Em Seg, 2005-05-09 �s 12:20 -0300, Jeison Sanches escreveu: > Como eu devo bloquear tudo e liberar so o necessario indo e vindo da > internet ?:
Jeison, Firewall n�o � algo muito simples, principalmente porque mexe na �rea de seguran�a. Aconselho a vc antes de mais nada ver estes 2 sites: a) focalinux.cipsga.org.br/ em portugues ( n�o s� somente firewall) b) http://iptables-tutorial.frozentux.net/iptables-tutorial.html ( em ingles) ap�s a leitura dos tutorias creio que possamos ajud�-lo melhor. ats > > com o policiamento na tabela filter : > > #Table Filter > iptables -t filter -P INPUT DROP > iptables -t filter -P OUTPUT DROP > iptables -t filter -P FORWARD DROP > > ? > > mas depois eu libero embaixo e nao surte efeito. Voces poderia me dar um > exemplo ? > > > Obrigado pelas dicas.. > > > > > > Paulo Ricardo Bruck wrote: > > >Em Seg, 2005-05-09 �s 09:29 -0300, Julio Cesar de Magalhaes escreveu: > > > > > >>Em Seg, 2005-05-09 �s 09:17 -0300, Paulo Ricardo Bruck escreveu: > >> > >> > >>>># A tentativa de acesso externo a estes servi�os ser�o registrados > >>>> > >>>> > >>>no syslog > >>> > >>> > >>>># do sistema e ser�o bloqueados pela �ltima regra abaixo. > >>>>iptables -A INPUT -p tcp --dport 21 -j LOG --log-prefix "FIREWALL: > >>>> > >>>> > >>>ftp " > >>> > >>> > >>>>iptables -A INPUT -p tcp --dport 25 -j LOG --log-prefix "FIREWALL: > >>>> > >>>> > >>>smtp " > >>> > >>> > >>>>iptables -A INPUT -p udp --dport 53 -j LOG --log-prefix "FIREWALL: > >>>> > >>>> > >>>dns " > >>> > >>> > >>>>iptables -A INPUT -p tcp --dport 110 -j LOG --log-prefix "FIREWALL: > >>>> > >>>> > >>>pop3 " > >>> > >>> > >>>>iptables -A INPUT -p tcp --dport 113 -j LOG --log-prefix "FIREWALL: > >>>> > >>>> > >>>identd " > >>> > >>> > >>>>iptables -A INPUT -p udp --dport 111 -j LOG --log-prefix "FIREWALL: > >>>> > >>>> > >>>rpc" > >>> > >>> > >>>>iptables -A INPUT -p tcp --dport 111 -j LOG --log-prefix "FIREWALL: > >>>> > >>>> > >>>rpc" > >>> > >>> > >>>>iptables -A INPUT -p tcp --dport 137:139 -j LOG --log-prefix > >>>> > >>>> > >>>"FIREWALL: > >>> > >>> > >>>>samba " > >>>>iptables -A INPUT -p udp --dport 137:139 -j LOG --log-prefix > >>>> > >>>> > >>>"FIREWALL: > >>> > >>> > >>>>samba " > >>>> > >>>> > >>>> > >>>ARRRRRRRGHHHHHH vc esta colocando FTP, samba DNS , SMTP no > >>>firewall????, > >>>meu amigo, desista, vc ter� uma dor de cabe�a imensa.... coloque estes > >>>servi�os em uma outra m�quina e deixe no firewall ssh, squid e > >>>iptables, > >>>ou se vcs for bom em seguran�a e iptables ai que sabe vc pdoeria > >>>colocar os servi�os acima.....80) > >>> > >>> > >>Tenho a impress�o que as regras acima s�o DROP est�o listadas a� apenas > >>para efeito de log. > >> > >> > > > > > >OPPPs, sim desculpe, mas quando v� a pol�tica de FORWARD em ACCEPT, eu > >j� jogaria fora o script. > > > >J� que a sua politica de INPUT est� em DROP, vc logaria as tentativas de > >acesso do seu firewall no syslog. > > > >Mas, como o seu FORWARD est� em ACCEPT a� come�am os seus problemas. > >Conserto > >iptables -A FORWARD -i $LAN -o $WAN -j ACCEPT > >( tudo que entrar pela sua placa de rede da rede interna e sair pela wan > >vc aceita...) MESMO ASSIM , para se ter um firewall seguro e proteger > >n�o apenas a sua rede, mas tambem o mundo ( afinal , vcv pode ter um > >hacker na sua rede interna e depois a bomba estoura na sua m�o, vc > >coloca as regras de FORWARD em DROP e permite APENAS o que vc > >deseja....) > > > >Mas uma das quest�es que sempre menciono � que n�o basta somente um > >firewall para prote��o. > > > >Porque vc me perguntaria? > >porque um firewall se assemalha a um le�o de chacara de boate. > > > >Se vc tem convite vc entra ( explo porta 22) > > > >agora se vc esta com o convite e entra armado com uma bazuca e > >metraladoras o firewall deixa vc passar da mesma maneira ( j� que vc tem > >convite ( porta 22) > > > > > >portanto , se vc quizer usar o script anterior n�o o use do jeito que > >est�.... > > > >ats > > > > > > > >> > >> > > -- Paulo Ricardo Bruck - consultor Contato Global Solutions tel 011 5031-4932 fone/fax 011 5034-1732 cel 011 9235-4327
signature.asc
Description: Esta =?ISO-8859-1?Q?=E9?= uma parte de mensagem assinada digitalmente
