ip publico sem nat [RESOLVIDO]

elias.medina
(usa Ubuntu)

Enviado em 16/09/2013 - 15:57h

Ola gente,
Estou com uma duvida numa configuração que quero fazer na minha rede. Meu cenário é o seguinte:

Tenho uma fibra que a operadora disponibiliza 5 IPs públicos, estou usando apenas um desses IPs no firewall. Tenho duvida se seria possível eu configurar ou IPs publico dessa range da operadora depois do firewall sem usar switch para DMZ antes do firewall ou Fazer NAT para um ip interno. A Ideia é colocar o IP publico dentro da rede mesmo. Isso seria possível?
Meu plano seria Fazer uma DMZ mas que passe pelo firewall.

Grato!
Att.
Elias

renato_pacheco
(usa Debian)

Enviado em 16/09/2013 - 16:09h

Tem, sim! Vc só terá d colocar a rede DMZ DEPOIS do seu firewall e fechar as regras para q ninguém tenha acesso aos serviços senão àqueles oferecidos. Fechar, tb, q a DMZ acesse qq recurso dentro da sua rede.

elias.medina
(usa Ubuntu)

Enviado em 16/09/2013 - 16:25h

LEgal... vou pedir mais uma ajudinha.

no server tenho:

etho # rede interna
eth1 # rede da fibra
eth2 # sera então para DMZ

seria isso? podendo ligar a eth2 num switch e ligar o servidores neste.

Mas talvez eu tenha que mexer em mais alguma configuração, tipo, no arquivo sysctl.conf ou no iptables? Não faço ideia de como provisionar isso.

renato_pacheco
(usa Debian)

Enviado em 16/09/2013 - 16:55h

Vc tá indo no caminho certo. A partir deste ponto, vc trata a eth2 como DMZ, fazendo com q as regras para esta interface sejam bem mais restritas. Um conselho é comparar o conceito d DMZ e adicionando as regras. Ex.: a DMZ deve ser invisível à rede interna, então vc configura seu firewall para tal.

elias.medina
(usa Ubuntu)

Enviado em 17/09/2013 - 17:44h

Bom.. vou começar a instalar esse servidor.

MAs minha duvida ainda continua sendo o seguinte:

Vou habilitar a eth0 para rede interna;
eth1 para internet
eth2 para DMZ

habilito tmb o roteamento (ip_forward), regras de nat para conexão com Internet, etc... mas creio que exista mais algum ajuste para que eu possa usar os IPs públicos atravessando o firewall através da placa eth2(DMZ).

Eu simplesmente colocar la os IPs creio que não va resolver.

Buckminster
(usa Debian)

Enviado em 17/09/2013 - 18:05h

Três maneiras.
1 - A placa eth2 conectada no switch e você cria rotas no firewall apontando da eth1 (gateway) para os IPs públicos da DMZ (eth2)(e não esqueça de redirecionar no modem/roteador também se for o caso);

2 - Você pode criar alias na eth1:
exemplo,
você tem o range de IPs 200.200.200.0/24 conectado na eth1 e você usa 4 IPs.
Cria 3 sub-interfaces para o resto dos IPs,

eth1 - 200.200.200.1
eth1:0 - 200.200.200.2
eth1:1 - 200.200.200.3
eth1:2 - 200.200.200.4

3 - Ou você pode fazer um misto das duas sugestões acima.

E aconselho a fazer a DMZ através de IPs públicos que serão atribuídos ao firewall (como interface alias da placa externa), e fazer NAT para os hosts dentro da rede DMZ (que, internamente terão uma classe privada).
E é aconselhável ter um switch só para a DMZ. Toda comunicação entre a DMZ a rede interna e a rede externa deve ser controlada pelo servidor com o firewall.

elias.medina
(usa Ubuntu)

Enviado em 17/09/2013 - 18:48h

Vlw amigo,
Olha só, vou fazer um teste da seguinte forma:


eth0 = 192.168.0.0 # rede interna
eth1 = 200.200.200.100/29 # fibra
eth2 = 192.167.0.1/29 # DMZ

route add -net 192.167.0.0/29 gw 200.200.200.100/29 dev eth1

iptables -t filter -A FORWARD -i eth0 -o eth2 -j DROP
iptables ... libera o necessário ...
=============================================

No servidor DNS atrás do firewall

eth0 = 200.200.200.2/29
gw 192.167.0.1
ou
gw 200.200.200.97 # ip gw do roteador cisco da operadora

=============================================

Seria mais ou menos isso?
Paciência gente hehhe, estou aprendendo ainda.

Talvez o melhor seja ate colocar um switch antes do firewall para ligar esses servidores mesmo. Não gostaria de fazer NAT. A ideia era controlar tudo por um firewall apenas. Caso contrario vou ter que gerenciar vários.

Grato!

elias.medina
(usa Ubuntu)

Enviado em 19/09/2013 - 09:39h

Bom dia meus amigos!

Eu encontrei a solução... Eu já havia lido sobre o assunto mas não lembrava. Tenho que usar um pacote chamado brctl.

Assim posso fazer uma bridge da eth1 para eth2 por meio de br0

tipo assim,
brctl addbr br0
brctl addif br0 eth1
brctl addif br0 eth2

ifconfig br0 200.200.200.100 netmask 255.255.255.248 up
route add default gw 200.200.200.100 dev br0
ifconfig eth1 0.0.0.0 promisc up
ifconfig eth2 0.0.0.0 promisc up
===========================

Ainda não deu para fazer os testes. Mas vou fazer e digo se foi sucesso. Obrigado gente!