Bom dia Giuliane, As respostas segue abaixo de cada tópico no seu e-mail.
Dei uma breve leitura no seu rc.firewall e não entendi as regras: # Bloqueando acesso externo ao samba e libera o acesso interno ao mesmo $IPT -A INPUT -p tcp -i $EXT --dport 137:139 -j DROP $IPT -A INPUT -p tcp -s 192.168.0.0/24 -d 192.168.1.10 --dport 137:139 -j ACCEPT - A política default nas regras pe DROP então não precisa dessa regra. - Ainda assim se o samba rodasse em outro servidor essa regra deveria ser para a chain FORWARD. - Se o samba está no próprio servidor firewall, consiga uma maquina separada e coloque cada serviço em seu servidor, se possível. # Libera SSH externa e interna #$IPT -A INPUT -p tcp --dport 22 -i $EXT -j ACCEPT $IPT -A INPUT -p tcp --dport 22 -i $INT -j ACCEPT Espero que tenha ajudado. -- Abdon Azevedo On 11/28/06, Giuliani Deon Sanches <[EMAIL PROTECTED]> wrote:
Boa tarde a todos. Desculpem pelo longo e-mail e pelo fato de que alguns receberão ele duplicado já que estou mandando para duas listas e provavelmente boa parte do pessoal participa de ambas. Consegui trocar o servidor conectiva que tinha aqui para um slackware. Juntamente com uma empresa contratada, instalamos e configuramos todos os serviços que precisamos. Hoje estou dando o acabamento final, vendo tudo o que foi feito pela empresa e etc. Entre algumas coisas que essa empresa fez esta o firewall (iptables). Nesse exato momento estou usando o arquivo de regras que me deixaram, porém, pelo que estudei (guiafoca, vivaolinux, eriberto.pro.br entre outros), o arquivo não esta bom e as regras estão uma zona (apesar de quase tudo estar funcionando). Não é apenas culpa deles pois minhas mão de novato em iptables também editaram o arquivo e copiaram e colaram muitas regras para ir liberando o que eu precisava. Apesar da vasta literatura absorvida por mim (falei bonito "bagaraio" agora XD ) eu tenho duvidas quando liberar bloquear as chains INPUT, OUTPUT e quando usar o FORWARD. E aqui vai uma explicação básica da minha rede e o que eu preciso. Em anexo as minhas regras ( crap.rc.firewall é o arquivo da empresa contratada, e rc.firewall.new é o que comecei a fazer ;)): Tenho o DHCP configurado com duas redes (192.168.0 que é a interna e uma 192.168.1 que é a externa e não libera faixa de IP). A placa eth1 do servidor esta ligada com o modem e é por ela que entra a internet. A eth0 é a que distribui para a rede interna e o forward já esta habilitado. Proxy up and running, porém não vou fazer proxy transparente, quero manter a porta 80 e 443 bloqueadas liberando a 3128 e forçando o sujeito a configurar proxy no seu IE. As regras padrão serão DROP. Uso um windows terminal server e ao receber conexões destinadas a ele, preciso redirecionar ao servidor que contém o TS. Também forneço um serviço utilizando php e apache acessando a porta 80. Preciso liberar acesso as portas/serviços: samba (137,138,139 não sei se somente par udp ou tcp e udp) somente interno (externo bloqueado). Também me falaram que preciso liberar a 445, ainda estou pesquisando. email (pop/smtp - as seguras também) 25,110,995,465,587
As portas 137:139 (subentende-se de 137 a 139) e 445 são usada pelo protocolo Netbios sobre IP. URL de referencia: http://www.rhyshaden.com/netbios.htm " ... When running over TCP/IP, NetBIOS uses the following ports: - *137* - UDP/TCP - *nbname* used for the Name Service, name broadcasts for building browsing lists. - *138* - UDP - *nbdatagram* - used for the Datagram Service - *139* - TCP - *nbsession* - used for the Session Service ..." Liberar a 22 temporariamente pois depois vou trocar a porta de comunicação
do ssh.
Não acho necessário trocar a porta do SSH, de qualquer forma vai ser liberada outra porta e o invasor efetuando um scanner vai saber qual porta estará aberta e explorá-la. O correto é você monitorar os Log´s do seu servidor regularmente, efetua os devidos updates de vulnerabilidades dos pacotes, emfim todo procedimento que mantenha a integridade do sistema. Permitir o MSN e o GAIM conectar (provavelmente vou bloquear o skype). Acesso via MSN e GAM passando pelo Proxy e não direamente no firewall. Pelo proxy você tem controle melhor da aplicação, podendo controlar o que trafega e o que é transferido, por exemplo. Tenho mais duas faixas de porta a serem liberadas, tanto de entrada quanto
de saida. Uma faixa para upd/tcp e outra somente udp. Todo o resto deverá ser totalmente inacessível. As dúvidas básicas: *Para que a porta 3128 fique liberada para entrada e saida eu preciso adicionar regras ao INPUT, OUTPUT e FORWARD ou somente o FORWARD faz todo o trabalho ?
- Liberações na INPUT são para conexões feitas diretamente para o Firewall. Um exemplo disso seria você habilitar para acessar o próprio Firewall. - Liberações na OUTPUT são conexões originadas do Firewall. - Liberações na FORWARD são conexões que passam pelo firewall. Exemplo uma maquina da rede interna precisando conectar a um FTP externo. Eu preciso liberar entrada e saida nessa porta para que a internet funcione
ou somente saida ? Com base nessa pergunta muita coisa vai ficar um pouco mais clara.
Somente na Chain FORWARD como dito a cima. *É necessário entrada e saida para o SSH ou somente entrada ? (isso já vai
me ajudar com o samba também).
Idem ao de cima, FORWARD. Com base nas respostas dadas eu já vou ter base para fazer todo o resto. Se
der, comente sobre o arquivo ou no arquivo e me mandem no meu e-mail. Toda a informação a esse respeito é bem vinda. >
--~--~---------~--~----~------------~-------~--~----~ -- GUS-BR - Grupo de Usuários de Slackware - BR http://www.slackwarebrasil.org/ http://groups-beta.google.com/group/slack-users-br -~----------~----~----~----~------~----~------~--~---
