Firewall invisível com Proxy ARP

Como construir um firewall com apenas um endereço IP na mesma sub-rede, desaparecer com esta dos demais computadores e não criar um possível obstáculo no caso de uma falha do mesmo.

[ Hits: 27.726 ]

Por: Paulo Mauricio da Conceição Jr. RHCI, RHCE, RHCVA em 13/06/2008


Conclusão



Neste ponto, você pode aguardar a cache ARP expirar ou pode ainda reiniciar seu roteador. Se você der uma olhada na cache ARP no servidor, ele irá mostrar o endereço mac do roteador como se fosse o endereço mac da interface eth1 no seu Firewall. Depois de ter completado estas etapas, você pode adicionar suas regras de firewall.

Este tipo de configuração de firewall é bem aplicada também quando a necessidade é de não ter que dividir sua sub-rede para que você possa inserir seu Firewall, um exemplo coloco a seguir:

Sua rede tem como endereço 192.168.1.0/24, o endereço de gateway (roteador) é apresentado como 192.168.1.254, para instalar um Firewall tradicional nesta rede você precisa criar uma outra sub-rede, para que os pacotes possam ser roteados de uma sub-rede a outra, como diz as regras de roteamento, com o Firewall baseado em proxy-arp, você somente vai utilizar um endereço de host, evitando assim diversos problemas com uma possível falha de serviço, neste caso você teria somente que remover o cabo conectado a interface eth0 e conectá-lo a Switch ou Hub da sua rede.

Página anterior    

Páginas do artigo
   1. Introdução
   2. Instalação e configuração
   3. Conclusão
Outros artigos deste autor

Docker - Da virtualização a aplicações distribuídas

Leitura recomendada

IPCop Firewall - Uma ótima opção de proteção para sua rede ADSL

Shorewall, uma excelente opção para firewall Linux

Iptables + módulo recent

NoCatAuth - Construindo um firewall/gateway autenticado

Criando um Firewall transparente com Bridges no Debian Etch

  
Comentários
[1] Comentário enviado por elgio em 13/06/2008 - 13:42h

Desculpa, mas...

Porque não fazer firewall transparente pela técnica de Bridge? É ainda mais transparente pois eth0 e eth1 nem precisam ter ips (terão para possibilitar o login e gerenciamento).

Assim tu coloca ela entre a rede e o verdadeiro roteador, ou entre a saída do roteador e a Internet.

Ela atua como se fosse um Switch (bridge), apenas repassando quadros de um dominio de colisão para outro (nem o MAC address de suas placas sao expostos), porém podem filtrar (sempre com DROP, pois se ela não tiver IP como responderia com um ICMP?)

Pra mim isto sim é firewall transparente.

Pacote bridge-utils:

ifconfig eth0 down
ifconfig eth1 up

brctl addbr br0

brctl addif br0 eth0
brctl addif br0 eth1

ifconfig eth0 0.0.0.0
ifconfig eth1 0.0.0.0

# Opcionalemente, colocando um IP para poder se logar
#ifconfig br0 10.1.0.4
#route add default gw 10.1.0.1

Depois, segue o mesmo de sempre no iptables, com regras na chain FORWARD da tabela filter!

[2] Comentário enviado por pmcj21 em 15/06/2008 - 22:30h

?comentario=Resposta ao Elgio.

Entendo perfeitamente sua questão, porém, minha intenção é trazer opções a comunidade, até porque a teoria que compreendo sobre software livre é a valorização do profissional e a divulgação do conhecimento, você realmente parece entender do assunto, mas acho melhor divulgar meu conhecimento baseado em alternativas, para que todos entendam tanto o roteamento de pacotes quanto o repasse de quadros, porém valeu pela colocação. Espero em breve criar artigos citando todas as opções possíveis, valeu, fui...

[3] Comentário enviado por removido em 18/06/2008 - 14:54h

muito bom, mas ainda não testei.
mas achei otimo.


Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner
Linux banner
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts