Obrigado pela resposta, Vinícius. "Vinicius Vasconcellos" <[EMAIL PROTECTED]> writes:
>> Olá pessoal. > Olá :D > >> Assumi o compromisso de executar uma tarefa nova para mim: instalar um >> servidor Debian GNU/Linux numa rede com 20 desktops windows. Não sou >> profissional na área de computação. Talvez esteja começando a ser :) >> Nunca havia pensado em ganhar grana mexendo em computadores mas pintou a >> oportunidade e eu não devo recusá-la. > > Massa, boa sorte! > Vamos lá, se eu responder errado, o pessoal da lista por favor me corrija. > >> O cenário: >> >> 1) a Internet será compartilhada por toda rede via um ponto de adsl; >> >> 2) ainda não sei se o modem é também roteador (saberei logo); >> >> 3) há um servidor Dell novinho em folha (ainda não sei suas >> especificações, saberei logo), para smtp, samba, backup, impressão, >> servidor web (talvez squid e mysql também), todos estes serviços >> devem ficar restritos à rede interna; > > Cuidado em alocar varios recursos num mesmo equipamento, já pensou se > da pau, e a seguranca ?!? Ok, vou considerar isto. >> 4) 20 desktops rodando windows (não por muito tempo, eu os >> convencerei a migrar :) ) >> >> 5) uma máquina antiga (provavelmente um P100) para firewall >> >> Bem, minhas primeiras dúvidas são as seguintes: >> >> 1) Pelo que tenho me informado, o firewall (iptables) necessariamente >> deve rodar noutra máquina que o servidor "interno", por >> segurança. Estou certo? > > Sim, a maquina tem que ser um servidor interno mesmo.Assim: > Link ADSL -> Firewall -> rede interna Por quê? Suponhamos que o firewall seja configurado assim: (configuração extraída do Kurumin) # Abre para uma faixa de endereços da rede local iptables -A INPUT -p tcp --syn -s 192.168.0.0/255.255.255.0 -j ACCEPT # Abre para a interface de loopback. # Esta regra é essencial para o KDE e outros programas gráficos # funcionarem adequadamente. iptables -A INPUT -p tcp --syn -s 127.0.0.1/255.0.0.0 -j ACCEPT # Ignora qualquer pacote de entrada, vindo de qualquer endereço, a menos # que especificado o contrário acima. Bloqueia tudo. iptables -A INPUT -p tcp --syn -j DROP ou seja, todo pacote de entrada que é de fora é bloqueado. Isto não impede, por exemplo, que o squid faça requisições HTTP para fora e receba respostas não é? Não impede que o servidor smtp envie para o smarthost (servidor do provedor) os e-mails de saída certo? Em suma, não impede que a máquina firewall/servidor envie pacotes para fora e receba respostas a estes pacotes. Ou impede? Esta é uma questão sobre a qual tenho dúvida e que é crucial. Se impede, não há o que discutir: o servidor precisa receber respostas às suas requisições para fora e, portanto, deve ser uma máquina distinta do firewall. >> 2) A máquina firewall necessariamente deve ser a máquina roteadora? >> Por quê? > > No meu ponto de vista, sim. Pq o link que chega da "RUA" passa pela > maquina firewall, filtra a "informação" e "passa" para a rede > interna. > >> >> 3) Qual a diferença entre router e gateway? > Router-> roteador, passar o pacote de um lado para outro (adsl para >rede interna, e vice-versa) > > Gateway ou dg (default gateway) -> portão de saida por onde "sai" a > informação (neste caso e a maquina firewall) Deixa ver se entendi: suponhamos que eu tenha uma intranet fora da internet, isolada. Esta rede deve ter um gateway, uma máquina responsável por receber e entregar os pacotes, certo? Mas eu não preciso de um router, pois não há lado de fora e lado de dentro. É isto? Suponhamos que eu decida "ligar" esta rede à Internet. Então eu preciso de uma máquina router, que dá uma mão para os indefesos pacotes atravessarem a ponte :). É isto? >> 4) Supondo que o modem seja roteador, não há problema em se ter uma >> outra máquina fazendo roteamento? > > Ai esbaramos no problema de performace (considerando tudo configurado) > o sistema fara dois NAT um do modem para o Firewall e o "reverso". > Na minha opnião seria melhor realizar apenas um NAT, ou seja, modem-> > Firewall e o firewall realiza o NAT para a rede interna. Certo. E é possível "desligar" o roteamento do modem? Depende do modem? Outra coisa, a máquina firewall, tens idéia de como dimensioná-la? Como saber que performance eu preciso no firewall? Haverá poucas regras, em princípio (suponho que isto tenha alguma relevância na performance). Um link adsl (ainda não sei a taxa de upstream e dowstream). > >> 5) Sites, links e dicas sobre o assunto? Já li e estou estudando os >> HOWTOS "clássicos", (networking, router...) da ldp, além da >> documentação do netfilter. > > Já esta no caminho certo :D > > []s! Legal. Mais uma vez, obrigado pela atenção Um abraço, -- Marcio Roberto Teixeira endereço eletrônico: [EMAIL PROTECTED] chave pública: hkp://wwwkeys.pgp.net http://www.marciotex.pop.com.br/keypub_8709626B.asc página pessoal (em construção): http://www.marciotex.pop.com.br Usuário "tchê" Debian/GNULinux Porto Alegre - RS - Brasil