Denuncie   Favoritos   Indicar  

Firewall + proxy

1. Firewall + proxy

wellington
wellington_a
(usa Debian)

Enviado em 21/01/2013 - 12:09h

iae galera blz?

To com uma dúvida.

Tenho uma rede da seguinte forma:

Internet ------ >(eth) Firewall (eth1)--------> (eth0) Proxy (eth1) -------> rede local

Na rede local direciono tudo que for para a porta 80 pra porta do Proxy (3128), até ai tudo bem, tudo funcionando.

Só estou com uma dúvida com relação ao bloqueio das portas.

Ex: Libero tudo que vem do proxy para a internet (forward). Mas digamos que eu queira bloquear alguns IPS para não acessarem a internet, esse bloqueio tem que ser feito no firewall do proxy certo?, porque quando o pacote vem do proxy ele já vem com ip de origem do proxy e não da máquina da rede local qu gerou o pacote.

Ou seja, na pratica estarei usando 2 firewalls na rede.

Outro exemplo. Bloqueio tudo pro firewall (forward) e caso queira liberar apenas o FTP, libero a porta 21 no forward certo?

Pois como estou testando esse modo de firewall + proxy, estou meio confuso em onde aplicar as regras.

Agradeço desde já a ajuda de vocês.



0 0
  • Quote

    •   


    2. Re: Firewall + proxy

    Reginaldo de Matias
    saitam
    (usa Slackware)

    Enviado em 21/01/2013 - 14:39h

    Se o firewall e proxy estiver em servidor separados, então deve fazer um DNAT.

    Acho melhor e mais comum também deixar o firewall e proxy no mesmo servidor, logo atua como gateway da rede.

    0 0
  • Quote

    • 3. Re: Firewall + proxy

    wellington
    wellington_a
    (usa Debian)

    Enviado em 21/01/2013 - 16:38h

    É pq não queria misturar os dois serviços.
    Nesse caso o proxy se torna o gateway da rede certo?

    Não sei se tem outra maneira mas eu fiz da seguinte forma:

    fiz o forward entre as placas e apliquei um Masquerade em cada servidor (proxy e firewall).

    Dessa forma os pacotes da rede chegam no firewall com o IP do Proxy, então nesse caso as regras de firewall de acesso tem que ser aplicadas no proxy, pois se aplicar no firewall ou libero tudo ou bloqueio tudo, pois tudo chega com ip do proxy.

    Fiz assim:
    Liberei o acesso total do firewall para a internet no firewall, e no proxy criei as ACLs e bloquiei as portas desnecessárias.
    Porém digamos que eu queira acessar uma máquina via Terminal Server (porta 3389).
    O pacote vai chegar no firewall, dai faço um DNAT pro proxy e do proxy pra máquina ou já posso fazer direto um DNAT para a estação de destino final?

    vlw

    0 0
  • Quote





    • Patrocínio

    Site hospedado pelo provedor RedeHost.
    Linux banner

    Destaques

    Artigos

    Atualizando o Passado: Linux no Lenovo G460 em 2025

    aaPanel - Um Painel de Hospedagem Gratuito e Poderoso

    O macete do Warsaw no Linux Mint e cia

    Aprenda a Gerenciar Permissões de Arquivos no Linux

    Fundo pontilhado CSS

    Dicas

    Um modo leve de ouvir/ver áudio/vídeo da internet em máquinas pererecas

    Resolver algumas mensagens de erro do SSH

    Instalar módulo de segurança do Banco do Brasil Warsaw do tipo .run

    Olha que Conky "bunitinhu" pra usar no seu sistema

    Git config não aplica configurações

    Tópicos

    O que você está ouvindo agora? [2] (188)

    Epson L3150 [RESOLVIDO] (3)

    warsaw parou de funcionar após atualização do sistema (solução) (10)

    Aprendendo mais sobre Linux com livro (4)

    problema bluetooth no ChimeraOS e no Bazzite (0)

    Top 10 do mês

    Scripts

    [Shell Script] Criar Script para apagar determinados arquivos

    [Shell Script] inSANE - Script para usar Scanner

    [Shell Script] Instalador do emulador de joystick Xbox para joystick generico para PC, PS2, PS3 (Debian e Derivados

    [Shell Script] Instalador de Hotspot Linux Debian (SysV)

    [Shell Script] Script para verificar o Status da bateria

    A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.

    Site hospedado por: