Ol� lista.
Estou mandando a resposta da minha d�vida, j� que, seguindo as regras
do jogo, mantive contato direto com todos os que me ajudaram. A prop�sito,
meus agradecimentos a:
Antonio Carlos Pina [EMAIL PROTECTED]
Kevison Bentes [EMAIL PROTECTED]
Osvaldo Jr.
Num roteador cisco (meu caso), o que n�o deve mudar muita coisa, para
fazer com que seu roteador isole sua rede externa de sua rede interna, de
modo que seu proxy seja a �nica m�quina a enchergar o exterior, usa-se a
extended access-list da seguinte forma:
Antes uma pequena explica��o, vide manual cisco:
access-list access-list-number {permit | deny } protocol source source-mask
destination destination-mask [operator operand] [established]
PARTE I, O B�sico.
Digamos que seu proxy seja o 198.182.196.56 (alguem conhece esse ip?)
access-list 125 permit ip 198.182.196.56 0.0.0.0 any
access-list 125 permit ip any 198.182.196.56 0.0.0.0
access-list 125 deny ip any any
Ou seja, deve-se fazer os DOIS caminhos dos dados, tanto da origem para o
destino como vice-versa.
O �ltimo comando "deny ip any any" � default, mas � bom constar para voc� se
lembrar.Interessante porque mostra quantos acessos foram barrados.
Aplique na S0 assim:
obs.: normalmente sua conex�o com o munto exterior passa por um modem na
interface serial 0. Se quizer, use a et0 etc.
int s0
ip access-group 101 in
ip access-group 101 out
E adeus acessos n�o autorizados (a n�o ser que exista algum furo no seu
proxy, ok ?)
PARTE II, Se quizer refinar um pouco (muito bom)
- Quando � fechada uma conex�o, as portas cliente usadas s�o acima de 1024.
Ou seja, � necess�rio que vc as abra ou ent�o que permita passar os pacotes
de uma conex�o j� feita, usando a seguinte regra:
access-list 101 permit tcp origem destino established
- Normalmente, as regras relacionadas a ICMP s�o especificadas baseando-se
em tipos de mensagens deste protocolo. Abaixo, as mais usadas:
access-list 101 permit icmp origem destino unreachable
access-list 101 permit icmp origem destino echo-reply
access-list 101 permit icmp origem destino packet-too-big
access-list 101 permit icmp origem destino time-exceeded
access-list 101 permit icmp origem destino traceroute
access-list 101 permit icmp origem destino administratively-prohibited
access-list 101 permit icmp origem destino echo
Quando se fazem access-lists, � importante observar tamb�m que:
- Quando se aplica uma access-list, a regra �: "Tudo � negado, exceto
xxxxx." xxxx s�o as regras de permit que vc cria.
- As regras s�o aplicadas de forma que, a primeira em que bater, o resto n�o
� checado (ajuda a otimizar a performance, se vc tiver um conjunto de regras
muito grande).
- O sentido em que a regra � aplicada � do ponto de vista da interface do
router. Out na ethernet � tudo o que sai por essa interface, mas j� ter�
entrado. In na serial ser� checado antes do pacote entrar no router.
Entender estes conceitos tamb�m ajuda a melhorar a performance.
- Quando se cria uma lista com numera��o de 3 d�gitos, quer dizer que vamos
utilizar uma checagem das portas do pacote. Assim sendo, a maioria das
regras � baseada em portas TCP, UDP ou nas mensagens ICMP. Se a regra a ser
usada ser� somente com rela��o a endere�o IP de origem/destino, use uma
regra com numera��o de 2 d�gitos.
Obs.: regras de 2 d�gitos, no cisco, s�o as standart access list; de 3
d�gitos, s�o as extended access list
Alessandro S. Matos
Cia do Metropolitano do DF.
[EMAIL PROTECTED]
|
