[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: nivel de segurança desse script iptables

Editei esse script e deixei assim :

LAN='10.1.x.x/28'

# Limpa Tudo

iptables -F

iptables -F INPUT

iptables -t nat -F

# Definicao do Policiamento

#Table Filter

iptables -t filter -P INPUT     DROP

iptables -t filter -P OUTPUT    DROP

iptables -t filter -P FORWARD   DROP

#Table nat

iptables -t nat -P PREROUTING   ACCEPT

iptables -t nat -P OUTPUT       DROP

iptables -t nat -P POSTROUTING  ACCEPT


# Conexoes estabelecidas e loopback

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -A INPUT -i lo -j ACCEPT


# Filtrando a rede interna


iptables -A FORWARD -d $LAN -i ppp0 -o eth1 -j ACCEPT

iptables -A FORWARD -s $LAN -i eth1 -o ppp0 -j ACCEPT

iptables -A FORWARD -j LOG --log-prefix "FIREWALL: FORWARD "

iptables -A FORWARD -j DROP


# Ip Masquerade


iptables -t nat -A POSTROUTING -s $LAN -j MASQUERADE

echo "1" > /proc/sys/net/ipv4/ip_forward
esse script barra tudo certo ? so ta permitindo o trafego de ppp0 pra eth1 e vice versa ok ? o resto ta barrado. certo ? mas mesmo assim to conseguindo conectar externamente via ssh ou qqer outra coisa. como posso fazer para barrar tudo na entrada liberar so porta http https smtp pop ? 


Valeu



Paulo Ricardo Bruck escreveu:


Em Seg, 2005-05-09 às 12:20 -0300, Jeison Sanches escreveu:
Como eu devo bloquear tudo e liberar so o necessario indo e vindo da internet ?:
Jeison, 
Firewall não é algo muito simples, principalmente porque mexe na área de
segurança.

Aconselho a vc antes de mais nada ver estes 2 sites:

a) focalinux.cipsga.org.br/  em portugues ( não só somente firewall)
b) http://iptables-tutorial.frozentux.net/iptables-tutorial.html ( em
ingles) 
após a leitura dos tutorias creio que possamos ajudá-lo melhor.


ats

com o policiamento na tabela filter :

#Table Filter
iptables -t filter -P INPUT     DROP
iptables -t filter -P OUTPUT    DROP
iptables -t filter -P FORWARD   DROP

?
mas depois eu libero embaixo e nao surte efeito. Voces poderia me dar um exemplo ? 


Obrigado pelas dicas..





Paulo Ricardo Bruck wrote:


Em Seg, 2005-05-09 às 09:29 -0300, Julio Cesar de Magalhaes escreveu:



Em Seg, 2005-05-09 às 09:17 -0300, Paulo Ricardo Bruck escreveu:

# A tentativa de acesso externo a estes serviços serão registrados

no syslog

# do sistema e serão bloqueados pela última regra abaixo.
iptables -A INPUT -p tcp --dport 21 -j LOG --log-prefix "FIREWALL:

ftp "

iptables -A INPUT -p tcp --dport 25 -j LOG --log-prefix "FIREWALL:

smtp "

iptables -A INPUT -p udp --dport 53 -j LOG --log-prefix "FIREWALL:

dns "

iptables -A INPUT -p tcp --dport 110 -j LOG --log-prefix "FIREWALL:

pop3 "

iptables -A INPUT -p tcp --dport 113 -j LOG --log-prefix "FIREWALL:

identd "

iptables -A INPUT -p udp --dport 111 -j LOG --log-prefix "FIREWALL:

rpc"

iptables -A INPUT -p tcp --dport 111 -j LOG --log-prefix "FIREWALL:

rpc"

iptables -A INPUT -p tcp --dport 137:139 -j LOG --log-prefix
"FIREWALL: 
samba "
iptables -A INPUT -p udp --dport 137:139 -j LOG --log-prefix
"FIREWALL: 
samba "


ARRRRRRRGHHHHHH vc esta colocando FTP, samba DNS , SMTP no
firewall????,
meu amigo, desista, vc terá uma dor de cabeça imensa.... coloque estes
serviços em uma outra máquina e deixe no firewall ssh, squid e
iptables,
ou se vcs for bom em segurança e iptables  ai que sabe vc pdoeria
colocar os serviços acima.....80)

Tenho a impressão que as regras acima são DROP estão listadas aí apenas
para efeito de log.

OPPPs, sim desculpe, mas quando ví a política de FORWARD em ACCEPT, eu
já jogaria fora o script. 
Já que a sua politica de INPUT está em DROP, vc logaria as tentativas de
acesso do seu firewall no syslog.

Mas, como o seu FORWARD está em ACCEPT aí começam os seus problemas.
Conserto
iptables -A FORWARD -i $LAN -o $WAN -j ACCEPT
( tudo que entrar pela sua placa de rede da rede interna e sair pela wan
vc aceita...) MESMO ASSIM , para se ter um firewall seguro e proteger
não apenas a sua rede, mas tambem o mundo ( afinal , vcv pode ter um
hacker na sua rede interna e depois a bomba estoura na sua mão, vc
coloca as regras de FORWARD em DROP e permite APENAS o que vc
deseja....)

Mas uma das questões que sempre menciono é que não basta somente um
firewall para proteção. 
Porque vc me perguntaria?
porque um firewall se assemalha a um leão de chacara de boate.

Se vc tem convite vc entra ( explo porta 22)

agora se vc esta com o convite e entra armado com uma bazuca e
metraladoras o firewall deixa vc passar da mesma maneira ( já que vc tem
convite ( porta 22)


portanto , se vc quizer usar o script anterior não o use do jeito que
está...
Reply to: