Re: Firewall + Squid Guard
On 7/27/05, Rubén wrote: El esquema es el siguiente router va conectado al FW y el Fw a la red. La tarjetas de red la pones en modo promiscuo (acepta cualquier paquete que reciba) y haces un bridge con bridge util para que cada paquete que reciba de una tarjeta lo retrasmite a la otra y viceversa. Con iptables filtras el forwarding es decir el trafico que atraviesa el FW. Pienso que es la forma mas segura de montar un FW, ya que al no tener ip no puedes atacarla de ninguna forma. Entiendolo que describes se suele utilizar para hacer un switch con Linux. Pero tiene sentido, no creo que el fw necesite nada de routing... en google he encontrado esto: http://www.olotwireless.net/castella/Linux%20Bridge%20Firewall.htm Nose... es interesante el tema, cuentanos. Lo que esta claro es que squid necesita una ip tanto para comunicarse con el exterior como con el interior.
Re: Firewall + Squid Guard
Hola, Por un lado un firewall invisible que con 2 tarjetas de red en modo promiscuo sin ip permitan o no el paso de paquetes a una red. !!! ¿¿¿??? Tenia pensado iptables y un bridge. Este es el esquema. INTERNET FIREWALL LAN Si tienes ese esquema intuyo que la máquina FW es la única entre toda la LAN e internet, no? Si es así no tienes que hacer nada raro, únicamente cambiar el default gateway de las máquinas de la lan al firewall y que este haga forwarding y NAT. Por otro lado quiero tambien que la misma maquina filtre el contenido web para evitar determinadas paginas. Tenia pensado Squid + SquidGuard, redirigiendo mediante iptables la peticion web al squid. No quiero tener que ir maquina por maquina de la red configurando el proxy, por eso me gustaria usar iptables para redirigir automaticamente. Perfecto, sin más, redireccionas todo el tráfico al puerto 80 hacia el 3128 y listos. No se si es posible todo en una misma maquina, alguien sabe si es posible Puedes hacer de FW y proxy/squid en la misma máquina sin problemas. hacerlo y si teneis información por favor mandarmela. Por Bulma hay bastantes de compartir el acceso a internet mediante iptables/nat. Para squid hay uno de configuración en linuxparatodos. saludos
Re: Firewall + Squid Guard
El esquema es el siguiente router va conectado al FW y el Fw a la red. La tarjetas de red la pones en modo promiscuo (acepta cualquier paquete que reciba) y haces un bridge con bridge util para que cada paquete que reciba de una tarjeta lo retrasmite a la otra y viceversa. Con iptables filtras el forwarding es decir el trafico que atraviesa el FW. Pienso que es la forma mas segura de montar un FW, ya que al no tener ip no puedes atacarla de ninguna forma.El día 27/07/05, Matias nnss Palomec [EMAIL PROTECTED] escribió:El Wed, 27 Jul 2005 02:40:34 +0200 Rubén [EMAIL PROTECTED] escribió: No llevo mucho en Debian pero queria saber si me podeis ayudar a ver si esposible lo siguiente: Quiero montar en una sola maquina 2 cosas: Por un lado un firewall invisible que con 2 tarjetas de red en modopromiscuo sin ip permitan o no el paso de paquetes a una red. Tenia pensado iptables y un bridge. Este es el esquema. INTERNET FIREWALL LANHola:A simple vista me parece que no. Si es invisible, ¿cómo uniría dosredes distintas?Si las dos placas de red están sin IP, ¿cómo utilisarías el proxy? --Atentamente, yo MatíasY sin fumar desde (casi) el '1089515700'http://www.nnss.d7.beLet one walk alone, commit no sin,with few wishes, like an elephant in the forest
Re: Firewall + Squid Guard
Ojo no tiene mucho que ver con el post, pero te recomiendo que si tienes servidores dentro de tu LAN a los que se puede acceder desde internet entonces crees una DMZ para darle mayor seguridad a tu LAN y también a tus servidores. En el siguiente link puedes conseguir mucha info sobre tópicos de red: www.redes-linux.com/manuales.php Creo que te vas a divertir con él SuerteOn 7/27/05, Rubén [EMAIL PROTECTED] wrote: El esquema es el siguiente router va conectado al FW y el Fw a la red. La tarjetas de red la pones en modo promiscuo (acepta cualquier paquete que reciba) y haces un bridge con bridge util para que cada paquete que reciba de una tarjeta lo retrasmite a la otra y viceversa. Con iptables filtras el forwarding es decir el trafico que atraviesa el FW. Pienso que es la forma mas segura de montar un FW, ya que al no tener ip no puedes atacarla de ninguna forma.El día 27/07/05, Matias nnss Palomec [EMAIL PROTECTED] escribió: El Wed, 27 Jul 2005 02:40:34 +0200 Rubén [EMAIL PROTECTED] escribió: No llevo mucho en Debian pero queria saber si me podeis ayudar a ver si esposible lo siguiente: Quiero montar en una sola maquina 2 cosas: Por un lado un firewall invisible que con 2 tarjetas de red en modopromiscuo sin ip permitan o no el paso de paquetes a una red. Tenia pensado iptables y un bridge. Este es el esquema. INTERNET FIREWALL LANHola:A simple vista me parece que no. Si es invisible, ¿cómo uniría dosredes distintas?Si las dos placas de red están sin IP, ¿cómo utilisarías el proxy? --Atentamente, yo MatíasY sin fumar desde (casi) el '1089515700'http://www.nnss.d7.be Let one walk alone, commit no sin,with few wishes, like an elephant in the forest -- Edgard VelásquezGNU/Linux Registered User #: 388478Debian UserLibertad de pensamiento, libertad de vida, sé libre (GNU/Linux)Podrán quitarnos la vida, pero nunca nuestra libertad (William Wallace)Caracas, Venezuela
Firewall + Squid Guard
No llevo mucho en Debian pero queria saber si me podeis ayudar a ver si es posible lo siguiente: Quiero montar en una sola maquina 2 cosas: Por un lado un firewall invisible que con 2 tarjetas de red en modo promiscuo sin ip permitan o no el paso de paquetes a una red. Tenia pensado iptables y un bridge. Este es el esquema. INTERNET FIREWALL LAN Por otro lado quiero tambien que la misma maquina filtre el contenido web para evitar determinadas paginas. Tenia pensado Squid + SquidGuard, redirigiendo mediante iptables la peticion web al squid. No quiero tener que ir maquina por maquina de la red configurando el proxy, por eso me gustaria usar iptables para redirigir automaticamente. No se si es posible todo en una misma maquina, alguien sabe si es posible hacerlo y si teneis información por favor mandarmela. Gracias por adelantado.