e ai alexandre blz veio
e ai breno blz
tudo trankilos
parem de brigar rss
Versão Imprimível
e ai alexandre blz veio
e ai breno blz
tudo trankilos
parem de brigar rss
Pode ficar tranquilo, acho que está tudo resolvido já!!
[ ]'s
Viajei. Não entendi a pergunta conclusiva que você fez. Então vou responder o que acho que entendi que você perguntou do mangle baseado no script que te passei (na verdade fiz ele meio de cabeça na hora que ia te responder e só testei se as regras iam entrar no iptables mesmo).
Caso 1: Quando um pacote vai passa da net até o pc do seu patrão, na tabela nat ele passa por preroting e postrouting, na filter ele passa pela forward, e na mangle passa pela prerouting, postrouting e forward. Isso tanto prá o seu patrão mandar o pacote pro IP da internet, quanto o tal IP da internet mandar a resposta do pacote de volta pro seu patrão;
Caso 2: Quando a maquina do seu patrao precisar requisitar DNS, supondo que o servidor DNS seja o mesmo do firewall (esquecendo que o proxy existe mesmo que em outra máquina), o pacote que vai pedir o dns vai passar:
nat: prerouting, postrouting
filter: input
mangle prerouting, input, postrouting
(não tenho certeza absoluta sobre a prerouting e postrouting nesse segundo caso -- mas já que as regras têm que estar devido à primeira regra -- então tudo bem!..)
Caso 3: Quando o servidor for responder com o que a tal requisição DNS significa, ele vai passar por:
nat: prerouting, postrouting, output
filter: output
mangle: prerouting, postrouting, output
(mesmo coisa do segundo caso -- não tenho certeza sobre os prerouting+postrouting, mas já são necessários por causa causa do primeiro lá).
No caso 1, ignorando o que o colega comentou sobre 'se o pacote vai, o iptables permite inteligentemente que ele volte' -- pois isso eu testei uma vez e me dei mal, só liberando a ida e a volta, prá mim numa situação que passei, é que funcionou -- as regras vão ter tanto -s <ip_do_patrao> quanto -d <ip_do_patrao> (s=origem de d=destino a);
No caso 2, também sendo ignorante caso cabível, vem à tona o uso da opção -s <ip_do_patrão> apenas;
No caso 3, prá variar na minha guenorância, as regras pertinentes baseiam-se em -d <ip_do_patrão>.
Agora quanto à outra pergunta se vc quiser fazer de novo prá ver se eu consigo responder... pq eu to com medo de falar que foi vaga pq sobrei que nem jiló na janta num otro topico sobre postfix que eu falei que o cara tinha sido vago na pergunta -- no seu caso eu não achei vago, eu fiquei foi confuso com o que c quer saber.
p.s.: à ultima mensagem minha:
Ela foi em resposta à ultima pergunta do BAU, eu não tinha nem visto esse tanto de post off-topic aí ainda. Então, o meu post acima é em resposta ao último post da segunda página! Valeu.
esse eh um site de varios que tem na internet explicando sobre dmzCitação:
a sua versão não tem nem um nexo com a situação do bau. e mesmo se foce uma zona delimitada, estaria errado..
http://www.projetoderedes.com.br/art..._perimetro.php
eu poderia citar alguns tipos de dmz, mas acho melhor da uma olhada no site, la tem alguns exemplos e ta bem detalhado.
eu já li muito sobre o mesmo e utilizo uma dmz em um dos meus clientes. onde tenho 2 firewall um tratando os pacotes que vem do roteado com destino a dmz e outro firewall tratando os pacotes que vem da rede interna que no mesmo tem adsl com destino a dmz.Citação:
E agora tá criticando porque eu to defendendo uma situação que pode ocorrer na vida real (e já ocorreu várias vezes), e que você fala que é viajada na maionese só porque nunca passou por ela antes?????
bom, acho que ta bom já, pois ainda vou continuar discordando de tudo que vc postou e provavelmente ainda vai fica tentando dizer que não sei de nada bla bla..
só espero que meus post tenha sido de ajuda ao bau e as outras pessoas que poça ta passando pela mesma situação.
acho que já ta bom parar por aqui.
abraço a todos.