InfraOps

Top Menu

  • Home
  • URL Shortener
  • SpeedTest

Main Menu

  • Linux
  • Windows
  • Rede
  • Segurança
  • Virtualização
    • Docker
    • LXC
  • Media
  • Embarcados
  • Home
  • URL Shortener
  • SpeedTest

logo

InfraOps

  • Linux
  • Windows
  • Rede
  • Segurança
  • Virtualização
    • Docker
    • LXC
  • Media
  • Embarcados
Embarcados
Home›Embarcados›OpenWRT – Como configurar uma zona desmilitarizada (DMZ)

OpenWRT – Como configurar uma zona desmilitarizada (DMZ)

By Anderson R.
22 de julho de 2016
1874
1
Share:
[ad id=”1575″]

[dropcap]O[/dropcap]penWrt é um firmware de código aberto baseado no Kernel Linux, com uma comunidade muito ativa e com uma gama enorme de roteadores e dispositivos suportados.

Entre as algumas funcionalidades está o suporte ao IPV4 e IPV6, iproute2, Quagga, BIRD, B.A.T.M.A.N., OLSR, Firewall dinâmico, suporte a dispositivos como impressoras, câmeras e outros. Ainda conta com uma poderosa interface web, baseada no projeto LuCI que é desenvolvido na linguagem LUA.

Outra vantagens do OpenWrt é o suporte a instalação de pacotes adicionais, que adicionam funções a sua firmware e permitem até mesmo ter uma interface alternativa para seu gerenciamento.

DMZ no OpenWRT

Neste artigos vamos configurar uma DMZ (demilitarized zone) no OpenWRT, isolando todos os serviços que possuem acesso externo (tais como servidores HTTP, FTP, etc…) junto em uma rede local, limitando assim o potencial dano em caso de comprometimento de algum destes serviços por um invasor.

Para esta configuração estou utilizando um TP-LINK WR2543 com a versão Chaos Calmer 15.05 do OpenWrt. As interfaces físicas estão configuradas da seguinte forma:

  • eth0 (switch)
  • eth0.1 (lan)
  • eth0.2 (wan)
  • wlan (wireless card)

TP-Link TL-WR2543

Switch

O switch (eth0) inclui uma série de portas, incluindo as quatro físicas na parte de trás do roteador, um quinto que não é utilizado, além daquele que se conecta à CPU.

O switch suporta VLANs (LANs virtuais) e, por padrão OpenWRT coloca todas essas portas na VLAN1. Isso significa que as conexões físicas nessas quatro portas estão no mesmo switch virtual e são capazes de se comunicar uns com os outros.

Para criamos a DMZ, precisamos mudar a VLAN de uma dessas portas para outra, neste caso VLAN15, também precisamos marcar as portas como tagged. O dispositivo conectado a essa porta não será mais capaz de se comunicar com outros dispositivos no switch. Esta é a base da nossa DMZ.

VLAN1 na verdade, cria uma nova interface no roteador: eth0.1 . A configuração do switch (incluindo o mapeamento de portas a VLANs) está disponível sob o menu Network -> Switch.

obs1: Um erro na interface do wr2543 o faz exibir mais portas do que ele realmente possui, conforme a imagem acima. Basta ignorar as demais portas e lembrar que a porta WAN sempre será a “port 0”.
obs2: Em alguns roteadores (ex: wr1043) a CPU pode ser representada como “port 1”, fazendo com que as demais portas fiquem fora de ordem. Para evitar confusão, verifique se roteador está listando as portas de forma correta.

Criando uma VLAN

Vamos criar a VLAN15 e atribuir as portas para essa VLAN, removendo da VLAN1. Para isso siga os passos:

  • Vá em Network -> Switch;
  • Clique Add e crie uma entrada para VLAN;
  • Configure o ID da VLAN para 15;
  • Na linha da VLAN 1, altere a “port 0” para off;
  • Na linha da VLAN 15, altere a “port 0” para untagged;
  • Na linha da VLAN 15, altere a porta da CPU para tagged;
  • Na linha da VLAN 15, especifique uma porta que irá ficar exclusiva para VLAN 15 ou selecione todas conforme a imagem abaixo.
  • Clique em Save & Apply.

swicth01

Criando uma nova interface

Uma vez que criamos a nossa nova VLAN, vamos criar uma nova interface para o DMZ. Da mesma forma que a VLAN 1 e eth0.1, estão conectados à interface LAN. A VLAN 10 e eth0.10 estarão conectados nossa nova interface DMZ.

  • Vá em Network -> Interfaces
  • Clique em Add New Interface; 
  • Coloque o nome da interface de DMZ;
  • Deixe o protocolo da nova interface como static;
  • Deixe a opção “bridge over multiple interfaces” desmarcada;
  • Selecione apenas a VLAN Interface: “eth0.15”;
  • Clique em Save & Apply.

interface-dmz

Conforme a imagem abaixo, configure na aba General Setup o ip da rede DMZ, lembrando que este deverá ser diferente da rede LAN. Após essa configuração, verifique se a opção “Bring up on boot” está marcada.

Caso queira utilizar um DHCP na rede DMZ, basta configurar no final da pagina da interface.

interface-dmz-dhcp

Firewall

É preciso também criar o firewall da interface DMZ. Para isso ainda na configuração da interface, vá na aba Firewall Settings e em Create / Assign firewall-zone selecione a opção unspecified -or- create atribuindo o nome dmz, conforme a imagem.

interface-dmz-firewall

Regras

Agora vamos criar as seguintes regras para funcionamento da dmz.

  • Permitir acesso da DMZ com a WAN;
  • Permitir acesso da LAN para DMZ (o inverso não se aplica);
  • Permitir tráfigo DNS e DHCP, abrir portas 53 e 67;
  • Encaminhar porta 80 da WAN para webserver na DMZ;

Primeiramente vamos configurar a zona em Network -> Firewall;

  • Na aba Gerenal Settings, seção Zones,  edite a zona DMZ;
  • Configure o input para reject, assim todos os pacotes de entrada serão rejeitados por padrão;
  • Deixe ouput como accept;
  • Deixe Masquerading e MSS clamping desabilitados;
  • Selecione Covered networks apenas para dmz;

openwrt-interface-dmz-firewall-zonas

Mais abaixo, na seção Inter-Zone Forwarding configure conforme a imagem abaixo:

openwrt-interface-dmz-firewall-inter-zone-forwarding

Agora vamos para as port forwards e configurar o encaminhamento da porta 80 para nosso webserver;

  • Clique na aba Port Forwards;
  • Na seção New port forward, atribua um nome dmz-webserver;
  • Configure o protocolo para TCP;
  • Configure o External zone para WAN;
  • Configure o External port para 80;
  • Configure o Internal zone para DMZ;
  • Configure o Internal IP address para o ip do seu webserver na rede DMZ (ex: 192.168.15.2);
  • Configure o Internal port para 80;
  • Clique em Save & Apply.
  • Repita estes passos para os demais servidores da rede;

openwrt-firewall-port-forward

 

Para finalizar, basta configurar as regras de tráfego.

  • Vá para aba Traffic Rules;
  • Na seção Open ports on router, atribua o nome dns-dmz
  • Em Protocol, selecione UDP;
  • Em Port, configure a 53;
  • Adicione;
  • Encontre a regra criada e edite;
  • Configure o Set Destination address para o ip da rede DMZ do roteador, neste caso 192.168.15.1;
  • Repita os passos caso use DHCP, alterando a porta para 67. Neste caso não configure o endereço de destino, uma vez que o DHCP funciona via broadcast.

openwrt-firewall-traffic

É isso, seguindo estes passos sua rede DMZ já deve estar funcionando!!


[ad id=”1579″]
Tagsdmzembarcadosopenwrt
5
Shares
  • 5
  • +
  • 0
  • 0

Related articles More from author

  • Embarcados

    BananaPi – Single Board Computer

    12 de abril de 2016
    By Anderson R.
  • Embarcados

    Boot pelo HD no BananaPi

    13 de abril de 2016
    By Anderson R.

Artigos Recomendados

  • Virtualização

    Lançada versão 4.2 do Proxmox VE

  • Linux

    ACLs – Permissões Avançadas no Linux

  • Rede

    Sincronizando arquivos com Syncthing

Facebook

Latest Comments

  • Ricardo Matta
    on
    14 de março de 2018
    Como faz isso usando WR841 e lede (open-wrt)?

    OpenWRT – Como configurar uma zona desmilitarizada (DMZ)

  • Sérgio Lackmann
    on
    18 de outubro de 2017
    Ele por acaso não possui vídeo conferência entre mais de dois usuários né? Obrigado!

    História do Rocket Chat; Instalação Servidor de Mensagem Web

  • TÉCNICO ELIAS
    on
    4 de julho de 2017
    obrigado jovem

    Instalando DNS com Bind9 e Webmin no Ubuntu 14.04

  • Anderson Ribeiro
    on
    13 de fevereiro de 2017
    Ola Elias, os requisitos para o servidor vai depender do tamanho da sua rede. Em geral ...

    Instalando DNS com Bind9 e Webmin no Ubuntu 14.04

  • TÉCNICO ELIAS
    on
    13 de fevereiro de 2017
    olá Jovem eu nunca fiz e agora quero um Servidor DNS aqui em minha rede quais os requisitos mínimos ...

    Instalando DNS com Bind9 e Webmin no Ubuntu 14.04

Tags

Active Directory apache2 arm arquivos bananapi cloud container criptografia debian dns docker docker-compose fisl17 hard disk https kvm lets encrypt linux lxc media center monitoramento nas nginx noticias openmediavault proxmox rede redes Samba4 sata segurança ssh ssl storage syncthing tinc tutoriais tutoriais ubuntu virtualização vpn web webserver Windows zabbix
  • Popular

  • Comments

  • Instalando DNS com Bind9 e Webmin no Ubuntu 14.04

    By Anderson R.
    12 de fevereiro de 2017
  • backup

    BackupPC – Criando um servidor de backup

    By Anderson R.
    12 de julho de 2016
  • ACLs – Permissões Avançadas no Linux

    By Anderson R.
    7 de maio de 2016
  • Linux Dash – Instalando Dashboard no Ubuntu

    By Anderson R.
    11 de maio de 2016
  • Ricardo Matta
    on
    14 de março de 2018

    OpenWRT – Como configurar uma zona desmilitarizada (DMZ)

    Como faz isso usando ...
  • Sérgio Lackmann
    on
    18 de outubro de 2017

    História do Rocket Chat; Instalação Servidor de Mensagem Web

    Ele por acaso não ...
  • TÉCNICO ELIAS
    on
    4 de julho de 2017

    Instalando DNS com Bind9 e Webmin no Ubuntu 14.04

    obrigado jovem
  • Anderson Ribeiro
    on
    13 de fevereiro de 2017

    Instalando DNS com Bind9 e Webmin no Ubuntu 14.04

    Ola Elias, os requisitos ...

Follow us