                    2023020101 ; serial
                    14400      ; refresh (4 hours)
                    3600       ; retry (1 hour)
                    2419200    ; expire (4 weeks)
                    300        ; minimum (5 minutes)
                    )
                NS      ns1.remontti.net.br.
                NS      ns2.remontti.net.br.

$ORIGIN 48.80.45.in-addr.arpa.
2         PTR     ns1.remontti.net.br.
3         PTR     ns2.remontti.net.br.

$ORIGIN 48.80.45.in-addr.arpa.
$GENERATE 0-1     $  PTR  45-80-48-$.remontti.net.br.
$GENERATE 4-255   $  PTR  45-80-48-$.remontti.net.br.

Proximo /24

# vim /var/cache/bind/master-rev/45.80.49.rev

$ORIGIN .
$TTL 86400      ; 1 day
49.80.45.in-addr.arpa IN SOA ns1.remontti.net.br. hostmaster.remontti.net.br. (
                    2023020101 ; serial
                    14400      ; refresh (4 hours)
                    3600       ; retry (1 hour)
                    2419200    ; expire (4 weeks)
                    300        ; minimum (5 minutes)
                    )
                NS      ns1.remontti.net.br.
                NS      ns2.remontti.net.br.

$ORIGIN 49.80.45.in-addr.arpa.
$GENERATE 0-255 $ PTR 45-80-49-$.remontti.net.br.

# vim /var/cache/bind/master-rev/45.80.50.rev

$ORIGIN .
$TTL 86400      ; 1 day
50.80.45.in-addr.arpa IN SOA ns1.remontti.net.br. hostmaster.remontti.net.br. (
                    2023020101 ; serial
                    14400      ; refresh (4 hours)
                    3600       ; retry (1 hour)
                    2419200    ; expire (4 weeks)
                    300        ; minimum (5 minutes)
                    )
                NS      ns1.remontti.net.br.
                NS      ns2.remontti.net.br.

$ORIGIN 50.80.45.in-addr.arpa.
$GENERATE 0-255 $ PTR 45-80-50-$.remontti.net.br.

# vim /var/cache/bind/master-rev/45.80.51.rev

$ORIGIN .
$TTL 86400      ; 1 day
51.80.45.in-addr.arpa IN SOA ns1.remontti.net.br. hostmaster.remontti.net.br. (
                    2023020101 ; serial
                    14400      ; refresh (4 hours)
                    3600       ; retry (1 hour)
                    2419200    ; expire (4 weeks)
                    300        ; minimum (5 minutes)
                    )
                NS      ns1.remontti.net.br.
                NS      ns2.remontti.net.br.

$ORIGIN 51.80.45.in-addr.arpa.
$GENERATE 0-255 $ PTR 45-80-51-$.remontti.net.br.

# vim /var/cache/bind/master-rev/2804.f123.rev

Antenção no 3.2.1.f.4.0.8.2.ip6.arpa o site http://rdns6.com/hostRecord pode ser bem útil para gerar seus PTRs.

$ORIGIN .
$TTL 3600       ; 1 hour
3.2.1.f.4.0.8.2.ip6.arpa IN SOA ns1.remontti.net.br.3.2.1.f.4.0.8.2.ip6.arpa. hostmaster.remontti.net.br.3.2.1.f.4.0.8.2.ip6.arpa. (
                    2023020101 ; serial
                    14400      ; refresh (4 hours)
                    3600       ; retry (1 hour)
                    2419200    ; expire (4 weeks)
                    300        ; minimum (5 minutes)
                    )
            NS      ns1.remontti.net.br.
            NS      ns2.remontti.net.br.

2.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.e.f.a.c.e.b.e.b.3.2.1.f.4.0.8.2.ip6.arpa.   PTR     ns1.remontti.net.br.
3.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.e.f.a.c.e.b.e.b.3.2.1.f.4.0.8.2.ip6.arpa.   PTR     ns2.remontti.net.br.

Ajustamos as permissões:

# chown bind: /var/cache/bind/master-rev/ -R

Criamos uma atalho para facilitar:

# ln -s /var/cache/bind/master-rev/ /etc/bind/master-rev

Agora nós precisamos informar nossas zonas reversas no named.conf.local, como estamos configurando nosso servidor master essas zonas serão do tipo (type) master.

# vim /etc/bind/named.conf.local

Adicione ao final do arquivo:

zone "48.80.45.in-addr.arpa" {
        type master;
        file "/var/cache/bind/master-rev/45.80.48.rev";
};
 
zone "49.80.45.in-addr.arpa" {
        type master;
        file "/var/cache/bind/master-rev/45.80.49.rev";
};
 
zone "50.80.45.in-addr.arpa" {
        type master;
        file "/var/cache/bind/master-rev/45.80.50.rev";
};
 
zone "51.80.45.in-addr.arpa" {
        type master;
        file "/var/cache/bind/master-rev/45.80.51.rev";
};

zone "3.2.1.f.4.0.8.2.ip6.arpa" {
        type master;
        file "/var/cache/bind/master-rev/2804.f123.rev";
};

Reinicie o serviço e verifique se o mesmo subiu sem erros.

# systemctl restart bind9
# systemctl status bind9

Checando se nosso IP reverso está resolvendo os nomes setados, com o comando `dig -x IP @localhost +short`

# dig -x 45.80.48.0 @localhost +short
45-80-48-0.remontti.net.br.

# dig -x 45.80.48.255 @localhost +short
45-80-48-255.remontti.net.br.

# dig -x 45.80.48.2 @localhost +short
ns1.remontti.net.br.

# dig -x 45.80.48.3 @localhost +short
ns2.remontti.net.br.

# dig -x 45.80.49.0 @localhost +short
45-80-49-0.remontti.net.br.

# dig -x 45.80.49.255 @localhost +short
45-80-49-255.remontti.net.br.

# dig -x 45.80.50.0 @localhost +short
45-80-50-0.remontti.net.br.

# dig -x 45.80.50.255 @localhost +short
45-80-50-255.remontti.net.br.
 
# dig -x 45.80.51.0 @localhost +short
45-80-51-0.remontti.net.br.

# dig -x 45.80.51.255 @localhost +short
45-80-51-255.remontti.net.br.

# dig -x 2804:f123:bebe:cafe::2 @localhost +short
ns1.remontti.net.br.

# dig -x 2804:f123:bebe:cafe::3 @localhost +short
ns2.remontti.net.br.

Como criamos nomes aos 1024 hosts/IPs (x-x-x-x.remontti.net.br) será necessário apontar cada nome desses no arquivo de autoritativo do domínio remontti.net.br para cada nome um IP. Para isso vamos voltar as configurações do domínio autoritativo que já configurado. Lembre-se de alterar o serial!

# host 45-80-50-0.remontti.net.br.

Host 45-80-50-0.remontti.net.br. not found: 3(NXDOMAIN)
Só para relembrar: NXDOMAIN: Significa que o domínio pesquisado não existe.

Para resolver isso então vamos criar todos nosso nomes.
vamos adicionar ao final do arquivo /var/cache/bind/master-aut/remontti.net.br/remontti.net.br.hosts

$ORIGIN remontti.net.br.
$GENERATE 0-1    45-80-48-$   A   45.80.48.$
$GENERATE 4-255  45-80-48-$   A   45.80.48.$
$GENERATE 0-255  45-80-49-$   A   45.80.49.$
$GENERATE 0-255  45-80-50-$   A   45.80.50.$
$GENERATE 0-255  45-80-51-$   A   45.80.51.$

# vim /var/cache/bind/master-aut/remontti.net.br/remontti.net.br.hosts

Ficando:

$ORIGIN .
$TTL 86400 ; 1 day
remontti.net.br        IN SOA  ns1.remontti.net.br. hostmaster.remontti.net.br. (
                            2023020101 ; serial
                            14400      ; refresh (4 hours)
                            3600       ; retry (1 hour)
                            2419200    ; expire (4 weeks)
                            300        ; minimum (5 minutes)
                            )
 
                        NS      ns1.remontti.net.br.
                        NS      ns2.remontti.net.br.
 
                        A       45.80.48.4
                        AAAA    2804:f123:bebe:cafe::4

$ORIGIN remontti.net.br.
$TTL 10800   ; 3 hours
 
ns1                     A       45.80.48.2
                        AAAA    2804:f123:bebe:cafe::2
hostmaster              A       45.80.48.2
                        AAAA    2804:f123:bebe:cafe::2
ns2                     A       45.80.48.3
                        AAAA    2804:f123:bebe:cafe::3
www                     A       45.80.48.4
                        AAAA    2804:f123:bebe:cafe::4

$ORIGIN remontti.net.br.
$GENERATE 0-1    45-80-48-$   A   45.80.48.$
$GENERATE 4-255  45-80-48-$   A   45.80.48.$
$GENERATE 0-255  45-80-49-$   A   45.80.49.$
$GENERATE 0-255  45-80-50-$   A   45.80.50.$
$GENERATE 0-255  45-80-51-$   A   45.80.51.$

Autoritativo ajustado, reinicie o serviço e verifique se o mesmo subiu sem erros.

# systemctl restart bind9
# systemctl status bind9

Agora ao consultar nosso nomes temos uma resposta dizendo qual nosso endereço ip

# host 45-80-48-0.remontti.net.br.
45-80-48-0.remontti.net.br has address 45.80.48.0
 
# host 45-80-49-0.remontti.net.br.
45-80-49-0.remontti.net.br has address 45.80.49.0

# host 45-80-50-0.remontti.net.br.
45-80-50-0.remontti.net.br has address 45.80.50.0

# host 45-80-51-0.remontti.net.br.
45-80-51-0.remontti.net.br has address 45.80.51.0

# host ns1.remontti.net.br.
ns1.remontti.net.br has address 45.80.48.2
ns1.remontti.net.br has IPv6 address 2804:f123:bebe:cafe::2

# host ns2.remontti.net.br.
ns2.remontti.net.br has address 45.80.48.3
ns2.remontti.net.br has IPv6 address 2804:f123:bebe:cafe::3

Para o servidor Slave

Crie o diretório onde irão ficar os arquivos e dê permissão

# mkdir /var/cache/bind/slave-rev
# chown bind: /var/cache/bind/slave-rev -R

Em seguiga crie as zonas no arquivo named.conf.local, que serão do tipo (slave) e apontaremos o IP do DNS Master para que o servidor slave faça a transferência.

# vim /etc/bind/named.conf.local

Adicione ao final:

zone "48.80.45.in-addr.arpa" {
        type slave;
        file "/var/cache/bind/slave-rev/45.80.48.rev";
        masters { 45.80.48.2; };
        allow-notify { 45.80.48.2; };
};
 
zone "49.80.45.in-addr.arpa" {
        type slave;
        file "/var/cache/bind/slave-rev/45.80.49.rev";
        masters { 45.80.48.2; };
        allow-notify { 45.80.48.2; };
};
 
zone "50.80.45.in-addr.arpa" {
        type slave;
        file "/var/cache/bind/slave-rev/45.80.50.rev";
        masters { 45.80.48.2; };
        allow-notify { 45.80.48.2; };
};
 
zone "51.80.45.in-addr.arpa" {
        type slave;
        file "/var/cache/bind/slave-rev/45.80.51.rev";
        masters { 45.80.48.2; };
        allow-notify { 45.80.48.2; };
};

zone "3.2.1.f.4.0.8.2.ip6.arpa" {
        type slave;
        file "/var/cache/bind/slave-rev/2804.f123.rev";
        masters { 45.80.48.2; };
        allow-notify { 45.80.48.2; };
};

Crio o atalho, reinico o serviço e verifico se o mesmo subiu sem erros, em seguida olho se os arquivos foram criando nas pasta.

# ln -s /var/cache/bind/slave-rev /etc/bind/slave-rev
# systemctl restart bind9
# systemctl status bind9
# ls -lh /var/cache/bind/slave-rev/ 

Validando seu reverso no registro.br https://registro.br/tecnologia/ferramentas/verificacao-de-dns/
Vamos verificar pelos domínos .arpa

48.80.45.in-addr.arpa
49.80.45.in-addr.arpa
50.80.45.in-addr.arpa
51.80.45.in-addr.arpa
3.2.1.f.4.0.8.2.ip6.arpa

RESULTADOS

DOMÍNIO            : 48.80.45.in-addr.arpa
DNS                : 45.80.48.2
STATUS             : Autoridade sobre o domínio
VERSÃ              : O2021102602
TEMPO DE RESPOSTA  : 23.990 ms

DOMÍNIO            : 49.80.45.in-addr.arpa
DNS                : 45.80.48.2
STATUS             : Autoridade sobre o domínio
VERSÃ              : O2021102602
TEMPO DE RESPOSTA  : 23.990 ms

DOMÍNIO            : 50.80.45.in-addr.arpa
DNS                : 45.80.48.2
STATUS             : Autoridade sobre o domínio
VERSÃ              : O2021102602
TEMPO DE RESPOSTA  : 23.990 ms

DOMÍNIO            : 51.80.45.in-addr.arpa
DNS                : 45.80.48.2
STATUS             : Autoridade sobre o domínio
VERSÃ              : O2021102602
TEMPO DE RESPOSTA  : 23.990 ms

DOMÍNIO            : 3.2.1.f.4.0.8.2.ip6.arpa
DNS                : 45.80.48.2
STATUS             : Autoridade sobre o domínio
VERSÃ              : O2021102602
TEMPO DE RESPOSTA  : 23.990 ms

Se tudo estiver certo você terá Autoridade sobre o domínio, repita o mesmo no seu para o IP do servidor Slave.

Seu reverso está pronto para ser configurado no registro.br, acesse sua conta clique em NUMERAÇÃO em seguira sobre seu prefixo exemplo 45.80.48.0/22, clique no "quadro azul" e clique em Configurar DNS, preencha o formulário Delegação DNS - 45.80.48.0/22 informado o Servidor 1: ns1.remontti.net.br e Servidor 2: ns2.remontti.net.br. Lembrando que o DNS do autoritativo "remontti.net.br" deve estar com os subdominios ns1 e ns2 apontando para o IP do seu servidor DNS, e o mesmo já deve ter propagado, se você tem acabou de alterar os DNS do remontti.net.br aguarde um tempo (até 24h) para fazer a configuração do reverso.

Dúvida frequente:
- Posso ter reversos de diferentes blocos usando o mesmo domínio autoritativo?
Sim, como também pode para outros domínios, inclusive mesclados.

- É possível configurar o DNSSEC para os reversos? Sim basta seguir o mesmo padrão que usamos no exemplo com nosso propío domínio, lembrado que "não existe reverso" tudo é um dominio autoritativo que já existe chamado de xxxxxxxx.in-addr.arpa e xxxxxxx.ip6.arpa, para configurar no registro br é muito simples, basta você realizar a configuração do DNSSEC em cima de cada /24 seu e ir no painel do registro e clicar em DNSSEC e salvar, ele ira identificar sua configuração.

Um ótimo site para verificar seu DNSSEC é o https://dnsviz.net/

Como configurar o reverso para prefixos menores que /24

Vamos supor que você dono de um /22 e vai repassar um prefixo /28 para um provedor sem AS ou uma empresa que é seu cliente, e o mesmo deseja ter seu reverso respondendo em seus servidores DNS (RFC2317).

Primeiramente faça a delegação no registro.br do /28 para o CNPJ/Domínios do de seu cliente, acesse sua conta clique em NUMERAÇÃO em seguira sobre seu prefixo exemplo 45.80.48.0/22, clique no "quadro azul" e clique em Expandir até chegar no prefixo /28, clieque sobre o quadro do prefixo desejado e em seguida em Configurar designação e preecha o formulário com o CNPJ/Domínios do seu cliente, se o mesmo não possuir solicite que faça seu cadastro.

Se ficar em dúvidas recomendo que assista: https://www.youtube.com/watch?v=VIa1dHtmQ4U DNS Reverso (~20min fala sobre isso)
No exemplo vamos supor que o bloco seja o 45.80.49.64/28, como o mesmo fica no arquivo 45.80.49.rev vamos edita-lo.

# vim /var/cache/bind/master-rev/45.80.49.rev

Iremos quebrar nosso GENERETE para pular os IPs finais 64 a 79, e vamos apontar ele para os DNS do cliente, logo é claro que ele precisa ter um domínio já configurado, e nesse DNS ele apontar exemplo ns1 e ns2 para o IP do servidor que ele estará fazendo a configuração. Explico já já como faz o lado dele.

$ORIGIN .
$TTL 86400      ; 1 day
51.80.45.in-addr.arpa IN SOA ns1.remontti.net.br. hostmaster.remontti.net.br. (
                    2023020101 ; serial
                    14400      ; refresh (4 hours)
                    3600       ; retry (1 hour)
                    2419200    ; expire (4 weeks)
                    300        ; minimum (5 minutes)
                    )
                NS      ns1.remontti.net.br.
                NS      ns2.remontti.net.br.

$ORIGIN 49.80.45.in-addr.arpa.
$GENERATE 0-63 $ PTR 45-80-51-$.remontti.net.br.

; Cliente delegado
;  <<64-79>> /28
; Aponte para os DNS do Servidor do José 
64/28     NS     ns1.provedordojose.com.br. 
64/28     NS     ns2.provedordojose.com.br. 
; 
64      CNAME    64.45/28.49.80.45.in-addr.arpa. 
65      CNAME    65.45/28.49.80.45.in-addr.arpa. 
66      CNAME    66.45/28.49.80.45.in-addr.arpa. 
67      CNAME    67.45/28.49.80.45.in-addr.arpa. 
68      CNAME    68.45/28.49.80.45.in-addr.arpa. 
69      CNAME    69.45/28.49.80.45.in-addr.arpa. 
70      CNAME    70.45/28.49.80.45.in-addr.arpa. 
71      CNAME    71.45/28.49.80.45.in-addr.arpa. 
72      CNAME    72.45/28.49.80.45.in-addr.arpa. 
73      CNAME    73.45/28.49.80.45.in-addr.arpa. 
74      CNAME    74.45/28.49.80.45.in-addr.arpa. 
75      CNAME    75.45/28.49.80.45.in-addr.arpa. 
76      CNAME    76.45/28.49.80.45.in-addr.arpa. 
77      CNAME    77.45/28.49.80.45.in-addr.arpa. 
78      CNAME    78.45/28.49.80.45.in-addr.arpa. 
79      CNAME    79.45/28.49.80.45.in-addr.arpa.

$ORIGIN 51.80.45.in-addr.arpa.
$GENERATE 80-255 $ PTR 45-80-51-$.remontti.net.br.

Reinicie o serviço e verifique o mesmo

# systemctl restart bind9
# systemctl status bind9

Lado do "provedor do Jose"

Como estamos falando de um outro provedor, é quase certo que ele fará seu DNS: Recursivo, autoritativo e reverso. Então faça a instalação do bind e todos os procedimentos das configurações de recursivo e autoritativo sobre o domínio “provedordojose.com.br”, porém a configuração do reverso irá mudar um pouco, ficando:

Autoritativo

# vim /var/cache/bind/master-aut/provedordojose.com/provedordojose.com.br.hosts

$ORIGIN .
$TTL 86400 ; 1 day
provedordojose.com.br        IN SOA  ns1.provedordojose.com.br. hostmaster.provedordojose.com.br. (
                            2023020101 ; serial
                            14400      ; refresh (4 hours)
                            3600       ; retry (1 hour)
                            2419200    ; expire (4 weeks)
                            300        ; minimum (5 minutes)
                            )

                        NS      ns1.provedordojose.com.br.
                        NS      ns2.provedordojose.com.br.

                        A       45.80.49.67

$ORIGIN provedordojose.com.br.
$TTL 10800   ; 3 hours

ns1                     A       45.80.49.66
hostmaster              A       45.80.49.66

ns2                     A       45.80.49.67

www                     A       45.80.49.67

$ORIGIN provedordojose.com.br.
$GENERATE 64-65  45-80-49-$    A   45.80.49.$

$ORIGIN provedordojose.com.br.
$GENERATE 68-79  45-80-49-$    A   45.80.49.$

Reverso

# vim /var/cache/bind/master-rev/45.80.49.64-79.rev

$TTL 1h
@               IN      SOA     ns1.provedordojose.com.br. root.provedordojose.com.br. (
                    2020050101 ; serial
                    10800      ; refresh (3 hours)
                    3600       ; retry (1 hour)
                    2419200    ; expire (4 weeks)
                    300        ; minimum (5 minutes)
                    )

        IN      NS      ns1.provedordojose.com.br.
        IN      NS      ns2.provedordojose.com.br.

$ORIGIN 64/28.49.80.45.in-addr.arpa.
64      IN      PTR     45-80-49-64.provedordojose.com.br.
65      IN      PTR     45-80-49-65.provedordojose.com.br.
66      IN      PTR     ns1.provedordojose.com.br.
67      IN      PTR     ns2.provedordojose.com.br.
68      IN      PTR     45-80-49-68.provedordojose.com.br.
69      IN      PTR     45-80-49-69.provedordojose.com.br.
70      IN      PTR     45-80-49-70.provedordojose.com.br.
71      IN      PTR     45-80-49-71.provedordojose.com.br.
72      IN      PTR     45-80-49-72.provedordojose.com.br.
73      IN      PTR     45-80-49-73.provedordojose.com.br.
74      IN      PTR     45-80-49-74.provedordojose.com.br.
75      IN      PTR     45-80-49-75.provedordojose.com.br.
76      IN      PTR     45-80-49-76.provedordojose.com.br.
77      IN      PTR     45-80-49-77.provedordojose.com.br.
78      IN      PTR     45-80-49-78.provedordojose.com.br.
79      IN      PTR     45-80-49-79.provedordojose.com.br.

# vim /etc/bind/named.conf.local

zone "provedordojose.com.br" {
        type master;
        file "/var/cache/bind/master-aut/provedordojose.com.br/provedordojose.com.br.hosts";
        key-directory "/var/cache/bind/master-aut/rprovedordojose.com.br/keys/";
        dnssec-policy default;
        inline-signing yes;
        serial-update-method unixtime;
};

zone "64/28.49.80.45.in-addr.arpa" {
        type master;
        file "/var/cache/bind/master-rev/45.80.49.64-79.rev";
};

Reinicie o serviço

# systemctl restart bind9
# systemctl status bind9

Situação de reverso para cliente final sem ele ter servidor de DNS

Meu cliente quer que eu aponto os nomes dos IPs reverso para o seu domínio, posso?
Sim, pode! Em muitos casos de clientes corporativos que tem seu próprio servidor de e-mail é possível que o mesmo peça para fazer isso. Ex:

# vim /var/cache/bind/master-rev/45.80.49.rev

$ORIGIN .
$TTL 86400      ; 1 day
49.80.45.in-addr.arpa IN SOA ns1.remontti.net.br. hostmaster.remontti.net.br. (
                    2023020101 ; serial
                    14400      ; refresh (4 hours)
                    3600       ; retry (1 hour)
                    2419200    ; expire (4 weeks)
                    300        ; minimum (5 minutes)
                    )
                NS      ns1.remontti.net.br.
                NS      ns2.remontti.net.br.

$ORIGIN 49.80.45.in-addr.arpa.
$GENERATE 0-63 $ PTR 45-80-49-$.remontti.net.br.

$ORIGIN 49.80.45.in-addr.arpa.
64      PTR     45-80-49-64.provedordojose.com.br.
65      PTR     45-80-49-65.provedordojose.com.br.
66      PTR     ns1.provedordojose.com.br.
67      PTR     ns2.provedordojose.com.br.
68      PTR     mail.provedordojose.com.br.
69      PTR     45-80-49-69.provedordojose.com.br.
70      PTR     45-80-49-70.provedordojose.com.br.
71      PTR     45-80-49-71.provedordojose.com.br.
72      PTR     45-80-49-72.provedordojose.com.br.
73      PTR     45-80-49-73.provedordojose.com.br.
74      PTR     45-80-49-74.provedordojose.com.br.
75      PTR     45-80-49-75.provedordojose.com.br.
76      PTR     45-80-49-76.provedordojose.com.br.
77      PTR     45-80-49-77.provedordojose.com.br.
78      PTR     45-80-49-78.provedordojose.com.br.
79      PTR     45-80-49-79.provedordojose.com.br.

$ORIGIN 49.80.45.in-addr.arpa.
$GENERATE 80-199 $ PTR 45-80-49-$.remontti.net.br.

$ORIGIN 49.80.45.in-addr.arpa.
200     PTR     mail.empresa.com.br.
201     PTR     mail.minhaempresa.com.br.
202     PTR     mail.algumaempresa.com.br.
203     PTR     www.algumchato.com.br.
204     PTR     maischatoainda.com.br.

$ORIGIN 49.80.45.in-addr.arpa.
$GENERATE 205-255 $ PTR 45-80-49-$.remontti.net.br.

Reinicie os serviços

# systemctl restart bind9
# systemctl status bind9

Mais um pouco de DNS!

Posso configurar DNS reverso de IPs privados?
Sim pode, ajustes no named.conf.default-zones e zones.rfc1918
Remova as linhas dos IPs privados que deseja configurar.

Posso configurar DNS reverso de outro AS?
Sim. Basta configurar! (Conheço provedores pequenos que ambos tem 1 servidor DNS cada e um é o backup do outro)

Estatísticas do DNS

Estatística web/http (statistics-channels)
Para ativar edite o /etc/bind/named.conf

# vim /etc/bind/named.conf

Adicione antes dos include, sendo que 45.80.48.2 é o IP público do DNS e 45.80.48.100 e 45.80.48.101 (Só aceita /32) são os IPs que poderão acessar no navegaro a porta 58053 para visualizar as informações. Porém perceba que também deixou um inet só para o IP de loopback (127.0.0.1 ) a ideiá aqui é que só o zabbix-agente acesse, eu particularmente não deixou o outro inet sendo ouvido, se deseja comente ele com //

statistics-channels {
       inet 127.0.0.1  port 58053 allow { 127.0.0.1; ::1; };
       inet 45.80.48.2  port 58053 allow { 45.80.48.100; 45.80.48.101; };
};

Para surtir efeito reinicie o serviço

# systemctl restart bind9

Agora acesse http://IP_DNS:58053/

Usaremos a seguir este método para coletar informações para o zabbix.

Outra forma é as estatística em arquivo (statistics-file), você pode definir um local especifico para gerar seu arquivo com as estatística, caso não especificado o mesmo é gerado em /var/cache/bind/named.stats

# vim /etc/bind/named.conf.options

Adicione dentro de options { … }

options {
//…
//…
    statistics-file "/var/log/named/named.stats";
//…
//…
};

Como sempre, em toda alteração reiniciamos o serviço

# systemctl restart bind9

Porém para gere o arquivo de estatísticas é necessário o comando, e toda vez que deseja atualizar precisa executar o comando.

# rndc stats

Exibe os dados do arquivo

# cat /var/log/named/named.stats
ou
# cat /var/cache/bind/named.stats

Caso queira ver oque esta em cache pode usar o comando:

# rndc dumpdb -cache

Ira gerar um arquivo named_dump.db em /var/cache/bind/

# cat /var/cache/bind/ | more
# cat /var/cache/bind/ | grep google

Criando Backup

Basta salvar os diretórios /etc/bind/* /var/cache/bind/* /usr/share/dns/* Gerar um arquivo de backup

# tar -czpf ns1.tar.gz /etc/bind/* /var/cache/bind/* /usr/share/dns/*

Extrair arquivo de backup

# tar vxf ns1.tar.gz

Recomendo a leitura do tutorial: Criando backups de forma simples e enviando para o Telegram ou servidor via SSH

Coletando dados dos bind e fail2ban para Zabbix 6 LTS

Se você ainda não tem um zabbix server aqui tem um belo tutorial:
Instalação do Zabbix 6 LTS + NGINX + PostgreSQL + Debian 11
Instalação do Grafana no Debian 11 Bullseye

No nosso servidor DNS vamos precisar apenas do zabbix-agent, vamos adiciona o repositório do zabbix LTS para Debian 11 e em seguina intala-lo.

# cd /tmp
# apt install wget
# cd /tmp/
# wget https://repo.zabbix.com/zabbix/6.0/debian/pool/main/z/zabbix-release/zabbix-release_6.0-5+debian12_all.deb
# apt install ./zabbix-release_6.0-5+debian12_all.deb
# apt update; apt upgrade -y
# apt install zabbix-agent
# systemctl enable zabbix-agent

Em seguida vamos precisar informar o IP do zabbix server:

# vim /etc/zabbix/zabbix_agentd.conf

Localize e altere:

Server=45.80.48.10 #IP Zabbix Server
ServerActive=45.80.48.10 #IP Zabbix Server
Hostname=ns1 #Nome exato cadastrado no Zabbix server

Reinicie o serviço do zabbix agent

# systemctl restart zabbix-agent

Não esqueça de ajustar statistics-channels named.conf:

statistics-channels {
  inet 127.0.0.1 port 58053 allow { 127.0.0.1; };
};

Vou usar o projeto Zabbix-Bind9-Statistics-Collection compartilhado no meu gituhub

Copie o userparameter_rr_bind.conf no diretório (/etc/zabbix/zabbix_agentd.d) de inclusão dos agentes do Zabbix.

# cd /etc/zabbix/zabbix_agentd.d/
# wget https://raw.githubusercontent.com/remontti/Zabbix-Bind9-Statistics-Collection/master/userparameter_rr_bind.conf

Copie o script bind-stats-rr.py para dentro de /etc/zabbix/script/ e ajustaremos os poderes e permissões.

# mkdir /etc/zabbix/script
# cd /etc/zabbix/script
# wget https://raw.githubusercontent.com/remontti/Zabbix-Bind9-Statistics-Collection/master/bind-stats-rr.py
# chmod a+x /etc/zabbix/script/bind-stats-rr.py
# chown zabbix: /etc/zabbix/script/ -R
# systemctl restart zabbix-agent

Você pode receber estatísticas por zona (que serão descobertas automaticamente) adicionando a seguinte cláusula a cada definição de zona no seu named.conf.local: zone-statistics yes; Ex.:

zone "remontti.net.br" {
        type master;
        file "/var/cache/bind/master-aut/remontti.net.br/remontti.net.br.hosts";
        key-directory "/var/cache/bind/master-aut/remontti.net.br/keys/";
        dnssec-policy default;
        inline-signing yes;
        serial-update-method unixtime;
        zone-statistics yes;
};

zone "48.80.45.in-addr.arpa" {
        type master;
        file "/var/cache/bind/master-rev/45.80.48.rev";
        zone-statistics yes;
};

zone "49.80.45.in-addr.arpa" {
        type master;
        file "/var/cache/bind/master-rev/45.80.49.rev";
        zone-statistics yes;
};

zone "50.80.45.in-addr.arpa" {
        type master;
        file "/var/cache/bind/master-rev/45.80.50.rev";
        zone-statistics yes;
};

zone "51.80.45.in-addr.arpa" {
        type master;
        file "/var/cache/bind/master-rev/45.80.51.rev";
        zone-statistics yes;
};

zone "3.2.1.f.4.0.8.2.ip6.arpa" {
        type master;
        file "/var/cache/bind/master-rev/2804.f123.rev";
        zone-statistics yes;
};

Não esqueça de restartar o serviço se editar o named.local.conf `systemctl restart zabbix-agent`

Baixe o arquivo RR Bind9.xml para seu computador e importe o mesmo para o seu Zabbix Server.
Vamos ter 3 novos templates:

- RR Servico Bind9 ==> Irá verificar se os serviço esta UP
- RR Servico Bind9 - Estatisticas ==> Diversas informações
- RR Servico Bind9 - Valida arquivos - Deb11 ==> Notificará sempre que um arquivo named.conf* for modificado

Coletando dados das prisões do Fail2ban

Projeto zabbix-fail2ban-discovery

Faça o download do arquivo userparameter_fail2ban.conf para o diretório /etc/zabbix/zabbix_agentd.d/

# cd /etc/zabbix/zabbix_agentd.d/
# wget https://raw.githubusercontent.com/remontti/zabbix-fail2ban-discovery/master/userparameter_fail2ban.conf

O Fail2ban funciona apenas com root por padrão. Precisaremos conceder permissão ao Zabbix para acessar o Fail2ban. Não é uma boa ideia conceder permissão de root ao Zabbix em termos de segurança. Em vez disso, permitiremos que o usuário do Zabbix use esse soquete. O agente Zabbix é executado sob o usuário zabbix. Primeiro, precisamos criar um novo grupo chamado fail2ban. Todos os usuários pertencentes a este grupo poderão acessar o Fail2ban.

Criar um grupo:

# addgroup --group fail2ban

Adicionar o usuário zabbix existente ao grupo fail2ban:

# usermod -a -G fail2ban zabbix

Em seguida, devemos alterar o proprietário do grupo do soquete de root para fail2ban:

# chown root:fail2ban /var/run/fail2ban/fail2ban.sock

Por fim, ajuste as permissões no soquete para que os membros do grupo possam acessá-lo:

# chmod g+rwx /var/run/fail2ban/fail2ban.sock

Agora podemos testar que o agente Zabbix pode chamar Fail2ban:

# su - zabbix --shell=/bin/bash -c 'fail2ban-client status sshd'

Status for the jail: sshd
|- Filter
|  |- Currently failed: 0
|  |- Total failed:     0
|  `- File list:        /var/log/auth.log
`- Actions
   |- Currently banned: 0
   |- Total banned:     0
   `- Banned IP list:

As instruções de instalação abrangem a alteração das permissões do soquete fail2ban para acesso como um usuário não root; no entanto, essas alterações são perdidas na próxima vez que o soquete é criado.

Para tornar as alterações permanentes em um sistema em que o fail2ban é gerenciado pelo systemd, adicione o seguinte ao arquivo de substituição de serviço fail2ban

# systemctl edit fail2ban

Adicione:

[Service]
ExecStartPost=/bin/sh -c "while ! [ -S /run/fail2ban/fail2ban.sock ]; do sleep 1; done"
ExecStartPost=/bin/chgrp fail2ban /run/fail2ban/fail2ban.sock
ExecStartPost=/bin/chmod g+w /run/fail2ban/fail2ban.sock
Restart Zabbix Agent

Reinicie os serviços

# systemctl daemon-reload
# systemctl restart zabbix-agent fail2ban 

Consulte se o grupo é o fail2ban

# ls -lh /var/run/fail2ban/fail2ban.sock

srwxrwx--- 1 root fail2ban 0 jun 18 11:47 /var/run/fail2ban/fail2ban.sock

Faça download do template RR Servico Fail2ban - Monitor Filtros e importe para o Zabbix Server.

Por hoje é "só" pessoal!
Espero ter colaborado com uma pequena parcela em seu conhecimento.
Esse tutorial levei dois dias escrevendo então conto com sua ajuda para poder manter o blog!

Se quiser fazer uma doação para o café ficarei muito feliz pelo seu reconhecimento!

Se não puder doar pode deixar seu agradecimento nos comentário também ficarei feliz em saber que ajudei. Se tiver qualquer pergunta deixe-a também. Se preferir entrar em Contato clique aqui.

Recomendado:
https://www.isc.org/download/
https://downloads.isc.org/isc/bind9/9.16.15/doc/arm/Bv9ARM.pdf
Extensão para navegador:
https://chrome.google.com/webstore/detail/ipvfoo/ecanpcehffngcegjmadlcijfolapggal
https://addons.mozilla.org/en-US/firefox/addon/ipvfoo-pmarks/

Ferramentas web:
https://dnschecker.org/
https://zonemaster.net/

O post Servidor DNS Bind9 – Recursivo + Autoritativo DNSSEC + Reverso + RPZ + Fail2ban + nftables + Zabbix no Debian 11/12 apareceu primeiro em Remontti.