+ Responder ao Tópico



  1. Bom Dia,

    Pessoal estou com um problema grande por aqui tenho q Bloq. por completo todos os sites porém alguns sites como (bancos, governamentais, dentro alguns outros) tenho q libera-los. Sei que seria bem mais fácil fazer por web-proxy. Porém não poderei utiliza-lo.
    Desta forma tentei fazer de um jeito que não esta dando certo de jeito nenhum tentei utilizar a lógica de que o firewall executa uma linha de cada vez e assim a linha de cima tem mais prioridade do que as de baixo. Mas não dá certo não

    Coloquei +/- assim.
    /ip firewall filter
    add action=accept chain=forward comment="Sites Liberados" content=.gov.br disabled=no src-address=192.168.3.0/29
    add action=accept chain=forward comment="" content=.edu disabled=no src-address=192.168.3.0/29
    add action=accept chain=forward comment="" content=.gov disabled=no src-address=192.168.3.0/29
    add action=accept chain=forward comment="" content=.mil disabled=no src-address=192.168.3.0/29
    add action=accept chain=forward comment="" content=bradesco disabled=no src-address=192.168.3.0/29
    add action=accept chain=forward comment="" content=itau disabled=no src-address=192.168.3.0/29
    add action=accept chain=forward comment="" content=bb.com.br disabled=no src-address=192.168.3.0/29
    add action=accept chain=forward comment="" content=bancofibra disabled=no src-address=192.168.3.0/29
    add action=drop chain=forward comment="" disabled=no protocol=udp src-address=192.168.3.0/29
    add action=drop chain=forward comment="" disabled=no protocol=tcp src-address=192.168.3.0/29

    Nas duas ultimas linhas estou bloq. os demais. Porém desta forma não da certo, pois passa a bloq. tudo nem os que estão sendo liberados é liberados categoricamente.

  2. A content não é nem nunca vai ser um método seguro pra firewall, não recomendo a não ser que seja para um quebra galho sem nenhuma importância.

    Adicione o proto tcp, dst port 80 e não precisa dropar o udp a não ser que vc realmente saiba o que esta fazendo pois caso contrario ficará sem resolução dns.



  3. Você pode criar um addres-list dinâmica com os endereços acessados pelas regras acima e manter liberado apenas tais endereços ou pegar o range de cada um desses serviços já que não são muitos e liberar diretamente as classes de ip no firewall dropando o resto pros clientes da classe em questão, seria mais seguro e mais indicado também.

    Abraço






Tópicos Similares

  1. Jogos passando pelo Firewall
    Por bandlinux no fórum Servidores de Rede
    Respostas: 1
    Último Post: 14-03-2005, 15:13
  2. DHCP passar pelo firewall!
    Por pedromorgado no fórum Servidores de Rede
    Respostas: 1
    Último Post: 15-09-2004, 08:41
  3. Bloquear recebimento de email pelo firewall usando iptables
    Por bauer no fórum Servidores de Rede
    Respostas: 11
    Último Post: 02-09-2004, 15:31
  4. WTS passando pelo firewall
    Por Valois no fórum Servidores de Rede
    Respostas: 0
    Último Post: 07-05-2004, 14:04
  5. Como acesso a um servidor windows , passando pelo Firewall +
    Por webluc no fórum Servidores de Rede
    Respostas: 2
    Último Post: 17-09-2003, 08:46

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L