Perguntas & Respostas

Publicada por lf_sm em 29/06/2007 - 10:40h:
* lf_sm usa CentOS

Atualmente tenho um servidor firewall utilizando Slackware Iptables, Squid e CBQ.
Tenho 140 maquinas na rede, e tenho algumas que não pode navegar ou utilizar qualquer serviço da internet.
Utilizo proxy transparente, redirecionado para a 3128, e tenho as regras de bloqueio.
Tenho 3 arquivos de CBQ, onde um é de 128 Kbps, outro de 256 /Kbps e um que está em 1kbps, cujo esses ips não conseguiriam navegar.

No iptables criei a seguinte regra:
-------------------------------------
for x in `cat bloqip`
do
echo $x
iptables -A FORWARD -s $x -m state --state NEW -p tcp --dport 80 -j DROP
-------------------------------------

ao executar o IPTables, não retorna nenhum erro, e ao listar as regras iptables -L, mostra a restrição.

Mesmo com essas duas regras, os ips ainda conseguem navegar, e utilizam mais banda do que o CBQ está liberando.
Assim cheguei a conclusão que tenho que efetuar o bloqueio no Squid, pois as conexão de internet estão sendo requisitadas no squid e não direto na eth0 que é a porta Wan.

Minha dúvida principal é:
No squid precido ter 2 ACL onde relaciono os ips liberados e os ips bloqueados, pois tenho a ACL de REDE_INTERNA.

Fico no aguardo
Sem mais
Luiz Fernando

Resposta de marceloespindola em 07/07/2007 - 15:18h:
* marceloespindola usa Debian
* marceloespindola tem conceito: nenhum voto.

Uma dica que dou a você é amarrar o ip ao mac no firewall mesmo, não utilize o squid ele não tão eficiente se comparado iptables, se você bloqueando este veja este na posição correta, pois se você colocou o proxy transparente antes do das portas bloqueadas! o proxy transparente deve ser o último e não o primeiro, mas se você se interessou pelo "amarrar o ip ao mac" saiba o assunto é fácil, mas precisa de uma explicação muito detalhadae não dizer apenas em uma respostas, entretanto deve ser um artigo inteiro, mas adianto que amarrar ip ao mac significa um ip só esta liberado se mac for aquele cadastrado se for outro e lhe garanto que bloqueia mesmo. O script é muito completo Para mais detalhes sobre isso veja em: http://marcelolinux.blogspot.com/2007/07/meu-primeiro-artigo-do-vivaolinux.html

Pessoal estou escrevendo um artigo aqui para o viva o linux sobre scrippt de firewall, ele está completo pois levei muito tempo para desenvolve-lo e tinha objetivo de reunir as principais soluções e dúvidas sobre firewall para este artigo, mas como quero construir um bom artigo ainda está em fase de construção para o vivaolinux, entretanto estou disponibilizando no endereço http://marcelolinux.blogspot.com/2007/07/meu-prime...

os arquivos e o artigo referente a script de firewall completo.

Resposta de marceloespindola em 07/07/2007 - 15:25h:
* marceloespindola usa Debian
* marceloespindola tem conceito: nenhum voto.

Pessoal estou escrevendo um artigo aqui para o viva o linux sobre scrippt de firewall, ele está completo pois levei muito tempo para desenvolve-lo e tinha objetivo de reunir as principais soluções e dúvidas sobre firewall para este artigo, mas como quero construir um bom artigo ainda está em fase de construção para o vivaolinux, entretanto estou disponibilizando no endereço

http://marcelolinux.blogspot.com/2007/07/meu-primeiro-artigo-do-vivaolinux.html

os arquivos e o artigo referente a script de firewall completo.

Voltar

ATENÇÃO: Antes de contribuir com uma resposta, leia o artigo Qualidade de respostas e certifique-se de que esteja realmente contribuindo com a comunidade. Muitas vezes o ímpeto de contribuir nos leva a atrapalhar ao invés de ajudar.