Muito obrigado Fábio pela resposta! Eu já andei considerando sim alguns appliance como o próprio Untangle que já é Debian, o endian e o pfsense, mas tenho o desejo de dominar a administração e implementação de roteadores/firewalls em iptables na mão mesmo mas confesso que essas soluções não estão descartadas. Será que para uma rede de aproximadamente 2500 usuários e mais de 3000 pontos de rede e com um link de internet de 1Gb o shorewall suportaria numa boa sem pedir arrego? Claro, considerando que ele será instalado em um servidor robusto também. O shorewall é um appliance também? Baseado em que distribuição?
Moksha Em 26 de abril de 2012 10:40, Fábio Rabelo <[email protected]>escreveu: > Bom dia ... > > Se o Sr. considera difícil o uso direto do iptables, o Sr. poderia > considerar um front-end ! > Eu uso o shorewall : > > http://shorewall.net/ > > http://people.connexer.com/~roberto/debian/ > > um simples "apt-get install shorewall-perl" e já estará instalado . > > E para manter um número muito grande de regras, ele é uma verdadeira mão > na massa !!! > > > Fábio Rabelo > > > > > Em 25 de abril de 2012 22:56, Moksha Tux <[email protected]> escreveu: > > Boa noite queridos amigos! >> >> Estou construindo um roteador com iptables para o trabalho mas antes >> estou colhendo bastante informações pois não considero esta ferramenta >> fácil mas já estou tendo algum exito a miha dúvida é a seguinte... por ser >> um roteador devo prestar atenção nas regras INPUT que no caso seria >> relacionado ao próprio host (sistema) e FORWARD que trataria dos pacotes >> vão "atravessar" este host, sendo assim, as regras de proteção eu devo >> implementá-las tanto em INPUT quanto em FARWARD ex: >> >> *#====================== >> # REGRAS PARA PROTEÇÃO >> #====================== >> ## INPUT >> >> # CONTRA PING DA MORTE >> iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s >> -j ACCEPT >> >> # ACEITANDO CONEXÕES >> iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT >> >> >> # CONTRA PORTCAN OCULTO >> iptables -A INPUT -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit >> 1/s -j ACCEPT >> iptables -A INPUT -p tcp --tcp-flags ALL SYN,ACK -j DROP >> >> # ACEITANDO CONEXÕES >> iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT >> >> >> ************************************************************************************************ >> ## FORWARD >> >> # CONTRA PING DA MORTE >> iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s >> -j ACCEPT >> >> # ACEITANDO CONEXÕES* * >> iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT >> >> # CONTRA PORTCAN OCULTO* * >> iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit >> --limit 1/s -j ACCEPT >> iptables -A FORWARD -p tcp --tcp-flags ALL SYN,ACK -j DROP >> >> >> # ACEITANDO CONEXÕES* * >> iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT >> >> **#============================== >> # FIM DAS REGRAS PARA PROTEÇÃO >> #==============================* >> * >> * >> Estaria eu tendo uma dúvida relevante ou simplesmente viajando >> literalmente na maionese pergunto isto pois concluí que existe a proteção >> tanto para o host quanto para a rede. Agradeço desde já que puder me >> orientar a respeito. Grande abraço, >> >> Moksha >> >> >
