Em Seg, 2005-05-09 �s 23:31 -0300, Jeison Sanches escreveu: ok vamos l�.
a) vc leu os links que eu passei para a lista sobre informa��es do Netfilter?? se n�o leu aconselho a vc ler , pois sen�o vc estar� fazendo um compartilahemnto de internet e n�o um firewall.... ok vamos ver abaixo: > Editei esse script e deixei assim : > > LAN='10.1.x.x/28' > > # Limpa Tudo > > iptables -F > > iptables -F INPUT > > iptables -t nat -F > > # Definicao do Policiamento > > #Table Filter > > iptables -t filter -P INPUT DROP > > iptables -t filter -P OUTPUT DROP eu ( opini�o minha) deixaria o output em ACCEPT para facilitar as regras. > > iptables -t filter -P FORWARD DROP > > #Table nat > > iptables -t nat -P PREROUTING ACCEPT > > iptables -t nat -P OUTPUT DROP > oppps padr�o o pessoal � deixar em ACCEPT ( depois de ler os links que eu passei podemos discutir ;-) > iptables -t nat -P POSTROUTING ACCEPT > > > # Conexoes estabelecidas e loopback > > iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT adicine as linha abaixo iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A FORWARD-m state --state ESTABLISHED,RELATED -j ACCEPT > iptables -A INPUT -i lo -j ACCEPT+ > > ok > # Filtrando a rede interna > > > iptables -A FORWARD -d $LAN -i ppp0 -o eth1 -j ACCEPT ( retire a regra acima) a n�o ser que vc queira que o mundo inteiro tenha acesso a sua rede interna. Da� pra que firewall???? > > iptables -A FORWARD -s $LAN -i eth1 -o ppp0 -j ACCEPT > > iptables -A FORWARD -j LOG --log-prefix "FIREWALL: FORWARD " > > iptables -A FORWARD -j DROP esta regra � desnecess�ria j� que na regra acima (FORWARD -s $LAN -i eth1 -o ppp0 -j ACCEPT) vc est� aceitando tuda da rede interna para o mundo. se o mundo tentar mandar algo paraa rede interna que n�o estiver com o established ou related ela ser� dropada ( lembra do -P DROP no FORWARD???) > > # Ip Masquerade > > > iptables -t nat -A POSTROUTING -s $LAN -j MASQUERADE > ok se seu link for dinamico. se for estatico iptables -t nat -A POSTROUTING -s $LAN -j --to-destination $IPWAN > echo "1" > /proc/sys/net/ipv4/ip_forward > > > esse script barra tudo certo ? n�o. ele permitiria acesso do seu firewall a tudo desde que vc tivesse colocado o OUTPUT em ACCEPT ( como fiz acima) > so ta permitindo o trafego de ppp0 pra > eth1 e vice versa ok ? o resto ta barrado. certo ? nossa quanto certo quando t� tudo , ou quase tudo errado....80) > mas mesmo assim to > conseguindo conectar externamente via ssh ou qqer outra coisa. como > posso fazer para barrar tudo na entrada liberar so porta http https smtp > pop ? > ok vou ser chato de novo. leia os links que eu passei para ti. com os acertos acima vc pode ter agora um compartilhamento de internet que em minha opini�o d� uma seguran�a de , vamos dizer, 20% a sua rede interna. ats > > Valeu > > > > Paulo Ricardo Bruck escreveu: > > >Em Seg, 2005-05-09 �s 12:20 -0300, Jeison Sanches escreveu: > > > > > >>Como eu devo bloquear tudo e liberar so o necessario indo e vindo da > >>internet ?: > >> > >> > > > >Jeison, > > > >Firewall n�o � algo muito simples, principalmente porque mexe na �rea de > >seguran�a. > > > >Aconselho a vc antes de mais nada ver estes 2 sites: > > > >a) focalinux.cipsga.org.br/ em portugues ( n�o s� somente firewall) > >b) http://iptables-tutorial.frozentux.net/iptables-tutorial.html ( em > >ingles) > > > >ap�s a leitura dos tutorias creio que possamos ajud�-lo melhor. > > > > > >ats > > > > > >>com o policiamento na tabela filter : > >> > >>#Table Filter > >>iptables -t filter -P INPUT DROP > >>iptables -t filter -P OUTPUT DROP > >>iptables -t filter -P FORWARD DROP > >> > >>? > >> > >>mas depois eu libero embaixo e nao surte efeito. Voces poderia me dar um > >>exemplo ? > >> > >> > >>Obrigado pelas dicas.. > >> > >> > >> > >> > >> > >>Paulo Ricardo Bruck wrote: > >> > >> > >> > >>>Em Seg, 2005-05-09 �s 09:29 -0300, Julio Cesar de Magalhaes escreveu: > >>> > >>> > >>> > >>> > >>>>Em Seg, 2005-05-09 �s 09:17 -0300, Paulo Ricardo Bruck escreveu: > >>>> > >>>> > >>>> > >>>> > >>>>>># A tentativa de acesso externo a estes servi�os ser�o registrados > >>>>>> > >>>>>> > >>>>>> > >>>>>> > >>>>>no syslog > >>>>> > >>>>> > >>>>> > >>>>> > >>>>>># do sistema e ser�o bloqueados pela �ltima regra abaixo. > >>>>>>iptables -A INPUT -p tcp --dport 21 -j LOG --log-prefix "FIREWALL: > >>>>>> > >>>>>> > >>>>>> > >>>>>> > >>>>>ftp " > >>>>> > >>>>> > >>>>> > >>>>> > >>>>>>iptables -A INPUT -p tcp --dport 25 -j LOG --log-prefix "FIREWALL: > >>>>>> > >>>>>> > >>>>>> > >>>>>> > >>>>>smtp " > >>>>> > >>>>> > >>>>> > >>>>> > >>>>>>iptables -A INPUT -p udp --dport 53 -j LOG --log-prefix "FIREWALL: > >>>>>> > >>>>>> > >>>>>> > >>>>>> > >>>>>dns " > >>>>> > >>>>> > >>>>> > >>>>> > >>>>>>iptables -A INPUT -p tcp --dport 110 -j LOG --log-prefix "FIREWALL: > >>>>>> > >>>>>> > >>>>>> > >>>>>> > >>>>>pop3 " > >>>>> > >>>>> > >>>>> > >>>>> > >>>>>>iptables -A INPUT -p tcp --dport 113 -j LOG --log-prefix "FIREWALL: > >>>>>> > >>>>>> > >>>>>> > >>>>>> > >>>>>identd " > >>>>> > >>>>> > >>>>> > >>>>> > >>>>>>iptables -A INPUT -p udp --dport 111 -j LOG --log-prefix "FIREWALL: > >>>>>> > >>>>>> > >>>>>> > >>>>>> > >>>>>rpc" > >>>>> > >>>>> > >>>>> > >>>>> > >>>>>>iptables -A INPUT -p tcp --dport 111 -j LOG --log-prefix "FIREWALL: > >>>>>> > >>>>>> > >>>>>> > >>>>>> > >>>>>rpc" > >>>>> > >>>>> > >>>>> > >>>>> > >>>>>>iptables -A INPUT -p tcp --dport 137:139 -j LOG --log-prefix > >>>>>> > >>>>>> > >>>>>> > >>>>>> > >>>>>"FIREWALL: > >>>>> > >>>>> > >>>>> > >>>>> > >>>>>>samba " > >>>>>>iptables -A INPUT -p udp --dport 137:139 -j LOG --log-prefix > >>>>>> > >>>>>> > >>>>>> > >>>>>> > >>>>>"FIREWALL: > >>>>> > >>>>> > >>>>> > >>>>> > >>>>>>samba " > >>>>>> > >>>>>> > >>>>>> > >>>>>> > >>>>>> > >>>>>ARRRRRRRGHHHHHH vc esta colocando FTP, samba DNS , SMTP no > >>>>>firewall????, > >>>>>meu amigo, desista, vc ter� uma dor de cabe�a imensa.... coloque estes > >>>>>servi�os em uma outra m�quina e deixe no firewall ssh, squid e > >>>>>iptables, > >>>>>ou se vcs for bom em seguran�a e iptables ai que sabe vc pdoeria > >>>>>colocar os servi�os acima.....80) > >>>>> > >>>>> > >>>>> > >>>>> > >>>>Tenho a impress�o que as regras acima s�o DROP est�o listadas a� apenas > >>>>para efeito de log. > >>>> > >>>> > >>>> > >>>> > >>>OPPPs, sim desculpe, mas quando v� a pol�tica de FORWARD em ACCEPT, eu > >>>j� jogaria fora o script. > >>> > >>>J� que a sua politica de INPUT est� em DROP, vc logaria as tentativas de > >>>acesso do seu firewall no syslog. > >>> > >>>Mas, como o seu FORWARD est� em ACCEPT a� come�am os seus problemas. > >>>Conserto > >>>iptables -A FORWARD -i $LAN -o $WAN -j ACCEPT > >>>( tudo que entrar pela sua placa de rede da rede interna e sair pela wan > >>>vc aceita...) MESMO ASSIM , para se ter um firewall seguro e proteger > >>>n�o apenas a sua rede, mas tambem o mundo ( afinal , vcv pode ter um > >>>hacker na sua rede interna e depois a bomba estoura na sua m�o, vc > >>>coloca as regras de FORWARD em DROP e permite APENAS o que vc > >>>deseja....) > >>> > >>>Mas uma das quest�es que sempre menciono � que n�o basta somente um > >>>firewall para prote��o. > >>> > >>>Porque vc me perguntaria? > >>>porque um firewall se assemalha a um le�o de chacara de boate. > >>> > >>>Se vc tem convite vc entra ( explo porta 22) > >>> > >>>agora se vc esta com o convite e entra armado com uma bazuca e > >>>metraladoras o firewall deixa vc passar da mesma maneira ( j� que vc tem > >>>convite ( porta 22) > >>> > >>> > >>>portanto , se vc quizer usar o script anterior n�o o use do jeito que > >>>est�... > >>> > >>> > > -- Paulo Ricardo Bruck - consultor Contato Global Solutions tel 011 5031-4932 fone/fax 011 5034-1732 cel 011 9235-4327
signature.asc
Description: Esta =?ISO-8859-1?Q?=E9?= uma parte de mensagem assinada digitalmente
