Results 1 to 10 of 10
  1. #1
    Newbie
    Join Date
    Jun 2009
    Posts
    7

    Default Regras de Firewall

    Olá,

    Estou utilizando o untangle 7.01 e até agora tem sido de grande ajuda.
    Porém estou com uma certa dificuldade em estabelecer algumas regras de iptables. Confesso que meu conhecimento em linux ainda ainda é limitado, mas consigo me sair razoavelmente bem.

    O meu cenário é o seguinte, tenho uma grande rede espalhada por todo o estado, interligada por circuitos fornecidos pela oi.

    Essa rede utiliza duas faixas de ip lan 192.168.0.0/24 e 192.169.0.0/24 e as interfaces wan desses circuitos estão todas configuradas dentro da rede 30.69.0.0/16. Todos esses circuitos convergem para para o ip 192.168.185.1 que é a lan do meu untangle.

    No firewall antigo, que pretendo substituir pelo untangle, existia a seguinte regra de iptable:

    iptables -A INPUT -i eth0 -s (ip externo) -d (ip externo) -j ACCEPT
    iptables -A OUTPUT -o eth0 -d (ip externo) -s (ip externo) -j ACCEPT

    iptables -A INPUT -i eth1 -s 30.0.0.0/8 -d 192.168.185.1 -j ACCEPT
    iptables -A OUTPUT -o eth1 -d 30.0.0.0/8 -s 192.168.185.1 -j ACCEPT

    iptables -A INPUT -i eth1 -s 192.0.0.0/8 -d 172.168.185.1 -j ACCEPT
    iptables -A OUTPUT -o eth1 -d 192.0.0.0/8 -s 172.168.185.1 -j ACCEPT

    Após instalar o untangle ele funcionou perfeitamente, porém só a rede 192.168.0.0 é que consegue navegar, todos os circuitos que estão na rede 192.169.0.0 não conseguem navegar.

    Já tentei transportar essas regras para o firewall do untangle mas acho que não estou entendo como fazer.

    Como eu devo proceder?

  2. #2
    Master Untangler
    Join Date
    Aug 2008
    Location
    Brazil (Sao Paulo)
    Posts
    483

    Default

    Pelo que entendi seu problema está na tabela de roteamento.
    Caso não exista uma rota no UT para o gateway da rede 192.169.0.0, é certo que os pacotes provenientes desta rede serão descartados por não existir uma rota definida.

    Você pode adiconar uma rota estática em Networking > Advanced > Routes

    Em tempo estou considerando que o gateway das estações 192.169 tem a devida rota para a rede 192.168

  3. #3
    Newbie
    Join Date
    Jun 2009
    Posts
    7

    Default

    Não sei se estou confundindo, mas o gateway da rede 192.169.0.0 é o UT.
    Pelo que me foi informado pela Oi, todos os circuitos convergem para um concetrador deles que encaminha tudo para o ip 192.168.185.1. Que é o IP do UT.

    Na verdade nem consigo pingar do ip UT em qualquer circuito que esteja na rede 192.0.0.0.

    Que me sugerem?
    Last edited by vulmarjunior; 11-24-2009 at 09:21 PM.

  4. #4
    Master Untangler
    Join Date
    Aug 2008
    Location
    Brazil (Sao Paulo)
    Posts
    483

    Default

    Você consegue mandar um diagrama? Ajuda.

    Ja checou a tabela de rotas no seu firewall atual?

  5. #5
    Newbie
    Join Date
    Jun 2009
    Posts
    7

    Default

    Diagrama? da rede?

    Bem se for isso vou tentar fazer um diagrama aqui.

    A rede é formada por várias escolas e setores interligados por circuitos fornecidos pela Oi. Cada circuito tem uma faixa própria de ip, alguns estão na rede 192.168.0.0/24 e outros estão na rede 192.169.0.0/24.
    Todos eles convergem para um concentrador da Oi, que repassa todas as requisições para o ip 192.168.185.1 que é firewall e gateway da rede.
    No meu firewall atual, a tabela de roteamento estão como apresentada abaixo.
    Nas regras do iptables consta as regras que coloquei acima.
    Quando coloco o untangle como gateway, apenas a rede 192.168.0.0 consegue se comunicar com ele.
    A rede 192.169.0.0. não consegue contato.
    Imaginei que estivesse faltando regras que permitissem o tráfego entre estas redes.
    Tentei repassar as regras que tenho no firewall atual, mas creio que não consegui ter sucesso.

    Minha tabela de roteamento do firewall atual está assim:

    Destination Gateway Genmask Flags Metric Ref Use Iface
    200.100.66.96 0.0.0.0 255.255.255.240 U 0 0 0 eth0
    192.168.185.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1
    0.0.0.0 200.100.66.97 0.0.0.0 UG 100 0 0 eth0


    As regras que permitem a comunicação entre as redes:

    iptables -A INPUT -i lo -s 127.0.0.0/8 -d 127.0.0.0/8 -j ACCEPT
    iptables -A OUTPUT -o lo -s 127.0.0.0/8 -d 127.0.0.0/8 -j ACCEPT

    iptables -A INPUT -i eth0 -s 200.100.66.110 -d 200.100.66.110 -j ACCEPT
    iptables -A OUTPUT -o eth0 -d 200.100.66.110 -s 200.100.66.110 -j ACCEPT

    iptables -A INPUT -i eth1 -s 40.0.0.0/8 -d 192.168.185.1 -j ACCEPT
    iptables -A OUTPUT -o eth1 -d 40.0.0.0/8 -s 192.168.185.1 -j ACCEPT

    iptables -A INPUT -i eth1 -s 192.0.0.0/8 -d 192.168.185.1 -j ACCEPT
    iptables -A OUTPUT -o eth1 -d 192.0.0.0/8 -s 192.168.185.1 -j ACCEPT

    Eth1 é a interface conectada a rede interna (192.0.0.0)
    Eth0 é a interface conectada a rede externa (web)

    A rede 40.0.0.0 é a interface wan dos circuitos da Oi.

    Espero que tenha me explicado melhor.

    Gostaria muito de usar o untangle como gateway, pois ele melhorou conisederavelmente a velocidade das conexões.

    Conto com a ajuda de vocês.

  6. #6
    Master Untangler
    Join Date
    Aug 2008
    Location
    Brazil (Sao Paulo)
    Posts
    483

    Default

    Se alguém mais se candidatar, caso eu esteja dizendo alguma bobagem, seria bom.

    Vulmar, a mim parece que deu-se um jeito da coisa funcionar como está.....
    Vejamos, pela tabela de rotas você tem 192.168.185.0/24
    Ainda as redes 192.168.0.0/24 e 192.169.0.0/24
    E por fim no IPTABLES você tem 192.0.0.0/8 (aqui deu-se um jeito)

    Não tem nada de errado você querer segmentar a sua rede como um todo, no meu entender pra funcionar com o UT, seria preciso você reavaliar sua rede e passar a trabalhar com a Classe de Endereços adequada, que no teu caso deveria ser Classe B, inclusive alterando o IP do concentrador da OI.

    Quando tudo estiver na Classe de Rede adequada pode estar certo que vai funconar na primeira.

    Tenho situação semelhante a tua, com circuítos Embratel atendendo Lojas, e funciona tudo muito bem.

    Dá uma olhada aqui, pode te ajudar http://www.subnet-calculator.com/subnet.php?net_class=B

  7. #7
    Newbie
    Join Date
    Jun 2009
    Posts
    7

    Default

    jzero, desculpe a demora em dar o resultado.

    Não sei exatamente se segui seu conselho, mas ele me deu uma idéia que funcionou.
    Eu ampliei a máscara de rede pra 255.0.0.0 e a outra rede passou a comunicar tranquilamente.

    Valeu pela ajuda.

    Agora só mais uma pergunta.

    Existe no untangle um modo de visualizar as navegações em tempo real, tipo o tail -f /var/log/squid/access.log que se faz no squid?
    Eu consigo ver os bloqueios em tempo real, mas não achei um modo de visualizar a navegação.

  8. #8
    Master Untangler
    Join Date
    Aug 2008
    Location
    Brazil (Sao Paulo)
    Posts
    483

    Default

    Vulmar,

    É não foi uma solução das mais elegantes, mas funcionou.
    Compreendo seu pouco conhecimento em Linux, mas teu problema nada tem a ver com Linux e sim com Conceitos de Rede, se me permite, dispense uma parte do tempo para se aprofundar mais no conceito, vai te ajudar a prevenir graves acidentes.

    No Log do WebFilter tem uma opção All Http Traffic

  9. #9
    Newbie
    Join Date
    Jun 2009
    Posts
    7

    Default

    Valeu pela ajuda, sei que não foi a solução mais elegante, e estou estudando mais sobre redes, com mais calma para fazer da melhor forma.
    Mas de qualquer forma muito obrigado pela ajuda.

  10. #10
    Untangler
    Join Date
    Jan 2008
    Posts
    57

    Default

    "Existe no untangle um modo de visualizar as navegações em tempo real, tipo o tail -f /var/log/squid/access.log que se faz no squid?
    Eu consigo ver os bloqueios em tempo real, mas não achei um modo de visualizar a navegação."

    Oi Vulmar,

    se no webfilter você colocar para registrar todas as categorias, sem bloquear o que você não quiser, você poderá ver o que está sendo acessado em tempo real, mas dependendo da quantidade de estações e do tráfego é meio complicado, outra é que vai aumentar o ter relatório.

    Andre

Tags for this Thread

Posting Permissions

  • You may not post new threads
  • You may not post replies
  • You may not post attachments
  • You may not edit your posts
  •  

SEO by vBSEO 3.6.0 PL2