> Correto. >> - Na chain POSTROUTING eu costumo fazer um MASQUERADE para tudo o que sai >> pra internet e sei que aqui está o meu erro, mas aí surgem as dúvidas. >> Por >> exemplo: muitos programas dentro da rede interna usam portas específicas >> e >> precisam do mascaramento habilitado para funcionar pois não aceitam >> passar >> por proxyes,
Pegando carona na resposta do Rodrigo: Na minha rede ao invés de mascarar todo mundo eu mascaro apenas as portas que não passam pelo proxy, mascaro a porta e o destino. Ou seja o cara só vai conseguir acessar usando aquela porta para quele determinado endereço ip. Exemplo: uma máquina na minha rede tem que acessar uma aplicação que reside em um provedor X. Eu mascaro o ip dele para ter acesso somente a porta do programa e com destino ao ip do provedor. Uma outra boa prática, que eu implemento e não tenho problemas, é separar a "saída" dos servidores da "saída" dos usuários. Acredito que a sua operadora deve lhe fornecer um range de ips reais. Configura um ip para os serviços, web, mail, etc, e outro para a tua rede interna. Se alguma máquina da tua rede interna conseguir passar pelo teu firewall e ter acesso ao mundo externo ele vai sair utilizando o ip que não é o mesmo utilizado pelos teus servidores. Se vc poder separar esse tráfego com outra conexão, um ADSL por exemplo, ficaria melhor ainda. :D Atenciosamente, Wlademy Damasceno --------------------------------------------------------------------------- Esta lista é patrocinada pela Conectiva S.A. Visite http://www.conectiva.com.br Arquivo: http://bazar2.conectiva.com.br/mailman/listinfo/linux-br Regras de utilização da lista: http://linux-br.conectiva.com.br FAQ: http://www.zago.eti.br/menu.html
