Denuncie   Favoritos   Indicar  

Firewall + proxy

1. Firewall + proxy

wellington
wellington_a
(usa Debian)

Enviado em 21/01/2013 - 12:09h

iae galera blz?

To com uma dúvida.

Tenho uma rede da seguinte forma:

Internet ------ >(eth) Firewall (eth1)--------> (eth0) Proxy (eth1) -------> rede local

Na rede local direciono tudo que for para a porta 80 pra porta do Proxy (3128), até ai tudo bem, tudo funcionando.

Só estou com uma dúvida com relação ao bloqueio das portas.

Ex: Libero tudo que vem do proxy para a internet (forward). Mas digamos que eu queira bloquear alguns IPS para não acessarem a internet, esse bloqueio tem que ser feito no firewall do proxy certo?, porque quando o pacote vem do proxy ele já vem com ip de origem do proxy e não da máquina da rede local qu gerou o pacote.

Ou seja, na pratica estarei usando 2 firewalls na rede.

Outro exemplo. Bloqueio tudo pro firewall (forward) e caso queira liberar apenas o FTP, libero a porta 21 no forward certo?

Pois como estou testando esse modo de firewall + proxy, estou meio confuso em onde aplicar as regras.

Agradeço desde já a ajuda de vocês.



0 0
  • Quote

    •   


    2. Re: Firewall + proxy

    Reginaldo de Matias
    saitam
    (usa Slackware)

    Enviado em 21/01/2013 - 14:39h

    Se o firewall e proxy estiver em servidor separados, então deve fazer um DNAT.

    Acho melhor e mais comum também deixar o firewall e proxy no mesmo servidor, logo atua como gateway da rede.

    0 0
  • Quote

    • 3. Re: Firewall + proxy

    wellington
    wellington_a
    (usa Debian)

    Enviado em 21/01/2013 - 16:38h

    É pq não queria misturar os dois serviços.
    Nesse caso o proxy se torna o gateway da rede certo?

    Não sei se tem outra maneira mas eu fiz da seguinte forma:

    fiz o forward entre as placas e apliquei um Masquerade em cada servidor (proxy e firewall).

    Dessa forma os pacotes da rede chegam no firewall com o IP do Proxy, então nesse caso as regras de firewall de acesso tem que ser aplicadas no proxy, pois se aplicar no firewall ou libero tudo ou bloqueio tudo, pois tudo chega com ip do proxy.

    Fiz assim:
    Liberei o acesso total do firewall para a internet no firewall, e no proxy criei as ACLs e bloquiei as portas desnecessárias.
    Porém digamos que eu queira acessar uma máquina via Terminal Server (porta 3389).
    O pacote vai chegar no firewall, dai faço um DNAT pro proxy e do proxy pra máquina ou já posso fazer direto um DNAT para a estação de destino final?

    vlw

    0 0
  • Quote





    • Patrocínio

    Site hospedado pelo provedor RedeHost.
    Linux banner

    Destaques

    Artigos

    Configuração para desligamento automatizado de Computadores em um Ambiente Comercial

    O mínimo que você precisa saber sobre o terminal (parte 2)

    O mínimo que você precisa saber sobre o terminal (parte 1)

    Como iniciar uma máquina virtual do VirtualBox automaticamente no boot do LUbuntu 18 LTS

    Os navegadores "leves" que de leves não tem nada

    Dicas

    Como deixar as abas do Firefox mais fininhas

    Mudar o gerenciador de login (GDM para SDDM)

    "Tentando" fazer com que programas rodem no Wayland e no X11

    Saiu o Gnome 47 sem muito alarde com mais do mesmo

    Fedora Kinoite 40 — Instalação de drivers NVIDIA e Xorg

    Tópicos

    Erro ao iniciar Ubuntu 24.04.1 LTS - Management Owner Key - MoK (3)

    Versão do kernel (3)

    Notebook instalado com Linux Debian de fábrica dando problema (3)

    Windows XP rodando no Linux (4)

    Desktop travando e encerrando a execução (4)

    Top 10 do mês

    Scripts

    [Shell Script] Novo script para redimensionar, rotacionar, converter e espelhar arquivos de imagem

    [Shell Script] Iniciador de DOOM (DSDA-DOOM, Doom Retro ou Woof!)

    [Shell Script] Script para adicionar bordas às imagens de uma pasta

    [Shell Script] Telegram direto do site

    [Shell Script] Pós-instalação do openSUSE Tumbleweed

    A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.

    Site hospedado por: