Manual da Bridge: mudanças entre as edições

De Instituto de Física - UFRGS
Ir para navegaçãoIr para pesquisar
Sem resumo de edição
Sem resumo de edição
Linha 13: Linha 13:
* '''É altamente recomendável que todas as operações de firewall sejam realizadas utilizando o comando "rules.up.sh".''' <br>
* '''É altamente recomendável que todas as operações de firewall sejam realizadas utilizando o comando "rules.up.sh".''' <br>
  '''Script de Firewall:''' /usr/bin/rules.up.sh '''e''' /root/firewall.up/rules.up.sh
  '''Script de Firewall:''' /usr/bin/rules.up.sh '''e''' /root/firewall.up/rules.up.sh
  '''Arquivo de Configuração:''' /root/firewall.up/RULES.UP.sh
  '''Arquivo de Configuração:''' /root/firewall.up/RULES.UP.conf
  [[Cópia do Arquivo de Configurção]]
  [[Cópia do Arquivo de Configurção]]


Linha 20: Linha 20:
  /root/firewall.up/iptables.conf.make/regras_por_ip.sh
  /root/firewall.up/iptables.conf.make/regras_por_ip.sh
é o responsável por adicionar as regras de firewall para cada IP.<br>
é o responsável por adicionar as regras de firewall para cada IP.<br>
Nele é possível adicionar regras para quando o controle IP:MAC estiver ativado e quando estiver desativado.
Nele é possível adicionar regras para quando o controle IP:MAC estiver tanto ativado ou desativado.
* Lembrando que este script só é executado quando a opção "definir_regras_por_ip" estiver abilitada no arquivo de configuração RULES.UP.conf
* Para que as regras sejam definidas para cada IP é preciso editar o arquivo de configuração "RULES.UP.conf" em "/root/firewall.up/RULES.UP.conf" e definir a opção "definir_regras_por_ip" como abaixo
definir_regras_por_ip sim
definir_regras_por_ip sim
* Este script (regras_por_ip.sh) utiliza variáveis pré-definidas e portanto ao editá-lo é possível fazer com que ele:
Adicionar regras comuns para todos os IPs.
Adicionar regras para IPs específicos.


=== Liberando todo o tráfego de rede que passa pela bridge ===
=== Liberando todo o tráfego de rede que passa pela bridge ===

Edição das 13h48min de 26 de novembro de 2009

Configurando a Rede

  • Para levantar e derrubar a interface de rede sem levantar a interface de bridge utilize:
/etc/init.d/network.up.sh (start|stop)

Ativando e Desativando a interface de Bridge

  • Para levantar e derrubar a interface de bridge utilize:
/etc/init.d/bridgeup (start|stop)

Firewall

  • É altamente recomendável que todas as operações de firewall sejam realizadas utilizando o comando "rules.up.sh".
Script de Firewall: /usr/bin/rules.up.sh e /root/firewall.up/rules.up.sh
Arquivo de Configuração: /root/firewall.up/RULES.UP.conf
Cópia do Arquivo de Configurção

Definir regras para cada IP

O script localizado em

/root/firewall.up/iptables.conf.make/regras_por_ip.sh

é o responsável por adicionar as regras de firewall para cada IP.
Nele é possível adicionar regras para quando o controle IP:MAC estiver tanto ativado ou desativado.

  • Para que as regras sejam definidas para cada IP é preciso editar o arquivo de configuração "RULES.UP.conf" em "/root/firewall.up/RULES.UP.conf" e definir a opção "definir_regras_por_ip" como abaixo
definir_regras_por_ip sim
  • Este script (regras_por_ip.sh) utiliza variáveis pré-definidas e portanto ao editá-lo é possível fazer com que ele:
Adicionar regras comuns para todos os IPs.
Adicionar regras para IPs específicos.

Liberando todo o tráfego de rede que passa pela bridge

Primeiro, edite o arquivo de configuração

/root/firewall.up/RULES.UP.conf

e defina as opções como estão no "quadro" abaixo

controlipmac off
definir_regras_por_ip nao

em seguida execute o comando abaixo para recarregar as regras de firewall

rules.up.sh -restart
  • Observe que desta maneira todo o tráfego de rede é liberado pela bridge e passa sem nenhuma restrição. Mas as regras que protegem a bridge continuam ativas.

Sistema de Bridge de Apoio

Há um script rodando a cada 2 minutos nas bridges fenix e fenix2, ele se chama "bridge.check.sh" localizado em "/etc/init.d/".
A função deste script é verificar se outra bridge responde a ping e se sua interface de bridge está levantada.
Caso ocorra algum problema com a bridge que estava ativa o script envia um e-mail de aviso para as pessoas da lista e levanta a interface de bridge utilizando o comando "/etc/init.d/bridgeup start".
A lista de pessoas que recebem o e-mail de notificação de falha da bridge e o IP da bridge a ser acompanhada pelo script devem ser definidos no próprio script em "/etc/init.d/bridge.check.sh".