[FUGSPBR] firewall
Edson Brandi
ebrandi.home em uol.com.br
Qui Jan 10 17:48:34 BRST 2002
Olha o ideal seria voce colocar 3 placas, uma para administrar e 2 como
bridge.
Edson
On Thu, 10 Jan 2002, Max wrote:
> Ola a todos, valeu pela dica.
>
> Só uma duvida: Posso utilizar apenas 2 placas de rede para fazer a bridge e
> em uma delas utilizar um ip para que eu possa controla-la remotamente?
>
> Outra coisa, eu consiguirei limitar banda por ip utilizando o ipfw do
> trafego que passará por ela?
>
> Obrigado mais umavez,
>
> Max
> -----Mensagem original-----
> De: Santos Anderson <amsnetbr em yahoo.com.br>
> Para: fugspbr em fugspbr.org <fugspbr em fugspbr.org>
> Data: Quarta-feira, 9 de Janeiro de 2002 22:26
> Assunto: Re: [FUGSPBR] firewall
>
>
> > O esquema q o colega Alessandro e assim:
> >
> >
> >
> > router (20.20.20.1)
> > |
> > | (servidores)
> > |--------------------xl1----20.20.20.2
> > |XL0 IPF BRIDGE ----20.20.20.3
> > |-------------------- ----20.20.20.4
> > |
> > | (estacoes)
> > |---------------------xl2-----20.20.20.5
> > -----20.20.20.6
> > -----20.20.20.7
> >
> > Neste exemplo nao sei se vc entendeu,temos tres
> >interfaces 1 com ip e as outras duas sem ip fazendo a
> >funcao de brigde.
> >
> >Para habilitar,se vc estiver usando openbsd-2.9:
> >
> > brconfig bridge0 add xl0 add xl1 up
> > ifconfig xl0 up
> > ifconfig xl1 up
> >
> >
> >Agora so falta vc colocar sua regras,vai abaixo um
> >exemplo que temno howto do ipf,lembrando que o
> >open-3.0 nao trabalha mais com ipf.
> >
> >
> >
> >pass in quick on xl0 proto udp from any to
> >20.20.20.2/32 port=53 keep state
> >pass in quick on xl0 proto tcp from any to
> >20.20.20.2/32 port=53 flags S keep state
> >pass in quick on xl0 proto tcp from any to
> >20.20.20.3/32 port=25 flags S keep state
> >pass in quick on xl0 proto tcp from any to
> >20.20.20.7/32 port=80 flags S keep state
> >block in quick on xl0
> >pass in quick on xl1 proto tcp keep state
> >pass in quick on xl1 proto udp keep state
> >pass in quick on xl1 proto icmp keep state
> >block in quick on xl1
> >pass in quick on xl2 proto tcp keep state
> >pass in quick on xl2 proto udp keep state
> >pass in quick on xl2 proto icmp keep state
> >block in quick on xl2
> >
> >
> > Lembrando que so uns exemplos,vc pode melhorar isso
> >mais ainda otimizando suas regras.
> >
> >referencias:
> >http://www.obfuscation.org/ipf/ipf-howto.txt
> >http://www.inebriated.demon.nl/pf-howto/pf-howto.txt
> >http://www.openbsd.org/faq/faq6.html
> >
> >
> >No freebsd:
> >
> >No kernel habilitar os options abaixo:
> >options BRIDGE
> >options IPFIREWALL
> >options IPFIREWALL_VERBOSE
> >
> >neste caso se vc usar ipfw.
> >
> >Edite /etc/rc.conf:
> >
> >Habilitando seu firewall da maneira que achar melhor.
> >
> >Habilite a bridge:
> >sysctl -w net.link.ether.bridge_ipfw=1
> >sysctl -w net.link.ether.bridge=1
> >
> >Pronto sua bridge esta pronta
> >
> >referencias:
> >www.freebsd.org
> >www.free.bsd.com.br
> >www.freebsd.ag.com.br
> >http://free.bsd.com.br/~eksffa/freebsd/ipfw.php
> >(Howto traduzido pelo Goto e Patrick-Esta muito bom!!)
> >
> > Espero que tenha ajudado,qualquer problema fale
> >comigo.
> > Peco desculpas se esqueci alguma coisa
> >
> > Um grande abraco
> >Anderson
> >
> >--- "Alessandro M. S. Sant'Anna"
> ><santanna em telecom.eng.br> escreveu: > > Olá,
> >>
> >> Olá Max,
> >>
> >> >
> >> >
> >> > Vi em um provedor um firewall que trabalha de
> >> forma transparente, como
> >> > uma brige, barrando os pacotes. Ele fica entre o
> >> roteador e o swchit, tudo
> >> > que entra ou sai para internet passa por ele. Como
> >> se chama este tipo de
> >> > aplicação? Onde posso encontrar informações a
> >> respeito? Para um link de 2M
> >> > qual seria a configuração idel da maquina que vai
> >> fazer isso?
> >> >
> >> > Agradeço a ajuda!
> >> >
> >> > Max
> >>
> >> Bem, acho que hoje, o sistema que tem o melhor
> >> suporte a isto é o OpenBSD.
> >> Você configura um OpenBSD com duas ou mais placas de
> >> rede e habilita uma
> >> bridge entre estas placas. Você ai faz uso de um
> >> filtro de pacotes IPFilter
> >> nas versões até 2.9 ou pf na 3.0 e cria suas regras
> >> utilizando a bridge.
> >>
> >> O FreeBSD faz isto também o OpenBSD fazia melhor.
> >> Não sei como está hoje.
> >> Eles podem estar em pé de igualdade ou até melhor.
> >>
> >> Alessandro.
> >>
> >>
> >> ----
> >> Para sair da lista envie um e-mail para
> >> majordomo em fugspbr.org
> >> com as palavras "unsubscribe fugspbr" no corpo da
> >mensagem.
> >
> >___________________________________________________________________________
> ____________________
> >Yahoo! GeoCities
> >Tenha seu lugar na Web. Construa hoje mesmo sua home page no Yahoo!
> GeoCities. É fácil e grátis!
> >http://br.geocities.yahoo.com/
> >----
> >Para sair da lista envie um e-mail para majordomo em fugspbr.org
> >com as palavras "unsubscribe fugspbr" no corpo da mensagem.
> >
>
> ----
> Para sair da lista envie um e-mail para majordomo em fugspbr.org
> com as palavras "unsubscribe fugspbr" no corpo da mensagem.
>
[ ]'s Edson
, ,
Edson Brandi /( )`
Consultor UNIX \ \___ / |
Fone: 0XX11 96512996 /- _ `-/ '
0XX11 32717325 (/\/ \ \ /\
ICQ at Home: 100503189 / / | ` \
O O ) / |
--------------------------------------- `-^--'`< '
(_.) _ ) /
Transforme seu PC numa Workstation Unix. `.___/` /
Visite http://www.primeirospassos.org `-----' /
http://www.fugspbr.org <----. __ / __ \
http://livecd.fugspbr.org <----|====O)))==) \) /====
<----' `--' `.__,' \
----
Para sair da lista envie um e-mail para majordomo em fugspbr.org
com as palavras "unsubscribe fugspbr" no corpo da mensagem.
Mais detalhes sobre a lista de discussão freebsd