[FUGSPBR] firewall

Max ldd em starweb.com.br
Qui Jan 10 13:18:40 BRST 2002 

Ola a todos, valeu pela dica.

 Só uma duvida: Posso utilizar apenas 2 placas de rede para fazer a bridge e
em uma delas utilizar um ip para que eu possa controla-la remotamente?

Outra coisa, eu consiguirei limitar banda por ip utilizando o ipfw do
trafego que passará por ela?

Obrigado mais umavez,

Max
-----Mensagem original-----
De: Santos Anderson <amsnetbr em yahoo.com.br>
Para: fugspbr em fugspbr.org <fugspbr em fugspbr.org>
Data: Quarta-feira, 9 de Janeiro de 2002 22:26
Assunto: Re: [FUGSPBR] firewall


> O esquema q o colega Alessandro e assim:
>
>
>
>          router (20.20.20.1)
>             |
>             |                            (servidores)
>             |--------------------xl1----20.20.20.2
>             |XL0 IPF BRIDGE         ----20.20.20.3
>             |--------------------   ----20.20.20.4
>             |
>             |                              (estacoes)
>             |---------------------xl2-----20.20.20.5
>                                      -----20.20.20.6
>                                      -----20.20.20.7
>
>  Neste exemplo nao sei se vc entendeu,temos tres
>interfaces 1 com ip e as outras duas sem ip fazendo a
>funcao de brigde.
>
>Para habilitar,se vc estiver usando openbsd-2.9:
>
>    brconfig bridge0 add xl0 add xl1 up
>    ifconfig xl0 up
>    ifconfig xl1 up
>
>
>Agora so falta vc colocar sua regras,vai abaixo um
>exemplo que temno howto do ipf,lembrando que o
>open-3.0 nao trabalha mais com ipf.
>
>
>
>pass  in quick on xl0 proto udp from any to
>20.20.20.2/32 port=53 keep state
>pass  in quick on xl0 proto tcp from any to
>20.20.20.2/32 port=53 flags S keep state
>pass  in quick on xl0 proto tcp from any to
>20.20.20.3/32 port=25 flags S keep state
>pass  in quick on xl0 proto tcp from any to
>20.20.20.7/32 port=80 flags S keep state
>block in quick on xl0
>pass  in quick on xl1 proto tcp  keep state
>pass  in quick on xl1 proto udp  keep state
>pass  in quick on xl1 proto icmp keep state
>block in quick on xl1
>pass  in quick on xl2 proto tcp  keep state
>pass  in quick on xl2 proto udp  keep state
>pass  in quick on xl2 proto icmp keep state
>block in quick on xl2
>
>
>  Lembrando que so uns exemplos,vc pode melhorar isso
>mais ainda otimizando suas regras.
>
>referencias:
>http://www.obfuscation.org/ipf/ipf-howto.txt
>http://www.inebriated.demon.nl/pf-howto/pf-howto.txt
>http://www.openbsd.org/faq/faq6.html
>
>
>No freebsd:
>
>No kernel habilitar os options abaixo:
>options BRIDGE
>options IPFIREWALL
>options IPFIREWALL_VERBOSE
>
>neste caso se vc usar ipfw.
>
>Edite /etc/rc.conf:
>
>Habilitando seu firewall da maneira que achar melhor.
>
>Habilite a bridge:
>sysctl -w net.link.ether.bridge_ipfw=1
>sysctl -w net.link.ether.bridge=1
>
>Pronto sua bridge esta pronta
>
>referencias:
>www.freebsd.org
>www.free.bsd.com.br
>www.freebsd.ag.com.br
>http://free.bsd.com.br/~eksffa/freebsd/ipfw.php
>(Howto traduzido pelo Goto e Patrick-Esta muito bom!!)
>
> Espero que tenha ajudado,qualquer problema fale
>comigo.
>  Peco desculpas se esqueci alguma coisa
>
>   Um grande abraco
>Anderson
>
>--- "Alessandro M. S. Sant'Anna"
><santanna em telecom.eng.br> escreveu: > > Olá,
>>
>> Olá Max,
>>
>> >
>> >
>> >    Vi em um provedor um firewall que trabalha de
>> forma transparente, como
>> > uma brige, barrando os pacotes. Ele fica entre o
>> roteador e o swchit, tudo
>> > que entra ou sai para internet passa por ele. Como
>> se chama este tipo de
>> > aplicação? Onde posso encontrar informações a
>> respeito? Para um link de 2M
>> > qual seria a configuração idel da maquina que vai
>> fazer isso?
>> >
>> > Agradeço a ajuda!
>> >
>> > Max
>>
>> Bem, acho que hoje, o sistema que tem o melhor
>> suporte a isto é o OpenBSD.
>> Você configura um OpenBSD com duas ou mais placas de
>> rede e habilita uma
>> bridge entre estas placas. Você ai faz uso de um
>> filtro de pacotes IPFilter
>> nas versões até 2.9 ou pf na 3.0 e cria suas regras
>> utilizando a bridge.
>>
>> O FreeBSD faz isto também o OpenBSD fazia melhor.
>> Não sei como está hoje.
>> Eles podem estar em pé de igualdade ou até melhor.
>>
>> Alessandro.
>>
>>
>> ----
>> Para sair da lista envie um e-mail para
>> majordomo em fugspbr.org
>> com as palavras "unsubscribe fugspbr" no corpo da
>mensagem.
>
>___________________________________________________________________________
____________________
>Yahoo! GeoCities
>Tenha seu lugar na Web. Construa hoje mesmo sua home page no Yahoo!
GeoCities. É fácil e grátis!
>http://br.geocities.yahoo.com/
>----
>Para sair da lista envie um e-mail para majordomo em fugspbr.org
>com as palavras "unsubscribe fugspbr" no corpo da mensagem.
>

----
Para sair da lista envie um e-mail para majordomo em fugspbr.org
com as palavras "unsubscribe fugspbr" no corpo da mensagem.

Mais detalhes sobre a lista de discussão freebsd