Bloqueio de acesso à Internet (liberar somente rede interna) [RESOLVIDO]

jfcardoso
(usa CentOS)

Enviado em 26/01/2011 - 10:32h

Prezados,

Sou novo por aqui, porém já acompanho o site Vivaolinux há um bom tempo (uns dois anos mais ou menos) e uso Linux desde 2006.
Na realidade, escrevo para tirar uma dúvida sobre algumas regras iptables que criei, tendo em vista algumas "exigências" (na verdade uma, em especial). Não tenho muita experiência com o iptables, por isso gostaria de mais opiniões. Pois bem, chega de enrrolações:
Estou configurando um pequeno servidor (CentOS 5.5 x86) que atuará como um PDC e master browser; minha rede aqui possui um modem adsl roteado, compartilhando a conexão para as demais máquinas da rede utilizando um hwb; o servidor possui apenas uma placa de rede (eth0).
A "exigência" aqui, é que este servidor fique isolado da Internet, mas logicamente precisa estar disponível para a rede local. Tendo isso em vista, criei as seguintes regras que estão logo abaixo. Elas estão comentadas.
# Bloqueia a saída (não permite rotear para Internet)
iptables -t nat -A OUTPUT -o eth0 -j DROP
# Permite comunicação (entrada) apenas em determinadas máquinas dentro da rede.
iptables -t nat -A PREROUTING -i eth0 -s 10.20.25.31 -d 10.20.25.32 -j ACCEPT
iptables -t nat -A PREROUTING -i eth0 -s 10.20.25.33 -d 10.20.25.32 -j ACCEPT
iptables -t nat -A PREROUTING -i eth0 -s 10.20.25.34 -d 10.20.25.32 -j ACCEPT
iptables -t nat -A PREROUTING -i eth0 -s 10.20.25.35 -d 10.20.25.32 -j ACCEPT
iptables -t nat -A PREROUTING -i eth0 -s 10.20.25.36 -d 10.20.25.32 -j ACCEPT
iptables -t nat -A PREROUTING -i eth0 -s 10.20.25.37 -d 10.20.25.32 -j ACCEPT
# O resto, bloqueia tudo. (não permitir nada vindo da Internet)
iptables -t nat -A PREROUTING -i eth0 -j DROP

Observações
1- IP do servidor: 10.20.25.32;
2- Gateway: 10.20.25.1;
3- Máscara: 255.0.0.0.
4- Os demais endereços terminados em (31;33;34;35;36...) são as outras máquinas.
Espero ter sido claro ao expor a questão, e gostaria da opinião dos Senhores a respeito das regras acima, tendo vista a dúvida apresentada e, se possível, sugestões de como posso melhorá-las (se houver algo a modificar).

Desde já, obrigado.

Jean

removido
(usa Nenhuma)

Enviado em 26/01/2011 - 17:15h

Boa Tarde Amigo,

A questão e o seguinte , pelo que entendi voce tem um modem que esta conectado diretamente a internet e fazendo o compartilhamento da internet para toda a rede correto? O ideal e se ter o firewall ai para fazer todo este processo de compartilhamento , mas pelo que entendi o seu cenário ai voce deseja realizar filtros de pacotes que tem origem do modem (internet) correto? Então para insto não use a CHAIN prerouting, pois não haverá roteamento neste caso , ate porque voce so tem uma placa de rede no servidor. Use somente a tabela filter para filtrar o ip do modem de internet assim:


iptables -t filter -I INPUT -i eth0 -s 10.20.25.1 -m state --state NEW -j DROP

OBS: so que ainda te falo que a melhor opção e colocar um servidor dedicado para fazer o compartilhamento e politicas de segurança da rede interna ,pois neste cenário seu sem o firewall seria facil um cara da rede externa (internet ) fazer um spoofing em sua rede interna mudando o ip de origem para algum ip da sua rede interna para acessar o controlador de dominio.

ATT

Tiago Eduardo Zacarias

jfcardoso
(usa CentOS)

Enviado em 27/01/2011 - 01:37h

OK, obrigado!

Eu pretendo implementar da forma referida acima, mais para frente, colocar um squid também.
Por agora, obrigado pela ajuda!

Jean