<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<HTML><HEAD>
<META http-equiv=Content-Type content="text/html; charset=iso-8859-1">
<META content="MSHTML 6.00.3790.0" name=GENERATOR>
<STYLE></STYLE>
</HEAD>
<BODY bgColor=#ffffff>
<DIV><FONT face=Arial size=2>ja tinha meio que pensado nisso mas discartei a 
ideia por achar ela meio boba.. mas vindo de outra pessoa notei que nao era tão 
boba assim..   </FONT></DIV>
<DIV><FONT face=Arial size=2></FONT> </DIV>
<DIV><FONT face=Arial size=2>vou montar o projeto usando essa ideia e assim que 
estiver planejado posto novamente alguma coisa sobre.. </FONT></DIV>
<DIV><FONT face=Arial size=2></FONT> </DIV>
<DIV><FONT face=Arial size=2>Valeu  :)</FONT></DIV>
<DIV><FONT face=Arial size=2></FONT> </DIV>
<DIV><FONT face=Arial size=2></FONT> </DIV>
<DIV><FONT face=Arial size=2>Wanderlei</FONT></DIV>
<BLOCKQUOTE 
style="PADDING-RIGHT: 0px; PADDING-LEFT: 5px; MARGIN-LEFT: 5px; BORDER-LEFT: #000000 2px solid; MARGIN-RIGHT: 0px">
  <DIV style="FONT: 10pt arial">----- Original Message ----- </DIV>
  <DIV 
  style="BACKGROUND: #e4e4e4; FONT: 10pt arial; font-color: black"><B>From:</B> 
  <A title=hugo@devin.com.br href="mailto:hugo@devin.com.br">Hugo Cisneiros</A> 
  </DIV>
  <DIV style="FONT: 10pt arial"><B>To:</B> <A title=fedora-users-br@redhat.com 
  href="mailto:fedora-users-br@redhat.com">Lista de discussão voltada para os 
  usuários brasileiros do Fedora</A> </DIV>
  <DIV style="FONT: 10pt arial"><B>Sent:</B> Friday, March 03, 2006 3:08 
PM</DIV>
  <DIV style="FONT: 10pt arial"><B>Subject:</B> Re: [Fedora-users-br] VPN - 
  protegendo a rede interna.</DIV>
  <DIV><BR></DIV>wanderlei wrote:<BR>> Oi gente.. <BR><BR>Hau!<BR><BR>> Eu 
  to pensando em implementar algo mais robusto para quem sabe vender <BR>> 
  uma ideia em futuros projetos, mas esbarrei com um problema que esta me 
  <BR>> deixando doido..<BR>>  <BR>> Vamos imaginar que eu tenha 
  uma rede formada por alguns servidores <BR>> dedicados com IPs validos, 
  clientes acessando esses servidores e a <BR>> internet via NAT e esse mesmo 
  servidor NAT é tb meu servidor de VPN <BR>> (linux).  Pra complicar um 
  pouco mais vamos imaginar que eu tenha um <BR>> firewall fisico entre o 
  router e a rede interna  :)..<BR>>  <BR>> A situação atual 
  (vamos dizer)..<BR>>  <BR>> O firewall configuradom, direcionando 
  todas as requisições para os <BR>> devidos servidores, inclusivo a 
  autenticação no VPN Server.<BR>>  <BR>> O Problema (que naum existe 
  mais com certeza vai existir)..<BR>>  <BR>> O cliente X contrata um 
  serviço de Colocation e quer ter acesso SSH em <BR>> seu server, mas por 
  segurança eu naum libero esse acesso direto,  faço <BR>> ele logar no 
  meu VPN Server e ter um IP da minha rede interna, assim ele <BR>> vai ter 
  acesso ao seu server por SSH sem problema (com algumas <BR>> configurações 
  mas que naum vem ao caso)..<BR>>  <BR>> Porem, assim como ele tem 
  acesso ao seu server ele tb tem acesso ao <BR>> restante da rede, é esse o 
  pepino, como fazer para que ele tenha acesso <BR>> somente ao servidor que 
  é dele e somente na porta que ele desejar seja <BR>> ela qual 
  for??<BR> ><BR>> A principio pensei em usar um IP FIXO (classo C) 
  para cada cliente <BR>> pre-configurado no chap e/ou pap, assim eu saberia 
  qual cliente estaria <BR>> com qual ip e assim com a ajuda do iptables eu 
  criaria regras de alow e <BR>> deny. mas ai esbarro com outros 
  problemas.<BR><BR>Configure na VPN para que quando estabelecer a conexao, o 
  usuário que <BR>conectar receba um IP com máscara 255.255.255.252, e apenas 
  rotas para a <BR>sua máquina do servidor. Assim o usuário fica preso a esta 
  sub-rede <BR>virtual criada pela VPN :P<BR><BR>> Pergunto:<BR>>  
  <BR>> Existe, nas configurações do PPTPD algo que restrinja o acesso a uma 
  ou <BR>> mais maquinas e principalmente, que cada permissão de acesso à 
  server <BR>> possa ter configurações especificas (serviços)..<BR><BR>PPTPD? 
  :-)<BR>Isso é muito dependente do programa que você usa para fazer a VPN. 
  <BR>Melhor procurar na documentação do programa que você usa para isso... 
  <BR>Que você não disse qual era :P<BR><BR>Mas mesmo assim, para o que eu falei 
  acima, se alguem acessa via SSH sua <BR>máquina interna, ela vai ter acesso às 
  outras pois estará trabalhando na <BR>máquina local. Para resolver isso também 
  há outra solução, implementar <BR>no servidor local em questão um firewall 
  iptables que permita o usuário <BR>apenas trabalhar localmente a nível de 
  rede.<BR><BR>Então uma boa prática de segurança para isso seria:<BR><BR>1. 
  Restringir a VPN para apenas uma subnet de 2 IPs, exemplo: <BR>192.168.0.1 
  (servidor) e 192.168.0.2 (cliente). O próximo usuário seria <BR>192.168.0.5 
  (servidor) e 192.168.0.6 (cliente), e por aí vai. Inclusive <BR>aí você 
  conseguiria por um cadastro saber quem está conectado ou não, <BR>comparando o 
  cadastro com o IP associado ao cliente.<BR><BR>2. Como login SSH, criar um 
  ambiente chroot para que o usuário não tenha <BR>nenhum outro acesso na 
  máquina, a não ser no diretório que você quiser. <BR>O ambiente chroot deve 
  conter apenas os binários e executáveis <BR>necessários para o 
  cliente.<BR><BR>3. Habilitar os limites de processos, arquivos abertos, usos 
  de memória <BR>e etc para cada usuário (via PAM, limits.conf), assim ele não 
  conseguirá <BR>executar algo na sua máquina que consuma tudo e faça a máquina 
  "cair de <BR>joelhos".<BR><BR>4. Utilizar o mecanismo "-m owner" do iptables 
  (ver manpage dele, <BR>procurar por OWNER) para restringir o usuário para 
  apenas rodar coisas <BR>localmente, sem acessar nada em outros IPs e 
  redes.<BR><BR>Claro que isso vai depender muito do seu caso, e restringir um 
  serviço <BR>de colocation por exemplo não é uma boa idéia :)<BR><BR>Se o 
  cliente tem total acesso a máquina, então a solução seria comprar <BR>um 
  switch gerenciável e adicionar VLANs para cada máquina da rede. Bem, 
  <BR>  deu pra entender né? Dependendo do caso, as possibilidades podem 
  ser <BR>infinitas.<BR><BR>> Agradeço ideias.<BR><BR>Qualquer coisa falaí! 
  :D<BR><BR>> Wanderlei<BR><BR>-- <BR>[]'s<BR>Eitch<BR><BR><A 
  href="http://www.devin.com.br/eitch/">http://www.devin.com.br/eitch/</A><BR>"Talk 
  is cheap. Show me the code." - Linus Torvalds<BR><BR>--<BR>Fedora-users-br 
  mailing list<BR><A 
  href="mailto:Fedora-users-br@redhat.com">Fedora-users-br@redhat.com</A><BR><A 
  href="https://www.redhat.com/mailman/listinfo/fedora-users-br">https://www.redhat.com/mailman/listinfo/fedora-users-br</A><BR></BLOCKQUOTE></BODY></HTML>