+ Responder ao Tópico



  1. Bom estou montando uma rede(interna) dentro de outra rede(interna)
    o ambiente aqui ficou:
    IP 192.168.1.179, esta passando direto no FW liberado total o acesso dai eu peguei ele e irei montar uma segunda rede a partir dele.
    1 máquina FW com 3 placas sendo, eth0=192.168.1.179, eth1=192.168.20.1(DMZ-web-Mail), eth2=192.168.40.1(proxy)
    1 máquina Proxy com 2 placas sendo, eth0=192.168.40.2, eth1=10.1.0.1
    1 máquina Dmz com 1 placa sendo, eth0 192.168.20.2

    Bom agora ...eu criei meu script assim:

    #!/bin/sh
    ################################ Limpa tables e seta variaveis do kernel ############################
    echo "Iniciando firewall.."
    echo "Limpando tabelas e setando variaveis do kernel.."
    iptables -F
    iptables -X
    iptables -t nat -F
    iptables -t nat -X
    iptables -t mangle -F
    iptables -t mangle -X
    ### Variaveis ###
    echo 1 > /proc/sys/net/ipv4/ip_forward
    echo 2 > /proc/sys/net/ipv4/conf/all/rp_filter
    echo 2 > /proc/sys/net/ipv4/conf/eth0/rp_filter
    echo 2 > /proc/sys/net/ipv4/conf/eth1/rp_filter
    echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
    echo 1 > /proc/sys/net/ipv4/tcp_syncookies
    echo "0" > /proc/sys/net/ipv4/conf/eth0/accept_source_route
    echo "0" > /proc/sys/net/ipv4/conf/eth1/accept_source_route
    ######## Seta Politicas de privacidade ###
    echo "Setando politicas de privacidade.."
    iptables -P INPUT DROP
    iptables -P FORWARD DROP
    iptables -P OUTPUT ACCEPT
    ######## Abre a interface de loopback.
    iptables -A INPUT -i lo -j ACCEPT
    iptables -A OUTPUT -o lo -j ACCEPT
    # Descarta pacotes malformados, protegendo contra ataques diversos
    iptables -A INPUT -m state --state INVALID -j DROP
    ######################### LIBERANDO PING (LOC -> NET)
    iptables -I FORWARD -p icmp -i eth2 -o eth0 --icmp-type echo-request -j ACCEPT
    iptables -I FORWARD -p icmp -i eth0 -o eth2 --icmp-type echo-reply -j ACCEPT
    ########################## Seta prioridades TOS ##########################
    echo "Dando prioridades TOS para portas e ips importantes.."
    PRIO="20 21 25 53 80 110 137 139 445 443 8046 20000"
    IPSPRIO="192.168.40.3/24"

    for i in $PRIO; do
    echo " -Prioridade para porta $i tcp/udp"
    iptables -t mangle -A PREROUTING -p tcp --dport $i -j TOS --set-tos 16
    iptables -t mangle -A PREROUTING -p udp --dport $i -j TOS --set-tos 16
    iptables -t mangle -A PREROUTING -p tcp --sport $i -j TOS --set-tos 16
    iptables -t mangle -A PREROUTING -p udp --sport $i -j TOS --set-tos 16
    done

    for i in $IPSPRIO; do
    echo " -Dada prioridade para ip $i"
    iptables -t mangle -A PREROUTING -s $i -j TOS --set-tos 16
    iptables -t mangle -A PREROUTING -d $i -j TOS --set-tos 16
    iptables -t mangle -A PREROUTING -p icmp -s $i -j TOS --set-tos 16
    iptables -t mangle -A PREROUTING -p icmp -d $i -j TOS --set-tos 16
    done

    ################ Permitir pacotes de conexoes ja iniciadas
    iptables -I INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
    iptables -I FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

    ################### Libera servicos para este roteador #############
    echo "Liberando portas de servicos a para esse roteador.."
    PORTSALLOW="21 110 143 53 80 123 8046 8081 8082 20000 4445 5550"
    iptables -I INPUT -p tcp -i eth0 --dport $PORTSALLOW -j ACCEPT

    ############################### REDIRECIONAMENTO DE PORTAS ###############
    echo "Redirecionando portas da internet para micros da rede interna.."
    EXTIP="192.168.1.179"
    iptables -I PREROUTING -t nat -i eth1 -m multiport -p tcp -d $EXTIP --dport 80,8080 -j DNAT --to 192.168.20.2
    ######################## MASCARAMENTO PARA ACESSO A INTERNET

    iptables -t nat -A POSTROUTING -s 192.168.40.0 -o eth0 -j MASQUERADE

    ####### #BLOQUEIA PING EM EXCESSO

    echo "Bloqueando ping flood.."
    iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
    iptables -A INPUT -p icmp --icmp-type echo-request -j DROP

    # Permitir acesso a HTTPS
    iptables -A FORWARD -s 192.168.20.1/24 -i eth1 -p tcp --dport 443 -j ACCEPT

    # Permitir consulta DNS
    iptables -A FORWARD -s 192.168.1.179/24 -i eth0 -p tcp --dport 53 -j ACCEPT
    iptables -A FORWARD -s 192.168.1.179/24 -i eth0 -p udp --dport 53 -j ACCEPT

    echo "Firewall iniciando!"

    Bom, agora vem os problemas
    tentei acessar da 1º rede(192.168.1.155) o link http://192.168.1.179 e gerou isso"Não é possível conectar-se"

    Resolvi usa o nmap pra ver as portas:
    debianTeste: nmap -p 80 192.168.1.179
    Starting Nmap 4.62 (Nmap - Free Security Scanner For Network Exploration & Security Audits.) at 2010-11-08 18:19 BRST
    Interesting ports on 192.168.1.179:
    PORT STATE SERVICE
    80/tcp closed http
    MAC Address: 00:U0:6D:9F:FE:34 (Netronix)


    Nmap done: 1 IP address (1 host up) scanned in 6.644 seconds
    2ª problema
    Do proprio proxy do qual instalei o dhcp e configurei assim:
    ddns-update-style none;
    default-lease-time 1200;

    authoritative;

    subnet 10.1.0.0 netmask 255.255.255.0 {
    range 10.1.0.3 10.1.0.253;
    option routers 10.1.0.1;
    option domain-name-servers 10.1.0.1, 200.164.0.32;
    option broadcast-address 10.1.0.255;
    }
    tentei pingar em uma maquina da qual tem o seguinte IP 10.1.0.16 e n consigo pingar
    3ª problema
    nao tem internet na rede 10.1.0.16

    grato por qualquer ajuda.

  2. Conselho, faz um desenho da tua rede, desta forma esta meio bagunçado, vai ser mais fácil de te ajudar.






Tópicos Similares

  1. Respostas: 4
    Último Post: 20-08-2014, 15:52
  2. Passar clientes e link dentro de outra rede
    Por pu3rzr no fórum Redes
    Respostas: 3
    Último Post: 11-03-2013, 20:34
  3. Respostas: 9
    Último Post: 02-07-2009, 21:53
  4. impressora de outra rede
    Por no fórum Servidores de Rede
    Respostas: 1
    Último Post: 02-05-2005, 15:59
  5. Como bloqueio com iptables um IP dentro de minha rede?
    Por Pollus no fórum Servidores de Rede
    Respostas: 12
    Último Post: 04-04-2005, 13:55

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L