próximo acima anterior sumário índice
Next: Configuração de placas de Up: BRIDGINGbridge mais firewall!bridge!software Previous: Endereços de rede bridge   Sumário   Índice Remissivo


Roteamento de Redebridge mais firewall!rede!roteamento

Aqui é onde tem que ser descritas as "armadilhas" do esquema Bridge + Firewall: não se pode proteger pacotes que não estiverem sendo roteados, ou seja sem rotas não há proteção. Pelo menos isto parece ser verdadeiro no kernel 2.0.30 e nos mais recentes. Os filtros de proteção estão muito envolvidos com o código de reenvio de ip.

Isto não significa que não se pode ter uma Bridge. Pode-se ter uma Bridge entre duas placas e um firewall em uma terceira. Pode-se ter somente duas placas e proteger ambas de IPs externos, como um roteador, desde que o roteamento seja realizado por uma das placas.

Em outras palavras, para uso do firewall é necessário controlar precisamente o destino físico de alguns pacotes.

Em uma pequena rede de máquinas ligadas a um hub através da interface eth0, a configuração poderia ser a seguinte:


\begin{tscreen} \begin{verbatim}route add -net 192.168.2.128 netmask 255.255.255.128 dev eth0\end{verbatim}\end{tscreen}

O 128 poderia ser igual a 0 caso se estivesse utilizando uma classe C inteira. Neste caso, por definição, o espaço foi dividido ao meio. O parâmetro "dev eth0" não é necessário aqui porque os endereços de placas estão enquadrados dentro da máscara, mas ele pode ser necessário em outras situações. Pode ser necessária mais de um placa nesta subrede (127 máquinas em um segmento é um número relativamente elevado), sendo que estas placas funcionariam como uma Bridge sob a mesma máscara de rede, parecendo serem um dispositivo único para o código de roteamento.

Na outra placa há uma conexão indo diretamente para um grande roteador confiável: 

                                             cliente 129
         _                                        |    _ 
client 1  \    .0                     .128        |   /   net 1
client 2 -- Hub - eth0 - Kernel - eth1 - Hub - Router -- net 2
client 3 _/       .100            .228         .2 |   \_ net 3
                                                  |
                                             cliente 254

Define-se o endereço do roteador para esta placa através de uma rota fixa ("static") porque, de outro modo, ele poderia cair dentro da faixa de endereços da primeira máscara e o kernel, erroneamente, enviaria os pacotes para o roteador. Ainda, pode-se querer proteger estes pacotes e essa é outra razão para querer roteá-los desta forma.


\begin{tscreen} \begin{verbatim}route add 192.168.2.2 dev eth1\end{verbatim}\end{tscreen}

Caso se tenha mais máquinas na segunda metade do espaço de endereços, deve-se declarar uma rede também na segunda placa. Separando as interfaces dentro de duas configurações via roteamento permitirá fazer eventualmente proteções mais adequadas.


\begin{tscreen} \begin{verbatim}route add -net 192.168.2.128 netmask 255.255.255.128 dev eth1\end{verbatim}\end{tscreen}

Deve-se ainda indicar ao kernel para enviar para o roteador todos os pacotes não endereçados à rede local.


\begin{tscreen} \begin{verbatim}route add default gw 192.168.2.2\end{verbatim}\end{tscreen}

próximo acima anterior sumário índice
Next: Configuração de placas de Up: BRIDGINGbridge mais firewall!bridge!software Previous: Endereços de rede bridge   Sumário   Índice Remissivo
Cyro Mendes de Moraes Neto 1999-12-30