Iptables liberando Squid e dhcp para duas redes!

dupotter
(usa )

Enviado em 09/08/2007 - 08:24h

galera, preciso configurar meu proxy/firewall com 3 placas de rede, a eth0 será minha rede externa, que esta ligada ao meu link de internet, a eth1 será a minha rede interna, que fornecerá acesso a internet para minha rede cabeada e preciso colocar uma eth2 que será ligada em um access point pra fornecer acesso sem fio para alguns notebooks.

até ai nada d+, acontece que essa rede para os notebooks precisa ser outra rede, ela não deve acessar nenhuma máquina da minha rede interna, entendem? o linux não pode rotear entre a eth1 e a eth2, uma rede não enxergará a outra.

nessa rede de notebooks, o servidor proxy/firewall fornecerá o ip através do server dhcp, no dhcp, irei configurar o ip por mac-address, agora vem a dúvida, por questão de segurança, eu quero configurar no firewall, uma regra da seguinte maneira, para os notebooks, eles só conseguirão pegar o ip no dhcp, caso o mac-address deles estejão no dhcpd.conf, mas quero ir além, quero que eles só conectem no servidor, caso estejam autorizados, pensei em fazer umas regras de bloqueio por IP no firewall, mas não rola, pois os notes não pegaram o ip ainda, eles tem q passar pelo firewall pra pegar o ip por dhcp, então pensei, tem como restringir o acesso ao servidor colocando regras de restrição por mac-address.

ficará assim, caso o iptables libere o mac-address em questão, ele vai obter um ip de acordo com o dhcpd.conf fornecer a ele.

quero fazer isso para evitar que o usuário coloque um ip fixo no notebook e entre na rede, entendem? quero fazer de uma forma que só determinado mac, com determinado ip, terá acesso a rede da empresa.

srf
(usa RedHat)

Enviado em 09/08/2007 - 09:41h

Acredito que você não precisaria de uma terceira placa de rede, ligue o roteador wirelles no seu switch e configure ele para estar trabalhando em outro rede, ou seja, a maioria dos roteadores faz roteamento... e deta forma os notebooks terão acesso somente a internet...Tenho isso rodando em várias empresas.

juno
(usa Linux Mint)

Enviado em 09/08/2007 - 11:46h

Cara,
como disse nosso amigo srf , você não vai precisar de outra placa de rede, no seu access point você pode configurar os notebooks para permissão por mac e dependendo do modelo dele até mudar o endereçamento de rede.
Para facilitar você pode nos informar o modelo do access point e postar suas regras aqui .

Falou!

dupotter
(usa )

Enviado em 16/08/2007 - 10:23h

opa galera, desculpem pela demora em responder.

acho que não me fiz entender.

é o seguinte, se eu usasse um roteador, poderia fazer isso, mas irei usar um Access Point (o modelo é um dlink DWL-7100AP).

estava pensando nessa solução para colocar uma 3ª placa de rede para poder fazer o seguinte, no firewall, iria criar um compartilhamento samba, com acesso autorizado apenas para determinados usuários e com o ClamAV rodando pra evitar problemas de vírus nesta partição.

esta partição servirá para troca de arquivos entre a minha rede e a rede de notebooks, como será apenas para alguns usuários, só acessará esta partição os notebooks q eu colocar (no caso, os da empresa), ai qdo vier um notebook de terceiro (e tem mto aqui) eles acessarão apenas a internet, pois o compartilhamento terá acesso negado para eles.

agora vem o problema maior ainda, tenho que fazer os tais notebooks da empresa acessar o sistema da empresa que roda num server de aplicativo da rede interna. a chefia não quer os notebooks na rede, mas quer que eles acessem o sistema, tá meio osso, pensei em montar a partição do aplicativo (q roda num windows server) no firewall e fazer o mesmo esquema do diretório com autorização para alguns usuários, será que dá certo?

juno
(usa Linux Mint)

Enviado em 16/08/2007 - 14:09h

Cara
Se os notebooks não tiverem acesso à rede, não terão acesso ao aplicativo.

Falou!

rbn_jesus
(usa Fedora)

Enviado em 16/08/2007 - 14:41h

Eu acho que entendi o teu problema!

Mas tenho uma questâo qual o sistema operacional das máquinas clientes?

Porque vc poderia fazer altenticação por certificado, poderia restringir acesso atraves de regras wapper, ou simplismente altenticar os usuários com restrições especificas para cada um, usando proxy com um servidor de diretórios (ldap, ad), ou simplimente dominio NT, se for aplicação web pode fazer o mesmo dentro do apache.

Resumindo, há uma solução para cada problema, apenas tem-se que levantar todos os requisitos para que se possa avaliar as possibilidades.

talves seja bem simples.

dupotter
(usa )

Enviado em 16/08/2007 - 14:44h

bom cara, ter acesso ao ERP é o de menos, o que ta pegando mesmo é o que eu falei, quero que os notebooks passem pelo squid autenticando, peguem ip pelo servidor dhcpd do firewall, mas que só consigam pegar ip se o firewall autorizar, além d amarrar o mac com o ip no dhcp, quero que o iptables só deixe conectar determinados mac-address, entendeu? (se eu usasse ip fixo, configuraria o iptables pra liberar para alguns ips, mas como vou usar dhcp, preciso fazer com mac-address).

dupotter
(usa )

Enviado em 16/08/2007 - 16:20h

rbn, as estações serão windows, pois é para os notebooks.

eu penso o seguinte, como meu firewall é servidor dhcp, eu ligo o AP em uma terceira placa de rede no firewall, ai faço o firewall aceitar conexões apenas de mac-address que eu autorizar, com o mac autorizado, o dhcp fornece o ip e de quebra, fornece o arquivo wpad.dat, pra configurar o proxy nas estações, o que já deixa funcionando a autenticação do squid. Em teoria dá pra fazer né? O duro é por isso pra rodar, só tenho a idéia.

juno
(usa Linux Mint)

Enviado em 16/08/2007 - 16:43h

Cara,
Não precisa de uma outra placa de rede usa o iptables e amarra com o mac-address com o dhcp dos notes.

dá uma olhada nesse link:
http://www.guiadohardware.net/dicas/redes-configurando-servidor-dhcp-atribuir-ip-fixos.html

debian_forex
(usa Debian)

Enviado em 22/10/2009 - 17:54h

Se entendi vc ten duas redes internet (192.168.0.0 e 10.0.0.0)

A regra abaixo no iptables deve resolver:

#iptables -A FORWARD -s 192.168.0.0/24 -d 10.0.0.0/24 -j DROP
#iptables -A FORWARD -d 192.168.0.0/24 -s 10.0.0.0/24 -j DROP