Firewall Básico Para Rede - Dúvida
1. Firewall Básico Para Rede - Dúvida
zago123
(usa Ubuntu)
Enviado em 15/05/2018 - 15:08h
Bom dia galera,Tenho um servidor com duas placas de Rede.
eth0 - wan
eth1 - subnet - rede interna
Tenho duas redes, uma que é a eth0 e que chega a internet e outra é a eth1 que é a subnet.
duas faixas de ip diferentes, eth0 faixa 172 e subnet eth1 faixa 10.0.0.0
Nele roda um servidor dhcp pela eth1 que distribui os ips. e na eth0 chega a internet e compartilha para a eth1 e sua subnet.
O problema que estou tendo é o seguinte, quando eu coloco o ip da minha eth0 como GATEWAY em qualquer maquina fora da subnet ele tem navegação na internet normal, e quero bloquear isso.
Qual comando eu conseguiria fazer isso?
Obrigado.
Segue meu script Atual.
#!/bin/bash echo "1" > /proc/sys/net/ipv4/ip_forward /sbin/iptables -F /sbin/iptables -t filter -P INPUT DROP /sbin/iptables -t filter -P OUTPUT ACCEPT /sbin/iptables -t filter -P FORWARD ACCEPT /sbin/iptables -t nat -P PREROUTING ACCEPT /sbin/iptables -t nat -P POSTROUTING ACCEPT /sbin/iptables -t nat -P OUTPUT ACCEPT /sbin/iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE /sbin/iptables -t filter -A INPUT -i eth1 -j ACCEPT /sbin/iptables -t filter -A INPUT -i lo -j ACCEPT #SSH /sbin/iptables -A INPUT -p tcp --dport 22 -i eth0 -j ACCEPT /sbin/iptables -A INPUT -p tcp --dport 22 -i eth1 -j ACCEPT #PING /sbin/iptables -A INPUT -p icmp -i eth0 -j ACCEPT /sbin/iptables -A INPUT -p icmp -i eth1 -j ACCEPT #DHCP /sbin/iptables -A INPUT -p tcp --dport 67 -i eth1 -j ACCEPT /sbin/iptables -A INPUT -p tcp --dport 68 -i eth1 -j ACCEPT /sbin/iptables -t filter -A FORWARD -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT /sbin/iptables -t filter -A OUTPUT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT /sbin/iptables -t filter -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
2. Re: Firewall Básico Para Rede - Dúvida
3. Re: Firewall Básico Para Rede - Dúvida
Buckminster
(usa Debian)
Enviado em 15/05/2018 - 15:29h
Como assim "em qualquer maquina fora da subnet ele tem navegação na internet normal"?Se a máquina está fora da tua subnet porque tu coloca o IP da eth0 nessa máquina?
Ou você se expressou mal ou eu entendi errado.
Ou você quis dizer que quando coloca o IP da eth0 em uma máquina da subnet ele navega normal?
4. Re: Firewall Básico Para Rede - Dúvida
zago123
(usa Ubuntu)
Enviado em 15/05/2018 - 15:50h
eu tenho 2 redes aqui, uma é a 172 que é a rede geral, e a outra é uma subnet faixa 10.x.x.x que eu uso apenas na minha bancada de formataçao.esse ip do meu servidor da eth0 é liberado no meu microtik para navegar na internet e com ele eu compartilho internet para a minha subnet, porque meu servidor tem duas placas de rede. a eth1 172.x.x.x e a eth0 - subnet 10.x.x.x.
Quando eu pego o ip da minha eth0 172.x.x.x e coloco como gateway em alguma maquina fora da minha subnet ele navega na internet normal, ele nao deveria navegar.
5. Re: Firewall Básico Para Rede - Dúvida
zago123
(usa Ubuntu)
Enviado em 15/05/2018 - 15:54h
Rochelly escreveu:
Cara muda seu FORWARD pra DROP
/sbin/iptables -t filter -P FORWARD DROP
Outra coisa eu não entendi se a sua eth1 é da rede interna pq coloca como gateway o ip da eth0 ?
Ps: seria bom vc alterar a politica do seu INPUT tbm.
Cara muda seu FORWARD pra DROP
/sbin/iptables -t filter -P FORWARD DROP
Outra coisa eu não entendi se a sua eth1 é da rede interna pq coloca como gateway o ip da eth0 ?
Ps: seria bom vc alterar a politica do seu INPUT tbm.
meu servidor tem duas placas de rede, a eth0 que é da minha rede faixa 172.x.x.x e a eth1 - subnet faixa 10.x.x.x
eu compartilho a internet da eth0 para a eth1.
Só que quando eu pego o ip do meu servidor da eth0 e coloco em qualquer outra maquina da minha rede que é faixa 172 como GATEWAY ele navega.
6. Re: Firewall Básico Para Rede - Dúvida
Rochelly
(usa Debian)
Enviado em 16/05/2018 - 12:23h
Acho que sei o que tá acontecendo, vc tem alterar algumas coisas ai, o vc tem que fazer o nat só pras rede 10.0.0.0/8, vc tá mascarando qualquer coisa que usa a eth0 como gateway,tenta ai
/sbin/iptables -t nat -A POSTROUTING -s 10.0.0.0/8 -o eth0 -j MASQUERADE
Outra coisa, vc tem que permitir o forward só pras redes que vc quer encaminhar no caso a 10.0.0.0/8.
sacou ?
7. Re: Firewall Básico Para Rede - Dúvida
Patrocínio
Site hospedado pelo provedor RedeHost.
Destaques
Artigos
Criar entrada (menuentry) ISO no Grub
Como gerar qualquer emoji ou símbolo unicode a partir do seu teclado
Dicas
Instalando o Pi-Hole versão v5.18.4 depois do lançamento da versão v6.0
Instalar o VIM 9.1 no Debian 12
Como saber o range de um IP público?
Muitas dificuldades ao instalar distro Linux em Notebook Sony Vaio PCG-6131L (VPCEA24FM)
Tópicos
Dock do debian está muito pequena (1)
Instalei Windows 11 e não alterou o Grub do Debian (0)
Linux Mint (21.2) não reconhece teclado mecanico RASEC da PCYES (2)
Top 10 do mês
Scripts
A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.
Site hospedado por:
