iptables / DNS

[wasley]

Bom dia,

Minhas estações de trabalho acessando a internet passando por um firewall iptables (gateway) onde as regras são para isso são (exsite outras regras coloquei aqui somente as que acho q interessa):

O endereço ip desse firewall é:
Internet: ppp0
rede interna: 192.168.0.1

##################################################
# NAT PARA REDE INTERNA ACESSAR A INTERNET
##################################################
iptables -t nat -A POSTROUTING -s $LAN -o ppp0 -j MASQUERADE

##################################################
# REGRAS PARA DNS
##################################################
####
# FORWARD PARA DNS
####
iptables -A FORWARD -p udp -s $LAN -d $FW1 -o ppp0 --dport 53 -j ACCEPT
iptables -A FORWARD -p udp -d $LAN -s $FW1 -i ppp0 --sport 53 -j ACCEPT
####
# NAT PARA DNS
####
iptables -t nat -A POSTROUTING -s $LAN -p udp --dport 53 -o ppp0 -j MASQUERADE

#########################################################

Nas minhas estações de trabalho esta configurado o DNS da velox, 200.165.132.147 e 200.149.55.140.

O que eu preciso é o seguinte:

Gostaria que minhas estações podesse navegar na internet de forma que eu configura-se nas estações do endereço ip da meu firewall, ou seja:

Nas estações de trabalho eu configuraria no DNS o IP: 192.168.0.1, apartir dai ele navegariam normal da internet

O que necessario fazer para funcionar dessa forma?

Agradeço desde já
WASLEY

[PEdroArthurJEdi]

Você precisa criar um redirecionamento. Um exemplo:

iptables -t nat -A PREROUTING -s $LAN -p udp --dport 53 -j DNAT --to 200.165.132.147,200.149.55.140

[alexandrecorrea]

faça diferente !!

um bom firewall NEGA tudo como padrao, permitindo apenas o que for cadastrado.. alias.. a logica correta de um firewall é esta..


vamos a um pequeno lembrete:

CHAIN INPUT -> pacotes que o destino é a PROPRIA maquina firewall
CHAIN OUTPUT -> pacotes que sao gerados LOCALMENTE no firewall com destino a outra maquina
CHAIN FORWARD -> pacotes de ATRAVESSAM o firewall

alguns exemplos de uso:

* no firewall voce tem também um SERVIÇO que roda na porta TCP 80.. para FILTRAR ou BLOQUEAR pacotes para este serviço, deve-se usar a chain INPUT

* voce nao quer que o firewall acessa a porta 200 .. entao deve-ser usar a chain OUTPUT

* um usuario que esta atras do firewall e quer acessar uma maquina que esta 'na frente' do firewall, voce utiliza a chain FORWARD



entao podemos fazer algumas regras agora, vamos supor que:

- sua rede interna tem o ip 10.0.0.0 ate 10.0.0.255 (mascara 255.255.255.0)
- o ip da LAN (eth1) do firewall é 10.0.0.1 mascara 255.255.255.0
- o ip da WAN (eth0) do firewall é 200.200.200.1 mascara 255.255.255.0
- o gateway padrao do firewal eh 200.200.200.254

- apenas as maquinas 10.0.0.2,10.0.0.3 e 10.0.0.200 vao ter acesso externo, ou seja internet
- os serviços que o firewall tem sao: DNS (porta 53 tcp/udp), WWW (porta 80 tcp), SSH (porta 22 tcp)

Código :

iptables -F
iptables -X
iptables -t nat -F
iptables -t nat -X
 
iptables -t filter -A INPUT -i lo -j ACCEPT
iptables -t filter -A INPUT -s 127.0.0.1 -j ACCEPT
 
iptables -t filter -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 53 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 80 -j ACCEPT
 
iptables -t filter -P INPUT REJECT
 
iptables -t filter -A FORWARD -s 10.0.0.2 -i eth1 -o eth0 -j ACCEPT
iptables -t filter -A FORWARD -d 10.0.0.2 -i eth0 -o eth1 -j ACCEPT
 
iptables -t filter -A FORWARD -s 10.0.0.3 -i eth1 -o eth0 -j ACCEPT
iptables -t filter -A FORWARD -d 10.0.0.3 -i eth0 -o eth1 -j ACCEPT
 
iptables -t filter -A FORWARD -s 10.0.0.200 -i eth1 -o eth0 -j ACCEPT
iptables -t filter -A FORWARD -d 10.0.0.200 -i eth0 -o eth1 -j ACCEPT
 
iptables -t filter -P FORWARD REJECT
 
 
iptables -t nat -A POSTROUTING -s 10.0.0.2 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 10.0.0.3 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 10.0.0.200 -j MASQUERADE

a principioé isto ai.. nao teste este script, mas acredito nao faltar nada..

[PEdroArthurJEdi]

Discordo completamente quanto ao uso da target REJECT. Gera tráfego icmp indesejado, podendo muitas vezes ser usado para um DoS. E ela não pode ser usada como política padrão.

[alexandrecorrea]

rapaz.. tu ta vivendo da era dos links em GIGA.. icmp era perigoso na epoca em que 128k era top de linha !!

sim, deve-se manter tudo seguro e limitado.. mas.. isso nao vai atrapalhar :P e geralmente quando se tem DROP sao 3 requisicoes .. com reject faz-se uma pq na recebe o unreacheable

[Pirigoso]

vou concordar com o colega Pedro um Ping com pacote de 25000 ja mata 256kbps de upload isso 1 pessoa!

[PEdroArthurJEdi]

O problema não é o consumo de tráfego, e sim o consumo de processamento.

Tenta ai: coloca um PC conectado numa rede 10/100 com um firewall com uma regra REJECT e um daemon qualquer. Depois, com duas máquinas, simule tráfego que deve ser rejeitado na máxima capacidade das suas inrfaces de rede. Veja, de um quarto host, se você consegue conectar no seu daemon.

[wasley]

Agradeço muito a ajudar de vcs.esse regra funcionouMas funcionou somente para maquinas que util de NAT, p maquinas que utilizam proxy não deu certo, veja as minha regras de PROXY.Lembrando que essas regras de proxy estão abaixo das regras de DNS.Alguem sabe como faço p que o redicionamento da de DNS, tb funcione para maquinas que utilizam proxy???Agradeço desde já.WASLEY

[Magnun]

rapaz.. tu ta vivendo da era dos links em GIGA.. icmp era perigoso na epoca em que 128k era top de linha !!

sim, deve-se manter tudo seguro e limitado.. mas.. isso nao vai atrapalhar :P e geralmente quando se tem DROP sao 3 requisicoes .. com reject faz-se uma pq na recebe o unreacheable

Alexandre, tenho que concordar com os outros. Essa história de que "isso é passado" nem sempre é uma boa. Até o ping da morte (ping of death, ou icmp flood) voltou! Olha só: A volta dos pings da morte – agora contra roteadores da Cisco

É sempre bom se prevenir, eu geralmente incluo limitação de pacotes de ping por segundos nos meus firewalls. Aqui tem alguns exemplos de como bloquear floods syn e ping da morte (icmp flood): Guia Foca GNU/Linux - Firewall iptables

Até mais...