[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

RES: DROPAR NAT EM TODA REDE (MENOS PARA ALGUNS IPs)

E ainda senão quiser ficar preso a maquina/ip é só utilizar o squid com suporte a autenticação e ident nos clientes. Assim o controle de acesso a web ficará restrito aos usuarios que tenham acesso a web independente da maquina, e bloqueiaria todo e qualquer acesso a web que não seja via squid. 

Também tem uma forma de automatizar suas regras de firewall com o webmin+turtle firewall, cara já usei de tudo e até fiz uns scripts para criar regras para mim baseado nas coisas que mais utilizava, mas o turtle firewall é muito show de bola, vc cria regras baseada em grupos e depois esquece das regras, só se liga nos grupos, vamos exemplificar, aqui na rede tenho maquinas que acessam o icq, daí eu criei uma regra liberando o acesso a porta do icq, para todos do grupo ICQ, daí vou e só adiciono os ips que quero ao grupo icq e pronto, cada vez q preciso liberar uma maquina para o icq, somente adiciono a mesma ao grupo correspondente e não tenho mais preocupação, isto torna a administração do firewall muito facil.


Qualquer coisa entre em contato.

Anderson


-----Mensagem original-----
De: Manoel Lôbo [mailto:manoel@fixway.com] 
Enviada em: sexta-feira, 27 de fevereiro de 2004 13:04
Para: debian-user-portuguese
Assunto: Re: DROPAR NAT EM TODA REDE (MENOS PARA ALGUNS IPs)


Tudo em ordem ?

Eu trabalho da seguinte forma com o iptables: o que não é especificado por padrão é negado.

Você pode especificar regras no iptables para somente rotear o icmp (echo-request, echo-response e outros) forçando assim os usuários a usarem o proxy (ou usa, ou não navega!).

Adicione regras no iptables para permitir o NAT somente da diretoria, baseado no IP e no MAC.

Creio que essa seja uma boa solução.

[]'s

Em Sex, 2004-02-27 Ã s 12:57, LISTA NEXCOM1 escreveu:
> Salve lista !
> 
> Cá estou novamente com minhas dúvidas duvidosas...
> 
> Aqui na empresa, aderimos a pouco tempo o uso do Squid no 
> gerenciamento de acesso à Internet só que como em toda regra existe 
> excessões, a diretoria quer navegar livremente (NAT).
> 
> A solução que pensei, foi em dropar o acesso à NAT em determinados 
> IPs da rede... Forçando assim a obrigatoriedade de passar pelo Squid 
> para navegar.
> 
> até ai, tudo ok.
> 
> Regra que estou usando pra isso:
> iptables -t nat -A POSTROUTING -s 192.168.XX.XX -o eth1 -j DROP
> 
> ------------------------------------------------------
> 
> Esta é uma maneira artesanal que encontrei pra fazer isso, pois 
> aplico essa regra pra cada IP que nao quero que nao aceite NAT.
> 
> Meu problema é que aqui na empresa, temos 25 equipamentos e com 
> previsão de duplicar esse numero em alguns meses.
> 
> Sendo assim, vocês já devem imaginar o transtorno....
> 
> --------------------------------------------------------
> 
> Existe uma maneira mais fácil de travar isso EM TODA A REDE e liberar 
> NAT para determinados IPs ?
> 
> Na realidade seria o inverso doque estou fazendo hoje.
> 
> 
> Não sei se consegui me expressar direito....
> 
> ""ACHO QUE É POR ISSO QUE MINHA ESPOSA RECLAMA.... EU DEVERIA TER 
> FEITO DIREITO...""
> 
> 
> []'S
> 
> André
> 
-- 
Manoel Lôbo <manoel@fixway.com>
FiXwaY Informática


-- 
To UNSUBSCRIBE, email to debian-user-portuguese-request@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Reply to: