Servidores DNS, WEB e Email atras de Firewall Mikrotik

Boa tarde pessoal,

Gostaria de saber se é possível fazer a seguinte mudança de cenário.

Cenario Atual:

Servidor 01
eth1: IP (valido): 200.xxx.xxx.2 -Gtw: 200.xxx.xxx.1
eth0: IP (rede local): 10.10.10.2
Executando: Web (LAMP), Postfix e DNS Master (Bind)

Servidor 02
eth1: IP (valido): 200.xxx.xxx.3 -Gtw: 200.xxx.xxx.1
eth0: IP (rede local): 10.10.10.3
Gtw: 200.xxx.xxx.1
Executando: WEB (LAMP) e DNS Slave (Bind)

OBS: Esses são servidores próprios de hospedagem, no registro do dominio eu indiquei o meu DNS e hj faço toda a gerencia dele.

Blz, hj esta tudo funcionando e tals, só que eu gostaria de colocar um firewall mikrotik entre os servidores e a rede publica, tipo, configurar os ips validos no Mk e então encaminhar as requisições para os servidores, tipo portas de DNS, WEB, POP, SMTP, etc...

Desde já, quem puder me tirar essa duvida.

Skullred, bom dia.

Tente usar um Mikrotik, Linux ou FreeBSD em bridge entre o GW e os teus Servidores. Assim você não teria que mudar a estrutura atual e poderia controlar tudo, permitindo somente as portas necessários para os serviços e realizar controle de banda, qos etc...

Citação:

---

Postado originalmente por lexbsd

Skullred, bom dia.

Tente usar um Mikrotik, Linux ou FreeBSD em bridge entre o GW e os teus Servidores. Assim você não teria que mudar a estrutura atual e poderia controlar tudo, permitindo somente as portas necessários para os serviços e realizar controle de banda, qos etc...

---

Bom dia Alex, e desde já obrigado pela atenção!

Então, no caso de eu colocar um MK em bridge entre meus servidores e o GW, esse controle de portas por ex teria q ser feito por ex em Filters na bridge?

isso.

No Mikrotik, você cria a bridge, associa as portas e no /ip firewall filter você cria sua politica de firewall. Por exemplo, fecha todas a portas e adiciona "accepts" nas portas necessárias. Exemplo: 22(ssh), 80,443(http,https), 25,110(smtp,pop).

Citação:

---

Postado originalmente por lexbsd

isso.

No Mikrotik, você cria a bridge, associa as portas e no /ip firewall filter você cria sua politica de firewall. Por exemplo, fecha todas a portas e adiciona "accepts" nas portas necessárias. Exemplo: 22(ssh), 80,443(http,https), 25,110(smtp,pop).

---

humm, entendi
então a politica do firewall, mm estando em bridge as portas, teria q ser feito mm em /ip firewall filter e não em /interface bridge filter

Não tenho em produção um firewall em bridge com Mikrotik. Nesse ambiente uso FreeBSD que funciona perfeitamente. Mas acredito que vá funcionar em /ip firewall filter.

O bom de usar firewall em bridge é que vc pode colocar no seu ambiente sem muitos danos.

Na volta do almoço, vou instalar o mikrotik num servidor e testar isso.

Amigo, boa tarde.

Fiz um pequeno lab para testar sua situação.

192.168.1.10 (gw-operadora) <========> (fw-bridge) <======= > 192.168.1.11 (servidorA)

Configuração fw-bridge (Mikrotik 5.25)

/interface bridge

add name="wan-bridge" mtu=1500 arp=enabled protocol-mode=none auto-mac=yes admin-mac=00:00:00:00:00:00 max-message-age=20s forward-delay=15s transmit-hold-count=6 ageing-time=5m

/interface bridge port

add bridge=wan-bridge disabled=no edge=auto external-fdb=auto horizon=none interface=ether1 path-cost=10 point-to-point=auto priority=0x80

add bridge=wan-bridge disabled=no edge=auto external-fdb=auto horizon=none interface=ether2 path-cost=10 point-to-point=auto priority=0x80

Nos testes, por DEFAULT o Mikrotik não vem ativado o filtro layer2.

Permitindo filtro Layer2.

/interface bridge settings

set use-ip-firewall=yes

Testeis regras de firewall simples para bloquear SSH, Telnet e FTP. Mas no seu caso as regras para os serviços de DNS, Web e E-mail vão funcionar da mesma maneira.

/ip firewall filter

add chain=forward action=drop protocol=tcp dst-port=22 disabled=no
add chain=forward action=drop protocol=tcp dst-port=21 disabled=no

No 192.168.1.11(servidorA) usei um FreeBSD 9.0.

ifconfig em0 192.168.1.11/24 up
route add default 192.168.1.10

--Fim

Espero que isso te ajude de alguma forma.

Escrevi tudo bem rápido, então leia com atenção pode conter erros.

:bebored:

Citação:

---

Postado originalmente por lexbsd

Amigo, boa tarde.

Fiz um pequeno lab para testar sua situação.

192.168.1.10 (gw-operadora) <========> (fw-bridge) <======= > 192.168.1.11 (servidorA)

Configuração fw-bridge (Mikrotik 5.25)

/interface bridge

add name="wan-bridge" mtu=1500 arp=enabled protocol-mode=none auto-mac=yes admin-mac=00:00:00:00:00:00 max-message-age=20s forward-delay=15s transmit-hold-count=6 ageing-time=5m

/interface bridge port

add bridge=wan-bridge disabled=no edge=auto external-fdb=auto horizon=none interface=ether1 path-cost=10 point-to-point=auto priority=0x80

add bridge=wan-bridge disabled=no edge=auto external-fdb=auto horizon=none interface=ether2 path-cost=10 point-to-point=auto priority=0x80

Nos testes, por DEFAULT o Mikrotik não vem ativado o filtro layer2.

Permitindo filtro Layer2.

/interface bridge settings

set use-ip-firewall=yes

Testeis regras de firewall simples para bloquear SSH, Telnet e FTP. Mas no seu caso as regras para os serviços de DNS, Web e E-mail vão funcionar da mesma maneira.

/ip firewall filter

add chain=forward action=drop protocol=tcp dst-port=22 disabled=no
add chain=forward action=drop protocol=tcp dst-port=21 disabled=no

No 192.168.1.11(servidorA) usei um FreeBSD 9.0.

ifconfig em0 192.168.1.11/24 up
route add default 192.168.1.10

--Fim

Espero que isso te ajude de alguma forma.

Escrevi tudo bem rápido, então leia com atenção pode conter erros.

:bebored:

---

Bom dia amigo,

Vou testar esse seu ambiente proposto e posto aqui o resultado dos testes.
Muito obrigado pela sua ajuda.

Abraços!

Citação:

---

Postado originalmente por skullred

Bom dia amigo,

Vou testar esse seu ambiente proposto e posto aqui o resultado dos testes.
Muito obrigado pela sua ajuda.

Abraços!

---

Ótimo.

Poste o resultado. :-)