Roteamento

[redoctober]

<IMG SRC="http://www.maracutaia.com.br/zzum-esquema.gif">

--PROBLEMA--
No meu ponto de vista pra que a máquina FIREWALL controle protege a rede toda, eu deveria fazer o seguinte:

01 - Colocar o gateway das máquinas atraz do HUB com o IP da máquina firewall -> 200.174.176.148

02 - Colocar o gateway da máquina FIREWALL com o IP do roteador -> 200.174.176.138

03 - Criar em iptables um rota entre as duas placas de rede da máquina firewall... Correto?

04 - Lembrando que todas as máquinas atraz do HUB são IPs válidos.

Bom, preciso de ajuda nesse problema.

[ Esta mensagem foi editada por: redoctober em 30-06-2003 21:53 ]

[wrochal]

Caro,

Me enviei um email mais detalhado para conversa

<A HREF="mailto:[email protected]">[email protected]</A>

falou,

[Danilo_Montagna]

considerando que essas maquinas que estao ligadas nessa eth1 sao servidores em uma DMZ..

o correto é vc subdividir a mascara de rede disponivel na sua range valida de IP&acute;s.. onde vc cria duas subredes destintas.. uma para o firewall e outra para a DMZ.. onde que para as duas se conversarem devera haver FORWARD de pacotes entre as interfaces do firewall...

somente vc deve usar IP&acute;s validos na rede interna.. caso a mesma seja uma rede para um DMZ de servidores.. não tem pq vc ficar usando esse range de IP&acute;s disponivel pelo seu router para maquians internas..

falow

[redoctober]

Certo...

Como seria essas regras de FORWARD???

[A-Marcio]

Com o FORWARD voce vai controlar o que sai de uma placa de rede e vai para a outra.

EX: Voce podera bloquear todos os forward (DROP) e so Liberar os serviços que voce desejar www,smtp,pop3 e etc.

Sobre sua rede segue a dica que o Danilo te passou vai aumentar asegurança e fica mais facil de controlar.
Troca os ip das estaçoes para um ip 192.168.5.x por exemplo. e cria uma regra de Nat para acessar a internet.

Da uma pesquisada neste site la voce deve tirar suaa duvida

http://focalinux.cipsga.org.br/guia/...w-iptables.htm

A Marcio

[redoctober]

o problema é que devem ser todos com IPs fixo...

Bom, vou usar duas classes:


INTERNET
......|.......
......|.......
ROTEADOR -> 200.174.177.30
......|.......
......|.......
FIREWALL eth0 -> 200.174.177.31
FIREWALL eth1 -> 200.174.176.138
......|.......
......|.......
Maquina 01 -> 200.174.176.140
......|.......
......|.......
Maquina 02 -> 200.174.176.141
......|.......
......|.......
Maquina 03 -> 200.174.176.142
......|.......
......|.......
Maquina 04 -> 200.174.176.143
......|.......
......|.......
Maquina 05 -> 200.174.176.144
......|.......
......|.......
Maquina 06 -> 200.174.176.145
......|.......
......|.......
Maquina 07 -> 200.174.176.146


Sendo assim é só colocar uma regra de IPTABLES na máquina FIREWALL para poder conversar com as duas redes certo???

Como fazer essas regras?

[A-Marcio]

Com as regras Abaixo vai resolver seu problema e as estaçoes vao conseguir navegar na internet

OBS:ESTAS REGRAS VOCE SOMENTE COMPARTILHA A INTERNET NAO TEM SEGURANÇA NEHUMA. APOS FEITO ISTO VOCE VAI TER QUE CRIAR AS REGRAS DE FIREWALL DE ACORDO COM SUAS NECESSIDADES.

Abilita o roteamento de kernel
echo 1 > /proc/sys/net/ipv4/ip_forward

Transforma todos os ip invalidos em ip validos
iptables -t nat -A POSTROUTING -s 200.174.176.138/255.255.255.0 -o eth0 -j SNAT --to 200.174.177.31

Redirecionar todas os pacotes da porta 80 para a porta do proxy (squid)
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to 3128

iptables -t nat -A POSTROUTING -s 200.174.176.138/255.255.255.0 -o eth0 -j MASQUERADE

A Marcio

[redoctober]

Ok
Seguinte...
As máquina 01 e 02 são DNS, a 03 e 04 servidor HTTP, a 05 Servidor MAIL e a 06 Backup.

OBS: Todas essas máquinas que estão atraz do firewall preciso ser vista diretamente pela internet, ou seja, se alguém da internet precisar de comunicação com essas máquina terão que ter.

Com as regras acima, isso é possível?

[Danilo_Montagna]

sim.. é possivel..

porem se vc usar o FORWARD em DROP.. tera que libera acesso nas porats que vem de fora para dentro da rede DMZ.. usando regras de FORWARD para cada maquina de destino.. e como vc esta usando IP&acute;s validos.. não é necessario o uso de regras de NAT para mascarar a conexao.. apenas habilitar o roteamento dinamico do kernel e controlar as classes por subredes diferentes entre os ip&acute;s validos..

[]&acute;s

[redoctober]

Como fazer o roteamento????

[Danilo_Montagna]

nao sei se vc leu os posts... mais ja foi passado..

Abilita o roteamento de kernel
echo 1 > /proc/sys/net/ipv4/ip_forward

Galera tenho o mesmo problema..
vou exemplificar com o esquema do nosso amigo...

quando eu configuro as duas eths.. como ali: eth0 200.174.176.206 e eth1 200.174.176.148, tipow apenas consigo pingar nas máquinas que estao ligadas na eth0 e as máquinas que estao ligadas na eth1 naum consigo pingar...

Falow

[Danilo_Montagna]

vc separou essa rede em 2 subredes diferentes?

caso contrario a rota padrao para a rede 200.174.176.0/24 sera sempre pela eth0.

[ Esta mensagem foi editada por: Danilo_Montagna em 03-07-2003 08:30 ]

[redoctober]

Aí Danilo,

Como fazer a rota das duas redes pelo route add ... sei que é com ele que faz com que comunique as duas redes, mais não sei como.

[Danilo_Montagna]

nao verdade nem precisa usar o route add,.. é so vc segmentar a sua raneg de IP&acute;s..

exemplo:

200.200.200.0/24 - essa é a sua range disponivel

subrange da eth0
200.200.200.64/26

subrede da eth1
200.200.200.128/26

falow

[redoctober]

Aí Danilo,
Infelismente eu não tenho uma subclasse...

só essas:

200.174.176.0/255.255.255.128
200.174.60.0/255.255.255.128

sim.. mais isso ae que vc tem é uma subrede..

a difirença é que sao duas subredes..

ae vc ve a melhor forma de usar elas inteiras.. ou dividir mais ainda essas classes..

falow