[gitec] Ajuda com Firewall

celso magela de almeida celso em camarapocos.mg.gov.br
Quarta Setembro 8 17:53:32 BRT 2010


Esclarecendo:

mandei pra vocês em mensagem anterior, as regras do meu iptables.

no Squid, tenho uma ACL "sites_liberados" (como a do *Jorge Mendes*) que
libera mais de um site até.

é uma lista para os sites que irão passar por fora do firewall(iptables)
nesse arquivo, incluo por exemplo:
site da conectividade,
sites de atualizações do ubuntu,
sites de atualizações de anti-virus,
sites de atualizações do servidor Centos e outros.

a grande vantagem é que esses itens não irão para o relatorio do squid, pois
no squid, me preocupo apenas com os acessos dos usuários.

e da mesma forma, tenho a ACL "sites_proibidos" e ACL
"permitidos_informática"
para usar a ACL "permitidos_informatica" conjugo com um lista de IPs de toda
a rede, separada em 2 grupos: informática e demais usuários.

A pouco tempo tambem implementei um controle de Banda.  Com isso, dowloads
de arquivos específicos ( .exe, .zip, pdf, wma, wmv, flv e outros, possuem
restrição de banda para menos que 10%.

Eu particularmente, acho muito eficiente.  E com um link de 800Kbps com
40-45 usuários, não tenho tido muitos problemas.


Celso Magela de Almeida
Assessor TI
Câmara Municipal de Poços de Caldas - MG
3729-3840



Em 5 de setembro de 2010 14:38, jorge mendes <jlsmds em gmail.com> escreveu:

> Herbert, mais cabeção que eu não tem na lista.
>
> Agora estou em casa e não tenho a configuração do firewall para te passar,
> lhe adianto que é a coisa mais simples que existe, mas sobre visualizar os
> logs dos acessos e uso de banda, utilizo o Sarg.
>
> Fácil instalar e utilizar, e ele gera os relatórios tudo em formato de
> página html.
>
> Eu utilizei esse tutorial do Morimoto para instalar e usar aqui na CMV.
>
> http://www.gdhpress.com.br/servidores/leia/index.php?p=cap2-20
>
> Abraços,
>
> Em 5 de setembro de 2010 11:35, <herbert em camaralencois.sp.gov.br>escreveu:
>
>> <20100903164333.E2903300CB em listas.interlegis.gov.br>
>> <77367B60B5304A1DB899D1029F7945EA em EricNote> <
>> AANLkTin3ga_PBQttk92z7vW8ZFU-+e5V9nzvnzi3cxZq em mail.gmail.com<AANLkTin3ga_PBQttk92z7vW8ZFU-%2Be5V9nzvnzi3cxZq em mail.gmail.com>
>> >
>> Message-ID: <21cd74ffd4613c4b6ed324a71e09fe28 em camaralencois.sp.gov.br>
>> X-Sender: herbert em camaralencois.sp.gov.br
>> User-Agent: RoundCube Webmail/0.3.1
>> Content-Transfer-Encoding: 8bit
>> Content-Type: text/plain; charset=UTF-8
>>
>> Saquei, então a minha realidade é meio parecida com a sua estou começando
>> a fazer uns testes aqui meio que ultilizando tudo o que os amigos estão
>> mandando para fazer um firewall simples e funcional e meio facil de mexer,
>> li o que postou e irei ultilizar sim.
>>
>>
>> Muito Obrigado, mas Jorge poderia postar as linhas do se firewall para eu
>> estudar aqui e ter como uma referencia ???  pois ainda to com duvidas como
>> fazer os logs de acesso do firewall e o que  cada pc navegou e como faço
>> para abrir isso como se fosse uma pagina web.
>>
>> Se tiver experiencia no assunto e puder ajudar um cabeção que nunca fez
>> isso e ta morrendo de vontade de aprender fico eternamente grato..
>>
>> Mas desde ja Obrigadooooo..
>>
>> fico por aqui
>>
>> Abrass .....
>>
>>
>> On Fri, 3 Sep 2010 14:42:07 -0300, jorge mendes <jlsmds em gmail.com> wrote:
>> > Herbert, aqui na Câmara Municipal de Vassouras, como não consegui
>> liberar
>> > o
>> > Conectividade Social pelo iptables eu o fiz pelo Squid mesmo.
>> >
>> > No squid.conf adicionei as linhas:
>> >
>> > acl conectividade src "/etc/squid/conectividade"
>> > http_access allow conectividade
>> >
>> > acl conectividade1 dstdomain "/etc/squid/conectividade1"
>> > http_access allow conectividade1
>> >
>> > Crie um arquivo com o nome conectividade1 com o conteúdo:
>> > .obsupgdp.caixa.gov.br
>> >
>> > Crie um arquivo com o nome conectividade com o conteúdo:
>> > 200.201.174.204
>> > 200.201.174.207
>> >
>> > E depois restarta o squid.
>> >
>> > Não sei se essas linhas podem deixar a rede mais vulnerável a ataques
>> > externos, mas como não temos nada que demande alto sigilo, não houve
>> essa
>> > preocupação.
>>
>> --
>>
>> Site da Comunidade GITEC:
>> http://colab.interlegis.gov.br/wiki
>>
>> Regras de participação:
>> http://colab.interlegis.gov.br/wiki/ComoParticiparComunidade
>>
>> Para pesquisar o histórico da lista visite:
>> http://colab.interlegis.gov.br/wiki/PesquisaListas
>>
>> Para administrar sua conta visite:
>> http://listas.interlegis.gov.br/mailman/listinfo/gitec
>>
>
>
>
> --
> Jorge Mendes - jlsmds em gmail.com
> Saiba mais sobre poder legislativo
> vassourense, visitando o site:
> www.camaravassouras.rj.gov.br
>
> --
> Site da Comunidade GITEC:
> http://colab.interlegis.gov.br/wiki
>
> Regras de participação:
> http://colab.interlegis.gov.br/wiki/ComoParticiparComunidade
>
> Para pesquisar o histórico da lista visite:
> http://colab.interlegis.gov.br/wiki/PesquisaListas
>
> Para administrar sua conta visite:
> http://listas.interlegis.gov.br/mailman/listinfo/gitec
>
-------------- Próxima Parte ----------
Um anexo em HTML foi limpo...
URL: http://listas.interlegis.gov.br/pipermail/gitec/attachments/20100908/fc75ca44/attachment.htm 


Mais detalhes sobre a lista de discussão GITEC