internet, intranet e rede local

rogerioqueiroztl
(usa Debian)

Enviado em 11/03/2012 - 21:48h

Galera, tenho uma rede que está na faixa de IP 192.168.1.0, uma internet OI dedicada com IP fixo e uma intranet onde o roteador é 10.2.79.1. Supondo que a internet esteja na ETH0, a intranet na ETH1 e a lan na ETH2, quais regras preciso no meu iptables para ele direcionar todo o tráfego de internet para a interface de internet mas todo pacote com destino à rede 192.168.10.0 para a intranet. Gostaria também que as portas da rede local para "fora" ficassem abertas, para eu controlar elas pelo squid e as de "fora" para dentro eu iria abrir conforme a necessidade, redirecionando para o servidor do domínio. Sou novo no linux e apesar de conseguir configurar com sucesso um proxy, me falta um domínio melhor do iptables. Não quero ser folgado a ponto de pedir um script pronto apenas para implantar, gostaria apenas de exemplos de regras para essas situações para que eu faça as adaptações necessárias.Agradeço desde já.

removido
(usa Nenhuma)

Enviado em 12/03/2012 - 10:55h

Opa, tranquilo? Nao sei se vai atender as suas necessidades, mas eu posso te dar uma ideia mais ou menos como fazer o que tu quer. Estou supondo que seu IP fixo é 1.1.1.1

#!/bin/sh



ipt="/sbin/iptables"

/sbin/sysctl -w net.ipv4.ip_forward="1"

/sbin/sysctl -w net.ipv4.tcp_syncookies="1"

/sbin/sysctl -w net.ipv4.icmp_ignore_bogus_error_responses="1"

/sbin/sysctl -w net.ipv4.icmp_echo_ignore_broadcasts="1"



# Limpeza da regras, zerar contadores e deletar chaves de usuário

$ipt -F -t filter

$ipt -F -t nat

$ipt -Z

$ipt -X



# Negar por padrao

$ipt -P INPUT DROP

$ipt -P OUTPUT DROP

$ipt -P FORWARD DROP



# Stateful Packet Filtering ( http://www.puschitz.com/FirewallAndRouters.shtml )

$ipt -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

$ipt -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

$ipt -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT



# Pacotes malformados sao rejeitados

$ipt -A FORWARD -p tcp ! --syn -m state --state NEW -j DROP

$ipt -A INPUT -m state --state INVALID -j DROP

$ipt -A OUTPUT -m state --state INVALID -j DROP

$ipt -A FORWARD -m state --state INVALID -j DROP



# Todo trafego que sai da Rede Matriz para a Internet deve passar por NAT

$ipt -t nat -A POSTROUTING -o eth0 -j SNAT --to 1.1.1.1



# Forcar trafego para passar pela 192.168.10.0/24

# Nao sei se eh isso que voce deseja, e tambem ha muitas formas de fazer, nao entendi bem o caso

# Este caso eh para o router 10.2.79.1 na eth1 resolver a rede 192.168.10.0/24

[ -z "$(ip ro ls | grep 192.168.10.0)" ] && ip ro add 192.168.10.0/24 via 10.2.79.1 dev eth1



# Exemplos de servicos liberados na rede (porta 80 e 443) em um sevidor com IP 192.168.10.2 

$ipt -A FORWARD -p tcp -m multiport --dports 80,443 -d 192.168.10.2 -o eth2 -j ACCEPT

$ipt -t nat -A PREROUTING -p tcp -m multiport --dport 80,443 -d 1.1.1.1 -i eth0 -j DNAT --to-destination 192.168.10.2



# Acesso da rede 192.168.1.0/24 sem restricoes (o que invalida as regras de restricao acima, usar um ou outro, ou entao separar as redes)

# Coloquei como exemplo negar para um destino especifico, no caso 192.168.20.0/24

$ipt -A FORWARD -s 192.168.1.0/24 ! -d 192.168.20.0/24 -i eth2 -o eth0 -j ACCEPT



# Exemplo para redirecionar transparente uma rede para Squid

$ipt -A PREROUTING -p tcp --dport 80 -s 10.20.20.0/24 -i eth3 -j REDIRECT --to 10.30.30.4:3128



 

Fiz aqui na pressa, nem sei se ta 100%, mas acho que ajuda.

rogerioqueiroztl
(usa Debian)

Enviado em 12/03/2012 - 13:45h

cara, na verdade me ajudou bastante quanto a como aplicar certas regras, quanto a você não ter entendido muito bem o caso, é mais ou menos assim.



os pontos e underlines são só para manter o desenho organizado fiz meio na pressa












INTERNET----------------INTRANET
1.1.1.1________|_______10.2.79.1
........................|................
........................|................
........................|................
........................|................
........................|................
........................|................
_____________PROXY______________
__________192.168.1.1___________
........................|................
........................|................
___________REDE LOCAL___________


Daí tem um sistema nosso que é pela intranet, então quero que o proxy redirecione pacotes com destino a rede 192.168.10.0 para o roteador da intranet, e todo o restante do tráfego normal de internet quero que saia pela internet normal. O ip 10.2.79.1 é o ip do roteador da intranet. 1.1.1.1 como vc citou de exemplo o ip do roteador da internet, 192.168.1.1 o ip do proxy da rede local, que trabalha na faixa 192.168.1.0.

EDIT: e o acesso entre a rede local e a intranet tem q ser total, sem bloqueios (de porta por exemplo), o squid nao vou deixar transparente pois vou integrar ele com o AD, mas gostaria que o iptables liberasse todas portas que quem estivesse na rede local for acessar para eu controlar apenas pelo squid, vou controlar pelo iptables apenas as portas que quero acessar da internet, tipo area de trabalho remota e tal.

removido
(usa Nenhuma)

Enviado em 12/03/2012 - 20:20h

Então no caso tu tem que tirar a política de negar os pacotes por padrão e retirar do script lá os acessos liberados, tipo da porta 80 e 443. Fora tirar a regra do squid.
De resto acho que é isso mesmo que eu coloquei aí. Se tu não quiser enfrentar problemas de IP spoofing e etc, dá uma olhada na penúltima regra que eu postei e adapta ela pra tua rede local. Mas não tem perigo apagar ela no teu caso não.
Ah sim, o tráfego forçado que eu postei de todo pedido pra rede 192.168.10.0/24 passar por 10.2.79.1 na eth1 só funciona se tu tiver o 'IP' instalado. http://linux.die.net/man/8/ip
Dá pra fazer por ifconfig também, mas é que eu uso mais o ip.

rogerioqueiroztl
(usa Debian)

Enviado em 13/03/2012 - 01:41h

e como ficariam os IPs das interfaces? ip, mascara, gateway e dns? desculpe por tantas perguntas, é que a rede realmente precisa de uma reestruturação, e pretendo fazer isso trocando o 2003 que instalaram (e deixaram a muito tempo sem manutenção) pelo fedora. e como ficaria para rotear pela interface?