Seguridad en un proxy para dos tarjetas de red

Forums: 

Hola como les va mi gente, necesito que me saquen de una duda, resulta que tengo un proxy centos 4.5 a traves del cual tengo una red1 con N equipos que se conectan a internet pero ahora necesito crear otra red2 diferente a la que ya existe y tambien darle internet para lo cual le puse otra tarjeta de red a mi proxy que se va a conectar a otro switch etc etc y este momento necesito que las politicas de seguridad de la red1 sean diferentes de la red2 pero no se como hacer eso ya que el servidor me toma las iptables para ambas tarjetas por igual, existe la manera de que el firewall discrimine la seguridad de las tarjetas por separado?, gracias por su ayuda.
xavier

especifica las interfaces en iptables

Imagen de juandarcy2000

eth0 o eth1 etc.
ahora si hicistes virtuales te toca especificar destinos de ip.

iptables -A INPUT -p tcp --dport 3128 -i eth0 -s 192.168.1.45 -j DROP
el ip 192.168.1.45 no pueden entrar al 3128 por la interfaz eth0

pero si pones eth1 si ese ip estan en la eth0 pueden entrar
usa interfaces en las reglas.

Debes crear reglas aparte

Imagen de damage

Debes crear reglas aparte entre para cada interfaz, si no van a estar conectadas al mismo switch no deberian verse para nada ahora si en algun punto de tu red se van a interconectar ahi deberias denegar el forward de una red a otra, incluso el input como te comenta Juandarcy2000, etc, el trabajo es simpatico pero tedioso.

Yo en particular tengo a mi lado un server en el cual conecto 3 redes distintas, pero todas pasan por un mismo switch y manejo tarjetas virtuales osea eth1, eth1:1 y eth1:2, para cada interfaz virtual le doy sus reglas y para que no se vean entre si les bloqueo el Forward entre ellas, asi evito que usuarios de la red1 se vean con los de la red2, etc, etc.

Keep The Fire Burning.....
Stryper 1988

gracias por tu conestacion

gracias por tu conestacion si mira yo no uso tarjetas virtuales tengo dos tarjetas fisicas una eth1 y eth2 pero cada una esta conectada a un diferente switch y lo que trato de hacer es tener diferentes restricciones de acceso a internet entre una red y la otra y como les decia por alguna razon mi firewall me esta tomando la misma parametrizacion para ambas y no se en donde es que debo colocar una configuracion de firewall para una eth1 y tener otra configuracion de firewall para la eth2, tengo mis ligeros conocimientos de linux pero este asunto no lo tengo muy claro donde realizarlo, gracias de antemano

Todas las reglas van dentro

Imagen de damage

Todas las reglas van dentro de un mismo script, en este es que debes poner las reglas tanto para eth1 como para eth2 y listo, lo unico que debes es llevar bien el orden de las reglas para que se ejecuten adecuadamente por ejemplo:


# ---------REGLAS PARA ETH1 --------#
iptables -a INPUT -i eth1 -s 192.168.1.0/24 -p tcp --dport 8080 -j ACCEPT
iptables -t nat -a PREROUTING -i eth1 -s 192.168.1.0/24 -p tcp --dport 80 -j REDIRECT --to-port 8080
iptables -a FORWARD -i eth1 -s 192.168.1.0/24 -p udp --dport 53 -j ACCEPT
iptables -a FORWARD -i eth1 -s 192.168.0.0/24 -p tcp --dport 1863 -j DROP
iptables -a FORWARD -s 192.168.1.0/24 -d 192.168.0.0/24 -p ALL -j DROP

# ---------REGLAS PARA ETH2 --------#
iptables -a INPUT -i eth2 -s 192.168.0.0/24 -p tcp --dport 8080 -j ACCEPT
iptables -t nat -a PREROUTING -i eth2 -s 192.168.0.0/24 -p tcp --dport 80 -j REDIRECT --to-port 8080
iptables -a FORWARD -i eth1 -s 192.168.0.0/24 -p udp --dport 53 -j ACCEPT
iptables -a FORWARD -i eth1 -s 192.168.0.0/24 -p tcp --dport 1863 -j ACCEPT
iptables -a FORWARD -s 192.168.0.0/24 -d 192.168.1.0/24 -p ALL -j DROP

Y puedes seguir poniendo cosas asi, eso es todo no es nada del otro mundo, ojo estas solo son reglas, antes de esto debes definir politicas por defecto, habilitar modulos osea poner lo adecuado para hacer que le script te funcione (#!/bin/sh, etc, etc, etc.)

Por cierto, en el squid tambien debes crear ACL's para cada red.

Keep The Fire Burning.....
Stryper 1988