Em Seg, 2005-05-09 às 23:31 -0300, Jeison Sanches escreveu: ok vamos lá. a) vc leu os links que eu passei para a lista sobre informações do Netfilter?? se não leu aconselho a vc ler , pois senão vc estará fazendo um compartilahemnto de internet e não um firewall.... ok vamos ver abaixo: > Editei esse script e deixei assim : > > LAN='10.1.x.x/28' > > # Limpa Tudo > > iptables -F > > iptables -F INPUT > > iptables -t nat -F > > # Definicao do Policiamento > > #Table Filter > > iptables -t filter -P INPUT DROP > > iptables -t filter -P OUTPUT DROP eu ( opinião minha) deixaria o output em ACCEPT para facilitar as regras. > > iptables -t filter -P FORWARD DROP > > #Table nat > > iptables -t nat -P PREROUTING ACCEPT > > iptables -t nat -P OUTPUT DROP > oppps padrão o pessoal é deixar em ACCEPT ( depois de ler os links que eu passei podemos discutir ;-) > iptables -t nat -P POSTROUTING ACCEPT > > > # Conexoes estabelecidas e loopback > > iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT adicine as linha abaixo iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A FORWARD-m state --state ESTABLISHED,RELATED -j ACCEPT > iptables -A INPUT -i lo -j ACCEPT+ > > ok > # Filtrando a rede interna > > > iptables -A FORWARD -d $LAN -i ppp0 -o eth1 -j ACCEPT ( retire a regra acima) a não ser que vc queira que o mundo inteiro tenha acesso a sua rede interna. Daí pra que firewall???? > > iptables -A FORWARD -s $LAN -i eth1 -o ppp0 -j ACCEPT > > iptables -A FORWARD -j LOG --log-prefix "FIREWALL: FORWARD " > > iptables -A FORWARD -j DROP esta regra é desnecessária já que na regra acima (FORWARD -s $LAN -i eth1 -o ppp0 -j ACCEPT) vc está aceitando tuda da rede interna para o mundo. se o mundo tentar mandar algo paraa rede interna que não estiver com o established ou related ela será dropada ( lembra do -P DROP no FORWARD???) > > # Ip Masquerade > > > iptables -t nat -A POSTROUTING -s $LAN -j MASQUERADE > ok se seu link for dinamico. se for estatico iptables -t nat -A POSTROUTING -s $LAN -j --to-destination $IPWAN > echo "1" > /proc/sys/net/ipv4/ip_forward > > > esse script barra tudo certo ? não. ele permitiria acesso do seu firewall a tudo desde que vc tivesse colocado o OUTPUT em ACCEPT ( como fiz acima) > so ta permitindo o trafego de ppp0 pra > eth1 e vice versa ok ? o resto ta barrado. certo ? nossa quanto certo quando tá tudo , ou quase tudo errado....80) > mas mesmo assim to > conseguindo conectar externamente via ssh ou qqer outra coisa. como > posso fazer para barrar tudo na entrada liberar so porta http https smtp > pop ? > ok vou ser chato de novo. leia os links que eu passei para ti. com os acertos acima vc pode ter agora um compartilhamento de internet que em minha opinião dá uma segurança de , vamos dizer, 20% a sua rede interna. ats > > Valeu > > > > Paulo Ricardo Bruck escreveu: > > >Em Seg, 2005-05-09 às 12:20 -0300, Jeison Sanches escreveu: > > > > > >>Como eu devo bloquear tudo e liberar so o necessario indo e vindo da > >>internet ?: > >> > >> > > > >Jeison, > > > >Firewall não é algo muito simples, principalmente porque mexe na área de > >segurança. > > > >Aconselho a vc antes de mais nada ver estes 2 sites: > > > >a) focalinux.cipsga.org.br/ em portugues ( não só somente firewall) > >b) http://iptables-tutorial.frozentux.net/iptables-tutorial.html ( em > >ingles) > > > >após a leitura dos tutorias creio que possamos ajudá-lo melhor. > > > > > >ats > > > > > >>com o policiamento na tabela filter : > >> > >>#Table Filter > >>iptables -t filter -P INPUT DROP > >>iptables -t filter -P OUTPUT DROP > >>iptables -t filter -P FORWARD DROP > >> > >>? > >> > >>mas depois eu libero embaixo e nao surte efeito. Voces poderia me dar um > >>exemplo ? > >> > >> > >>Obrigado pelas dicas.. > >> > >> > >> > >> > >> > >>Paulo Ricardo Bruck wrote: > >> > >> > >> > >>>Em Seg, 2005-05-09 às 09:29 -0300, Julio Cesar de Magalhaes escreveu: > >>> > >>> > >>> > >>> > >>>>Em Seg, 2005-05-09 às 09:17 -0300, Paulo Ricardo Bruck escreveu: > >>>> > >>>> > >>>> > >>>> > >>>>>># A tentativa de acesso externo a estes serviços serão registrados > >>>>>> > >>>>>> > >>>>>> > >>>>>> > >>>>>no syslog > >>>>> > >>>>> > >>>>> > >>>>> > >>>>>># do sistema e serão bloqueados pela última regra abaixo. > >>>>>>iptables -A INPUT -p tcp --dport 21 -j LOG --log-prefix "FIREWALL: > >>>>>> > >>>>>> > >>>>>> > >>>>>> > >>>>>ftp " > >>>>> > >>>>> > >>>>> > >>>>> > >>>>>>iptables -A INPUT -p tcp --dport 25 -j LOG --log-prefix "FIREWALL: > >>>>>> > >>>>>> > >>>>>> > >>>>>> > >>>>>smtp " > >>>>> > >>>>> > >>>>> > >>>>> > >>>>>>iptables -A INPUT -p udp --dport 53 -j LOG --log-prefix "FIREWALL: > >>>>>> > >>>>>> > >>>>>> > >>>>>> > >>>>>dns " > >>>>> > >>>>> > >>>>> > >>>>> > >>>>>>iptables -A INPUT -p tcp --dport 110 -j LOG --log-prefix "FIREWALL: > >>>>>> > >>>>>> > >>>>>> > >>>>>> > >>>>>pop3 " > >>>>> > >>>>> > >>>>> > >>>>> > >>>>>>iptables -A INPUT -p tcp --dport 113 -j LOG --log-prefix "FIREWALL: > >>>>>> > >>>>>> > >>>>>> > >>>>>> > >>>>>identd " > >>>>> > >>>>> > >>>>> > >>>>> > >>>>>>iptables -A INPUT -p udp --dport 111 -j LOG --log-prefix "FIREWALL: > >>>>>> > >>>>>> > >>>>>> > >>>>>> > >>>>>rpc" > >>>>> > >>>>> > >>>>> > >>>>> > >>>>>>iptables -A INPUT -p tcp --dport 111 -j LOG --log-prefix "FIREWALL: > >>>>>> > >>>>>> > >>>>>> > >>>>>> > >>>>>rpc" > >>>>> > >>>>> > >>>>> > >>>>> > >>>>>>iptables -A INPUT -p tcp --dport 137:139 -j LOG --log-prefix > >>>>>> > >>>>>> > >>>>>> > >>>>>> > >>>>>"FIREWALL: > >>>>> > >>>>> > >>>>> > >>>>> > >>>>>>samba " > >>>>>>iptables -A INPUT -p udp --dport 137:139 -j LOG --log-prefix > >>>>>> > >>>>>> > >>>>>> > >>>>>> > >>>>>"FIREWALL: > >>>>> > >>>>> > >>>>> > >>>>> > >>>>>>samba " > >>>>>> > >>>>>> > >>>>>> > >>>>>> > >>>>>> > >>>>>ARRRRRRRGHHHHHH vc esta colocando FTP, samba DNS , SMTP no > >>>>>firewall????, > >>>>>meu amigo, desista, vc terá uma dor de cabeça imensa.... coloque estes > >>>>>serviços em uma outra máquina e deixe no firewall ssh, squid e > >>>>>iptables, > >>>>>ou se vcs for bom em segurança e iptables ai que sabe vc pdoeria > >>>>>colocar os serviços acima.....80) > >>>>> > >>>>> > >>>>> > >>>>> > >>>>Tenho a impressão que as regras acima são DROP estão listadas aí apenas > >>>>para efeito de log. > >>>> > >>>> > >>>> > >>>> > >>>OPPPs, sim desculpe, mas quando ví a política de FORWARD em ACCEPT, eu > >>>já jogaria fora o script. > >>> > >>>Já que a sua politica de INPUT está em DROP, vc logaria as tentativas de > >>>acesso do seu firewall no syslog. > >>> > >>>Mas, como o seu FORWARD está em ACCEPT aí começam os seus problemas. > >>>Conserto > >>>iptables -A FORWARD -i $LAN -o $WAN -j ACCEPT > >>>( tudo que entrar pela sua placa de rede da rede interna e sair pela wan > >>>vc aceita...) MESMO ASSIM , para se ter um firewall seguro e proteger > >>>não apenas a sua rede, mas tambem o mundo ( afinal , vcv pode ter um > >>>hacker na sua rede interna e depois a bomba estoura na sua mão, vc > >>>coloca as regras de FORWARD em DROP e permite APENAS o que vc > >>>deseja....) > >>> > >>>Mas uma das questões que sempre menciono é que não basta somente um > >>>firewall para proteção. > >>> > >>>Porque vc me perguntaria? > >>>porque um firewall se assemalha a um leão de chacara de boate. > >>> > >>>Se vc tem convite vc entra ( explo porta 22) > >>> > >>>agora se vc esta com o convite e entra armado com uma bazuca e > >>>metraladoras o firewall deixa vc passar da mesma maneira ( já que vc tem > >>>convite ( porta 22) > >>> > >>> > >>>portanto , se vc quizer usar o script anterior não o use do jeito que > >>>está... > >>> > >>> > > -- Paulo Ricardo Bruck - consultor Contato Global Solutions tel 011 5031-4932 fone/fax 011 5034-1732 cel 011 9235-4327
Attachment:
signature.asc
Description: Esta =?ISO-8859-1?Q?=E9?= uma parte de mensagem assinada digitalmente