+ Responder ao Tópico



  1. #1

    Padrão Servidores DNS, WEB e Email atras de Firewall Mikrotik

    Boa tarde pessoal,

    Gostaria de saber se é possível fazer a seguinte mudança de cenário.

    Cenario Atual:

    Servidor 01
    eth1: IP (valido): 200.xxx.xxx.2 -Gtw: 200.xxx.xxx.1
    eth0: IP (rede local): 10.10.10.2
    Executando: Web (LAMP), Postfix e DNS Master (Bind)

    Servidor 02
    eth1: IP (valido): 200.xxx.xxx.3 -Gtw: 200.xxx.xxx.1
    eth0: IP (rede local): 10.10.10.3
    Gtw: 200.xxx.xxx.1
    Executando: WEB (LAMP) e DNS Slave (Bind)

    OBS: Esses são servidores próprios de hospedagem, no registro do dominio eu indiquei o meu DNS e hj faço toda a gerencia dele.

    Blz, hj esta tudo funcionando e tals, só que eu gostaria de colocar um firewall mikrotik entre os servidores e a rede publica, tipo, configurar os ips validos no Mk e então encaminhar as requisições para os servidores, tipo portas de DNS, WEB, POP, SMTP, etc...

    Desde já, quem puder me tirar essa duvida.

  2. #2

    Padrão Re: Servidores DNS, WEB e Email atras de Firewall Mikrotik

    Skullred, bom dia.

    Tente usar um Mikrotik, Linux ou FreeBSD em bridge entre o GW e os teus Servidores. Assim você não teria que mudar a estrutura atual e poderia controlar tudo, permitindo somente as portas necessários para os serviços e realizar controle de banda, qos etc...

  3. #3

    Padrão Re: Servidores DNS, WEB e Email atras de Firewall Mikrotik

    Citação Postado originalmente por lexbsd Ver Post
    Skullred, bom dia.

    Tente usar um Mikrotik, Linux ou FreeBSD em bridge entre o GW e os teus Servidores. Assim você não teria que mudar a estrutura atual e poderia controlar tudo, permitindo somente as portas necessários para os serviços e realizar controle de banda, qos etc...
    Bom dia Alex, e desde já obrigado pela atenção!

    Então, no caso de eu colocar um MK em bridge entre meus servidores e o GW, esse controle de portas por ex teria q ser feito por ex em Filters na bridge?

  4. #4

    Padrão Re: Servidores DNS, WEB e Email atras de Firewall Mikrotik

    isso.

    No Mikrotik, você cria a bridge, associa as portas e no /ip firewall filter você cria sua politica de firewall. Por exemplo, fecha todas a portas e adiciona "accepts" nas portas necessárias. Exemplo: 22(ssh), 80,443(http,https), 25,110(smtp,pop).

  5. #5

    Padrão Re: Servidores DNS, WEB e Email atras de Firewall Mikrotik

    Citação Postado originalmente por lexbsd Ver Post
    isso.

    No Mikrotik, você cria a bridge, associa as portas e no /ip firewall filter você cria sua politica de firewall. Por exemplo, fecha todas a portas e adiciona "accepts" nas portas necessárias. Exemplo: 22(ssh), 80,443(http,https), 25,110(smtp,pop).

    humm, entendi
    então a politica do firewall, mm estando em bridge as portas, teria q ser feito mm em /ip firewall filter e não em /interface bridge filter

  6. #6

    Padrão Re: Servidores DNS, WEB e Email atras de Firewall Mikrotik

    Não tenho em produção um firewall em bridge com Mikrotik. Nesse ambiente uso FreeBSD que funciona perfeitamente. Mas acredito que vá funcionar em /ip firewall filter.

    O bom de usar firewall em bridge é que vc pode colocar no seu ambiente sem muitos danos.

    Na volta do almoço, vou instalar o mikrotik num servidor e testar isso.

  7. #7

    Talking Re: Servidores DNS, WEB e Email atras de Firewall Mikrotik

    Amigo, boa tarde.

    Fiz um pequeno lab para testar sua situação.

    192.168.1.10 (gw-operadora) <========> (fw-bridge) <======= > 192.168.1.11 (servidorA)

    Configuração fw-bridge (Mikrotik 5.25)

    /interface bridge

    add name="wan-bridge" mtu=1500 arp=enabled protocol-mode=none auto-mac=yes admin-mac=00:00:00:00:00:00 max-message-age=20s forward-delay=15s transmit-hold-count=6 ageing-time=5m

    /interface bridge port

    add bridge=wan-bridge disabled=no edge=auto external-fdb=auto horizon=none interface=ether1 path-cost=10 point-to-point=auto priority=0x80

    add bridge=wan-bridge disabled=no edge=auto external-fdb=auto horizon=none interface=ether2 path-cost=10 point-to-point=auto priority=0x80

    Nos testes, por DEFAULT o Mikrotik não vem ativado o filtro layer2.

    Permitindo filtro Layer2.

    /interface bridge settings

    set use-ip-firewall=yes

    Testeis regras de firewall simples para bloquear SSH, Telnet e FTP. Mas no seu caso as regras para os serviços de DNS, Web e E-mail vão funcionar da mesma maneira.

    /ip firewall filter

    add chain=forward action=drop protocol=tcp dst-port=22 disabled=no
    add chain=forward action=drop protocol=tcp dst-port=21 disabled=no

    No 192.168.1.11(servidorA) usei um FreeBSD 9.0.

    ifconfig em0 192.168.1.11/24 up
    route add default 192.168.1.10

    --Fim

    Espero que isso te ajude de alguma forma.

    Escrevi tudo bem rápido, então leia com atenção pode conter erros.


  8. #8

    Padrão Re: Servidores DNS, WEB e Email atras de Firewall Mikrotik

    Citação Postado originalmente por lexbsd Ver Post
    Amigo, boa tarde.

    Fiz um pequeno lab para testar sua situação.

    192.168.1.10 (gw-operadora) <========> (fw-bridge) <======= > 192.168.1.11 (servidorA)

    Configuração fw-bridge (Mikrotik 5.25)

    /interface bridge

    add name="wan-bridge" mtu=1500 arp=enabled protocol-mode=none auto-mac=yes admin-mac=00:00:00:00:00:00 max-message-age=20s forward-delay=15s transmit-hold-count=6 ageing-time=5m

    /interface bridge port

    add bridge=wan-bridge disabled=no edge=auto external-fdb=auto horizon=none interface=ether1 path-cost=10 point-to-point=auto priority=0x80

    add bridge=wan-bridge disabled=no edge=auto external-fdb=auto horizon=none interface=ether2 path-cost=10 point-to-point=auto priority=0x80

    Nos testes, por DEFAULT o Mikrotik não vem ativado o filtro layer2.

    Permitindo filtro Layer2.

    /interface bridge settings

    set use-ip-firewall=yes

    Testeis regras de firewall simples para bloquear SSH, Telnet e FTP. Mas no seu caso as regras para os serviços de DNS, Web e E-mail vão funcionar da mesma maneira.

    /ip firewall filter

    add chain=forward action=drop protocol=tcp dst-port=22 disabled=no
    add chain=forward action=drop protocol=tcp dst-port=21 disabled=no

    No 192.168.1.11(servidorA) usei um FreeBSD 9.0.

    ifconfig em0 192.168.1.11/24 up
    route add default 192.168.1.10

    --Fim

    Espero que isso te ajude de alguma forma.

    Escrevi tudo bem rápido, então leia com atenção pode conter erros.

    Bom dia amigo,

    Vou testar esse seu ambiente proposto e posto aqui o resultado dos testes.
    Muito obrigado pela sua ajuda.

    Abraços!

  9. #9

    Padrão Re: Servidores DNS, WEB e Email atras de Firewall Mikrotik

    Citação Postado originalmente por skullred Ver Post
    Bom dia amigo,

    Vou testar esse seu ambiente proposto e posto aqui o resultado dos testes.
    Muito obrigado pela sua ajuda.

    Abraços!

    Ótimo.

    Poste o resultado. :-)