Como construir um firewall com apenas um endereço IP na mesma sub-rede, desaparecer com esta dos demais computadores e não criar um possível obstáculo no caso de uma falha do mesmo.
[ Hits: 29.970 ]
Por: Paulo Mauricio da Conceição Jr. RHCI, RHCE, RHCVA em 13/06/2008
Neste ponto, você pode aguardar a cache ARP expirar ou pode ainda reiniciar seu roteador. Se você der uma olhada na cache ARP no servidor, ele irá mostrar o endereço mac do roteador como se fosse o endereço mac da interface eth1 no seu Firewall. Depois de ter completado estas etapas, você pode adicionar suas regras de firewall.
Este tipo de configuração de firewall é bem aplicada também quando a necessidade é de não ter que dividir sua sub-rede para que você possa inserir seu Firewall, um exemplo coloco a seguir:
Sua rede tem como endereço 192.168.1.0/24, o endereço de gateway (roteador) é apresentado como 192.168.1.254, para instalar um Firewall tradicional nesta rede você precisa criar uma outra sub-rede, para que os pacotes possam ser roteados de uma sub-rede a outra, como diz as regras de roteamento, com o Firewall baseado em proxy-arp, você somente vai utilizar um endereço de host, evitando assim diversos problemas com uma possível falha de serviço, neste caso você teria somente que remover o cabo conectado a interface eth0 e conectá-lo a Switch ou Hub da sua rede.
[1] Comentário enviado por elgio em 13/06/2008 - 13:42h
Desculpa, mas...
Porque não fazer firewall transparente pela técnica de Bridge? É ainda mais transparente pois eth0 e eth1 nem precisam ter ips (terão para possibilitar o login e gerenciamento).
Assim tu coloca ela entre a rede e o verdadeiro roteador, ou entre a saída do roteador e a Internet.
Ela atua como se fosse um Switch (bridge), apenas repassando quadros de um dominio de colisão para outro (nem o MAC address de suas placas sao expostos), porém podem filtrar (sempre com DROP, pois se ela não tiver IP como responderia com um ICMP?)
Pra mim isto sim é firewall transparente.
Pacote bridge-utils:
ifconfig eth0 down
ifconfig eth1 up
brctl addbr br0
brctl addif br0 eth0
brctl addif br0 eth1
ifconfig eth0 0.0.0.0
ifconfig eth1 0.0.0.0
# Opcionalemente, colocando um IP para poder se logar
#ifconfig br0 10.1.0.4
#route add default gw 10.1.0.1
Depois, segue o mesmo de sempre no iptables, com regras na chain FORWARD da tabela filter!
[2] Comentário enviado por pmcj21 em 15/06/2008 - 22:30h
?comentario=Resposta ao Elgio.
Entendo perfeitamente sua questão, porém, minha intenção é trazer opções a comunidade, até porque a teoria que compreendo sobre software livre é a valorização do profissional e a divulgação do conhecimento, você realmente parece entender do assunto, mas acho melhor divulgar meu conhecimento baseado em alternativas, para que todos entendam tanto o roteamento de pacotes quanto o repasse de quadros, porém valeu pela colocação. Espero em breve criar artigos citando todas as opções possíveis, valeu, fui...