+ Responder ao Tópico



  1. 26-08-2005, 14:01 #1
    Fisiconuclear 18
    Visitante

    Padrão problemas no roteamento com iptables.Meu emprego..

    Olá tenho algumas dúvidas e por favor se alguém souber a solução me ajude...

    Meu nome é André e estou trabalhando e estamos implantando um firewall.Pois bem estou com alguns problemas e gostaria que , se possivel, me ajudassem.

    O problema está na configuração da rede.Pois o scipt de firewall, que logo abaixo colocarei, não está tão problemático.

    Estava com o problema de roteamento, então recomendaram fazer o seguinte:
    Dividir os ip’s.Entao tenho ip’s /24 e dois ip’s /30.
    Esses dois ip’s /30 eu deixei um no roteador e um na placa eth0 do meu firewall.
    E o roteador está com rota 200.321.4.0/24 via 200.321.4.2
    O ip do roteador é 200.321.4.1/30
    E o da eth0 200.321.2/30
    Até aqui sem problemas, dei um ip a a numero do ip dev eth0 e levantei a placa.
    No meu firewall então deixei na eth1 o ip 192.168.0.254/24 e carreguei outro ip o 200.321.4.3/24.
    Mas o problema é que tenho que definir ele como gateway, que não estou conseguindo.
    No caso gateway seria 200.321.4.1/30
    E a rede local que se ocnecta na eth1 atibui o ip 192.161.0.1 e o gateway 192.168.0.254

    O problema é:

    Como colocar o gateway no firewall? Colocar ele na eth0?
    E o gateway da rede? Na eth1?
    Disseram para eu colocar somente a máscara 255.255.255.0
    Como colocar a máscara?
    A placa eth0 é a placa que vem do roteador para o firewall e a eth1 é a que vai para minha rede.
    Para poder executar o o iptables dei um ./nome do arq do firewall
    Se eu fizer tudo isso, ele vai rotear?
    No resolv.conf eu coloco o nameserver = dns?
    E há a necessidade de fazer SNAT e DNAT? Pois eu não tenho uma DMZ ainda...

    Essas são minhas dúvidas...

    Segue abaixo o script do meu firewall...Se alguém tiver alguma idéia, eu agradeço...

    Desde já sou grato por toda ajuda...Muito obrigado...
    !/bin/bash
    echo
    echo "======================================================="
    echo "| :: SETTINGS IPTABLES CONFIGURATION :: |"
    echo "======================================================="

    #carrega os modulos
    modprobe ip_tables
    modprobe iptable_filter
    modprobe iptable_mangle
    modprobe iptable_nat
    modprobe ipt_MASQUERADE
    echo "Loading modules............. ok"


    #abre a rede local
    iptables -A INPUT -p tcp --syn -s 192.168.0.0/24 -j ACCEPT

    #Zerar regras
    iptables -F
    iptables -Z
    iptables -X
    iptables -t nat -F
    iptables -t nat -X
    iptables -t mangle -F
    iptables -t mangle -X

    #Alterando policiamento do firewall
    iptables -P INPUT DROP
    iptables -P FORWARD DROP

    #Compartilhar a conexao
    iptables -t nat -A POSTROUTING -s 192.168.0.1/24 -o eth0 -j MASQUERADE
    echo 1 > /proc/sys/net/ipv4/ip_forward

    #Entrar somente o que deve
    iptables -A INPUT -m state --state ESTABILISHED,RELATED -j ACCEPT

    #Passar somente o que prescisa
    iptables -A FORWARD -m state --state ESTABILISHED,RELATED -j ACCEPT
    #DNS
    iptables -A FORWARD -o eth0 -s 200.132.0.37 -p tcp --dport 53 -j ACCEPT
    iptables -A FORWARD -o eth0 -s 200.132.0.37 -p udp --dport 53 -J ACCEPT

    #Liberando o acesso a porta 80 da rede interna protcolo tcp e udp
    iptables -I INPUT -o eth0 -p tcp --dport 80 -j ACCEPT
    iptables -I INPUT -o eth0 -p udp --dport 80 -j ACCEPT

    #Liberando o uso do SMTP P/ toda rede tcp e udp
    iptables -A FORWARD -p tcp --dport 25 -j ACCEPT
    iptables -A FORWARD -p udp --dport 25 -j ACCEPT

    #PING interno para aceitar em caso de verificacao
    iptables -A INPUT -i eth1 -s 192.168.0.0/24 -p icmp -j ACCEPT
    #Loga pacotes com tempo limite
    iptables -A FORWARD -m limit -j LOG
    #Bloqueando o ping da morte
    #iptables -A FORWARD -p icmp --icmp-type echo-request -m limit 1/s -j ACCEPT

    #Port Scanner suspeito
    iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT

    #Protecao contra Syn-flood
    iptables -A FORWARD -p tcp --syn -m limit 1/s -j ACCEPT
    echo "FIREWALL CONFIGURADO COM SUCESSO"
    Citação Citação
  2. 26-08-2005, 15:09 #2
    silmar
    Visitante

    Padrão problemas no roteamento com iptables.Meu emprego..

    #Entrar somente o que deve
    iptables -A INPUT -m state --state ESTABILISHED,RELATED -j ACCEPT


    bem aee em baixo eu costuma colocar a minha rede tambem

    /sbin/iptables -A INPUT -s 192.168.0.0/24 -j ACCEPT


    aeee depois
    #Regras de Passagem
    /sbin/iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
    /sbin/iptables -A FORWARD -s 192.168.0.0/24 -j ACCEPT

    nao sei se isso lhe ajuda eu nao compreendi muito o que vc .. tc .. mas depois eu leio com mais paciencia ..
    Citação Citação
  3. 26-08-2005, 15:34 #3
    ruyneto
    ruyneto está desconectado
    Avatar de ruyneto
    Ingresso
    Jul 2004
    Posts
    2.957
    Posts de Blog
    3

    Padrão problemas no roteamento com iptables.Meu emprego..

    Cara se entendi a interface interna do roteador ta com ip 200.321.4.1 se for isso voce tem ip publicos sobrando certo?? se nao esse modelo esta errado.

    outra parte que fiquei com duvidas foi essa:
    E o da eth0 200.321.2/30
    Até aqui sem problemas, dei um ip a a numero do ip dev eth0 e levantei a placa.
    No meu firewall então deixei na eth1 o ip 192.168.0.254/24 e carreguei outro ip o 200.321.4.3/24.
    Me diga o ip que pos na placa eh .2 ou .3??

    e para por o gateway seria:
    route add default gw o ip da plada de rede interna.

    falows
    Citação Citação
  4. 09-09-2005, 15:00 #4
    fisiconuclear18
    Visitante

    Padrão problemas no roteamento com iptables.Meu emprego..

    Sim, numa placa .2 e na outra .3

    Tenho sim ip's sobrandos....
    Citação Citação



« Tópico Anterior | Próximo Tópico »