GNS3 - Debian Iptables Firewall v3

ESCOLA SENAI SUIO-BRASILEIRA PAULO ERNESTO TOLLE

SRD | GNS com VLAN + IPTABLES com SNAT e DNAT

CURSO TCNICO DE REDES DE COMPUTADORES

NOTAS DE AULAS

COMP. CURRICULAR: SRD

GNS3 Firewall(iptables) SNAT e DNAT + VLANProfessor Herbert Borges



GNS3 Firewall (iptables)

SNAT e DNAT + VLAN



Proximo Slide Topologia



ETH0

DHCP

VLAN 10 VLAN 20

172.16.100.254/24 172.17.100.254/24

1

2

3

ETH2

172.20.100.254/24

ETH0

172.20.100.1/24

Gw 172.20.100.254

172.16.100.1/24

Gw 172.16.100.254

172.17.100.1/24

Gw 172.17.100.254

ETH1



No Firewall voc precisa adicionar 3 placas de rede

- Para isso voc deve clicar com o boto direito no firewall que esta dentro do

GNS3 e selecionar configurao.

- Depois clique em network e em Adapters digite 3... Que sero as 3 placas de

rede.



Vamos alterar o nome da maquina

Vamos Reiniciar a maquina para aplicar a alterao

Vamos verificar quantas interfaces de rede tem o nosso Firewall

Vamos ver a verso do Debian



Vamos configurar a placa de rede

WAN

DMZ-INTERNA

DMZ-EXTERNA



Vamos reiniciar a placa de rede para aplicar as alteraes feitas no arquivo

Vamos verificar o se as placas de rede ETH1 e ETH2 esto com os IPs



Descomente a linha 28 que vem comentada conforme a figura abaixo... Para

habilitar o roteamento

Para aplicar as alteraes feitas no sysctl.conf



Vamos configurar o repositrio para instalao de programas no Debian

Vamos atualizar a lista de programas disponveis para instalao



Repare que no temos regras para a tabela NAT

Vamos adicionar a regra que vai fazer o SNAT ou seja SOURCE NAT



Vamos visualizar a regras da tabela NAT



Veja que o pacote de VLAN no esta instalado

Vamos instalar o pacote de VLAN no firewall



Adicione no final do arquivo 8021q

Veja que o pacote de VLAN foi realmente instalado

Habilitando o mdulo 8021q para ser possvel utilizar o trunk



SUB

INTERFACES

VLAN 10

e

VLAN 20

DMZ

EXTERNA

WAN



Vamos reiniciar a placa de rede para aplicar as alteraes

Repare que a interface Fsica que esta ligado a VLAN no tem IP



Vamos verificar os IPs das interfaces de VLAN10 e VLAN20



Deixar o masquerade automtico

Para isso adicione antes do exit 0 a linha 14 que esta com iptables na figura abaixo:



Repare que a tabela NAT onde feito o MASQUERADE j fica ativo aps reiniciar o

firewall



Configure as VLANs 10 e 20 no switch



No Cliente Windows 7 Profissional



Vamos desabilitar o firewall do Windows 7



Vamos configurar IP no Windows 7



Repare que a partir de agora o cliente Windows 7 consegui pingar outras redes

em outras VLANs

VLAN 10

VLAN 20



Vamos pingar o uol.com.br



No DMZ-INTERNA LINUX Jessie



Vamos configurar o nome da maquina servio DMZ INTERNA



Vamos ver se a interface ETH0 pegou IP

Vamos pingar o IP do cliente Windows 7 e com isso testar roteamento e

comunicao entre VLANs



Vamos pingar o IP do UOL e com isso testar roteamento e SNAT MASQUERADE



Vamos configurar mais uma nuvem



No esquea de deixar o Windows 7 externo pegando IP por DHCP



Vamos adicionar mais uma nuvem e fazer a conexo pela nio_gen_eth:ethernet



Repare o endereo IP do Windows 7 externo

Repare o endereo IP de WAN do Firewall que esta na mesma rede do Windows

7 DMZ-externo



Repare que o Windows 7 externo consegue pingar a interface de WAN do Firewall



Vamos configurar o servidor WEB

DMZ-EXTERNA



Veja como esta configurado o nome do servidor WEB da DMZ-EXTERNA

Veja como esta as rotas

pingando o google



Vamos configurar o firewall para fazer o redirecionamento de IP e estamos

mantendo a mesma PORTA



Vamos adicionar essa linha dentro do arquivo /etc/rc.local para automatizar ou

seja caso o firewall seja desligado ele funcione.



Repare que o firewall esta fazendo o redirecionamento de IP



Agora vamos bloquear tudo

(ENTRADA SAIDA - PASSAGEM)(INPUT OUTPUT - FORWARD )

e liberar s o que precisa ser liberadoPorta 80 HTTP TCP Porta 443 HTTPS TCP Porta 53 DNS UDP



Vamos bloquear tudo

Liberar para o cliente navegar na internet

Para isso precisamos liberar a porta 80 tcp para sites comuns http e a porta 443

tcp para sites https...

Precisamos tambm liberar a porta 53 udp para DNS.



Repare que o cliente win7 da rede local esta navegando normalmente



Automatizar para que ao desligar o firewall todas as regras continue funcionando

Alterei aqui pois eu estava

usando d ip e resolvi agora usar o eth0 que a interface de sada.



Vamos reiniciar para verificar se esta tudo ok caso o servidor seja reiniciado



Vamos visualizar as regras da tabela FILTER



Vamos visualizar as regras da tabela NAT



Vou usar o Windows 7 EXTERNO da que fica fora

da empresa para acessar o servio de

EXTRANET que fica da DMZ-EXTERNA abrir o

apache2 na sua pgina padro.

E FUNCIONOU!



Repare que o IP que agora estou usando agora http://10.0.3.179 e nesse mesmo

material eu usei o IP http://10.0.3.89

Por isso que nas regras do firewall eu troquei de d 10.0.3.89 por o eth0



FIM

Funcionou

GNS3 - Debian Iptables Firewall v3

Documents

Transcript of GNS3 - Debian Iptables Firewall v3