On Sat, 25 Mar 2006, Leonardo Pinto wrote:
> Não estou querendo fazer, estou perguntando se é isto que o Godoy sugeriu.
> E o que parece você agora também sugerindo. Preciso saber como seria esta
> outra alternativa de IPs públicos dentro da DMZ. Como controlaria o tráfego
> pelo firewall. Por forward? Com bridge como você falou? Apenas com rotas?
> Não estou conseguindo mesurar o mecanismo. Até pouco tempo atrás também
> tinha a pobre ingenuidade que "escondido" atrás de nat box estaria protegido.
Ok, isso nos remete a velha ASCII arte :D
Em uma firewall linux os pacotes seguem por esta seqüências nas chains
pré-definidas:
Ext -> PREROUTING -+-> INPUT -> HOST -> OUTPUT -+-> POSTROUTING -> Int
| |
+---------> FORWARD ->-------+
Então se você usa IPs "reais" em sua rede interna o que precisa fazer é
limitar o acesso (aos endereços/serviços) que você acha necessário na
chain FORWARD :D As chains INPUT/OUTPUT tratam pacotes para/do HOST
(firewall).
Outro ponto no seu esquema vc coloca os endereços A.B.C.1 e A.B.C.2 nas
interfaces eth0 e eth1 (creio interna/externa) de sua firewall, isso não
funciona! Se vc. não vai usar NAT (masquerade, usando SNAT/DNAT é possível
definir qual será o endereço "real" a ser usado) o "correto" seria uma
configuração de IPs mais ou menos assim:
Internet -> Router (192.168.0.1) <-> (192.168.0.2) Firewall (IPs "reais")
Se o único host "externo" a sua rede que vai se comunicar com a sua
firewall é o seu roteador, a comunição entre eles pode ser feita através
de IPs reservados! Outra maneira seria a criação de subnets de sua faixa
de IPs "reais", mas IMHO isso é desperdicio :D
Antonio.
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Antonio S. Martins Jr. - Support Analist | "Only The Shadow Knows |
| Universidade Estadual de Maringa - Brasil| what evil lurks in the |
| NPD - Núcleo de Processamento de Dados | Heart of Men!" |
| E-Mail: [EMAIL PROTECTED] / [EMAIL PROTECTED] | !!! Linux User: 52392 !!! |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
---------------------------------------------------------------------------
Esta lista é patrocinada pela Conectiva S.A. Visite http://www.conectiva.com.br
Arquivo: http://bazar2.conectiva.com.br/mailman/listinfo/linux-br
Regras de utilização da lista: http://linux-br.conectiva.com.br
FAQ: http://www.zago.eti.br/menu.html
