Não, o Shorewall não é um apliance, é um front-end . Ele fica entre o iptables e o administrador da rede, facilita em muito a administração qdo existem muitas regras do iptables .
Eu uso geralmente o webmin para gerenciar o shorewall . O Shorewall pode ser instalado em qualquer distribuição ! Fábio Rabelo Em 26 de abril de 2012 11:19, Moksha Tux <[email protected]> escreveu: > Muito obrigado Fábio pela resposta! > > Eu já andei considerando sim alguns appliance como o próprio Untangle que > já é Debian, o endian e o pfsense, mas tenho o desejo de dominar a > administração e implementação de roteadores/firewalls em iptables na mão > mesmo mas confesso que essas soluções não estão descartadas. Será que para > uma rede de aproximadamente 2500 usuários e mais de 3000 pontos de rede e > com um link de internet de 1Gb o shorewall suportaria numa boa sem pedir > arrego? Claro, considerando que ele será instalado em um servidor robusto > também. O shorewall é um appliance também? Baseado em que distribuição? > > Moksha > > Em 26 de abril de 2012 10:40, Fábio Rabelo > <[email protected]>escreveu: > > Bom dia ... >> >> Se o Sr. considera difícil o uso direto do iptables, o Sr. poderia >> considerar um front-end ! >> Eu uso o shorewall : >> >> http://shorewall.net/ >> >> http://people.connexer.com/~roberto/debian/ >> >> um simples "apt-get install shorewall-perl" e já estará instalado . >> >> E para manter um número muito grande de regras, ele é uma verdadeira mão >> na massa !!! >> >> >> Fábio Rabelo >> >> >> >> >> Em 25 de abril de 2012 22:56, Moksha Tux <[email protected]> escreveu: >> >> Boa noite queridos amigos! >>> >>> Estou construindo um roteador com iptables para o trabalho mas antes >>> estou colhendo bastante informações pois não considero esta ferramenta >>> fácil mas já estou tendo algum exito a miha dúvida é a seguinte... por ser >>> um roteador devo prestar atenção nas regras INPUT que no caso seria >>> relacionado ao próprio host (sistema) e FORWARD que trataria dos pacotes >>> vão "atravessar" este host, sendo assim, as regras de proteção eu devo >>> implementá-las tanto em INPUT quanto em FARWARD ex: >>> >>> *#====================== >>> # REGRAS PARA PROTEÇÃO >>> #====================== >>> ## INPUT >>> >>> # CONTRA PING DA MORTE >>> iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s >>> -j ACCEPT >>> >>> # ACEITANDO CONEXÕES >>> iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT >>> >>> >>> # CONTRA PORTCAN OCULTO >>> iptables -A INPUT -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit >>> --limit 1/s -j ACCEPT >>> iptables -A INPUT -p tcp --tcp-flags ALL SYN,ACK -j DROP >>> >>> # ACEITANDO CONEXÕES >>> iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT >>> >>> >>> ************************************************************************************************ >>> ## FORWARD >>> >>> # CONTRA PING DA MORTE >>> iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit >>> 1/s -j ACCEPT >>> >>> # ACEITANDO CONEXÕES* * >>> iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT >>> >>> # CONTRA PORTCAN OCULTO* * >>> iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit >>> --limit 1/s -j ACCEPT >>> iptables -A FORWARD -p tcp --tcp-flags ALL SYN,ACK -j DROP >>> >>> >>> # ACEITANDO CONEXÕES* * >>> iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT >>> >>> **#============================== >>> # FIM DAS REGRAS PARA PROTEÇÃO >>> #==============================* >>> * >>> * >>> Estaria eu tendo uma dúvida relevante ou simplesmente viajando >>> literalmente na maionese pergunto isto pois concluí que existe a proteção >>> tanto para o host quanto para a rede. Agradeço desde já que puder me >>> orientar a respeito. Grande abraço, >>> >>> Moksha >>> >>> >> >
