Firewall

vfpv
(usa CentOS)

Enviado em 22/03/2013 - 09:47h

Bom dia pessoal,

Desculpe se estou postando no local errado e se o assunto já foi discutido.
Eu gostaria que alguém me desse umas dicas de como construir um bom firewall, de modo que tenha 2 entradas de internet e que algumas máquinas da rede possam acessar a internet por outra rota.
Explicando melhor:

Um servidor com duas wan:
wan 1 = operadora 1
wan 2 - operadora 2

Todos acessam a internet pela operadora 1 mas as máquinas do departamento de engenharia acessam a internet pela operadora 2.

Trabalho há pouco tempo com o Linux, sou limitado a subir um Debian com shaper e fazer as máquinas navegarem. Se alguém puder me dar um norte só pra eu começar fico grato.


Abraço.

saitam
(usa Slackware)

Enviado em 22/03/2013 - 10:21h

Leitura e analise das regras com base dos serviços de redes que ficará disponível na sua infra, depois monta um script shell com regras iptables, ao final do post tem um script base para começar e adaptar conforme sua infraestrutura da rede.

http://mundodacomputacaointegral.blogspot.com.br/2012/05/entendendo-o-funcionamento-de-um.html

vfpv
(usa CentOS)

Enviado em 22/03/2013 - 21:34h

Obrigado pela dica,

Li em alguns lugares que o iptables não funciona nesta situação, mesma rede com as máquinas saindo para internet por rotas diferentes. Isso não verdade então?

Atraves destas regras vou conseguir fazer o pessoal da engenharia navegar somente pelo link alternativo enquanto o resto da empresa navega pelo link principal?

phoemur
(usa Debian)

Enviado em 23/03/2013 - 18:45h

Se você tivesse dois gateways, um pra cada link, seria muito fácil resolver, mas como no caso o seu servidor tem 2 wans, você vai ter que trabalhar com a tabela de roteamento do servidor, como se fosse fazer um balanceamento de carga, mas filtrar por origem pra que determinados IPs acessem apenas por determinado link.

Sugiro dar uma estudada em roteamento avançado com iproute2... Certeza que dá certo, mas dá um pouco de trabalho...

O que você deve fazer é marcar os pacotes com iptables (mangle) e direcionar a saída com o iproute2.
Você pode também fazer um script para que quando um dos links caia automaticamente a conexão seja direcionada pra outra wan pra que a internet não caia nunca... Enfim, o linux é difícil às vezes justamente pela infinidade de escolhas que você tem pra configurar... Daí não tem outro jeito se não estudar...

Mais que sso não vou poder te ajudar pois nunca tive que implementar essa solução.

Dá uma olhada aqui pra iniciar: http://www.vivaolinux.com.br/artigo/Balanceamento-de-carga-e-alta-disponibilidade-com-Bonding-Driver...

phoemur
(usa Debian)

Enviado em 07/04/2013 - 15:16h

Ressuscitando o tópico, esse artigo aqui é um passo a passo para o que você quer, me ajudou bastante:

http://www.vivaolinux.com.br/artigo/Configurando-2-(dois)-links-ADSL-no-mesmo-servidor/?pagina=1