Firewall com duas placas de rede.

1. Firewall com duas placas de rede.

Augusto Silva
rockmusic26

(usa Outra)

Enviado em 24/04/2013 - 14:47h

Galera seguinte, tenho um servidor virtual e para testes tenho um squid/iptables funcionando como proxy transparente, o qual está rodando 100% correto, esta máquina virtual do linux possui uma placa de rede física e outra em modo Nat simulando duas placas de rede.

Minha dúvida é, agora que instalei esse mesmo servidor em uma máquina física qual seria a configuração da placa eth1(que na máquina virtual possui IP fixo) e eth0 (que na máquina virtual faz NAT), estou com dúvidas se a eth1 configuro conforme a máquina virtual e deixo a eth0 para receber o dhcp, no entanto dessa forma não está funcionando corretamente o roteamento da internet.

Outra dúvida é conseguirei deixar o IP do modem na mesma faixa da rede? ou seja no modem tenho o endereço 10.1.1.1 conseguirei deixar a rede nesas faixa de IP?
Caso não, e as regras de NAT do modem por exemplo FTP que é direcionado para o IP 10.1.1.3 como ficaria teria que mudar para a outra faixa de IP que eu configurar?


  


2. Re: Firewall com duas placas de rede.

Reginaldo de Matias
SAITAM

(usa Slackware)

Enviado em 24/04/2013 - 15:28h

rockmusic26 escreveu:

Galera seguinte, tenho um servidor virtual e para testes tenho um squid/iptables funcionando como proxy transparente, o qual está rodando 100% correto, esta máquina virtual do linux possui uma placa de rede física e outra em modo Nat simulando duas placas de rede.

Minha dúvida é, agora que instalei esse mesmo servidor em uma máquina física qual seria a configuração da placa eth1(que na máquina virtual possui IP fixo) e eth0 (que na máquina virtual faz NAT), estou com dúvidas se a eth1 configuro conforme a máquina virtual e deixo a eth0 para receber o dhcp, no entanto dessa forma não está funcionando corretamente o roteamento da internet.

Outra dúvida é conseguirei deixar o IP do modem na mesma faixa da rede? ou seja no modem tenho o endereço 10.1.1.1 conseguirei deixar a rede nesas faixa de IP?
Caso não, e as regras de NAT do modem por exemplo FTP que é direcionado para o IP 10.1.1.3 como ficaria teria que mudar para a outra faixa de IP que eu configurar?



Configura as interfaces de redes assim:

eth0 pluga direto no modem (internet/WAN)
eth1 pluga no switch/hub (intranet/LAN)

Os IPs das interfaces eth0 e eth1 devem estar em faixas diferentes.
eth0 IP fixo da classe/faixa do modem (se tiver o dhcp ativo sem problema).
eth1 IP fixo de outra classe/faixa que será a intranet/LAN.

O Gateway das máquinas cliente será usado o IP definido na eth1 (nesse caso).
No mais segue... http://goo.gl/pQRtk


3. Re: Firewall com duas placas de rede.

Augusto Silva
rockmusic26

(usa Outra)

Enviado em 24/04/2013 - 16:21h

SAITAM escreveu:

rockmusic26 escreveu:

Galera seguinte, tenho um servidor virtual e para testes tenho um squid/iptables funcionando como proxy transparente, o qual está rodando 100% correto, esta máquina virtual do linux possui uma placa de rede física e outra em modo Nat simulando duas placas de rede.

Minha dúvida é, agora que instalei esse mesmo servidor em uma máquina física qual seria a configuração da placa eth1(que na máquina virtual possui IP fixo) e eth0 (que na máquina virtual faz NAT), estou com dúvidas se a eth1 configuro conforme a máquina virtual e deixo a eth0 para receber o dhcp, no entanto dessa forma não está funcionando corretamente o roteamento da internet.

Outra dúvida é conseguirei deixar o IP do modem na mesma faixa da rede? ou seja no modem tenho o endereço 10.1.1.1 conseguirei deixar a rede nesas faixa de IP?
Caso não, e as regras de NAT do modem por exemplo FTP que é direcionado para o IP 10.1.1.3 como ficaria teria que mudar para a outra faixa de IP que eu configurar?



Configura as interfaces de redes assim:

eth0 pluga direto no modem (internet/WAN)
eth1 pluga no switch/hub (intranet/LAN)

Os IPs das interfaces eth0 e eth1 devem estar em faixas diferentes.
eth0 IP fixo da classe/faixa do modem (se tiver o dhcp ativo sem problema).
eth1 IP fixo de outra classe/faixa que será a intranet/LAN.

O Gateway das máquinas cliente será usado o IP definido na eth1 (nesse caso).
No mais segue... http://goo.gl/pQRtk



Certo, mas como vão ficar em faixas diferentes de IP e minhas regras de NAT no modem como ficam pois elas estarão apontando para um IP diferente, por exemplo no modem estará definido que a porta 22 cai no IP 10.1.1.5 se eu mudar a faixa o IP da máquina vai ficar 192.168.1.5 dessa forma o destino nunca será alcançado?



4. Re: Firewall com duas placas de rede.

Augusto Silva
rockmusic26

(usa Outra)

Enviado em 25/04/2013 - 08:19h

Até pensei que eu poderia no roteador apontar para o IP do servidor proxy, no entanto como o modem irá funcionar numa faixa de IP e o servidor proxy estará em outra não conseguirei efetuar este procedimento, então ai que reside minha dúvida, peço por favor a ajuda de vocês pois estou desesperado.


5. Re: Firewall com duas placas de rede.

Reginaldo de Matias
saitam

(usa Slackware)

Enviado em 25/04/2013 - 10:49h

rockmusic26 escreveu:

Até pensei que eu poderia no roteador apontar para o IP do servidor proxy, no entanto como o modem irá funcionar numa faixa de IP e o servidor proxy estará em outra não conseguirei efetuar este procedimento, então ai que reside minha dúvida, peço por favor a ajuda de vocês pois estou desesperado.


Se o modem tiver com serviço DHCP ativo, não precisa alterar o IP na interface plugada no modem.

INTRANET(LAN)---eth1----SERVIDOR----eth0---modem---INTERNET(WAN)

Nesse cenário o IP da eth0 será na mesma faixa do modem e eth1 deve definir o IP de faixa diferente da eth0 que será sua LAN.

Ex: eth0 - 10.0.0.5
eth1 - 192.168.1.2


Nesse servidor irá precisar utilizar regras IPTABLES que faz mascaramento NAT para sua LAN.


#roteamento de pacotes
echo 1 > /proc/sys/net/ipv4/ip_forward
#compartilhamento de conexão
iptables -t nat -A POSTROUTING -s $LAN -o $ifaceWAN -j MASQUERADE




6. Re: Firewall com duas placas de rede.

Augusto Silva
rockmusic26

(usa Outra)

Enviado em 25/04/2013 - 11:24h

saitam escreveu:

rockmusic26 escreveu:

Até pensei que eu poderia no roteador apontar para o IP do servidor proxy, no entanto como o modem irá funcionar numa faixa de IP e o servidor proxy estará em outra não conseguirei efetuar este procedimento, então ai que reside minha dúvida, peço por favor a ajuda de vocês pois estou desesperado.


Se o modem tiver com serviço DHCP ativo, não precisa alterar o IP na interface plugada no modem.

INTRANET(LAN)---eth1----SERVIDOR----eth0---modem---INTERNET(WAN)

Nesse cenário o IP da eth0 será na mesma faixa do modem e eth1 deve definir o IP de faixa diferente da eth0 que será sua LAN.

Ex: eth0 - 10.0.0.5
eth1 - 192.168.1.2


Nesse servidor irá precisar utilizar regras IPTABLES que faz mascaramento NAT para sua LAN.


#roteamento de pacotes
echo 1 > /proc/sys/net/ipv4/ip_forward
#compartilhamento de conexão
iptables -t nat -A POSTROUTING -s $LAN -o $ifaceWAN -j MASQUERADE



Compreendo esta situação que você me passou Saitam, aliás eu já faço na máquina virtual esse roteamento o qual funciona 100%, segue meu iptables:


#PORTAS LIBERADAS
PORTAS_TCP="3128,80,21,21,3389,139,445,443,81,110,587"
PORTAS_UDP="53,137,138,30606"

#LIMPAR REGRAS EXISTENTES DO IPTABLES
iptables -F
iptables -t nat -F

#BLOQUEANDO TODO O TRAFEGO
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

#CRIA IDA E VOLTA DO ACESSO NAS CHAINS INPUT, OUTPUT E FORWARD
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

#LIBERA O ROTEAMENTO NO KERNELL DO LINUX
echo 1 > /proc/sys/net/ipv4/ip_forward

#ESTA REGRA LIBERA O IP 192.168.2.13 DO IPTABLES
iptables -I FORWARD -s 192.168.2.13 -j ACCEPT

#EFETUANDO O ROTEAMENTO E O PROXY TRANSPARENTE
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128

#LIBERANDO O SQUID NA PORTA 3128
iptables -A INPUT -p tcp --dport 3128 -j ACCEPT

#REGRAS DE LIBERAÇÃO E BLOQUEIO.
iptables -A INPUT -p tcp -m multiport --dports $PORTAS_TCP -j ACCEPT
iptables -A OUTPUT -p tcp -m multiport --dports $PORTAS_TCP -j ACCEPT
iptables -A FORWARD -p tcp -m multiport --dports $PORTAS_TCP -j ACCEPT

iptables -A INPUT -p udp -m multiport --dports $PORTAS_UDP -j ACCEPT
iptables -A OUTPUT -p udp -m multiport --dports $PORTAS_UDP -j ACCEPT
iptables -A FORWARD -p udp -m multiport --dports $PORTAS_UDP -j ACCEPT

#LIBERAR SITES HTTPS
#iptables -A FORWARD -p tcp --dport 443 -j ACCEPT
#-----------------------------------------------


Acredito que ele está correto sendo que o que eu vou ter que fazer é alterar o IP da placa da LAN pois estava na mesma faixa do roteador, vou fazer o teste e retorno com os resultados.






Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts