Re: Firewall com 3 redes: Net, Lan e DMZ - roteamento entre elas
Denis E amigos!
Estou aqui para comentar sobre os progressos da minha curzada épica pra fazer
funcionar uma DMZ decente!!!!! rsrsrs.
Bom,
Tenho iptables rodando, politica padrão é drop.
adicionei as regras do iptables pra liberar o acesso da lan pra dmz e vice
versa, adicionei as rotas necessarias, entao da maquina que ta na dmz eu
pingo qualquer maquina da lan, e de qualquer maquina da lan eu pingo a
maquina que ta na dmz.
Até ai ta tudo beleza (graças às boas dicas do Denis e dos amigos aqui da
lista).
Acontece que a maquina da dmz precisa acessar a Internet tumein!
A internet é uma placa de rede com ip dinamico (posso ver se dá pra fixar) eu
habilitei o compartilhamento da net com o iptables conforme o script abaixo:
echo "Subindo modulos"
/sbin/modprobe ip_conntrack
/sbin/modprobe ipt_MASQUERADE
/sbin/modprobe ipt_LOG
/sbin/modprobe iptable_nat
/sbin/modprobe ipt_REDIRECT
#habilitando Ip forward
echo 1 > /proc/sys/net/ipv4/ip_forward
echo "[OK]"
echo "Inicializando as tabelas"
$IPT -F
$IPT -Z
$IPT -t nat -F
$IPT -P INPUT DROP
$IPT -t filter -P FORWARD DROP
$IPT -P OUTPUT ACCEPT
echo "[ok]"
################################
## COMPARTILHAMENTO DE CONEXAO #
################################
echo "Habilitando o compartilhamento da conexao de internet"
$IPT -t nat -A POSTROUTING -o $NET_IFACE -j MASQUERADE
echo "[OK]"
###############################
## Configurando interface DMZ #
###############################
echo "Subindo interface DMZ"
ifconfig $DMZ_IFACE $DMZ_IP_ADDR netmask 255.255.255.0 broadcast
10.100.100.255
route add -net $DMZ_NET netmask 255.255.255.0 dev $DMZ_IFACE
#liberando trafego entre DMZ e LAN
$IPT -I FORWARD -s 10.100.100.0/255.255.255.0 -i eth2 -d
10.0.4.0/255.255.255.0 -o eth1 -j ACCEPT
$IPT -I FORWARD -s 10.0.4.0/255.255.255.0 -i eth1 -d
10.100.100.0/255.255.255.0 -o eth2 -j ACCEPT
echo "[OK]"
Acontece que mesmo se eu alterar a politica padrao pra ACCEPT eu nao consigo
dar um ping pra nenhum site na internet, por exemplo o uol, pois tenho como
retorno a mensagem dizendo que a rede é inacessivel network is unreachable
ja tentei colocar as mesmas regras de liberação que estao para a DMZ
(alterando os parametros de rede e interfaces, claro) mas nao tive sucesso!
Alguma luz amigos?
On Tuesday 03 April 2007 10:07, Denis wrote:
> Se as políticas estão com odrop vc vai precisar de:
>
> iptables -I FORWARD -s 10.0.100.0/sua_mascara -i eth2 -d
> 10.0.4.0/sua_mascara -o eth1 -j ACCEPT
>
> e
>
> iptables -I FORWARD -s 10.0.4.0/sua_mascara -i eth1 -d
> 10.0.100.0/sua_mascara -o eth2 -j ACCEPT
>
>
> Denis
>
> Em 03/04/07, andnovelli<andre.ti@embalatec.com.br> escreveu:
> > Opá denis!
> >
> > O iptables esta com as regras de firewall que existiam antes, vou dar um
> > flush e colocar accept em tudo, e testar se pinga normal.
> >
> > On Tuesday 03 April 2007 09:54, you wrote:
> > > Das máquinas da DMZ vc consegue pingar nas outras interfaces do
> > > firewall?
> > >
> > > E na net?
> > >
> > > Seu iptables está sem nenhuma regra, e as politicas estão como accept?
> > >
> > > iptables -L -n
> > >
> > > Para a máquina rotear, não é necessário colocar nenhuma regra no
> > > iptables.
> > >
> > >
> > >
> > > Denis
> > >
> > > Em 03/04/07, andnovelli<andre.ti@embalatec.com.br> escreveu:
> > > > Opa denis!
> > > >
> > > > Esta sim, o acesso a net ja etsa sendo feito, eu ainda nao coloquei
> > > > nehuma regra no iptables, to tentando fazer so um ping, sera que
> > > > precisa meter algo no iptables?
> > > >
> > > > Valew a força!
> > > >
> > > > On Tuesday 03 April 2007 09:40, you wrote:
> > > > > o ip forward está habilitado?
> > > > >
> > > > > echo 1 > /proc/sys/net/ipv4/ip_forward
> > > > >
> > > > > ?
> > > > >
> > > > > Em 03/04/07, andnovelli<andre.ti@embalatec.com.br> escreveu:
> > > > > > Opá!
> > > > > >
> > > > > > Sim esta! a maquina 10.0.100.90 tem gateway para 10.0.100.3
> > > > > >
> > > > > > On Tuesday 03 April 2007 09:25, Denis wrote:
> > > > > > > Suas máquinas da rede 10.0.100.0 têm que ter como gateway o ip
> > > > > > > 10.9.100.3
> > > > > > >
> > > > > > >
> > > > > > > Isso tá Ok?
> > > > > > >
> > > > > > >
> > > > > > > abraço.
> > > > > > >
> > > > > > > Em 03/04/07, andnovelli<andre.ti@embalatec.com.br> escreveu:
> > > > > > > > Pessoal,
> > > > > > > > dando prosseguimento ao pepino que estou tentando resolver,
> > > > > > > > parti pra solução que achei mais segura, que é montar uma DMZ
> > > > > > > > ( 3° placa de rede no firewall ).
> > > > > > > >
> > > > > > > >
> > > > > > > > Espetei a dita placa de rede, configurei o IP da mesma,
> > > > > > > > ficando assim:
> > > > > > > >
> > > > > > > > NET - 200.x.x.88 - ETH0
> > > > > > > > LAN - 10.0.4.3 - ETH1
> > > > > > > > DMZ - 10.0.100.3 - ETH2
> > > > > > > >
> > > > > > > > O IP 10.0.4.3 é o gateway padrao da minha rede, todas as
> > > > > > > > estações tem ele configurado.
> > > > > > > >
> > > > > > > > quando eu pingo o 10.0.100.3 de uma estação, vai tudo ok, mas
> > > > > > > > quando eu pingo o ip de uma maquina, por exemplo 10.0.100.90
> > > > > > > > da mesma estação, o mesmo nao pinga!
> > > > > > > >
> > > > > > > > o que poderia ser ??
> > > > > > > >
> > > > > > > >
> > > > > > > >
> > > > > > > >
> > > > > > > >
> > > > > > > >
> > > > > > > > --
> > > > > > > > Andre Novelli
> > > > > > > > Depto de TI
> > > > > > > > +55 11 5534.0017
> > > > > > > > andre.ti@embalatec.com.br
> > > > > > > > www.embalatec.com.br
> > > > > >
> > > > > > --
> > > > > > Andre Novelli
> > > > > > Depto de TI
> > > > > > +55 11 5534.0017
> > > > > > andre.ti@embalatec.com.br
> > > > > > www.embalatec.com.br
> > > >
> > > > --
> > > > Andre Novelli
> > > > Depto de TI
> > > > +55 11 5534.0017
> > > > andre.ti@embalatec.com.br
> > > > www.embalatec.com.br
> >
> > --
> > Andre Novelli
> > Depto de TI
> > +55 11 5534.0017
> > andre.ti@embalatec.com.br
> > www.embalatec.com.br
--
Andre Novelli
Depto de TI
+55 11 5534.0017
andre.ti@embalatec.com.br
www.embalatec.com.br
Reply to: