Roteador Linux com firewall, squid e intrusão

1. Roteador Linux com firewall, squid e intrusão

Adriano
DR1CO

(usa Outra)

Enviado em 19/10/2020 - 16:52h

Olá, sou meio iniciante, se eu falar besteira peço perdão.

A empresa possui 2 links de internet, sendo 1 deles dedicado. O que preciso fazer é configurar um roteador linux que vai receber essas 2 internets, e sair como uma só para o switch.

ETH0 - Saída para o switch(INTEGRADO Placa Mãe)
ETH1 - Provedor de internet 1(PLACA pci)
ETH2 - Provedor de internet 2(PLACA pci)

Ele deve possuir todos os meios de proteção que puder proteger o ambiente firewall(dicas serão bem vindas), não encontrei um artigo completo do inicio ao fim, apenas configurando 1 roteador com 1 internet. No meu caso pouca diferença, mas importante!

Nisso vou deixar configurado como Loadbalance(e failover no caso tbm).

Pretendo fazer a proteção antes de jogar rede nele, e assim fechar qualquer possibilidade de intrusão.

Os protocolos https serão passado apenas por 1 internet (a dedicada), mas o que não utiliza esse protocolo será pelo balanceamento, deixarei uma porta aberta para acesso externo no outro servidor que possui na empresa.

Está tudo nas mãos e o chefe está me apertando pra fazer isso logo, pois dei minha palavra e agora está encima.


  


2. Re: Roteador Linux com firewall, squid e intrusão

Adriano
DR1CO

(usa Outra)

Enviado em 19/10/2020 - 16:58h

DR1CO escreveu:

Olá, sou meio iniciante, se eu falar besteira peço perdão.

A empresa possui 2 links de internet, sendo 1 deles dedicado. O que preciso fazer é configurar um roteador linux que vai receber essas 2 internets, e sair como uma só para o switch.

ETH0 - Saída para o switch(INTEGRADO Placa Mãe)
ETH1 - Provedor de internet 1(PLACA pci)
ETH2 - Provedor de internet 2(PLACA pci)

Ele deve possuir todos os meios de proteção que puder proteger o ambiente firewall(dicas serão bem vindas), não encontrei um artigo completo do inicio ao fim, apenas configurando 1 roteador com 1 internet. No meu caso pouca diferença, mas importante!

Nisso vou deixar configurado como Loadbalance(e failover no caso tbm).

Pretendo fazer a proteção antes de jogar rede nele, e assim fechar qualquer possibilidade de intrusão.

Os protocolos https serão passado apenas por 1 internet (a dedicada), mas o que não utiliza esse protocolo será pelo balanceamento, deixarei uma porta aberta para acesso externo no outro servidor que possui na empresa.

Está tudo nas mãos e o chefe está me apertando pra fazer isso logo, pois dei minha palavra e agora está encima.


O outro servidor utilizo Debian 10 buster, então gostaria de unificar a linguagem pra me facilitar uma manutenção futura.



3. Re: Roteador Linux com firewall, squid e intrusão

Marcelo Oliver
msoliver

(usa Debian)

Enviado em 20/10/2020 - 03:01h

Veja o material desse link:
https://servidordebian.org/pt/start
Muito bom!!!


______________________________________________________________________
Devido a muitas perguntas, segue esclarecimento:
O comando: lynx --dump goo.gl/a9KeFc|sed -nr '/^[ ]+Se/,/dou.$/p',
faz parte da minha assinatura.
O qual, "filtra" a página: "https://www.vivaolinux.com.br/termos-de-uso/",
Mostrando o seguinte:
Se você sanou sua dúvida ou resolveu um problema a partir de um
tópico criado, é extremamente recomendável que acesse o tópico e
marque-o como "RESOLVIDO". E mais recomendável ainda que você eleja
como melhor resposta a que mais lhe ajudou.

______________________________________________________________________
Importante: lynx --dump goo.gl/a9KeFc|sed -nr '/^[ ]+Se/,/dou.$/p'
Att.: Marcelo Oliver
______________________________________________________________________


4. Re: Roteador Linux com firewall, squid e intrusão

Adriano
DR1CO

(usa Outra)

Enviado em 20/10/2020 - 08:52h

msoliver escreveu:

Veja o material desse link:
https://servidordebian.org/pt/start
Muito bom!!!


______________________________________________________________________
Devido a muitas perguntas, segue esclarecimento:
O comando: lynx --dump goo.gl/a9KeFc|sed -nr '/^[ ]+Se/,/dou.$/p',
faz parte da minha assinatura.
O qual, "filtra" a página: "https://www.vivaolinux.com.br/termos-de-uso/",
Mostrando o seguinte:
Se você sanou sua dúvida ou resolveu um problema a partir de um
tópico criado, é extremamente recomendável que acesse o tópico e
marque-o como "RESOLVIDO". E mais recomendável ainda que você eleja
como melhor resposta a que mais lhe ajudou.

______________________________________________________________________
Importante: lynx --dump goo.gl/a9KeFc|sed -nr '/^[ ]+Se/,/dou.$/p'
Att.: Marcelo Oliver
______________________________________________________________________


Obrigado pelo retorno, o que me enviou foi o manual do debian, e lá não contém as informações que preciso (pelo menos não encontrei).
Tem de Proteção e já adianta um pouco, porém vou pesquisar mais sobre excessão para acesso e a configuração específica.


5. Re: Roteador Linux com firewall, squid e intrusão

Adriano
DR1CO

(usa Outra)

Enviado em 05/11/2020 - 15:49h

Ola eu de novo ...kkkk

Então, segui o manual no passo 2.1.4 para integração das 2 redes, porém parece que a outra interface está "dormindo" quando vou configurar o LB.

Quando mando o "ip a" ele me mostra todas interfaces porém só pega IP na interface que defini padrão na instalação so SO.

$ ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet 127.0.0.1/8 scope host lo
valid_lft forever preferred_lft forever
inet6 ::1/128 scope host
valid_lft forever preferred_lft forever
2: enp1s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
link/ether 00:e0:53:43:5a:1b brd ff:ff:ff:ff:ff:ff
3: enp2s0: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 qdisc pfifo_fast state DOWN group default qlen 1000
link/ether 00:e0:53:36:1e:a7 brd ff:ff:ff:ff:ff:ff
4: enp4s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UP group default qlen 1000
link/ether 00:15:58:df:93:24 brd ff:ff:ff:ff:ff:ff
inet 192.168.0.101/24 brd 192.168.0.255 scope global dynamic noprefixroute enp4s0
valid_lft 5252sec preferred_lft 5252sec
inet6 fe80::4b9:5cd9:1edf:7fdf/64 scope link noprefixroute
valid_lft forever preferred_lft forever

Nisso quando faço a configuração da interface balanceada bond(conforme manual), o pc fica sem internet.

A sensação é de que a outra não esta ativada, já mandei "ip link show" pra ver se ligava essa outra interface e nada, if up também, e nada.
Meu interfaces está configurado assim quando não funciona(sim, eu comentei as config de lb pra voltar a ter pelo menos 1 rede funcionando para ar

# This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).

source /etc/network/interfaces.d/*

# The loopback network interface
auto lo
iface lo inet loopback


# Interface bonding
# Static IP address
# auto bond0
# iface bond0 inet static
# slaves enp4s0 enp2s0
# bond-mode balance-rr
# bond-miimon 100
# bond_downdelay 200
# bond_uplay 200
#
# address 192.168.0.2
# netmask 255.255.255.0
# network 192.168.0.1
# broadcast 192.168.0.255
# gateway 102.168.0.1

As duas redes estão com ip padrão das operadoras(192.168.0.1)

Outra coisa que não encontrei seria a configuração do IP de saída, gostaria de deixar no padrão 10.0.0.1


6. Re: Roteador Linux com firewall, squid e intrusão

leandro peçanha scardua
leandropscardua

(usa Ubuntu)

Enviado em 05/11/2020 - 18:01h

DR1CO escreveu:

Ola eu de novo ...kkkk

Então, segui o manual no passo 2.1.4 para integração das 2 redes, porém parece que a outra interface está "dormindo" quando vou configurar o LB.

Quando mando o "ip a" ele me mostra todas interfaces porém só pega IP na interface que defini padrão na instalação so SO.

$ ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet 127.0.0.1/8 scope host lo
valid_lft forever preferred_lft forever
inet6 ::1/128 scope host
valid_lft forever preferred_lft forever
2: enp1s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
link/ether 00:e0:53:43:5a:1b brd ff:ff:ff:ff:ff:ff
3: enp2s0: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 qdisc pfifo_fast state DOWN group default qlen 1000
link/ether 00:e0:53:36:1e:a7 brd ff:ff:ff:ff:ff:ff
4: enp4s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UP group default qlen 1000
link/ether 00:15:58:df:93:24 brd ff:ff:ff:ff:ff:ff
inet 192.168.0.101/24 brd 192.168.0.255 scope global dynamic noprefixroute enp4s0
valid_lft 5252sec preferred_lft 5252sec
inet6 fe80::4b9:5cd9:1edf:7fdf/64 scope link noprefixroute
valid_lft forever preferred_lft forever

Nisso quando faço a configuração da interface balanceada bond(conforme manual), o pc fica sem internet.

A sensação é de que a outra não esta ativada, já mandei "ip link show" pra ver se ligava essa outra interface e nada, if up também, e nada.
Meu interfaces está configurado assim quando não funciona(sim, eu comentei as config de lb pra voltar a ter pelo menos 1 rede funcionando para ar

# This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).

source /etc/network/interfaces.d/*

# The loopback network interface
auto lo
iface lo inet loopback


# Interface bonding
# Static IP address
# auto bond0
# iface bond0 inet static
# slaves enp4s0 enp2s0
# bond-mode balance-rr
# bond-miimon 100
# bond_downdelay 200
# bond_uplay 200
#
# address 192.168.0.2
# netmask 255.255.255.0
# network 192.168.0.1
# broadcast 192.168.0.255
# gateway 102.168.0.1

As duas redes estão com ip padrão das operadoras(192.168.0.1)

Outra coisa que não encontrei seria a configuração do IP de saída, gostaria de deixar no padrão 10.0.0.1

Coloque um dos ip da operadora p 192.168.1.1 e teste cada interface
sudo ifconfig enp1s0 192.168.0.5 up
sudo ifconfig enp2s0 192.168.1.5 up


7. Re: Roteador Linux com firewall, squid e intrusão

Adriano
DR1CO

(usa Outra)

Enviado em 06/11/2020 - 12:26h

Outra coisa que não encontrei seria a configuração do IP de saída, gostaria de deixar no padrão 10.0.0.1

Coloque um dos ip da operadora p 192.168.1.1 e teste cada interface
sudo ifconfig enp1s0 192.168.0.5 up
sudo ifconfig enp2s0 192.168.1.5 up[/quote]

Blz, fiz isso, só que quado apliquei o pc ficou sem internet. Reiniciei e voltou ao "normal" apenas 1 interface, enp4s0 online apenas.

$ ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet 127.0.0.1/8 scope host lo
valid_lft forever preferred_lft forever
inet6 ::1/128 scope host
valid_lft forever preferred_lft forever
2: enp1s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
link/ether 00:e0:53:43:5a:1b brd ff:ff:ff:ff:ff:ff
3: enp4s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UP group default qlen 1000
link/ether 00:15:58:df:93:24 brd ff:ff:ff:ff:ff:ff
inet 192.168.0.101/24 brd 192.168.0.255 scope global dynamic noprefixroute enp4s0
valid_lft 6955sec preferred_lft 6955sec
inet6 fe80::4b9:5cd9:1edf:7fdf/64 scope link noprefixroute
valid_lft forever preferred_lft forever
4: enp2s0: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 qdisc pfifo_fast state DOWN group default qlen 1000
link/ether 00:e0:53:36:1e:a7 brd ff:ff:ff:ff:ff:ff