[FUGSPBR] Diagrama de rede - opinioes - bridge

[Patrick Tracanelli]

FreeBSD User wrote:
> Legal Patrick
> 
> Eu sou meio maniaco e em ambos os casos eu vou habilitar o ipfw em todas
> as maquinas sim.
> Mas como opera esse FILTERING BRIDGE ? Sou meio ignorante quanto a isso.
> Ja ouvi falar mas nao sei qual a ideia. Seria tipo um natd ?
> Teria duas placas de rede nesse bridge ? Quais ips eu usaria nelas ?
> Ou nao usaria ip nessas placas e no ipfw se basearia em interface ?
> 
> Voce sabe de um howto explicando esse caso ? Exemplos praticos ?
> 
> Voce acha entao que se eu usar o diagrama 2 e colocar esse "FILTERING BRIDGE"
> entre o roteador e o switch é melhor ?
> 
> Valeu


  Oi :)
  Seguinte, bridge nada mais eh do que (dahhnn) uma ponte entre 1 lado e 
outro da sua rede. A diferenca eh q essa ponte pode funcionar bem posto 
de guarda com uma tropa bem armada defendendo oq flui por um lado e pelo 
outro da ponte... hehehe

  Sem exemplos toscos, ha algumas semanas eu mandei uma mensagem 
explicando como montar uma bridge, eh soh procurar  a ultima discussao 
de bridge no historico. Voce tambem vai achar um documento em PDF de um 
amigo da lista... ambos sao o bastante pra te dar uma nocao minima de 
implementacao da bridge. Vc vai se basear seu firewall de 2 formas: 
interface e IP. Sua bridge pode ou nao ter IP nas interfaces. Eh 
indiferente, a nao ser pela situacao q vc precisa de um IP pra acesso 
remoto (ssh da vida)... mas a funcai fundamental da bridge eh proteger a 
vida alheia, hehe portanto suas regras vao continuar basedas em IPs e 
interfaces normalmente... por exemplo vc vai devender seu servidor de 
email, vc vai fazer regras pra filtra-lo por IP via interface do lado do 
servidor e fluxo (entrada/saida de acordo com o lado da interface..) 
enfim, coisas normais.

  Olha, eu nao indiquei nem o primeiro caso nem o segundo, apenas 
garanti q ambos funcionariao muito bem. Como disse o Capriotti, eh 
tranquilissimo fazer o primeiro eskema com redirect_port do natd...


  Agora se tu perguntar a minha opiniao, eu vou soar mais maniaco q vc...

  Se possivel (creio q eh, ja q vc considera ambas as possibilidades) 
assimila os 3 casos na sua configuracao hyper-paranoica: faz ruleset em 
todos os servidores, de acordo com os servicos e com politica fechada; 
coloca os bixim na sua DMZ, trancafiados por firewall, hehehe, e coloca 
uma bridge antes do roteador ;)

  Soh toma cuidado pra nao se perder, hehehe, senao vc vai mais rancar 
os servicos do ar do q proteger-te...



----
Para sair da lista envie um e-mail para majordomo em fugspbr.org
com as palavras "unsubscribe fugspbr" no corpo da mensagem.