Ah! Sim agora entendi, ele é um pacote cujo a finalidade é trabalhar entre o iptables e o admin como o senhor mesmo explicou e possui uma interface que torna tanto a dministração quanto a implementação do firewall mais amigável. Não seria isso então?
Moksha Em 26 de abril de 2012 12:19, Fábio Rabelo <[email protected]>escreveu: > Não, o Shorewall não é um apliance, é um front-end . > > Ele fica entre o iptables e o administrador da rede, facilita em muito a > administração qdo existem muitas regras do iptables . > > Eu uso geralmente o webmin para gerenciar o shorewall . > > O Shorewall pode ser instalado em qualquer distribuição ! > > > Fábio Rabelo > > > > Em 26 de abril de 2012 11:19, Moksha Tux <[email protected]> escreveu: > > Muito obrigado Fábio pela resposta! >> >> Eu já andei considerando sim alguns appliance como o próprio Untangle que >> já é Debian, o endian e o pfsense, mas tenho o desejo de dominar a >> administração e implementação de roteadores/firewalls em iptables na mão >> mesmo mas confesso que essas soluções não estão descartadas. Será que para >> uma rede de aproximadamente 2500 usuários e mais de 3000 pontos de rede e >> com um link de internet de 1Gb o shorewall suportaria numa boa sem pedir >> arrego? Claro, considerando que ele será instalado em um servidor robusto >> também. O shorewall é um appliance também? Baseado em que distribuição? >> >> Moksha >> >> Em 26 de abril de 2012 10:40, Fábio Rabelo >> <[email protected]>escreveu: >> >> Bom dia ... >>> >>> Se o Sr. considera difícil o uso direto do iptables, o Sr. poderia >>> considerar um front-end ! >>> Eu uso o shorewall : >>> >>> http://shorewall.net/ >>> >>> http://people.connexer.com/~roberto/debian/ >>> >>> um simples "apt-get install shorewall-perl" e já estará instalado . >>> >>> E para manter um número muito grande de regras, ele é uma verdadeira mão >>> na massa !!! >>> >>> >>> Fábio Rabelo >>> >>> >>> >>> >>> Em 25 de abril de 2012 22:56, Moksha Tux <[email protected]> escreveu: >>> >>> Boa noite queridos amigos! >>>> >>>> Estou construindo um roteador com iptables para o trabalho mas antes >>>> estou colhendo bastante informações pois não considero esta ferramenta >>>> fácil mas já estou tendo algum exito a miha dúvida é a seguinte... por ser >>>> um roteador devo prestar atenção nas regras INPUT que no caso seria >>>> relacionado ao próprio host (sistema) e FORWARD que trataria dos pacotes >>>> vão "atravessar" este host, sendo assim, as regras de proteção eu devo >>>> implementá-las tanto em INPUT quanto em FARWARD ex: >>>> >>>> *#====================== >>>> # REGRAS PARA PROTEÇÃO >>>> #====================== >>>> ## INPUT >>>> >>>> # CONTRA PING DA MORTE >>>> iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s >>>> -j ACCEPT >>>> >>>> # ACEITANDO CONEXÕES >>>> iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT >>>> >>>> >>>> # CONTRA PORTCAN OCULTO >>>> iptables -A INPUT -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit >>>> --limit 1/s -j ACCEPT >>>> iptables -A INPUT -p tcp --tcp-flags ALL SYN,ACK -j DROP >>>> >>>> # ACEITANDO CONEXÕES >>>> iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT >>>> >>>> >>>> ************************************************************************************************ >>>> ## FORWARD >>>> >>>> # CONTRA PING DA MORTE >>>> iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit >>>> 1/s -j ACCEPT >>>> >>>> # ACEITANDO CONEXÕES* * >>>> iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT >>>> >>>> # CONTRA PORTCAN OCULTO* * >>>> iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit >>>> --limit 1/s -j ACCEPT >>>> iptables -A FORWARD -p tcp --tcp-flags ALL SYN,ACK -j DROP >>>> >>>> >>>> # ACEITANDO CONEXÕES* * >>>> iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT >>>> >>>> **#============================== >>>> # FIM DAS REGRAS PARA PROTEÇÃO >>>> #==============================* >>>> * >>>> * >>>> Estaria eu tendo uma dúvida relevante ou simplesmente viajando >>>> literalmente na maionese pergunto isto pois concluí que existe a proteção >>>> tanto para o host quanto para a rede. Agradeço desde já que puder me >>>> orientar a respeito. Grande abraço, >>>> >>>> Moksha >>>> >>>> >>> >> >
