Mudanças entre as edições de "Manual da Bridge"

De Instituto de Física - UFRGS
(Organização)
 
(10 revisões intermediárias por 2 usuários não estão sendo mostradas)
Linha 6: Linha 6:
 
* Hostname: fenix2.if.ufrgs.br
 
* Hostname: fenix2.if.ufrgs.br
 
* IP: 143.54.196.17
 
* IP: 143.54.196.17
 +
 +
==Organização==
 +
<center>[[Arquivo:BRIDGES.jpeg]]</center>
  
 
== Configurando a Rede ==
 
== Configurando a Rede ==
Linha 11: Linha 14:
 
* Para levantar e derrubar a interface de rede sem levantar a interface de bridge utilize:
 
* Para levantar e derrubar a interface de rede sem levantar a interface de bridge utilize:
 
  /etc/init.d/network.up.sh (start|stop)
 
  /etc/init.d/network.up.sh (start|stop)
 +
  
 
== Ativando e Desativando a interface de Bridge ==
 
== Ativando e Desativando a interface de Bridge ==
Linha 16: Linha 20:
 
* Para levantar e derrubar a interface de bridge utilize:
 
* Para levantar e derrubar a interface de bridge utilize:
 
  /etc/init.d/bridgeup (start|stop)
 
  /etc/init.d/bridgeup (start|stop)
 +
  
 
== Firewall ==
 
== Firewall ==
Linha 23: Linha 28:
 
  '''Arquivo de Configuração:''' /root/firewall.up/RULES.UP.conf
 
  '''Arquivo de Configuração:''' /root/firewall.up/RULES.UP.conf
 
  [[Cópia do Arquivo de Configurção]]
 
  [[Cópia do Arquivo de Configurção]]
 +
  
 
=== Definir regras para cada IP ===
 
=== Definir regras para cada IP ===
Linha 44: Linha 50:
 
  fi
 
  fi
 
no script e pronto.
 
no script e pronto.
 +
  
 
=== Liberando todo o tráfego de rede que passa pela bridge ===
 
=== Liberando todo o tráfego de rede que passa pela bridge ===
Linha 51: Linha 58:
 
e defina as opções como estão no "quadro" abaixo
 
e defina as opções como estão no "quadro" abaixo
 
  controlipmac off
 
  controlipmac off
 +
bloqueio_de_ips off
 
  definir_regras_por_ip nao
 
  definir_regras_por_ip nao
 +
 
em seguida execute o comando abaixo para recarregar as regras de firewall
 
em seguida execute o comando abaixo para recarregar as regras de firewall
 
  rules.up.sh -restart
 
  rules.up.sh -restart
  
 
* '''Observe que desta maneira todo o tráfego de rede é liberado pela bridge e passa sem nenhuma restrição. Mas as regras que protegem a bridge continuam ativas.'''
 
* '''Observe que desta maneira todo o tráfego de rede é liberado pela bridge e passa sem nenhuma restrição. Mas as regras que protegem a bridge continuam ativas.'''
 +
 +
 +
=== Bloqueio de IPs ===
 +
Para que um IP seja bloqueado ele deve ser inserido na lista de IPs bloqueados em
 +
/root/firewall.up/iptables.conf.make/ips.bloqueados.list
 +
e o bloqueio de IPs deve ser ativado, para isto a opção "bloqueio_de_ips" em "/root/firewall.up/RULES.UP.conf" deve ser ativada
 +
bloqueio_de_ips on
 +
agora é preciso recarregar as regras de firewall desta maneira
 +
rules.up.sh -restart
 +
Pronto os IPs da lista de IPs bloqueados serão bloqueados pela bridge e a porta 80 dos IPs bloqueados será redirecionada para a página de notificação de bloqueio hospedada na própria bridge.
 +
 +
 +
==== Opções de bloqueio de IPs ====
 +
* Bloquear tráfego de um IP para outro IP.<br>
 +
Na lista de IPs bloqueados inserir o "-s IP_origem -d IP_destino" em uma linha.<br>
 +
Ex 1.: Para bloquear todo o tráfego do IP 192.168.0.110 destinado ao IP 192.168.0.111:
 +
-s 192.168.0.110 -d 192.168.0.111
 +
Ex 2.: Para bloquear toto o tráfego entre os IPs 192.168.0.110 e 192.168.0.111:
 +
-s 192.168.0.110 -d 192.168.0.111
 +
-s 192.168.0.111 -d 192.168.0.110
 +
 +
* Bloquear todo o tráfego de um IP.<br>
 +
Na lista de IPs bloqueados inserir o IP sozinho em uma linha.<br>
 +
Ex.: Para bloquear todo o tráfego do IP 192.168.0.110:
 +
192.168.0.110
 +
 +
* Bloquear todo o tráfego de um MAC address.<br>
 +
Na lista de IPs bloqueados inserir o MAC sozinho em uma linha.<br>
 +
Ex.: Para bloquear todo o tráfego do MAC 00:2C:33:44:E1:F5:
 +
00:2C:33:44:E1:F5
 +
 +
* Bloquear tráfego para um IP e MAC "amarrados". <br>
 +
Na lista de IPs bloqueados inserir IP e MAC em uma linha. <br>
 +
Ex.: Para bloquear todo o tráfego IP 192.168.0.110 com MAC 00:2C:33:44:E1:F5:
 +
192.168.0.110 00:2C:33:44:E1:F5
 +
 +
=== QoS ===
 +
Para ativar o QoS na bridge edite o arquivo de configuração "RULES.UP.conf" e defina a opção assim como no quadro abaixo
 +
divisao_banda_e_prioridade_de_traego on
 +
em seguida recarregue as regras de firewall utilizando
 +
rules.up.sh -restart
 +
* O processo utilizado envolve o IPTABLES + HTB.<br>
 +
Primeiramente os pacotes são marcados com seu nível de prioridade via iptables.<br>
 +
Posteriormente são criadas as regras e definições de largura de banda disponível para cada nível de prioridade. <br>
 +
Veja a [[Cópia do script de QoS]].
  
 
== Sistema de Bridge de Apoio ==
 
== Sistema de Bridge de Apoio ==
Linha 61: Linha 115:
 
Há um script rodando a cada 2 minutos nas bridges fenix e fenix2, ele se chama "bridge.check.sh" localizado em "/etc/init.d/". <br>
 
Há um script rodando a cada 2 minutos nas bridges fenix e fenix2, ele se chama "bridge.check.sh" localizado em "/etc/init.d/". <br>
 
A função deste script é verificar se outra bridge responde a ping e se sua interface de bridge está levantada. <br>
 
A função deste script é verificar se outra bridge responde a ping e se sua interface de bridge está levantada. <br>
Caso ocorra algum problema com a bridge que estava ativa o script envia um e-mail de aviso para as pessoas da lista e levanta a interface de bridge utilizando o comando "/etc/init.d/bridgeup start". <br>
+
Caso ocorra algum problema com a bridge que estava ativa o script envia um e-mail de aviso para as pessoas da lista e levanta a interface de bridge da bridge de apoio utilizando o comando "/etc/init.d/bridgeup start". <br>
 
A lista de pessoas que recebem o e-mail de notificação de falha da bridge e o IP da bridge a ser acompanhada pelo script devem ser definidos no próprio script em "/etc/init.d/bridge.check.sh".
 
A lista de pessoas que recebem o e-mail de notificação de falha da bridge e o IP da bridge a ser acompanhada pelo script devem ser definidos no próprio script em "/etc/init.d/bridge.check.sh".

Edição atual tal como às 11h43min de 29 de julho de 2011

As Bridges

Bridge Principal:

  • Hostname: fenix.if.ufrgs.br
  • IP: 143.54.196.15

Bridge de Apoio:

  • Hostname: fenix2.if.ufrgs.br
  • IP: 143.54.196.17

Organização

BRIDGES.jpeg

Configurando a Rede

  • Para levantar e derrubar a interface de rede sem levantar a interface de bridge utilize:
/etc/init.d/network.up.sh (start|stop)


Ativando e Desativando a interface de Bridge

  • Para levantar e derrubar a interface de bridge utilize:
/etc/init.d/bridgeup (start|stop)


Firewall

  • É altamente recomendável que todas as operações de firewall sejam realizadas utilizando o comando "rules.up.sh".
Script de Firewall: /usr/bin/rules.up.sh e /root/firewall.up/rules.up.sh
Arquivo de Configuração: /root/firewall.up/RULES.UP.conf
Cópia do Arquivo de Configurção


Definir regras para cada IP

O script localizado em

/root/firewall.up/iptables.conf.make/regras_por_ip.sh
Cópia do Script regras_por_ip.sh

é o responsável por adicionar as regras de firewall para cada IP.
Nele é possível adicionar regras para quando o controle IP:MAC estiver ativado ou desativado.

  • Para que as regras sejam definidas para cada IP é preciso editar o arquivo de configuração "RULES.UP.conf" em "/root/firewall.up/RULES.UP.conf" e definir a opção "definir_regras_por_ip" como abaixo
definir_regras_por_ip sim
  • Este script (regras_por_ip.sh) utiliza variáveis pré-definidas e portanto ao editá-lo é possível fazer com que ele:
Adicionar regras comuns para todos os IPs.
Adicionar regras para IPs específicos.
  • As variáveis pré-definidas que são recebidas pelo "regras_por_ip.sh"
ip = IP
mac = MAC vinculado ao IP
controlipmac = (on/off) Informa se o Controle de IP MAC está ativado ou desativado
  • Para adicionar regras para um IP específico basta basta utilizar um
if [ "$ip" = "IP que deve receber a regra" ]; then
"Sua Regra Aqui"
fi

no script e pronto.


Liberando todo o tráfego de rede que passa pela bridge

Primeiro, edite o arquivo de configuração

/root/firewall.up/RULES.UP.conf

e defina as opções como estão no "quadro" abaixo

controlipmac off
bloqueio_de_ips off
definir_regras_por_ip nao

em seguida execute o comando abaixo para recarregar as regras de firewall

rules.up.sh -restart
  • Observe que desta maneira todo o tráfego de rede é liberado pela bridge e passa sem nenhuma restrição. Mas as regras que protegem a bridge continuam ativas.


Bloqueio de IPs

Para que um IP seja bloqueado ele deve ser inserido na lista de IPs bloqueados em

/root/firewall.up/iptables.conf.make/ips.bloqueados.list

e o bloqueio de IPs deve ser ativado, para isto a opção "bloqueio_de_ips" em "/root/firewall.up/RULES.UP.conf" deve ser ativada

bloqueio_de_ips on

agora é preciso recarregar as regras de firewall desta maneira

rules.up.sh -restart

Pronto os IPs da lista de IPs bloqueados serão bloqueados pela bridge e a porta 80 dos IPs bloqueados será redirecionada para a página de notificação de bloqueio hospedada na própria bridge.


Opções de bloqueio de IPs

  • Bloquear tráfego de um IP para outro IP.

Na lista de IPs bloqueados inserir o "-s IP_origem -d IP_destino" em uma linha.
Ex 1.: Para bloquear todo o tráfego do IP 192.168.0.110 destinado ao IP 192.168.0.111:

-s 192.168.0.110 -d 192.168.0.111

Ex 2.: Para bloquear toto o tráfego entre os IPs 192.168.0.110 e 192.168.0.111:

-s 192.168.0.110 -d 192.168.0.111
-s 192.168.0.111 -d 192.168.0.110
  • Bloquear todo o tráfego de um IP.

Na lista de IPs bloqueados inserir o IP sozinho em uma linha.
Ex.: Para bloquear todo o tráfego do IP 192.168.0.110:

192.168.0.110
  • Bloquear todo o tráfego de um MAC address.

Na lista de IPs bloqueados inserir o MAC sozinho em uma linha.
Ex.: Para bloquear todo o tráfego do MAC 00:2C:33:44:E1:F5:

00:2C:33:44:E1:F5
  • Bloquear tráfego para um IP e MAC "amarrados".

Na lista de IPs bloqueados inserir IP e MAC em uma linha.
Ex.: Para bloquear todo o tráfego IP 192.168.0.110 com MAC 00:2C:33:44:E1:F5:

192.168.0.110 00:2C:33:44:E1:F5

QoS

Para ativar o QoS na bridge edite o arquivo de configuração "RULES.UP.conf" e defina a opção assim como no quadro abaixo

divisao_banda_e_prioridade_de_traego on

em seguida recarregue as regras de firewall utilizando

rules.up.sh -restart
  • O processo utilizado envolve o IPTABLES + HTB.

Primeiramente os pacotes são marcados com seu nível de prioridade via iptables.
Posteriormente são criadas as regras e definições de largura de banda disponível para cada nível de prioridade.
Veja a Cópia do script de QoS.

Sistema de Bridge de Apoio

Há um script rodando a cada 2 minutos nas bridges fenix e fenix2, ele se chama "bridge.check.sh" localizado em "/etc/init.d/".
A função deste script é verificar se outra bridge responde a ping e se sua interface de bridge está levantada.
Caso ocorra algum problema com a bridge que estava ativa o script envia um e-mail de aviso para as pessoas da lista e levanta a interface de bridge da bridge de apoio utilizando o comando "/etc/init.d/bridgeup start".
A lista de pessoas que recebem o e-mail de notificação de falha da bridge e o IP da bridge a ser acompanhada pelo script devem ser definidos no próprio script em "/etc/init.d/bridge.check.sh".