Rede dentro de outra Rede capitulo I

1. Rede dentro de outra Rede capitulo I

debianxd
(usa Debian)

Enviado em 08/11/2010 - 21:45h

O tico e o teco ja fritaram, dai resolvi enjuar vcs >:)
Bom estou montando uma rede(interna) dentro de outra rede(interna)
o ambiente aqui ficou:
IP 192.168.1.179, esta passando direto no FW liberado total o acesso dai eu peguei ele e irei montar uma segunda rede a partir dele.
1 máquina FW com 3 placas sendo, eth0=192.168.1.179, eth1=192.168.20.1(DMZ-web-Mail), eth2=192.168.40.1(proxy)
1 máquina Proxy com 2 placas sendo, eth0=192.168.40.2, eth1=10.1.0.1
1 máquina Dmz com 1 placa sendo, eth0 192.168.20.2

Bom agora ...eu criei meu script assim:

#!/bin/sh
################################ Limpa tables e seta variaveis do kernel ############################
echo "Iniciando firewall.."
echo "Limpando tabelas e setando variaveis do kernel.."
iptables -F
iptables -X
iptables -t nat -F
iptables -t nat -X
iptables -t mangle -F
iptables -t mangle -X
### Variaveis ###
echo 1 > /proc/sys/net/ipv4/ip_forward
echo 2 > /proc/sys/net/ipv4/conf/all/rp_filter
echo 2 > /proc/sys/net/ipv4/conf/eth0/rp_filter
echo 2 > /proc/sys/net/ipv4/conf/eth1/rp_filter
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
echo 1 > /proc/sys/net/ipv4/tcp_syncookies
echo "0" > /proc/sys/net/ipv4/conf/eth0/accept_source_route
echo "0" > /proc/sys/net/ipv4/conf/eth1/accept_source_route
######## Seta Politicas de privacidade ###
echo "Setando politicas de privacidade.."
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
######## Abre a interface de loopback.
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
# Descarta pacotes malformados, protegendo contra ataques diversos
iptables -A INPUT -m state --state INVALID -j DROP
######################### LIBERANDO PING (LOC -> NET)
iptables -I FORWARD -p icmp -i eth2 -o eth0 --icmp-type echo-request -j ACCEPT
iptables -I FORWARD -p icmp -i eth0 -o eth2 --icmp-type echo-reply -j ACCEPT
########################## Seta prioridades TOS ##########################
echo "Dando prioridades TOS para portas e ips importantes.."
PRIO="20 21 25 53 80 110 137 139 445 443 8046 20000"
IPSPRIO="192.168.40.3/24"

for i in $PRIO; do
echo " -Prioridade para porta $i tcp/udp"
iptables -t mangle -A PREROUTING -p tcp --dport $i -j TOS --set-tos 16
iptables -t mangle -A PREROUTING -p udp --dport $i -j TOS --set-tos 16
iptables -t mangle -A PREROUTING -p tcp --sport $i -j TOS --set-tos 16
iptables -t mangle -A PREROUTING -p udp --sport $i -j TOS --set-tos 16
done

for i in $IPSPRIO; do
echo " -Dada prioridade para ip $i"
iptables -t mangle -A PREROUTING -s $i -j TOS --set-tos 16
iptables -t mangle -A PREROUTING -d $i -j TOS --set-tos 16
iptables -t mangle -A PREROUTING -p icmp -s $i -j TOS --set-tos 16
iptables -t mangle -A PREROUTING -p icmp -d $i -j TOS --set-tos 16
done

################ Permitir pacotes de conexoes ja iniciadas
iptables -I INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -I FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

################### Libera servicos para este roteador #############
echo "Liberando portas de servicos a para esse roteador.."
PORTSALLOW="21 110 143 53 80 123 8046 8081 8082 20000 4445 5550"
iptables -I INPUT -p tcp -i eth0 --dport $PORTSALLOW -j ACCEPT

############################### REDIRECIONAMENTO DE PORTAS ###############
echo "Redirecionando portas da internet para micros da rede interna.."
EXTIP="192.168.1.179"
iptables -I PREROUTING -t nat -i eth1 -m multiport -p tcp -d $EXTIP --dport 80,8080 -j DNAT --to 192.168.20.2
######################## MASCARAMENTO PARA ACESSO A INTERNET

iptables -t nat -A POSTROUTING -s 192.168.40.0 -o eth0 -j MASQUERADE

####### #BLOQUEIA PING EM EXCESSO

echo "Bloqueando ping flood.."
iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
iptables -A INPUT -p icmp --icmp-type echo-request -j DROP

# Permitir acesso a HTTPS
iptables -A FORWARD -s 192.168.20.1/24 -i eth1 -p tcp --dport 443 -j ACCEPT

# Permitir consulta DNS
iptables -A FORWARD -s 192.168.1.179/24 -i eth0 -p tcp --dport 53 -j ACCEPT
iptables -A FORWARD -s 192.168.1.179/24 -i eth0 -p udp --dport 53 -j ACCEPT

echo "Firewall iniciando!"

Bom, agora vem os pauuuuu
tentei acessar da 1º rede(192.168.1.155) o link http://192.168.1.179 e gerou isso"Não é possível conectar-se", dai pensei, entao ta F.O.D.A.
Resolvi usa o nmap pra ver as portas:
debianTeste: nmap -p 80 192.168.1.179
Starting Nmap 4.62 (http://nmap.org) at 2010-11-08 18:19 BRST
Interesting ports on 192.168.1.179:
PORT STATE SERVICE
80/tcp closed http
MAC Address: 00:U0:6D:9F:FE:34 (Netronix)

Nmap done: 1 IP address (1 host up) scanned in 6.644 seconds

essa porra continua bloqueada

2ª pauuuuuuu
Do proprio proxy do qual instalei o dhcp e configurei assim:
ddns-update-style none;
default-lease-time 1200;

authoritative;

subnet 10.1.0.0 netmask 255.255.255.0 {
range 10.1.0.3 10.1.0.253;
option routers 10.1.0.1;
option domain-name-servers 10.1.0.1, 200.164.0.32;
option broadcast-address 10.1.0.255;
}

tentei pingar em uma maquina da qual tem o seguinte IP 10.1.0.16...e a bagaça nao pinga nem com a morte ameaçando.
3ª pauuuu
nao tem internet na rede 10.1.0.16.

Tipo, meu treinamento foi tudo baseado em tutoriais baixados da internet, inclusive uns video aulas de um amigo qui n posso falar o nome(e ainda ta faltando 4 capitulos ¬¬)
PELAMOR me ajudem!
PS: aceito criticas sobre essa rede que montei ai, pode descer o sarrafo, eu n ligo...so quero aprender essa baga***.

0 0

Quote