+ Responder ao Tópico



  1. #1

    Padrão Rede dentro de outra Rede

    Bom estou montando uma rede(interna) dentro de outra rede(interna)
    o ambiente aqui ficou:
    IP 192.168.1.179, esta passando direto no FW liberado total o acesso dai eu peguei ele e irei montar uma segunda rede a partir dele.
    1 máquina FW com 3 placas sendo, eth0=192.168.1.179, eth1=192.168.20.1(DMZ-web-Mail), eth2=192.168.40.1(proxy)
    1 máquina Proxy com 2 placas sendo, eth0=192.168.40.2, eth1=10.1.0.1
    1 máquina Dmz com 1 placa sendo, eth0 192.168.20.2

    Bom agora ...eu criei meu script assim:

    #!/bin/sh
    ################################ Limpa tables e seta variaveis do kernel ############################
    echo "Iniciando firewall.."
    echo "Limpando tabelas e setando variaveis do kernel.."
    iptables -F
    iptables -X
    iptables -t nat -F
    iptables -t nat -X
    iptables -t mangle -F
    iptables -t mangle -X
    ### Variaveis ###
    echo 1 > /proc/sys/net/ipv4/ip_forward
    echo 2 > /proc/sys/net/ipv4/conf/all/rp_filter
    echo 2 > /proc/sys/net/ipv4/conf/eth0/rp_filter
    echo 2 > /proc/sys/net/ipv4/conf/eth1/rp_filter
    echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
    echo 1 > /proc/sys/net/ipv4/tcp_syncookies
    echo "0" > /proc/sys/net/ipv4/conf/eth0/accept_source_route
    echo "0" > /proc/sys/net/ipv4/conf/eth1/accept_source_route
    ######## Seta Politicas de privacidade ###
    echo "Setando politicas de privacidade.."
    iptables -P INPUT DROP
    iptables -P FORWARD DROP
    iptables -P OUTPUT ACCEPT
    ######## Abre a interface de loopback.
    iptables -A INPUT -i lo -j ACCEPT
    iptables -A OUTPUT -o lo -j ACCEPT
    # Descarta pacotes malformados, protegendo contra ataques diversos
    iptables -A INPUT -m state --state INVALID -j DROP
    ######################### LIBERANDO PING (LOC -> NET)
    iptables -I FORWARD -p icmp -i eth2 -o eth0 --icmp-type echo-request -j ACCEPT
    iptables -I FORWARD -p icmp -i eth0 -o eth2 --icmp-type echo-reply -j ACCEPT
    ########################## Seta prioridades TOS ##########################
    echo "Dando prioridades TOS para portas e ips importantes.."
    PRIO="20 21 25 53 80 110 137 139 445 443 8046 20000"
    IPSPRIO="192.168.40.3/24"

    for i in $PRIO; do
    echo " -Prioridade para porta $i tcp/udp"
    iptables -t mangle -A PREROUTING -p tcp --dport $i -j TOS --set-tos 16
    iptables -t mangle -A PREROUTING -p udp --dport $i -j TOS --set-tos 16
    iptables -t mangle -A PREROUTING -p tcp --sport $i -j TOS --set-tos 16
    iptables -t mangle -A PREROUTING -p udp --sport $i -j TOS --set-tos 16
    done

    for i in $IPSPRIO; do
    echo " -Dada prioridade para ip $i"
    iptables -t mangle -A PREROUTING -s $i -j TOS --set-tos 16
    iptables -t mangle -A PREROUTING -d $i -j TOS --set-tos 16
    iptables -t mangle -A PREROUTING -p icmp -s $i -j TOS --set-tos 16
    iptables -t mangle -A PREROUTING -p icmp -d $i -j TOS --set-tos 16
    done

    ################ Permitir pacotes de conexoes ja iniciadas
    iptables -I INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
    iptables -I FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

    ################### Libera servicos para este roteador #############
    echo "Liberando portas de servicos a para esse roteador.."
    PORTSALLOW="21 110 143 53 80 123 8046 8081 8082 20000 4445 5550"
    iptables -I INPUT -p tcp -i eth0 --dport $PORTSALLOW -j ACCEPT

    ############################### REDIRECIONAMENTO DE PORTAS ###############
    echo "Redirecionando portas da internet para micros da rede interna.."
    EXTIP="192.168.1.179"
    iptables -I PREROUTING -t nat -i eth1 -m multiport -p tcp -d $EXTIP --dport 80,8080 -j DNAT --to 192.168.20.2
    ######################## MASCARAMENTO PARA ACESSO A INTERNET

    iptables -t nat -A POSTROUTING -s 192.168.40.0 -o eth0 -j MASQUERADE

    ####### #BLOQUEIA PING EM EXCESSO

    echo "Bloqueando ping flood.."
    iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
    iptables -A INPUT -p icmp --icmp-type echo-request -j DROP

    # Permitir acesso a HTTPS
    iptables -A FORWARD -s 192.168.20.1/24 -i eth1 -p tcp --dport 443 -j ACCEPT

    # Permitir consulta DNS
    iptables -A FORWARD -s 192.168.1.179/24 -i eth0 -p tcp --dport 53 -j ACCEPT
    iptables -A FORWARD -s 192.168.1.179/24 -i eth0 -p udp --dport 53 -j ACCEPT

    echo "Firewall iniciando!"

    Bom, agora vem os problemas
    tentei acessar da 1º rede(192.168.1.155) o link http://192.168.1.179 e gerou isso"Não é possível conectar-se"

    Resolvi usa o nmap pra ver as portas:
    debianTeste: nmap -p 80 192.168.1.179
    Starting Nmap 4.62 (Nmap - Free Security Scanner For Network Exploration & Security Audits.) at 2010-11-08 18:19 BRST
    Interesting ports on 192.168.1.179:
    PORT STATE SERVICE
    80/tcp closed http
    MAC Address: 00:U0:6D:9F:FE:34 (Netronix)


    Nmap done: 1 IP address (1 host up) scanned in 6.644 seconds
    2ª problema
    Do proprio proxy do qual instalei o dhcp e configurei assim:
    ddns-update-style none;
    default-lease-time 1200;

    authoritative;

    subnet 10.1.0.0 netmask 255.255.255.0 {
    range 10.1.0.3 10.1.0.253;
    option routers 10.1.0.1;
    option domain-name-servers 10.1.0.1, 200.164.0.32;
    option broadcast-address 10.1.0.255;
    }
    tentei pingar em uma maquina da qual tem o seguinte IP 10.1.0.16 e n consigo pingar
    3ª problema
    nao tem internet na rede 10.1.0.16

    grato por qualquer ajuda.

  2. #2

    Padrão Re: Rede dentro de outra Rede

    Conselho, faz um desenho da tua rede, desta forma esta meio bagunçado, vai ser mais fácil de te ajudar.