Firewall - Interfaces de rede

danilo.mattos
(usa Debian)

Enviado em 06/10/2013 - 18:54h

Pessoal estou começando meus estudos sobre iptables/squid e estou com as seguintes duvidas:

* Estamos com seguinte cenário:

1ª Servidor linux iptables
2ª Servidor linux squid proxy/dhcp/bind/winbind/samba/kerberos

* Estamos com uma rede com 30 computadores.

* [ NUVEM INTERNET ]----------------- Firewall----------- REDE LAN ( COMPUTADORES / SERVIDORES SQUID, BIND, DHCP)

Link de internet seria um modem net virtua.
-----------------------------------------------------------------------------------------------------------------

Inicio das dúvidas:

* Meu servidor firewall tem duas placas de redes eth0/eth1 gostaria de saber como configurar de maneira correta as placas ou seja a eth0 na lan e eth1 na wan.

* Meu modem net está com dhcp ativado com a rede 192.168.0.0/24. O ip do modem está 192.168.0.2
* Posso mudar o IP 192.168.0.2 para 192.168.0.254 para que eu posso configurar a eth1 como 192.168.0.1 ?
* Meu servidor linux dhcp está entregando IPS na rede 192.168.1.0/24

* O que eu tenho que fazer desabilitar o dhcp do modem ? Ou posso deixar ele entregar qualquer IP para eth1 ?
* E Equanto a rede eth0 na lan eu tenho que configurar os ips de acordo com os ips do meu dhcp do servidor linux ?


Resumindo não estou compreendendo a maneira correta de configurar as placas de redes para compartilhar a intert com toada a rede.

ricardo cardoso
(usa Debian)

Enviado em 06/10/2013 - 20:10h

Vamos lá...

1. Se seu modem esta configurado como DHCP você pode configurar sim com o IP que vc deseja, basta desativar o serviço DHCP e colocar um IP fixo já que o modem é um equipamento da sua rede.

2. Para fazer essa mudança vc tem que ver o modelo do seu modem e como acessar o mesmo. Eu já tive net virtua há alguns anos atrás, mas essa porcaria não presta aqui em Anápolis e o modem era um thonpson uma porcaria, não roteava nem nada e tambám não tinha como mudar o ip em mesmo clonando o mac.

3. Você pode esquecer o ip do modem e deixar ele setar o ip que quiser. Falo isso porque vc vai ter duas placas de rede no seu servidor. A que recebe a net ou seja a que vai estar ligada no modem não vai influenciar em nada na que vai estar ligada na sua rede. eth0->modem(wan) eth1->lan.

4. Se o seu servidor Linux é um servidor DHCP você não precisa setar nenhum IP, basta deixar as máquinas com DHCP ativado, caso o contrário vc pega uma faixa de ip's e atribui as placas de rede e demais equipamentos de rede.

Resumindo, vc tem quem ver o que será melhor para sua estrutura IP estático ou DHCP.

Para te dar mais uma luz, vc tem duas placas de rede no servidor certo?

Você pode por exemplo conectar o modem a sua interface eth0 e deixá-la com DHCP ativado, assim o modem envia o IP que ele impor e vc tem acesso a net normalmente neste PC.

Para as máquinas da rede acessarem a internet vc vai ter que redirecionar/compartilhar os pacotes da Net com a sua rede local no caso na interface eth1. Então por iptables no servidor vc faria:

$sudo modprobe iptable_nat
$sudo echo 1 > /proc/sys/net/ipv4/ip_forward
$sudo iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

explicando:
Ativar o módulo;
Habilitar o compartilhamento de internet na rede;
Informar ao firewall que todo o pacote depois de ser roteado tem que sair pela interface eth0 que é a interface que recebe a internet dentro da sua infraestrutura.

Então se fosse eu faria desse jeito; apenas conectava o modem a interface eth0 e esquecia, já que essa conexão não influencia em nada na rede interna.

saitam
(usa Slackware)

Enviado em 06/10/2013 - 22:02h

Também faria da forma que o amigo comentou acima...

No servidor com duas interfaces de redes (gateway da rede)
eth0 - liga no modem com DHCP ativo (WAN)
eth1 - liga no switch para rede local (LAN)

PS: Os Ips das interfaces eth0 e eth1 devem estar em faixas diferentes.
Por exemplo, se o eth0 receber IP do modem na faixa 192.168.0.2, então eth1 o IP não pode ser na mesma faixa 192.168.0.X.

Sugestão: Nesse servidor gateway pode adicionar servidor DHCP e Proxy.
Assim ficando com Iptables para Firewall, DHCP e Squid para Proxy.

No segundo servidor configura servidor DNS e Samba.

Buckminster
(usa Debian)

Enviado em 06/10/2013 - 23:41h

Conecta o cabo que vem do modem na placa de rede eth1 (essa vamos chamar de placa da rede externa) e deixa o DHCP do modem ativado. Deixa a eth1 com IP dinâmico (automático).
Faça as regras de firewall para compartilhamento/mascaramento, por exemplo:
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables –t nat –A POSTROUTING –o eth1 –j MASQUERADE

Essa linha acima fará a eth1 compartilhar tudo com as outras placas de rede do servidor.

Instale e configure o DHCP nesse servidor com firewall.

Conecte a eth0 (vamos chamar de placa da rede interna) num switch. Deixe a eth0 com IP estático (fixo). O IP que você colocar na eth0 será o gateway da tua rede interna. Esse mesmo IP deverá estar na option routers do dhcpd.conf.