Firewall + proxy

1. Firewall + proxy

wellington
wellington_a

(usa Debian)

Enviado em 21/01/2013 - 12:09h

iae galera blz?

To com uma dúvida.

Tenho uma rede da seguinte forma:

Internet ------ >(eth) Firewall (eth1)--------> (eth0) Proxy (eth1) -------> rede local

Na rede local direciono tudo que for para a porta 80 pra porta do Proxy (3128), até ai tudo bem, tudo funcionando.

Só estou com uma dúvida com relação ao bloqueio das portas.

Ex: Libero tudo que vem do proxy para a internet (forward). Mas digamos que eu queira bloquear alguns IPS para não acessarem a internet, esse bloqueio tem que ser feito no firewall do proxy certo?, porque quando o pacote vem do proxy ele já vem com ip de origem do proxy e não da máquina da rede local qu gerou o pacote.

Ou seja, na pratica estarei usando 2 firewalls na rede.

Outro exemplo. Bloqueio tudo pro firewall (forward) e caso queira liberar apenas o FTP, libero a porta 21 no forward certo?

Pois como estou testando esse modo de firewall + proxy, estou meio confuso em onde aplicar as regras.

Agradeço desde já a ajuda de vocês.




  


2. Re: Firewall + proxy

Reginaldo de Matias
saitam

(usa Slackware)

Enviado em 21/01/2013 - 14:39h

Se o firewall e proxy estiver em servidor separados, então deve fazer um DNAT.

Acho melhor e mais comum também deixar o firewall e proxy no mesmo servidor, logo atua como gateway da rede.


3. Re: Firewall + proxy

wellington
wellington_a

(usa Debian)

Enviado em 21/01/2013 - 16:38h

É pq não queria misturar os dois serviços.
Nesse caso o proxy se torna o gateway da rede certo?

Não sei se tem outra maneira mas eu fiz da seguinte forma:

fiz o forward entre as placas e apliquei um Masquerade em cada servidor (proxy e firewall).

Dessa forma os pacotes da rede chegam no firewall com o IP do Proxy, então nesse caso as regras de firewall de acesso tem que ser aplicadas no proxy, pois se aplicar no firewall ou libero tudo ou bloqueio tudo, pois tudo chega com ip do proxy.

Fiz assim:
Liberei o acesso total do firewall para a internet no firewall, e no proxy criei as ACLs e bloquiei as portas desnecessárias.
Porém digamos que eu queira acessar uma máquina via Terminal Server (porta 3389).
O pacote vai chegar no firewall, dai faço um DNAT pro proxy e do proxy pra máquina ou já posso fazer direto um DNAT para a estação de destino final?

vlw






Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts