ESCOLA SENAI SUIO-BRASILEIRA PAULO ERNESTO TOLLE
SRD | GNS com VLAN + IPTABLES com SNAT e DNAT
CURSO TCNICO DE REDES DE COMPUTADORES
NOTAS DE AULAS
COMP. CURRICULAR: SRD
GNS3 Firewall(iptables) SNAT e DNAT + VLANProfessor Herbert Borges
ESCOLA SENAI SUIO-BRASILEIRA PAULO ERNESTO TOLLE
SRD | GNS com VLAN + IPTABLES com SNAT e DNAT
GNS3 Firewall (iptables)
SNAT e DNAT + VLAN
ESCOLA SENAI SUIO-BRASILEIRA PAULO ERNESTO TOLLE
SRD | GNS com VLAN + IPTABLES com SNAT e DNAT
Proximo Slide Topologia
ESCOLA SENAI SUIO-BRASILEIRA PAULO ERNESTO TOLLE
SRD | GNS com VLAN + IPTABLES com SNAT e DNAT
ETH0
DHCP
VLAN 10 VLAN 20
172.16.100.254/24 172.17.100.254/24
1
2
3
ETH2
172.20.100.254/24
ETH0
172.20.100.1/24
Gw 172.20.100.254
172.16.100.1/24
Gw 172.16.100.254
172.17.100.1/24
Gw 172.17.100.254
ETH1
ESCOLA SENAI SUIO-BRASILEIRA PAULO ERNESTO TOLLE
SRD | GNS com VLAN + IPTABLES com SNAT e DNAT
No Firewall voc precisa adicionar 3 placas de rede
- Para isso voc deve clicar com o boto direito no firewall que esta dentro do
GNS3 e selecionar configurao.
- Depois clique em network e em Adapters digite 3... Que sero as 3 placas de
rede.
ESCOLA SENAI SUIO-BRASILEIRA PAULO ERNESTO TOLLE
SRD | GNS com VLAN + IPTABLES com SNAT e DNAT
Vamos alterar o nome da maquina
Vamos Reiniciar a maquina para aplicar a alterao
Vamos verificar quantas interfaces de rede tem o nosso Firewall
Vamos ver a verso do Debian
ESCOLA SENAI SUIO-BRASILEIRA PAULO ERNESTO TOLLE
SRD | GNS com VLAN + IPTABLES com SNAT e DNAT
Vamos configurar a placa de rede
WAN
DMZ-INTERNA
DMZ-EXTERNA
ESCOLA SENAI SUIO-BRASILEIRA PAULO ERNESTO TOLLE
SRD | GNS com VLAN + IPTABLES com SNAT e DNAT
Vamos reiniciar a placa de rede para aplicar as alteraes feitas no arquivo
Vamos verificar o se as placas de rede ETH1 e ETH2 esto com os IPs
ESCOLA SENAI SUIO-BRASILEIRA PAULO ERNESTO TOLLE
SRD | GNS com VLAN + IPTABLES com SNAT e DNAT
Descomente a linha 28 que vem comentada conforme a figura abaixo... Para
habilitar o roteamento
Para aplicar as alteraes feitas no sysctl.conf
ESCOLA SENAI SUIO-BRASILEIRA PAULO ERNESTO TOLLE
SRD | GNS com VLAN + IPTABLES com SNAT e DNAT
Vamos configurar o repositrio para instalao de programas no Debian
Vamos atualizar a lista de programas disponveis para instalao
ESCOLA SENAI SUIO-BRASILEIRA PAULO ERNESTO TOLLE
SRD | GNS com VLAN + IPTABLES com SNAT e DNAT
Repare que no temos regras para a tabela NAT
Vamos adicionar a regra que vai fazer o SNAT ou seja SOURCE NAT
ESCOLA SENAI SUIO-BRASILEIRA PAULO ERNESTO TOLLE
SRD | GNS com VLAN + IPTABLES com SNAT e DNAT
Vamos visualizar a regras da tabela NAT
ESCOLA SENAI SUIO-BRASILEIRA PAULO ERNESTO TOLLE
SRD | GNS com VLAN + IPTABLES com SNAT e DNAT
ESCOLA SENAI SUIO-BRASILEIRA PAULO ERNESTO TOLLE
SRD | GNS com VLAN + IPTABLES com SNAT e DNAT
Veja que o pacote de VLAN no esta instalado
Vamos instalar o pacote de VLAN no firewall
ESCOLA SENAI SUIO-BRASILEIRA PAULO ERNESTO TOLLE
SRD | GNS com VLAN + IPTABLES com SNAT e DNAT
Adicione no final do arquivo 8021q
Veja que o pacote de VLAN foi realmente instalado
Habilitando o mdulo 8021q para ser possvel utilizar o trunk
ESCOLA SENAI SUIO-BRASILEIRA PAULO ERNESTO TOLLE
SRD | GNS com VLAN + IPTABLES com SNAT e DNAT
ESCOLA SENAI SUIO-BRASILEIRA PAULO ERNESTO TOLLE
SRD | GNS com VLAN + IPTABLES com SNAT e DNAT
SUB
INTERFACES
VLAN 10
e
VLAN 20
DMZ
EXTERNA
WAN
ESCOLA SENAI SUIO-BRASILEIRA PAULO ERNESTO TOLLE
SRD | GNS com VLAN + IPTABLES com SNAT e DNAT
Vamos reiniciar a placa de rede para aplicar as alteraes
Repare que a interface Fsica que esta ligado a VLAN no tem IP
ESCOLA SENAI SUIO-BRASILEIRA PAULO ERNESTO TOLLE
SRD | GNS com VLAN + IPTABLES com SNAT e DNAT
Vamos verificar os IPs das interfaces de VLAN10 e VLAN20
ESCOLA SENAI SUIO-BRASILEIRA PAULO ERNESTO TOLLE
SRD | GNS com VLAN + IPTABLES com SNAT e DNAT
Deixar o masquerade automtico
Para isso adicione antes do exit 0 a linha 14 que esta com iptables na figura abaixo:
ESCOLA SENAI SUIO-BRASILEIRA PAULO ERNESTO TOLLE
SRD | GNS com VLAN + IPTABLES com SNAT e DNAT
Repare que a tabela NAT onde feito o MASQUERADE j fica ativo aps reiniciar o
firewall
ESCOLA SENAI SUIO-BRASILEIRA PAULO ERNESTO TOLLE
SRD | GNS com VLAN + IPTABLES com SNAT e DNAT
Configure as VLANs 10 e 20 no switch
ESCOLA SENAI SUIO-BRASILEIRA PAULO ERNESTO TOLLE
SRD | GNS com VLAN + IPTABLES com SNAT e DNAT
No Cliente Windows 7 Profissional
ESCOLA SENAI SUIO-BRASILEIRA PAULO ERNESTO TOLLE
SRD | GNS com VLAN + IPTABLES com SNAT e DNAT
Vamos desabilitar o firewall do Windows 7
ESCOLA SENAI SUIO-BRASILEIRA PAULO ERNESTO TOLLE
SRD | GNS com VLAN + IPTABLES com SNAT e DNAT
Vamos configurar IP no Windows 7
ESCOLA SENAI SUIO-BRASILEIRA PAULO ERNESTO TOLLE
SRD | GNS com VLAN + IPTABLES com SNAT e DNAT
Repare que a partir de agora o cliente Windows 7 consegui pingar outras redes
em outras VLANs
VLAN 10
VLAN 20
ESCOLA SENAI SUIO-BRASILEIRA PAULO ERNESTO TOLLE
SRD | GNS com VLAN + IPTABLES com SNAT e DNAT
Vamos pingar o uol.com.br
ESCOLA SENAI SUIO-BRASILEIRA PAULO ERNESTO TOLLE
SRD | GNS com VLAN + IPTABLES com SNAT e DNAT
No DMZ-INTERNA LINUX Jessie
ESCOLA SENAI SUIO-BRASILEIRA PAULO ERNESTO TOLLE
SRD | GNS com VLAN + IPTABLES com SNAT e DNAT
Vamos configurar o nome da maquina servio DMZ INTERNA
ESCOLA SENAI SUIO-BRASILEIRA PAULO ERNESTO TOLLE
SRD | GNS com VLAN + IPTABLES com SNAT e DNAT
ESCOLA SENAI SUIO-BRASILEIRA PAULO ERNESTO TOLLE
SRD | GNS com VLAN + IPTABLES com SNAT e DNAT
Vamos ver se a interface ETH0 pegou IP
Vamos pingar o IP do cliente Windows 7 e com isso testar roteamento e
comunicao entre VLANs
ESCOLA SENAI SUIO-BRASILEIRA PAULO ERNESTO TOLLE
SRD | GNS com VLAN + IPTABLES com SNAT e DNAT
Vamos pingar o IP do UOL e com isso testar roteamento e SNAT MASQUERADE
ESCOLA SENAI SUIO-BRASILEIRA PAULO ERNESTO TOLLE
SRD | GNS com VLAN + IPTABLES com SNAT e DNAT
Vamos configurar mais uma nuvem
ESCOLA SENAI SUIO-BRASILEIRA PAULO ERNESTO TOLLE
SRD | GNS com VLAN + IPTABLES com SNAT e DNAT
No esquea de deixar o Windows 7 externo pegando IP por DHCP
ESCOLA SENAI SUIO-BRASILEIRA PAULO ERNESTO TOLLE
SRD | GNS com VLAN + IPTABLES com SNAT e DNAT
Vamos adicionar mais uma nuvem e fazer a conexo pela nio_gen_eth:ethernet
ESCOLA SENAI SUIO-BRASILEIRA PAULO ERNESTO TOLLE
SRD | GNS com VLAN + IPTABLES com SNAT e DNAT
ESCOLA SENAI SUIO-BRASILEIRA PAULO ERNESTO TOLLE
SRD | GNS com VLAN + IPTABLES com SNAT e DNAT
Repare o endereo IP do Windows 7 externo
Repare o endereo IP de WAN do Firewall que esta na mesma rede do Windows
7 DMZ-externo
ESCOLA SENAI SUIO-BRASILEIRA PAULO ERNESTO TOLLE
SRD | GNS com VLAN + IPTABLES com SNAT e DNAT
Repare que o Windows 7 externo consegue pingar a interface de WAN do Firewall
ESCOLA SENAI SUIO-BRASILEIRA PAULO ERNESTO TOLLE
SRD | GNS com VLAN + IPTABLES com SNAT e DNAT
Vamos configurar o servidor WEB
DMZ-EXTERNA
ESCOLA SENAI SUIO-BRASILEIRA PAULO ERNESTO TOLLE
SRD | GNS com VLAN + IPTABLES com SNAT e DNAT
ESCOLA SENAI SUIO-BRASILEIRA PAULO ERNESTO TOLLE
SRD | GNS com VLAN + IPTABLES com SNAT e DNAT
Veja como esta configurado o nome do servidor WEB da DMZ-EXTERNA
Veja como esta as rotas
pingando o google
ESCOLA SENAI SUIO-BRASILEIRA PAULO ERNESTO TOLLE
SRD | GNS com VLAN + IPTABLES com SNAT e DNAT
Vamos configurar o firewall para fazer o redirecionamento de IP e estamos
mantendo a mesma PORTA
ESCOLA SENAI SUIO-BRASILEIRA PAULO ERNESTO TOLLE
SRD | GNS com VLAN + IPTABLES com SNAT e DNAT
Vamos adicionar essa linha dentro do arquivo /etc/rc.local para automatizar ou
seja caso o firewall seja desligado ele funcione.
ESCOLA SENAI SUIO-BRASILEIRA PAULO ERNESTO TOLLE
SRD | GNS com VLAN + IPTABLES com SNAT e DNAT
Repare que o firewall esta fazendo o redirecionamento de IP
ESCOLA SENAI SUIO-BRASILEIRA PAULO ERNESTO TOLLE
SRD | GNS com VLAN + IPTABLES com SNAT e DNAT
Agora vamos bloquear tudo
(ENTRADA SAIDA - PASSAGEM)(INPUT OUTPUT - FORWARD )
e liberar s o que precisa ser liberadoPorta 80 HTTP TCP Porta 443 HTTPS TCP Porta 53 DNS UDP
ESCOLA SENAI SUIO-BRASILEIRA PAULO ERNESTO TOLLE
SRD | GNS com VLAN + IPTABLES com SNAT e DNAT
Vamos bloquear tudo
Liberar para o cliente navegar na internet
Para isso precisamos liberar a porta 80 tcp para sites comuns http e a porta 443
tcp para sites https...
Precisamos tambm liberar a porta 53 udp para DNS.
ESCOLA SENAI SUIO-BRASILEIRA PAULO ERNESTO TOLLE
SRD | GNS com VLAN + IPTABLES com SNAT e DNAT
Repare que o cliente win7 da rede local esta navegando normalmente
ESCOLA SENAI SUIO-BRASILEIRA PAULO ERNESTO TOLLE
SRD | GNS com VLAN + IPTABLES com SNAT e DNAT
Automatizar para que ao desligar o firewall todas as regras continue funcionando
Alterei aqui pois eu estava
usando d ip e resolvi agora usar o eth0 que a interface de sada.
ESCOLA SENAI SUIO-BRASILEIRA PAULO ERNESTO TOLLE
SRD | GNS com VLAN + IPTABLES com SNAT e DNAT
Vamos reiniciar para verificar se esta tudo ok caso o servidor seja reiniciado
ESCOLA SENAI SUIO-BRASILEIRA PAULO ERNESTO TOLLE
SRD | GNS com VLAN + IPTABLES com SNAT e DNAT
Vamos visualizar as regras da tabela FILTER
ESCOLA SENAI SUIO-BRASILEIRA PAULO ERNESTO TOLLE
SRD | GNS com VLAN + IPTABLES com SNAT e DNAT
Vamos visualizar as regras da tabela NAT
ESCOLA SENAI SUIO-BRASILEIRA PAULO ERNESTO TOLLE
SRD | GNS com VLAN + IPTABLES com SNAT e DNAT
Vou usar o Windows 7 EXTERNO da que fica fora
da empresa para acessar o servio de
EXTRANET que fica da DMZ-EXTERNA abrir o
apache2 na sua pgina padro.
E FUNCIONOU!
ESCOLA SENAI SUIO-BRASILEIRA PAULO ERNESTO TOLLE
SRD | GNS com VLAN + IPTABLES com SNAT e DNAT
Repare que o IP que agora estou usando agora http://10.0.3.179 e nesse mesmo
material eu usei o IP http://10.0.3.89
Por isso que nas regras do firewall eu troquei de d 10.0.3.89 por o eth0
ESCOLA SENAI SUIO-BRASILEIRA PAULO ERNESTO TOLLE
SRD | GNS com VLAN + IPTABLES com SNAT e DNAT
FIM
Funcionou