Duvida ips validos firewall [RESOLVIDO]

f360c4
(usa CentOS)

Enviado em 26/01/2011 - 16:52h

Srs.

alguem conheço algum equipamento ou sabe me dizer se o iptables consegue ficar na frente de uma rede que é tudo ip valido ? deixar o linux em bridge alguma coisa assim ?

so para vocês entenderem tenho uns 5 ips validos da rede e não posso deixar esses caras atras de NAT, sendo assim preciso protege-los o que vocês fariam ?

j4p0n3g0
(usa Debian)

Enviado em 27/01/2011 - 09:44h

cria interfaces virtuais e coloque os ips validos no seu firewall e crie as regras necessárias de redirecionamento de portas para os servidores internos com ips frios.

de preferencia coloque eles em uma DMZ assim ficará mais seguro.

f360c4
(usa CentOS)

Enviado em 27/01/2011 - 14:40h

obrigado pela resposta mais poderia ser mais especifico ?

se eu colocar todos os ips validos em 1 interface virtual, eu vou chumbar a placa.. pois é muito trafego.
e como eu criaria a dmz ?

j4p0n3g0
(usa Debian)

Enviado em 27/01/2011 - 15:31h

parece que vc "chumbaria" a placa mas não vai ... so se o seu link de internet for de 100Mega ...

então sua interface provavelmente trabalha em 100Mb ou 1000Mb ok? e seu link de internet deve funcionar no máximo a 10Mb ... desta forma não irá entupir sua placa de rede ...


para criar sua DMZ vai ser da seguinte forma:
firewall 3 placas de rede
eth0 = rede interna (192.168.0.0/24)
eth1 = dmz (10.0.0.0/24)
eth2 = ips validos (200.x.x.x)

e para os redirecionamentos vc faz tudo que chegar no ip 200.x.x.1 na porta 80 redireciona para o ip interno 10.0.0.1 na porta 80.

cria regras de firewall para apenas a rede interna (192.168.0.0) iniciar conexões na rede 10.0.0.0 e nao o inverso.

isso fará com que sua segurança seja um pouco maior....

bom silplificando ficaria +- assim ...

f360c4
(usa CentOS)

Enviado em 27/01/2011 - 15:49h

eu entendi. vou tentar fazer dessa forma o problema é que eu não sei se vai funcionar porque querendo ou não vai estar atras de NAT é tudo plataforma IP que ta rodando nesses server.

j4p0n3g0
(usa Debian)

Enviado em 27/01/2011 - 16:24h

funcionará sem problemas pois quando os pacotes forem direcionados para dentro de sua dmz, o ip de destino será alterado ( ip valido para 10.0.0.x ) e quando os pacotes sairem o endereço de origem será alterado ( seu ip interno para seu ip valido ). Desta forma o ip do cliente não será alterado em nenhum momento, assim permitindo a comunicação.

Muitas empresas utilizam apenas um unico ip valido para disponibilizar varios serviços (smtp,pop,http,https) e todos fazem desta forma.