[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: instalar um servidor Debian GNU/Linux

Boa noite a todos :D
Não sou muito especialista nesta area como o pessoal da lista, mas se estiver errado, peço a gentileza que me corrijam.

> > Sim, a maquina tem que ser um servidor interno mesmo.Assim:
> > Link ADSL -> Firewall -> rede interna
>
> Por quê? Suponhamos que o firewall seja configurado assim:
> (configuração extraída do Kurumin)

> # Abre para uma faixa de endereços da rede local
> iptables -A INPUT -p tcp --syn -s 192.168.0.0/255.255.255.0 -j ACCEPT
>
> # Abre para a interface de loopback.
> # Esta regra é essencial para o KDE e outros programas gráficos
> # funcionarem adequadamente.
>
> iptables -A INPUT -p tcp --syn -s 127.0.0.1/255.0.0.0 -j ACCEPT
>
> # Ignora qualquer pacote de entrada, vindo de qualquer endereço, a menos
> #  que especificado o contrário acima. Bloqueia tudo.
>
> iptables -A INPUT -p tcp --syn -j DROP
>
> ou seja, todo pacote de entrada que é de fora é bloqueado.
>
> Isto não impede, por exemplo, que o squid faça requisições HTTP para
> fora e receba respostas não é? Não impede que o servidor smtp envie para o smarthost (servidor do provedor) os e-mails de saída certo? Em suma,
> não impede que a máquina firewall/servidor envie pacotes para fora e receba
> respostas a estes pacotes. Ou impede?

Até aqui não impede, pq quem esta solicitanto é a maquina Firewall/servidor, ou seja, é OUTPUT.

> Esta é uma questão sobre a qual tenho dúvida e que é crucial. Se impede,
> não há o que discutir: o servidor precisa receber respostas às suas
> requisições para fora e, portanto, deve ser uma máquina distinta do firewall.

Vc pode fazer a máquina Firewall/Servidor tb ser MTA. Mas seria melhor separar os serviços, pq:
Imagina: Vc instala todos os serviços no Dell (web, samba, banco de dados, servidor de impressão). Agora, queima um HD (Deus que me perdoe) já pensou nisso? Como vc que sera o ADM tera que ter um plano de contingencia, isso sem contar os planos de segurança (Obs: e só um toque)


> Deixa ver se entendi: suponhamos que eu tenha uma intranet fora da
> internet, isolada. Esta rede deve ter um gateway, uma máquina
> responsável por receber e entregar os pacotes, certo? Mas eu não preciso
> de um router, pois não há lado de fora e lado de dentro. É isto?

Não entendi direito, mas olha só:
O gateway é responsavel pela saída de informação da rede interna para a externa. Se temos apenas uma rede local onde apenas as informações ficam na rede interna, não e necessário o gateway. (Não estou considerando que temos duas redes privadas diferentes)

> Suponhamos que eu decida "ligar" esta rede à Internet. Então eu preciso
> de uma máquina router, que dá uma mão para os indefesos pacotes
> atravessarem a ponte :). É isto?

Sim, pq o router "passa" a informação do link ADSL para sua rede interna


> > Firewall e o firewall realiza o NAT para a rede interna.
>
> Certo. E é possível "desligar" o roteamento do modem? Depende do modem?

Sim , ai vc tem que ver qual o modelo do modem. Basicamente o que vc tem que fazer e apenas ligar o link ADSL para uma maquina com Debian (que sera a maquina firewall) como se fosse uso residência (apenas uma maquina) então com o auxilio do iptables vc faz um NAT para sua rede interna. Entendeu?

> Outra coisa, a máquina firewall, tens idéia de como dimensioná-la? Como
> saber que performance eu preciso no firewall? Haverá poucas regras, em
> princípio (suponho que isto tenha alguma relevância na performance). Um
> link adsl (ainda não sei a taxa de upstream e dowstream).

O pessoal comenta muito em usar no minimo (isso não e regra, mas tb vc não tem dor de cabeça) Pentium 166 com 128 mb (ja que vai usar o squid) hd de 6 gb.


> >> 5) Sites, links e dicas sobre o assunto? Já li e estou estudando os
> >>    HOWTOS "clássicos", (networking, router...) da ldp, além da
> >>    documentação do netfilter.
> >

http://www.linuxit.com.br/
http://www.underlinux.com.br/
http://www.linuxquestions.org/questions/history/121379 (exemplo)

> >
> > []s!
>
> Legal. Mais uma vez, obrigado pela atenção
>

Já passei por isso tb na minha primeira aplicação de firewall para uma empresa, e muito legal.

Tb tive um bom professor -> José Manuel Valente (Athens).

Valeu Zéeee


[]s!
--
Vinicius Vasconcellos
User #277360 UIN 172941519
Debian #454 / vini00@terra.com.br
Reply to: