Henry e Rafael, Valeu mesmo pela ótima explicação. Já estava començando a desconfiar, fiz algumas pesquisas e não vi nada sobre isso. Como minha experiência é pouca com firewalls não sabia nada sobre o assunto.
Bom, Minha solução então para meu caso foi utilizar as regras de FORWARD para todo serviço de internet que não utilize a porta 80 (HTTP). iptables -t filter -A FORWARD -p tcp -s ip_da_minha_estacao --dport porta_do_servico -j ACCEPT Exemplo de minha configuração para uma estação de trabalho(workstation). iptables -t filter -A FORWARD -i $iflocal -p tcp -s 192.168.0.250 --dport 20:21 -j ACCEPT #Liberando FTP iptables -t filter -A FORWARD -i $iflocal -p tcp -s 192.168.0.250 --dport 25 -j ACCEPT # Liberando SMTP iptables -t filter -A FORWARD -i $iflocal -p tcp -s 192.168.0.250 --dport 110 -j ACCEPT # Liberando POP3 iptables -t filter -A FORWARD -i $iflocal -p tcp -s 192.168.0.250 --dport 443 -j ACCEPT # Liberando HTTPS Assim tenho o controle por estação de trabalho e o serviço a ser utilizado. Me corrijam se eu estiver errado com a minha solução ! Outra coisa o protocolo FTP é muito chato e fresco para esse caso eu utilizo as seguintes regras no meu script de firewall. # Liberando FTP #iptables -A INPUT -p tcp --dport 20 -j ACCEPT iptables -A INPUT -p tcp --dport 21 -j ACCEPT #iptables -A INPUT -p tcp --dport 21 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT # Minha inclusão iptables -A INPUT -p tcp --sport 21 -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A OUTPUT -p tcp --dport 21 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT iptables -A INPUT -p tcp --sport 20 -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A OUTPUT -p tcp --dport 20 -m state --state ESTABLISHED -j ACCEPT iptables -A INPUT -p tcp --sport 1024: --dport 1024: -m state --state ESTABLISHED -j ACCEPT iptables -A OUTPUT -p tcp --sport 1024: --dport 1024: -m state --state ESTABLISHED,RELATED -j ACCEPT # Fim FTP # Liberando FTP pra o IP 192.168.0.29 iptables -A FORWARD -i $iflocal -p tcp -s 192.168.0.29 -m multiport --dports 20,21 -j ACCEPT # FTP Ele server para detectar se a conexão foi estabelicida realmente pelo seu computador e habilita o tráfego nas portas altas e aletórias que o FTP realiza. É mais ou menos isso ;-) Estou com problemas de utilizar Squid + Iptables + HTB, mas deixa isso pra outro tópico :-) obrigado, -- Adauto Serpa Tecnólogo em Informática Jabber: adautose...@jabber.org Email: adautose...@gmail.com MSN: junio...@hotmail.com 2009/1/22 henry <jmhenri...@yahoo.com.br>: > On Thursday 22 January 2009 18:15:24 Adauto Serpa wrote: >> Antônio, >> >> >> A minha idéia seria fazer o FTP passar pelo proxy transparent. >> Também gostaria de fazer isso com as conexões https(443). >> >> Se eu apenas encaminhas conexão não estarei fazendo cache do >> FTP nem das Páginas Https, apenas conexões na porta 80 Http >> >> Desde já agradeço, >> > > O proxy transparente é bem claro... so-e-tão-somente na porta 80, e so e > somente para metodo GET/POST/HEAD/OPTIONS no protocolo http. Simples assim. > Nem mais, nem menos (me corrijam se estiver errado, parei de pesquisar isso a > cerca de 3 anos atras. ) > > O protocolo ftp é cheio das frescuras, tanto que temos alguns modulos > especificos para ftp na arvore do kernel do linux, por ex. > > Conexões https (ssl, ou 443) não são cacheadas, e não importa o quanto vc bata > o pé dizendo que quer que sejam cacheadas, o squid não fará cache, seja no > modo transparente ou no modo "manual". > O modo manual apenas usa o metodo connect para fazer a conexão ssl do > navegador, algo que vc poderia tambem fazer usando alguma regra de nat no seu > firewall, so que usando a nat ao invés de informar o ip do proxy no > navegador, vc tem que gerenciar toneladas de logs de iptables - se é que vc > fará log disso - para saber se por ex, os seus usuários estão usando > ultrasurf, algum viruzinho que usa ssl, algum espertinho usando ssltunel, e > outros comportamentos nocivos para a sua rede. > E apos isso, manter duas listas de bloqueios: uma no squid, outra no firewall, > sendo que somente precisaria manter a do squid. E ler dois logs também. > > Sim, usar proxy transparente é facinho facinho, mas dá mto mais trabalho para > o administrador se-e-somente-se ele quiser manter a rede segura e livre de > pragas. > > com o ssl, esquece. não vai funcionar de jeito algum. E nem é pra funcionar. > > Com o ftp, talvez. Mas o google não retornou nada que se aproveitasse ao seu > caso. E pela experiencia..... ;) > > [ ]s, e divirta-se. > Henry > > > -- > To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org > with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org > > -- To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org