Regras por endereçobridge mais firewall!firewall!regras!por endereco@por endereço

Next: Regras por protocolo bridge Up: FIREWALLING Previous: Regra padrão bridge mais Sumário Índice Remissivo

Regras por endereçobridge mais firewall!firewall!regras!por endereco@por endereço

Antes da regra padrão, há que se colocar algumas regras que servem como exceções para esta recusa geral de serviços externos para clientes internos.

Deve-se tratar o endereço da máquinas de firewall de forma especial na rede interna. No nosso exemplo é a máquina de endereço final igual a .100 . Vamos interromper o acesso de pessoas ao firewall, a não ser que elas tenham permissão especial, porém uma vez que elas tenham acesso, terão permissão de se comunicar com o mundo.

$\begin{tscreen} \begin{verbatim}ipfwadm -I -i accept -S 192.168.2.100/255.255.255.255 \ -D 0.0.0.0/0.0.0.0\end{verbatim}\end{tscreen}$

Pode-se desejar ainda que os clientes internos estejam capacitados a falar com firewall. Talvez para eles possam persuadi-lo a deixá-los sair.

$\begin{tscreen} \begin{verbatim}ipfwadm -I -i accept -S 192.168.2.0/255.255.255.128 \ -D 192.168.2.100/255.255.255.255\end{verbatim}\end{tscreen}$

Neste ponto, pode-se verificar que a rede admite clientes de fora do firewall, utilizando por exemplo telnet, mas não se pode sair da rede local. Isto significa que é possível somente fazer o primeiro contato, mas os clientes externos não podem receber qualquer linha de comando. É possível entrar em todos os caminhos ao usar o firewall como um posto de verificação. Tente executar o comando rlogin e ping e verifique como o tcpdump opera com uma ou com a outra placa.

Next: Regras por protocolo bridge Up: FIREWALLING Previous: Regra padrão bridge mais Sumário Índice Remissivo

Cyro Mendes de Moraes Neto 1999-12-30