Re: [FUG-BR] Ajuda para implementação de Firewall
solução bem esperta (e de expert) essa sua. Vc deveria vir mais vêzes (rss) -- saudações, irado furioso com tudo Linux User 179402/FreeBSD BSD50853/FUG-BR 154 Não uso drogas - 100% Miko$hit-free Tudo o que Existe egressa do Ser e regressa ao Ser. O Ser é o Insondável Tao. Das profundezas do Ser nascem todos os seres que existem. O Ser, porém, é o abismo do Não-Existir. hahaha, ninja né.. mas de momento é o que funciona.. por isso quero fazer as coisas do zero, igual gente grande.. Aproveitando o gancho, revirei o histórico da lista estudei o faq do pf do openbsd, mais ainda ta meio vago pra mim montar um pf do zero.. por hora minha necessidade seria de colocar um pf rodando coisas básicas no inicio até poder digerir o funcionamento dele e usar outras coisas mais underground como controle de banda, load balance, etc... situação: internet -- modem adsl -- firewall (pf) -- lan rede: 192.168.1.0/24 modem: W 201.201.201.X - L 192.168.254.254 firewall: W xl0: 192.168.254.1 - L vr0192.168.1.1 servidor: rl0 192.168.1.5 O modem estaria fazendo nat tudo que chega pro firewall, de fora eu precisaria de um acesso ssh 22XX pra manutenção no firewall e nat pra dns/53 pra onde esta rodando um dns slave (192.168.1.5).. dentro pra fora estaria liberando todo acesso passando pelo proxy/squid instalado nesse firewall, inclusive acesso a ftp pra fora, nessa lan tem alguns notebooks que iriam pegar um dhcp (ou seja teria que ter um dhcpserver também).. e que esses books tb passassem pelo proxy, e precisava apenas uma estação pra vazar sem restrição de nda.. Não sei se consegui ser claro, mas é isso, agradeço muito qqr ajuda.. preciso do caminho das pedras Moiza - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Ajuda para implementação de Firewall
Em Mon, 21 May 2007 17:44:19 -0300 Fabio Rafael [EMAIL PROTECTED] escreveu: porém gerei um pacote .tbz do squid do sarg e peguei um script em pearl na net pra criação/utilização do htpasswd, solução bem esperta (e de expert) essa sua. Vc deveria vir mais vêzes (rss) flames /dev/null -- saudações, irado furioso com tudo Linux User 179402/FreeBSD BSD50853/FUG-BR 154 Não uso drogas - 100% Miko$hit-free Tudo o que Existe egressa do Ser e regressa ao Ser. O Ser é o Insondável Tao. Das profundezas do Ser nascem todos os seres que existem. O Ser, porém, é o abismo do Não-Existir. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Ajuda para implementação de Firewall
Oi Cristina, estava aqui na lista procurando alguma coisa sobre pf+altq, (sou um usuario um tanto passivo) e cheguei até sua msg, não sei se de momento vai ajudar, mas só pra relatar... entrei no mundo pf primeiramente com o pfsense, na verdade não conhecia nada de firewalls depois de um longo periodo de estabilidade com vários outros serviços aqui na empresa, volto novamente tentando reaprender o pf na unha Bem vc comentou sobre squid no pfsense (tenho rodando em 5 servidores, um em cada filial da empresa, realmente o que vem no packages é mais enxuto, porém gerei um pacote .tbz do squid do sarg e peguei um script em pearl na net pra criação/utilização do htpasswd, ja que o pfsense vem com o lighttpd, joguei pra dentro dele e instalei.. (nao criei toda estrutura da arvore de ports pq esse firewall era um hardware meio limitado), ou seja administro o squid não pela interface webgui e sim na console direto.. apenas tive que adicionar em squid_enable=YES para levantar no boot... []s -- Fabio A. Rafael (moiza) Em 18/05/07, Cristina Fernandes Silva [EMAIL PROTECTED] escreveu: Obrigada amigos.. Agora Mauro, o pfsense tem squid ? vc ja usou ele ? tem algo a dizer.. andei pesquisado e o squid que ele usa é light é verdade ? Cristina --- Mauro Felipe [EMAIL PROTECTED] escreveu: Em 18/05/07, Isnard Delacoste Jaquet Junior[EMAIL PROTECTED] escreveu: Cristina, tu poderias colocar o freebsd entre o gw e o resto da rede e usar bridge com redirecionamento para o proxy. Tudo na mesma máquina. Fizemos isso em um cliente que não poderia alterar a estrutura. Ficou assim: Internet - GW - bridge/proxy - LAN Para facilitar a sua administração eu recomendaria o PFSense em modo bridge. Dá uma olhada no site www.pfsense.com e conforme o nosso amigo Isnard falou você não teria que mexer no seu endereçamento de rede. Abraços, Mauro Felipe - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd __ Fale com seus amigos de graça com o novo Yahoo! Messenger http://br.messenger.yahoo.com/ - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Ajuda para implementação de Firewall
Em Fri, 18 May 2007 10:29:46 -0300 (ART) Cristina Fernandes Silva [EMAIL PROTECTED] escreveu: Entao resumindo.. ficaria como o irado falou ? / GW //Proxy/---/switch/-- lan ??? sim, necessáriamente. Exceto que, como já mencionei, vc terá que ter algum dos aplicativos (ipfw/pf/ipfilter) para BLOQUEAR a navegação direta, forçando todo mundo a seguir pelo proxy. As únicas exceções são os tradicionais (conectividade social da caixa, por ex). Apenas para meu próprio esclarecimento: na arte ASCII acima, o lado esquerdo do GW tá apontando pra Internet.. ou não? se não, convém vc fazer arte também, informando o seu topológico real. flames /dev/null -- saudações, irado furioso com tudo Linux User 179402/FreeBSD BSD50853/FUG-BR 154 Não uso drogas - 100% Miko$hit-free Tudo o que Existe egressa do Ser e regressa ao Ser. O Ser é o Insondável Tao. Das profundezas do Ser nascem todos os seres que existem. O Ser, porém, é o abismo do Não-Existir. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Ajuda para implementação de Firewall
A topologia da rede é essa / Matriz /---/GW / - ---|Frame Relay|-- --/ GW //switch// LAN A proposto / Matriz /---/GW / - ---|Frame Relay|-- --/ GW /---/Firewall_Proxy//switch// LAN IP da LAN todos no mesmo segumento, inclusive o Firewall. correto ? sera que vai dar certo ? Obrigada --- irado furioso com tudo [EMAIL PROTECTED] escreveu: Em Fri, 18 May 2007 10:29:46 -0300 (ART) Cristina Fernandes Silva [EMAIL PROTECTED] escreveu: Entao resumindo.. ficaria como o irado falou ? / GW //Proxy/---/switch/-- lan ??? sim, necessáriamente. Exceto que, como já mencionei, vc terá que ter algum dos aplicativos (ipfw/pf/ipfilter) para BLOQUEAR a navegação direta, forçando todo mundo a seguir pelo proxy. As únicas exceções são os tradicionais (conectividade social da caixa, por ex). Apenas para meu próprio esclarecimento: na arte ASCII acima, o lado esquerdo do GW tá apontando pra Internet.. ou não? se não, convém vc fazer arte também, informando o seu topológico real. flames /dev/null -- saudações, irado furioso com tudo Linux User 179402/FreeBSD BSD50853/FUG-BR 154 Não uso drogas - 100% Miko$hit-free Tudo o que Existe egressa do Ser e regressa ao Ser. O Ser é o Insondável Tao. Das profundezas do Ser nascem todos os seres que existem. O Ser, porém, é o abismo do Não-Existir. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd __ Fale com seus amigos de graça com o novo Yahoo! Messenger http://br.messenger.yahoo.com/ - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Ajuda para implementação de Firewall
Amigos vou explicar melhor.. fiz a correção da pergunta e vou colocar aqui novamente O que a empresa quer implementar é mais o proxy e nao o firewall como ciitei antes., é uma rede Frame Ralay interligado com a Matriz, onde a internet é disponibilizada pela matriz, o objetivo é diminuir o trafefo do Link para internet, por isso o uso do proxy. o GW é o roteador (10.10.10.1) configurado para Frame Relay. Não posso alterar as configurações do servidor Windows pq a matriz se utiliza para acessar via Terminal Remoto do Windows as maquinas para fazer algum suporte. Elas estão no Active Diretory. Entao resumindo.. ficaria como o irado falou ? / GW //Proxy/---/switch/-- lan ??? Cristina ? --- irado furioso com tudo [EMAIL PROTECTED] escreveu: Em Fri, 18 May 2007 09:34:46 -0300 (ART) Cristina Fernandes Silva [EMAIL PROTECTED] escreveu: IP GW - 10.10.10.1 IP Servidor WIN2003 - 10.10.10.5 Para implementar o Firewall/Squid transparente é necessario colocar uma maquina FreeBSD entre o servidor Win2003 e o GW ? poderia colocar com o ip 10.10.10.2. estou certa ? Terei que alterar algo no Windows 2003. Qual seria a opiniao de vcs.. não chegou realmente a me ficar muito claro, então vai como entendi: o GW que vc menciona é o roteador que leva vc para a internet? se sim: / GW //O_SeuNovoFirewall/---/switch/-- lan seu novo fw pode DEVERIA ter ip-addr compatível com o GW (10.10..) mas DIFERENTE dos ip-addr da sua rede interna para evitar que algum engraçadinho mude um cabo no switch entre um e outro e fique livre pra navegar à vontade no mundo (rss). Nêsse seu novo fw vc pode usar o pf para forçar TODOS a passarem pelo squid; Existe bastante documentação a respeito, o google me achou algumas bem interessantes e que podem responder bem diretamente à sua necessidade: http://under-linux.org/1826-proxy-transparente-no-linux-openbsd-e-freebsd.html http://www.onlamp.com/pub/a/bsd/2006/02/16/os_fingerprint_filtering.html divirta-se :) flames /dev/null -- saudações, irado furioso com tudo Linux User 179402/FreeBSD BSD50853/FUG-BR 154 Não uso drogas - 100% Miko$hit-free Tudo o que Existe egressa do Ser e regressa ao Ser. O Ser é o Insondável Tao. Das profundezas do Ser nascem todos os seres que existem. O Ser, porém, é o abismo do Não-Existir. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd __ Fale com seus amigos de graça com o novo Yahoo! Messenger http://br.messenger.yahoo.com/ - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Ajuda para implementação de Firewall
Em Fri, 18 May 2007 09:34:46 -0300 (ART) Cristina Fernandes Silva [EMAIL PROTECTED] escreveu: IP GW - 10.10.10.1 IP Servidor WIN2003 - 10.10.10.5 Para implementar o Firewall/Squid transparente é necessario colocar uma maquina FreeBSD entre o servidor Win2003 e o GW ? poderia colocar com o ip 10.10.10.2. estou certa ? Terei que alterar algo no Windows 2003. Qual seria a opiniao de vcs.. não chegou realmente a me ficar muito claro, então vai como entendi: o GW que vc menciona é o roteador que leva vc para a internet? se sim: / GW //O_SeuNovoFirewall/---/switch/-- lan seu novo fw pode DEVERIA ter ip-addr compatível com o GW (10.10..) mas DIFERENTE dos ip-addr da sua rede interna para evitar que algum engraçadinho mude um cabo no switch entre um e outro e fique livre pra navegar à vontade no mundo (rss). Nêsse seu novo fw vc pode usar o pf para forçar TODOS a passarem pelo squid; Existe bastante documentação a respeito, o google me achou algumas bem interessantes e que podem responder bem diretamente à sua necessidade: http://under-linux.org/1826-proxy-transparente-no-linux-openbsd-e-freebsd.html http://www.onlamp.com/pub/a/bsd/2006/02/16/os_fingerprint_filtering.html divirta-se :) flames /dev/null -- saudações, irado furioso com tudo Linux User 179402/FreeBSD BSD50853/FUG-BR 154 Não uso drogas - 100% Miko$hit-free Tudo o que Existe egressa do Ser e regressa ao Ser. O Ser é o Insondável Tao. Das profundezas do Ser nascem todos os seres que existem. O Ser, porém, é o abismo do Não-Existir. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Ajuda para implementação de Firewall
Não seria viável colocar o esse proxy como bridge ? A topologia da rede é essa / Matriz /---/GW / - ---|Frame Relay|-- --/ GW //switch// LAN A proposto / Matriz /---/GW / - ---|Frame Relay|-- --/ GW /---/Firewall_Proxy//switch// LAN IP da LAN todos no mesmo segumento, inclusive o Firewall. correto ? sera que vai dar certo ? Obrigada --- irado furioso com tudo [EMAIL PROTECTED] escreveu: Em Fri, 18 May 2007 10:29:46 -0300 (ART) Cristina Fernandes Silva [EMAIL PROTECTED] escreveu: Entao resumindo.. ficaria como o irado falou ? / GW //Proxy/---/switch/-- lan ??? sim, necessáriamente. Exceto que, como já mencionei, vc terá que ter algum dos aplicativos (ipfw/pf/ipfilter) para BLOQUEAR a navegação direta, forçando todo mundo a seguir pelo proxy. As únicas exceções são os tradicionais (conectividade social da caixa, por ex). Apenas para meu próprio esclarecimento: na arte ASCII acima, o lado esquerdo do GW tá apontando pra Internet.. ou não? se não, convém vc fazer arte também, informando o seu topológico real. flames /dev/null -- saudações, irado furioso com tudo Linux User 179402/FreeBSD BSD50853/FUG-BR 154 Não uso drogas - 100% Miko$hit-free Tudo o que Existe egressa do Ser e regressa ao Ser. O Ser é o Insondável Tao. Das profundezas do Ser nascem todos os seres que existem. O Ser, porém, é o abismo do Não-Existir. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd __ Fale com seus amigos de graça com o novo Yahoo! Messenger http://br.messenger.yahoo.com/ - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Esta mensagem foi verificada pelo sistema de antivírus e acredita-se estar livre de perigo. -- Junior Pires Assistente de Informáica CPD Gujão Alimentos. Tel: (75) 3244-2121 (Ramal 218). -- Esta mensagem foi verificada pelo sistema de antivírus e acredita-se estar livre de perigo. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Ajuda para implementação de Firewall
Em 18/05/07, Isnard Delacoste Jaquet Junior[EMAIL PROTECTED] escreveu: Cristina, tu poderias colocar o freebsd entre o gw e o resto da rede e usar bridge com redirecionamento para o proxy. Tudo na mesma máquina. Fizemos isso em um cliente que não poderia alterar a estrutura. Ficou assim: Internet - GW - bridge/proxy - LAN Para facilitar a sua administração eu recomendaria o PFSense em modo bridge. Dá uma olhada no site www.pfsense.com e conforme o nosso amigo Isnard falou você não teria que mexer no seu endereçamento de rede. Abraços, Mauro Felipe - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Ajuda para implementação de Firewall
Obrigada amigos.. Agora Mauro, o pfsense tem squid ? vc ja usou ele ? tem algo a dizer.. andei pesquisado e o squid que ele usa é light é verdade ? Cristina --- Mauro Felipe [EMAIL PROTECTED] escreveu: Em 18/05/07, Isnard Delacoste Jaquet Junior[EMAIL PROTECTED] escreveu: Cristina, tu poderias colocar o freebsd entre o gw e o resto da rede e usar bridge com redirecionamento para o proxy. Tudo na mesma máquina. Fizemos isso em um cliente que não poderia alterar a estrutura. Ficou assim: Internet - GW - bridge/proxy - LAN Para facilitar a sua administração eu recomendaria o PFSense em modo bridge. Dá uma olhada no site www.pfsense.com e conforme o nosso amigo Isnard falou você não teria que mexer no seu endereçamento de rede. Abraços, Mauro Felipe - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd __ Fale com seus amigos de graça com o novo Yahoo! Messenger http://br.messenger.yahoo.com/ - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Ajuda para implementação de Firewall
Isnard, Desculpe a ignorancia.. mas neste tutorial existe para FreeBSD ? eu nao vi.. --- Isnard Delacoste Jaquet Junior [EMAIL PROTECTED] escreveu: Cristina, tu poderias colocar o freebsd entre o gw e o resto da rede e usar bridge com redirecionamento para o proxy. Tudo na mesma máquina. Fizemos isso em um cliente que não poderia alterar a estrutura. Ficou assim: Internet - GW - bridge/proxy - LAN Não é muito difícil de implementar e fica transparente para os clientes. O link abaixo é de um artigo de como implementar com linux, mas tem com bsd também (obviamente). http://freshmeat.net/articles/view/1433/ Att., Isnard Sex, 2007-05-18 às 10:29 -0300, Cristina Fernandes Silva escreveu: roteador - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd __ Fale com seus amigos de graça com o novo Yahoo! Messenger http://br.messenger.yahoo.com/ - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Ajuda para implementação de Firewall
Em 18/05/07, Cristina Fernandes Silva[EMAIL PROTECTED] escreveu: Obrigada amigos.. Agora Mauro, o pfsense tem squid ? vc ja usou ele ? tem algo a dizer.. andei pesquisado e o squid que ele usa é light é verdade ? Cristina Ele tem o pacote squid sim, mas eu recomendo você montar um laboratório e testar as suas necessidades. -- [ ]´s Mauro Felipe - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Ajuda para implementação de Firewall
Douglas, Eu vou discordar de vc.. pelo simples fato da menina fazer uma pergunta de Como fazer.. vc menciona tem capacidade ?? que irá fazer um serviço meia boca.. Esse tipo de comentario nao ajuda nada.. varios colegas ajudaram e deram uma ideia.. que pode ser feito como o Irado falou e o island.. usando brigde. Mãos a obra.. cristina.. qualquer erro ou duvida pode postar.. Em 18/05/07, Douglas Santos[EMAIL PROTECTED] escreveu: Original Message Subject: [FUG-BR] Ajuda para implementação de Firewall From: Cristina Fernandes Silva [EMAIL PROTECTED] Date: Fri, May 18, 2007 8:34 am To: Lista Brasileira de Discussão sobre FreeBSD freebsd@fug.com.br Pessoal, Estou com uma empresa que me pediu para implementar um Firewall/Servidor Proxy numa rede ja configurada com um Servidor Windows 2003 usado para serviços de DNS, DHCP e WINS, eis a situação. Eu sou da segunte opiniao, contrate um especialista porque voce nao tem nenhuma ideia do que esta fazendo. No minimo vai prejudicar a empresa, atrasando a implementacao e oferecendo um servico meia-boca. Uma coisa eh voce chegar na lista questionando um problema na configuracao ou ate provavelmente um bug no squid, apresentando os devidos logs, etc. Outra eh voce chegar sem nocao, informando um numero ip e perguntar o que eu faco agora. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
