Fórum Ubuntu Linux - PT
Suporte Técnico => Internet, Redes e Segurança => Tópico iniciado por: Leandr0 em 06 de MAR?O de 2010, 17:29
-
Srs.
Boa Tarde!
A minha empresa contratou um link dedicado (IP FIXO) a GVT forneceu um router que fica dentro da empresa gostaria de saber como devo proceder para compartilhar a internet sem a utilizacao de um modem colocando o ip fixo direto na eth0.
auto lo
iface lo inet loopback
#Placa de rede internet IP DEDICADO configuração passado pela telefonia
auto eth0
#iface eth0 inet dhcp
iface eth0 inet static
address 189.57.67.75
netmask 255.255.255.248
network 189.57.67.72
broadcast 189.57.67.79
gateway 189.57.67.73
#Placa de rede interna
auto eth1
iface eth1 inet static
address 172.18.20.253
netmask 255.255.255.0
network 172.18.20.0
broadcast 172.18.20.255
######o DNS da operadora eh : 200.175.182.139
200.175.5.189
Desde já agradeço a ajuda de todos.
-
face eth1 inet static
address 172.18.20.253
netmask 255.255.255.0
network 172.18.20.0
broadcast 172.18.20.255
Quem escolheu esses IPs, pra rede interna? Não influi no resto da rede, mas "não tem cara de gateway". Por acaso há outro gateway nessa rede?
-
Eu sempre usei como gateway o 172.18.20.253, nao esta correto???
esse eh o unico gateway da rede...
-
Não está errado, mas não é o costume.
Costuma se usar o primeiro ou o último endereço válido da rede pra ser o gateway. No seu caso, seriam o "172.18.20.1" ou "172.18.20.254". Mas não impede o funcionamento, se você usar diferente. Só fica mais propenso a erro, pq as pessoas tendem a usar o costume.
Beleza. O primeiro passo do compartilhamento é ativar o NAT no seu servidor. Abra uma sessão de comandos, e execute o comando "sudo -s", pra ganhar acesso de super-usuário.
Execute os comandos:
# echo 1 > /proc/sys/net/ipv4/ip_forward
# iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
Depois vc deve gravar esses comandos em algum script de inicialização (ex. /etc/rc.local), pra que eles sejam executados automaticamente a cada reboot.
Próximos passos: firewall nesse servidor, pra proteger a ele mesmo, e às estações da sua rede local; servidor dhcp, pras estações da sua rede local poderem pegar a configuração de IP automaticamente; e servidor proxy, pra racionalizar o uso desse link.
Mantenha contato...
-
De uma olhada no meu aqruivo de firewall, ja crio as regras junto com o compatilhamento... mas ta forma que coloquei a placa de rede configurado acima nao consigo navegar, apenas se eu configurar o ip dedicado em um modem e do modem passar para a eth0, queria fazer isso sem o modem, visto que ja tenho um ip valido da da GVT. na empresa eu tenho um router da cisco por onde sai o ip dedicado
Criei um arquivo na pasta: /etc/init.d/firewall
## INDICAR O INICIO/REINICIO DO FIREWALL
case $1 in
start|restart)
echo "Firewall - By LEandro"
## VARIAVEIS DAS PLACAS DE REDE
NET=eth0
RLOCAL=eth1
REDE="172.18.20.0/24"
## CARREGAR MODULOS
modprobe ip_tables
modprobe iptable_nat
modprobe iptable_filter
modprobe ip_conntrack
modprobe ip_nat_ftp
modprobe ip_conntrack_ftp
modprobe ipt_MASQUERADE
modprobe ipt_LOG
## LIMPAR REGRAS ANTERIORES
iptables -F
iptables -t nat -F
# DEFINIR POLITICA PADRAO (NEGAR TUDO)
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
## COMPARTILHAR CONEXAO DE INTERNET
## IP DINAMICO
iptables -t nat -A POSTROUTING -o $NET -j MASQUERADE
## ATIVAR ROTEAMENTO
echo "1" > /proc/sys/net/ipv4/ip_forward
## LIBERAR A PROPRIA MAQUINA LOOPBACK PARA ACESSO A INTERNET
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
### Aceita entrada DNS ###
iptables -A OUTPUT -o $NET -p UDP --dport 53 -j ACCEPT
#Bloquear portas
#iptables -A FORWARD -s $REDE -p tcp -m multiport --dport 0:65535 -j DROP
## Estabilizar conexoes
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
## LIBERAR/BLOQUEAR A REDE LOCAL
iptables -A INPUT -s 172.18.20.0/24 -j ACCEPT
### libera acesso ao TS
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A PREROUTING -p tcp -i $NET --dport 3389 -j DNAT --to 172.18.20.20
iptables -t nat -A POSTROUTING -d 172.18.20.20 -j SNAT --to 172.18.20.253
### libera acesso ao SSH
#echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A PREROUTING -p tcp -i $NET --dport 22 -j DNAT --to 172.18.20.33
iptables -t nat -A POSTROUTING -d 172.18.20.33 -j SNAT --to 172.18.20.253
### libera acesso ao TELNET (FTP)
iptables -A INPUT -i $NET -p TCP --dport 20 -j ACCEPT
iptables -A INPUT -i $NET -p TCP --dport 21 -j ACCEPT
#Nat para FTP
iptables -t nat -A PREROUTING -p tcp -i $NET --dport 20 -j DNAT --to 172.18.20.253:20
iptables -t nat -A PREROUTING -p tcp -i $NET --dport 21 -j DNAT --to 172.18.20.253:21
## Liberando acesso a NFE (Nota fiscal Eletronica) Homologacao
iptables -t nat -I PREROUTING -p tcp --dport 443 -s $REDE -d 200.241.32.196 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp -d 200.241.32.196 -j ACCEPT
iptables -A FORWARD -p tcp -d 200.241.32.196 -j ACCEPT
## Liberando acesso a NFE (Nota fiscal Eletronica) PRODUCAO
#IP 189.31.180.195
iptables -t nat -I PREROUTING -p tcp --dport 443 -s $REDE -d 189.31.180.195 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp -d 189.31.180.195 -j ACCEPT
iptables -A FORWARD -p tcp -d 189.31.180.195 -j ACCEPT
#IP 200.241.32.197
iptables -t nat -I PREROUTING -p tcp --dport 443 -s $REDE -d 200.241.32.197 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp -d 200.241.32.197 -j ACCEPT
iptables -A FORWARD -p tcp -d 200.241.32.197 -j ACCEPT
#IP 201.49.164.105
iptables -t nat -I PREROUTING -p tcp --dport 443 -s $REDE -d 201.49.164.105 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp -d 201.49.164.105 -j ACCEPT
iptables -A FORWARD -p tcp -d 201.49.164.105 -j ACCEPT
## Liberando acesso a update no SUBVERSION ACBR
iptables -t nat -I PREROUTING -p tcp --dport 443 -s $REDE -d svn.sourceforge.net -j ACCEPT
iptables -t nat -A PREROUTING -p tcp -d svn.sourceforge.net -j ACCEPT
iptables -A FORWARD -p tcp -d svn.sourceforge.net -j ACCEPT
## Liberando acesso a update no Flex ADOBE
#iptables -t nat -I PREROUTING -p tcp --dport 80 -s $REDE -d crl.verisign.net -j ACCEPT
#iptables -t nat -A PREROUTING -p tcp -d crl.verisign.net -j ACCEPT
#iptables -A FORWARD -p tcp -d crl.verisign.net -j ACCEPT
### Libera Windows Update
iptables -A INPUT -i $NET -p tcp -s 69.44.123.167/32 --sport 80 -j ACCEPT
iptables -A OUTPUT -o $NET -p tcp -d 69.44.123.167/32 --dport 80 -j ACCEPT
iptables -A FORWARD -o $NET -p tcp -d 69.44.123.167/32 --dport 80 -j ACCEPT
iptables -A INPUT -i $NET -p tcp -s 69.44.123.167/32 --sport 443 -j ACCEPT
iptables -A OUTPUT -o $NET -p tcp -d 69.44.123.167/32 --dport 443 -j ACCEPT
iptables -A FORWARD -o $NET -p tcp -d 69.44.123.167/32 --dport 443 -j ACCEPT
iptables -A INPUT -i $NET -p tcp -s 207.46.198.93/32 --sport 443 -j ACCEPT
iptables -A OUTPUT -o $NET -p tcp -d 207.46.198.93/32 --dport 443 -j ACCEPT
iptables -A FORWARD -o $NET -p tcp -d 207.46.198.93/32 --dport 443 -j ACCEPT
## Download 8081
iptables -A OUTPUT -o $NET -p TCP --dport 8081 -j ACCEPT
iptables -A OUTPUT -o $NET -p TCP --dport 8084 -j ACCEPT
#Libera maquina do firewall
#iptables -I FORWARD -p tcp -d 172.18.20.22 -j ACCEPT
#iptables -t nat -I PREROUTING -p tcp -d 172.18.20.22 -j ACCEPT
### Libera trafego ping rede externa ###
#iptables -A INPUT -i $NET -p icmp -j ACCEPT
iptables -A OUTPUT -o $NET -p icmp -j ACCEPT
iptables -A FORWARD -o $NET -p icmp -j ACCEPT
### Libera trafego ping rede interna ###
iptables -A INPUT -i $RLOCAL -p icmp -j ACCEPT
iptables -A OUTPUT -o $RLOCAL -p icmp -j ACCEPT
# LIBERAR A PORTA 3128
iptables -A FORWARD -i $NET -p tcp --dport 3128 -d $REDE -j ACCEPT
iptables -t nat -A PREROUTING -i $RLOCAL -s $REDE -p TCP --dport 80 -j REDIRECT --to-port 3128
###Acesso a navegacao ###
iptables -A OUTPUT -o $NET -p TCP --dport 80 -j ACCEPT
iptables -A OUTPUT -o $NET -p TCP --dport 800 -j ACCEPT
iptables -A OUTPUT -o $NET -p TCP --dport 1880 -j ACCEPT
iptables -A OUTPUT -o $NET -p TCP --dport 443 -j ACCEPT
iptables -A OUTPUT -o $NET -p TCP --dport 21 -j ACCEPT
iptables -A OUTPUT -o $NET -p TCP --dport 20 -j ACCEPT
iptables -A OUTPUT -o $NET -p TCP --dport 8080 -j ACCEPT
iptables -A OUTPUT -o $NET -p TCP --dport 3389 -j ACCEPT
# msn #
#iptables -A OUTPUT -o $NET -p TCP --dport 1863 -j ACCEPT
#iptables -A FORWARD -o $NET -p TCP --dport 1863 -j ACCEPT
#iptables -A FORWARD -o $RLOCAL -p TCP --dport 1863 -j ACCEPT
iptables -A FORWARD -s 172.18.20.22 -p TCP --dport 1863 -j ACCEPT
## LIbera acesso ao FTP ##
iptables -A FORWARD -o $NET -p TCP --dport 20 -j ACCEPT
iptables -A FORWARD -o $NET -p TCP --dport 21 -j ACCEPT
iptables -A FORWARD -o $RLOCAL -p TCP --dport 21 -j ACCEPT
## Servidor de E-mail SMTP (25) POP3 (110)##
iptables -A FORWARD -o $NET -p TCP --dport 25 -j ACCEPT
iptables -A FORWARD -o $NET -p TCP --dport 110 -j ACCEPT
## Servidor TS
iptables -A FORWARD -o $NET -p TCP --dport 3389 -j ACCEPT
iptables -A FORWARD -o $RLOCAL -p TCP --dport 3389 -j ACCEPT
## Servidor SSH
iptables -A FORWARD -o $NET -p TCP --dport 22 -j ACCEPT
iptables -A FORWARD -o $RLOCAL -p TCP --dport 22 -j ACCEPT
#Liberar MYSQL
iptables -A FORWARD -o $NET -p TCP --dport 3306 -j ACCEPT
iptables -A FORWARD -o $RLOCAL -p TCP --dport 3306 -j ACCEPT
## Liberar porta 2082/2083
iptables -A FORWARD -o $NET -p TCP --dport 2082 -j ACCEPT
#iptables -A FORWARD -o $RLOCAL -p TCP --dport 2082 -j ACCEPT
iptables -A FORWARD -o $NET -p TCP --dport 2083 -j ACCEPT
#iptables -A FORWARD -o $RLOCAL -p TCP --dport 2083 - j ACCEPT
##Liberar Postgresql
iptables -A FORWARD -o $NET -p TCP --dport 5432 -j ACCEPT
iptables -A FORWARD -o $RLOCAL -p TCP --dport 5432 -j ACCEPT
## Liberar Porta 5006 Autocred
iptables -A FORWARD -o $NET -p TCP --dport 5006 -j ACCEPT
## Protocolo TCP entrada ##
iptables -A INPUT -i $RLOCAL -p TCP -s $REDE -d $REDE -j ACCEPT
## Protocolo UDP saida ##
iptables -A OUTPUT -o $RLOCAL -p UDP -s $REDE -d $REDE -j ACCEPT
## Protocolo TCP saida ##
iptables -A OUTPUT -o $RLOCAL -p TCP -s $REDE -d $REDE -j ACCEPT
;;
stop)
echo "CUIDADO SUA MAQUINA ESTA SEM FIREWALL - ATENCAO!!!..."
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
iptables -F
iptables -t nat -F
;;
*)
echo "Digite start, restart ou stop para ativar/reativar/desativar"
exit 1
;;
esac
Dar permissão no arquivo e torna-lo executável:
chmod 777 /etc/init.d/firewall
chmod +x /etc/init.d/firewall
Coloca-lo p/ inicializar no boot do linux:
cd /etc/rc2.d
ln –s /etc/init.d/firewall /etc/rc2.d/S99firewall
-
# DEFINIR POLITICA PADRAO (NEGAR TUDO)
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
Política padrão DROP na cadeia OUTPUT é sempre difícil... :-\
Vou analisando e se ver algo errado grito.
-
#Bloquear portas
#iptables -A FORWARD -s $REDE -p tcp -m multiport --dport 0:65535 -j DROP
## Estabilizar conexoes
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
Essas regras estão na ordem errada: vc tem que permitir o retorno das conexões estabelecidas antes de fazer qq bloqueio geral.
De qq forma, essa regra de bloqueio (comentada, agora que eu vi) é totalmente desnecessária, visto que vc usa política DROP. Melhor tirá-la daí, de vez.
-
### libera acesso ao TS
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A PREROUTING -p tcp -i $NET --dport 3389 -j DNAT --to 172.18.20.20
iptables -t nat -A POSTROUTING -d 172.18.20.20 -j SNAT --to 172.18.20.253
Vc acessa o TS a partir da rede interna? Se não acessa, não precisa da segunda regra.
### libera acesso ao SSH
#echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A PREROUTING -p tcp -i $NET --dport 22 -j DNAT --to 172.18.20.33
iptables -t nat -A POSTROUTING -d 172.18.20.33 -j SNAT --to 172.18.20.253
Idem aqui.
### libera acesso ao TELNET (FTP)
iptables -A INPUT -i $NET -p TCP --dport 20 -j ACCEPT
iptables -A INPUT -i $NET -p TCP --dport 21 -j ACCEPT
#Nat para FTP
iptables -t nat -A PREROUTING -p tcp -i $NET --dport 20 -j DNAT --to 172.18.20.253:20
iptables -t nat -A PREROUTING -p tcp -i $NET --dport 21 -j DNAT --to 172.18.20.253:21
Você não precisa fazer redirecionamento de porta, se o destino for a própria máquina.
-
# LIBERAR A PORTA 3128
iptables -A FORWARD -i $NET -p tcp --dport 3128 -d $REDE -j ACCEPT
iptables -t nat -A PREROUTING -i $RLOCAL -s $REDE -p TCP --dport 80 -j REDIRECT --to-port 3128
Acho que descobri teu erro. Vc está usando proxy transparente, correto? Nesse caso, vc tem que liberar as estações pra consultar diretamente DNS. Lá em cima, tem uma regra assim:
### Aceita entrada DNS ###
iptables -A OUTPUT -o $NET -p UDP --dport 53 -j ACCEPT
Veja que vc só liberou essa porta como destino na cadeia OUTPUT; isso significa que só o próprio servidor pode fazer consultas DNS.
Pra que as estações também possam fazer consultas, vc tem que adicionar esta linha àquelas:
iptables -A FORWARD -i $RLOCAL --p udp --dport 53 -j ACCEPT
isso vai permitir que as máquinas da rede local, e apenas elas, façam consultas DNS.
-
Certo, mas como devo proceder no lance do ip dedicado há algum roteamento a ser feito??
-
Certo, mas como devo proceder no lance do ip dedicado há algum roteamento a ser feito??
Nada em especial. Se vc conseguir trafegar no servidor de compartilhamento, vai conseguir trafegar nas estações, com o NAT configurado.
Só tem que tomar mais cuidado pq com o IP fixo na internet, vc pode ser mais visado em termos de ataques. A idéia do firewall bem restritivo na entrada ("-P INPUT DROP") é boa, nesse caso.
-
Só para constar uso proxy trasnparente!!
Segue meu resolv.conf
domain empresa.com.br
search empresa.com.br
nameserver 172.18.20.253
Segue meu dhcpd.conf
ddns-update-style none;
default-lease-time 600;
max-lease-time 7200;
authoritative;
option wpad-url code 252 = text;
ddns-domainname "empresa.com.br.";
option domain-name "empresa.com.br";
log-facility local7;
subnet 172.18.20.0 netmask 255.255.255.0 {
range 172.18.20.100 172.18.20.200;
option routers 172.18.20.253;
option domain-name-servers 172.18.20.253;
option broadcast-address 172.18.20.255;
option wpad-url "http://172.18.20.253/wpad.dat\n";
devo fazer alguma alteracao??
-
Acho que tá bom assim...
Mas uma coisa interessante: essa configuração de WPAD por DHCP só funciona no IE. Pra funcionar no Firefox (e também no IE), vc deve criar a entrada "wpad.empresa.com.br", no seu servidor DNS.
Daí é só selecionar a opção "auto-detectar as configurações de proxy". Que é melhor do que usar o proxy transparente...
-
A entrada ja foi criada blzinha, e o firefox e o IE configurados...
mas nao teria que colocar o dns da operadora??
INTERFACES="eth1";
ddns-update-style none;
default-lease-time 600;
max-lease-time 7200;
authoritative;
option wpad-url code 252 = text;
ddns-domainname "empresa.com.br.";
option domain-name "empresa.com.br";
log-facility local7;
subnet 172.18.20.0 netmask 255.255.255.0 {
range 172.18.20.50 172.18.20.150;
option routers IPgatewaydagvt;
option domain-name-servers DNSdagvt;
option broadcast-address 172.18.20.255;
option wpad-url "http://172.18.20.253/wpad.dat\n";
e no resolv.conf
domain empresa.com.br
search empresa.com.br
nameserver 172.18.20.253
nameserver 200.175.182.139
nameserver 200.175.5.189
-
Não se o seu servidor DNS estiver ativo.
mas se vc quiser colocar o DNS da operadora como secundário, é uma boa: assim, se o seu DNS sair do ar, os seus usuários poderão seguir navegando, só um pouco mais lento.
PS: Seu servidor DNS está ativo, né??? ;)
-
Sim uso o BIND!
conforme instrucoes do morimoto.
# apt-get install bind
O arquivo de configuração padrão é o "/etc/bind/named.conf". A configuração do domínio é feita em duas partes. Primeiro adicionamos uma entrada referente ao domínio no arquivo principal, indicando a localização de um arquivo externo (onde vai a configuração) e em seguida adicionamos a configuração propriamente dita neste segundo arquivo. Como estamos configurando um domínio local, você pode especificar qualquer domínio, não é necessário que ele esteja realmente registrado. No exemplo, estou usando o domínio "gdhn.com.br".
Comece adicionando a configuração referente a ele no final do arquivo "/etc/bind/named.conf" (no Debian você pode também utilizar o arquivo "/etc/bind/named.conf.local", que é carregado como um include):
zone "gdhn.com.br" IN {
type master;
file "/etc/bind/db.gdhn";
};
Veja que na terceira linha especificamos o arquivo externo (db.gdhn), onde irá a configuração do domínio. Esse arquivo precisa ser criado na mesma pasta do arquivo principal, ou seja, será o arquivo "/etc/bind/db.gdhn". O conteúdo do arquivo será o seguinte (veja mais detalhes sobre o significado das opções no capítulo sobre DNS):
@ IN SOA etch.gdhn.com.br. hostmaster.gdhn.com.br. (
2008030645 3H 15M 1W 1D )
NS etch.gdhn.com.br.
gdhn.com.br. A 192.168.1.1
wpad IN A 192.168.1.1
O "etch" no exemplo é o nome do servidor, enquanto o "192.168.1.1" é o endereço IP usado por ele. Isso cria o domínio "gdhn.com.br" e o "wpad.gdhn.com.br", ambos apontando para o endereço IP do servidor. Dessa forma, ao tentarem baixar o arquivo "http://wpad.gdhn.com.br/wpad.dat", os clientes baixarão na verdade o "http://192.168.1.1/wpad.dat". Depois de terminar, não esqueça de reiniciar o Bind para que a alteração entre em vigor:
# /etc/init.d/bind restart
Naturalmente, para que o domínio seja utilizado, é necessário também configurar os clientes para utilizarem o servidor DNS interno que acabamos de configurar. Isso é feito especificando o endereço IP do servidor como único servidor DNS na opção "domain-name-servers" da configuração do DHCP e adicionando duas novas opções na seção global do arquivo:
ddns-domainname "gdhn.com.br.";
option domain-name "gdhn.com.br.";
-
zekkerj
Não deu certo, alguma sugestao?
-
O quê, exatamente, não deu certo?
-
Nao resolve o nome..... qdo dou um ping no gateway da GVT da que esta inacessivel.... to axando o pessoal me passou o network/broadcast errado, engracado que se configurar direto numa maquina xp ele funciona blz, poram o xp nao precisa conficarar o network/broadcast . apenas o
IP
mascara
gateway
DNS
alguma sugestao??
-
Esses dados de network/broadcast são detalhes, não impedem o funcionamento da rede (e além disso, estão consistentes, acabei de conferir).
Vc consegue pingar o seu gateway? E endereços na internet?
-
nao consigo da como se tivesse inacessivel....
a unica coisa que consigo pingar é na outra placa de rede 172.18.20.253 e no meu proprio ip.
-
Desative o firewall e repita o teste. Se o problema persistir, entra em contato com o provedor do link e pede pra verificar o funcionamento.
-
Entrei em contato com a telefonia, me confirmaram os dados e estao, segundo ele os aparelho da cisco que esta na empresa tem todas a portas liberas...