ncampos
(usa Debian)
Enviado em 01/10/2015 - 14:55h
Boa tarde,
Possuo um Firewall com Iptables e Squid com todos os redirecionamentos de portas e liberaçãoconfigurados.
Surgiu a necessidade de utilizar mais de 1 sinal de internet.
( Intenção para que quando 1 Provedor "caia",eu possa "habilitar" o outro Provedor)
Como darei Suporte Online, a ideia seria deixar fisicamente tudo conectado,e quando 1 sinal vier a gerar problema eu altere apenas no Firewall indicando qual eth ira mandar sinal.
Como devo configurar meu Script Firewall para nao precisar mudar todas as regras configuradas,sendo apenas ajustar no inicio do scrip qual ETH ira mandar sinal internet a rede local??
exemplo:
redelocal = eth0
internet gvt = eth1
internet oi = eth2
MEU FIREWALL:
#!/bin/bash
iniciar()
{
modprobe iptable_nat
echo 1 > /proc/sys/net/ipv4/ip_forward
modprobe ip_tables
#
#######################################################################################
########################################## #########################################
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1400:1536 -j TCPMSS --clamp-mss-to-pmtu
##################################################### #################################
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
#####################################################################################
############################################ PORTAS LIBERADAS #######################
iptables -A INPUT -m multiport -p tcp --dport 22,21,53,80,443,3389,6000 -j ACCEPT
####################################################################################
############################################# PROXY DESABILITADO/ABILITADO ###################
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to-destination 10.1.1.1:80 #NAO USAR squid(proxy)
#iptables -t nat -A PREROUTING -s 10.1.1.1/255.255.255.0 -p tcp --dport 80 -j REDIRECT --to-port 3128 #Usar squid(proxy)
#############################################################################################################################################
############################################## IP LIBERADO DO PROXY ##########################################################################
iptables -t nat -A POSTROUTING -s 10.1.1.50 -o eth1 -j MASQUERADE # IP LIBERADO
##############################################################################################################################################
############################################## REDIRECIONAMENTO DE PORTAS ####################################################################
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 3391 -j DNAT --to-destination 10.1.1.120:3389 #Windows Server-2008
##############################################################################################################################################
##############################################################################################################################################
##############################################################################################################################################
echo "iniciando servico"
}
parar(){
iptables -F -t nat
echo "parando servico"
}
case "$1" in
"start") iniciar;;
"stop") parar;;
"restart")parar;iniciar;;
*)echo "Use os parametros start,stop ou restart"
esac