Respostas no Fórum
-
AutorPosts
-
adrianorjParticipante
Melhor solução,
aplica o GPO
Wireguard_webadmin
Sistema gratuito (Open Source) para gestão de VPN's WireGuard com uma Web interface intuitiva e fácil de usar.
Principais funcionalidades:
- Sistema de Firewall completo e flexível.
- Encaminhamento de portas
- Suporte a multi usuário com níveis diferentes de acesso
- Múltiplas instâncias do Wireguard
- Crypto key routing para configuração de VPN site-to-site
O projeto é Open Source, fácil de instalar e está disponível em wireguard_webadmin
adrianorjParticipantecomo fez funcionar;
teria como postar a solução
adrianorjParticipantesim,
vai em redes, routing
Source Network ( Origen ) a rede verde – destino a rede da dmz – Via Gateway d da origem
Expl
Orig 192.168.0.0/24
dest 10.1.1.0/24
Gw 192.168.0.1
________________________
Orig – já esta na verde
Dest – 10.1.1.0/24
Gw 192.168.0.1
ou
essa regra aplica apenas no ip especifico.
Orig 192.168.0.2
Dest 10.0.0.2
Gw 192.168.0.1
da Dmz para Interna.
Obs, liberar o ip necessario ou porta, para que futuros não pejudique a rede.
essa regra aplica apenas para esses ips.
Orig 10.1.1.1
Dest 192.168.0.2
Gw 10.1.1.254
essa regra aplica na rede toda.
ou Orig 10.1.1.0/24
Dest 192.168.0.0/24
Gw 10.0.0.254
essa opção toda rede dmz vai ter acesso a toda rede vercde.
se você tiver outro servidor fazendo vlans, aplica a regra para o default gw
Exp.
servidor firewall 1
192.168.0.1
redes 10.0.0.0/16
servidor firewall 2
192.168.0.2
redes 10.1.1.1/16
para que esse servidor2 fala com a dms do servidor 1
aplica a seguinte regra
192.168.0.0/24
dest 10.0.0.0/16
Gw 192.168.0.1
Tracertroute- 10.0.0.2 que esta no server na dmz do firewall 1
1 <1 ms <1 ms <1 ms servidor2.dominio.local [192.168.0.2]
1 <1 ms <1 ms <1 ms servidor1.dominio.local [192.168.0.1]
1 <1 ms <1 ms <1 ms httpsite.dominio.local [10.0.0.2]
Rastreamento concluído.
adrianorjParticipanteSimples,
em firewall de saida, deixa apenas as portas de emails.
vai em proxy, adicione as seguintes portas.
80 # http
21 # ftp
70 # gopher
210 # wais
1025-65535
280 # http-mgmt
488 # gss-http
591 # filemaker
777 # multiling http
800 # Squid (for icons)
em https
443 # https
995 #Gmail
465 #Gmail
587 # gmail
993 #SSL
25 #SMTP
em proxy, Filtro de Conteúdo, crie um content.
em bloquear( Block the following sites ) digitar os sites. se for bloquear tudo e liberar apenas o necessario coloca ( ** )
em liberar ( Allow the following sites ) colocar os sites liberados.
para que isso tudo funcione, deve fazer um proxy autenticado, preferencia logado em um AD.
vw
adrianorjParticipanteFala ai Configurei dessa forma e deu certo.
e proxy,politica de acesso criei uma rede
origem ip – dest os dominio –
.talk.l.google.com
.chatenabled.mail.google.com
.talk.google.com
.talkx.l.google.com
.facebook.com
.facebook.com.br
apliquei.
fui ate o firewall de saida, criei a seguinte regra.
origem – verde – destimo ip
64.13.161.58
64.13.161.61
Bloqueio Facebook
depois criei outra regra.
Origem – Verde dest ip
74.125.53.125
74.125.65.125
74.125.77.125
74.125.95.125
74.125.127.125
74.125.157.125
74.125.159.125
209.85.147.125
209.85.157.125
209.85.225.125
209.85.227.125
72.14.213.125
74.125.39.125
74.125.43.125
74.125.45.125
74.125.45.125
74.125.234.125
Bloqueio Talk Google
para saber de onde eu peguei esses endereços.
simples, apliquei o nslookup e add os dominios.
recebi esses endereços acima.
adrianorjParticipanteNão, isso é o padrão.
pois ja tenteoi editar, já ate fiz contato com o suporte.
ainda não a atualização.
adrianorjParticipanteCara,
testei com 8 GB não funcionou leu apoenas Memory
28% 3284
O processador um Quad
placa de rede Pci x1
e funciona perfeitamente
adrianorjParticipanteFala ai Ezefeo.
Pergunta;
1 – Meus servidores 1, 2 e 4 são acessados de fora, o 1 e 2 via TS e o 4 via Web Http.
Qual seria a necessidade de eu ter uma DMZ??? (não entendo muito bem do assunto)
Resposta;
DMZ, em segurança da informação, é a sigla para de DeMilitarized Zone ou “zona desmilitarizada”, em português. Também conhecida como Rede de Perímetro, a DMZ é uma pequena rede situada entre uma rede confiável e uma não confiável, geralmente entre a rede local e a Internet.
A função de uma DMZ é manter todos os serviços que possuem acesso externo (tais como servidores HTTP, FTP, de correio eletrônico, etc) separados da rede local, limitando assim o potencial dano em caso de comprometimento de algum destes serviços por um invasor. Para atingir este objetivo os computadores presentes em uma DMZ não devem conter nenhuma forma de acesso à rede local.
Pergunta;
Quais as vantagens que vou ter? posso colocar meu servidor de dominio na DMZ também???
Resposta;
As vantagens e a proteção da informação, o valor agregado, a intergridade, a confiabilidade e a conectividade da infra.
O servidor de Dominio local, é recomendavel colocar na rede interna, pois é confiavel, já o servidor dns na rede DMZ.
A recomendação da microsoft é bem clara, todos os servidores dominios implementado com sites validos, recomendo colocar na Dmz, mas se for local confiavel, implementar na interna.
Perginta;
2 – Como faço para que as estações (REDE GREEN) não tenham acesso umas as outras, o trafico seja apenas de estação para servidor, não consigo fazer no endian,mas no switch eu consigo??? Achei as opções de VLAN no Switch seria aí uma saída???
Resposta;
Sim, configurar mo switch, ou montar um linux e configurar as vlans
3 – As maquinas que estão na DMZ tem todas as portas abertas???
Não, geralmente, drop , libera só as necessarias.
Espero que eu tenha ajudado
Ass Jabinha.com
agosto 9, 2011 às 5:52 pm em resposta a: Criar uma Vlan no Endian e fazer com que ela saia pra internet? #8686adrianorjParticipanteRuben,
Essa Vlan vai sair para a internet?
Pois tem a opção da rede laranja, DMZ.
Vlw
adrianorjParticipanteVlw,
Funcionou..
adrianorjParticipanteFacil, configura os range na gree, depois libera em firewall vpn trafego desejado.
adrianorjParticipanteLembrando que transparente não boqueia 443, só autenticado.
adrianorjParticipantesim, monte uma rota com o gw conectado, lembrando que o gw é o ip da vpn fechada, libera a porta desejada em aacesso o sistema.
expl.
adrianorjParticipanteVou pesquisar para poder te ajudar
adrianorjParticipanteBypass proxy transparente o ip em proxy.
-
AutorPosts