Você está na página 1de 54

SRD | GNS com VLAN + IPTABLES com SNAT e DNAT

CURSO TCNICO DE REDES DE COMPUTADORES

NOTAS DE AULAS

COMP. CURRICULAR: SRD


GNS3 Firewall(iptables) SNAT e DNAT + VLAN
Professor Herbert Borges
ESCOLA SENAI SUIO-BRASILEIRA PAULO ERNESTO TOLLE

SRD | GNS com VLAN + IPTABLES com SNAT e DNAT

GNS3 Firewall (iptables)


SNAT e DNAT + VLAN

ESCOLA SENAI SUIO-BRASILEIRA PAULO ERNESTO TOLLE

SRD | GNS com VLAN + IPTABLES com SNAT e DNAT

Proximo Slide Topologia

ESCOLA SENAI SUIO-BRASILEIRA PAULO ERNESTO TOLLE

SRD | GNS com VLAN + IPTABLES com SNAT e DNAT

ETH0
172.20.100.1/24
Gw 172.20.100.254

ETH2
172.20.100.254/24

ETH0
DHCP

ETH1
VLAN 10
172.16.100.254/24

VLAN 20
172.17.100.254/24

1
2
3

172.16.100.1/24
Gw 172.16.100.254

172.17.100.1/24
Gw 172.17.100.254

ESCOLA SENAI SUIO-BRASILEIRA PAULO ERNESTO TOLLE

SRD | GNS com VLAN + IPTABLES com SNAT e DNAT

No Firewall voc precisa adicionar 3 placas de rede


- Para isso voc deve clicar com o boto direito no firewall que esta dentro do
GNS3 e selecionar configurao.
- Depois clique em network e em Adapters digite 3... Que sero as 3 placas de
rede.

ESCOLA SENAI SUIO-BRASILEIRA PAULO ERNESTO TOLLE

SRD | GNS com VLAN + IPTABLES com SNAT e DNAT

Vamos alterar o nome da maquina

Vamos Reiniciar a maquina para aplicar a alterao

Vamos ver a verso do Debian

Vamos verificar quantas interfaces de rede tem o nosso Firewall

ESCOLA SENAI SUIO-BRASILEIRA PAULO ERNESTO TOLLE

SRD | GNS com VLAN + IPTABLES com SNAT e DNAT

Vamos configurar a placa de rede

WAN

DMZ-INTERNA

DMZ-EXTERNA

ESCOLA SENAI SUIO-BRASILEIRA PAULO ERNESTO TOLLE

SRD | GNS com VLAN + IPTABLES com SNAT e DNAT


Vamos reiniciar a placa de rede para aplicar as alteraes feitas no arquivo

Vamos verificar o se as placas de rede ETH1 e ETH2 esto com os IPs

ESCOLA SENAI SUIO-BRASILEIRA PAULO ERNESTO TOLLE

SRD | GNS com VLAN + IPTABLES com SNAT e DNAT

Descomente a linha 28 que vem comentada conforme a figura abaixo... Para


habilitar o roteamento

Para aplicar as alteraes feitas no sysctl.conf

ESCOLA SENAI SUIO-BRASILEIRA PAULO ERNESTO TOLLE

SRD | GNS com VLAN + IPTABLES com SNAT e DNAT

Vamos configurar o repositrio para instalao de programas no Debian

Vamos atualizar a lista de programas disponveis para instalao

ESCOLA SENAI SUIO-BRASILEIRA PAULO ERNESTO TOLLE

SRD | GNS com VLAN + IPTABLES com SNAT e DNAT

Repare que no temos regras para a tabela NAT

Vamos adicionar a regra que vai fazer o SNAT ou seja SOURCE NAT

ESCOLA SENAI SUIO-BRASILEIRA PAULO ERNESTO TOLLE

SRD | GNS com VLAN + IPTABLES com SNAT e DNAT

Vamos visualizar a regras da tabela NAT

ESCOLA SENAI SUIO-BRASILEIRA PAULO ERNESTO TOLLE

SRD | GNS com VLAN + IPTABLES com SNAT e DNAT

ESCOLA SENAI SUIO-BRASILEIRA PAULO ERNESTO TOLLE

SRD | GNS com VLAN + IPTABLES com SNAT e DNAT


Veja que o pacote de VLAN no esta instalado

Vamos instalar o pacote de VLAN no firewall

ESCOLA SENAI SUIO-BRASILEIRA PAULO ERNESTO TOLLE

SRD | GNS com VLAN + IPTABLES com SNAT e DNAT


Veja que o pacote de VLAN foi realmente instalado

Habilitando o mdulo 8021q para ser possvel utilizar o trunk

Adicione no final do arquivo 8021q

ESCOLA SENAI SUIO-BRASILEIRA PAULO ERNESTO TOLLE

SRD | GNS com VLAN + IPTABLES com SNAT e DNAT

ESCOLA SENAI SUIO-BRASILEIRA PAULO ERNESTO TOLLE

SRD | GNS com VLAN + IPTABLES com SNAT e DNAT

WAN
SUB
INTERFACES
VLAN 10
e
VLAN 20

DMZ
EXTERNA
ESCOLA SENAI SUIO-BRASILEIRA PAULO ERNESTO TOLLE

SRD | GNS com VLAN + IPTABLES com SNAT e DNAT

Vamos reiniciar a placa de rede para aplicar as alteraes

Repare que a interface Fsica que esta ligado a VLAN no tem IP

ESCOLA SENAI SUIO-BRASILEIRA PAULO ERNESTO TOLLE

SRD | GNS com VLAN + IPTABLES com SNAT e DNAT

Vamos verificar os IPs das interfaces de VLAN10 e VLAN20

ESCOLA SENAI SUIO-BRASILEIRA PAULO ERNESTO TOLLE

SRD | GNS com VLAN + IPTABLES com SNAT e DNAT

Deixar o masquerade automtico


Para isso adicione antes do exit 0 a linha 14 que esta com iptables na figura abaixo:

ESCOLA SENAI SUIO-BRASILEIRA PAULO ERNESTO TOLLE

SRD | GNS com VLAN + IPTABLES com SNAT e DNAT

Repare que a tabela NAT onde feito o MASQUERADE j fica ativo aps reiniciar o
firewall

ESCOLA SENAI SUIO-BRASILEIRA PAULO ERNESTO TOLLE

SRD | GNS com VLAN + IPTABLES com SNAT e DNAT

Configure as VLANs 10 e 20 no switch

ESCOLA SENAI SUIO-BRASILEIRA PAULO ERNESTO TOLLE

SRD | GNS com VLAN + IPTABLES com SNAT e DNAT

No Cliente Windows 7 Profissional

ESCOLA SENAI SUIO-BRASILEIRA PAULO ERNESTO TOLLE

SRD | GNS com VLAN + IPTABLES com SNAT e DNAT

Vamos desabilitar o firewall do Windows 7

ESCOLA SENAI SUIO-BRASILEIRA PAULO ERNESTO TOLLE

SRD | GNS com VLAN + IPTABLES com SNAT e DNAT

Vamos configurar IP no Windows 7

ESCOLA SENAI SUIO-BRASILEIRA PAULO ERNESTO TOLLE

SRD | GNS com VLAN + IPTABLES com SNAT e DNAT


Repare que a partir de agora o cliente Windows 7 consegui pingar outras redes
em outras VLANs
VLAN 10

VLAN 20

ESCOLA SENAI SUIO-BRASILEIRA PAULO ERNESTO TOLLE

SRD | GNS com VLAN + IPTABLES com SNAT e DNAT

Vamos pingar o uol.com.br

ESCOLA SENAI SUIO-BRASILEIRA PAULO ERNESTO TOLLE

SRD | GNS com VLAN + IPTABLES com SNAT e DNAT

No DMZ-INTERNA LINUX Jessie

ESCOLA SENAI SUIO-BRASILEIRA PAULO ERNESTO TOLLE

SRD | GNS com VLAN + IPTABLES com SNAT e DNAT

Vamos configurar o nome da maquina servio DMZ INTERNA

ESCOLA SENAI SUIO-BRASILEIRA PAULO ERNESTO TOLLE

SRD | GNS com VLAN + IPTABLES com SNAT e DNAT

ESCOLA SENAI SUIO-BRASILEIRA PAULO ERNESTO TOLLE

SRD | GNS com VLAN + IPTABLES com SNAT e DNAT

Vamos ver se a interface ETH0 pegou IP

Vamos pingar o IP do cliente Windows 7 e com isso testar roteamento e


comunicao entre VLANs

ESCOLA SENAI SUIO-BRASILEIRA PAULO ERNESTO TOLLE

SRD | GNS com VLAN + IPTABLES com SNAT e DNAT


Vamos pingar o IP do UOL e com isso testar roteamento e SNAT MASQUERADE

ESCOLA SENAI SUIO-BRASILEIRA PAULO ERNESTO TOLLE

SRD | GNS com VLAN + IPTABLES com SNAT e DNAT

Vamos configurar mais uma nuvem

ESCOLA SENAI SUIO-BRASILEIRA PAULO ERNESTO TOLLE

SRD | GNS com VLAN + IPTABLES com SNAT e DNAT

No esquea de deixar o Windows 7 externo pegando IP por DHCP

ESCOLA SENAI SUIO-BRASILEIRA PAULO ERNESTO TOLLE

SRD | GNS com VLAN + IPTABLES com SNAT e DNAT

Vamos adicionar mais uma nuvem e fazer a conexo pela nio_gen_eth:ethernet

ESCOLA SENAI SUIO-BRASILEIRA PAULO ERNESTO TOLLE

SRD | GNS com VLAN + IPTABLES com SNAT e DNAT

ESCOLA SENAI SUIO-BRASILEIRA PAULO ERNESTO TOLLE

SRD | GNS com VLAN + IPTABLES com SNAT e DNAT


Repare o endereo IP de WAN do Firewall que esta na mesma rede do Windows
7 DMZ-externo

Repare o endereo IP do Windows 7 externo

ESCOLA SENAI SUIO-BRASILEIRA PAULO ERNESTO TOLLE

SRD | GNS com VLAN + IPTABLES com SNAT e DNAT

Repare que o Windows 7 externo consegue pingar a interface de WAN do Firewall

ESCOLA SENAI SUIO-BRASILEIRA PAULO ERNESTO TOLLE

SRD | GNS com VLAN + IPTABLES com SNAT e DNAT

Vamos configurar o servidor WEB


DMZ-EXTERNA

ESCOLA SENAI SUIO-BRASILEIRA PAULO ERNESTO TOLLE

SRD | GNS com VLAN + IPTABLES com SNAT e DNAT

ESCOLA SENAI SUIO-BRASILEIRA PAULO ERNESTO TOLLE

SRD | GNS com VLAN + IPTABLES com SNAT e DNAT

Veja como esta configurado o nome do servidor WEB da DMZ-EXTERNA


Veja como esta as rotas

pingando o google

ESCOLA SENAI SUIO-BRASILEIRA PAULO ERNESTO TOLLE

SRD | GNS com VLAN + IPTABLES com SNAT e DNAT

Vamos configurar o firewall para fazer o redirecionamento de IP e estamos


mantendo a mesma PORTA

ESCOLA SENAI SUIO-BRASILEIRA PAULO ERNESTO TOLLE

SRD | GNS com VLAN + IPTABLES com SNAT e DNAT

Vamos adicionar essa linha dentro do arquivo /etc/rc.local para automatizar ou


seja caso o firewall seja desligado ele funcione.

ESCOLA SENAI SUIO-BRASILEIRA PAULO ERNESTO TOLLE

SRD | GNS com VLAN + IPTABLES com SNAT e DNAT

Repare que o firewall esta fazendo o redirecionamento de IP

ESCOLA SENAI SUIO-BRASILEIRA PAULO ERNESTO TOLLE

SRD | GNS com VLAN + IPTABLES com SNAT e DNAT

Agora vamos bloquear tudo


(ENTRADA SAIDA
- PASSAGEM)
(INPUT
OUTPUT - FORWARD )
e liberar s o que precisa ser liberado
Porta 80 HTTP TCP
Porta 443 HTTPS TCP
Porta 53 DNS UDP

ESCOLA SENAI SUIO-BRASILEIRA PAULO ERNESTO TOLLE

SRD | GNS com VLAN + IPTABLES com SNAT e DNAT

Vamos bloquear tudo

Liberar para o cliente navegar na internet


Para isso precisamos liberar a porta 80 tcp para sites comuns http e a porta 443
tcp para sites https...
Precisamos tambm liberar a porta 53 udp para DNS.

ESCOLA SENAI SUIO-BRASILEIRA PAULO ERNESTO TOLLE

SRD | GNS com VLAN + IPTABLES com SNAT e DNAT


Repare que o cliente win7 da rede local esta navegando normalmente

ESCOLA SENAI SUIO-BRASILEIRA PAULO ERNESTO TOLLE

SRD | GNS com VLAN + IPTABLES com SNAT e DNAT


Automatizar para que ao desligar o firewall todas as regras continue funcionando

Alterei aqui pois eu estava


usando d ip e resolvi agora
usar o eth0 que a interface
de sada.

ESCOLA SENAI SUIO-BRASILEIRA PAULO ERNESTO TOLLE

SRD | GNS com VLAN + IPTABLES com SNAT e DNAT

Vamos reiniciar para verificar se esta tudo ok caso o servidor seja reiniciado

ESCOLA SENAI SUIO-BRASILEIRA PAULO ERNESTO TOLLE

SRD | GNS com VLAN + IPTABLES com SNAT e DNAT

Vamos visualizar as regras da tabela FILTER

ESCOLA SENAI SUIO-BRASILEIRA PAULO ERNESTO TOLLE

SRD | GNS com VLAN + IPTABLES com SNAT e DNAT

Vamos visualizar as regras da tabela NAT

ESCOLA SENAI SUIO-BRASILEIRA PAULO ERNESTO TOLLE

SRD | GNS com VLAN + IPTABLES com SNAT e DNAT

Vou usar o Windows 7 EXTERNO da que fica fora


da empresa para acessar o servio de
EXTRANET que fica da DMZ-EXTERNA abrir o
apache2 na sua pgina padro.
E FUNCIONOU!

ESCOLA SENAI SUIO-BRASILEIRA PAULO ERNESTO TOLLE

SRD | GNS com VLAN + IPTABLES com SNAT e DNAT

Repare que o IP que agora estou usando agora http://10.0.3.179 e nesse mesmo
material eu usei o IP http://10.0.3.89
Por isso que nas regras do firewall eu troquei de d 10.0.3.89 por o eth0

ESCOLA SENAI SUIO-BRASILEIRA PAULO ERNESTO TOLLE

SRD | GNS com VLAN + IPTABLES com SNAT e DNAT

Funcionou

FIM
ESCOLA SENAI SUIO-BRASILEIRA PAULO ERNESTO TOLLE