Restringindo acesso com o Iptables...

removido
(usa Nenhuma)

Enviado em 23/05/2006 - 15:08h

Olá pessoal. tenho um tarefa (poderia chamar até de missão, rsrs ) para executar aqui na empresa, não sou formado na área, mas pesquisei muito sobre o assunto e estou procurando me aprofundar ainda mais... Mas para isso peço a ajuda de vocês colegas para que tudo possa dar certo aqui...

Primeiro vou explicar a situação atual na empresa...

- Atualmente todos os micros estão na mesma rede 192.168.0.10 à 192.168.0.38 (29 máquinas no total) e por isso estamos tendo muitos problemas de acessos indevidos e de segurança (vírus, spywares, etc)
- O compartilhamento da Internet é feito via proxy... com uma máquina recebendo link da banda larga (1Mbps) conectado a um hub utilizando o windows XP... :(


Agora lá vai o cenário que pretendo implementar...

->> A empresa possui atualmente 4 departamentos, vamos chamá-los de departamentos 1, 2, 3 e 4, então dividi a rede da seguinte forma:
Depto1: 192.168.1.21 até 192.168.1.40 (20 máquinas) (REDE_DEPTO1)
Depto2: 192.168.2.21 até 192.168.2.23 (3 máquinas) (REDE_DEPTO2)
Depto3: 192.168.3.21 até 192.168.3.22 (2 máquinas) (REDE_DEPTO3)
Depto3: 192.168.4.21 até 192.168.4.24 (4 máquinas) (REDE_DEPTO4)

- >> Irei trocar o XP pelo Linux no servidor (Kurumin 5.1), onde utilizarei duas placas de rede, sendo uma para receber o cabo da Internet (eth0) e a outra (eth1) irá conectar-se ao hub da rede interna.

->> Criarei as regras do CBQ para cada estação, mas deixemos esta questão para outra discussão... ;)

Outras Observações...

- Para todos os micros coloquei a máscara de sub rede: 255.255.255.0
- Quero que todos os departamentos se comuniquem entre si, porém nenhum departamento deverá “enxergar” os demais micros dos outros departamentos
- Todos os departamentos deverão acessar a Internet através de um servidor com linux utilizando duas placas de rede (eth0 p/ link Internet e eth1 para o hub da rede interna)
- Vou utilizar as regras do Iptables como firewall e compartilhar a Internet

Meu script do Iptables até agora está assim:
=========================
#Compartilhando a Internet
modprobe iptable_nat
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
echo 1 > /proc/sys/net/ipv4/ip_forward

#Proteção contra Syn-floods
iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT

#Port scanners ocultos
iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT

#Proteção cntra Ping da morte
iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT

#Habilitando conexões vindas da rede local (Toda a rede!)
iptables -A INPUT -p tcp --syn -s 192.168.1.0/255.255.255.0 -j ACCEPT
iptables -A INPUT -p tcp --syn -s 192.168.2.0/255.255.255.0 -j ACCEPT
iptables -A INPUT -p tcp --syn -s 192.168.3.0/255.255.255.0 -j ACCEPT
iptables -A INPUT -p tcp --syn -s 192.168.4.0/255.255.255.0 -j ACCEPT
========================

Então lá vão minhas dúvidas..

1) Este esquema lógico da rede está correto?
2) Meu script Iptables está correto?
3) Quais regras devo colocar no Iptables para não permitir acesso à Internet das máquinas: 192.168.5.38, 192.168.5.36, 192.168.7.22 por exemplo?
4) Tenho que adicionar rotas (route add) no meu servidor Linux??



Bom é isso aí galera, a minha chance de errar (e corrigir é claro) é agora já que todo o esquema ainda está no papel...

Antecipadamente agradeço pela colaboração de todos!

Mau_Humorado
(usa Suse)

Enviado em 04/08/2006 - 10:38h

não tem sentido esse esquema de rede que voce quer usar, se os departamentos se comunicam, consequentemente se "enxergam".
para funcionar esse esquema que quer usar, o idela seria um gateway/firewall por departamento e eles se conectam ao gateway de borda.
seu script de firewall não ta legal, usar um firewall default accept não é um bom negocio, pois voce tem que criar regras não muito funcionais de um monte de bloqueios, como a que voce fez para "scanners ocultos".
Voce pode fazer o seguinte:
Use uma unica classe de rede para todos os micros
Ou um gateway por departamento;
Diga sua necessidade dos serviços de firewall que fica mais facil chegarmos a um bom script de firewall.

melphos
(usa Debian)

Enviado em 22/08/2006 - 16:57h

Acho que o amigo quiz dizer nesta frase:
"... Quero que todos os departamentos se comuniquem entre si, porém nenhum departamento deverá “enxergar” os demais micros dos outros departamentos ..."

Que ele quer os os micros do departamento 1, se exerguem normalmente, e os micros do departamento 2 exerguem apenas os micros do departamento 2. Sendo que os departamentos não irão se enxergar. É isso que você quer ? Ou estou errado ? :-)

Se for isso, o esquema de rede que está montando até poderia funcionar se o cabeamento e o "hub" ( ????) estiver separado, porque se não seria fácil eu mudar minhas configurações de rede e entrar na rede do departamento 2, sendo que eu sou do departamento 1.

Mas se mudar de segmento a sua rede, tipo dividir os departamentos, ou terá que fazer o que o amigo disse, 1 gateway para cada departamento, ou uma placa de rede para cada departamento no seu firewall.

Qualquer dúvida,
Ivan Santos ( melphos@gmail.com )