Ajuda com Firewall [RESOLVIDO]

gabriellucio
(usa Outra)

Enviado em 01/09/2013 - 22:11h

Boa noite a todos,
Pessoal estou com um problema urgente, o servidor de firewall de um cliente foi para o espaço, ele utilizava um equipamento com o Windows Server 2k3 e utilizava o ISA server como firewall.
Para evitar gastos adicionais, sugeri instalar um novo equipamento alguma distribuição Linux e configurar o serviço de firewall neste equipamento. O cliente gostou da sugestão e aceitou, ai é que começa o grande problema, eu nunca fiz isso antes...

Bom, vamos la´.
Instalei o Ubuntu Server 12.04 e atualizei o Kernel.
-Primeira duvida.
Como faço para tornar este equipamento um gateway de internet?
-Segunda duvida.
Pretendo instalar o Squid, qual seria o método mais recomendado para simplificar a configuração deste servidor.
Seria mais interessante configurar o SQUID como proxy e criar as regras de portas no IPTables, ou seria mais vantajoso configurar o Squid como Proxy transparente e criar as regras de bloqueio de portas dentro do próprio SQUID? (tendo em vista que meu conhecimento em Linux e IPTables é nulo).

Vou explicar abaixo o ambiente deste cliente para tentar facilitar a compreensão.
Este cliente possui um balanceador de internet com duas internets, este balanceador chega no servidor de Firewall na porta ETH0 e o firewall está ligado no Switch pela porta ETH1.


Amigos, qualquer ajuda nos códigos e/ou alguma sugestão sou todo ouvidos.


Desde já agradeço a ajuda, e desculpem o post longo.

souzacarlos
(usa Outra)

Enviado em 01/09/2013 - 22:27h

Boa noite, segue algumas explicações,

1 - Link com script para habilitar POLICE do iptables com ACCEPT e habilitar roteamento exatamente na mesma ordem das suas interface ETH0 PARA LINK DE INTERNET ETH1 LOCAL

http://vivaolinux.com.br/script/Limpar-regras-e-compartilhar-conexao

2 - Método para instalar o squid no ubuntu
Primeiro pode dar uma atualizada

apt-get update

depois

apt-get install squid

Com relação ao proxy isso é de cada topologia, tem clientes que usam transparente e não enfrentam problemas, eu não gosto muito prefiro setar o proxy no cliente e impedir através de regras que ele navegue sem proxy.

Em relação a tipo de bloqueio um misto disto será um cenário bacana, e em relação as regras de iptables não tem acordo meu camarada vai ter que estudar!!!!

Obs.: Partindo princípio que vc sabe executar o script caso não segue:

./nomedoteuescript

isso estando vc no diretório atual do script

aguardo,

gabriellucio
(usa Outra)

Enviado em 01/09/2013 - 22:46h

SouzaCarlos.
Amanhã cedo vou dar uma olhada e te falo.

Com relação ao iptables eu já imaginava que ia ter que estudar, você recomenda alguma material para consulta?

Muito obrigado e boa noite

Buckminster
(usa Debian)

Enviado em 02/09/2013 - 00:06h

Iptables:
http://www.vivaolinux.com.br/artigo/Manual-do-IPtables-Comentarios-e-sugestoes-de-regras?pagina=1

DHCP e Compartilhamento (Gateway no Linux):
http://www.vivaolinux.com.br/artigo/Configuracao-do-sistema-DHCP-compartilhamento-e-DNS-no-Debian-Sq...

Squid:
http://www.vivaolinux.com.br/artigo/Squid-Entendendo-um-pouco-as-configuracoes/
http://www.vivaolinux.com.br/artigo/Manual-traduzido-do-Squid/

O tipo de configuração (Iptables + Squid) depende do grau de segurança que o teu cliente precisa.
O Iptables é utilizado para configurar, manter e inspecionar as tabelas de regras de filtragem de pacotes IPv4 no kernel do Linux, ou seja, ele atua diretamente no kernel do Linux.
O Squid atua mais nos navegadores.

Podemos definir assim: o Iptables deve ser utilizado para controles mais "pesados", o Squid para controle mais "finos" e precisos.

souzacarlos
(usa Outra)

Enviado em 02/09/2013 - 00:21h

Buck finalizou.... exatamente isso...

removido
(usa Nenhuma)

Enviado em 02/09/2013 - 08:45h

Vai de PFSense velhinho. Vai facilitar muito sua administração.

http://eficienti.wordpress.com/2011/02/02/instalacao-configuracao-e-manutencao-do-pfsense-2/

gabriellucio
(usa Outra)

Enviado em 02/09/2013 - 09:42h

Resolvido,
Amigos acabou que consegui resolver o problema da maquina com o Windows Server.
Agradeço a todos o suporte, e vou utilizar as informações que aqui foram dadas para montar um firewall no meu laboratório e fazer testes.
Mais uma vez muito obrigado!

saitam
(usa Slackware)

Enviado em 02/09/2013 - 10:08h

É bom ressaltar ao criador do tópico que o Pfsense é distro FreeBSD customizado para serviços de redes.

Tem também do mesmo naipe, mas distro Linux, é o EndianFW.

Buckminster
(usa Debian)

Enviado em 02/09/2013 - 11:47h

De nada.