BFW Firewall & Router

[slgo]

Bom dia,

Presto acessoria em uma empresa a quase 4 anos, e utilizo BFW 2.32.2, para controlar os dois links dedicados ( GVT par metalico /Embratel fibrado ).

Tudo funciona beleza, só que estou implementando um servidor de e-mail Zimbra e resolvi colocar ele atras do BFW e repassars as portas, tanto do servidor quando dos

Servidores de DNS, só que faco a regra no BFW e nada acontece. O Primeiro ip do range é final 42, simplesmente queria utilizar o ip de final 50 para meu servidor de email

e o repace não é feito, a mascara é 28 ou seja são 14 IPs disponiveis. Quando utilizo o primeiro IP do range funciona só que ja existem redirecionamento nas portas que

preciso para o Servidor de e-mail.

[Paulo2]

Olá slgo , veja se ajuda esse tópico http://www.brazilfw.com.br/forum/viewtopic.php?f=2&t=57801&hilit=redirecionar+ip+v%C3%A1lido
São essas regras que vc tentou? Nesse tópico faltou o comando pra adicionar o ip válido na interface da internet.
Esse artigo do Viva o Linux acho que é mais explicativo (pelo menos eu entendi melhor com esse )
http://www.vivaolinux.com.br/dica/Firewall-iptables-com-DNAT-SNAT-levando-um-ip-valido-para-um-host-da-rede-formas-de-mascaramento-NAT-e-redirecionamento

Não sei como fica a segurança da rede interna com essa configuração do artigo, talvez fique melhor especificando
apenas as portas e protocolos que o servidor vai usar, ou então colocar a máquina do servidor de email na dmz.

Além disso, tem referência sobre proxy_arp e repasse de ip válido, mas esse é demais pra mim
a única coisa que eu achei é que isso parece desabilitado por padrão no BFW ("echo 0" ao invés de "echo 1")
http://www.brazilfw.com.br/forum/viewtopic.php?f=2&t=59440&hilit=repassar+ip+v%C3%A1lido
http://www.brazilfw.com.br/forum/viewtopic.php?f=4&t=49498&hilit=repassar+ip+v%C3%A1lido

[slgo]

Bom dia Paulo,

Obrigado pelas dicas,

Fiz desta forma,

ifconfig eth1:1 189.x.xx.70 netmask 255.255.255.240
iptables -I INPUT -p ALL -d 189.x.xx.70 -j ACCEPT
iptables -t nat -I PREROUTING -d 189.x.xx.70 -j DNAT --to-destination 172.19.246.9
iptables -t nat -I POSTROUTING -s 172.19.246.9 -j SNAT --to-source 189.x.xx.70

Mas não funfo, agora ao meio dia vou reiniciar o roteador e refazer as regras, ja ta todo mexido, para ver se funciona.

Nem pingar na maquina não pinga

A materia sobre Proxy-arp é bem legal depois de deixar isso aqui funcionando vu dar uma estudada para ver se pego

Se tiveres alguma ideia o porque não funcionou tecla

Só para entenderes estou passando um ip do segundo link (embratel 4MB full) por isso eth1:1

[Paulo2]

Vc fez como o tutorial do VOL explica e lá tem pelo menos um comentário dizendo que funciona,
então agora nós aqui temos que queimar a mufa pra fazer funcionar


Se vc tem muitas configurações personalizadas no firewall é bom deixar no padrão antes de testar
essa configuração do ip válido. Alguma regra esquecida pode influenciar no resultado.

Outra preocupação é ver as configurações do Load Balance.
Pode ter alguma regra especificando rotas de porta ou ip apenas pra um dos links.
Acho que pra testar o ip válido seria bom vc usar só um link, depois que estiver funcionando
vc adiciona o outro link e outras regras no LB e firewall.


No tópico aqui do fórum o autor especificou a interface de entrada e saída, talvez seja bom fazer isso.
Ele colocou a opção de apagar as regras antes porque as regras incluídas nas chains nativas do iptables
não são apagadas nem com firewall.reload nem com rc.firewall. Ele deve ter adicionado as regras no arquivo
personalizado do firewall e não no rc.local.


Não entendi como está a configuração de internet do teu BFW.
Vc tem dois links, GVT par metalico /Embratel fibrado, é isso?
O primeiro link é GVT e o segundo é Embratel, confere? Qual placa é de quem?

Se for o padrão, deveria ser GVT eth1 e Embratel eth2, não?
Pergunto porque vc configurou o Embratel como eth1:1

Só para entenderes estou passando um ip do segundo link (embratel 4MB full) por isso eth1:1

Tirando uma dúvida minha, o link embratel full é 4M de down e 4M de up? E sem bloqueio de portas como 80, 21, portas de email?

[slgo]

Boa noite Paulo,

Andei as voltas com um server 2008, em outra empresa. Bom vamos ao problema.

Os links estão desta forma.

eth0 -> GVT ( 2 down e 2 UP ) Par metâlico
eth1 -> Embratel ( 4 down 2 4 up ) fibrado
eth2 -> Rede interna ( 172.19.246.1 )

Ambos os links full e totalmente liberados.

Com relação a localização das regras, coloquei elas justamente em regras personalizadas do firewall. Os únicos bloqueios que faço no firewall são bloqueios de htts por string.

Agora a noite vou reiniciar o BFW, e ver se funciona. Assim que realizar o teste te aviso

[slgo]

Bom Paulo,

La fiz os teste e funcionou, mais simples e acho que melhor

coloquei a criacao do alias da Interfece no rc.local, assim é criado antes de rodar o firewall e consequentemente as regras. e rebutei o BFW.

Conferindo, a interface subiu e sem erro nas regras do iptables. Vamos aos teste.

Tentei conecção por ssh, pediu uruario e senha mas não logava. rodei iptraf no servidor e nada. Foi ai qu tentei a senha do BFW e bingo era ele respondendo no ip que

deveria responder o servidor de e-mail.

Bom ai fiz um teste, ja que o BFW estava aceitando conecção por este ip tb, simplesmente fiz um direcionamento pelo webadmin da porta 22 daquele ip (real ) para o ip do

servidor, e bingo respondeu o servidor de e-mail.

Bom resumindo, removi tudo e só deixei a entrada no firewall

iptables -I INPUT -p ALL -d 189.x.xx.70 -j ACCEPT

e rebutei o BFW e tudo funcionou perfeitamente. Vou fazer mais uns teste em outras portas e ip e retorno aqui para ficar bem explicado. O bom te tudo é que posso

controlar tudo pois passa pelo BFW.

Obrigado.

Agora vou tentar intender a montagem dos DNS e Reverso,

[Paulo2]

Os links estão desta forma.

eth0 -> GVT ( 2 down e 2 UP ) Par metâlico
eth1 -> Embratel ( 4 down 2 4 up ) fibrado
eth2 -> Rede interna ( 172.19.246.1 )

então as configurações estão certas o ip vai na eth1.
Tinha esperança de ser alguma coisa simples como engano na interface

Bom resumindo, removi tudo e só deixei a entrada no firewall

iptables -I INPUT -p ALL -d 189.x.xx.70 -j ACCEPT

e rebutei o BFW e tudo funcionou perfeitamente. Vou fazer mais uns teste em outras portas e ip e retorno aqui para ficar bem explicado. O bom te tudo é que posso

controlar tudo pois passa pelo BFW.

Obrigado.

Agora vou tentar intender a montagem dos DNS e Reverso,

As regras de nat não foram necessárias então? Só adicionar o ip na interface e abrir o firewall?
Talvez o BFW crie as regras de nat automaticamente.

Essa configuração na verdade não repassa o ip válido ao pé da letra, mas acho até melhor pois a máquina
interna fica no controle do BFW como vc falou.
Abraços e poste o resultado final por favor, essa configuração não tem muitos relatos aqui no fórum

[slgo]

Sera que funciona assim o zimbra e os dns, vou tentar fazer com o repasse dos ips direto tb e depois posto aqui os resultados