Re: Firewall com 2 placas na mesma rede.
Miguel Da Silva - Centro de Matemática escribió: Colegas, serão feitas algumas mudanças na topologia da rede onde trabalho e agora o nosso firewall deverá ter 2 placas de rede cujos IPs estão na mesma rede classe C. Para explicar melhor o assunto, fiz um diagrama e coloquei na internet: http://www.cmat.edu.uy/~mdasilva/img/diagrama_red_cmat.jpg Certamente será melhor que explicar com palavras a topologia atual e a topologia que haverá mais adiante. Resumindo, o que acontece é o que firewall tem 2 placas de rede que estão em redes diferentes e agora passará a ter 2 placas que estarão na mesma rede. Além do mais, esse firewall deixará de ser o roteador da rede justamente devido a algumas mudanças de IP. Bem, aceito sugestões. Até mais e obrigado. Respondendo a mim mesmo e para completar o conteúdo da lista... lendo sobre este assunto (Linux, roteamento, etc) encontrei na bibliografia do Iptables Tutorial do Oskar Andreasson o Linux Advanced Routing Traffic Control HOWTO. Comecei a lê-lo e acho que encontrei o que eu queria: Chapter 16. Building bridges, and pseudo-bridges with Proxy ARP. O que devo fazer é um bridge e como diz no próprio how-to, a atual versão do kernel torna possível implementar um bridge com filtro IP (iptables). Depois conto os resultados... Até mais. -- Miguel Da Silva Administrador de Red Centro de Matemática - http://www.cmat.edu.uy Facultad de Ciencias - http://www.fcien.edu.uy Universidad de la República - http://www.rau.edu.uy -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Firewall com 2 placas na mesma rede.
Junior Polegato - Linux escreveu: Quoting Miguel Da Silva - Centro de Matemática [EMAIL PROTECTED]: Vou colocar novamente o endereço do diagrama para quem consultar a lista mais tarde poder ver do que estamos falando... http://www.cmat.edu.uy/~mdasilva/img/diagrama_red_cmat.jpg Caro Miguel, Confesso que nunca tentei isso, mas creio ser plenamente possível, bastando apenas redirecionar o fluxo para 192.168.42.1 para eth0, o fluxo para 192.168.42.0/24 para eth1 e o fluxo padrão para eth0 com roteador 192.168.42.1. Vamos ver se isso funciona: 1. Apague todas as rotas: # route -n Tabela de Roteamento IP do Kernel Destino RoteadorMáscaraGen.Opções Métrica Ref Uso Iface 192.168.42.00.0.0.0 255.255.255.0 U 0 00 eth0 0.0.0.0 192.168.42.10.0.0.0 UG0 00 eth0 # route del default gw 192.168.42.1 # route del -net 192.168.42.0 netmask 255.255.255.0 # route -n Tabela de Roteamento IP do Kernel Destino RoteadorMáscaraGen.Opções Métrica Ref Uso Iface 2. Definir novas rotas: # route add default gw 192.168.42.1 eth0 # route add -net 192.168.42.0 netmask 255.255.255.0 eth1 # route add 192.168.42.1 eth0 # ping 192.168.42.1 # roteador # ping 192.168.42.2 # placa ligada ao roteador # ping 192.168.42.3 # placa ligada a rede administrada # ping 192.168.42.(4-254) # algumas máquinas da rede administrada 3. Funcionando tudo acima, vamos ao firewall: # iptables -t filter -P INPUT DROP # iptables -t filter -P OUTPUT ACCEPT # iptables -t filter -P FORWARD DROP # iptables -t nat -P PREROUTING ACCEPT # iptables -t nat -P OUTPUT ACCEPT # iptables -t nat -P POSTROUTING DROP # for i in /proc/sys/net/ipv4/conf/*/rp_filter; do echo 1 $i; done # echo 1 /proc/sys/net/ipv4/ip_forward # iptables -A INPUT -i lo -j ACCEPT # iptables -A INPUT -s 192.168.42.0/24 -i eth1 -j ACCEPT # iptables -A FORWARD -d 192.168.42.0/24 -i eth0 -o eth1 -j ACCEPT # iptables -A FORWARD -s 192.168.42.0/24 -i eth1 -o eth0 -j ACCEPT # iptables -A INPUT -p icmp -m limit --limit 1/s -j ACCEPT # iptables -A INPUT -m state --state ! ESTABLISHED,RELATED -j DROP # iptables -A INPUT -j ACCEPT # iptables -t nat -A POSTROUTING -s 192.168.42.0/24 -o eth0 -j SNAT --to 192.168.42.2 4. Conta para a gente o resultado! Valeu pela dica Junior. Estou lendo mais sobre roteamento em Linux e também sobre roteamento em redes TCP/IP. Pensei em fazer o que você sugeriu nos pontos (1) e (2); já sobre o ponto (3) fiquei com a dúvida de que se e necessário fazer SNAT dos pacotes que chegam ao firewall desde a rede interna. Coloquei no exemplo endereços IP inválidos, entretanto, todas as máquinas da rede em questão tem IP válido e devem sair da rede internet com o endereço de cada uma delas. Tenho que conversar com o administrador do roteador principal e ver o que realmente pode ser feito. Até!!! -- Miguel Da Silva Administrador de Red Centro de Matemática - http://www.cmat.edu.uy Facultad de Ciencias - http://www.fcien.edu.uy Universidad de la República - http://www.rau.edu.uy -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Firewall com 2 placas na mesma rede.
Colegas, serão feitas algumas mudanças na topologia da rede onde trabalho e agora o nosso firewall deverá ter 2 placas de rede cujos IPs estão na mesma rede classe C. Para explicar melhor o assunto, fiz um diagrama e coloquei na internet: http://www.cmat.edu.uy/~mdasilva/img/diagrama_red_cmat.jpg Certamente será melhor que explicar com palavras a topologia atual e a topologia que haverá mais adiante. Resumindo, o que acontece é o que firewall tem 2 placas de rede que estão em redes diferentes e agora passará a ter 2 placas que estarão na mesma rede. Além do mais, esse firewall deixará de ser o roteador da rede justamente devido a algumas mudanças de IP. Bem, aceito sugestões. Até mais e obrigado. -- Miguel Da Silva Administrador de Red Centro de Matemática - http://www.cmat.edu.uy Facultad de Ciencias - http://www.fcien.edu.uy Universidad de la República - http://www.rau.edu.uy -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Firewall com 2 placas na mesma rede.
Pedro Celio [EMAIL PROTECTED] escreveu: Miguel Da Silva - Centro de Matemática [EMAIL PROTECTED] escreveu: Colegas, serão feitas algumas mudanças na topologia da rede onde trabalho e agora o nosso firewall deverá ter 2 placas de rede cujos IPs estão na mesma rede classe C. Não ficou muito claro para mim qual seu objetivo com esta mundança, mas dentro do que eu entendo por redes, vc vai precisar criar outra subrede para poder colocar as placas no enderaçamento que está querendo, caso contrátio não há sentido de se colocar a segunda interface. No seu digrama (depois) vc mostra o firewall com uma eth0: 192.168.42.2 que se liga ao roteador e uma eth1: 192.168.42.3 para ligar a sub rede. Neste caso o endereço da eth1 precisar ser outro segmento de rede caso contrário isso não vai funcionar. Se seu firewall não vai ser mais roteador, qual vai ser o papel dele aparitr de agora?? Para explicar melhor o assunto, fiz um diagrama e coloquei na internet: http://www.cmat.edu.uy/~mdasilva/img/diagrama_red_cmat.jpg Certamente será melhor que explicar com palavras a topologia atual e a topologia que haverá mais adiante. Resumindo, o que acontece é o que firewall tem 2 placas de rede que estão em redes diferentes e agora passará a ter 2 placas que estarão na mesma rede. Além do mais, esse firewall deixará de ser o roteador da rede justamente devido a algumas mudanças de IP. Bem, aceito sugestões. Até mais e obrigado. -- Miguel Da Silva Administrador de Red Centro de Matemática - http://www.cmat.edu.uy Facultad de Ciencias - http://www.fcien.edu.uy Universidad de la República - http://www.rau.edu.uy Boa sorte Pedro Flickr agora em português. Você cria, todo mundo vê. Saiba mais. Flickr agora em português. Você cria, todo mundo vê. Saiba mais.
Re: Firewall com 2 placas na mesma rede.
Pedro Celio escribió: Não ficou muito claro para mim qual seu objetivo com esta mundança, mas dentro do que eu entendo por redes, vc vai precisar criar outra subrede para poder colocar as placas no enderaçamento que está querendo, caso contrátio não há sentido de se colocar a segunda interface. No seu digrama (depois) vc mostra o firewall com uma eth0: 192.168.42.2 que se liga ao roteador e uma eth1: 192.168.42.3 para ligar a sub rede. Neste caso o endereço da eth1 precisar ser outro segmento de rede caso contrário isso não vai funcionar. Se seu firewall não vai ser mais roteador, qual vai ser o papel dele aparitr de agora?? Boa sorte Pedro Flickr agora em português. Você cria, todo mundo vê. Saiba mais http://www.flickr.com.br/. Pedro, valeu pela resposta... vou tentar explicar melhor a situação... O objetivo com essa mudança é fazer com que a rede que estou administrando agora não esteja mais sendo tunelada através de outra rede. Isso é uma rede de um instituto numa faculdade e as coisas no mundo acadêmica costumam ser muito desorganizadas ou muito organizadas (no que diz respeito a redes pelo menos). Sempre tem algum professor que sabe um pouco mais de Linux que a maioria e mete a mão aonde não deve. Vou contar rapidamente parte da história e foi até por isso que coloquei o diagrama, para me ajudar nisso. O sensato seria ter no roteador principal 1 placa de rede para cada rede da faculdade, mas então alguém teve a má idéia de economizar e colocar uma rede dentro da outra (a rede 42 está passando dentro da 41). Seria necessário uma explicação mais extensa porque acontece que a pessoa que administra o roteador principal esteve trabalhando na mesma rede que estou administrando há alguns meses (a rede 42) e além do mais essa mesa rede ocupa os 3 últimos andares de um edifício de 16 andares. Entre o roteador principal e o 14º andar há uma outra rede (a 41), então a idéia foi tunelar a rede 42 através da rede 41. Vou colocar novamente o endereço do diagrama para quem consultar a lista mais tarde poder ver do que estamos falando... http://www.cmat.edu.uy/~mdasilva/img/diagrama_red_cmat.jpg Dando alguns outros detalhes... o roteador principal é só mismo, roteador. No máximo tem algumas regras de Iptables para, por exemplo, não re-transmitir pacotes da rede Windows. Para sanar parte do problema foi colocado um firewall entre o roteador princpal e a nossa rede (a rede 42). Então veio a idéia de tunelar e o firewall passou a ser também um roteador. O que era um firewall/roteador será um firewall, nada mais. Se ele tiver apenas um placa de rede não fazer o que estou querendo; filtrar o tráfego entre a minha rede e o roteador. Comecei a ler sobre roteamento no Linux. Talvez estou errado, mas porque não seria possível ter essa infra-estructura? As outras redes (40, 41 e 43) não são administradas por mim e também não tenho acesso ao roteador. Vou continuar pesquisando um pouco mais. Valeu!!! -- Miguel Da Silva Administrador de Red Centro de Matemática - http://www.cmat.edu.uy Facultad de Ciencias - http://www.fcien.edu.uy Universidad de la República - http://www.rau.edu.uy -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Firewall com 2 placas na mesma rede.
Quoting Miguel Da Silva - Centro de Matemática [EMAIL PROTECTED]: Vou colocar novamente o endereço do diagrama para quem consultar a lista mais tarde poder ver do que estamos falando... http://www.cmat.edu.uy/~mdasilva/img/diagrama_red_cmat.jpg Caro Miguel, Confesso que nunca tentei isso, mas creio ser plenamente possível, bastando apenas redirecionar o fluxo para 192.168.42.1 para eth0, o fluxo para 192.168.42.0/24 para eth1 e o fluxo padrão para eth0 com roteador 192.168.42.1. Vamos ver se isso funciona: 1. Apague todas as rotas: # route -n Tabela de Roteamento IP do Kernel Destino RoteadorMáscaraGen.Opções Métrica Ref Uso Iface 192.168.42.00.0.0.0 255.255.255.0 U 0 00 eth0 0.0.0.0 192.168.42.10.0.0.0 UG0 00 eth0 # route del default gw 192.168.42.1 # route del -net 192.168.42.0 netmask 255.255.255.0 # route -n Tabela de Roteamento IP do Kernel Destino RoteadorMáscaraGen.Opções Métrica Ref Uso Iface 2. Definir novas rotas: # route add default gw 192.168.42.1 eth0 # route add -net 192.168.42.0 netmask 255.255.255.0 eth1 # route add 192.168.42.1 eth0 # ping 192.168.42.1 # roteador # ping 192.168.42.2 # placa ligada ao roteador # ping 192.168.42.3 # placa ligada a rede administrada # ping 192.168.42.(4-254) # algumas máquinas da rede administrada 3. Funcionando tudo acima, vamos ao firewall: # iptables -t filter -P INPUT DROP # iptables -t filter -P OUTPUT ACCEPT # iptables -t filter -P FORWARD DROP # iptables -t nat -P PREROUTING ACCEPT # iptables -t nat -P OUTPUT ACCEPT # iptables -t nat -P POSTROUTING DROP # for i in /proc/sys/net/ipv4/conf/*/rp_filter; do echo 1 $i; done # echo 1 /proc/sys/net/ipv4/ip_forward # iptables -A INPUT -i lo -j ACCEPT # iptables -A INPUT -s 192.168.42.0/24 -i eth1 -j ACCEPT # iptables -A FORWARD -d 192.168.42.0/24 -i eth0 -o eth1 -j ACCEPT # iptables -A FORWARD -s 192.168.42.0/24 -i eth1 -o eth0 -j ACCEPT # iptables -A INPUT -p icmp -m limit --limit 1/s -j ACCEPT # iptables -A INPUT -m state --state ! ESTABLISHED,RELATED -j DROP # iptables -A INPUT -j ACCEPT # iptables -t nat -A POSTROUTING -s 192.168.42.0/24 -o eth0 -j SNAT --to 192.168.42.2 4. Conta para a gente o resultado! -- Atenciosamente, Junior Polegato Um peregrino de problemas; Um pergaminho de soluções! Página Profissional: http://www.juniorpolegato.com.br