CentOS 5 - Firewall de Gateway Doméstico Com Servidor DHCP Para Compartilhamento de Conexão

CentOS 5 - Firewall de Gateway Doméstico Com Servidor DHCP Para Compartilhamento de Conexão

Versão 1.0
Autor: Cameron Camp
Última edição: 16 de Jan. de 2008

Se você está tentando configurar uma rede doméstica, provavelmente deseja configurar um computador voltado para o perímetro conectado ao seu modem DSL/Cabo, e então colocar todos os seus computadores atrás dessa caixa de firewall para mantê-los seguros. Este tutorial mostrará como usar uma única conexão externa no computador gateway (usando o firewall Iptables), e uma segunda conexão interna na mesma caixa para que você possa conectar os computadores dentro de sua casa/escritório a ele, e automaticamente dar-lhes IPs quando você os conectar (usando o servidor DHCP). O Iptables pode ser muito complicado, nós apenas configuraremos um firewall básico, você pode adicionar mais segurança depois sem quebrar as coisas. No Linux, existem muitas maneiras de fazer isso, esta é, espero, simples o suficiente e ensinará você o básico. Eu fiz isso em uma caixa CentOS 5, embora funcione em variantes Debian com apenas pequenas modificações. Durante este tutorial, estou logado como root, o que você geralmente NÃO deve fazer, mas torna o tutorial mais simples, mas se você preferir fazer de forma mais segura, adicione “sudo” antes de cada comando e funcionará.

Os computadores dentro do seu escritório também poderão se comunicar entre si, então você pode conectar impressoras, computadores e compartilhar conexões de rede através do switch também. Você também pode configurar coisas em sua caixa de servidor Gateway mais tarde, como um disco de backup de rede para todos os seus computadores usando Samba de forma relativamente simples. Há muita expandibilidade nesta configuração, mas manteremos simples por enquanto.

A primeira coisa a fazer em seu servidor Gateway é configurar e habilitar o Iptables, o firewall padrão que vem com o CentOS. Nós diremos a ele para permitir tráfego de saída da sua interface eth1 para a internet. Você deve adicionar uma entrada no Iptables, salvá-la e reiniciar o Iptables.

iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE  
service iptables save  
service iptables restart

Agora temos que dizer ao kernel para começar a permitir o encaminhamento para que a regra funcione:

echo 1 > /proc/sys/net/ipv4/ip_forward

Isso funcionará apenas até você reiniciar, então vamos torná-lo permanente, usando seu editor de escolha, adicione a seguinte linha ao /etc/sysconfig/network:

FORWARD_IPV4=YES

Agora temos que configurar um servidor DHCP para fornecer os IPs aos computadores dentro da LAN. Fazemos isso instalando o servidor DHCP assim:

yum install dhcp

Por padrão, haverá um arquivo de exemplo do DHCP criado que editaremos e depois substituiremos pelo real:

cd /usr/share/doc/dhcp-whateverversionyouhave/  
vi dhcpd.conf.sample

Você pode cortar/colar o que estou usando, ou apenas editar o seu para atender às suas necessidades. Uma palavra de cautela, sua rede pode ser diferente da minha. Este arquivo dará aos seus computadores internos uma faixa de IPs de 192.168.0.128 a 192.168.0.254 com uma máscara de sub-rede de 255.255.255.0, altere para atender às suas necessidades. Você também terá que fazer as informações de IP corresponderem ao IP estático eth1 mais tarde se você usar seus próprios valores aqui.

ddns-update-style none; # mantenha simples por enquanto
ignore client-updates;  # aqui também
DHCPARGS=eth1;          # diz a ele em qual interface escutar
subnet 192.168.0.0 netmask 255.255.255.0 {
# --- gateway padrão
       option routers                  192.168.0.1;   # gateway na sua interface interna eth1
       option subnet-mask              255.255.255.0; # máscara de sub-rede
       option domain-name              "example.com" # nome de domínio dado ao cliente
       option domain-name-servers      209.242.10.10; # o IP dos servidores de nomes do seu ISP que você está usando
       option time-offset              -18000;        # Horário Padrão do Leste - defina conforme o que você tem
       range 192.168.0.128 192.168.0.254;             # a faixa de IPs que seus clientes receberão
       default-lease-time 21600;                      # quanto tempo os clientes manterão o mesmo IP
       max-lease-time 43200;
       # queremos que o servidor de nomes apareça em um endereço fixo
       host ns {
               next-server ns1.ispserver.net;         # mude para os servidores de nomes do seu ISP
               hardware ethernet 00:09:5B:8E:05:67;   # hardware MAC
               fixed-address 209.242.10.10;           # IP do servidor de nomes do seu ISP
      }
}

Agora faça backup do seu arquivo de configuração dhcp atual e copie o que você acabou de criar sobre ele:

mv /etc/dhcpd.conf /etc/dhcpd.conf.old  
cp dhcpd.conf.sample /etc/dhcpd.conf

Agora reiniciamos o servidor DHCP (após verificar a configuração em busca de erros, se houver erros, você os encontrará listados em /var/log/messages) para que as alterações tenham efeito

service dhcpd configtest  
service dhcpd restart

Agora temos que configurar a interface eth1 (interna) para corresponder ao que acabamos de fazer no servidor DHCP, então edite o arquivo /etc/sysconfig/network-scripts/ifcfg-eth1 para que fique assim:

DEVICE=eth1
BOOTPROTO=static
ONBOOT=yes
IPADDR=192.168.0.1
NETMASK=255.255.255.0
GATEWAY=10.1.10.43

Você terá que editar pelo menos o IP do GATEWAY, que é apenas o IP da minha interface eth0, mude para o que for o seu IP eth0, que você pode descobrir executando:

ifconfig

Deve dizer algo como: eth0 inet addr:10.1.10.43, esse é o que você quer.

Em seguida, você deve dizer ao seu computador para escutar o pedido de DHCP que vem pela rede interna. Quando um computador cliente vai procurar um endereço DHCP, ele envia um sinal para qualquer um que escute com um IP de 255.255.255.255, então você deve dizer ao seu servidor DHCP para escutar esse IP:

route add -host 255.255.255.255 dev eth1

Agora testamos a configuração. Você deve ser capaz de ir a um dos computadores clientes, conectá-lo ao switch onde seu gateway está conectado (no meu caso, um switch barato da Netgear de $30 modelo FS608) e ele deve encontrar um IP usando seu novo servidor DHCP, e você deve ser capaz de navegar na internet.

Você também deve configurar seu firewall para bloquear mais coisas do que fizemos neste tutorial para manter seus computadores internos seguros, o que você pode fazer usando a ferramenta de configuração executando:

setup

para dizer ao firewall o que bloquear. Uma regra geral é bloquear tudo e depois apenas permitir o que você precisa, mas você pode ler sobre isso em outros lugares em profundidade assustadora, se escolher.