Configuración del firewall de RaptorCache

Publicado por joemg6, Octubre 21, 2015, 10:16:49 PM

Tema anterior - Siguiente tema

joemg6

Configuración del firewall de RaptorCache

Vamos a usar el siguiente esquema para identificar la red Lan de acuerdo a su segmento de red por su clase (CIDR), entonces sería 192.168.1.0/24 si se usa como Máscara de subred 255.255.255.0

Entonces solo remplazamos el segmento que viene por defecto por el que estemos usando y también vefificamos el nombre de nuestra interface de red del servidor Raptor, en este caso es eth0(se puede verificar con el comando "ifconfig"), y nos quedaría como la siguiente imagen


En el caso que tengamos más de un segmento de red, solo agregamos reglas adicionales agregando los segmentos restantes, por ej.


Si se quiere editar manualmente pueden hacerlo en el archivo "etc/raptor/fw.sh"
y quedaría de la siguiente manera
Código (bash) [Seleccionar]

#!/bin/bash
echo ";;;;;;;;;;;;;;;;;;;;;;;"
echo ";     RaptorCache     ;"
echo ";;;;;;;;;;;;;;;;;;;;;;;"

echo 1 > /proc/sys/net/ipv4/ip_forward

iptables -F
iptables -X
iptables -Z
iptables -t nat -F

iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT


iptables -A INPUT -i lo -j ACCEPT #comment#Localhost

# -----------------------------| Redireccion por mangle |----------------------------------
iptables -A INPUT -s 192.168.1.0/24 -j ACCEPT #comment#Input LAN 
iptables  -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128 #comment#Redirect 3128
iptables -A FORWARD -i eth0 -p udp -m udp --dport 80 -j REJECT --reject-with icmp-port-unreachable #comment#Block QUIC
# -----------------------------------------------------------------------------------------



Es recomendable que se use estas reglas aún si se está usando la redirección por NAT.


Si se quiere implementar las reglas de bloqueo QUIC, pueden revisar en el siguiente tema
http://www.alterserv.com/foros/index.php?topic=2097.0
RaptorCache Developer

Valdes

Amigo joemg6

   Cual seria la diferencia entra la Redireccion del NAT y Redireccion por mangle ??

angelsantana

amigo JOEMG no me quedo muy claro esto
# -----------------------------| Redireccion por mangle |----------------------------------
iptables -A INPUT -s 192.168.1.0/24 -j ACCEPT #comment#Input LAN 
iptables  -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128 #comment#Redirect 3128
iptables -A FORWARD -i eth0 -p udp -m udp --dport 80 -j REJECT --reject-with icmp-port-unreachable #comment#Block QUIC

principalmente lo del eth0
segun tengo entendio eht0 es la la salida de los puertos puede ser eth01, eth02, eth03.....
en mi caso estoy usando la ether 4 de nu mikrokit para raptor las ether 5 para mi LAN
iria de este modo mas o menos corrigeme si me equicovo


iptables -A INPUT -s 192.168.10.0/24 -j ACCEPT #comment#Input LAN 
iptables  -t nat -A PREROUTING -i eth05 -p tcp --dport 80 -j REDIRECT --to-port 3128 #comment#Redirect 3128
iptables -A FORWARD -i eth05 -p udp -m udp --dport 80 -j REJECT --reject-with icmp-port-unreachable #comment#Block QUIC

o como seria que no entiendo muy  vien eso de los eth0s que menciona ¿?  ??? ??? ???
el secreto de las soluciones es leer...

joemg6

Cita de: Valdes en Octubre 21, 2015, 11:05:08 PM
Amigo joemg6

   Cual seria la diferencia entra la Redireccion del NAT y Redireccion por mangle ??
La aplicación de una y otra redirección más se acomoda a como uno tiene su infraestructura y su configuración en el Mikrotik, si uno tiene una configuración básica, bastaría con emplear la redirección por NAT.
RaptorCache Developer

joemg6

Cita de: angelsantana en Octubre 21, 2015, 11:11:50 PM
amigo JOEMG no me quedo muy claro esto
# -----------------------------| Redireccion por mangle |----------------------------------
iptables -A INPUT -s 192.168.1.0/24 -j ACCEPT #comment#Input LAN 
iptables  -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128 #comment#Redirect 3128
iptables -A FORWARD -i eth0 -p udp -m udp --dport 80 -j REJECT --reject-with icmp-port-unreachable #comment#Block QUIC

principalmente lo del eth0
segun tengo entendio eht0 es la la salida de los puertos puede ser eth01, eth02, eth03.....
en mi caso estoy usando la ether 4 de nu mikrokit para raptor las ether 5 para mi LAN
iria de este modo mas o menos corrigeme si me equicovo


iptables -A INPUT -s 192.168.10.0/24 -j ACCEPT #comment#Input LAN 
iptables  -t nat -A PREROUTING -i eth05 -p tcp --dport 80 -j REDIRECT --to-port 3128 #comment#Redirect 3128
iptables -A FORWARD -i eth05 -p udp -m udp --dport 80 -j REJECT --reject-with icmp-port-unreachable #comment#Block QUIC

o como seria que no entiendo muy  vien eso de los eth0s que menciona ¿?  ??? ??? ???
La eth0 es la del servidor Raptor y no de las interfaces del Mikrotik, en algunos casos hay más de una interface de red en los servidores por eso no está de más cerciorarse que corresponda.
RaptorCache Developer

angelsantana

Cita de: joemg6 en Octubre 21, 2015, 11:19:13 PM
La eth0 es la del servidor Raptor y no de las interfaces del Mikrotik, en algunos casos hay más de una interface de red en los servidores por eso no está de más cerciorarse que corresponda.
aa yaa veo entonces es la de mi red de raptor entonces lo dejo como esta con eth0 por que, por defecto se pone
auto eth0 bueno es mi caso. saludos amigoo... yy hoy le veo mas activo que el resto de los otros dias mi amigo JOEMG. jajajaj....  :D :D
el secreto de las soluciones es leer...

Valdes

Ok gracias

   la redirecion de 8080 que viene por defecto en firewal ya tendría que esta desabilitado?

joemg6

Cita de: Valdes en Octubre 21, 2015, 11:24:59 PM
Ok gracias

   la redirecion de 8080 que viene por defecto en firewal ya tendría que esta desabilitado?
No es necesario esa redirección solo está como ejemplo.
RaptorCache Developer

Valdes

OK joemg, y si se llegara ir la luz y se apaga el ServerRaptor se tendria que desabilitar la redireccion por mangle como se hacia con la NAT??

joemg6

Cita de: Valdes en Octubre 21, 2015, 11:37:11 PM
OK joemg, y si se llegara ir la luz y se apaga el ServerRaptor se tendria que desabilitar la redireccion por mangle como se hacia con la NAT??
En el caso que se esté usando la redirección por Mangle, en la regla de route, está para que verifique por medio de un ping al gateway si este se llegase a cortar la regla se deshabilita, pero también como opcional uno puede emplear una regla en el netwatch en el caso del Mangle sería
Código (mk) [Seleccionar]

/tool netwatch
add comment=\
    "Redirect Raptor Mangle ======================================================================================>" \
    disabled=no down-script=\
    "/ip firewall mangle set [find comment=\"Raptor - Mangle ====================>\"] disabled=yes" host=\
    192.168.10.2 interval=2s timeout=2s up-script=\
    "/ip firewall mangle set [find comment=\"Raptor - Mangle ====================>\"] disabled=no"
RaptorCache Developer

Valdes


angelsantana

Cita de: Valdes en Octubre 21, 2015, 11:37:11 PM
OK joemg, y si se llegara ir la luz y se apaga el ServerRaptor se tendria que desabilitar la redireccion por mangle como se hacia con la NAT??

tanbien te puedes guiar de aqui esta mas detallado del amigo JOEMG...
http://www.alterserv.com/foros/index.php?topic=6.0;topicseen    saludosss
el secreto de las soluciones es leer...

kuwox

Excelente el foro no me puedo quejar, espero hacer un buen aporte dentro de poco, me estoy armando de un pequeño manual, claro la cuestión es que cada caso puede ser diferente pero en algo ayuda las cosas comunes.

Saludos.

Saso

Cita de: joemg6 en Octubre 21, 2015, 11:19:13 PM
La eth0 es la del servidor Raptor y no de las interfaces del Mikrotik, en algunos casos hay más de una interface de red en los servidores por eso no está de más cerciorarse que corresponda.
saludos joemg6 tengo esta duda, como debo modificar el eth0, por la ether con salida a los clientes que mi caso es LAN1 o por la ether donde esta conectado el raptor al mikrotik que la tengo con nombre de PROXY.

CarlosB

buenas noche joemg , mucho gusto de saludarte.
una pregunta si uso a redireccion por nat tengo que modificar el archivo "etc/raptor/fw.sh" o solo es para  los que usan mangle, gracias por responderme.

alex

Cita de: Saso en Octubre 29, 2015, 08:37:48 PM
saludos joemg6 tengo esta duda, como debo modificar el eth0, por la ether con salida a los clientes que mi caso es LAN1 o por la ether donde esta conectado el raptor al mikrotik que la tengo con nombre de PROXY.

hola amigos yo tambien me sumo como modifico el eth0 el nombre de mi interfas del mi raptor es    ether1raptor  ya una ves modifique  mediante el panel y no me fue bien

joemg6

Cita de: alex en Octubre 30, 2015, 08:28:30 AM
hola amigos yo tambien me sumo como modifico el eth0 el nombre de mi interfas del mi raptor es    ether1raptor  ya una ves modifique  mediante el panel y no me fue bien
Cita de: Saso en Octubre 29, 2015, 08:37:48 PM
saludos joemg6 tengo esta duda, como debo modificar el eth0, por la ether con salida a los clientes que mi caso es LAN1 o por la ether donde esta conectado el raptor al mikrotik que la tengo con nombre de PROXY.
Puedes hacerlo desde el WebPanel agregando nuevas reglas copiando las anteriores y solo modificar eth0 por eth1, luego eliminar las anteriores y reiniciar, también puedes hacerlo manualmente modificando el archivo "/etc/raptor/fw.sh" en tu caso sería de la siguiente manera
Código (bash) [Seleccionar]

#!/bin/bash
echo ";;;;;;;;;;;;;;;;;;;;;;;"
echo ";     RaptorCache     ;"
echo ";;;;;;;;;;;;;;;;;;;;;;;"

echo 1 > /proc/sys/net/ipv4/ip_forward

iptables -F
iptables -X
iptables -Z
iptables -t nat -F

iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT


iptables -A INPUT -i lo -j ACCEPT #comment#Localhost

# -----------------------------| Redireccion por mangle |----------------------------------
iptables -A INPUT -s 192.168.1.0/24 -j ACCEPT #comment#Input LAN 
iptables  -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128 #comment#Redirect 3128
iptables -A FORWARD -i eth1 -p udp -m udp --dport 80 -j REJECT --reject-with icmp-port-unreachable #comment#Block QUIC
# -----------------------------------------------------------------------------------------




Y cambiar 192.168.1.0/24 por el segmento que estés manejando
RaptorCache Developer

joemg6

Cita de: CarlosB en Octubre 29, 2015, 10:16:53 PM
buenas noche joemg , mucho gusto de saludarte.
una pregunta si uso a redireccion por nat tengo que modificar el archivo "etc/raptor/fw.sh" o solo es para  los que usan mangle, gracias por responderme.
Es recomendable que se implemente la configuración del firewall aún asi tengan la redirección por NAT.
RaptorCache Developer

jaikel gutierrez

amigo joemg6 según lo que comentas acá, así esta estructurada mi regla en firewall en el raptor2 esta correcta.????? tengo 2 rangos de ip una para los clientes wifi y otra para mi cyber.  https://www.dropbox.com/s/24j18oa9x7dn0ly/2.png?dl=0

joemg6

Cita de: jaikel gutierrez en Octubre 30, 2015, 11:22:25 AM
amigo joemg6 según lo que comentas acá, así esta estructurada mi regla en firewall en el raptor2 esta correcta.????? tengo 2 rangos de ip una para los clientes wifi y otra para mi cyber.  https://www.dropbox.com/s/24j18oa9x7dn0ly/2.png?dl=0
Sí, están bien tus reglas.
RaptorCache Developer