+ Responder ao Tópico



  1. #1

    Question Regras Firewall topologia servidores internos

    Boa tarde

    Preciso reorganizar meus servidores, de maneira que fique um mikrotik como roteador de borda, e dele passando ips validos para outros servidores atras dele.
    Como seria a regra de firewall para esses servidores terem acesso ilimitado a internet?

  2. #2

    Padrão Re: Regras Firewall topologia servidores internos

    mascaramento geral!!



  3. #3

    Padrão Re: Regras Firewall topologia servidores internos

    se vc usar mascarade, entao o IP sera o do firewall... se vc fizer nat vc pode virtualmente atribuir os IPs validos a esses servidores atras desse firewall iptables... seria um snat e um dnat, para cada IP valido. nao é uma ideia mto legal... nesse caso se vc tem alguns IPs disponiveis, deveria fazer a divisao no roteador. claro que ai vc perde a capacidade de filtrar pacotes por esse firewall...

  4. #4

    Padrão Re: Regras Firewall topologia servidores internos

    pessoal sempre usamos isso onde eu trabalhava antes....
    cada torre tinha um ip valido...

    e é muito simples

    e so ir fazendo regras de dst no firewall para redirecionar pra fora ou nao segurar o ip
    ou use o sistema ospf de roteamento...

    mns:[email protected]



  5. #5

    Question Re: Regras Firewall topologia servidores internos

    Obrigado pelos posts pessoal

    Mas se fizer masquerad, qual o nível de segurança que vou ter, ou se fizer por nat, scnat, dstna, qual problema que posso ter?

  6. #6

    Padrão Re: Regras Firewall topologia servidores internos

    boa pergunta!



  7. #7

    Padrão Re: Regras Firewall topologia servidores internos

    Na verdade, em ambos os casos vc pode ter algum nivel de segurança. Depende de como vc faz a regra... Ex:
    Vc tem um web server e queria que esse ws, tivesse um IP valido, usando ai um NAT.
    -t nat -A PRE -d 200.200.200.1 -p tcp --dport 80 -j DNAT 192.168.0.10
    -t nat -A OUT -s 192.168.0.10 -p tcp --sport 80 -j SNAT 200.200.200.1

    Nesses casos, aonde vc tem alguns IPs disponiveis numa mesma interface e vai fazer NAT vc sempre especifica o IP valido e o privado. Vc pode fazer a regra sem especificar a porta e protocolo e ai fica 'transparente'. Usando mascarade, vc tem um pouco mais de segurança so em relacao a um nat 1:1, nesse exemplo o nat e tao seguro quanto o mascarade.

  8. #8

    Question Re: Regras Firewall topologia servidores internos

    Felco, estou utilizando mikrotik como router, a regra implementada é a seguinte:

    /ip firewall nat
    add action=masquerade chain=srcnat comment="Regra Basica NAT" disabled=no

    regra básica das básicas, a questão é se há algum tipo de segurança nessa regra, e se implementar por exemplo o ip 200.200.200.199/28, ele vai passar direto pelo mikrotik?

    Grato pela atenção de todos.



  9. #9

    Padrão Re: Regras Firewall topologia servidores internos

    Nao conheco o mikrotik... mas imagino que essa regra se refira a saida do trafego pelo seu firewall, tudo oque sai tem sua origem modificada para receber um IP valido. No geral, se vc distribui a internet por esses metodos, toda a sua rede atras do firewall tem o mesmo IP, interessante de usar uma so maquina e varios IPs, e que nenhuma maquina atras do firewall vai realmente estar 'aberta' para fora. Voce faz um NAT e direciona trafegos especificos para IPs especificos em portas espeficicas, usando IPs variados ou seja, nenhuma maquina na rede tem IP apenas o firewall, e ainda podera usar um IP especifico para fazer o mascarade geral e enquanto outros servicos ficariam em outros IPs, protegendo seu firewall com um IP desconhecido, assim ele nunca seria alvo por nao se saber o IP.

    Mas em relacao ao que vc quer fazer, a unica maneira de atribuir IPs validos é fazendo NAT. Caso contrario só via roteador, ai no caso nao sei qual o seu, mas de qualquer maneira, se vc é assinante de um servico IP e tem mais de um IP disponivel vc pode contactar seu provedor e customizar sua tabela de roteamente e distribuir esses IPs diretamente. Se vc deixar o firewall recebendo tudo, vc pode usar todos os IPs de uma vez, e ai fazer essa atribuicao 'virtual' de IPs usando NAT, nesse caso as regras variam muito mas basicamente é SNAT/DNAT ainda que defindo portas e/ou protocolo, esse esquema é muito bom e pratico tambem.

  10. #10

    Wink Re: Regras Firewall topologia servidores internos

    Ok Felco e demais, obrigado pela ajuda.