BFW Firewall & Router

[elivanrr]

Olá pessoal,



Aderi o BWF na versão 3.0.256 a 3 semanas atrás, realizei todas configurações de rede que necessito. Porém travei na hora de fazer com que todo solicitação de acesso a internet, sejam direcionadas para ip privado na eth0 onde o serviço do squid (em modo transparente) deve responder para rede local. É neste ponto que venho pedi ajuda dos colegas.

O cenário esta constituído da seguinte forma:
A eth1 está o ip publico (200.xx.xx.98/248) fornecido pelo provedor que tem se gw o router com ip 200.xx.xx.97
A eth0 está o ip privado (10.120.162.1) para atender como gw da rede interna 10.120.162.0/24.

O problema:
Com ou sem o proxy as maquinas da rede local conseguem navegar na internet.

A pergunta é, o que devo fazer para permitir a saída para internet somente via o ip privado na eth0, onde o serviço do squid esta operando ???

Ressalvo que, não fiz nenhum configuração de firewall por entender, em leitura no wiki e no forum, que tais funções são automatizadas.

[janesley]

Olá amigo!
* Primeiro cadastre todas as maquinas da rede local , IP x MAC.
http://pt-br.wiki.brazilfw.com.br/Ip_Restriction/pt-br#Restri.C3.A7.C3.A3o_de_MAC.2FIP
* Cadastre as maquinas para o controle de banda caso necessite do mesmo.Recomendo!
http://pt-br.wiki.brazilfw.com.br/Qos/pt-br#Q.O.S_-_.28Quality_of_Service.29_-_Controle_de_Banda.
* Cadastre as maquinas no cadastro de host!
http://pt-br.wiki.brazilfw.com.br/Hosts/pt-br#Pelo_WebAdmin

Ative a opção WebAdmin/Configurações/Sistema/Geral - Campo: Restrição de MAC - Opção [Sim]
http://pt-br.wiki.brazilfw.com.br/System_Configuration/pt-br#Restri.C3.A7.C3.A3o_de_MAC

Agora ative as opções correspondentes e citadas acima, lembrando de ativar somente após o cadastro de todas as maquinas, inclusive a sua...
Espero ter Ajudado!

[ronaldo_dualserv]

Olá elivanrr,

Suas máquiinas estão ligadas diretamente a interface eth0 do seu servidor BFW? existe uma outra ligação para a internet sem que passe pela interface eth0 do BFW? Se não tiver outra ligação, não tem como os usuários passar pelo servidor e navegar.
Se estiver errado, por favor alguém me corrija.

Espero ter ajudado.

[elivanrr]

Olá janesley,


Primeiramente agradeço pelo seu retorno.
Creio que sua dica irá com certeza funcionar. Porém, no meu caso tornaria muito trabalhoso, visto que, tenho 120 mq em minha rede local. Daí imaginei que há uma forma no BFW estabelecer esta funcionalidade determinando somente o range de local ou direcionando como na regra no iptables iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 --to-port 3128.

Sendo assim, se me resta pg existe outra forma para o meu propósito ??

[elivanrr]

Caro ronaldo_dualserv,


Sim. A minha eth1 receber a conexão do router com link de internet provido pela embretel.

[janesley]

Amigo, mesmo sem ter configurado nada, tudo passa pelo Proxy do Squid, pois é gerado através de DHCP ou IP fixo o endereço do Gateway que no caso é o BFW, Agora para poder passar pelo proxy você deverá ativalo:
http://pt-br.wiki.brazilfw.com.br/Proxy_Server/pt-br#Habilitar_e_configurar_o_Squid
Agora como te falei se você quiser ter um controle maior, como bloqueio, controle de banda, etc... Ai sim você deverá cadastrar as maquinas...
Ai você deverá analizar quantas maquinas terão acesso a internet ?
* É a maioria? se sim - crie sub-redes e defina a range que terá acesso a internet.
http://pt-br.wiki.brazilfw.com.br/Subnet/pt-br
* Se menoria? - Basta cadastrar somente o pessoal que terá acesso como te falei acima!
Pois se fizer somente uma range geral para acesso fica falho, pois se digo do 192.168.0.50 ao
192.168.0.90 terão acesso a internet. e o resto da faixa não.. Pode vir um engraçadinho e colocar na faixa liberada.. ou se tiver o DHCP habilitado, jogar na faixa livre... Entende?
Eu faria o seguinte... Todas as maquinas são ligadas diáriamente? - Certo!
Vá em WebAdmin/Ferramentas/Rede/Tabela ARP. Lá vai aparecer todas as maquinas que estão tendo comunicação entre si. - Use o CTRL + C e o CTRL + V.
Cole no bloco de notas e faça as auterações conforme é exigido em cada arquivo de controle.

File: 

/etc/brazilfw/reserve.cfg

- Neste arquivo MAC x IP, fica cada linha assim:

Código: Selecionar todos

192.168.254.100 00:x0:5x:0y:33:7x #janesley

File: 

/etc/brazilfw/qos.cfg

- Neste arquivo Controle de Banda, fica cada linha assim:

Código: Selecionar todos

yes 192.168.254.100/32 350 100 4096 #janesley

File: 

/etc/brazilfw/host.cfg

- Neste arquivo Host, fica cada linha assim:

Código: Selecionar todos

192.168.254.100 janesley brazilfw.local #janesley

- Você pode tambem colocar sua rede toda em DHCP e verá quem solicitar IP em:
WebAdmin/Configurações/DHCP/Concessão

Espero ter dado uma luz... ao seu projeto!

[allancarlosvr]

Olá,

Com essa solução janesley eu consigo também redirecionar o tráfego da porta 443 para a 3128 ? Sendo que o Dansguardian não consegue filtrar essa porta por ela não usar o Squid, sendo assim o bloqueio se torna falho.

[elivanrr]

Obrigado janesley,

Sua explicação ajudou muito o meu entendimento, principalmente quanto a funcionalidade do BFW frente ao meu caso de uso. Vou parti para implantação com base ao esse conceito.

[Eduardo]

Obrigado janesley,

Sua explicação ajudou muito o meu entendimento, principalmente quanto a funcionalidade do BFW frente ao meu caso de uso. Vou parti para implantação com base ao esse conceito.

Não esqueça de reportar os testes e encerrar o tópico conforme as regras do fórum.