Olá, Realmente sua politica da rede interna é a mais restritiva possível. Justifico meu equívoco: :P Como vc omitiu as demais regras acabei achando que existia uma regra de NAT dentre as omitidas. Pois torço o nariz quando vejo politicas de acesso ACCEPT :P. Usando esse filosofia penso que o firewall fica muito vulnerável, desde à maquinas internas quanto à maquinas externa - neste caso a interface externa tenha ip real. Caso esse seja mais um equívoco por favor me corrija. =) Creio que tenha outras regras que filtrem as portas aceitaveis, porém isso não evita ataques de DDoS na interface externa. Estou certo ?
abraço a todos. "O grande segredo para a plenitude é muito simples: compartilhar." --Sócrates On Thu, 7 Dec 2006 12:51:32 -0300, Robney C. P. Issa wrote > Ola a todos! > > >Bem a solução que o amigo apresentou me deixo com a pulga atrás da orelha. > >As > >politicas de acesso dele são ACCEPT , e não vi nenhuma regra DROP. Não > >entendo > >onde está a restrição de acesso. > > Pois bem nobre amigo, a pergunta e valida mas vamos voltar ao nosso > firewall basico nao seira tudo bloqueado e liberar com muito criterio???? > > Ja que tenho 2 placas de rede na maquina a LOCAL tem acesso a tudo > o resto nao tem nada pois eu nao dou MASQUERADE a nenhum ip da rede > sem ter um belissimo criterio entao vou te passar um dever de casa ok: > > 1-) peque uma rede bem pequena (outros falam que e laboratorio), com > 2 maquinas client e um servidor linux com 2 placas de rede 1 que sai > do modem ADSL entra nela e outra que vai para o HUB. > > Nao de MASQUERADE e nunhuma delas, tente achar alguma coisa externa > pra vc ver!!!! > > 2-) de MASQUERADE para uma delas com o ip dela e tente novamente > achar alguma coisa externa com as duas!! opa a com MASQUERADE acha e > a outra nao acha!!! > > Exemplo do MASQUERADE: > > iptables -t nat -A POSTROUTING -s 10.0.0.3 -o $IF_EXTERN -j MASQUERADE > > OBS: o 10.0.0.3 devera ser substiruido pelo IP da sua maquina em questao. > > Bem simples e funcional. > > Fazer o teste sera bem prazeroso, e compartilhe sua esperiencia com > os amigos da lista. > > Robney C. P. Issad ----------------------------------- WebMail DPI Departamento de Informática Universidade Federal de Viçosa ----------------------------------- --------------------------------------------------------------------------- Esta lista é patrocinada pela Conectiva S.A. Visite http://www.conectiva.com.br Arquivo: http://bazar2.conectiva.com.br/mailman/listinfo/linux-br Regras de utilização da lista: http://linux-br.conectiva.com.br FAQ: http://www.zago.eti.br/menu.html
