Olá tenho algumas dúvidas e por favor se alguém souber a solução me ajude...
Meu nome é André e estou trabalhando e estamos implantando um firewall.Pois bem estou com alguns problemas e gostaria que , se possivel, me ajudassem.
O problema está na configuração da rede.Pois o scipt de firewall, que logo abaixo colocarei, não está tão problemático.
Estava com o problema de roteamento, então recomendaram fazer o seguinte:
Dividir os ips.Entao tenho ips /24 e dois ips /30.
Esses dois ips /30 eu deixei um no roteador e um na placa eth0 do meu firewall.
E o roteador está com rota 200.321.4.0/24 via 200.321.4.2
O ip do roteador é 200.321.4.1/30
E o da eth0 200.321.2/30
Até aqui sem problemas, dei um ip a a numero do ip dev eth0 e levantei a placa.
No meu firewall então deixei na eth1 o ip 192.168.0.254/24 e carreguei outro ip o 200.321.4.3/24.
Mas o problema é que tenho que definir ele como gateway, que não estou conseguindo.
No caso gateway seria 200.321.4.1/30
E a rede local que se ocnecta na eth1 atibui o ip 192.161.0.1 e o gateway 192.168.0.254
O problema é:
Como colocar o gateway no firewall? Colocar ele na eth0?
E o gateway da rede? Na eth1?
Disseram para eu colocar somente a máscara 255.255.255.0
Como colocar a máscara?
A placa eth0 é a placa que vem do roteador para o firewall e a eth1 é a que vai para minha rede.
Para poder executar o o iptables dei um ./nome do arq do firewall
Se eu fizer tudo isso, ele vai rotear?
No resolv.conf eu coloco o nameserver = dns?
E há a necessidade de fazer SNAT e DNAT? Pois eu não tenho uma DMZ ainda...
Essas são minhas dúvidas...
Segue abaixo o script do meu firewall...Se alguém tiver alguma idéia, eu agradeço...
Desde já sou grato por toda ajuda...Muito obrigado...
!/bin/bash
echo
echo "======================================================="
echo "| :: SETTINGS IPTABLES CONFIGURATION :: |"
echo "======================================================="
#carrega os modulos
modprobe ip_tables
modprobe iptable_filter
modprobe iptable_mangle
modprobe iptable_nat
modprobe ipt_MASQUERADE
echo "Loading modules............. ok"
#abre a rede local
iptables -A INPUT -p tcp --syn -s 192.168.0.0/24 -j ACCEPT
#Zerar regras
iptables -F
iptables -Z
iptables -X
iptables -t nat -F
iptables -t nat -X
iptables -t mangle -F
iptables -t mangle -X
#Alterando policiamento do firewall
iptables -P INPUT DROP
iptables -P FORWARD DROP
#Compartilhar a conexao
iptables -t nat -A POSTROUTING -s 192.168.0.1/24 -o eth0 -j MASQUERADE
echo 1 > /proc/sys/net/ipv4/ip_forward
#Entrar somente o que deve
iptables -A INPUT -m state --state ESTABILISHED,RELATED -j ACCEPT
#Passar somente o que prescisa
iptables -A FORWARD -m state --state ESTABILISHED,RELATED -j ACCEPT
#DNS
iptables -A FORWARD -o eth0 -s 200.132.0.37 -p tcp --dport 53 -j ACCEPT
iptables -A FORWARD -o eth0 -s 200.132.0.37 -p udp --dport 53 -J ACCEPT
#Liberando o acesso a porta 80 da rede interna protcolo tcp e udp
iptables -I INPUT -o eth0 -p tcp --dport 80 -j ACCEPT
iptables -I INPUT -o eth0 -p udp --dport 80 -j ACCEPT
#Liberando o uso do SMTP P/ toda rede tcp e udp
iptables -A FORWARD -p tcp --dport 25 -j ACCEPT
iptables -A FORWARD -p udp --dport 25 -j ACCEPT
#PING interno para aceitar em caso de verificacao
iptables -A INPUT -i eth1 -s 192.168.0.0/24 -p icmp -j ACCEPT
#Loga pacotes com tempo limite
iptables -A FORWARD -m limit -j LOG
#Bloqueando o ping da morte
#iptables -A FORWARD -p icmp --icmp-type echo-request -m limit 1/s -j ACCEPT
#Port Scanner suspeito
iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
#Protecao contra Syn-flood
iptables -A FORWARD -p tcp --syn -m limit 1/s -j ACCEPT
echo "FIREWALL CONFIGURADO COM SUCESSO"