problemas no roteamento com iptables.Meu emprego..
Olá tenho algumas dúvidas e por favor se alguém souber a solução me ajude...
Meu nome é André e estou trabalhando e estamos implantando um firewall.Pois bem estou com alguns problemas e gostaria que , se possivel, me ajudassem.
O problema está na configuração da rede.Pois o scipt de firewall, que logo abaixo colocarei, não está tão problemático.
Estava com o problema de roteamento, então recomendaram fazer o seguinte:
Dividir os ips.Entao tenho ips /24 e dois ips /30.
Esses dois ips /30 eu deixei um no roteador e um na placa eth0 do meu firewall.
E o roteador está com rota 200.321.4.0/24 via 200.321.4.2
O ip do roteador é 200.321.4.1/30
E o da eth0 200.321.2/30
Até aqui sem problemas, dei um ip a a numero do ip dev eth0 e levantei a placa.
No meu firewall então deixei na eth1 o ip 192.168.0.254/24 e carreguei outro ip o 200.321.4.3/24.
Mas o problema é que tenho que definir ele como gateway, que não estou conseguindo.
No caso gateway seria 200.321.4.1/30
E a rede local que se ocnecta na eth1 atibui o ip 192.161.0.1 e o gateway 192.168.0.254
O problema é:
Como colocar o gateway no firewall? Colocar ele na eth0?
E o gateway da rede? Na eth1?
Disseram para eu colocar somente a máscara 255.255.255.0
Como colocar a máscara?
A placa eth0 é a placa que vem do roteador para o firewall e a eth1 é a que vai para minha rede.
Para poder executar o o iptables dei um ./nome do arq do firewall
Se eu fizer tudo isso, ele vai rotear?
No resolv.conf eu coloco o nameserver = dns?
E há a necessidade de fazer SNAT e DNAT? Pois eu não tenho uma DMZ ainda...
Essas são minhas dúvidas...
Segue abaixo o script do meu firewall...Se alguém tiver alguma idéia, eu agradeço...
Desde já sou grato por toda ajuda...Muito obrigado...
!/bin/bash
echo
echo "======================================================="
echo "| :: SETTINGS IPTABLES CONFIGURATION :: |"
echo "======================================================="
#carrega os modulos
modprobe ip_tables
modprobe iptable_filter
modprobe iptable_mangle
modprobe iptable_nat
modprobe ipt_MASQUERADE
echo "Loading modules............. ok"
#abre a rede local
iptables -A INPUT -p tcp --syn -s 192.168.0.0/24 -j ACCEPT
#Zerar regras
iptables -F
iptables -Z
iptables -X
iptables -t nat -F
iptables -t nat -X
iptables -t mangle -F
iptables -t mangle -X
#Alterando policiamento do firewall
iptables -P INPUT DROP
iptables -P FORWARD DROP
#Compartilhar a conexao
iptables -t nat -A POSTROUTING -s 192.168.0.1/24 -o eth0 -j MASQUERADE
echo 1 > /proc/sys/net/ipv4/ip_forward
#Entrar somente o que deve
iptables -A INPUT -m state --state ESTABILISHED,RELATED -j ACCEPT
#Passar somente o que prescisa
iptables -A FORWARD -m state --state ESTABILISHED,RELATED -j ACCEPT
#DNS
iptables -A FORWARD -o eth0 -s 200.132.0.37 -p tcp --dport 53 -j ACCEPT
iptables -A FORWARD -o eth0 -s 200.132.0.37 -p udp --dport 53 -J ACCEPT
#Liberando o acesso a porta 80 da rede interna protcolo tcp e udp
iptables -I INPUT -o eth0 -p tcp --dport 80 -j ACCEPT
iptables -I INPUT -o eth0 -p udp --dport 80 -j ACCEPT
#Liberando o uso do SMTP P/ toda rede tcp e udp
iptables -A FORWARD -p tcp --dport 25 -j ACCEPT
iptables -A FORWARD -p udp --dport 25 -j ACCEPT
#PING interno para aceitar em caso de verificacao
iptables -A INPUT -i eth1 -s 192.168.0.0/24 -p icmp -j ACCEPT
#Loga pacotes com tempo limite
iptables -A FORWARD -m limit -j LOG
#Bloqueando o ping da morte :)
#iptables -A FORWARD -p icmp --icmp-type echo-request -m limit 1/s -j ACCEPT
#Port Scanner suspeito
iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
#Protecao contra Syn-flood
iptables -A FORWARD -p tcp --syn -m limit 1/s -j ACCEPT
echo "FIREWALL CONFIGURADO COM SUCESSO"
problemas no roteamento com iptables.Meu emprego..
#Entrar somente o que deve
iptables -A INPUT -m state --state ESTABILISHED,RELATED -j ACCEPT
bem aee em baixo eu costuma colocar a minha rede tambem
/sbin/iptables -A INPUT -s 192.168.0.0/24 -j ACCEPT
aeee depois
#Regras de Passagem
/sbin/iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
/sbin/iptables -A FORWARD -s 192.168.0.0/24 -j ACCEPT
nao sei se isso lhe ajuda eu nao compreendi muito o que vc .. tc .. mas depois eu leio com mais paciencia ..
problemas no roteamento com iptables.Meu emprego..
Cara se entendi a interface interna do roteador ta com ip 200.321.4.1 se for isso voce tem ip publicos sobrando certo?? se nao esse modelo esta errado.
outra parte que fiquei com duvidas foi essa:
Citação:
E o da eth0 200.321.2/30
Até aqui sem problemas, dei um ip a a numero do ip dev eth0 e levantei a placa.
No meu firewall então deixei na eth1 o ip 192.168.0.254/24 e carreguei outro ip o 200.321.4.3/24.
Me diga o ip que pos na placa eh .2 ou .3??
e para por o gateway seria:
route add default gw o ip da plada de rede interna.
falows
problemas no roteamento com iptables.Meu emprego..
Sim, numa placa .2 e na outra .3
Tenho sim ip's sobrandos....