Em Seg, 2005-05-09 às 09:29 -0300, Julio Cesar de Magalhaes escreveu: > Em Seg, 2005-05-09 às 09:17 -0300, Paulo Ricardo Bruck escreveu: > > > > > > # A tentativa de acesso externo a estes serviços serão registrados > > no syslog > > > # do sistema e serão bloqueados pela última regra abaixo. > > > iptables -A INPUT -p tcp --dport 21 -j LOG --log-prefix "FIREWALL: > > ftp " > > > iptables -A INPUT -p tcp --dport 25 -j LOG --log-prefix "FIREWALL: > > smtp " > > > iptables -A INPUT -p udp --dport 53 -j LOG --log-prefix "FIREWALL: > > dns " > > > iptables -A INPUT -p tcp --dport 110 -j LOG --log-prefix "FIREWALL: > > pop3 " > > > iptables -A INPUT -p tcp --dport 113 -j LOG --log-prefix "FIREWALL: > > identd " > > > iptables -A INPUT -p udp --dport 111 -j LOG --log-prefix "FIREWALL: > > rpc" > > > iptables -A INPUT -p tcp --dport 111 -j LOG --log-prefix "FIREWALL: > > rpc" > > > iptables -A INPUT -p tcp --dport 137:139 -j LOG --log-prefix > > "FIREWALL: > > > samba " > > > iptables -A INPUT -p udp --dport 137:139 -j LOG --log-prefix > > "FIREWALL: > > > samba " > > > > > ARRRRRRRGHHHHHH vc esta colocando FTP, samba DNS , SMTP no > > firewall????, > > meu amigo, desista, vc terá uma dor de cabeça imensa.... coloque estes > > serviços em uma outra máquina e deixe no firewall ssh, squid e > > iptables, > > ou se vcs for bom em segurança e iptables ai que sabe vc pdoeria > > colocar os serviços acima.....80) > > Tenho a impressão que as regras acima são DROP estão listadas aí apenas > para efeito de log. OPPPs, sim desculpe, mas quando ví a política de FORWARD em ACCEPT, eu já jogaria fora o script. Já que a sua politica de INPUT está em DROP, vc logaria as tentativas de acesso do seu firewall no syslog. Mas, como o seu FORWARD está em ACCEPT aí começam os seus problemas. Conserto iptables -A FORWARD -i $LAN -o $WAN -j ACCEPT ( tudo que entrar pela sua placa de rede da rede interna e sair pela wan vc aceita...) MESMO ASSIM , para se ter um firewall seguro e proteger não apenas a sua rede, mas tambem o mundo ( afinal , vcv pode ter um hacker na sua rede interna e depois a bomba estoura na sua mão, vc coloca as regras de FORWARD em DROP e permite APENAS o que vc deseja....) Mas uma das questões que sempre menciono é que não basta somente um firewall para proteção. Porque vc me perguntaria? porque um firewall se assemalha a um leão de chacara de boate. Se vc tem convite vc entra ( explo porta 22) agora se vc esta com o convite e entra armado com uma bazuca e metraladoras o firewall deixa vc passar da mesma maneira ( já que vc tem convite ( porta 22) portanto , se vc quizer usar o script anterior não o use do jeito que está.... ats > > -- Paulo Ricardo Bruck - consultor Contato Global Solutions tel 011 5031-4932 fone/fax 011 5034-1732 cel 011 9235-4327
Attachment:
signature.asc
Description: Esta =?ISO-8859-1?Q?=E9?= uma parte de mensagem assinada digitalmente