Configuração básica de um servidor de pequeno porte

[sapotnt]

Bom gente vamos lá...
creio que não seja mutio difícil para aqueles que já tem intimidade com Linux.
sou funcionário de uma firma prestadora de serviços. a firma possui um link não dedicado da Embratel de 1Mb (com direito a 12 IPs válidos) e possui 10 máquinas na rede.
Pois bem, vamos ao que eu gostaria que fosse implementado...

1) gostaria de usar apenas um desses IPs válidos e fazer com que as máquinas usassem IPs "falsos" (como se faz com uma LAN que compartilha o acesso a internet)

2) fazer com que essas máquinas não enxergassem o servidor e se possível não se enxergassem na rede.

3) bloquear acesso a certos sites e conexões de alguns programas como MSN, Emule e torrent.

Gostaria que alguém me indicasse qual Distro é mais apropriada para isso e quais os serviços (de preferência com interface gráfica) que são responsáveis pela implementação de cada uma das "regras".

Alguém conseguiria implementar estas 3 regras ?

Muito grato pela atenção,

Edmilson Santos

[alexandrecorrea]

1)

Código:

ifconfig eth0 200.200.200.2 netmask 255.255.255.248
route add default gw 200.200.200.2
ifconfig eth1 192.168.0.1 netmask 255.255.255.0

iptables -t nat -A PREROUTING -s 192.168.0.0/24 -o eth0 -j MASQUERADE
iptables -t filter -A FORWARD -s 192.168.0.0/24 -d 192.168.0.0/24 -j DROP

ACHO que isso basta...

agora o item 3.. precisa de um proxy com filtros !!

[zenun]

Olha cara sobre a possibilidade das maquinas não se verem na rede é complicado!
A regra que o amigo passou ali dropando os pacotes que passam da sua rede interna para a rede interna não creio que funcione, pois em uma LAN as maquinas não precisam do gateway para se comunicar, é direto. O gateway é necessario quando a maquina quer se comunicar com outra que não pertence a mesma rede que ele. Ou seja, elas irão se comunicar pelo switch/hub sem passar pelo seu firewall/gateway.

O que você pode fazer é segmentar sua rede com ips com mascara 255.255.255.252. Só que para isso você vai ter que criar uma sub-interface (eth0:1, eth0:2, etc) para cada uma dessas redes no seu firewall. Não é tão simples mas é uma forma de implementar isso que você quer.

Você tem algum motivo especial para que as maquinas não possam se ver na rede local??

Com relação ao msn e isso ai o nosso amigo esta certo... voce vai precisar de um proxy (squid no caso de sites) ou ainda seu iptables estar compilado para suportar protocolos da camada 7 (l7filter no caso de msn, emule e outros programas)!

E sobre a distro... qualquer uma que você estiver acostumado a trabalhar! Eu gosto de Debian!

[sergio]

Tem um projeto nacional, chamado BrazilFW. Dá uma checada... BrazilFW Firewall and Router :: Home

Além dele tem o IPCop.org :: The bad packets stop here! que também é baseado em modo gráfico, bem tranqüilo de operar.

[alexandrecorrea]

claro que funciona.. o sinao do cliente precisar chegar no ap.. para seguir seu caminho. chegando no ap.. ele eh avaliado (pacote). ..

simplesmente.. questao de LOGICA !!!

Citação:

Postado Originalmente por zenun

Olha cara sobre a possibilidade das maquinas não se verem na rede é complicado!
A regra que o amigo passou ali dropando os pacotes que passam da sua rede interna para a rede interna não creio que funcione, pois em uma LAN as maquinas não precisam do gateway para se comunicar, é direto. O gateway é necessario quando a maquina quer se comunicar com outra que não pertence a mesma rede que ele. Ou seja, elas irão se comunicar pelo switch/hub sem passar pelo seu firewall/gateway.

O que você pode fazer é segmentar sua rede com ips com mascara 255.255.255.252. Só que para isso você vai ter que criar uma sub-interface (eth0:1, eth0:2, etc) para cada uma dessas redes no seu firewall. Não é tão simples mas é uma forma de implementar isso que você quer.

Você tem algum motivo especial para que as maquinas não possam se ver na rede local??

Com relação ao msn e isso ai o nosso amigo esta certo... voce vai precisar de um proxy (squid no caso de sites) ou ainda seu iptables estar compilado para suportar protocolos da camada 7 (l7filter no caso de msn, emule e outros programas)!

E sobre a distro... qualquer uma que você estiver acostumado a trabalhar! Eu gosto de Debian!

[zenun]

Hahahaha questão de lógica!
Bom acho que você ta pensando que ele ta usando uma rede wireless! Porque em nenhum momento ele disse isso!

Se for uma LAN BASEADA EM SWITCHES/HUB usando tecnologia ethernet ISSO NÃO VAI ACONTECER NUNCA! Se você ainda acha que isso vai acontecer, faça um teste você mesmo amigo! Eu não vou tentar te convencer aqui de uma coisa que é fato!

Porem se for uma rede wireless ai tudo bem... os pacotes tem que chegar até o access point para depois seguir seu caminho!
Isso permite que as redes wireless evitem a comunicação entre seus usuarios!

[alexandrecorrea]

para isolar os clientes de rede cabeada... com seguraçna.. somente usando vlan tag... de outra forma.. qualquer usuario consegue montar uma rede interna sobre a sua...

[zenun]

Claro!! Mas ai ele tem que ter um switch com suporte a vlans!

Dessa forma que eu descrevi ele pode implementar o que quer de forma simples, funcional e sem gastar com equipamentos adicionais.