[FUGSPBR] Re: [FUGSPBR] Dúvida com implementação de uma solução de firew all

Capriotti capriotti em cee.com
Sex Ago 24 17:02:12 BRT 2001 

Vamos nós:

Eu já tive um caso parecido, mas o que eu fazia era limitar o tráfego 
(largura de banda).

Primeiro eu tive que cadastrar o MAC address da placa de rede de todos os 
usuários. Isso ;e dispensável, mas foi feito para que nenhum engraçadinho 
tentasse mudar o IP da própria máquina e burlar a segurança.

O Segundo passo foi criar sub-redes relaticas a cada tipo de acesso:

192.168.1.x para acesso geral
192.168.2.x para SMTP/POP
192.168.3.x para somente tráfego interno.

Com isso fica muito fácil fazer o controle de tra'fego de pacotes via IPFW.

Segundo, o squid pode ser configurado para não fazer cache se você colocar 
os tamanhos máximos e mínimos de cache para zero (acho que vai funcionar).

E finalmente, o Squid faz sim o log "dedo-duro" de quem acessou o que, onde 
e quando.


At 03:13 PM 8/24/01 -0300, you wrote:
>Caros amigos,
>Devo fazer algumas implementações em meu FIREWALL e preciso da opinião dos
>amigos e MESTRES :-)
>
>Tenho um canal dedicado com a Internet e tenho minhas redes internas
>internas (uma em um prédio e outra em um outro) acessando a Internet
>normalmente através do NAT do próprio router de saída para a NET, aqui
>começa o problema, os diretores da empresa criaram ai 3 perfis de usuários,
>os que poderão acessar os serviços de WWW / MAIL / FTP, os que poderão
>acessar apenas MAIL e os que não poderão acessar nada fora da rede interna.
>
>A primeira filtragem estava pensando em fazer em um firewall usando o IPFW,
>porém como fazer isto, criando regras individuais para cada máquina ou
>dividindo minhas redes em sub-nets e agrupando cada estação em uma
>determinada subnet de acordo com suas caracteristicas, ou os amigos sugerem
>alguma outra solução ?
>
>Caso divida em subnets diferentes, devo usar uma placa de rede para cada
>subnet ou posso usar apenas 2 como normalmente se usa, uma para rede pública
>e outra para  rede privada ???
>
>Superada está etapa preciso criar uma maneira de bloquear determinados
>sites, até ai tudo bem, estou pensando em usar o squid, mas gostaria que as
>páginas não fossem cacheadas, então pergunto, existe está possibilidade ?
>Outro software que permite fazer algo parecido ???
>
>Agora o que acredito ser o mais chato, preciso que todo acesso WWW seja
>registrado em logs de maneira que eu consiga gerar relatórios informando o
>sites que cada estção acessou, pergunto novamente, os logs do squid me
>permitem obter este tipo de informação ?? Existe alguma outra sugestão ???
>
>Tentei esboçar abaixo um rascunho da topologia que pretendo usar.....
>
>Agradeço a atenção e a paciência !
>
>Eduardo A. Cosa
>Pouso Alegre
>
>
>                                     --------LAN 2=192.168.0.0------
>                                                              |
>                                                      | ROUTER |
>                                                              |
>                                                            LP
>                                                              |
>                                                      | ROUTER |
>                                                              |
>INTERNET | --- | ROUTER |-----|SWITCH|----|FIREWALL|
>                                                              |
>                                     ------LAN 1=192.168.10.0------
>
>----
>Para sair da lista envie um e-mail para majordomo em fugspbr.org
>com as palavras "unsubscribe fugspbr" no corpo da mensagem.


----
Para sair da lista envie um e-mail para majordomo em fugspbr.org
com as palavras "unsubscribe fugspbr" no corpo da mensagem.

Mais detalhes sobre a lista de discussão freebsd