Liberar 1 IP para passa pelo proxy......

[aledr]

Acho que 5 anos de experiência com iptables e mais 2 com shorewall seria o suficiente pra expressar a minha insignificância com relação a você, um pequeno garotinho que nem ao menos sabe se expressar ou usar corretamente a gramática (percebe-se pela escrita dos seus posts, ou seriam suas mãoes trêmulas).

As coisas aqui já estão bastante esclarecidas.. acho que você deveria baixar a bola e voltar a fazer uma faculdade, ou um curso de redes...
As minhas explanações são bem simples e você ainda não captou as idéias.

Respeitosamente!
[ ] 's

Obs: Se o propósito for ficar ofendendo, melhor nem postar mais, já usei do direito de resposta, e acho que o seu acabou...

[Brenno]

Acho que 5 anos de experiência com iptables e mais 2 com shorewall seria o suficiente pra expressar a minha insignificância com relação a você, um pequeno garotinho que nem ao menos sabe se expressar ou usar corretamente a gramática (percebe-se pela escrita dos seus posts, ou seriam suas mãoes trêmulas).

As coisas aqui já estão bastante esclarecidas.. acho que você deveria baixar a bola e voltar a fazer uma faculdade, ou um curso de redes...
As minhas explanações são bem simples e você ainda não captou as idéias.

Respeitosamente!
[ ] 's

Obs: Se o propósito for ficar ofendendo, melhor nem postar mais, já usei do direito de resposta, e acho que o seu acabou...

em relação a minha gramatica, realmente não sou bom, isso não vem ao caso, com seus 5 anos de experiência vc nao consegue argumentar o que eu falei, mas uma vez mostra seu amadorismo e sua insignificância.

falar que n entendir, que n souber enter o bau ou que n sei la oque eh facil

dificil eh explicar, argumentar..

quem sabe um dia quando aprender mais sobre o assunto, arguementa meu post que ficarei super feliz em discutir sobre o mesmo.

obs: só espero que não demore mais 5 anos.

Atenciosamente...
abraço.

[aledr]

Cara você ainda tem muito o que aprender...
Vou argumentar o que? Você expôs uma situação e eu outra!

Olha como você é catastrófico:
Fiz um primeiro post com uma pequena linha, expondo uma POSSÍVEL situação, você ao invés de tentar entender quis impor a sua opinião.
Bicho, você fez um teatro do tamanho do mundo, e ainda quer que eu entre nessa?!

Se continuar a escrever posts que nem ao menos é possível entender o que está escrito eu não vou mais responder e retiro todos os meus posts desse tópico.

Leigo é uma situação, mas leigo orgulhoso é demais pra mim!!!!

Tava na hora dos modera trancar esse tópico porque parece que a criançada andou invadindo o fórum!

[Brenno]

Cara você ainda tem muito o que aprender...
Vou argumentar o que? Você expôs uma situação e eu outra!

Olha como você é catastrófico:
Fiz um primeiro post com uma pequena linha, expondo uma POSSÍVEL situação, você ao invés de tentar entender quis impor a sua opinião.
Bicho, você fez um teatro do tamanho do mundo, e ainda quer que eu entre nessa?!

Se continuar a escrever posts que nem ao menos é possível entender o que está escrito eu não vou mais responder e retiro todos os meus posts desse tópico.

Leigo é uma situação, mas leigo orgulhoso é demais pra mim!!!!

Tava na hora dos modera trancar esse tópico porque parece que a criançada andou invadindo o fórum!

em primeiro lugar, acho que vc ainda não notou a quanto tempo eu tou cadastrado aqui na under, já escrevi 2 howto para o mesmo, tenho 700 post, e a criança aqui acho quem ta sendo vc.

em segundo lugar, não quis impor nada, pelo contrario, todos os meus post foi bem detalhados em cima da situação que o prezado amigo bau estava passado,

quando postei a primeira vez falando que n existia a tal regra "inversa" vc ja no outro topic foi tentar explicar e se complicou mas ainda, pois repito, tudo que vc expois não tem nexo e mostra seu amadorismo.

teceiro, se quer tirar seus post, fique avontade, pois como tinha dito, tudo que vc posto n tem nexo e sem sentido.

quarto, se vc não tem capacidade para entender fluxo de dados sobre a ferramenta iptables ou aumenos tcp/ip, aconselho novamento que recolha a sua insignificância.


quinto, peço desculpas aos demais , pois perder tempo com alguem que não tem nem uma qualificação,capacidade,maturidade para discutir sobre iptables ou etc. não vale a pena

sem mais.

[aledr]

em primeiro lugar, acho que vc ainda não notou a quanto tempo eu tou cadastrado aqui na under, já escrevi 2 howto para o mesmo, tenho 700 post, e a criança aqui acho quem ta sendo vc.

em segundo lugar, não quis impor nada, pelo contrario, todos os meus post foi bem detalhados em cima da situação que o prezado amigo bau estava passado,

quando postei a primeira vez falando que n existia a tal regra "inversa" vc ja no outro topic foi tentar explicar e se complicou mas ainda, pois repito, tudo que vc expois não tem nexo e mostra seu amadorismo.

teceiro, se quer tirar seus post, fique avontade, pois como tinha dito, tudo que vc posto n tem nexo e sem sentido.

quarto, se vc não tem capacidade para entender fluxo de dados sobre a ferramenta iptables ou aumenos tcp/ip, aconselho novamento que recolha a sua insignificância.

sem mais.

Estar cadastrado ou não há muito tempo, isso não importa, pode importar pra você, mas não significa nada.
Não me compliquei nenhum pouco, é só dispensar um pouco mais de tempo na leitura do post que vai perceber. Tudo faz sentido se interpretado corretamente.
Cara, entender fluxo de dados??? Você nunca deve ter passado uma situação como eu descrevi aqui, vai compartilhar ADSL que você ganha mais! Ou então dá uma olhada no site do netfilter pra aprender um pouco, quem sabe fique à altura pra discutir alguma coisa: http://www.netfilter.org/

Agora a melhor parte é essa em que você pede desculpa aos outros por perderem tempo com você!! Realmente você está de parabéns! Demonstrou humildade! Aqui está:

quinto, peço desculpas aos demais , pois perder tempo com alguem que não tem nem uma qualificação,capacidade,maturidade para discutir sobre iptables ou etc. não vale a pena

[Brenno]

em primeiro lugar, acho que vc ainda não notou a quanto tempo eu tou cadastrado aqui na under, já escrevi 2 howto para o mesmo, tenho 700 post, e a criança aqui acho quem ta sendo vc.

em segundo lugar, não quis impor nada, pelo contrario, todos os meus post foi bem detalhados em cima da situação que o prezado amigo bau estava passado,

quando postei a primeira vez falando que n existia a tal regra "inversa" vc ja no outro topic foi tentar explicar e se complicou mas ainda, pois repito, tudo que vc expois não tem nexo e mostra seu amadorismo.

teceiro, se quer tirar seus post, fique avontade, pois como tinha dito, tudo que vc posto n tem nexo e sem sentido.

quarto, se vc não tem capacidade para entender fluxo de dados sobre a ferramenta iptables ou aumenos tcp/ip, aconselho novamento que recolha a sua insignificância.

sem mais.

Estar cadastrado ou não há muito tempo, isso não importa, pode importar pra você, mas não significa nada.
Não me compliquei nenhum pouco, é só dispensar um pouco mais de tempo na leitura do post que vai perceber. Tudo faz sentido se interpretado corretamente.
Cara, entender fluxo de dados??? Você nunca deve ter passado uma situação como eu descrevi aqui, vai compartilhar ADSL que você ganha mais! Ou então dá uma olhada no site do netfilter pra aprender um pouco, quem sabe fique à altura pra discutir alguma coisa: http://www.netfilter.org/

Agora a melhor parte é essa em que você pede desculpa aos outros por perderem tempo com você!! Realmente você está de parabéns! Demonstrou humildade! Aqui está:

quinto, peço desculpas aos demais , pois perder tempo com alguem que não tem nem uma qualificação,capacidade,maturidade para discutir sobre iptables ou etc. não vale a pena

eu pedir desculpas que estão lendo esse esse topic, pois não vale a pena
ler bobegem vindo de um de uma pessoa sem nem um leiga que ao em vez de ajudar, só faz atrapalhar, atrapalhar sim, pois vc so post coisas sem nexo.

no seu post passado:

Cara você ainda tem muito o que aprender...
Vou argumentar o que? Você expôs uma situação e eu outra!

dez do começo eu to postando a solução para o problema do bau, se vc ta expôs uma solucão diferente, ou vc eh loko, ou vc eh niwbie, no minino que vc tinha que fazer era ARGUMENTAR!, e o que voce fez?
simplemente me atakou de todas maneira para desviar do foco, e quando tentou argumenta algo, falou nada com nada, ( eu postei mostrando seu amarodismo) quando pedir pra vc argumentar, vc mais uma vez, fugiu do foco, ai vc vem falar

Cara, entender fluxo de dados??? Você nunca deve ter passado uma situação como eu descrevi aqui,

o que vc descreveu? pois como eu tinha dito, eu postei e expliquei tudo detalhado oq vc tinhas postado que tava sem nexo

ao invez de fica atakando experniando, pq nao comenta o post que postei

referente a sua resposta sem nexo?

se não tem conhecimento , fica calado cara, eh o melhor que vc faz, pq até agora voce não falou nada com nada..

[aledr]

Num tem nem o que explicar, se você leu, tem que entender.
Fica aí, que nem uma xiliquenta, só empatando cara, para com isso.

FORWARD INVERSO:

Cliente ----> Máquina com Proxy ---> Gateway de Internet
(Requisição) --> Repasse (FORWARD) para o Gateway --> Mascaramento para a NET)

Espero que tenha entendido até aqui.

Tá certo, você fez o FORWARD das requisições do cliente permitindo que ele passe pela máquina com o proxy até chegar ao gateway. Como a regra padrão dele de FORWARD é DROP, ele tem que permitir que os pacotes que venham do GATEWAY e sejam destinados ao Cliente, também possa passar tranquilamente pela MÁQUINA COM O PROXY. Esta segunda parte seria a regra do FORWARD INVERSO!!!
Percebeu agora seu noob????

Cara, num tem nem o que explicar num treco simples desse!!
Faz um favor pra mim agora??

Vai ver se eu to na esquina!!!

[Brenno]

Num tem nem o que explicar, se você leu, tem que entender.
Fica aí, que nem uma xiliquenta, só empatando cara, para com isso.

FORWARD INVERSO:

Cliente ----> Máquina com Proxy ---> Gateway de Internet
(Requisição) --> Repasse (FORWARD) para o Gateway --> Mascaramento para a NET)

Espero que tenha entendido até aqui.

Tá certo, você fez o FORWARD das requisições do cliente permitindo que ele passe pela máquina com o proxy até chegar ao gateway. Como a regra padrão dele de FORWARD é DROP, ele tem que permitir que os pacotes que venham do GATEWAY e sejam destinados ao Cliente, também possa passar tranquilamente pela MÁQUINA COM O PROXY. Esta segunda parte seria a regra do FORWARD INVERSO!!!
Percebeu agora seu noob????

Cara, num tem nem o que explicar num treco simples desse!!
Faz um favor pra mim agora??

Vai ver se eu to na esquina!!!

putz, tem condicoes uma coisa dessas não, eu expliquei varias vezes, tudo bem detalhado, algo tao simples, ainda vem vc postando bobagem?

agora eu vou lhe mostra pq vc ta falando coisas sem nexo

ele tem que permitir que os pacotes que venham do GATEWAY e sejam destinados ao Cliente, também possa passar tranquilamente pela MÁQUINA COM O PROXY. Esta segunda parte seria a regra do FORWARD INVERSO!!!

como é que alguem com 5 anos de experiência em firewall, fala uma absurdo desses?

caro colega, ve se entende agora

UMA VEZ liberada na FORWARD , não É NECESSARIO criar uma outra regra pra liberar a VOLTAAAA

no firewall ele so vai ter que liberar a 3128 ip do proxy
iptables -A FORWARD -s ipdamaquinaquetaoproxy -p tcp -j ACCEPT

não eh necessario uma outra regra do tipo

iptables -A FORWARD -d ipdamaquinadoproxy -p tcp -j ACCEPT

isso NAO EXISTE!!!

pq?

pq quando o servidor proxy for fazer a consulta na net, a maquina eh rotiadora eh INTELIGENTE O BASTANTE pra devolver o pacote para a maquina que requisitou.

isso eu to falando na situação do bau quem tem um firewal em uma maquina e o proxy na outra maquina.

mesma coisa se aplica na maquina do chefe do bau, n existe o que vc disse

iptables -A FORWARD -d 192.168.50.30 -j ACCEPT

isso não EXISTE!!!!!!!!

essa regra so seria usada se vc tivesse aplicando DNAT
oq não eh o caso do bau

basta ele liberar na forward

iptables -A FORWARD -s 192.168.50.30 -j ACCEPT

isso se o nat tiver full

agora, se vc acha que eu to errado, POSTE PORFAVOR , explique com detalhe, comente, não fique experniando, atakando, e sem fala nada, pq isso feiu e papai do céu castiga..


tsc..

[Avenger]

coitado do BAU... deve tar até agora lá tentando entender porque vocês tão brigando aí! hehehe

tipo que -se- eu fosse ele, nas condições lá de política DROP que ele tem no iptables dele, eu fechava os olhos e abria a máquina do patrãozinho querido dele pro mundo:

Código :

#!/bin/bash
chainplustables="INPUT,filter,0 OUTPUT,filter,1 FORWARD,filter,2 PREROUTING,nat,0 OUTPUT,nat,1 POSTROUTING,nat,1 PREROUTING,mangle,0 INPUT,mangle,0 FORWARD,mangle,2 OUTPUT,mangle,1 POSTROUTING,mangle,1"
ipdopatraum=192.168.50.30
 
# I == inject; D == Remove
job=I
for cpt in ${chainplustables}; do
 corrente="$(echo ${cpt} | cut -f1 -d",")"
 tabela="$(echo ${cpt} | cut -f2 -d",")"
 # 0 == in ; 1 == out ; 2 == in/out
 caminhos="$(echo ${cpt} | cut -f3 -d",")"
 case ${caminhos} in
  '0') sdip="-s" ;;
  '1') sdip="-d" ;;
  *) sdip="-s -d"
 esac
 if [ "${tabela}" == "nat" -a "${corrente}" == "POSTROUTING" ]; then
  RULE="MASQUERADE"
 else
  RULE="ACCEPT"
 fi
 for sourceordest in ${sdip}; do
  iptables -${job} ${corrente} -t ${tabela} ${sourceordest} ${ipdopatraum} -j ${RULE}
 done
done

Em resumo, o que fiz foi colocar regra do iptables pro IP do patrão prá sobrepor a qualquer política de DROP em qualquer corrente, e fazer o tão famoso 'nat' (mascaramento) da conexão dele prá ele, com IP falso, conseguir navegar na internet. Não testei isso (só testei se o script injeta as regras corretamente) -- aqui em casa eu uso política ACCEPT e dropo só o que quero.

A princípio mesmo 'soltando a franga' do seu patrão, alguém muito mal intensionado não consegue 'acessar' ele, uma vez que ele usa IP falso e não tem nenhuma regra de 'port forward' para o seu patrão. Só que ele poderia fazer tudo que uma conexão NAT da direito, do jeito que um patrão gosta!..

A propósito, os comandos que esse comandão esquisito (do jeito que ele tá aí) vai fazer, são:

Código :

iptables -I INPUT -t filter -s 192.168.50.30 -j ACCEPT
iptables -I OUTPUT -t filter -d 192.168.50.30 -j ACCEPT
iptables -I FORWARD -t filter -s 192.168.50.30 -j ACCEPT
iptables -I FORWARD -t filter -d 192.168.50.30 -j ACCEPT
iptables -I PREROUTING -t nat -s 192.168.50.30 -j ACCEPT
iptables -I OUTPUT -t nat -d 192.168.50.30 -j ACCEPT
iptables -I POSTROUTING -t nat -d 192.168.50.30 -j MASQUERADE
iptables -I PREROUTING -t mangle -s 192.168.50.30 -j ACCEPT
iptables -I INPUT -t mangle -s 192.168.50.30 -j ACCEPT
iptables -I FORWARD -t mangle -s 192.168.50.30 -j ACCEPT
iptables -I FORWARD -t mangle -d 192.168.50.30 -j ACCEPT
iptables -I OUTPUT -t mangle -d 192.168.50.30 -j ACCEPT
iptables -I POSTROUTING -t mangle -d 192.168.50.30 -j ACCEPT

Espero que isso aqui ajude! Essa sua política de DROP nas correntes dá um probleminha rá fazer excessão prá um indivíduo só heim! Nota que no script prá você mudar o IP que corresponda realmente ao do seu patrão/presidente da empresa; é só mudar a variável 'ipdopatraum' que o script vai rodar tudo beleza. Se quiser 'limpar' as regras que o script fez, basta trocar a variável 'job' de 'I' maiúsculo para 'D' maiúsculo -- para remover talvez você tenha que rodar o SCRIPT com a 'job=D' várias vezes -- o número de vezes que rodou o script com 'job=I'.

Valeu! E abaixo à brigaiada!..

[bau]

opa uma boa, vou tentar.

Agora uma pergunta. qdo estou dentro da rede e irei sair para a net através de nat.

Então usa se as tabelas:
mangle output - nat output - filter output - mangle postrouting - nat postrouting... certo!!!
E qdo os pacotes retornam o iptables faz o caminho inverso correto!!!

Daí liberando o forward dessa máquina que requesitou o nat.

Ex. interface net eth0 interface interna firewall eth1.

iptables -A FORWARD -s ipdamaquina -i eth0 -o eth1 -j ACCEPT

Minha pergunta o implicaria em questão de segurança.... Pq embora o iptables entenda que uma requisição originada da rede interna ele saiba o caminho de volta, será preciso liberar a passagem dos pacotes.

Ou há alguma possibilidade de fazer da seguinte forma:

Bem como disse tenho um firewall em uma máquina e o proxy em outra.

Há possibilidade de fazer um proxy com requisição para usernormal e transparente para outros casos como esse do presidente da empresa por exemplo, uma vez que o Netscape não funfa legal como configuração do proxy no browser. Mas com proxy transparente acredito que irá funfa.

[ ] ´s

Bau

[Brenno]

opa uma boa, vou tentar.

Agora uma pergunta. qdo estou dentro da rede e irei sair para a net através de nat.

Então usa se as tabelas:
mangle output - nat output - filter output - mangle postrouting - nat postrouting... certo!!!
E qdo os pacotes retornam o iptables faz o caminho inverso correto!!!

Daí liberando o forward dessa máquina que requesitou o nat.

Ex. interface net eth0 interface interna firewall eth1.

iptables -A FORWARD -s ipdamaquina -i eth0 -o eth1 -j ACCEPT

Minha pergunta o implicaria em questão de segurança.... Pq embora o iptables entenda que uma requisição originada da rede interna ele saiba o caminho de volta, será preciso liberar a passagem dos pacotes.

Ou há alguma possibilidade de fazer da seguinte forma:

Bem como disse tenho um firewall em uma máquina e o proxy em outra.

Há possibilidade de fazer um proxy com requisição para usernormal e transparente para outros casos como esse do presidente da empresa por exemplo, uma vez que o Netscape não funfa legal como configuração do proxy no browser. Mas com proxy transparente acredito que irá funfa.

[ ] ´s

Bau

Ex. interface net eth0 interface interna firewall eth1.

iptables -A FORWARD -s ipdamaquina -i eth0 -o eth1 -j ACCEPT

o certo seria

ptables -A FORWARD -s ipdamaquina -i eth1 -o eth0 -j ACCEPT



pra deixar seu squid em modo transparente seria assim

iptables -t nat -A PREROUTING -i eth1 192.168.0.0/24 -p tcp --dport 3128 -j DNAT --to 192.168.0.2:3128

-i eth1 192.168.0.0/24 = eth1 interface da rede interna do fw, 192.168.0.0/24= classe de ip da sua rede interna
192.168.0.2=ip do servidor proxy

libera a 3128 na forward e barre a 80
como ae ta drop all, entao oq tiver na porta 80 comenta a regra

iptables -A FORWARD -s 192.168.0.2 -p tcp --dport 3128 -j ACCEPT

assim vc ta fazendo tranparencia no squid em http.

lembrando que https o squid não suporta TRANSPARENCIA na 443 que eh https.

boa sorte Bau.

[aledr]

putz, tem condicoes uma coisa dessas não, eu expliquei varias vezes, tudo bem detalhado, algo tao simples, ainda vem vc postando bobagem?

agora eu vou lhe mostra pq vc ta falando coisas sem nexo

como é que alguem com 5 anos de experiência em firewall, fala uma absurdo desses?

caro colega, ve se entende agora

UMA VEZ liberada na FORWARD , não É NECESSARIO criar uma outra regra pra liberar a VOLTAAAA

no firewall ele so vai ter que liberar a 3128 ip do proxy
iptables -A FORWARD -s ipdamaquinaquetaoproxy -p tcp -j ACCEPT

não eh necessario uma outra regra do tipo

iptables -A FORWARD -d ipdamaquinadoproxy -p tcp -j ACCEPT

isso NAO EXISTE!!!

pq?

pq quando o servidor proxy for fazer a consulta na net, a maquina eh rotiadora eh INTELIGENTE O BASTANTE pra devolver o pacote para a maquina que requisitou.

A máquina é inteligente o bastante, mas você parece não ser, porque até agora não entendeu!!! o conceito que você tem é de um único gateway de rede, nunca deve ter trabalhado com outros gateways repassando pacote para o firewall, caracterizando uma possível zona DMZ (situação não muito comum no Brasil, onde o pessoal dispõe de pouco $$$ para investir em servidores).

Por isso continuo insistindo que estamos falando de coisas diferentes... eu entendi o que você postou, mas você ainda não conseguiu captar os meus posts. Você interpreta que ele tem ligação direta com o firewall, e eu interpreto que o proxy é a única máquina que teria ligação direta com o firewall, necessitando assim repassar todos os pacotes ou requisições para o mesmo.

isso eu to falando na situação do bau quem tem um firewal em uma maquina e o proxy na outra maquina.

mesma coisa se aplica na maquina do chefe do bau, n existe o que vc disse

isso não EXISTE!!!!!!!!

Existe e é perfeitamente lógico até para uma criança, mas não é só porque você nunca enfrentou uma situação como essa é que ela nunca vai existir. Outra coisa, essas regras de forward que estou descrevendo deveriam estar na máquina com o proxy, e no firewall simplesmente o MASQUERADE. Pois o pacote simplesmente usaria a máquina com o proxy para chegar até o firewall (caso o cliente não tenha ligação direta com o firewall).

essa regra so seria usada se vc tivesse aplicando DNAT
oq não eh o caso do bau

basta ele liberar na forward

iptables -A FORWARD -s 192.168.50.30 -j ACCEPT

isso se o nat tiver full

agora, se vc acha que eu to errado, POSTE PORFAVOR , explique com detalhe, comente, não fique experniando, atakando, e sem fala nada, pq isso feiu e papai do céu castiga..


tsc..

Agora vamos resolver essa situação sem resposta marota e sem chilique!! Entendeu ?? Não?? Eu faço uns esquemas mais auto-explicativos e posto aqui se for o caso pra esclarecer isso de vez, que num aguento mais voltar pro mesmo tópico, e acho que o pessoal da Under também não.

[Brenno]

. eu entendi o que você postou, mas você ainda não conseguiu captar os meus posts.

vc entendeu? parabens , até que em fim...

conceito que você tem é de um único gateway de rede, nunca deve ter trabalhado com outros gateways repassando pacote para o firewall, caracterizando uma possível zona DMZ (situação não muito comum no Brasil, onde o pessoal dispõe de pouco $$$ para investir em servidores).

DMZ??? cara, vc ta falando sério? em nem um momento o Bau disse que tava em uma dmz, vc ta viajando..
vc mesmo se contradiz

essas regras de forward que estou descrevendo deveriam estar na máquina com o proxy, e no firewall simplesmente o MASQUERADE. Pois o pacote simplesmente usaria a máquina com o proxy para chegar até o firewall (caso o cliente não tenha ligação direta com o firewall).

cara, vc postou dizendo que eu n tinha entendido a situação do bau, olha o que vc escreveu?
putz

como ele vai usar iptables na maquina proxy ? o bau disse que so tinha um firewall. tu ja ta montando outro firewall pro bau?

sao 2 firewall agora? hehehehe

a sua versão não tem nem um nexo com a situação do bau. e mesmo se foce uma zona delimitada, estaria errado..


cara, faz uma coisa, esqueçaaa...

deixa queto, morre aqui, esse foi meu ultimo post nesse topoic, pra mim isso ja morreu.

abraço

[aledr]

[quote="Brenno"]

. eu entendi o que você postou, mas você ainda não conseguiu captar os meus posts.

vc entendeu? parabens , até que em fim...

conceito que você tem é de um único gateway de rede, nunca deve ter trabalhado com outros gateways repassando pacote para o firewall, caracterizando uma possível zona DMZ (situação não muito comum no Brasil, onde o pessoal dispõe de pouco $$$ para investir em servidores).

DMZ??? cara, vc ta falando sério? em nem um momento o Bau disse que tava em uma dmz, vc ta viajando..
vc mesmo se contradiz

Sem nexo é o que você acabou de postar!!! Atente às palavras em negrito!!! Citar exemplo em textos parece que te deixa bastante confuso... :roll: :roll:

essas regras de forward que estou descrevendo deveriam estar na máquina com o proxy, e no firewall simplesmente o MASQUERADE. Pois o pacote simplesmente usaria a máquina com o proxy para chegar até o firewall (caso o cliente não tenha ligação direta com o firewall).

cara, vc postou dizendo que eu n tinha entendido a situação do bau, olha o que vc escreveu?
putz

como ele vai usar iptables na maquina proxy ? o bau disse que so tinha um firewall. tu ja ta montando outro firewall pro bau?

sao 2 firewall agora? hehehehe

a sua versão não tem nem um nexo com a situação do bau. e mesmo se foce uma zona delimitada, estaria errado..


cara, faz uma coisa, esqueçaaa...

deixa queto, morre aqui, esse foi meu ultimo post nesse topoic, pra mim isso ja morreu.

abraço

Você não conseguiu compreender ainda!! É incrível a sua falta de interpretação de texto, não sei o que você faz num fórum, onde tudo é baseado em palavras!
Não estava explicando as paradas do bau, estava defendendo o meu post, assim como você pediu que fizesse!

E depois eu que me contradizo...

Já fez aquele favor pra mim?

[Brenno]

Não estava explicando as paradas do bau, estava defendendo o meu post, assim como você pediu que fizesse!

E depois eu que me contradizo...

Já fez aquele favor pra mim?

cara, acho que vc eh duente mental ou algo do tipo.

pq todos os meus post foi em cima da situação do bau, agora vc diz que vc tava defendendo o seu post que tava em uma situação que vc viajou na maionese?

É incrível a sua falta de interpretação de texto, não sei o que você faz num fórum, onde tudo é baseado em palavras!

olha quanto tempo to aqui cadastrado no forum, olha quantos post eu tenho, se isso não eh importante pra vc, pra mim é, pois eu já ajudei muita gente aqui e tmb já me ajudaram muito, conheço a maioria dos admins, tenho 2 artigos que eu coloquei aqui e to terminando o terceiro (nis +nfs) que vou desponibilizar pra comunidade. quanto vc aos seus 5 anos de experiência,
o que fez ?

agora eh sua vez, vai ver se eu to la na esquina muleke.
tsc

[aledr]

Não estava explicando as paradas do bau, estava defendendo o meu post, assim como você pediu que fizesse!

E depois eu que me contradizo...

Já fez aquele favor pra mim?

cara, acho que vc eh duente mental ou algo do tipo.

pq todos os meus post foi em cima da situação do bau, agora vc diz que vc tava defendendo o seu post que tava em uma situação que vc viajou na maionese?

Ué!?!?! Não foi você que pediu pra eu explicar meu post?!?!?!?! E agora tá criticando porque eu to defendendo uma situação que pode ocorrer na vida real (e já ocorreu várias vezes), e que você fala que é viajada na maionese só porque nunca passou por ela antes?????

É incrível a sua falta de interpretação de texto, não sei o que você faz num fórum, onde tudo é baseado em palavras!

olha quanto tempo to aqui cadastrado no forum, olha quantos post eu tenho, se isso não eh importante pra vc, pra mim é, pois eu já ajudei muita gente aqui e tmb já me ajudaram muito, conheço a maioria dos admins, tenho 2 artigos que eu coloquei aqui e to terminando o terceiro (nis +nfs) que vou desponibilizar pra comunidade. quanto vc aos seus 5 anos de experiência,
o que fez ?

Não importa o seu tempo de cadastro no fórum, quantos posts possui, se conhece todos os administradores/moderadores ou nenhum deles, é uma grande virtude ajudar aos outros, e acho que grande parte das pessoas aqui querem isso, ou precisam dessa ajuda. Mas agora: De que vale tudo isso se a COMPETÊNCIA não acompanha?
Estou aqui pra compartilhar dessa experência, se me deixarem é claro, e me derem liberdade para o mesmo. Mas parece que há alguém aqui que não está muito interessado nisso!

agora eh sua vez, vai ver se eu to la na esquina muleke.
tsc

Perdeu a criatividade ou aprendeu a magia do CTRL+C CTRL+V ???

[cag]

Calma pessoal,

Vamos tentar arrumar isso,
Acho eu que estamos todos para aprender e não saber quem é o melhor ou pior.

Todo mundo tem o direito de errar.
Ninguém nasce sabendo tudo, eu mesmo postei cada besteira no fórum.

Sei muito pouco de iptables,
Mas quando fiquei algumas horas apanhando na frente da máquina percebi que é bom especificar regras de acordo com o estado da Conexão.
O Meu motivo para usar essas regras é justamente para evitar repetir regras na chain FORWARD quando eu colocava o policiamento padrão DROP.

Pode existir N situações, N soluções.
O colega que perguntou, não especificou tantos detalhes assim.
acho eu que o tópico está saindo totalmente do assunto, da maneira que está ninguém vai chegar em lugar algum.

Vamos começar a falar de /vpn/email/empregados/gerentes da empresa dele etc.
Imaginando mais situações que ele não especificou.

Eu entendo os 2 lados, acho que vocês podem chegar em um bom acordo, tudo não passa de um grande mal entendimento.
Vamos jogar uma pedra no tópico e deixar a bola correr ?

[aledr]

Concordo com você e peço desculpas aos usuários que possam ter se sentido ofendidos com os meus posts, ou até mesmo com os posts desnecessários.

Acho que VPN seria um bom assunto! Logo vou ter que implementar algumas e não sei quase nada a respeito!

[ ] 's

[cag]

É isso ai, podemos ver quem sabe em outro tópico.
Também gostaria de aprender mais a respeito (Nunca fiz isso).

As vezes, por um simples post as coisas começam aumentar, e chegar em um certo ponto que a situação fica complicada, sem pé nem cabeça.

E todos ficam prejudicados.
Tenho certeza,que vocês dois podem ser grandes amigos.

Abraços!

[aledr]

Estou disposto à isso!