Customizando o Firewall do Endian
Published março 26, 2009 | 
Este Artigo é relacionado Review: Endian Firewall
A alguns dias atrás, precisei de umas regras específicas no firewall do Endian e não foi possível aplica-las através da Web Interface. Não que esta fique devendo, ela faz o proposto, mas o ambiente onde instalei meu endian é muito complexo e tem muitas particularidades. Como vi que já recebi alguns usuários vindos do Google, pesquisando exatamente sobre este assunto, resolvi escrever aqui a dica.
O Endian já vem preparado para estas situações, no seu firewall (baseado em iptables), ele tem cadeias reservadas para customizações nas tabelas filter e nat. São elas respectivamente:
filter:
Chain CUSTOMFORWARD (1 references)
Chain CUSTOMINPUT (1 references)
Chain CUSTOMOUTPUT (1 references)
nat:
Chain CUSTOMPOSTROUTING (1 references)
Chain CUSTOMPREROUTING (1 references)
Observei que as regras inseridas manualmente nestas cadeias não eram sobrescritas a cada reload do firewall, ou seja, basta inserir a regra que ela fica lá até o próximo reboot.
Desta forma a minha sugestão, é gerar um script que insira as regras durante o processo de boot, não sei se esta é a maneira correta e oficial do Endian, mas é a maneira que resolveu o meu problema. 
Para gerar este script, vá ao diretório /etc/rc.d/start
# cd /etc/rc.d/start
(Neste diretório ficam uma série de scripts que são inicializados no boot)
Crie o arquivo 99customfirewall
# vi 99customfirewall
E insira em seu interior as regras customizadas.
#!/bin/sh
/sbin/iptables -A CUSTOMFORWARD -s 222.222.222.222 -d 172.16.10.0/24 -j ACCEPT
Após editar o arquivo, dê permissão de execução para ele:
# chmod +x 99customfirewall
Para testar você pode executa-lo
./99customfirewall
e listar a chain CUSTOMFORWARD para verificar se as suas regras foram aplicadas corretamente
# iptables -L CUSTOMFORWARD -nv
Na próxima vez que reiniciar o servidor, estas regras serão inseridas automagicamente! 
Eduardo, tu já configurou multiples wan fail over no endian??
Sabe se funciona??
Preciso configurar, pode me ajudar?
att,
Olá Fernando,
Ainda não realizei tal configuração, mas posso garantir que funciona e que é relativamente simples de configurar (a interface do endian é bem intuitiva). Tente realizar a configuração e se não conseguir poste suas dúvidas que eu tentarei ajudar.
Algumas perguntas sobre o assunto já foram realizadas e respondidas nos comentários do post: http://linux.eduardosilva.eti.br/review_endian_firewall
Cpts!
Boa tarde.
Queria saber se voce já conseguiu instalar alguma pacote ñ oficial no Endian
Gostaria de instalar o wget
Ao invés de instalar o wget, utilize o curl para realizar o download de arquivos.
Exemplo: “curl -C – -O http://endereço”
Quanto a instalação de outros pacotes, não é recomendável instalar aplicativos diretamente no firewall, se a questão é aproveitar melhor o hardware, recomendo penses em colocar o Endian em uma máquina virtual e o outro servidor em uma segunda máquina virtual as duas no mesmo host. (Interligando eles através da interface Orange).
Cpts.
Ola Pessoal, sou usuário do endian já algum tempo, porém estou com uma dificuldade: Preciso fechar uma vpn entre um servidor endian de uma filial para um servidor Brma (BrMultiaccess) na matriz, estou o BR trabalho com openvpn.
abraços e obrigado.
André Santini
André,
O Endian utiliza openvpn e ipsec, inclusive tem opções para conexão entre dois gateways, mas desconheço completamente a parte de vpn do brma.
Sugiro que montes um pequeno laboratório interligando 2 servidores endian para que entendas como a vpn funciona, para só então tentar interligar o endian com o brma.
Prezado Eduardo,
Instalei o Endian e tenho duas entradas (virtua+embratel). Infelizmente não estou conseguindo balancear a utilização. Gostaria de utilizar 95% da Embratel e caso esta estive full, transbordaria para a Virtua. Podes me ajudar???
Agradeço desde já a sua atenção.
Marcelo Teixeira.
Marcelo,
O esquema de dois ou mais links do Endian é apenas para failover, ou seja, caso falhe o link primário, o endian redireciona todo o tráfego para o link secundário.
Uma alternativa que eu poderia te dar seria algo como: Tráfego de entrada por um link, e tráfego de saída pelo outro link.
Uma outra alternativa que me parece possível mas que precisaria de testes seria:
“Navegação saindo pelo link principal e restante do tráfego saindo pelo link secundário”. Para implementar isto, você deve utilizar o proxy do endian, e depois deve criar uma static route com o endereço de origem da sua LAN (ex 192.168.1.0/24) apontando para o gateway do link secundário. A navegação e qualquer outro protocolo que passe pelo proxy do endian, ficaria com o endereço de origem do endian e não com o endereço da LAN, desta forma não encaixaria no static route (pois esta é baseada no endereço da rede green). Observar que desta forma, o failover funcionaria apenas para a navegação (alternando esta do link principal para o secundário). Parece confuso mas é fácil de implementar, talvez apenas precises realizar uma ou duas alterações mais complexas.
Pensei agora neste método, é uma gambiarra, mas é capaz de funcionar.
[]‘s
Obrigado pela ajuda. Irei testa-la agora mesmo.
[]´s
Tentei e não deu certo… Não decolou… Vou tentar mexer em outras coisas, mas in-loco, pois tenho receito de travar (acesso remoto)…
[]´s
Eduardo,
Hj tive tempo de ficar na frente do servidor e testar efetivamente. Funcionou sim. Coloquei o link embratel como sendo o “main” e o virtua como “uplink1″ (estava invertido). Após isso, criei uma regra na “política de roteamento” como “ORIGEM” e “DESTINO” = QUALQUER, como o “SERVIÇO” HTTP, PROTOCOLO TCP, PORTA 80, com o “ROTEAR ATRAVÉS” no link “virtua (uplink1)”. Assim, tudo está indo para a embratel, menos a navegação.
Agora tenho a utilização dos links mais balaneceada.
Obrigado pelo “norte magnético”…..
Marcelo, que bom que você conseguiu e muito obrigado pelo feedback
Desta forma outras pessoas que estiverem buscando por uma maneira de “balancear” o tráfego com o endian saberão que é possível.
[]‘s
Eduardo,
Agora estou com outra dúvida. A pasta /var/log/ é muito pequena. Tem como alterar isso sem prejuízos ao funcionamento do sistema??? Tentei aumentar o cache do proxy e a pasta encheu rapidamente. Como tenho um HD de 160GB, gostaria de ter um cache do proxy maior e não consigo. Tens como me ajudar???
Desde já, agradeço sua atenção.
Já havia me dado conta disto anteriormente, eu simplesmente comentei o mount point /var/log no fstab.
Comente esta linha em /etc/fstab e reinicialize o seu endian, o seu /var/log ficará na partição /var que é a maior partição que o endian configura.
[]‘s
Eduardo,
Podes me explicar mais detalhadamente o que fazer??? Não sou expert em linux…
Desde já agradeço sua ajuda…
Pingback: Colocando o SARG pra funcionar... « Endian Firewall
Pingback: scripts iptables « Endian Firewall
Pingback: Proxy + MSN = Falhas no msn « Endian Firewall
Como faço para acessar o endian versão 2.4 remotamente ?
Renato,
A forma segura seria criando uma VPN entre o cliente remoto e acessando o endian através desta vpn.
Você também pode liberar no firewall de entrada a porta 10443, mas isto é extremamente inseguro.
[]‘s
Qual o comando devo utilizar para apenas uma determinada maquinha na rede não utilizar proxy autenticado ?