Edson.Existe um livro muito bom, Linux Firewalls 3rd Edition da Novell Press que ensina como configurar firewalls em diversos tipos de topologias de rede, mostrando passo a passo como liberar certos tipos de protocolos, fazer debug, configurar tipos diferentes de NAT e Port Forwarding, etc. Tudo usando iptables, o exemplo que eu enviei anteriormente como resposta a outro e-mail foi feito baseado no conteúdo deste livro. Quanto aos protocolos P2P e IM, o simples fato de não liberar o NAT diretamente para a rede local já bloqueia boa parte deste tráfego, alguns clientes IM utilizam até HTTP para a comunicação, existem regras que podem ser colocadas dentro do squid também para bloqueá-los. Existe um módulo para o iptables chamado ipp2p que serviria para bloquear isso, porém nunca utilizei ele, só sei que existe. Quanto ao controle de banda, existe um programa chamado shaper que pode ser usado com o iptables através de marcação de pacotes e o squid pode trabalhar com "delay pools" também. Cheguei a testar o shaper mas não utilizei ele realmente, já utilizei os delay pools do squid para diminuir a banda de usuários que baixavam muita coisa através do squid da minha rede, configurava eles por máquina e não por usuário.
Edmundo. Edson - PMSS escreveu:
Estou precisando criar um firewall do zero com as seguintes características: Micro com 3 placas de rede net eth0 200.XXX.XXX.XXX/24 loc eth1 10.XX.XX.XX/16 dmz eth2 200.XXX.XXX.XXX/24 Na dmz eu tenho duas máquinas DNS1-FTP, DNS2-e-mail Na rede loc (local) eu tenho uma das máquinas com squid (Proxy) O que eu preciso é bloquear todo o acesso externo e permitir somente que funcione os serviços mencionados acima na dmz (que tem ip válido na net) e fazer todo mundo sair pelo proxy. Desejo também bloquear MSN, YAHOO, KAZAA, P2P, etc e controlar banda de acesso por usuário. Agradeço qualquer dica. Edson Esta mensagem foi verificada pelo E-mail Protegido Terra. Scan engine: McAfee VirusScan / Atualizado em 18/09/2006 / Versão: 4.4.00/4854 Proteja o seu e-mail Terra: http://mail.terra.com.br/