Muito obrigado Fábio pela resposta!
Eu já andei considerando sim alguns appliance como o próprio Untangle que já é Debian, o endian e o pfsense, mas tenho o desejo de dominar a administração e implementação de roteadores/firewalls em iptables na mão mesmo mas confesso que essas soluções não estão descartadas. Será que para uma rede de aproximadamente 2500 usuários e mais de 3000 pontos de rede e com um link de internet de 1Gb o shorewall suportaria numa boa sem pedir arrego? Claro, considerando que ele será instalado em um servidor robusto também. O shorewall é um appliance também? Baseado em que distribuição?
MokshaEm 26 de abril de 2012 10:40, Fábio Rabelo <fabio@fabiorabelo.wiki.br> escreveu:Bom dia ...
Se o Sr. considera difícil o uso direto do iptables, o Sr. poderia considerar um front-end !
Eu uso o shorewall :
http://shorewall.net/
http://people.connexer.com/~roberto/debian/
um simples "apt-get install shorewall-perl" e já estará instalado .
E para manter um número muito grande de regras, ele é uma verdadeira mão na massa !!!
Fábio RabeloEm 25 de abril de 2012 22:56, Moksha Tux <govatux@gmail.com> escreveu:
Boa noite queridos amigos!
Estou construindo um roteador com iptables para o trabalho mas antes estou colhendo bastante informações pois não considero esta ferramenta fácil mas já estou tendo algum exito a miha dúvida é a seguinte... por ser um roteador devo prestar atenção nas regras INPUT que no caso seria relacionado ao próprio host (sistema) e FORWARD que trataria dos pacotes vão "atravessar" este host, sendo assim, as regras de proteção eu devo implementá-las tanto em INPUT quanto em FARWARD ex:
#======================
# REGRAS PARA PROTEÇÃO
#======================
## INPUT
# CONTRA PING DA MORTE
iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
# ACEITANDO CONEXÕES
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# CONTRA PORTCAN OCULTO
iptables -A INPUT -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
iptables -A INPUT -p tcp --tcp-flags ALL SYN,ACK -j DROP
# ACEITANDO CONEXÕES
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
************************************************************************************************
## FORWARD
# CONTRA PING DA MORTE
iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
# ACEITANDO CONEXÕES
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
# CONTRA PORTCAN OCULTO
iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
iptables -A FORWARD -p tcp --tcp-flags ALL SYN,ACK -j DROP
# ACEITANDO CONEXÕES
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
#==============================
# FIM DAS REGRAS PARA PROTEÇÃO
#==============================
Estaria eu tendo uma dúvida relevante ou simplesmente viajando literalmente na maionese pergunto isto pois concluí que existe a proteção tanto para o host quanto para a rede. Agradeço desde já que puder me orientar a respeito. Grande abraço,
Moksha