Como configurar o firewall transparente usando o ArchLinux

2

Estou tentando configurar um firewall transparente usando o ArchLinux.

Minha configuração é assim:

(ISP, IP: 10.90.10.254)
\
 \
  \ (eth0-> ip: 10.90.10.1 gateway: 10.90.10.254)
   +-----------+
   |           |
   |    PC     |
   |(as server)|
   +-----------+
                \ (eth1-> ip: 10.90.10.100)
                 \
                  \
     (10.90.10.101)\        | (wireless-> ip-range: 10.90.10.102-)
                    +-------+
                    |Router |
                    +-------+

Meu roteador não tem capacidade de firewall, portanto, preciso descartar um firewall entre o roteador e meu ISP.

    
por Victor Aurélio 29.05.2013 / 17:17

3 respostas

3

Para conseguir isso, você precisa colocar eth0 e eth1 no modo bridge no PC e dar 1 ip à interface bridge (não nas eths individuais)

Aqui estão as noções básicas sobre a ponte no Linux, para começar link

Dependendo da sua distro, pode haver uma maneira mais rápida / melhor de fazer uma ponte.

Agora, o intervalo de IP sem fio que você mencionou não pode ser especificado por meio de alguma configuração. Cabe a você quais IPs você alocará onde.

Talvez você possa controlar isso via DHCP, mas isso depende da configuração e das necessidades gerais.

    
por 29.05.2013 / 17:25
2

Primeiro, você deve ativar a tradução de endereços de rede:
Inserir esta linha

net.ipv4.ip_forward = 1

para

/etc/sysctl.conf

(depois da linha inserida, o efeito é executado imediatamente) e adicionando regra de firewall:

iptables -t NAT -A POSTROUTING -!o lo -j MASQUERADE

E agora a rede sem fio pode enviar pacotes do servidor PC para o ISP
Mais uma sugestão: desabilite o acesso "all" ao servidor e habilite apenas o que você realmente precisa:

iptables -P INPUT DROP
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -i eth1 -m state --state NEW -j ACCPET

essa configuração desabilita o fluxo padrão de pacotes "todos permitidos", está desabilitada para conectar-se de um provedor de serviços de Internet (e WAN) a portas de servidor, permite conexões fora do alcance da rede sem fio. Se você precisar abrir as portas do servidor no firewall:

iptables -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT

substitua tcp para udp, se necessário, e os intervalos de porta podem ser adicionados de: para pattern.
se algo estiver errado e fechar você mesmo, você pode redefinir as regras de firewall:

iptables -F

A maneira mais fácil, se você instalar um webmin em seu sistema de servidor, é ter uma excelente GUI do configurador de firewall. Mas lembre-se sempre do comando "iptables -F" se você se fechar e não puder acessar o webmin

    
por 29.05.2013 / 19:17
0

Isso deve ser possível (da perspectiva do servidor) se você definir eth0 (e talvez eth1, também) como uma interface ponto-a-ponto (veja man ip-address , peer ).

Da minha opinião, a seleção de endereços é uma má ideia em todos os aspectos. As redes da eth1 e da WLAN não devem se sobrepor. Isso não é possível se a eth1 não for uma interface ponto-a-ponto e a WLAN começar em 102.

Ainda pior no roteador: seu LAN IP faz parte da rede WLAN, então ele também teria que ser p2p (pode ser configurado no roteador?).

    
por 29.05.2013 / 17:38