On Wed, 2003-02-26 at 22:41, Jos� Carlos Colzani wrote: > Ola pessoal....
Ol� Jos�, Como vai? > Eu ja andei brincando com firewall, fazendo redirecionamento, etc... > ja li varias documentacoes.. :)) Caminho certo! As documenta��es s�o na maioria das vezes as melhores referencias! (melhor que livro, algumas vezes). > Mas ainda nao consegui compreender direito, na pratica, qual o objetivo da > chain FORWARD ! Sei que ela faz repasse de pacotes... Mas oque e isso na > pratica ? > Eu acho que e assim, me corrijam por favor.... Bem, ent�o vamos ver se posso te esclarecer, e se a sua id�ia t� certa.. :) > Computador A e Computador B > > * A e firewall e esta ligado na internet fazendo NAT. > * B � cliente de A e navega na internet etc.... > Input e tudo que entra em A certo ? > Output e tudo que sai de A certo ? > Forward seria o que entra direto para B sem passar por A ? > ou seria o que entra em A com destino a B ? No netfilter (IpTables), Forward � o que entra no "A" (vem da internet para a sua rede) e o destino � "B". Forward � grosseiramente a id�ia de "passar a diante". O "A" � a �nica m�quina que recebe pacotes da internet, e ela seria respons�vel por passar a diante (FORWARD) os pacotes que s�o para outras m�quinas da rede. Isso � importante, pq normalmente o Firewall fica no seu ROTEADOR (que divide a rede interna, com a Internet, por exemplo). Logo: * o INPUT, � a regra para os pacotes provenientes de outra m�quina e que tem um processo local da sua m�quina como destino, em outras palavr�s, vem da rede, e tem a M�QUINA onde o firewall est� rodando como DESTINO (caso ele al�m de firewall ofere�a algum servi�o) * o OUTPUT � a regra dos pacotes que sa�ram do processo local da m�quina e tem como destino outra m�quina (que n�o seja localhost), em outras palavras s�o os pacotes GERADOS pela sua m�quina, que vai entrar na rede. * o FORWARD � a regra dos pacotes que s�o provenientes de uma m�quina, e que tem o destino uma outra m�quina, cujo roteamento depende do seu firewall. Em outras palavras, os pacotes que v�m da internet, vai para o seu firewall, mas tem outra m�quina da rede como destino, ou vice-versa. As cadeias de INPUT, OUTPUT e FORWARD, est�o �ntimamente ligadas com as decis�es de ROTEAMENTO do pacote, e por isso que eu disse anteriormente, o firewall fica no seu roteador. :))) > Se por exemplo eu barra no INPUT de A a porta 22 isto vai barrar tambem a > porta 22 do B ? N�o, isso seria FORWARD. Para falar a verdade, caso n�o haja nenhum servi�o em A, o ideal seria que todos os pacotes da regra INPUT do seu firewall que viessem de fora da sua rede (-i ppp0) fossem DROPados. A maioria das regras � sobre FORWARD mesmo. :))) > Nao sei se me entenderam, eu sempre me virei com meus firewalls caseiros > com ipchains, com iptables to apanhando um poco mas ta dando pro > gasto, so que me surgiu agora esta duvida, sera que a maquina B esta > realmente sergura trabalhando nas regras so no INPUT de A ou > preciso mecher nesse bendito FORWARD ? Bem, como voc� sua NAT, se voc� n�o colocou nenhuma regra para PREROUTING para enviar pacotes para a m�quina "B", o acesso DIRETO de fora para "B" � 'teoricamente' ZERO. Por exemplo, o "A" � o representante de "B" PARA internet (empresta o seu IP), mas pacotes VINDOS da internet com destino o IP v�lido de A, n�o tem como chegar em "B" (desde que voc� n�o tenha feito gambiarras para o firewall refazer a rota e enviar para "B", etc). > Nos meus firewalls cadeiros costumo sempre manter a INPUT como DROP, e abro > somente as portas acima de 1024, ou seja, as portas abaixo disso ficam > fechadas. > Nossa, tomara que nao confunda a cuca de algum iniciante ai.... Hahahaa... sem querer ser chato, mas acho que esse tipo de mensagem � ideal para iniciante aprender um pouco sobre firewall, e n�o para confundir a cuca. :)) > Agradeco desde ja... > Abracos... Sauda��es, Ronaldo Saheki Assinantes em 28/02/2003: 2245 Mensagens recebidas desde 07/01/1999: 202901 Historico e [des]cadastramento: http://linux-br.conectiva.com.br Assuntos administrativos e problemas com a lista: mailto:[EMAIL PROTECTED]
