Controle de banda com Slackware 10 + CBQ + Iptables + DHCP

yros

Um roteador com controle de banda e com boas ferramentas está muito caro, pegue uma máquina antiga e crie um servidor para fazer o controle de banda, firewall e DHCP. Descrevo neste artigo o que foi feito para montar o servidor utilizando um AMD-K62 500Mhz com 256 MB de RAM.

[ Hits: 37.836 ]

Por: yros aguiar em 10/10/2010

0 0

Denuncie Favoritos Indicar Impressora

Criando as regras do IPtables

Crie um script e coloque na inicialização do sistema no arquivo: /etc/rc.d/rc.local

A nossa rede interna é a 192.168.1.0/29 e que está ligada na placa eth0, tem uma filtragem por mac para evitar que fosse cascateado a conexão que vai para o cliente, obtendo maior segurança.

Conteúdo do arquivo:

echo "1" > /proc/sys/net/ipv4/ip_forward
iptables -F
iptables -X
iptables -t nat -F
/sbin/modprobe iptable_nat
/sbin/modprobe ip_conntrack
/sbin/modprobe ip_conntrack_ftp
/sbin/modprobe ip_tables
/sbin/modprobe ipt_unclean
/sbin/modprobe ipt_limit
/sbin/modprobe ipt_LOG
/sbin/modprobe ipt_REJECT
/usr/sbin/iptables -F
/usr/sbin/iptables -t nat -F
/usr/sbin/iptables -P FORWARD DROP

# MACS permitidos

# CLIENTE1
iptables -A FORWARD -i eth0 -m mac --mac-source 00:1F:E2:34:07:2B -j ACCEPT
iptables -A INPUT -i eth0 -m mac --mac-source 00:1F:E2:34:07:2B -j ACCEPT

#CLIENTE2
iptables -A FORWARD -i eth0 -m mac --mac-source 00:1F:E2:34:07:2B -j ACCEPT
iptables -A INPUT -i eth0 -m mac --mac-source 00:1F:E2:34:07:2B -j ACCEPT

# Nega o resto
iptables -A FORWARD -i eth0 -m mac --mac-source ! FF:FF:FF:FF:FF:FF -j DROP
iptables -A FORWARD -i eth0 -m mac --mac-source ! 00:00:00:00:00:00 -j DROP
iptables -A INPUT -i eth0 -m mac --mac-source ! FF:FF:FF:FF:FF:FF -j DROP
iptables -A INPUT -i eth0 -m mac --mac-source ! 00:00:00:00:00:00 -j DROP

/usr/sbin/iptables -A INPUT -i lo -j ACCEPT
/usr/sbin/iptables -A OUTPUT -o lo -j ACCEPT
/usr/sbin/iptables -A FORWARD -s 192.168.1.0/29 -d 0/0 -j ACCEPT
/usr/sbin/iptables -A FORWARD -s 0/0 -d 192.168.1.0/29 -mstate --state ESTABLISHED,RELATED -j ACCEPT

/usr/sbin/iptables -t nat -A POSTROUTING -s 192.168.1.0/29 -d 0/0 -j MASQUERADE

Crie este arquivo, salve e mude as permissões dele para que seja executável, adicione no /etc/rc.d/rc.local para que seja executado na inicialização.

Página anterior Próxima página

Páginas do artigo

   1. Configurando o DHCP
   2. Configurando o CBQ
   3. Criando as regras do IPtables
   4. Configurando a conexão de internet

Outros artigos deste autor

Elaborando uma política de segurança para a empresa

Introdução ao DevOps - Infraestrutura como código

Como gerenciar cotas de disco

Squid com autenticação e ACLs apartir do grupos do Active Diretory

Leitura recomendada

Fusion Firewall - Uma alternativa para Firewall-Proxy gerenciado via web

Controlando 2 links de internet (roteados) em um gateway Linux com SQUID

Gerenciando regras de Iptables com Firewall Builder (parte 2)

Dois links de ADSL em um mesmo servidor

Autenticação no Iptables

Comentários

[1] Comentário enviado por yros em 10/10/2010 - 13:46h

Lembrando que os dois ultimos comandos foram publicados incorretamente por mim, segue a correção:

echo "/sbin/ifconfig eth0 ipfixo netmask mascaradoip broadcast enderecodebroadcastdoip" >> /etc/rc.d/rc.local
echo "/sbin/ip route add default via ipdogateway" >> /etc/rc.d/rc.local

0 0

[2] Comentário enviado por bruno.prestes em 19/10/2010 - 11:23h

parceiro ta excelente seu artigo, antes de ler seu artigo fazer controle de banda pra mim era um bicho de 7 cabeças... mas com sua didática facilitou muito o entendimento... fica uma pergunta, mas pq não parei ainda pra analisar... como entra o squid pra fazer um cache na minha conexão aeee??? aguardo abraços e sucesso aeee pra vc... MSN: bruno.prestes@gmail.com / Twitter: bruno_prestes

0 0

[3] Comentário enviado por yros em 19/10/2010 - 12:21h

Voce tem que configurar o squid em modo transparente, no artigo: http://www.vivaolinux.com.br/artigo/Proxy-Squid-Transparente explica como configurar.

Qualquer dúvida entre em contato:

E-mail: yrosaguiar@gmail.com
Twitter:@yrosaguiar
MSN:yrosaguiar@hotmail.com

0 0