Firewall invisível com Proxy ARP

Como construir um firewall com apenas um endereço IP na mesma sub-rede, desaparecer com esta dos demais computadores e não criar um possível obstáculo no caso de uma falha do mesmo.

[ Hits: 29.970 ]

Por: Paulo Mauricio da Conceição Jr. RHCI, RHCE, RHCVA em 13/06/2008


Conclusão



Neste ponto, você pode aguardar a cache ARP expirar ou pode ainda reiniciar seu roteador. Se você der uma olhada na cache ARP no servidor, ele irá mostrar o endereço mac do roteador como se fosse o endereço mac da interface eth1 no seu Firewall. Depois de ter completado estas etapas, você pode adicionar suas regras de firewall.

Este tipo de configuração de firewall é bem aplicada também quando a necessidade é de não ter que dividir sua sub-rede para que você possa inserir seu Firewall, um exemplo coloco a seguir:

Sua rede tem como endereço 192.168.1.0/24, o endereço de gateway (roteador) é apresentado como 192.168.1.254, para instalar um Firewall tradicional nesta rede você precisa criar uma outra sub-rede, para que os pacotes possam ser roteados de uma sub-rede a outra, como diz as regras de roteamento, com o Firewall baseado em proxy-arp, você somente vai utilizar um endereço de host, evitando assim diversos problemas com uma possível falha de serviço, neste caso você teria somente que remover o cabo conectado a interface eth0 e conectá-lo a Switch ou Hub da sua rede.

Página anterior    

Páginas do artigo
   1. Introdução
   2. Instalação e configuração
   3. Conclusão
Outros artigos deste autor

Docker - Da virtualização a aplicações distribuídas

Leitura recomendada

Manual do IPtables - Comentários e sugestões de regras

Criando firewalls dinâmicos com Iptables Recent

NAT com firewall - simples, rápido e funcional

Shorewall, uma excelente opção para firewall Linux

IPset - Bloqueie milhares de IPs com o iptables

  
Comentários
[1] Comentário enviado por elgio em 13/06/2008 - 13:42h

Desculpa, mas...

Porque não fazer firewall transparente pela técnica de Bridge? É ainda mais transparente pois eth0 e eth1 nem precisam ter ips (terão para possibilitar o login e gerenciamento).

Assim tu coloca ela entre a rede e o verdadeiro roteador, ou entre a saída do roteador e a Internet.

Ela atua como se fosse um Switch (bridge), apenas repassando quadros de um dominio de colisão para outro (nem o MAC address de suas placas sao expostos), porém podem filtrar (sempre com DROP, pois se ela não tiver IP como responderia com um ICMP?)

Pra mim isto sim é firewall transparente.

Pacote bridge-utils:

ifconfig eth0 down
ifconfig eth1 up

brctl addbr br0

brctl addif br0 eth0
brctl addif br0 eth1

ifconfig eth0 0.0.0.0
ifconfig eth1 0.0.0.0

# Opcionalemente, colocando um IP para poder se logar
#ifconfig br0 10.1.0.4
#route add default gw 10.1.0.1

Depois, segue o mesmo de sempre no iptables, com regras na chain FORWARD da tabela filter!

[2] Comentário enviado por pmcj21 em 15/06/2008 - 22:30h

?comentario=Resposta ao Elgio.

Entendo perfeitamente sua questão, porém, minha intenção é trazer opções a comunidade, até porque a teoria que compreendo sobre software livre é a valorização do profissional e a divulgação do conhecimento, você realmente parece entender do assunto, mas acho melhor divulgar meu conhecimento baseado em alternativas, para que todos entendam tanto o roteamento de pacotes quanto o repasse de quadros, porém valeu pela colocação. Espero em breve criar artigos citando todas as opções possíveis, valeu, fui...

[3] Comentário enviado por removido em 18/06/2008 - 14:54h

muito bom, mas ainda não testei.
mas achei otimo.


Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts