[FUGSPBR] Transparent Proxy

Capriotti capriotti em cee.com
Qua Out 17 17:46:56 BRST 2001


Acho que VC já deve ter recebido um monte de respostas para isso, mas aqui 
vai mais uma:

No seu "FBSD", faça uma regra de firewall que proiba todo o tráfego de seus 
clientes para o roteador (bom.... pelo menos no que concerne portas 80 e 
20-21); Com isso seus clientes são forçados a passar pelo FBSD, não apenas 
como gateway, mas como único ponto de contato com o mundo externo. Se você 
não fizer isso, seus clientes podem simplesmente colocar o IP do CISCO nas 
estações e não "respeitar" o FBSD como proxy/firewall.

Feito isso, simplesmente implemente um proxy transparente no FBSD. Pronto !

Nenhuma mudança no CISCO, maior segurança para sua rede, e maior facilidade 
de manutenção do sistema.

Para ficar ainda melhor, eu colocaria  um DHCP para as máquinas internas, 
mesmo com IPs reais.

Agora, permita a pergunta: parece que as máquinas que VC tem "por trás" do 
FBSD, usando-o como gateway, são apenas estações de trabalho. Porque elas 
têm IPs reais ? Se elas não precisarem de IPs reais, eu as colocaria com 
IPs cvlasse 192.168.x.y ou 10.a.b.c. Isso aumenta absurdamente a segurança 
da sua rede, principalmente no que tange bugs Micri$oftiaos.

A propósito : da próxima vez, evite publicar seus IPs reais em emails 
públicos; o pessoal da lista, em geral, é confiável, mas lembre que os 
arquivos da lista são absolutamente abertos para quem quiser consulta-los. 
O que me faz lembrar de outro detalhe: você deveria considerar fazer um 
upgrade para FBSD 4.4, ou aplicar o patch do Telnetd apenas por motivos de 
segurança (caso ainda não tenha aplicado o patch).

[]s


Capriotti

At 07:49 PM 10/16/01 -0300, you wrote:
>Caros, tenho um problema para configurar o transparent proxy.
>comecando:
>tenho 2 redes de ips reais
>um router cisco 2501
>um server freeBSD 4.3 que eh o gateway de uma dessas redes que no caso eh
>wireless
>
>ofereco ip real aos clientes de wireless e eles apontam para esse server
>(gateway)freeBSD  para poder navegar
>no cisco eu digo: REDETAL    MASCARATAL       IPGATEWAYTAL
>
>onde REDETAL  200.217.233.0
>onde MASCARATAL 255.255.255.0
>onde IPGATEWAYTAL 200.217.231.132
>
>o ip do cisco eh 200.217.231.129
>
>observe que o cisco e o freeBSD(ed0) estao na mesma rede
>na ed1 do freeBSD esta o ip 200.217.233.2(o gateway dos meus clientes)
>
>nesse server tem o squid rodando manualmente (isto eh, o cliente indo lah no
>browser e configurando proxy)
>
>gostaria de deixar isso transparente
>
>observer nao nao faco mascaramento nem por ipfw nem por ipfilter , uso
>apenas mascaremto.
>
>gostaria de colocar no cisco uma regra para fazer o redirecionamento da
>porta 80 para 8139
>
>ideias?
>
>
>[]'s
>
>Rogerio Heringer
>
>
>
>
>
>
>
>----- Original Message -----
>From: "Henrique L. Barcellos" <henrique em maais.com>
>To: "Lista FreeBSD" <fugspbr em fugspbr.org>
>Sent: Tuesday, October 16, 2001 7:25 PM
>Subject: [FUGSPBR] Firewall e DNS....
>
>
> >     Outra coisa galera...
> >
> > existe algum arquivo ipf.rules padrão para provedores que seja seguro...
>ou
> > que a gente possa mexer só algumas coisinha... ?
> >
> >
> > bom mas indo direto ao assunte Servidor DNS... to rodando o FreeBSD 4.3 e
>o
> > servidor dns dele como todoas ja devem saber é horrivel de configurar... e
> > aqui na minha maquina ainda não deu certo... meu dominio esta registrado
> > direto nos EUA no register.com será este o problema ? o dominio tem que
> > obrigatoriamente esta registrado na FAPESP ?
> >
> > os arquivos que tem no /etc/namedb são
> >
> > named.conf
> > named.root
> > localhost.rev
> > meu_dominio.zone
> >
> > é só isso ou falta algo...
> >
> > Abração...
> >
> > henrique
> >
> > ----
> > Para sair da lista envie um e-mail para majordomo em fugspbr.org
> > com as palavras "unsubscribe fugspbr" no corpo da mensagem.
> >
>
>----
>Para sair da lista envie um e-mail para majordomo em fugspbr.org
>com as palavras "unsubscribe fugspbr" no corpo da mensagem.


----
Para sair da lista envie um e-mail para majordomo em fugspbr.org
com as palavras "unsubscribe fugspbr" no corpo da mensagem.



Mais detalhes sobre a lista de discussão freebsd