iptables - redirecionamento com interfaces de mesma faixa de ip

fangelo
(usa Fedora)

Enviado em 26/02/2008 - 22:56h

Pessoal,

Tenho que colocar um firewall na borda da minha rede que apenas redirecione e mantenha conexoes com vários servidores independentes (http, ftp, pop, etc).

Acontece que tenho um link sob contrato em que nao posso mexer na configuraçao do roteador e nem alterar a minha faixa de ip da rede interna.

O ip do meu roteador que fornece acesso a web é 10.23.0.1/255.255.254.0
e a faixa de ip que uso na minha rede é de 10.23.0.2 a 10.23.0.254.

O roteador encaminha todas as requisiçoes para o ip 10.23.0.2.

O que pretendo fazer e nao estou conseguindo e colocar um firewall com duas placas de rede que separe a rede interna (10.23.0.2 a 10.23.0.254) da rede externa (ip do roteador 10.23.0.1).

A configuracao das interfaces do firewall é a seguinte:
eth0: 10.23.0.2/255.255.254.0 - ligado diretamente ao roteador que da acesso a web
eth1: 10.23.0.3/255.255.254.0 - ligado ao switch da rede interna

Nao estou conseguindo escrever regras iptables que façam os redirecionamentos que preciso. Se alguem puder me ajudar serei muito grato.

fangelo
(usa Fedora)

Enviado em 27/02/2008 - 09:44h

Alguém tem idéia de como posso escrever estas regras sendo que as duas interfaces de rede tem a mesma faixa de IP?

marcosmiras
(usa CentOS)

Enviado em 27/02/2008 - 09:49h

Você quer tipo que toda a conexão na porta 21 seja direcionada para um servidor interno de ftp, e assim por diante?

m4tri_x
(usa Ubuntu)

Enviado em 27/02/2008 - 10:10h

eth0: 10.23.0.2/255.255.254.0 -
eth1: 10.23.0.3/255.255.254.0 -

Ambas estão na mesma faixa de ip...

vc quer que a sua rede local esteja em uma faixa de ip diferente...

altera o eth1 para: 10.23.1.3/24

e coloca no seu firewall..

iptables -t nat -A POSTROUTING -s 10.23.1.0/24 -j MASQUERADE


com essa regra vc vai estar fazendo o nat de uma rede para outra...


[]´s

fangelo
(usa Fedora)

Enviado em 27/02/2008 - 19:44h

Exatamente marcosmiras, eu pretendo fazer isso mesmo.

Como eu disse, as minhas intefaces de rede tem a mesma faixa de ip e por força de contrato eu nao posso alterar nem o ip de meu roteador nem a faixa de ip da rede interna, porém quero colocar um firewall separando a minha rede interna da internet.

Meu cenário é:
eth0: 10.23.0.2 - ligado diretamente ao roteador que da acesso a web
eth1: 10.23.0.3/255.255.254.0 - ligado ao switch da rede interna
Faixa de ip da rede interna: 10.23.0.2 a 10.23.0.254/255.255.254.0
Ip do roteador conectado a internet: 10.23.0.1/255.255.254.0

Eu preciso colocar um firewall para proteger a minha rede interna. Preciso que as conexoes vindas pela eth1 (rede interna) vao para o meu roteador (10.23.0.1) e consequentemente para a internet sem nenhum tipo de bloqueio. Preciso tambem bloquear algumas portas e solicitacoes de conexao na eth0 (ligada diretamente ao roteador) e ao mesmo tempo liberar portas e conexoes de alguns servicos (ftp, hhpt, pop, etc) e redirecionar estas conexoes para servidores da minha rede interna especificos para cada servico.

Eu já analisei várias regras iptables, mas até agora nao encontrei nada que se adequasse a este cenário. Se alguém mais experiente em iptables puder me ajudar eu serei muito grato.

marcosmiras
(usa CentOS)

Enviado em 28/02/2008 - 10:25h

Seguinte... Aparentemente é algo simples de se fazer... Na verdade quem nunca fez, faz uma tempestade num copo d'agua... hehe

Vou te dar um exemplo de FTP, supondo que seu servidor de FTP tenha o ip 10.23.0.253

# Aceita o tráfego na porta 21
iptables -A INPUT -p tcp --dport 21 -j ACCEPT
# Habilita o encaminhamento do pacote
iptables -I FORWARD -p tcp -d 10.23.0.253 --dport 21 -j ACCEPT
# Faz o redirecionamento
iptables -t nat -A PREROUTING -p tcp --dport 21 -j DNAT --to-destination 10.23.0.253:21

Abraço!

elgio
(usa OpenSuSE)

Enviado em 02/03/2008 - 20:05h

Reforço o que já observou o m4tri_x: as duas interfaces estão na mesma faixa de Ips e NÃO PODE!