Tema: Firewall
Ver Mensaje Individual
  #1 (permalink)  
Antiguo 26/11/2015, 02:16
davidbvega
 
Fecha de Ingreso: noviembre-2015
Mensajes: 8
Antigüedad: 9 años
Puntos: 0
Firewall

Hola buenas! no es la primera vez que me paso por forosdelweb pero si la primera que escribo.
Les comento mi situacion:
Tengo que montar un servidor que haga de firewall dhcp y proxy.
De momento he conseguido hacer funcionar el dhcp, me da IPs por dos interfaces del servidor (tiene 3).
El equipo que tengo es el servidor firewall (ubuntu server), router de fibra de telefonica y un switch VLan TP-Link tl sg108E.
El esquema es este:


Router IP - 192.168.1.1
p2p1 IP - 192.168.1.2
p4p1 IP - 192.168.2.1
p4p2 IP - 192.168.3.1

El dhcp me da ips a p4p1 y p4p2 y lo hace correctamente.

/etc/network/interfaces
auto p2p1
iface p2p1 inet static
address 192.168.1.2
netmask 255.255.255.0
gateway 192.168.1.1

#Salida a LAN
auto p4p1
iface p4p1 inet static
address 192.168.2.1
netmask 255.255.255.0

#Salida WiFi
auto p4p2
iface p4p2 inet static
address 192.168.3.1
netmask 255.255.255.0

iptables
Chain INPUT (policy ACCEPT)
target prot opt source destination

Chain FORWARD (policy ACCEPT)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

route
Tabla de rutas IP del núcleo
Destino Pasarela Genmask Indic Métric Ref Uso Interfaz
0.0.0.0 192.168.1.1 0.0.0.0 UG 0 0 0 p2p1
192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 p2p1
192.168.2.0 0.0.0.0 255.255.255.0 U 0 0 0 p4p1
192.168.3.0 0.0.0.0 255.255.255.0 U 0 0 0 p4p2

Configuracion del switch


/proc/sys/net/ipv4/ip_forward
1

La idea es:
Desde el rack haya salida a internet y no vea a los equipos WiFi.
Los dispositivos WiFi salgan a internet pero no vean los equipos del rack.
El servidor actue como proxy y bloquear ciertas paginas (esto si se hacerlo).
El firewall con politicas de DROP e ir permitiendo conexiones.
Servidor de DHCP (Funciona).

La cosa es que desde el rack puedo ver todas las interfaces del firewall, pero no salir a internet, desde los puntos de acceso es igual. Desde el firewall puedo hacer ping a cualquier equipo y a internet (IP y nombre)

No se si estara claro lo que me hace falta
Gracias y un saludo

Última edición por davidbvega; 26/11/2015 a las 02:37