[MASOCH-L] Interface para gerenciar iptables - Meio OT

Alfredo Junior aljr at lbr.com.br
Mon Apr 2 17:42:32 BRT 2007


Christian Lyra escreveu:
> Ois,
>
> 	Eu tb sou da turma dos scripts... Mas o que eu costumo fazer 
> é "modularizar" meus scripts. Em geral tenho um script principal que 
> nada mais faz do que separar o trafego em chains, exemplo: internet, 
> intranet e DMZ. Em seguida faço scripts que populem cada uma dessas 
> chains. Em alguns casos mais especificos, maquinas com muitas regras 
> especiais ganham as suas proprias chains. O legal disso é que vc pode 
> mudar facilmente todas as regras de uma determinada chain, sem afetar o 
> trafego do resto do firewall.
>   
Os scripts acho legal mas quando vc mesmo administra o firewall, mas 
quando o usuário final tem este papel é bem complicado.
Eu trabalhava assim com os meus clientes mas tive alguns problemas por 
exemplo criar uma regra para liberar o acesso para um determinado IP.
Ai você cria aquele script magnífico ai o usuário vai inserir uma nova 
regra. 
no inicio do script está assim
#!/bin/bash
ai sem querer o usuário apaga o # ai já era o teu script magnífico foi 
por água abaixo.

Tive vários problemas desses, outro muito comum é o usuário criar uma 
regra e ai ao invés de digitar ACCEPT digita ACEPPT. Ai vc pelo telefone 
se mata para descrobrir que o problema foi erro de digitação.

Ai o que fiz falei comigo mesmo vou ter que melhorar isso pois o stress 
é muito grande quando a internet para, hoje o que seria dos homens sem a 
internet.
Comecei um projeto que tem como a finalidade ser um front-end tanto para 
o iptables quanto para o squid, o usuário configura as regras através de 
uma interface web e uma outra coisa interessante é que você pode criar 
políticas de acesso onde uma política é composta por 4 ítens

1) Horário (Que horário a política vai ter efeito)
2) Grupo de Usuários (Quais grupos de usuários vão se beneficiar da 
política)
3) Regra (Aqui entra a parte do Iptables)
4) Filtro de Conteúdo (Aqui está a parte do SQUID)

Dessa forma fica mais fácil de administrar, pois se um um novo 
colaborador entra na empresa basta coloca-lo em um ou mais grupos de 
usuários que apartir daquele momento ele vai ter o seu acesso à internet.

Caso vocês tenham interesse o projeto encontra-se em 
http://www.fireuau.org, está sobre a licença GPL e se quiserem ver uma 
demonstração basta acessar
http://www.demo.fireuau.org  usuario: demo senha: demo.




More information about the masoch-l mailing list