[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: RES: Re: Linux em modo bridge

Ygor,
Obrigado pela dica me ajudou bastante a entender os conceitos.

Att.

Leandro Moreira

On Fri, 21 Nov 2008 13:57:32 -0200, Ygor Parrera <ygor@securitylabs.com.br>
wrote:
> 
>  
> 
> Ola Leandro,
> 
>  
> 
> Legal que você conseguil resolver o problema :)
> 
>  
> 
> Gostaria de expor alguns pontos, para dar uma clareada nas suas idéias
> sobre protocolos. Tipo, bridge geralmente são utilizadas para separar o
> domínio de colisão, ela segmenta a rede em domínios de colisão
> diferentes, dado que os pacotes de broadcast ficam restritos a cada lado
da
> bridge. Aqui tem uma explicação interessante sobre isso, acho que vai
te
> dar uma clariada => http://www.catabits.com.br/forum/index.php?topic=33.0
> 
>  
> 
> O caso mais comum onde se usa bridge em linux é quando se deseja por um
> firewall "invisivel" na rede. No caso do uso de squid, a maquina precisa
> ter IP especificado, pois o squid é um daemon que trabalha em camada de
> aplicação (http). ele recebe a conexão, trata e decide o que vai
fazer.
> 
>  
> 
> Neste caso, torna-se redundante o uso de bridge, pois sendo o proxy com
IP
> seu gateway da rede, os domínios de broadcast já estarão separados.
> 
>  
> 
> Não conheço o squid que roda no microtik (se é compilado sem suporte,
> etc), porem para fazer o transparent-proxy no squid do debian basta fazer
> como o Thiago disse:
> 
>  
> 
> iptables - t nat -i <INTERFACE_INTERNA> -p tcp --dport 80 -j REDIRECT
3128
> 
>  
> 
> e adicionar/modificar no squid.conf => http_port 3128 transparent
> 
>  
> 
> No caso da nescessidade de acesso a outras portas não esqueca de
abilitar
> o forward e criar o mascaramento, como o Thiago disse:
> 
>  
> 
> echo "1" > /proc/sys/net/ipv_4/ip_forward
> iptables -t nat -A POSTROUTING -o <interface externa> -j MASQUERADE
>  
> 
> Apenas mais uma informação importante, transparent-proxy não funciona
> com proxy autenticado, como vem nos comentários do squid.conf:
> 
>  
> 
> # # WARNING: proxy_auth can't be used in a transparent proxy. It
> # # collides with any authentication done by origin servers. It may
> # # seem like it works at first, but it doesn't.
> 
>  
> 
>
http://wiki.squid-cache.org/SquidFaq/ProxyAuthentication#head-6793b3454a91802f8e22c3c3a8874bf68056890c
> 
>  
> 
> Espero ter ajudado a clarear seu entendimento um pouco mais.
> 
>  
> 
> [s];
> 
>  
> 
> Att.:
> Ygor da Rocha Parreira.
> Consultor de Segurança da Informação.
> Security Labs | Intruders Tiger Team Division
> http://www.intruders.com.br/
> http://www.securitylabs.com.br/
> 
>  
>  
> -----Mensagem original-----
> De: Leandro Moreira <leandro@leandromoreira.eti.br>
> Enviado: Sex 21/11/2008 11:59
> Para: Thiago Silveira Alexandre <thsalex@gmail.com>;
> CC: Debian <debian-user-portuguese@lists.debian.org>;
> Assunto: Re: Linux em modo bridge
> 
> 
> Thiago,
> Eu realmente vou fazer um nat mas usando o tproxy, e com ele posso usar
> sem
> problemas o linux em modo bridge, a minha duvida era apenas com a
> configuração da bridge mas encontrei um link do focalinux que me ajuda
a
> eclarecer, foi o que os amigos da lista tinham me falado a bridge as
> interfacer (ethX) nao tem ip
> bastou eu add a seguinte cfg no meu interfaces:
> 
>  auto br0
>     iface br0 inet static
>         address 192.168.0.2
>         network 192.168.0.0
>         netmask 255.255.255.0
>         broadcast 192.168.0.255
>         gateway 192.168.0.1
>         bridge_ports eth0 eth1
> 
> E a bridge funcionou, agora vou colocar uma nat:
> 
> iptables -t tproxy -A PREROUTING -p tcp -m tcp --dport 80 -j TPROXY
> --on-port 81
> 
> Ele vai sniffar td o trafego q passa pela bridge, o que for pra porta 80
> ele aplica o nat, vou testar isso amanha de manha funcionando eu posto na
> lista.
> 
> Att.
> 
> Leandro Moreira.
> 
> 
> 
> 
> On Fri, 21 Nov 2008 08:38:23 -0300, "Thiago Silveira Alexandre"
> <thsalex@gmail.com> wrote:
>> eu também acho que o que ele quer é fazer um NAT.
>> Seguinte Leandro:
>> Primeiro você tem que dar um ip para a interface interna que esteja na
>> mesma
>> rede que vai ser filtrada pelo proxy, depois da um ip pra interface
>> externa
>> que vai se comunicar com o gateway.
>> Depois de esse comando
>>
>> echo "1" > /proc/sys/net/ipv_4/ip_forward
>> iptables -t nat -A POSTROUTING -o <interface externa> -j MASQUERADE
>>
>> para compartilhar a conexão e permitir o tráfego entre as placas
> interna
>> e
>> externa, e
>>
>> iptables - t nat -i eth0 -p tcp --dport 80 -j REDIRECT 3128
>>
>> não dou a certeza se a sintaxe dos comando estão corretas, talvez uma
> ou
>> outra estejam com a sintaxe erradas, qualquer coisa você revisa no
>> google..
>>
>>
>> Em 21/11/08, Allison Vollmann <allisonvoll@yahoo.com.br> escreveu:
>>>
>>> Bom eu acho que o nosso amigo se expressou mal e não quer uma brigde e
>> sim
>>> um nat não é isso? Redirecionando os pacotes da rede interna de uma
>>> interface do servidor para outro, assim se tem controle de firewall e
>> pode
>>> utilizar proxy também, fazer o redirecionamento de portas, sem
> problema
>>> algum, não seria isso?
>>>
>>> A[]'s
>>>
>>> Miguel Da Silva - Centro de Matemática escreveu:
>>>
>>>> Leandro Moreira escreveu:
>>>>
>>>>
>>>>> Thiago,
>>>>> O que eu preciso e que a maquina com o squid fique entre a rede e o
> GW
>> da
>>>>> rede, ela vai "sniffar" todo o trafego da rede, o que for direcionado
>>>>> para
>>>>> a porta 80 ela vai redirecionar para o squid (porta 3128) processar,
>> pois
>>>>> apliquei um patch chamando tproxy e com ele eu consigo redirecionar
> as
>>>>> requizições da porta 80 para a 3128 do squid, a minha dúvia é
>>>>> exatamente como coloca-lo em modo bridge, pelo que ja vi tenho q
>> instalar
>>>>> o
>>>>> pacote bridge-utils e colocar algumas configurações específicas no
>>>>> /etc/networkinterfaces, minha dúvida é que configurações sao
>> essas, e
>>>>> outra coisas as interfazer da bridge eth0 e eth1 tem que estar sem
> IP,
>> a
>>>>> interface que a bridge conecta no GW da rede tem q ter IP. Desde já
>>>>> agraceço a atenção.
>>>>>
>>>>> Att.
>>>>>
>>>>> Leandro Moreira.
>>>>>
>>>>>
>>>>>
>>>>
>>>> Primeiro, você deveria ler sobre proxy e bridge. Originalmente, são
> 2
>>>> tipos de dispositivos totalmente diferentes e que trabalharam em
>> camadas
>>>> diferentes do tráfico de rede.
>>>>
>>>> Segundo, dá uma olhadinha nestas páginas aqui:
>>>>
>>>> http://www.linuxfoundation.org/en/Net:Bridge
>>>> http://ebtables.sourceforge.net/br_fw_ia/br_fw_ia.html
>>>>
>>>> Terceiro, um proxy não trabalha em "modo bridging", esse conceito
> não
>>>> existe quando o assunto é proxy.
>>>>
>>>> Resumindo, acho, eu disse acho, que até daria para fazer o que você
>>>> quer, entretanto, é bom levar em conta que isso não é o bom e velho
>>>> "bridging" que estamos acostumados. Esse tal "bridiging" que estou
>>>> falando é daqueles que nem sequer está sendo usada uma rede TCP/IP.
>>>>
>>>> Por outro lado, um bridge no Linux até poderia ter um IP associado à
>>>> interface de bridging.
>>>>
>>>> Então, boa sorte!!!
>>>>
>>>>
>>>
>>>
>>> --
>>> To UNSUBSCRIBE, email to
> debian-user-portuguese-REQUEST@lists.debian.org
>>> with a subject of "unsubscribe". Trouble? Contact
>>> listmaster@lists.debian.org
>>>
>>>
>>
>>
>> --
>> Thiago Silveira Alexandre
>>
>>
>>
> --
> Leandro Moreira
> Linux Networks
> e-mail: leandro@leandromoreira.eti.br
> Tel.: + 55(32) 9906-5713
> 
> 
> --
> To UNSUBSCRIBE, email to debian-user-portuguese-REQUEST@lists.debian.org
> with a subject of "unsubscribe". Trouble? Contact
> listmaster@lists.debian.org
> 
> 
> 
> !DSPAM:1,4926dc70146359478625549!
-- 
Leandro Moreira
Linux Networks
e-mail: leandro@leandromoreira.eti.br
Tel.: + 55(32) 9906-5713
Reply to: