Re: nivel de segurança desse script iptables

[Jeison Sanches <jeisonsanches@netunix.com.br>]

Como eu devo bloquear tudo e liberar so o necessario indo e vindo da 
internet ?:

com o policiamento na tabela filter :

#Table Filter
iptables -t filter -P INPUT     DROP
iptables -t filter -P OUTPUT    DROP
iptables -t filter -P FORWARD   DROP

?

mas depois eu libero embaixo e nao surte efeito. Voces poderia me dar um 
exemplo ?


Obrigado pelas dicas..





Paulo Ricardo Bruck wrote:

> Em Seg, 2005-05-09 às 09:29 -0300, Julio Cesar de Magalhaes escreveu:
>  
>
> > Em Seg, 2005-05-09 às 09:17 -0300, Paulo Ricardo Bruck escreveu:
> >    
> >
> > > > # A tentativa de acesso externo a estes serviços serão registrados
> > > >        
> > > no syslog
> > >      
> > >
> > > > # do sistema e serão bloqueados pela última regra abaixo.
> > > > iptables -A INPUT -p tcp --dport 21 -j LOG --log-prefix "FIREWALL:
> > > >        
> > > ftp "
> > >      
> > >
> > > > iptables -A INPUT -p tcp --dport 25 -j LOG --log-prefix "FIREWALL:
> > > >        
> > > smtp "
> > >      
> > >
> > > > iptables -A INPUT -p udp --dport 53 -j LOG --log-prefix "FIREWALL:
> > > >        
> > > dns "
> > >      
> > >
> > > > iptables -A INPUT -p tcp --dport 110 -j LOG --log-prefix "FIREWALL:
> > > >        
> > > pop3 "
> > >      
> > >
> > > > iptables -A INPUT -p tcp --dport 113 -j LOG --log-prefix "FIREWALL:
> > > >        
> > > identd "
> > >      
> > >
> > > > iptables -A INPUT -p udp --dport 111 -j LOG --log-prefix "FIREWALL:
> > > >        
> > > rpc"
> > >      
> > >
> > > > iptables -A INPUT -p tcp --dport 111 -j LOG --log-prefix "FIREWALL:
> > > >        
> > > rpc"
> > >      
> > >
> > > > iptables -A INPUT -p tcp --dport 137:139 -j LOG --log-prefix
> > > >        
> > > "FIREWALL: 
> > >      
> > >
> > > > samba "
> > > > iptables -A INPUT -p udp --dport 137:139 -j LOG --log-prefix
> > > >        
> > > "FIREWALL: 
> > >      
> > >
> > > > samba "
> > > >
> > > >        
> > > ARRRRRRRGHHHHHH vc esta colocando FTP, samba DNS , SMTP no
> > > firewall????,
> > > meu amigo, desista, vc terá uma dor de cabeça imensa.... coloque estes
> > > serviços em uma outra máquina e deixe no firewall ssh, squid e
> > > iptables,
> > > ou se vcs for bom em segurança e iptables  ai que sabe vc pdoeria
> > > colocar os serviços acima.....80)
> > >      
> > Tenho a impressão que as regras acima são DROP estão listadas aí apenas
> > para efeito de log.
> >    
>
>
> OPPPs, sim desculpe, mas quando ví a política de FORWARD em ACCEPT, eu
> já jogaria fora o script. 
>
> Já que a sua politica de INPUT está em DROP, vc logaria as tentativas de
> acesso do seu firewall no syslog.
>
> Mas, como o seu FORWARD está em ACCEPT aí começam os seus problemas.
> Conserto
> iptables -A FORWARD -i $LAN -o $WAN -j ACCEPT
> ( tudo que entrar pela sua placa de rede da rede interna e sair pela wan
> vc aceita...) MESMO ASSIM , para se ter um firewall seguro e proteger
> não apenas a sua rede, mas tambem o mundo ( afinal , vcv pode ter um
> hacker na sua rede interna e depois a bomba estoura na sua mão, vc
> coloca as regras de FORWARD em DROP e permite APENAS o que vc
> deseja....)
>
> Mas uma das questões que sempre menciono é que não basta somente um
> firewall para proteção. 
>
> Porque vc me perguntaria?
> porque um firewall se assemalha a um leão de chacara de boate.
>
> Se vc tem convite vc entra ( explo porta 22)
>
> agora se vc esta com o convite e entra armado com uma bazuca e
> metraladoras o firewall deixa vc passar da mesma maneira ( já que vc tem
> convite ( porta 22)
>
>
> portanto , se vc quizer usar o script anterior não o use do jeito que
> está....
>
> ats
>
>  
>
> >