Migração Regras de Firewall

Esta entrega é de responsabilidade do Analista Técnico.

Migração Regras de Firewall

  • Levantamento de informações

    • Verificar como são criadas as regras atualmente (Somente /etc/iptables ou coisas fixas no /etc/rc.d/rc.iptables)
    • Entender se no cenário o ideal é migrar de forma idêntica ou realizar análise e criar conforme regras de negócio;
    • Coletar informações:
      • Grupo de Hosts;
      • NAT’s de entrada;
      • SNAT’s específicos nos links de internet;
      • Regras gerais de encaminhamento;
      • Liberações e bloqueios específicos para zonas ou hosts (LAN > VPN, LAN > DMZ, etc.).

  • Habilitar regras padrões das Interfaces

    • Acessar a tela Firewall > Serviços > Conexões
    • Habilitar as regras padrões para as Interfaces:
      • Padrão WAN: Habilitar Masquerade e bloqueios de rede RFC;
      • Padrão LAN: Desabilitar todas as flags

  • Realizar migração das regras do FW-v2 automaticamente

    • Coletar a pasta “/etc/iptables” do FW v2 e colocar em uma pasta comum ( Ex: /tmp/etc/iptables )
    • Importar as regras através do comando itflex firewall import-rules
      • Exemplo: itflex firewall import-rules /tmp/etc/iptables
      • Validar se todas as regras serão importadas. Caso haja algum erro, será apresentado ao final
      • A importação irá funcionar para os arquivos: dmz-in, dmz-out, lan-in, lan-out, source-nat, vpn-forward, vpn-lan
    • Os demais arquivos e regras criadas manualmente devem ser criadas via interface ou CLI

  • Criar demais regras

    • IPsec: Criar regras de INPUT e encaminhamento conforme rc.iptables e /etc/iptables/ipsec
    • IP-FREE: Criar grupo de hosts com todos os hosts que estão em /etc/iptables/ip-free
    • FW-INPUT: Criar regras de INPUT conforme arquivo. Se não houver arquivo, estarão dentro do rc.iptables
    • Verificar se há alguma regra adicional dentro de /etc/iptables
    • Criar regras que estão diretamente no /etc/rc.d/rc.iptables

  • Como criar Grupos de Hosts

    • Pegar informações dos grupos de hosts;
    • Criar grupo de hosts no FWFLEX;
      • Os grupos podem ser criados via CSV com o comando: itflex firewall create-groups <csv_file>
      • Exemplo de CSV:
type,addr,description,group_id
ip,13.107.6.152,exchange-line,Microsoft-S4B
ip,13.107.6.153,exchange-line,Microsoft-S4B

  • Como criar regras de encaminhamento

    • Podem ser criadas manualmente via interface WEB e copiadas;
    • Podem ser criadas através da CLI:
      • itflex firewall create-rule --help
      • Através do HELP ou man deste comando ( man itflex firewall create-rule ) é possível verificar todas as possibilidades de criação
      • Pode ser criado script para criar as regras de forma mais fácil

  • Como criar regras NAT

    • Podem ser criadas manualmente via interface WEB e copiadas;
    • Podem ser criadas através da CLI:
      • itflex firewall create-rule --help
      • Através do HELP ou man deste comando ( man itflex firewall create-rule ) é possível verificar todas as possibilidades de criação
      • Pode ser criado script para criar as regras de forma mais fácil

Copyright © iTFLEX Tecnologia Ltda 2019