Re: Criar Firewall
Eder, eu vou tentar te ajudar, mas acho que as informações que você deu são
um pouco limitadas... porém, como disse, vou tentar...
> ! - Priorizar o acesso ao TS pelas estações daqui. Este TS é remoto com
> IP público.
>
Bom, o TS arrisco eu que seja o Terminal Service e acredito que seja
Windows, certo?
Não sei qual a porta que trabalha o TS (se for isso mesmo que pensei), mas
sabendo a porta a regra ficaria o seguinte
#Essa regra libera as conexões da sua rede interna ao TS server
iptables -A INPUT -s <rede_interna> -d <ip_do_ts_server> --dport
<porta_do_TS> -j ACCEPT
#Caso o seu TS seja público geral mesmo, tipo, qualquer ip tem o acesso
permitido, vc pode alterar essa regra anterior e retirar o -s
<rede_interna>. Assim, todos os ips ficariam liberados para acessar o seu
servidor. Se não for este o caso, faça uma outra regra igual a anterior e
no -s libere os ips que podem acessar de fora de sua rede esse servidor de
TS
> 2 - Bloquear toda conexão entrante ou sainte não autorizada.
>
Ao final da regra anterior, ressalto, APENAS NO FINAL, insira a regra
iptables -A INPUT -d <ip_do_server> -j DROP
Todas as demais conexões nas demais portas estarão trancadas...
para bloquear a saída da rede interna, utilize a tabela nat
iptables -t nat -A PREROUTING -p tcp -m multiport --dport x, y, z -j ACCEPT
Essa regra irá liberar a saída da rede para as portas x, y, z. Por fim, para
bloquear as saídas indesejadas
iptables -t nat -A PREROUTING -p ALL -j DROP
isso para a saída da rede interna, para a saída do próprio servidor
iptables -A OUTPUT -m multiport --dport x, y, z -j ACCEPT
libera a saída das portas x, y, z para o servidor
iptables -A OUTPUT -j DROP
bloqueia as demais saídas
> 3 - Controlar o acesso à internet por usuário e não por estação. Acho
> que seguindo o artigo do underlinux
> (http://underlinux.com.br/content/view/5819) eu consigo fazer isso..
>
Eu acho que consegue sim
Bom, claro que essas não serão as únicas regras do seu firewall. Precisa ver
como será seu squid para liberar as portas de acesso para o squid tb,
liberar o acesso ao servidor AD, etc...
Mas já é um começo.
Espero ter ajudado
Daniel
Reply to: