Firewall invisível com Proxy ARP

pmcj21

Como construir um firewall com apenas um endereço IP na mesma sub-rede, desaparecer com esta dos demais computadores e não criar um possível obstáculo no caso de uma falha do mesmo.

[ Hits: 29.665 ]

Por: Paulo Mauricio da Conceição Jr. RHCI, RHCE, RHCVA em 13/06/2008

0 0

Denuncie Favoritos Indicar Impressora

Conclusão

Neste ponto, você pode aguardar a cache ARP expirar ou pode ainda reiniciar seu roteador. Se você der uma olhada na cache ARP no servidor, ele irá mostrar o endereço mac do roteador como se fosse o endereço mac da interface eth1 no seu Firewall. Depois de ter completado estas etapas, você pode adicionar suas regras de firewall.

Este tipo de configuração de firewall é bem aplicada também quando a necessidade é de não ter que dividir sua sub-rede para que você possa inserir seu Firewall, um exemplo coloco a seguir:

Sua rede tem como endereço 192.168.1.0/24, o endereço de gateway (roteador) é apresentado como 192.168.1.254, para instalar um Firewall tradicional nesta rede você precisa criar uma outra sub-rede, para que os pacotes possam ser roteados de uma sub-rede a outra, como diz as regras de roteamento, com o Firewall baseado em proxy-arp, você somente vai utilizar um endereço de host, evitando assim diversos problemas com uma possível falha de serviço, neste caso você teria somente que remover o cabo conectado a interface eth0 e conectá-lo a Switch ou Hub da sua rede.

Página anterior

Páginas do artigo

   1. Introdução
   2. Instalação e configuração
   3. Conclusão

Outros artigos deste autor

Docker - Da virtualização a aplicações distribuídas

Leitura recomendada

Instalação do Layer7 no Debian Etch

Slackware 11 + kernel-2.6.18 + Layer7 + iptables

Roteamento de entrada/saída com iproute e iptables

Squid/IPtables - Bloqueando Facebook e personalizando IP de acesso irrestrito (definitivo)

Arno Iptables Firewall (poderoso e simples)

Comentários

[1] Comentário enviado por elgio em 13/06/2008 - 13:42h

Desculpa, mas...

Porque não fazer firewall transparente pela técnica de Bridge? É ainda mais transparente pois eth0 e eth1 nem precisam ter ips (terão para possibilitar o login e gerenciamento).

Assim tu coloca ela entre a rede e o verdadeiro roteador, ou entre a saída do roteador e a Internet.

Ela atua como se fosse um Switch (bridge), apenas repassando quadros de um dominio de colisão para outro (nem o MAC address de suas placas sao expostos), porém podem filtrar (sempre com DROP, pois se ela não tiver IP como responderia com um ICMP?)

Pra mim isto sim é firewall transparente.

Pacote bridge-utils:

ifconfig eth0 down
ifconfig eth1 up

brctl addbr br0

brctl addif br0 eth0
brctl addif br0 eth1

ifconfig eth0 0.0.0.0
ifconfig eth1 0.0.0.0

# Opcionalemente, colocando um IP para poder se logar
#ifconfig br0 10.1.0.4
#route add default gw 10.1.0.1

Depois, segue o mesmo de sempre no iptables, com regras na chain FORWARD da tabela filter!

0 0

[2] Comentário enviado por pmcj21 em 15/06/2008 - 22:30h

?comentario=Resposta ao Elgio.

Entendo perfeitamente sua questão, porém, minha intenção é trazer opções a comunidade, até porque a teoria que compreendo sobre software livre é a valorização do profissional e a divulgação do conhecimento, você realmente parece entender do assunto, mas acho melhor divulgar meu conhecimento baseado em alternativas, para que todos entendam tanto o roteamento de pacotes quanto o repasse de quadros, porém valeu pela colocação. Espero em breve criar artigos citando todas as opções possíveis, valeu, fui...

0 0