Re: Shorewall
obrigado é que eu estava controlando o mac por ele tambem vou tem um script entao Fabiano Pires escreveu: Calma povo, olha o stress ... Se você quer liberar tudo e bloquear poucas portas, não compensa utilizar o shorewall. Fica mais simples fazer um script de iptables. (IMHO) Fabiano Em 04/03/06, Silvio Palmieri[EMAIL PROTECTED] escreveu: é eu li sim meu amigo, mas nao entendi algumas coisas, mas quem sabe um dia um historiador nos conte isso pois se vc soubesse poderia ajudar ao inves de querer ser o cara e nao fazer nada, mas parabens para vc Marcos S. Trazzini escreveu: Historiadores acreditam que em Sexta 03 Março 2006 23:47, Silvio Palmieri escreveu: alguem usa o shorewall e se sabe como abrir todas as portas de uma vez so e bloquear algumas so Tentou ler a documentação? http://www.shorewall.net/ http://www.google.com.br/search?q=shorewallstart=0 -- Marcos S. Trazzini -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED] -- Abraços, Fabiano -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Shorewall
Com as regras de mac rodand no shorewall, faça um iptables-save iptables.rules e veja como o shorewall trata do assunto. Daí é só copiar as regras pro seu scripyt. Fabiano Em 04/03/06, Silvio Palmieri[EMAIL PROTECTED] escreveu: obrigado é que eu estava controlando o mac por ele tambem vou tem um script entao Fabiano Pires escreveu: Calma povo, olha o stress ... Se você quer liberar tudo e bloquear poucas portas, não compensa utilizar o shorewall. Fica mais simples fazer um script de iptables. (IMHO) Fabiano Em 04/03/06, Silvio Palmieri[EMAIL PROTECTED] escreveu: é eu li sim meu amigo, mas nao entendi algumas coisas, mas quem sabe um dia um historiador nos conte isso pois se vc soubesse poderia ajudar ao inves de querer ser o cara e nao fazer nada, mas parabens para vc Marcos S. Trazzini escreveu: Historiadores acreditam que em Sexta 03 Março 2006 23:47, Silvio Palmieri escreveu: alguem usa o shorewall e se sabe como abrir todas as portas de uma vez so e bloquear algumas so Tentou ler a documentação? http://www.shorewall.net/ http://www.google.com.br/search?q=shorewallstart=0 -- Marcos S. Trazzini -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED] -- Abraços, Fabiano -- Abraços, Fabiano
Re: Shorewall
Historiadores acreditam que em Sábado 04 Março 2006 02:59, Silvio Palmieri escreveu: é eu li sim meu amigo, mas nao entendi algumas coisas, mas quem sabe um dia um historiador nos conte isso pois se vc soubesse poderia ajudar ao inves de querer ser o cara e nao fazer nada, mas parabens para vc Marcos S. Trazzini escreveu: Historiadores acreditam que em Sexta 03 Março 2006 23:47, Silvio Palmieri escreveu: alguem usa o shorewall e se sabe como abrir todas as portas de uma vez so e bloquear algumas so Tentou ler a documentação? http://www.shorewall.net/ http://www.google.com.br/search?q=shorewallstart=0 Não precisa mandar com cópia pra mim, EU LEIO A LISTA O que há de errado em ler a documentação antes de inundar a lista de discussão com perguntas cuja resposta está na mesma documentação que você mesmo leu e não enxergou a resposta? (Eu digo inundar porque você não é o único que faz isso por aqui...) Mas já que você não entendeu e documentação, segue a explicação que pode te ajudar (Foi essa mesmo que vc leu? tem certeza? Dei uma olhadinha e está tudo lá estranho...). Definição da política padrão: http://www.shorewall.net/Documentation.htm#Policy Definição de Regras gerais do firewall: http://www.shorewall.net/Documentation.htm#Rules P/ abrir todas as portas por padrão você pode definir a política ACCEPT no arquivo /etc/shorewall/policy, e então bloquear as portas necessárias no arquivo /etc/shorewall/rules. De qualquer forma, essa é sem dúvida a maneira mais difícil de se gerenciar um firewall mas isso não vem ao caso... -- Marcos S. Trazzini
Re: Shorewall
Historiadores acreditam que em Sexta 03 Março 2006 23:47, Silvio Palmieri escreveu: alguem usa o shorewall e se sabe como abrir todas as portas de uma vez so e bloquear algumas so Tentou ler a documentação? http://www.shorewall.net/ http://www.google.com.br/search?q=shorewallstart=0 -- Marcos S. Trazzini
Re: Shorewall
é eu li sim meu amigo, mas nao entendi algumas coisas, mas quem sabe um dia um historiador nos conte isso pois se vc soubesse poderia ajudar ao inves de querer ser o cara e nao fazer nada, mas parabens para vc Marcos S. Trazzini escreveu: Historiadores acreditam que em Sexta 03 Março 2006 23:47, Silvio Palmieri escreveu: alguem usa o shorewall e se sabe como abrir todas as portas de uma vez so e bloquear algumas so Tentou ler a documentação? http://www.shorewall.net/ http://www.google.com.br/search?q=shorewallstart=0 -- Marcos S. Trazzini -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Shorewall
Calma povo, olha o stress ... Se você quer liberar tudo e bloquear poucas portas, não compensa utilizar o shorewall. Fica mais simples fazer um script de iptables. (IMHO) Fabiano Em 04/03/06, Silvio Palmieri[EMAIL PROTECTED] escreveu: é eu li sim meu amigo, mas nao entendi algumas coisas, mas quem sabe um dia um historiador nos conte isso pois se vc soubesse poderia ajudar ao inves de querer ser o cara e nao fazer nada, mas parabens para vc Marcos S. Trazzini escreveu: Historiadores acreditam que em Sexta 03 Março 2006 23:47, Silvio Palmieri escreveu: alguem usa o shorewall e se sabe como abrir todas as portas de uma vez so e bloquear algumas so Tentou ler a documentação? http://www.shorewall.net/ http://www.google.com.br/search?q=shorewallstart=0 -- Marcos S. Trazzini -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED] -- Abraços, Fabiano
Re: Shorewall no Debian
Rair, Boa escolha... Uso o Shorewall em minha empresa e em meus clientes e é de manutenção bem simples e eficiente. Ah.. e ele é um script para o Iptables!!! Só que a configuração dele é MUITO mais amigável que a do Iptables :-) Tentei primeiro com IPTables, já que tenho em um outro escritório o Kurumin funcionando com IPTables, imaginei que conseguiria configurar o Debian baseando neste. Sem sucesso ! As estações não consegue acessar a internet. Uso o Kurumim com estação de trabalho desde seu lançamento, mas não usei-o com firewall ainda.. sorry não poder te ajudar neste ponto. Então desinstalei o IPTables e instalei o Shorewall, OPA!!! O Iptables tem de estar instalado!! dá uma verificada ai com o comando dpkg -l | grep iptables Se ele REALMENTE não estiver instalado já achamos a fonte de seus problemas (o que deve ser pouco provável pois ele é um pré-requisito para instalação do Shorewall) alterei os arquivos de configurações ( interfaces, rules, policy ... ) e mesmo assim, não deu certo. Uma dica básica, dá uma olhada em /etc/network/options e veja se a opcao ip_forward= está como valor no se estiver, muda pra yes, restarta a rede com o comando (como root) /etc/init.d/network restart e depois verifica em /etc/shorewall/shorewall.conf a opção IP_FORWARDING=, cujo padrão é Keep, mude para On e reinicie o firewall. Se tudo estiver OK deve funcionar :-) O pior é que eu não sei nem como pegar alguma mensagem de erro. O Shorewall cria algum arquivo de Log ? Cria sim... em /var/log/shorewall-init.log que é o log apenas da carga ou descarga dele. Todos os outros logs (de pacotes, etc, que você configura no rules, aparecem em /var/log/syslog). Alguem tem alguma apostila explicando como configurar o Shore ( de preferência em portugues :) )? Já estou ha algum tempo para fazer alguns artigos para o Viva o Linux sobre o Shorewall, mas por falta de tempo ainda não o fiz :-( Até o final do ano devem estar prontos... :-) Mas se tiver alguma dúvida que eu puder ajudar... Tem alguma alteração que preciso fazer nas estações fora indicar o novo gateway ??? Agradeço qq ajuda, e me coloco a disposição para ajuda-los no que for possivel. Obrigado. Rair Robson Analista de Sistemas www.carvip.com.br Um grande abraço, -- Frederico Costa LCL Soluções em Tecnologia http://www.lcl.com.br/ -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Shorewall no Debian
Pessoal, valeu pelas dicas. Resolvi o problema. Me parece q o problema era atualizar o shorewall ( era a versão 1.12.2 ). Depois disso, uns acertinhos aqui outros ali ( com o apoio das dicas da lista ), e puft ! Ta funcionando. E olha, esta bem mais rapido do que antes ( W2k + wingate ). Valeu mesmo, pesssoal ! Frederico Costa [EMAIL PROTECTED] escreveu: Rair,Boa escolha... Uso o Shorewall em minha empresa e em meus clientes e é demanutenção bem simples e eficiente.Ah.. e ele é um script para o Iptables!!! Só que a configuração dele é MUITOmais amigável que a do Iptables :-) Tentei primeiro com IPTables, já que tenho em um outro escritório o Kurumin funcionando com IPTables, imaginei que conseguiria configurar o Debian baseando neste. Sem sucesso ! As estações não consegue acessar a internet.Uso o Kurumim com estação de trabalho desde seu lançamento, mas não usei-o comfirewall ainda.. sorry não poder te ajudar neste ponto. Então desinstalei o IPTables e instalei o Shorewall, OPA!!! O Iptables tem de estar instalado!! dá uma verificada ai com o comando dpkg -l | grep iptablesSe ele REALMENTE não estiver instalado já achamos a fonte de seus problemas (oque deve ser pouco provável pois ele é um pré-requisito para instalação doShorewall) alterei os arquivos de configurações ( interfaces, rules, policy ... ) e mesmo assim, não deu certo. Uma dica básica, dá uma olhada em /etc/network/options e veja se a opcaoip_forward= está como valor "no" se estiver, muda pra "yes", restarta a redecom o comando (como root) /etc/init.d/network restarte depois verifica em /etc/shorewall/shorewall.conf a opção IP_FORWARDING=,cujo padrão é "Keep", mude para "On" e reinicie o firewall.Se tudo estiver OK deve funcionar :-) O pior é que eu não sei nem como "pegar" alguma mensagem de erro. O Shorewall cria algum arquivo de Log ? Cria sim... em /var/log/shorewall-init.log que é o log apenas da carga oudescarga dele. Todos os outros logs (de pacotes, etc, que você configura norules, aparecem em /var/log/syslog). Alguem tem alguma apostila explicando como configurar o Shore ( de preferência em portugues :) )?Já estou ha algum tempo para fazer alguns artigos para o Viva o Linux sobre oShorewall, mas por falta de tempo ainda não o fiz :-( Até o final do ano devemestar prontos... :-)Mas se tiver alguma dúvida que eu puder ajudar... Tem alguma alteração que preciso fazer nas estações fora indicar o novo gateway ??? Agradeço qq ajuda, e me coloco a disposição para ajuda-los no que for possivel. Obrigado. Rair Robson Analista de Sistemas www.carvip.com.br Um grande abraço,--Frederico Costa LCL Soluções em Tecnologiahttp://www.lcl.com.br/-- To UNSUBSCRIBE, email to [EMAIL PROTECTED]with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]__Converse com seus amigos em tempo real com o Yahoo! Messenger http://br.download.yahoo.com/messenger/
Re: Shorewall no Debian
tentou a regra do iptables q acabaram de colocar na lista? o shorewall deve usar o iptables (nao?) .. vc removeu e acabou reinstalando :) aconselho a configuracao de um script para ser usado com o iptables ao inves de usares o shorewall.. [] JA Tavares -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Shorewall x Firestarter x Firewall Builder
André Carezia wrote: On Wed, 05 Jan 2005 21:12:51 -0200, Marcos wrote: Por exemplo, vc colocou regras para fazer log de SPOOFING interno? O Firewall Builder tem um ajudante para começar, e já inclui essas regras. Mas o bloqueio de pacotes destinados a faixas privadas (RFC1918), por exemplo, você precisa acrescentar. Por isso é interessante ter ou algum entendido do assunto, ou então usar uma ferramenta escrita pelo entendido. Como tudo nessa vida, nada que com um pouco de estudo não se aprenda, mas alguém aqui arriscaria pedir pra qquer um mexer na fechadura da sua casa ou carro (por mais simples que seja o mecanismo)? Ela pode ser a única garantia de que ninguem vai entrar no seu 'território', então ela tem que funcionar bem. ou ataques smurfs (flood de ICMP_ECHO), ou mesmo SYN_FLOOD? Isso sem contar um sem-número de violações que podem existir nos cabeçalhos IP e TCP (Xmas, null, etc). Apesar de não ser essencial, é o firewall o responsável por detectar tais problemas... Não necessariamente. Talvez seja melhor usar um sistema de detecção de invasão (IDS) como o Snort para cuidar disso. Eu nao conheco muito bem o funcionamento de IDS - mas até onde eu sei, o D é de Detection, e eu estou falando de Protection. O meu objetivo era (no texto acima) de não deixar essas porcarias entrarem na sua rede. Claro que um IDS vai oferecer uma visão muito mais ampla e clara da situação, mas ele vai exigir muitos mais recursos (tando de HW qto de SW). Ai entra o famoso 'trade-off': a relação custo/benefício compensa a 'ralação' na hora de configurar um IDS? [...] Um outro ponto que ninguem citou ainda foi em relação aos log analiser; parte fundamental de qquer firewall mais sério. No caso do Debian, eu acho o logcheck muito bom e fácil de configurar. Realmente, mas o fwlogwatch sintetiza melhor os eventos diários do Netfilter. E possui uma interface Web para visualização em tempo real. O logwatch manda resumos horários para o admin (se houver algo a ser dito, claro), e no caso de alguma coisa importante, manda um e-mail exclusivo, no momento. Dizem que o melhor é o swatch - pois ele fica o tempo todo monitorando os logs e a cada 'match' das regras ele manda um e-mail. Eu nao conheco esse 'fwlogwatch'; apesar de não ter encontrando nenhum modelo de relatorio na web, ele pareceu bem avaliado. No caso, uso o logcheck pq meu firewall tem uma deficiencia séria: CPU power. Mas uma coisa que realmente não é interessante é ter um servidor web num firewall. Firewall sério é pra ser firewall e pronto. -- Marcos Lazarini
Re: Shorewall x Firestarter x Firewall Builder
Pessal; Acho que ficou claro que numa rede complexa e com muitas máquinas o uso de uma ferramenta que facilite a manutenção do conjunto de regras do iptables é importante. Acho que também ficou claro que a edição manual deste arquivo de regras é importante para implementar recursos de proteção que muitas vezes não são cobertos pelas ferramentas. No caso do Firewall Builder tem um aviso bem grande logo no início do arquivo de regras informando que o script NÃO DEVE SER ALTERADO MANUALMENTE. E quanto ao Shorewall e Firestarter? Aliás, existe alguma ferramenta destas que permita a edição manual do script gerado sem maiores dramas?
Re: Shorewall x Firestarter x Firewall Builder
On Fri, 07 Jan 2005 09:53:53 -0200, Marcos wrote: [...] Eu nao conheco muito bem o funcionamento de IDS - mas até onde eu sei, o D é de Detection, e eu estou falando de Protection. O meu objetivo era (no texto acima) de não deixar essas porcarias entrarem na sua rede. Claro que um IDS vai oferecer uma visão muito mais ampla e clara da situação, mas ele vai exigir muitos mais recursos (tando de HW qto de SW). Ai entra o famoso 'trade-off': a relação custo/benefício compensa a'ralação' na hora de configurar um IDS? A segurança de um sistema é feita de três ingredientes: proteção, detecção e reação. Se não houver um deles, o resultado é apenas uma falsa sensação de segurança. B. Schneier é conhecido por seus exemplos didáticos, e na introdução de Secrets and Lies escreve: [some words about] prevention, detection, and reaction. Good security encompasses all three: a vault to protect the lucre, alarms to detect the burglars trying to open the vault, and police that respond to the alarms and arrest the burglars. Digital security tends to rely wholly on prevention: cryptography, firewalls, and so forth. There's generally no detection, and there's almost never any response or auditing. A prevention-only strategy only works if the prevention mechanisms are perfect; otherwise, someone will figure out how to get around them. [...] Eu nao conheco esse 'fwlogwatch'; apesar de não ter encontrando nenhum modelo de relatorio na web, ele pareceu bem avaliado. No caso, uso o logcheck pq meu firewall tem uma deficiencia séria: CPU power. Mas uma coisa que realmente não é interessante é ter um servidor web num firewall. Firewall sério é pra ser firewall e pronto. De acordo. Mas a idéia é rodar o fwlogwatch em uma máquina de monitoração ou em um servidor, que recebe cópias dos eventos do firewall via syslog. Isso, a propósito, coloca mais um nível de segurança no sistema: traços de uma eventual invasão serão mais difíceis de serem apagados. []s, -- André Carezia Eng. de Telecomunicações Carezia Consultoria - www.carezia.eng.br
Re: Shorewall x Firestarter x Firewall Builder
On Fri, 07 Jan 2005 15:07:31 -0300, Sergio wrote: [...] No caso do Firewall Builder tem um aviso bem grande logo no início do arquivo de regras informando que o script NÃO DEVE SER ALTERADO MANUALMENTE. Com um conhecimento básico do Netfilter, é muito razoável fazer pequenas alterações temporárias no script. Ferramentas gráficas e/ou automáticas não substituem o conhecimento do sistema. Quando bem projetadas e bem aplicadas, oferecem ao administrador uma facilidade maior para traduzir o que se deseja (política) naquilo que será executado pelo sistema (implementação). Nesse caso, a facilidade se traduz em maior segurança. -- André Carezia Eng. de Telecomunicações Carezia Consultoria - www.carezia.eng.br
Re: Shorewall x Firestarter x Firewall Builder
On Wed, 5 Jan 2005 17:24:42 -0200, Leandro wrote: Depois, quando souber *muito bem* o que é e como funciona o iptables e a filtragem de pacotes, talvez ai eu ache esses programas muito úteis para ganhar produtividade. Mas duvido muito que isso seja mais rápido que escrever as próprias regras. É mais rápido se você precisa ter certeza de que a implantação de uma política de segurança complexa está correta. Uma ferramenta como o Firewall Builder oferece uma representação simples e intuitiva das regras de filtragem. O resultado é mais segurança. Meu firewall tem 10 linhas. Peguei de um exemplo do manual do iptables e adaptei ao que precisava. Gastei menos tempo para entender isso do que gastaria aprendendo a usar outro programa. É verdade. Você não precisa do Firewall Builder para gerenciar um firewall só, com uma política simples de filtragem. [...] Mas, de qualquer modo, é algo muito pessoal esse tipo de escolha. Na verdade, não é. Depende do objetivo. Martelos para pregos e chaves-de-fenda para parafusos. []s, -- André Carezia Eng. de Telecomunicações Carezia Consultoria - www.carezia.eng.br
Re: Shorewall x Firestarter x Firewall Builder
On Wed, 05 Jan 2005 21:12:51 -0200, Marcos wrote: Por exemplo, vc colocou regras para fazer log de SPOOFING interno? O Firewall Builder tem um ajudante para começar, e já inclui essas regras. Mas o bloqueio de pacotes destinados a faixas privadas (RFC1918), por exemplo, você precisa acrescentar. ou ataques smurfs (flood de ICMP_ECHO), ou mesmo SYN_FLOOD? Isso sem contar um sem-número de violações que podem existir nos cabeçalhos IP e TCP (Xmas, null, etc). Apesar de não ser essencial, é o firewall o responsável por detectar tais problemas... Não necessariamente. Talvez seja melhor usar um sistema de detecção de invasão (IDS) como o Snort para cuidar disso. [...] Um outro ponto que ninguem citou ainda foi em relação aos log analiser; parte fundamental de qquer firewall mais sério. No caso do Debian, eu acho o logcheck muito bom e fácil de configurar. Realmente, mas o fwlogwatch sintetiza melhor os eventos diários do Netfilter. E possui uma interface Web para visualização em tempo real. []s, -- André Carezia Eng. de Telecomunicações Carezia Consultoria - www.carezia.eng.br
Re: Shorewall
Olá Ubiratan, recomendo dar uma olhada nos seguintes links, acho que te ajudará. http://www.guiadohardware.net/artigos/264/ http://www.guiadohardware.net/artigos/256/ []'s -- Enviado por Moisés Jardim Pinheiro Fone: (53) 9107 8473 E-mail: [EMAIL PROTECTED] ICQ: 300539142 Linux User #366875 Canguçu/RS http://pinheiro.objectis.net/ On Tue, 04 Jan 2005 22:45:06 -0200, Ubiratan [EMAIL PROTECTED] wrote: Boa Noite a todos Preciso de uma ajuda, apesar dele ser instalado normalmente no Debian, não consegui compartilhar minha conexão. Alguém teria algum tutorial para configurá-lo já que no site oficial esta tudo em ingles. Abraços -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Shorewall
On Tue, 4 Jan 2005 14:41:47 -0300 Rafael de Albuquerque [EMAIL PROTECTED] wrote: E qnro ao Firestarter? Alguma opinião? Aproveitando a deixa... Vamos discutir sobre ele em uma nova discussão. Acabo de enviar mensagem. -- Savio Martins Ramos - Arquiteto Rio de Janeiro ICQ 174972645 Pirataria não! Seja livre: Linux http://www.debian.org
Re: Shorewall
Ubiratan escreveu: Boa Noite a todos Preciso de uma ajuda, apesar dele ser instalado normalmente no Debian, não consegui compartilhar minha conexão. Alguém teria algum tutorial para configurá-lo já que no site oficial esta tudo em ingles. Se vc não lê inglês, vc está em maus lençois !! duas dicas q podem lhe ajudar, primeiro, ( e isto está no readme q foi instalado em /usr/share/doc/shorewall ) o Shorewall no Debian só será inicializado qdo vc editar o arquivo /etc/default/shorewall e colocar 1 no parâmetro startup . Segundo, instale o webmin e gere as regras do firewall por ele, vc encontrará o módulo shorewall em network == shorewall E terceiro, aprenda inglês, sem isso vc terá muitos problemas trabalhando com informática !!! Fábio Rabelo
Re: Shorewall x Firestarter x Firewall Builder
* Sergio Luz ([EMAIL PROTECTED]) wrote: Pessoal; Estou começando a estudar Firewall Builder para gerenciar as regras de meu iptables e tenho acompanhado as discussões sobre o Shorewall e Firestarter. Queria saber se alguém utiliza, ou utilizou, o Firewall Builder e se ele é melhor que os outros dois. Uso Iptables sem nenhum gerenciador de regras. A partir da leitura do capitulo correspondente do guia focalinux avançado, pude eu mesmo fazer minhas regras com muita satisfação, tanto de robustez e flexibilidade quanto de oportunidade de aprendizado sobre segurança e funcionamento de redes etc. Portanto recomendo que você leia o guiafoca, mesmo que decida continuar usando uma ferramenta interativa de gerenciamento/criação de regras. []'s -- .''`. Márcio de Araújo Benedito [EMAIL PROTECTED] UIN 14398303 : :' : Promoção e Defesa do Software Livre: http://www.minaslivre.org `. `' `- Esta mensagem não contém nenhuma informação confidencial, pois se é para ser confidencial não poderia ser transitada por e-mail em uma lista pública. Portanto você pode fazer qualquer coisa com esta mensagem, incluíndo esta sátira à notas de copyrights ridiculas, que eu não estou nem aí!!! signature.asc Description: Digital signature
Re: Shorewall x Firestarter x Firewall Builder
On Wed, Jan 05, 2005 at 03:43:08PM -0200, Marcio de Araujo Benedito wrote: * Sergio Luz ([EMAIL PROTECTED]) wrote: Pessoal; Estou começando a estudar Firewall Builder para gerenciar as regras de meu iptables e tenho acompanhado as discussões sobre o Shorewall e Firestarter. Queria saber se alguém utiliza, ou utilizou, o Firewall Builder e se ele é melhor que os outros dois. Uso Iptables sem nenhum gerenciador de regras. A partir da leitura do capitulo correspondente do guia focalinux avançado, pude eu mesmo fazer minhas regras com muita satisfação, tanto de robustez e flexibilidade quanto de oportunidade de aprendizado sobre segurança e funcionamento de redes etc. Portanto recomendo que você leia o guiafoca, mesmo que decida continuar usando uma ferramenta interativa de gerenciamento/criação de regras. []'s -- .''`. Márcio de Araújo Benedito [EMAIL PROTECTED] UIN 14398303 : :' : Promoção e Defesa do Software Livre: http://www.minaslivre.org `. `' Eu concordo com o Márcio. Testei alguns desses programas comentados e mais outros. Não gostei de nenhum, não porque sejam ruins, mas porque quero é aprender a usar o iptables e não a usar interfaces para o iptables. Depois, quando souber *muito bem* o que é e como funciona o iptables e a filtragem de pacotes, talvez ai eu ache esses programas muito úteis para ganhar produtividade. Mas duvido muito que isso seja mais rápido que escrever as próprias regras. Meu firewall tem 10 linhas. Peguei de um exemplo do manual do iptables e adaptei ao que precisava. Gastei menos tempo para entender isso do que gastaria aprendendo a usar outro programa. Sem falar no guiafoca que é excelente. Mas, de qualquer modo, é algo muito pessoal esse tipo de escolha. Um abraço Leandro -- (@_ Leandro Padilha Ferreira - [EMAIL PROTECTED] //\ V_/_ http://androle.pro.brLinux user: #237.744 -- Un libro es un suicidio aplazado. -- Emile M. Cioran. (1911-1995) Filósofo y ensayista rumano. signature.asc Description: Digital signature
Re: Shorewall x Firestarter x Firewall Builder
Opa A ideia abaixo esta certa. Principalmente que vc precisa saber o que o teu firewall esta fazendo, e tambem estudar as regras que tem nele. quem utiliza algum script, de o comando iptables -L -n -x Se vc sabe o que esta na tua tela, entao esta otimo, e pode trabalhar a vontade, agora nao, é melhor estudar o foca mesmo, pois la tem exatamten o que esta acontecendo. Agora, hoje nao trabalho mais com scripts feito na mao. Não quero mais sofrer, sendo que o shorewall me atende muito bem. Recomendo o shorewall, foi o que melhor me ajustei, agora, se vcs tiverem outras opcoes, estou aberto para ver o que tem, e discutir sobre elas. um abraco Claudio jr. Em Qua, 2005-01-05 às 17:24 -0200, Leandro Ferreira escreveu: On Wed, Jan 05, 2005 at 03:43:08PM -0200, Marcio de Araujo Benedito wrote: * Sergio Luz ([EMAIL PROTECTED]) wrote: Pessoal; Estou começando a estudar Firewall Builder para gerenciar as regras de meu iptables e tenho acompanhado as discussões sobre o Shorewall e Firestarter. Queria saber se alguém utiliza, ou utilizou, o Firewall Builder e se ele é melhor que os outros dois. Uso Iptables sem nenhum gerenciador de regras. A partir da leitura do capitulo correspondente do guia focalinux avançado, pude eu mesmo fazer minhas regras com muita satisfação, tanto de robustez e flexibilidade quanto de oportunidade de aprendizado sobre segurança e funcionamento de redes etc. Portanto recomendo que você leia o guiafoca, mesmo que decida continuar usando uma ferramenta interativa de gerenciamento/criação de regras. []'s -- .''`. Márcio de Araújo Benedito [EMAIL PROTECTED] UIN 14398303 : :' : Promoção e Defesa do Software Livre: http://www.minaslivre.org `. `' Eu concordo com o Márcio. Testei alguns desses programas comentados e mais outros. Não gostei de nenhum, não porque sejam ruins, mas porque quero é aprender a usar o iptables e não a usar interfaces para o iptables. Depois, quando souber *muito bem* o que é e como funciona o iptables e a filtragem de pacotes, talvez ai eu ache esses programas muito úteis para ganhar produtividade. Mas duvido muito que isso seja mais rápido que escrever as próprias regras. Meu firewall tem 10 linhas. Peguei de um exemplo do manual do iptables e adaptei ao que precisava. Gastei menos tempo para entender isso do que gastaria aprendendo a usar outro programa. Sem falar no guiafoca que é excelente. Mas, de qualquer modo, é algo muito pessoal esse tipo de escolha. Um abraço Leandro -- Claudio da Silva Junior Colnet Internet
Re: Shorewall
Fabio, Vc esta certo. Sem ingles aqui nao vai longe nao. Mas vamos a algumas dicas: - Nao sei por que o debian nao coloca os exemplos de configuração no /etc/shorewall. Os arquivos de exemplo são muito bons, sendo que sao bastante comentados. Mas eles estao na sua maquina, sendo que vc deve executar o seguinte comando: cp /usr/share/doc/shorewall/default-config/* /etc/shorewall/ - Edite primeiro o arquivo /etc/shorewall/zones, sendo que vc deve configurar as zonas de trabalho que vcs utiliizarao. - Edite o arquivo interfaces e associe a zona com a interface. Note que vc tambem pode definir algumas regras de proteção e comportametno das regras neste arquivo. - Edite o arquivo policy e defina a polica padrao de trafego entre as zonas. Note que a zona FW é a tua propria maquina e ALL são todas as zonas. - Edite o arquivo rules e la defina as regras. O arquivo é por si um manual completo. - Se for utilizar mas(q|c)aramento, edite o arquivo masq e la coloque as regras para fazer o masquerade. - como abaixo, edite o /etc/default/shorewall e abilite o shorewall - execute o shorewall start se estiver utdo ok, ja teras entao um software de firewall funcionando, e por sinal muito bom. um abraco Claudio Jr. Em Qua, 2005-01-05 às 08:48 -0200, Fábio Rabelo escreveu: Ubiratan escreveu: Boa Noite a todos Preciso de uma ajuda, apesar dele ser instalado normalmente no Debian, não consegui compartilhar minha conexão. Alguém teria algum tutorial para configurá-lo já que no site oficial esta tudo em ingles. Se vc não lê inglês, vc está em maus lençois !! duas dicas q podem lhe ajudar, primeiro, ( e isto está no readme q foi instalado em /usr/share/doc/shorewall ) o Shorewall no Debian só será inicializado qdo vc editar o arquivo /etc/default/shorewall e colocar 1 no parâmetro startup . Segundo, instale o webmin e gere as regras do firewall por ele, vc encontrará o módulo shorewall em network == shorewall E terceiro, aprenda inglês, sem isso vc terá muitos problemas trabalhando com informática !!! Fábio Rabelo -- Claudio da Silva Junior Colnet Internet
Re: Shorewall
Ubiratan wrote: Bom dia a todos O que vocês acham de usar o shorewall do mandrake, no debian? Pondo um pouco mais de lenha na fogueira, eu usei um chamado firewall-jay. http://firewall-jay.sourceforge.net/ É bem simples, e a configuração é por interface dialog, tipo ncurses. Bem fácil de configurar. Uma questão do FAQ me chamou a atenção: http://firewall-jay.sourceforge.net/faq.php#q11 -- Marcos Lazarini
Re: Shorewall x Firestarter x Firewall Builder
Claudio da Silva Junior wrote: A ideia abaixo esta certa. Principalmente que vc precisa saber o que o teu firewall esta fazendo, e tambem estudar as regras que tem nele. O pouco que já conheço atualmente de firewall me permite personalizar o kernel com o Netfilter, instalar o iptables e entender um conjunto de regras com 10, 20 ou 30 regras de complexidade relativa. O conhecimento teórico de redes/firewall também permite compreender a maior parte do que leio sobre o assunto. Agora, hoje nao trabalho mais com scripts feito na mao. Não quero mais sofrer, sendo que o shorewall me atende muito bem. É exatamente neste ponto em que me encontro, pois a rede que preciso gerenciar tem uma complexidade elevada e uma quantidade de máquinas mais elevada ainda (mais de novecentas). Gerenciar isto sem uma interface que facilite a vida até que é possível, mas nada prático e altamente suceptível a erros. Recomendo o shorewall, foi o que melhor me ajustei, agora, se vcs tiverem outras opcoes, estou aberto para ver o que tem, e discutir sobre elas. O site do Shorewall é http://shorewall.sourceforge.net, não é? Vou dar uma verificada. Se mais alguém puder se manifestar... []'s, Sergio
Re: Shorewall x Firestarter x Firewall Builder
Marcio de Araujo Benedito wrote: * Sergio Luz ([EMAIL PROTECTED]) wrote: Pessoal; Estou começando a estudar Firewall Builder para gerenciar as regras de meu iptables e tenho acompanhado as discussões sobre o Shorewall e Firestarter. Queria saber se alguém utiliza, ou utilizou, o Firewall Builder e se ele é melhor que os outros dois. Uso Iptables sem nenhum gerenciador de regras. A partir da leitura do capitulo correspondente do guia focalinux avançado, pude eu mesmo fazer minhas regras com muita satisfação, tanto de robustez e flexibilidade quanto de oportunidade de aprendizado sobre segurança e funcionamento de redes etc. Portanto recomendo que você leia o guiafoca, mesmo que decida continuar usando uma ferramenta interativa de gerenciamento/criação de regras. Não conheco esse capítulo em específico do guia foca, mas as vezes temos (alguns de nós) medo de esquecer de alguma coisa, principalmente mexendo com essas coisas de segurança. 'Muita responsabilidade, melhor usar a experiência de alguém', eu penso. Por exemplo, vc colocou regras para fazer log de SPOOFING interno? ou ataques smurfs (flood de ICMP_ECHO), ou mesmo SYN_FLOOD? Isso sem contar um sem-número de violações que podem existir nos cabeçalhos IP e TCP (Xmas, null, etc). Apesar de não ser essencial, é o firewall o responsável por detectar tais problemas... Sem querer deixar o pessoal paranóico, meu FW aqui em casa pega váários problemas desses todos os dias, isso sem contar os port-scanners. (Devo mencionar tbm, que a maioria desses problemas são relacionados ao micro de um colega da minha casa que usa o e-mule... :-) Um outro ponto que ninguem citou ainda foi em relação aos log analiser; parte fundamental de qquer firewall mais sério. No caso do Debian, eu acho o logcheck muito bom e fácil de configurar. -- Marcos Lazarini
Re: Shorewall
On Mon, 03 Jan 2005 23:30:13 -0200, Ubiratan [EMAIL PROTECTED] wrote: Bom dia a todos O que vocês acham de usar o shorewall do mandrake, no debian? Shorewall é muito bom, mas não entendi porque usar o do Mandrake se no Debian já temos ele? Se quer versão mais recente no woody porque não usar do backports? No seu sources.list adiciona a linha: deb http://www.backports.org/debian stable shorewall Ele já vai atualizar o shorewall e o iptables nescessário para a versão mais recente. Abraços -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED] -- Rodrigo M. Araujo [EMAIL PROTECTED]
Re: Shorewall
Rodrigo M. Araujo escreveu: On Mon, 03 Jan 2005 23:30:13 -0200, Ubiratan [EMAIL PROTECTED] wrote: Bom dia a todos O que vocês acham de usar o shorewall do mandrake, no debian? Shorewall é muito bom, mas não entendi porque usar o do Mandrake se no Debian já temos ele? Se quer versão mais recente no woody porque não usar do backports? No seu sources.list adiciona a linha: deb http://www.backports.org/debian stable shorewall Ele já vai atualizar o shorewall e o iptables nescessário para a versão mais recente. Concordo com o colega, uso Shorewall em vários firewalls em diversos clientes, e em muitas configurações diferentes, desde um simples NAT/Firewall p/um speed da vida, até instalações complexas, com diversas portas redirecionadas p/maquinas específicas dentro da rede interna, e DMZs também, sem nenhum problema ! Considero o melhor script de firewall disponível atualmente ! E existe mais uma opção p/manter o shorewall atualizado, use o repositório do próprio mantenedor do pacote p/Debian, veja detalhes em : http://idea.sec.dico.unimi.it/%7Elorenzo/index.html#Debian Fábio Rabelo
Re: Shorewall
Senhores O Shorewall tem se comportado muito bem. O unico problema que tenho em relacao a ele é que devida a complexidade do firewall ele pode se tornar meio que pesado. Agora em relação a velocidade, facilidade de implementação e recursos, ele é um dos melhores. Recomendo que utilizem, sendo que nunca tive problemas. O Debian unstable tem a ultima versão sempre disponivel. Claudio Jr. Em Ter, 2005-01-04 às 09:53 -0200, Fábio Rabelo escreveu: Rodrigo M. Araujo escreveu: On Mon, 03 Jan 2005 23:30:13 -0200, Ubiratan [EMAIL PROTECTED] wrote: Bom dia a todos O que vocês acham de usar o shorewall do mandrake, no debian? Shorewall é muito bom, mas não entendi porque usar o do Mandrake se no Debian já temos ele? Se quer versão mais recente no woody porque não usar do backports? No seu sources.list adiciona a linha: deb http://www.backports.org/debian stable shorewall Ele já vai atualizar o shorewall e o iptables nescessário para a versão mais recente. Concordo com o colega, uso Shorewall em vários firewalls em diversos clientes, e em muitas configurações diferentes, desde um simples NAT/Firewall p/um speed da vida, até instalações complexas, com diversas portas redirecionadas p/maquinas específicas dentro da rede interna, e DMZs também, sem nenhum problema ! Considero o melhor script de firewall disponível atualmente ! E existe mais uma opção p/manter o shorewall atualizado, use o repositório do próprio mantenedor do pacote p/Debian, veja detalhes em : http://idea.sec.dico.unimi.it/%7Elorenzo/index.html#Debian Fábio Rabelo -- Claudio da Silva Junior Colnet Internet
Re: Shorewall
E qnro ao Firestarter? Alguma opinião? On Tue, 4 Jan 2005 11:08:44 -0300, Frederico Costa [EMAIL PROTECTED] wrote: Pessoal, Tenho VARIOS debian comshorewall instalados, e nenhum deles me d'a o menor problema... Inclusive tenho uma rede de uns 40 pontos todos interconectados via freeswan vpn com shorewall.. e roda redondinho... Quanto ao peso do shorewall, a medida que se aumentam as regra e a complexidade 'e evidente que o tempode restart aumenta, mas para isto pode-se usar os comandos shorewall save/restore! Eh quase imediato []ao Frederico On Tue, 04 Jan 2005 11:42:03 -0200, Claudio da Silva Junior wrote Senhores O Shorewall tem se comportado muito bem. O unico problema que tenho em relacao a ele é que devida a complexidade do firewall ele pode se tornar meio que pesado. Agora em relação a velocidade, facilidade de implementação e recursos, ele é um dos melhores. Recomendo que utilizem, sendo que nunca tive problemas. O Debian unstable tem a ultima versão sempre disponivel. Claudio Jr. Em Ter, 2005-01-04 às 09:53 -0200, Fábio Rabelo escreveu: Rodrigo M. Araujo escreveu: On Mon, 03 Jan 2005 23:30:13 -0200, Ubiratan [EMAIL PROTECTED] wrote: Bom dia a todos O que vocês acham de usar o shorewall do mandrake, no debian? Shorewall é muito bom, mas não entendi porque usar o do Mandrake se no Debian já temos ele? Se quer versão mais recente no woody porque não usar do backports? No seu sources.list adiciona a linha: deb http://www.backports.org/debian stable shorewall Ele já vai atualizar o shorewall e o iptables nescessário para a versão mais recente. Concordo com o colega, uso Shorewall em vários firewalls em diversos clientes, e em muitas configurações diferentes, desde um simples NAT/Firewall p/um speed da vida, até instalações complexas, com diversas portas redirecionadas p/maquinas específicas dentro da rede interna, e DMZs também, sem nenhum problema ! Considero o melhor script de firewall disponível atualmente ! E existe mais uma opção p/manter o shorewall atualizado, use o repositório do próprio mantenedor do pacote p/Debian, veja detalhes em : http://idea.sec.dico.unimi.it/%7Elorenzo/index.html#Debian Fábio Rabelo -- Claudio da Silva Junior Colnet Internet -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED] -- Frederico Costa LCL Soluções em Tecnologia http://www.lcl.com.br/ -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Shorewall
Rafael, Qto ao Firestarter não posso te ajudar muito, pois apenas agora o conheci. Ele me parece ter uma interface amigável, porém teria ainda de passar nas provas de carga e estabilidade. Att, Frederico On Tue, 4 Jan 2005 14:41:47 -0300, Rafael de Albuquerque wrote E qnro ao Firestarter? Alguma opinião? On Tue, 4 Jan 2005 11:08:44 -0300, Frederico Costa [EMAIL PROTECTED] wrote: Pessoal, Tenho VARIOS debian comshorewall instalados, e nenhum deles me d'a o menor problema... Inclusive tenho uma rede de uns 40 pontos todos interconectados via freeswan vpn com shorewall.. e roda redondinho... Quanto ao peso do shorewall, a medida que se aumentam as regra e a complexidade 'e evidente que o tempode restart aumenta, mas para isto pode-se usar os comandos shorewall save/restore! Eh quase imediato []ao Frederico On Tue, 04 Jan 2005 11:42:03 -0200, Claudio da Silva Junior wrote Senhores O Shorewall tem se comportado muito bem. O unico problema que tenho em relacao a ele é que devida a complexidade do firewall ele pode se tornar meio que pesado. Agora em relação a velocidade, facilidade de implementação e recursos, ele é um dos melhores. Recomendo que utilizem, sendo que nunca tive problemas. O Debian unstable tem a ultima versão sempre disponivel. Claudio Jr. Em Ter, 2005-01-04 às 09:53 -0200, Fábio Rabelo escreveu: Rodrigo M. Araujo escreveu: On Mon, 03 Jan 2005 23:30:13 -0200, Ubiratan [EMAIL PROTECTED] wrote: Bom dia a todos O que vocês acham de usar o shorewall do mandrake, no debian? Shorewall é muito bom, mas não entendi porque usar o do Mandrake se no Debian já temos ele? Se quer versão mais recente no woody porque não usar do backports? No seu sources.list adiciona a linha: deb http://www.backports.org/debian stable shorewall Ele já vai atualizar o shorewall e o iptables nescessário para a versão mais recente. Concordo com o colega, uso Shorewall em vários firewalls em diversos clientes, e em muitas configurações diferentes, desde um simples NAT/Firewall p/um speed da vida, até instalações complexas, com diversas portas redirecionadas p/maquinas específicas dentro da rede interna, e DMZs também, sem nenhum problema ! Considero o melhor script de firewall disponível atualmente ! E existe mais uma opção p/manter o shorewall atualizado, use o repositório do próprio mantenedor do pacote p/Debian, veja detalhes em : http://idea.sec.dico.unimi.it/%7Elorenzo/index.html#Debian Fábio Rabelo -- Claudio da Silva Junior Colnet Internet -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED] -- Frederico Costa LCL Soluções em Tecnologia http://www.lcl.com.br/ -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED] -- Frederico Costa LCL Soluções em Tecnologia http://www.lcl.com.br/
Re: Shorewall
O que eh esse tal de Shorewall? On Mon, 03 Jan 2005 23:30:13 -0200, Ubiratan [EMAIL PROTECTED] wrote: Bom dia a todos O que vocês acham de usar o shorewall do mandrake, no debian? Abraços -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Shorewall
Ubiratan, Utilzo o shorewall, em varios de meus servidores e tem se comportado bem. tenho 2 debian woody 3.0 rodando belezae tenho um sarge em teste no laboratorio, tambem tem se comportado beleza.. Abraços. On Mon, 03 Jan 2005 23:30:13 -0200, Ubiratan [EMAIL PROTECTED] wrote: Bom dia a todos O que vocês acham de usar o shorewall do mandrake, no debian? Abraços -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED] -- Serrano Neves - a.k.a eth0 Por favor, evitem enviar anexos no formato MS-Office, obrigado! veja http://www.fsf.org/philosophy/no-word-attachments.pt.html
Re: Shorewall Gráfico
No dia 30/04/2004 às 11:39, Jackson Rodrigo Braga [EMAIL PROTECTED] escreveu: Gostaria de saber se existe uma versão do shorewall gráfica. Ou se existe um outro firewall grafico bom que trabalhe também como roteador de portas. Tem a versão Webmin (via browser) dele, 'webmin-shorewall'. -- Douglas Augusto [Netiqueta] § Mantenha respostas e comentários coerentes com assunto do tópico.
Re: Shorewall - opinião
Fernando Shayani wrote: Alguém conhece o firewall Shorewall (baseado no iptables)? Eu uso Shorewall, com o módulo webmin, sem problemas ! Estou usando a versão 1.4.x do testing . P/quem já conhece como funciona o iptables é muito fácil de configurar, pois vc praticamente entra com uma regra como se fosse em um script, porém sem os inconvenientes de ter q rodar as regras na cabeça p/verificar a coerência, pois o shorewall faz isso ! ;- ) E além disso, a documentação é muito bem feita ! Fábio Rabelo
