Re: [FUG-BR] Iptables - Help
iptables -A FORWARD -p tcp -o interface_externa --dport 139 -j DROP -- //| //|| // | // || -//--//---|| ARIO LOBO // //|| - [EMAIL PROTECTED] http://www.ipad.com.br On 28 Jul 2005 at 11:48, Henrique Vinicius Ramos e Silva wrote: > Boa tarde. > > Estou com o seguinte problema. Temos um acesso a internet via rádio, onde > percebi recentemente que consigo visualizar novos domínios na minha rede. > Consigo inclusive ver máquinas desse domínio externo (obviamente eles tbém > devem ver máquinas nossa). > > Liguei para o provedor e eles me disseram que é um problemas deles na > frequencia. De qualquer forma eu tenho um firewall(iptables) por onde > entramos e saimos para a net. > > Alguém poderia me dar uma dica de uma linha do iptables, para que eu > bloqueie esse problema. Já fiz alguns testes mas ainda não tive sucesso ! > > Obrigado, Henrique. > > > > ___ > Freebsd mailing list > Freebsd@fug.com.br > http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br ___ Freebsd mailing list Freebsd@fug.com.br http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br
Re: [FUG-BR] Iptables - Help
Em Thu, 28 Jul 2005 11:48:22 -0300 (EST) "Henrique Vinicius Ramos e Silva" <[EMAIL PROTECTED]> escreveu: > Alguém poderia me dar uma dica de uma linha do iptables, para que eu > bloqueie esse problema. Já fiz alguns testes mas ainda não tive sucesso ! sugiro mudar IMEDIATAMENTE para FreeBSD com um dos aplicativos de firewall disponíveis (pf, ipf, ipfw) os quais, IMHO, são bem melhores do que o que vc vem usando atualmente. Ou então, colocar a pergunta num forum/lista de Linux. --- Saudações, Irado furioso com tudo "A verdadeira bravura está em sair para beber com os amigos, sem avisar a esposa, chegar em casa bêbado, de madrugada, é recebido por ela com uma vassoura na mão e ainda ter peito pra perguntar: Vai varrer ou vai voar?" ___ Freebsd mailing list Freebsd@fug.com.br http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br
Re: [FUG-BR] Iptables - Help
Ah é, e só mais uma coisa: use OpenBSD com PF para seu perímetro. ;-) Muuito melhor que iptables. On 7/28/05, Pablo Sánchez <[EMAIL PROTECTED]> wrote: > Pode até ser uma lista de BSD, mas firewall é a mesma coisa sempre, > regras de abertura e regras de bloqueio. Ou seja: posso não saber o > comando exato, mas sei o que deve ser feito, hehehe. > > Henrique, o que vc precisa fazer antes de mais nada e determinar que > tipo de política você vai usar na sua rede: permissiva ou restritiva. > Na permissiva, vc libera tudo e bloqueia só o que não quer liberado. > Na restritiva, vc fecha tudo e libera só o que deve ser liberado. > > Obviamente, o ideal é a restritiva. Baseado nessa escolha você começa > a ver o que vai deixar que seus usuários acessem externamente: > http? Libera a porta 80 > https? Libera a porta 443 > SMTP externo? libera a porta 25 > POP externo? libera a 110 > E por aí vai. Depois de tudo isso definido, vc cria uma regra > bloqueando tudo. Porque firewall funciona assim: a princípio, tudo > está aberto, a menos que eu encontre uma regra fechando. Então, > colocando as regras nessa ordem, vc vai estar fazendo com que ele se > encaixe em uma dessas regras. Encontrando uma delas, o pacote é > liberado. Se não encontrar, ele vai até o final da lista de regras. Se > não há uma regra bloqueando tudo no final, seu firewall não vale nada. > > Ao definir a regra, vc deve também compreender o sentido no qual a > regra está controlando. Nessa lista aí de cima eu estaria colocando as > regras permitindo acesso de dentro para fora. Na regra de fora para > dentro, eu fecharia tudo. Seu firewall, nesse caso, tem que ser um > firewall de estados. Ou seja, ele tem que permitir que entrem os > pacotes de fora que foram requisitados a partir da rede interna, mas > não deve deixar mais nada entrar. > > Como não deve ter nada definido, tudo está liberado. As redes samba > utilizam a porta 139 e funcionam por Broadcasting. Quer dizer, a rede > samba está constantemente mandando pacotes para todas as máquinas da > rede (para informar várias coisas, como quais são as máquinas > disponíveis, os compartilhamenrtos públicos, impressoras, etc). Se não > tem nada bloqueado, como o pacote é broadcasting, ele vai até o > gateway de algum dos outros clientes desse seu provedor, que encaminha > para o gateway do provedor, que propaga para todos os outros clientes. > Como seu provedor é peba (ruim, bosta, porcaria), ele não se preocupou > em configurar o acesso para você, e deixou toda a segurança por conta > dos clientes. > > Então, das duas uma: compra um bom livro sobre segurança de redes e se > protege (aliás, faça isso sim ou sim, te aconselho a comprar o livro > "Desvendando Segurança de Redes") ou você troca de provedor. > > Obs: se vc esperava uma receita de bolo sobre como resolver o seu > problema, desculpe, mas eu só costumo mostrar o raciocínio, a pessoa > que encontre a sequencia de comandos, senão ela não aprende... > > Um abc! > > On 7/28/05, Ricardo Nascimento Ferreira <[EMAIL PROTECTED]> wrote: > > Henrique, > > procure uma lista de linux. Esta é uma lista exclusiva para > > assuntos relacionados à sistemas BSDs. > > O iptables faz parte de distribuições linux, assunto não abordado > > aqui. > > > > > > > > On 7/28/05, Henrique Vinicius Ramos e Silva <[EMAIL PROTECTED]> wrote: > > > Boa tarde. > > > > > > Estou com o seguinte problema. Temos um acesso a internet via rádio, onde > > > percebi recentemente que consigo visualizar novos domínios na minha rede. > > > Consigo inclusive ver máquinas desse domínio externo (obviamente eles tbém > > > devem ver máquinas nossa). > > > > > > Liguei para o provedor e eles me disseram que é um problemas deles na > > > frequencia. De qualquer forma eu tenho um firewall(iptables) por onde > > > entramos e saimos para a net. > > > > > > Alguém poderia me dar uma dica de uma linha do iptables, para que eu > > > bloqueie esse problema. Já fiz alguns testes mas ainda não tive sucesso ! > > > > > > Obrigado, Henrique. > > > > > > > > > > > > ___ > > > Freebsd mailing list > > > Freebsd@fug.com.br > > > http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br > > > > > > > > > -- > > Ricardo Nascimento Ferreira > > Analista de Redes e Segurança > > Solaris Certified System Administrator > > Chave pública PGP / PGP public key: > > http://pgp.mit.edu:11371/pks/lookup?op=get&search=0x741F3B25 > > > > ___ > > Freebsd mailing list > > Freebsd@fug.com.br > > http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br > > > ___ Freebsd mailing list Freebsd@fug.com.br http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br
Re: [FUG-BR] Iptables - Help
Pode até ser uma lista de BSD, mas firewall é a mesma coisa sempre, regras de abertura e regras de bloqueio. Ou seja: posso não saber o comando exato, mas sei o que deve ser feito, hehehe. Henrique, o que vc precisa fazer antes de mais nada e determinar que tipo de política você vai usar na sua rede: permissiva ou restritiva. Na permissiva, vc libera tudo e bloqueia só o que não quer liberado. Na restritiva, vc fecha tudo e libera só o que deve ser liberado. Obviamente, o ideal é a restritiva. Baseado nessa escolha você começa a ver o que vai deixar que seus usuários acessem externamente: http? Libera a porta 80 https? Libera a porta 443 SMTP externo? libera a porta 25 POP externo? libera a 110 E por aí vai. Depois de tudo isso definido, vc cria uma regra bloqueando tudo. Porque firewall funciona assim: a princípio, tudo está aberto, a menos que eu encontre uma regra fechando. Então, colocando as regras nessa ordem, vc vai estar fazendo com que ele se encaixe em uma dessas regras. Encontrando uma delas, o pacote é liberado. Se não encontrar, ele vai até o final da lista de regras. Se não há uma regra bloqueando tudo no final, seu firewall não vale nada. Ao definir a regra, vc deve também compreender o sentido no qual a regra está controlando. Nessa lista aí de cima eu estaria colocando as regras permitindo acesso de dentro para fora. Na regra de fora para dentro, eu fecharia tudo. Seu firewall, nesse caso, tem que ser um firewall de estados. Ou seja, ele tem que permitir que entrem os pacotes de fora que foram requisitados a partir da rede interna, mas não deve deixar mais nada entrar. Como não deve ter nada definido, tudo está liberado. As redes samba utilizam a porta 139 e funcionam por Broadcasting. Quer dizer, a rede samba está constantemente mandando pacotes para todas as máquinas da rede (para informar várias coisas, como quais são as máquinas disponíveis, os compartilhamenrtos públicos, impressoras, etc). Se não tem nada bloqueado, como o pacote é broadcasting, ele vai até o gateway de algum dos outros clientes desse seu provedor, que encaminha para o gateway do provedor, que propaga para todos os outros clientes. Como seu provedor é peba (ruim, bosta, porcaria), ele não se preocupou em configurar o acesso para você, e deixou toda a segurança por conta dos clientes. Então, das duas uma: compra um bom livro sobre segurança de redes e se protege (aliás, faça isso sim ou sim, te aconselho a comprar o livro "Desvendando Segurança de Redes") ou você troca de provedor. Obs: se vc esperava uma receita de bolo sobre como resolver o seu problema, desculpe, mas eu só costumo mostrar o raciocínio, a pessoa que encontre a sequencia de comandos, senão ela não aprende... Um abc! On 7/28/05, Ricardo Nascimento Ferreira <[EMAIL PROTECTED]> wrote: > Henrique, > procure uma lista de linux. Esta é uma lista exclusiva para > assuntos relacionados à sistemas BSDs. > O iptables faz parte de distribuições linux, assunto não abordado > aqui. > > > > On 7/28/05, Henrique Vinicius Ramos e Silva <[EMAIL PROTECTED]> wrote: > > Boa tarde. > > > > Estou com o seguinte problema. Temos um acesso a internet via rádio, onde > > percebi recentemente que consigo visualizar novos domínios na minha rede. > > Consigo inclusive ver máquinas desse domínio externo (obviamente eles tbém > > devem ver máquinas nossa). > > > > Liguei para o provedor e eles me disseram que é um problemas deles na > > frequencia. De qualquer forma eu tenho um firewall(iptables) por onde > > entramos e saimos para a net. > > > > Alguém poderia me dar uma dica de uma linha do iptables, para que eu > > bloqueie esse problema. Já fiz alguns testes mas ainda não tive sucesso ! > > > > Obrigado, Henrique. > > > > > > > > ___ > > Freebsd mailing list > > Freebsd@fug.com.br > > http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br > > > > > -- > Ricardo Nascimento Ferreira > Analista de Redes e Segurança > Solaris Certified System Administrator > Chave pública PGP / PGP public key: > http://pgp.mit.edu:11371/pks/lookup?op=get&search=0x741F3B25 > > ___ > Freebsd mailing list > Freebsd@fug.com.br > http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br > ___ Freebsd mailing list Freebsd@fug.com.br http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br
Re: [FUG-BR] Iptables - Help
Henrique, procure uma lista de linux. Esta é uma lista exclusiva para assuntos relacionados à sistemas BSDs. O iptables faz parte de distribuições linux, assunto não abordado aqui. On 7/28/05, Henrique Vinicius Ramos e Silva <[EMAIL PROTECTED]> wrote: > Boa tarde. > > Estou com o seguinte problema. Temos um acesso a internet via rádio, onde > percebi recentemente que consigo visualizar novos domínios na minha rede. > Consigo inclusive ver máquinas desse domínio externo (obviamente eles tbém > devem ver máquinas nossa). > > Liguei para o provedor e eles me disseram que é um problemas deles na > frequencia. De qualquer forma eu tenho um firewall(iptables) por onde > entramos e saimos para a net. > > Alguém poderia me dar uma dica de uma linha do iptables, para que eu > bloqueie esse problema. Já fiz alguns testes mas ainda não tive sucesso ! > > Obrigado, Henrique. > > > > ___ > Freebsd mailing list > Freebsd@fug.com.br > http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br > -- Ricardo Nascimento Ferreira Analista de Redes e Segurança Solaris Certified System Administrator Chave pública PGP / PGP public key: http://pgp.mit.edu:11371/pks/lookup?op=get&search=0x741F3B25 ___ Freebsd mailing list Freebsd@fug.com.br http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br
[FUG-BR] Iptables - Help
Boa tarde. Estou com o seguinte problema. Temos um acesso a internet via rádio, onde percebi recentemente que consigo visualizar novos domínios na minha rede. Consigo inclusive ver máquinas desse domínio externo (obviamente eles tbém devem ver máquinas nossa). Liguei para o provedor e eles me disseram que é um problemas deles na frequencia. De qualquer forma eu tenho um firewall(iptables) por onde entramos e saimos para a net. Alguém poderia me dar uma dica de uma linha do iptables, para que eu bloqueie esse problema. Já fiz alguns testes mas ainda não tive sucesso ! Obrigado, Henrique. ___ Freebsd mailing list Freebsd@fug.com.br http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br
