Como configurar um firewall entre meu modem a cabo / roteador ISP e minha LAN?

0

Meu objetivo é configurar um firewall & Sistema de prevenção de intrusões usando o Snort. Eu tenho um pc de reposição disponível com pelo menos 2 NICs físicas, que executavam o pfSense tendo um firewall com o Snort, mas desta vez eu quero fazer a configuração sozinho. Até agora eu consegui instalar o Debian 9 como um sistema headless com login ssh (e se realmente fosse necessário eu poderia adicionar um teclado e uma tela temporários).

Eu queria começar com apenas um firewall, sem o Snort.

Como obtenho o seguinte:  - é possível colocar o firewall entre meu roteador de modem a cabo IPS e minha LAN? O roteador ISP tem DHCP / NAT ativado, o qual não posso desligar.  - Eu quero conseguir um firewall "plug & play" que eu possa colocar no meio, sem transformá-lo em um NAT duplo (que eu tinha antes de usar o pfSense). Quer dizer, se possível eu não quero ter redes diferentes, por exemplo. um 192.168.x.x um e um por exemplo 10.x.x.x um. - o firewall está sem cabeça, fazendo login via ssh

      Internet
        WAN
         |
         |
      ISP Cable Modem & Router with DCHP
      gateway 192.168.0.1
         |
         |
       [eth0]
      Firewall
       [eth1]
         |                ________ Wireless AP
         |               /
         |_____ Switch__/_________ PC1
                        \
                         \________ ...

Eu tentei configurar uma ponte no br0 (via / etc / network / interfaces) adicionando eth0 e eth1. A bridge tinha um endereço IP e funcionava bem, onde eu ainda podia me conectar à internet a partir de dispositivos atrás do switch via AP. Então eu aprendi pontes não se importam com endereços IP ... o que não parece bom para construir um firewall com eventualmente snort (IPS). Eu li sobre o iptables e usando o "dev físico". Talvez eu seja forçado a fazer NAT duplo e configurar o roteamento? O problema é que eu não sei o suficiente para saber o que é melhor e como proceder. Claro, eu pesquisei (muito) e encontrei, por exemplo, artigos aboutdebian.org sobre proxy / NAT e firewall ... mas a maioria dos artigos supõe que você pode ter apenas um modem, mas não consigo desligar o DCHP nem posso configure o intervalo dele. É sempre o intervalo total de 255.255.255.0.

    
por WU7 12.06.2018 / 19:44

2 respostas

0

Parece que encontrei uma solução de trabalho ... talvez trivial, uma vez que você perceba, mas lembre-se de que eu não conhecia o Linux nem muitas redes. Então, aqui está o que aprendi: - você precisa usar uma ponte se quiser "plug & play", porque ela passa apenas pelo tráfego. Você poderia configurar um roteador, mas o que vem por trás do firewall, precisava de uma LAN diferente (por exemplo, 10.x.x.x em vez de 192.168.x.x). Eu também acabaria com duplo NAT e precisava executar um servidor DHCP para fornecer a todos os dispositivos por trás do roteador / firewall um endereço IP. Então, por isso que eu fui com uma ponte: não há necessidade de alterar a configuração existente, mas basta colocar a ponte no meio.

Agora, fazer o firewall no trabalho em uma Bridge pode ser feito usando IPTABLES. Como uma ponte não analisa o nível 3 (IP), mas apenas no nível 2 (endereço MAC / quadro Ethernet), I.ve descobriu que o uso do iptables-extension "physdev" é necessário. A página man sobre isso me deu algumas informações.

Até agora consegui bloquear um ping ou uma porta 80; 443 etc. apenas para testes ... mas isso prova que funcionaria bem. Importante é usar a corrente FORWARD. Por exemplo:

iptables -A FORWARD -m physdev --physdev-in eth0 --physdev-out     eth1 -p icmp --icmp-type echo-request -j DROP

Próxima coisa a descobrir: - como bloquear o IPV6 ... não tenho certeza se preciso adicionar regras ao IP6TABLES ou apenas desabilitá-las todas juntas no host. Na minha LAN interna, apenas endereços IPV4 seriam necessários. Eu perderia alguma coisa se eu bloqueasse / não usasse o IPV6? - confira eptables - Entre no Snort

... mas sinto que cheguei onde queria estar.

    
por 16.06.2018 / 20:15
0
Quase todos os modernos "modem / roteadores" combinados têm uma maneira de configurá-los em "modo bridge" ou algum equivalente léxico que desligue todos os DCHP, IP Masquerading, pontos de acesso sem fio e outras malwares auxiliares que se pareçam com você quer fazer você mesmo. Consulte o manual do seu modem ou pergunte ao seu ISP se eles podem:

  • Reconfigure o modem no modo Bridge para você
  • Forneça a documentação de como fazer isso sozinho ou
  • Fornecer um novo modem que não seja tão "cheio de recursos".

Conecte seu host de firewall diretamente ao modem usando eth0 . Ele obterá um verdadeiro endereço IP de roteamento público de boa fé.

Configure seu firewall para usar eth0 como a interface pública / WAN e eth1 como a interface privada / LAN. Seu firewall também estará agindo como um roteador, portanto, você provavelmente também desejará ativar o serviço DHCP em eth1 usando qualquer espaço de endereço IP privado que desejar usar.

    
por 12.06.2018 / 20:15