Servidor In Line

engos
(usa openSUSE)

Enviado em 21/02/2008 - 16:52h

Olá pessoal do VOL!


Preciso montar um servidor in line para um firewall, ou seja, enquanto uma configuração padrão é:

ESTACAO -> REDE -> HUB -> FIREWALL -> REDE -> HUB -> SERVIDOR WEB -> INTERNET


Preciso que seja:

ESTACAO -> REDE -> HUB -> FIREWALL -> SERVIDOR WEB -> INTERNET


Em outras palavras, as aplicações quando forem acessar a internet elas precisam passar pelo Firewall, sendo que o cabo de rede que sai do hub vai para a placa de rede 1 do firewall e sai um cabo da placa de rede 2 do firewall para a placa de rede 1 do servidor web e da placa de rede 2 do servidor web para a internet.


Sei que isso é possível e que o firewall (o qual é um firewall que desenvolvi para um caso específico) comporta isso. O servidor de DNS, servidor web etc não precisa mecher em nada na configuração, senão faria de forma convencional ao invés de in line.


Bem, sabendo-se disso, alguém sabe como faço para configurar o linux para que a placa de rede 1 receba a rede, "chame a aplicação de firewall" e pela segunda placa de rede chame o servidor web, sendo que na configuração de DNS esse computador do firewall é inexistente? (Como se ele o micro do firewall fosse um cabo de rede ligando o hub ao servidor web, mas tratando as requisições)


Obrigado a todos pela atenção.

marcosmiras
(usa CentOS)

Enviado em 21/02/2008 - 17:18h

Caraca brother, bem a repinboca da parafuseta mesmo hein... hehe
Na parte
""configurar o linux para que a placa de rede 1 receba a rede, "chame a aplicação de firewall" e pela segunda placa de rede chame o servidor web""
As placas estão na mesma range?

engos
(usa openSUSE)

Enviado em 21/02/2008 - 17:37h

Eis a questão....

Porque qual IP devo colocar em cada placa? Pois se eu colocar um IP igual ao do servidor web da conflito, mas se eu colocar um IP diferente, como vai chegar até o servidor web se ninguem sabe que o firewall está na rede e o IP do servidor web não vai estar diretamente ligado a rede?


Sei que é possível colocar o ip do firewall com o mesmo do servidor web, montar um outro dominio no firewall e através dele chamar o servidor web, mas é assim que se faz isso? Acho complicado demais para um micro que vai ficar "escondido" na rede servindo como "jumper".

marcosmiras
(usa CentOS)

Enviado em 21/02/2008 - 17:41h

hehe... Acho que estou começando a entender você quer que o servidor web fique "escondido" da rede como uma VLAN ou DMZ, correto?
Preciso entender o que vc realmente quer, não sou muito bom de interpretação de texto muito menos tenho didática... hehe
Se for o que estou pensando tenho até pronto...

engos
(usa openSUSE)

Enviado em 22/02/2008 - 09:20h

Isso é complicado mesmo, quando me falaram que era preciso fazer isso demorei meia hora pra etender...


Não é isso.

Bem, vou tentar explicar de outra forma.

A situação é a seguinte, tenho toda a infra montada da empresa, com firewall e tudo, mas nenhum firewall tradicional pega ataque de SQL Injection, pois é erro de aplicação.

O firewall que montei ele analisa o que está passando por ele e consegue achar SQL Injection como um ataque e bloqueia isso para que nunca chegue até a aplicação que estão tentando atacar.

Acontece que como toda a infra já está montada, seria um trabalho enorme configurar todas as máquinas, ou esperar a replicação de DNS automática de todas elas, para poder colocar esse firewall que montei na rede para que todos façam acesso por ele, principalmente porque ele é experimental e vou precisar toda hora ficar colocando-o e retirando-o da rede.

Sendo assim para não ter que configurar tudo toda hora existe uma forma de se colocar o firewall "como se le fosse uma placa de rede", ou seja, ele vai entrar de forma passiva na rede, onde está o cabo de rede no servidor web, vou colocar nesse micro com o firewall e de outra placa dele vou conectar no servidor web.

Fisicamente só vou colocar esse micro entre o hub e o servidor web, como se fosse um extensor de cabo de rede.

Mas na pratica ele tem que receber todos os dados que estão indo para o servidor web e os encaminhar para ele depois de análise. Acontece que não posso mudar nenhuma regra de dns, firewall, ip etc para isso, em outras palavras, ele realmente vai entrar como um extensor de cabo de rede.

Pelo que entendi desse conceito de servidor in line, ele nem deve ter ip proprio, deve ficar na mesma rede e ninguem deve saber que ele existe, nem mesmo o servidor web para o qual ele vai encaminhar os dados.

Complicado de entender né? Imagina fazer... rsrsrs

Apesar que depois de feito deve ser mais fácil do que andar para frente. :)

marcosmiras
(usa CentOS)

Enviado em 22/02/2008 - 09:45h

Agora eu entendi... hehe
Cara foi dificil de entender mas de fazer é tranquilo...
O que você vai ter de fazer é um DMZ, já ouviu falar? Caso não
http://pt.wikipedia.org/wiki/DMZ

Seguinte:
rede=NT
firewall=FW
servidor=WWW

Você terá de fazer o seguinte, atribuir o IP do WWW para o FW, e colocar uma segunda placa de rede no firewall com uma range diferente de ip.

Exemplo:
FW
ifconfig eth0 192.168.0.254 255.255.255.0 # vai para NT
ifconfig eth1 10.0.0.1 255.0.0.0 # vai para o WWW
ifconfig eth2 200.000.000.000 255.000.000.000 # vai para a net (caso o WWW fora proxy(gateway))

No WWW você deixa uma única placa de rede:

ifconfig eth1 10.0.0.2 255.0.0.0 # vai para o FW

No firewall você colocar um redirecionamento de porta para IP (vou dar o exemplo de ssh):

iptables -t nat -A PREROUTING -p tcp --dport 1121 -j DNAT --to-destination 10.0.0.2:22

Agora para quem está de fora acessar sua APP, você deverá fazer um Proxy reverso no apache:
http://www.vivaolinux.com.br/artigos/verArtigo.php?codigo=558

Bem, creio que possa te ajudar... É simples mas é de coração (risos).
Espero ter ajudado
Abraços!
Marcos Miras
marcosmiras@atmsystem.com.br

engos
(usa openSUSE)

Enviado em 22/02/2008 - 10:16h

Sua solução é o que cheguei a comentar para fazer isso, mas não posso porque teria que alterar o ip do servidor web.

O conceito do servidor in line é justamente acoplar mais um servidor entre a rede e outro, sem ter que alterar em nada, principalmente o IP.

:(


Para você entender melhor o que seria o in line server, tem um doc (em inglês) de um servidor desse tipo da Intel que achei agora e ainda estou lendo, mas pelo destaque inicial em negrito, acho que a placa de rede tem que ser capaz disso e não pode ser qualquer uma, mas ainda estou lendo para tentar confirmar isso...

http://www.century-sun.net/intel/documents/server/PCI-E/9014,1024KLSF.pdf
:(

marcosmiras
(usa CentOS)

Enviado em 22/02/2008 - 10:27h

Entendi! Na verdade nunca tinha visto um caso desses! Sempre que precisei algo do tipo, fiz como te falei acima! Ou colocaria a regra específica do firewall no server web... Mas, creio que já pensaste nessa solução...
Caso você resolva o problema, seria um baita artigo bacana!
Abraço amigo...

engos
(usa openSUSE)

Enviado em 22/02/2008 - 10:39h

Com certeza se conseguir fazer isso com placas de rede convencionais vou colocar um artigo bem detalhado, senão quando precisar refazer ja viu... hehe

Mas valeu pela ajuda assim mesmo!