BFW Firewall & Router

Ola pessoal tudo bem ?

Possuo aqui a versão 2.31.10 com SQUID e SARG instalados, DHCP habilitado.

No momento com duas placas de rede uma recebendo o sinal da NET e outra espalhando no SWITCH.

Antes a rede era exclusiva para os funcionários porem ultimamente estamos recebendo muitas visitas e eles acabam precisando utilizar a internet para acessar seus emails, porem eles conseguem visualizar os computadores da rede e por mais que todos tenham segurança e senha não é algo legal.


O que eu quero fazer é isolar os computadores dos visitantes da rede interna.

Porem ainda não sei muito bem como fazer.

Estava pensando em colocar mais uma placa de rede no Brazilfw e ligar a outro switch, porem não sei se funcionará da forma que eu espero.

Alguêm já passou por alguma situação semelhante ?

ME Aconcelham a adquirir algum equipamento especifico ?
Utilizar outra versão do Brazilfw ?

Fico no aguardo agradeço desde ja.

explique um pouco mais sobre a topologia da tua rede, esse switch é gerenciável, como os clientes acessam a internet, por cabo, wireless? qual a configuração de hardware da tua máquina onde roda o bfw?

ola Pauloh vamos lá.

Uso classe C , 192.168.1.x

Os clientes acessam a internet tanto por cabo como wireless.

O hardware atual é um Pt4 HT 1gb ram.

no momento a ligação é assim.

Modem da Net ligado em uma placa de rede do BRfw a outra placa de rede faz a ligação no SWITCH que espalha a internet para os clientes

tenho dois cenários parecidos aqui, dois hotéis, mas foi necessário apenas adicionar uma segunda placa de rede e conectar o roteador diretamente. No teu caso aconselho uma segunda placa de rede e um hub para os pontos de conexão com cabo e também conectar o roteador. Você até pode criar uma segunda sub-rede, deixar um range dhcp apenas com a quantidade necessária e criar reservas baseado no mac, mas mesmo usando uma classe de ips e máscara de rede diferente, se o cara for espertinho consegue acessar usando algum sniffer. Só não esqueça uma coisa, mesmo com outra placa de rede, você tem que criar regras no firewall para as subredes não se enxergarem.

no caso seruma uma eth2 certo ? já possuo minha eth0 = internet eth1 = rede (espalha para switches).

No caso para bloqueio seria melhor usar uma outra classe de Ip ou outro seguimento já resolveria ?
No caso eu teria DHCP para as duas placas de rede ? mais no brazilfw eu só consigo configurar uma faixa de DHCP estou certo ?

lucas3671 escreveu:no caso seruma uma eth2 certo ? já possuo minha eth0 = internet eth1 = rede (espalha para switches).

exato, eth2 destinada a rede dos clientes;

lucas3671 escreveu: No caso para bloqueio seria melhor usar uma outra classe de Ip ou outro seguimento já resolveria ?

sim, é necessário uma subrede diferente, mas pode ser classe C também, tipo 192.168.2.x;

lucas3671 escreveu: No caso eu teria DHCP para as duas placas de rede ? mais no brazilfw eu só consigo configurar uma faixa de DHCP estou certo ?

não, você pode configurar outras subredes e dhcp para ela seguindo esse tutorial muito bem explicado:

Código: Selecionar todos

http://www.brazilfw.com.br/forum/viewtopic.php?f=90&t=76892

não esqueça de criar a regra de bloqueio para a segunda placa de rede:

em "configuração avançada de firewall">criar uma regra de acesso> Ativar: "Sim" Regra: "Negar", Protocolo: "All", endereço ou rede de origem: "LAN2 Interface", Endereço ou Rede de Destino "Local Interface", nos campos portas, você pode deixar em branco que o sistema define como válido para todas as portas, assim os ips na segunda placa de rede não conseguem acessar a rede local.

Vou testar aqui, primeiro vou ter que arranjar duas placas de rede low profile, instalar em um outro micro o brazilfw, pois não posso tirar esse atual da rede, pois não pode parar.

Só mais algumas perguntas Pauloh.

Qual versão você usa ? atualmente em todos os lugares que presto algum suporte inclusive aqui na empresa uso a versão 2.31.10, nunca me trouxe problemas e é excelente, porem ainda não testei a 3.xx será que está melhor para gerenciamento de IP ? Sei que estou entrando em um assunto de varias opniões mais como vou ter que instalar em outro pc já gostaria de exclarecer essa duvida.

Outra pergunta, existiria alguma forma de eu fazer o processo que estou fazendo na mesma rede ? sem necessidade de uma placa para ETH2 ?

É que eu pensei no seguinte.
ex: Uma faixa dhcp 192.168.0.2 a 120.

Desses eu crio reservas para os computadores da empresa.

Os demais eu deixo exclusivo para os clientes, dai eu crio alguma regra para liberar ou bloquear o restante desses ips.

Posso estar falando besteira pois de regras eu não entendo muito, porem existe esse possibilidade ?

existe sim a possibilidade de em apenas uma placa de rede fazer isso, mas o bloqueio de acesso clientes>rede interna não depende exclusivamente do servidor, é necessário usar switch gerenciavel, não que venha a ser assim tão fácil, com faixas de ip diferente, usando máscara de rede diferente ja dificulta e muito, mas ainda sobra uma brecha.
Quanto a versão, utilizo muito a versão 3 do bfw, tenho alguns aqui rodando o 2 ainda, mas como grande parte das empresas tem dois links (aqui nem adsl nem via-rádio você consegue link acima de 2Mb), o roteamento dinâmico do bfw3 é muito fácil de configurar e extremamente eficiente, tem lugares que as vezes esqueço que tem bfw rodando, essa semana reiniciei um que estava a mais de 4 meses em uptime, e só reiniciei pq fiz algumas alterações e pelo tempo ligado, mas não que fosse necessário. Quanto ao squid, você usa manual, transparente, autenticado?

Uso Squid Transparente.

Realmente creio que o mais seguro seja outra plaquinha de rede ne ?

Talvez eu coloque o brazilfw 3.0 mais ainda estou com um pouco de medo, afinal o 2.31.10 eu já conheço.

Eu estava querendo substituir esse computador atual por um outro que não está mais sendo usado o problema é que é um DELL VOSTRO (aqueles gabinetes slim).
Não estou encontrando placa de rede, nem a propria dell possui.

sim, outra placa de rede é a forma mais segura. Pode usar o bfw 3 sem medo, é tranquilo pra configurar qualquer coisa, pra testar antes instale o virtual box na tua máquina e crie uma vm dele pra ir se acostumando, quanto ao hardware, esse teu p4 vai suportar tranquilamente.

E qual é a versão que você está usando ?

E sobre ADDONS ? sei que no forum ja tem bastante informação, mais eu tenho addons como sarg e o mysar para geração de relatórios ?

Já encomendei as plaquinhas de rede ^^

em todos os locais onde uso o BFW 3, está a versão mais recente, 3.0.258, alguns x86, outros x64 e tem até x86_x64, muito estável.
Quanto a addons, uso o free-sa e o sarg para gerenciar os relatórios do squid, o check-system para controle do sistema, o bfw-cache em alguns lugares onde considero útil, o tcptrack, para monitorar conexões TCP, muito bom também, o bandwidth para ver histórico de consumo de banda, e o haro, mas uso pouco esse, quanto a addons, pode usar tranquilo, todos ótimos e estáveis.

Excelentes conselhos, já recebi as placas de rede que precisava. Agora necessito apenas de um HD para backup (afinal o pc era de funcionário).

Espero que chegue ainda amanhã, assim ja irei instalar a versão mais recente, irei instalar alguns addons.

O squid já vem instalado nas versões mais recentes correto ?

Espero que consiga separar as redes.

Assim que eu tiver feito todo o processo retorno meu resultado, ou duvidas.

------------------------------------------------------------------

As placas chegaram, instalei a versão 3.0.258
Porem não sei o que está acontecendo que não está reconhecendo uma das novas placas de rede, eu já testei elas com windows e ambas estão funcionando perfeitamente.

agora me aparecem as seguintes mensagens na hora em que o brazilfw é iniciado

generic-usb 0003:1267:1111.0002: usb_submit_urb(ctrl) failed: -1
generic-usb 0003:1267:1111.0002: timeout initializing reports

input: hid 1267:1111 as /devices/pci0000:00/0000:00:1a.0/usb3/3-2-3-2:1.0/input/
input4

generic-usb 0003:1267:1111.0002: input: usb hid v1.10 mouse [HID 1267:1111] on
usb-0000:00:1a.0-2/input0


Alguém tem alguma ideia do que eu posso fazer

--------------------------------------------------------------------

Não consegui acabar com o problema, porem criar uma ETH2 manualmente. E nela efetuei as configurações de DHCP.

Até agora tudo muito bacana, Deixei a ETH0 como local (na verdade o brazilfw deixou na instalação kkk)
ETH1 ---- INTERNET
ETH2 ---- LOCAL2 (Esse vou transformar na rede para visitantes)

Instalei alguns dos addons que você disse acima e fui alem.
instalei:
check system
dansguardian
mysar
phpmyadmin

Já conhecia um pouco da versão 3.x porem essa foi a primeira vez que fui tão longe em suas config. e realmente estou impressionado.

Agora Pauloh vou te atormentar de novo.

1 - sera que não vai me trazer nenhum problema esses erros que mensionei acima ?

2 - agora o mais importante criei as redes ambas com dhcp
192.168.0.x
192.168.2.x

ainda estou em ambiente de testes, e aqui utilizo a 192.168.1.x para uso interno, como ainda estou testando não posso usar essa faixa pois ja está sendo utilizada pela versão 2.31.10

Do jeito que está 192.168.2.x já não está conseguindo acessar a rede interna, somente a internet, porem se eu pingar pelo cmd ele vai encontrar o computador.

Você me disse para criar sub-redes diferentes, o que mais eu posso fazer ?

Opa, desculpa ter sumido mas andei ocupado demais.
Então vamos lá, as duas placas que você comprou são pci-e ou pci? Acesse a bios da placa-mãe e desative tudo que for desnecessário, porta paralela, serial, áudio, e se não estiver usando nada usb (mouse ou teclado), desative eles também.
Você disse que através da subrede 192.168.2.x consegue pingar na 192.168.1.x? Como você está conectado na 192.168.2x, com um cabo direto no servidor?

as duas placas são PCI.
desativei a placa de som, mais ainda não desativei o USB pois por enquanto estou usando nesse pc.

então no teste q eu estou fazendo 192.168.2.x passa por esse BRAZILFW 3.

O SERVIDOR está ligado a rede 192.168.1.x que está ligado a outro brazilfw (o que ainda está em uso).

Realmente não entendi muito bem como devo criar as regras e as sub redes.

Hoje não consegui mexer muito porque estou enroscado com a nova intranet e ERP.

Agradeço se puder dar uma "Clareada" kkk, creio que amanhã vou ter um tempo para mexer.

Primeiro crie as conexões:
http://pt-br.wiki.brazilfw.com.br/Connections/pt-br
Depois o DHCP:
http://pt-br.wiki.brazilfw.com.br/Dhcp/pt-br
Aconselho utilizar controle de banda, para os clientes não sugarem a internet, leia esta parte na Wiki:
http://pt-br.wiki.brazilfw.com.br/Qos/pt-br
Para bloqueio de sub-redes, adicione essa regra em configurações>sistema>script de inicialização:

Código: Selecionar todos

iptables -A FORWARD -s 192.168.0.0/24 -d 192.168.1.0/24 -j DROP
.......................|--clientes--|    |--interno--|

substitua as subredes para de acordo com o teu uso, não esqueça de deixar em ".0/24", para que a regra se aplique a toda a subrede.

Pauloh já havia feito praticamente tudo o que você disse.

A regra também fiz parecido porem salvei em outro local, salvei no arquivo rc.local está correto ?

A regra que eu adicionei foi essa:

Código: Selecionar todos

iptables -i FORWARD -s 192.168.2.0/24 -d 192.168.1.0/24 -j DROP

Ainda fiz poucos testes mais parece estar funcionando.

agora queria restringir o download dessa rede clientes.
abri o arquivo squid.acl, só que estou confuso porque já estou com o DANSGUARDIAN instalado, os dois trabalham juntos certo ?
Tanto faz adicionar regras no DANSGUARDIAN e no SQUID ?

que tipo de ACL eu devo adicionar para limitar a rede 192.168.2.0/24 de efetuar downloads ? queria impor um limite de 100mb


-----------------------------------------------

Será que isso que eu montei funciona legal ?

Código: Selecionar todos

# Responsavel por limitar o download da rede local2 = clientes
# Dessa forma local2 podera efetuar downloads de no maximo 100mb

acl local2 src 192.168.2.0/24
reply_body_max_size 838860800 deny local2
http_access allow local2

-------------------------------------------------

Os comandos do iptables não funcionaram

Código: Selecionar todos

iptables -i FORWARD -s 192.168.2.0/24 -d 192.168.1.0/24 -j DROP

e nem o que você me passou.

Se eu digiar o endereço do webmin ETH0 = 192.168.1.0 em qualquer computador ETH2 = 192.168.2.0

Ou esse comando só serve para rede ?


-------------------------------------------------

To até triste aqui, ja tentei, mais parece que nenhuma regra do IPTABLES e nem do SQUID está funcionando.

O comando que eu coloquei em REGRAS PERSONALIZADAS (SQUID), não funciona e ainda impede o SQUID de iniciar.

Código: Selecionar todos

# Responsavel por limitar o download da rede local2 = clientes
# Dessa forma local2 podera efetuar downloads de no maximo 100mb

acl local2 src 192.168.2.0/24
reply_body_max_size 838860800 deny local2
http_access allow local2

Pior que eu preciso implantar isso na empresa o mais breve possivel.