Denuncie   Favoritos   Indicar  

Servidor In Line

1. Servidor In Line

Rodrigo Ferreira Valentim
engos
(usa openSUSE)

Enviado em 21/02/2008 - 16:52h

Olá pessoal do VOL!


Preciso montar um servidor in line para um firewall, ou seja, enquanto uma configuração padrão é:

ESTACAO -> REDE -> HUB -> FIREWALL -> REDE -> HUB -> SERVIDOR WEB -> INTERNET


Preciso que seja:

ESTACAO -> REDE -> HUB -> FIREWALL -> SERVIDOR WEB -> INTERNET


Em outras palavras, as aplicações quando forem acessar a internet elas precisam passar pelo Firewall, sendo que o cabo de rede que sai do hub vai para a placa de rede 1 do firewall e sai um cabo da placa de rede 2 do firewall para a placa de rede 1 do servidor web e da placa de rede 2 do servidor web para a internet.


Sei que isso é possível e que o firewall (o qual é um firewall que desenvolvi para um caso específico) comporta isso. O servidor de DNS, servidor web etc não precisa mecher em nada na configuração, senão faria de forma convencional ao invés de in line.


Bem, sabendo-se disso, alguém sabe como faço para configurar o linux para que a placa de rede 1 receba a rede, "chame a aplicação de firewall" e pela segunda placa de rede chame o servidor web, sendo que na configuração de DNS esse computador do firewall é inexistente? (Como se ele o micro do firewall fosse um cabo de rede ligando o hub ao servidor web, mas tratando as requisições)


Obrigado a todos pela atenção.

0 0
  • Quote

    •   


    2. Re: Servidor In Line

    Marcos Miras
    marcosmiras
    (usa CentOS)

    Enviado em 21/02/2008 - 17:18h

    Caraca brother, bem a repinboca da parafuseta mesmo hein... hehe
    Na parte
    ""configurar o linux para que a placa de rede 1 receba a rede, "chame a aplicação de firewall" e pela segunda placa de rede chame o servidor web""
    As placas estão na mesma range?

    0 0
  • Quote

    • 3. Re: Servidor In Line

    Rodrigo Ferreira Valentim
    engos
    (usa openSUSE)

    Enviado em 21/02/2008 - 17:37h

    Eis a questão....

    Porque qual IP devo colocar em cada placa? Pois se eu colocar um IP igual ao do servidor web da conflito, mas se eu colocar um IP diferente, como vai chegar até o servidor web se ninguem sabe que o firewall está na rede e o IP do servidor web não vai estar diretamente ligado a rede?


    Sei que é possível colocar o ip do firewall com o mesmo do servidor web, montar um outro dominio no firewall e através dele chamar o servidor web, mas é assim que se faz isso? Acho complicado demais para um micro que vai ficar "escondido" na rede servindo como "jumper".

    0 0
  • Quote

    • 4. Re: Servidor In Line

    Marcos Miras
    marcosmiras
    (usa CentOS)

    Enviado em 21/02/2008 - 17:41h

    hehe... Acho que estou começando a entender você quer que o servidor web fique "escondido" da rede como uma VLAN ou DMZ, correto?
    Preciso entender o que vc realmente quer, não sou muito bom de interpretação de texto muito menos tenho didática... hehe
    Se for o que estou pensando tenho até pronto...

    0 0
  • Quote

    • 5. Re: Servidor In Line

    Rodrigo Ferreira Valentim
    engos
    (usa openSUSE)

    Enviado em 22/02/2008 - 09:20h

    Isso é complicado mesmo, quando me falaram que era preciso fazer isso demorei meia hora pra etender...


    Não é isso.

    Bem, vou tentar explicar de outra forma.

    A situação é a seguinte, tenho toda a infra montada da empresa, com firewall e tudo, mas nenhum firewall tradicional pega ataque de SQL Injection, pois é erro de aplicação.

    O firewall que montei ele analisa o que está passando por ele e consegue achar SQL Injection como um ataque e bloqueia isso para que nunca chegue até a aplicação que estão tentando atacar.

    Acontece que como toda a infra já está montada, seria um trabalho enorme configurar todas as máquinas, ou esperar a replicação de DNS automática de todas elas, para poder colocar esse firewall que montei na rede para que todos façam acesso por ele, principalmente porque ele é experimental e vou precisar toda hora ficar colocando-o e retirando-o da rede.

    Sendo assim para não ter que configurar tudo toda hora existe uma forma de se colocar o firewall "como se le fosse uma placa de rede", ou seja, ele vai entrar de forma passiva na rede, onde está o cabo de rede no servidor web, vou colocar nesse micro com o firewall e de outra placa dele vou conectar no servidor web.

    Fisicamente só vou colocar esse micro entre o hub e o servidor web, como se fosse um extensor de cabo de rede.

    Mas na pratica ele tem que receber todos os dados que estão indo para o servidor web e os encaminhar para ele depois de análise. Acontece que não posso mudar nenhuma regra de dns, firewall, ip etc para isso, em outras palavras, ele realmente vai entrar como um extensor de cabo de rede.

    Pelo que entendi desse conceito de servidor in line, ele nem deve ter ip proprio, deve ficar na mesma rede e ninguem deve saber que ele existe, nem mesmo o servidor web para o qual ele vai encaminhar os dados.

    Complicado de entender né? Imagina fazer... rsrsrs

    Apesar que depois de feito deve ser mais fácil do que andar para frente. :)

    0 0
  • Quote

    • 6. Re: Servidor In Line

    Marcos Miras
    marcosmiras
    (usa CentOS)

    Enviado em 22/02/2008 - 09:45h

    Agora eu entendi... hehe
    Cara foi dificil de entender mas de fazer é tranquilo...
    O que você vai ter de fazer é um DMZ, já ouviu falar? Caso não
    http://pt.wikipedia.org/wiki/DMZ

    Seguinte:
    rede=NT
    firewall=FW
    servidor=WWW

    Você terá de fazer o seguinte, atribuir o IP do WWW para o FW, e colocar uma segunda placa de rede no firewall com uma range diferente de ip.

    Exemplo:
    FW
    ifconfig eth0 192.168.0.254 255.255.255.0 # vai para NT
    ifconfig eth1 10.0.0.1 255.0.0.0 # vai para o WWW
    ifconfig eth2 200.000.000.000 255.000.000.000 # vai para a net (caso o WWW fora proxy(gateway))

    No WWW você deixa uma única placa de rede:

    ifconfig eth1 10.0.0.2 255.0.0.0 # vai para o FW

    No firewall você colocar um redirecionamento de porta para IP (vou dar o exemplo de ssh):

    iptables -t nat -A PREROUTING -p tcp --dport 1121 -j DNAT --to-destination 10.0.0.2:22

    Agora para quem está de fora acessar sua APP, você deverá fazer um Proxy reverso no apache:
    http://www.vivaolinux.com.br/artigos/verArtigo.php?codigo=558

    Bem, creio que possa te ajudar... É simples mas é de coração (risos).
    Espero ter ajudado
    Abraços!
    Marcos Miras
    marcosmiras@atmsystem.com.br

    0 0
  • Quote

    • 7. Re: Servidor In Line

    Rodrigo Ferreira Valentim
    engos
    (usa openSUSE)

    Enviado em 22/02/2008 - 10:16h

    Sua solução é o que cheguei a comentar para fazer isso, mas não posso porque teria que alterar o ip do servidor web.

    O conceito do servidor in line é justamente acoplar mais um servidor entre a rede e outro, sem ter que alterar em nada, principalmente o IP.

    :(


    Para você entender melhor o que seria o in line server, tem um doc (em inglês) de um servidor desse tipo da Intel que achei agora e ainda estou lendo, mas pelo destaque inicial em negrito, acho que a placa de rede tem que ser capaz disso e não pode ser qualquer uma, mas ainda estou lendo para tentar confirmar isso...

    http://www.century-sun.net/intel/documents/server/PCI-E/9014,1024KLSF.pdf
    :(

    0 0
  • Quote

    • 8. Re: Servidor In Line

    Marcos Miras
    marcosmiras
    (usa CentOS)

    Enviado em 22/02/2008 - 10:27h

    Entendi! Na verdade nunca tinha visto um caso desses! Sempre que precisei algo do tipo, fiz como te falei acima! Ou colocaria a regra específica do firewall no server web... Mas, creio que já pensaste nessa solução...
    Caso você resolva o problema, seria um baita artigo bacana!
    Abraço amigo...

    0 0
  • Quote

    • 9. Re: Servidor In Line

    Rodrigo Ferreira Valentim
    engos
    (usa openSUSE)

    Enviado em 22/02/2008 - 10:39h

    Com certeza se conseguir fazer isso com placas de rede convencionais vou colocar um artigo bem detalhado, senão quando precisar refazer ja viu... hehe

    Mas valeu pela ajuda assim mesmo!

    0 0
  • Quote





    • Patrocínio

    Site hospedado pelo provedor RedeHost.
    Linux banner

    Destaques

    Artigos

    Compartilhando a tela do Computador no Celular via Deskreen

    Como Configurar um Túnel SSH Reverso para Acessar Sua Máquina Local a Partir de uma Máquina Remota

    Configuração para desligamento automatizado de Computadores em um Ambiente Comercial

    O mínimo que você precisa saber sobre o terminal (parte 2)

    O mínimo que você precisa saber sobre o terminal (parte 1)

    Dicas

    Como renomear arquivos de letras maiúsculas para minúsculas

    Imprimindo no formato livreto no Linux

    Vim - incrementando números em substituição

    Efeito "livro" em arquivos PDF

    Como resolver o erro no CUPS: Unable to get list of printer drivers

    Tópicos

    Melhores Práticas de Nomenclatura: Pastas, Arquivos e Código (2)

    Erro de cache (1)

    Preciso resolver um erro de DPKG (0)

    Não to conseguindo resolver este problemas ao instalar o playonelinux (1)

    Excluir banco de dados no xampp (1)

    Top 10 do mês

    Scripts

    [Python] Automação de scan de vulnerabilidades

    [Python] Script para analise de superficie de ataque

    [Shell Script] Novo script para redimensionar, rotacionar, converter e espelhar arquivos de imagem

    [Shell Script] Iniciador de DOOM (DSDA-DOOM, Doom Retro ou Woof!)

    [Shell Script] Script para adicionar bordas às imagens de uma pasta

    A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.

    Site hospedado por: