Boa noite a todos :D Não sou muito especialista nesta area como o pessoal da lista, mas se estiver errado, peço a gentileza que me corrijam.
> > Sim, a maquina tem que ser um servidor interno mesmo.Assim: > > Link ADSL -> Firewall -> rede interna > > Por quê? Suponhamos que o firewall seja configurado assim: > (configuração extraída do Kurumin) > # Abre para uma faixa de endereços da rede local > iptables -A INPUT -p tcp --syn -s 192.168.0.0/255.255.255.0 -j ACCEPT > > # Abre para a interface de loopback. > # Esta regra é essencial para o KDE e outros programas gráficos > # funcionarem adequadamente. > > iptables -A INPUT -p tcp --syn -s 127.0.0.1/255.0.0.0 -j ACCEPT > > # Ignora qualquer pacote de entrada, vindo de qualquer endereço, a menos > # que especificado o contrário acima. Bloqueia tudo. > > iptables -A INPUT -p tcp --syn -j DROP > > ou seja, todo pacote de entrada que é de fora é bloqueado. > > Isto não impede, por exemplo, que o squid faça requisições HTTP para > fora e receba respostas não é? Não impede que o servidor smtp envie para o > smarthost (servidor do provedor) os e-mails de saída certo? Em suma, > não impede que a máquina firewall/servidor envie pacotes para fora e receba > respostas a estes pacotes. Ou impede? Até aqui não impede, pq quem esta solicitanto é a maquina Firewall/servidor, ou seja, é OUTPUT. > Esta é uma questão sobre a qual tenho dúvida e que é crucial. Se impede, > não há o que discutir: o servidor precisa receber respostas às suas > requisições para fora e, portanto, deve ser uma máquina distinta do firewall. Vc pode fazer a máquina Firewall/Servidor tb ser MTA. Mas seria melhor separar os serviços, pq: Imagina: Vc instala todos os serviços no Dell (web, samba, banco de dados, servidor de impressão). Agora, queima um HD (Deus que me perdoe) já pensou nisso? Como vc que sera o ADM tera que ter um plano de contingencia, isso sem contar os planos de segurança (Obs: e só um toque) > Deixa ver se entendi: suponhamos que eu tenha uma intranet fora da > internet, isolada. Esta rede deve ter um gateway, uma máquina > responsável por receber e entregar os pacotes, certo? Mas eu não preciso > de um router, pois não há lado de fora e lado de dentro. É isto? Não entendi direito, mas olha só: O gateway é responsavel pela saída de informação da rede interna para a externa. Se temos apenas uma rede local onde apenas as informações ficam na rede interna, não e necessário o gateway. (Não estou considerando que temos duas redes privadas diferentes) > Suponhamos que eu decida "ligar" esta rede à Internet. Então eu preciso > de uma máquina router, que dá uma mão para os indefesos pacotes > atravessarem a ponte :). É isto? Sim, pq o router "passa" a informação do link ADSL para sua rede interna > > Firewall e o firewall realiza o NAT para a rede interna. > > Certo. E é possível "desligar" o roteamento do modem? Depende do modem? Sim , ai vc tem que ver qual o modelo do modem. Basicamente o que vc tem que fazer e apenas ligar o link ADSL para uma maquina com Debian (que sera a maquina firewall) como se fosse uso residência (apenas uma maquina) então com o auxilio do iptables vc faz um NAT para sua rede interna. Entendeu? > Outra coisa, a máquina firewall, tens idéia de como dimensioná-la? Como > saber que performance eu preciso no firewall? Haverá poucas regras, em > princípio (suponho que isto tenha alguma relevância na performance). Um > link adsl (ainda não sei a taxa de upstream e dowstream). O pessoal comenta muito em usar no minimo (isso não e regra, mas tb vc não tem dor de cabeça) Pentium 166 com 128 mb (ja que vai usar o squid) hd de 6 gb. > >> 5) Sites, links e dicas sobre o assunto? Já li e estou estudando os > >> HOWTOS "clássicos", (networking, router...) da ldp, além da > >> documentação do netfilter. > > http://www.linuxit.com.br/ http://www.underlinux.com.br/ http://www.linuxquestions.org/questions/history/121379 (exemplo) > > > > []s! > > Legal. Mais uma vez, obrigado pela atenção > Já passei por isso tb na minha primeira aplicação de firewall para uma empresa, e muito legal. Tb tive um bom professor -> José Manuel Valente (Athens). Valeu Zéeee []s! -- Vinicius Vasconcellos User #277360 UIN 172941519 Debian #454 / [EMAIL PROTECTED]
