Ajuda com meu firewall

fggs
(usa Debian)

Enviado em 16/11/2009 - 23:54h

Boa noite pessoal, sei que pode parecer chato e repetitivo esse tópico, mas resolvi abrir mesmo assim, só para ter certeza e tornar mais dinamico o meu aprendizado, alem de ter um produto final bem melhor e organizado.

Objetivo: Fazer um firewall empresarial com servidor dhcp, 2 classes e Squid

Distro utilizada: Debian Lenny 5.0.3

Como pensei:
1) Uma subrede 192.168.0.0 onde os ips seriam definidos por dhcp, fixos por mac address e limitado ao número de computadores (30).
2) O iptables bloquearia acesso a internet de ips acima de 192.168.0.30 e impediria que PC com ip final 5 por exemplo, não usasse ip final 2 quando PC final 2 estivesse desligado (pensei em usar mac address aqui também).
3) O iptables bloquearia portas desnecessarias e mais alguma coisa que voces lembrarem
4) O Squid cuidaria do orkut, msn e afins.
5) Uma subrede 192.168.32.0 "livre" para apenas 2 pcs, talvez por dhcp, mas que usasse a mesma internet da outra classe.

Ficou confuso? É possível?

Agradeço desde já qualquer ajuda e sugestão!

gesousa
(usa Ubuntu)

Enviado em 17/11/2009 - 02:07h

Kra, sim é possivel, da uma procurada aqui na vol que vc achara tudo o que vc quer ...

1)
sudo nano /etc/dhcp3/dhcpd.conf


#CONFIGURAÇÃO BASICA

default-lease-time 600;
max-lease-time 7200;

#Mude PARA O DNS DA SUA REDE
option domain-name-servers 68.87.69.146, 67.87.85.98;

#Subnet para Clientes DHCP
subnet 192.168.0.0 netmask 255.255.255.0 {
# faixa para 30 maquinas
range 192.168.0.100 192.168.0.130;
option subnet-mask 255.255.255.0;
option broadcast-address 192.168.0.255;
option routers 192.168.0.1;
}
host01 {
hardware ethernet 00:00:00:00:00:00;
fixed-address 192.168.0.101;
}
host02 {
hardware ethernet 00:00:00:00:00:00;
fixed-address 192.168.0.102;
}

2)http://www.vivaolinux.com.br/dica/Amarrando-IP-X-MAC-de-maneira-simples-e-funcional

3)Procura aqui na vol por firewall na sessão de conf, que vc encontrara algum que te agrade..

ou tb pode olhar os artigos do elgio e iptables daqui da vol e criar o seu ...

4)Procura na sesão de artigos do squid ou de confs, há vários exemplos que pode usar.

5)Para que criar outra subrede ??? se for usar para 2 computadores e usar o squid de modo transparente, apenas coloca os ips destas maquinas para não serem redirecionados junto com os demais...

fggs
(usa Debian)

Enviado em 17/11/2009 - 08:36h

Muito obrigado pela sua resposta gesousa! Eu dei uma lida nos artigos e criei meu dhcpd.conf, mas queria fazer essa empreitada junto com voces, meio que passo a passo.
Meu dhcpd.conf ficou parecido com o que você postou mas to usando netmask 255.255.255.224, broadcast 192.168.0.31 e não estou usando a opção range, ja que estou definindo por mac correto?
O lance da outra subrede é para impedir que virus e worms se propaguem pela outra subrede, o que acha?

fggs
(usa Debian)

Enviado em 17/11/2009 - 14:14h

Bom, to começando meu script iptables, mas vou precisar da ajuda de vocês para saber a ordem das coisas e etc, segue abaixo:

IPT="/sbin/iptables"
PUB_IF="eth0"

# Começa o firewall

echo "Iniciando Firewall"
$IPT -F
$IPT -X
$IPT -t nat -F
$IPT -t nat -X
$IPT -t mangle -F
$IPT -t mangle -X

# Libera o loopback

$IPT -A INPUT -i lo -j ACCEPT
$IPT -A OUTPUT -o lo -j ACCEPT

# Dropa tudo

$IPT -P INPUT DROP
$IPT -P OUTPUT DROP
$IPT -P FORWARD DROP

# Bloqueia sync

$IPT -A INPUT -i ${PUB_IF} -p tcp ! --syn -m state --state NEW -m limit --limit 5/m --limit-burst 7 -j LOG --log-level 4 --log-prefix "Drop Sync"
$IPT -A INPUT -i ${PUB_IF} -p tcp ! --syn -m state --state NEW -j DROP

# Bloqueia pacotes fragmentados

$IPT -A INPUT -i ${PUB_IF} -f -m limit --limit 5/m --limit-burst 7 -j LOG --log-level 4 --log-prefix "Pacotes fragmentados"
$IPT -A INPUT -i ${PUB_IF} -f -j DROP

Daqui pra frente eu começaria a amarrar o ip ao mac ou mais pra frente? E onde eu começaria a bloquear o resto dos ips (192.168.0.31 até 255, mas o 31 é o broadcast)?

Obrigado desde já!

fggs
(usa Debian)

Enviado em 21/11/2009 - 12:29h

Vi que o pessoal não deu muita atenção para o meu tópico mas continuo tentando, aguardo comentarios e sugestões. Segue abaixo o que consegui até agora:

IPT="/sbin/iptables"
PUB_IF="eth0"

# Inicio

echo "Inicia Firewall"
$IPT -F
$IPT -X
$IPT -t nat -F
$IPT -t nat -X
$IPT -t mangle -F
$IPT -t mangle -X
$IPT -t filter -F
$IPT -t filter -X

# loopback

$IPT -A INPUT -i lo -j ACCEPT
$IPT -A OUTPUT -o lo -j ACCEPT

# Aceita Related/Established

$IPT -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

# Dropa tudo

$IPT -P INPUT DROP
$IPT -P OUTPUT DROP
$IPT -P FORWARD DROP

# Block sync (retirado de um script americano, nem sei se esta certo)

$IPT -A INPUT -i ${PUB_IF} -p tcp ! --syn -m state --state NEW -m limit --limit 5/m --limit-burst 7 -j LOG --log-level 4 --log-prefix "Drop Sync"
$IPT -A INPUT -i ${PUB_IF} -p tcp ! --syn -m state --state NEW -j DROP

# fragmented packets (retirado de um script americano, nem sei se esta certo)

$IPT -A INPUT -i ${PUB_IF} -f -m limit --limit 5/m --limit-burst 7 -j LOG --log-level 4 --log-prefix "Fragments Packets"
$IPT -A INPUT -i ${PUB_IF} -f -j DROP

# Amarra ip ao mac

# Chefes

$IPT -t filter -A FORWARD -d 0/0 -s 192.168.0.2 -m mac --mac-source 00:0B:05:EC:0D:5A -j ACCEPT
$IPT -t filter -A FORWARD -d 192.168.0.2 -s 0/0 -j ACCEPT
$IPT -t filter -A INPUT -s 192.168.0.2 -d 0/0 -m mac --mac-source 00:0B:05:EC:0D:5A -j ACCEPT
$IPT -t nat -A POSTROUTING -s 192.168.0.2 -o eth1 -j MASQUERADE

# Funcionarios

$IPT -t filter -A FORWARD -d 0/0 -s 192.168.0.3 -m mac --mac-source 00:0B:05:EC:0D:5A -j ACCEPT
$IPT -t filter -A FORWARD -d 192.168.0.3 -s 0/0 -j ACCEPT
$IPT -t filter -A INPUT -s 192.168.0.3 -d 0/0 -m mac --mac-source 00:0B:05:EC:0D:5A -j ACCEPT
$IPT -t nat -A POSTROUTING -s 192.168.0.3 -o eth1 -j MASQUERADE

# Bloqueia ips remanescentes (31-255) (não sei se esta correto, pois o broadcast é o 31)

$IPT -I INPUT -m iprange --src-range 192.168.0.31-192.168.0.255 -j DROP

# Accept everything in bosses computers

AINDA NAO ACHEI REGRA PARA ISSO

# Abre ssh, squid, smtp e pop3 para outlook

$IPT -I INPUT -p tcp --dport 22 -j ACCEPT
$IPT -I INPUT -p tcp --dport 25 -j ACCEPT
$IPT -I INPUT -p tcp --dport 110 -j ACCEPT
$IPT -I INPUT -p tcp --dport 3128 -j ACCEPT

# Da internet a segunda subrede

AINDA NAO ACHEI REGRA PARA ISSO