Edson.
Existe um livro muito bom, Linux Firewalls 3rd Edition da Novell
Press que ensina como configurar firewalls em diversos tipos de
topologias de rede, mostrando passo a passo como liberar certos tipos de
protocolos, fazer debug, configurar tipos diferentes de NAT e Port
Forwarding, etc. Tudo usando iptables, o exemplo que eu enviei
anteriormente como resposta a outro e-mail foi feito baseado no conteúdo
deste livro.
Quanto aos protocolos P2P e IM, o simples fato de não liberar o NAT
diretamente para a rede local já bloqueia boa parte deste tráfego,
alguns clientes IM utilizam até HTTP para a comunicação, existem regras
que podem ser colocadas dentro do squid também para bloqueá-los.
Existe um módulo para o iptables chamado ipp2p que serviria para
bloquear isso, porém nunca utilizei ele, só sei que existe.
Quanto ao controle de banda, existe um programa chamado shaper que
pode ser usado com o iptables através de marcação de pacotes e o squid
pode trabalhar com "delay pools" também. Cheguei a testar o shaper mas
não utilizei ele realmente, já utilizei os delay pools do squid para
diminuir a banda de usuários que baixavam muita coisa através do squid
da minha rede, configurava eles por máquina e não por usuário.
Edmundo.
Edson - PMSS escreveu:
Estou precisando criar um firewall do zero com as seguintes características:
Micro com 3 placas de rede
net eth0 200.XXX.XXX.XXX/24
loc eth1 10.XX.XX.XX/16
dmz eth2 200.XXX.XXX.XXX/24
Na dmz eu tenho duas máquinas DNS1-FTP, DNS2-e-mail
Na rede loc (local) eu tenho uma das máquinas com squid (Proxy)
O que eu preciso é bloquear todo o acesso externo e permitir somente que
funcione os serviços mencionados acima na dmz (que tem ip válido na net) e
fazer todo mundo sair pelo proxy. Desejo também bloquear MSN, YAHOO, KAZAA,
P2P, etc e controlar banda de acesso por usuário.
Agradeço qualquer dica.
Edson
Esta mensagem foi verificada pelo E-mail Protegido Terra.
Scan engine: McAfee VirusScan / Atualizado em 18/09/2006 / Versão: 4.4.00/4854
Proteja o seu e-mail Terra: http://mail.terra.com.br/
--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]