Iptables / eth0 + eth1 + roteador [RESOLVIDO] [Squid/Iptables]

1. Iptables / eth0 + eth1 + roteador [RESOLVIDO]

user_debian
(usa Debian)

Enviado em 27/12/2017 - 22:40h

Boa noite,

Gostaria de pedir uma ajuda, estou configurando um servidor de internet, onde terá 2 placas de redes, uma recebendo o sinal do modem (ADSL), até aí tudo certo, e uma segunda placa de rede, onde irá redirecionar para um roteador. Resumindo.

eth0 (recebendo sinal do modem)
eth1 (direcionando para o roteador)

tentei de tudo, mas na hora de configurar o roteador como estático com os IPs do eth1 sem sucesso.

Alguém poderia me ajudar?

0 0

Quote

2. Re: Iptables / eth0 + eth1 + roteador [RESOLVIDO]

LSSilva
(usa Outra)

Enviado em 28/12/2017 - 08:33h

ferezini escreveu:

Boa noite,

Gostaria de pedir uma ajuda, estou configurando um servidor de internet, onde terá 2 placas de redes, uma recebendo o sinal do modem (ADSL), até aí tudo certo, e uma segunda placa de rede, onde irá redirecionar para um roteador. Resumindo.

eth0 (recebendo sinal do modem)
eth1 (direcionando para o roteador)

tentei de tudo, mas na hora de configurar o roteador como estático com os IPs do eth1 sem sucesso.

Alguém poderia me ajudar?

O que você já tentou que não está dando certo?

0 0

Quote

3. Re: Iptables / eth0 + eth1 + roteador

user_debian
(usa Debian)

Enviado em 28/12/2017 - 09:06h

LSSilva escreveu:

ferezini escreveu:

Boa noite,

Gostaria de pedir uma ajuda, estou configurando um servidor de internet, onde terá 2 placas de redes, uma recebendo o sinal do modem (ADSL), até aí tudo certo, e uma segunda placa de rede, onde irá redirecionar para um roteador. Resumindo.

eth0 (recebendo sinal do modem)
eth1 (direcionando para o roteador)

tentei de tudo, mas na hora de configurar o roteador como estático com os IPs do eth1 sem sucesso.

Alguém poderia me ajudar?

O que você já tentou que não está dando certo?

Vou te passar abaixo as configurações que fiz:

interfaces:

auto eth0
iface eth0 inet static
address 192.168.15.98
netmask 255.255.255.0
network 192.168.15.0
broadcast 192.168.15.255
gateway 192.168.15.1

#eth1 (Rede Local)

auto eth1
iface eth1 inet static
address 192.168.15.99
netmask 255.255.255.0
network 192.168.15.0
broadcast 192.168.15.255

iptables:

#!/bin/bash

IPTABLES="/sbin/iptables"
IFCONFIG="/sbin/ifconfig"

modprobe iptable_nat
modprobe ip_nat_ftp
modprobe ipt_REDIRECT
modprobe ipt_REJECT
modprobe ip_conntrack
modprobe ip_conntrack_ftp

#
# Network
#
external_if="eth0"
external_ip="192.168.15.98"

internal_if="eth1"
internal_ip="192.168.15.98"
internal_net="192.168.0.0/24"

$IPTABLES -A INPUT -i lo -j ACCEPT
$IPTABLES -A INPUT -i $internal_if -j ACCEPT
$IPTABLES -A INPUT -i $external_if -j ACCEPT

$IPTABLES -t nat -A POSTROUTING -o $internal_if -s 192.168.15.0/24 -j MASQUERADE
$IPTABLES -t nat -A POSTROUTING -o $external_if -s 192.168.15.0/24 -j MASQUERADE

O que preciso é que o roteador receba na wan o sinal enviado pelo eth1, lá passei o GW 192.168.15.98, porém não da acesso.

0 0

Quote

4. Re: Iptables / eth0 + eth1 + roteador

LSSilva
(usa Outra)

Enviado em 28/12/2017 - 09:47h

ferezini escreveu:

Vou te passar abaixo as configurações que fiz:

interfaces:

auto eth0
iface eth0 inet static
address 192.168.15.98
netmask 255.255.255.0
network 192.168.15.0
broadcast 192.168.15.255
gateway 192.168.15.1

#eth1 (Rede Local)

auto eth1
iface eth1 inet static
address 192.168.15.99
netmask 255.255.255.0
network 192.168.15.0
broadcast 192.168.15.255

iptables:

#!/bin/bash

IPTABLES="/sbin/iptables"
IFCONFIG="/sbin/ifconfig"

modprobe iptable_nat
modprobe ip_nat_ftp
modprobe ipt_REDIRECT
modprobe ipt_REJECT
modprobe ip_conntrack
modprobe ip_conntrack_ftp

#
# Network
#
external_if="eth0"
external_ip="192.168.15.98"

internal_if="eth1"
internal_ip="192.168.15.98"
internal_net="192.168.0.0/24"

$IPTABLES -A INPUT -i lo -j ACCEPT
$IPTABLES -A INPUT -i $internal_if -j ACCEPT
$IPTABLES -A INPUT -i $external_if -j ACCEPT

$IPTABLES -t nat -A POSTROUTING -o $internal_if -s 192.168.15.0/24 -j MASQUERADE
$IPTABLES -t nat -A POSTROUTING -o $external_if -s 192.168.15.0/24 -j MASQUERADE

O que preciso é que o roteador receba na wan o sinal enviado pelo eth1, lá passei o GW 192.168.15.98, porém não da acesso.

Terá que modificar a range do eth1, coloque, por exemplo, na faixa 1; terá também que mudar seu firewall, ajuste desta forma:

interfaces:

auto eth0
iface eth0 inet static
address 192.168.15.98
netmask 255.255.255.0
network 192.168.15.0
broadcast 192.168.15.255
gateway 192.168.15.1

#eth1 (Rede Local)

auto eth1
iface eth1 inet static
address 192.168.1.1
netmask 255.255.255.0
network 192.168.1.0
broadcast 192.168.1.255

iptables:

#!/bin/bash

IPTABLES="/sbin/iptables"
IFCONFIG="/sbin/ifconfig"

modprobe iptable_nat
modprobe ip_nat_ftp
modprobe ipt_REDIRECT
modprobe ipt_REJECT
modprobe ip_conntrack
modprobe ip_conntrack_ftp

#
# Network
#
external_if="eth0"
internal_if="eth1"
internal_net="192.168.1.0/24"

#Se estiver com política accept, isso abaixo não é necessário. Logo seu firewall pode ter apenas duas linhas
#$IPTABLES -A INPUT -i lo -j ACCEPT
#$IPTABLES -A INPUT -i $internal_if -j ACCEPT
#$IPTABLES -A INPUT -i $external_if -j ACCEPT

#Ativa comutação de pacotes no kernel
echo 1 > /proc/sys/net/ipv4/ip_forward
#Faz SNAT para interface externa
$IPTABLES -t nat -A POSTROUTING -o $external_if -s $internal_net -j MASQUERADE

Aí no router você pode colocar o ip 192.168.0.2, com gateway 192.168.0.1 e dns na WAN que deve funcionar. Vale lembrar que este exemplo de firewall é totalmente permissivo e não é indicado.

0 0

Quote

5. Re: Iptables / eth0 + eth1 + roteador [RESOLVIDO]

user_debian
(usa Debian)

Enviado em 28/12/2017 - 11:21h

LSSilva escreveu:

ferezini escreveu:

Vou te passar abaixo as configurações que fiz:

interfaces:

auto eth0
iface eth0 inet static
address 192.168.15.98
netmask 255.255.255.0
network 192.168.15.0
broadcast 192.168.15.255
gateway 192.168.15.1

#eth1 (Rede Local)

auto eth1
iface eth1 inet static
address 192.168.15.99
netmask 255.255.255.0
network 192.168.15.0
broadcast 192.168.15.255

iptables:

#!/bin/bash

IPTABLES="/sbin/iptables"
IFCONFIG="/sbin/ifconfig"

modprobe iptable_nat
modprobe ip_nat_ftp
modprobe ipt_REDIRECT
modprobe ipt_REJECT
modprobe ip_conntrack
modprobe ip_conntrack_ftp

#
# Network
#
external_if="eth0"
external_ip="192.168.15.98"

internal_if="eth1"
internal_ip="192.168.15.98"
internal_net="192.168.0.0/24"

$IPTABLES -A INPUT -i lo -j ACCEPT
$IPTABLES -A INPUT -i $internal_if -j ACCEPT
$IPTABLES -A INPUT -i $external_if -j ACCEPT

$IPTABLES -t nat -A POSTROUTING -o $internal_if -s 192.168.15.0/24 -j MASQUERADE
$IPTABLES -t nat -A POSTROUTING -o $external_if -s 192.168.15.0/24 -j MASQUERADE

O que preciso é que o roteador receba na wan o sinal enviado pelo eth1, lá passei o GW 192.168.15.98, porém não da acesso.

Terá que modificar a range do eth1, coloque, por exemplo, na faixa 1; terá também que mudar seu firewall, ajuste desta forma:

interfaces:

auto eth0
iface eth0 inet static
address 192.168.15.98
netmask 255.255.255.0
network 192.168.15.0
broadcast 192.168.15.255
gateway 192.168.15.1

#eth1 (Rede Local)

auto eth1
iface eth1 inet static
address 192.168.1.1
netmask 255.255.255.0
network 192.168.1.0
broadcast 192.168.1.255

iptables:

#!/bin/bash

IPTABLES="/sbin/iptables"
IFCONFIG="/sbin/ifconfig"

modprobe iptable_nat
modprobe ip_nat_ftp
modprobe ipt_REDIRECT
modprobe ipt_REJECT
modprobe ip_conntrack
modprobe ip_conntrack_ftp

#
# Network
#
external_if="eth0"
internal_if="eth1"
internal_net="192.168.1.0/24"

#Se estiver com política accept, isso abaixo não é necessário. Logo seu firewall pode ter apenas duas linhas
#$IPTABLES -A INPUT -i lo -j ACCEPT
#$IPTABLES -A INPUT -i $internal_if -j ACCEPT
#$IPTABLES -A INPUT -i $external_if -j ACCEPT

#Ativa comutação de pacotes no kernel
echo 1 > /proc/sys/net/ipv4/ip_forward
#Faz SNAT para interface externa
$IPTABLES -t nat -A POSTROUTING -o $external_if -s $internal_net -j MASQUERADE

Aí no router você pode colocar o ip 192.168.0.2, com gateway 192.168.0.1 e dns na WAN que deve funcionar. Vale lembrar que este exemplo de firewall é totalmente permissivo e não é indicado.

Funcionou, sobre a questão de segurança, mesmo implementando regras nesse mesmo firewall não é indicado?

0 0

Quote

6. Re: Iptables / eth0 + eth1 + roteador

LSSilva
(usa Outra)

Enviado em 28/12/2017 - 13:23h

ferezini escreveu:

LSSilva escreveu:

ferezini escreveu:

Vou te passar abaixo as configurações que fiz:

interfaces:

auto eth0
iface eth0 inet static
address 192.168.15.98
netmask 255.255.255.0
network 192.168.15.0
broadcast 192.168.15.255
gateway 192.168.15.1

#eth1 (Rede Local)

auto eth1
iface eth1 inet static
address 192.168.15.99
netmask 255.255.255.0
network 192.168.15.0
broadcast 192.168.15.255

iptables:

#!/bin/bash

IPTABLES="/sbin/iptables"
IFCONFIG="/sbin/ifconfig"

modprobe iptable_nat
modprobe ip_nat_ftp
modprobe ipt_REDIRECT
modprobe ipt_REJECT
modprobe ip_conntrack
modprobe ip_conntrack_ftp

#
# Network
#
external_if="eth0"
external_ip="192.168.15.98"

internal_if="eth1"
internal_ip="192.168.15.98"
internal_net="192.168.0.0/24"

$IPTABLES -A INPUT -i lo -j ACCEPT
$IPTABLES -A INPUT -i $internal_if -j ACCEPT
$IPTABLES -A INPUT -i $external_if -j ACCEPT

$IPTABLES -t nat -A POSTROUTING -o $internal_if -s 192.168.15.0/24 -j MASQUERADE
$IPTABLES -t nat -A POSTROUTING -o $external_if -s 192.168.15.0/24 -j MASQUERADE

O que preciso é que o roteador receba na wan o sinal enviado pelo eth1, lá passei o GW 192.168.15.98, porém não da acesso.

Terá que modificar a range do eth1, coloque, por exemplo, na faixa 1; terá também que mudar seu firewall, ajuste desta forma:

interfaces:

auto eth0
iface eth0 inet static
address 192.168.15.98
netmask 255.255.255.0
network 192.168.15.0
broadcast 192.168.15.255
gateway 192.168.15.1

#eth1 (Rede Local)

auto eth1
iface eth1 inet static
address 192.168.1.1
netmask 255.255.255.0
network 192.168.1.0
broadcast 192.168.1.255

iptables:

#!/bin/bash

IPTABLES="/sbin/iptables"
IFCONFIG="/sbin/ifconfig"

modprobe iptable_nat
modprobe ip_nat_ftp
modprobe ipt_REDIRECT
modprobe ipt_REJECT
modprobe ip_conntrack
modprobe ip_conntrack_ftp

#
# Network
#
external_if="eth0"
internal_if="eth1"
internal_net="192.168.1.0/24"

#Se estiver com política accept, isso abaixo não é necessário. Logo seu firewall pode ter apenas duas linhas
#$IPTABLES -A INPUT -i lo -j ACCEPT
#$IPTABLES -A INPUT -i $internal_if -j ACCEPT
#$IPTABLES -A INPUT -i $external_if -j ACCEPT

#Ativa comutação de pacotes no kernel
echo 1 > /proc/sys/net/ipv4/ip_forward
#Faz SNAT para interface externa
$IPTABLES -t nat -A POSTROUTING -o $external_if -s $internal_net -j MASQUERADE

Aí no router você pode colocar o ip 192.168.0.2, com gateway 192.168.0.1 e dns na WAN que deve funcionar. Vale lembrar que este exemplo de firewall é totalmente permissivo e não é indicado.

Funcionou, sobre a questão de segurança, mesmo implementando regras nesse mesmo firewall não é indicado?

Seria sim, eu achei que só ia deixar como está. É que queria por pra funcionar primeiro, correto?

Aparentemente você tem alguma exp. com sintaxe e tudo. Tenta configurar um firewall com política drop para as chains input e forward na table filter e liberar o que for usar. Qualquer dúvida estamos aqui.

É muito útil também habilitar algumas opções no "/etc/sysctl.conf", como: rp_filter, tcp_syncookies, log_martians, etc...
Está usando Debian?

0 0

Quote

7. Re: Iptables / eth0 + eth1 + roteador [RESOLVIDO]

user_debian
(usa Debian)

Enviado em 28/12/2017 - 14:25h

LSSilva escreveu:

ferezini escreveu:

LSSilva escreveu:

ferezini escreveu:

Vou te passar abaixo as configurações que fiz:

interfaces:

auto eth0
iface eth0 inet static
address 192.168.15.98
netmask 255.255.255.0
network 192.168.15.0
broadcast 192.168.15.255
gateway 192.168.15.1

#eth1 (Rede Local)

auto eth1
iface eth1 inet static
address 192.168.15.99
netmask 255.255.255.0
network 192.168.15.0
broadcast 192.168.15.255

iptables:

#!/bin/bash

IPTABLES="/sbin/iptables"
IFCONFIG="/sbin/ifconfig"

modprobe iptable_nat
modprobe ip_nat_ftp
modprobe ipt_REDIRECT
modprobe ipt_REJECT
modprobe ip_conntrack
modprobe ip_conntrack_ftp

#
# Network
#
external_if="eth0"
external_ip="192.168.15.98"

internal_if="eth1"
internal_ip="192.168.15.98"
internal_net="192.168.0.0/24"

$IPTABLES -A INPUT -i lo -j ACCEPT
$IPTABLES -A INPUT -i $internal_if -j ACCEPT
$IPTABLES -A INPUT -i $external_if -j ACCEPT

$IPTABLES -t nat -A POSTROUTING -o $internal_if -s 192.168.15.0/24 -j MASQUERADE
$IPTABLES -t nat -A POSTROUTING -o $external_if -s 192.168.15.0/24 -j MASQUERADE

O que preciso é que o roteador receba na wan o sinal enviado pelo eth1, lá passei o GW 192.168.15.98, porém não da acesso.

Terá que modificar a range do eth1, coloque, por exemplo, na faixa 1; terá também que mudar seu firewall, ajuste desta forma:

interfaces:

auto eth0
iface eth0 inet static
address 192.168.15.98
netmask 255.255.255.0
network 192.168.15.0
broadcast 192.168.15.255
gateway 192.168.15.1

#eth1 (Rede Local)

auto eth1
iface eth1 inet static
address 192.168.1.1
netmask 255.255.255.0
network 192.168.1.0
broadcast 192.168.1.255

iptables:

#!/bin/bash

IPTABLES="/sbin/iptables"
IFCONFIG="/sbin/ifconfig"

modprobe iptable_nat
modprobe ip_nat_ftp
modprobe ipt_REDIRECT
modprobe ipt_REJECT
modprobe ip_conntrack
modprobe ip_conntrack_ftp

#
# Network
#
external_if="eth0"
internal_if="eth1"
internal_net="192.168.1.0/24"

#Se estiver com política accept, isso abaixo não é necessário. Logo seu firewall pode ter apenas duas linhas
#$IPTABLES -A INPUT -i lo -j ACCEPT
#$IPTABLES -A INPUT -i $internal_if -j ACCEPT
#$IPTABLES -A INPUT -i $external_if -j ACCEPT

#Ativa comutação de pacotes no kernel
echo 1 > /proc/sys/net/ipv4/ip_forward
#Faz SNAT para interface externa
$IPTABLES -t nat -A POSTROUTING -o $external_if -s $internal_net -j MASQUERADE

Aí no router você pode colocar o ip 192.168.0.2, com gateway 192.168.0.1 e dns na WAN que deve funcionar. Vale lembrar que este exemplo de firewall é totalmente permissivo e não é indicado.

Funcionou, sobre a questão de segurança, mesmo implementando regras nesse mesmo firewall não é indicado?

Seria sim, eu achei que só ia deixar como está. É que queria por pra funcionar primeiro, correto?

Aparentemente você tem alguma exp. com sintaxe e tudo. Tenta configurar um firewall com política drop para as chains input e forward na table filter e liberar o que for usar. Qualquer dúvida estamos aqui.

É muito útil também habilitar algumas opções no "/etc/sysctl.conf", como: rp_filter, tcp_syncookies, log_martians, etc...
Está usando Debian?

Sim, na verdade tenho um script pronto que usava em um servidor de internet, mas estou refazendo ele, e tive esse problema ao direcionar para o router, qualquer dúvida aviso. Obrigado pela ajuda

0 0

Quote