Re: Ajuda com Firewall Iptables
Valeu Sinval,
Estou fazendo mais algumas alterações de acordo com os vocês todos me falaram
assim que o eu terminar e fazer teste com as novas regras eu posto
aqui para verificação.
mais uma vez obrigado,
--
Adauto Serpa
Tecnólogo em Informática
Jabber: adautoserpa@jabber.org
Email: adautoserpa@gmail.com
MSN: juniorlf@hotmail.com
2008/10/14 Sinval Júnior <sinvalju@gmail.com>:
> iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
> Esta regra irá aceitar conexões(INPUT) que possuem estado "--state" ,
> conexões já estabelecidas (ESTABLISHED) e relacionada(RELATED) que informa
> mensagens de erro etc... É importante pois imagine que alguém esteja
> conectado via FTP(baixando um arquivo de 3 GB e falte apenas 10%) e você
> resolve mudar alguma regra, ou algo do tipo.
>
> iptables -A OUTPUT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
> Esta regra irá aceitar conexões(OUTPUT) que possuem estado "--state"
> ,conexões já estabelecidas (ESTABLISHED) e relacionada(RELATED) que informa
> mensagens de erro etc... É importante pois imagine que alguém esteja
> conectado via FTP(baixando um arquivo de 3 GB e falte apenas 10%) e você
> resolve mudar alguma regra, ou algo do tipo e NEW(novas) irá aceitar novas
> coneçãos de saída já que o policiamento padrão definimos no e-mail anterior
> boqueia tudo.
>
>
>
> 2008/10/14 Adauto Serpa <adautoserpa@gmail.com>
>>
>> Sinval,
>>
>> Gostei da sua explicação. Realmente assim acredique fique bem seguro.
>> Sou iniciante com iptables e tenho duvida com relação a esses duas
>> regras:
>>
>> iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
>> iptables -A OUTPUT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
>>
>> Pra que servem ?
>>
>> desde já agradeço,
>>
>> --
>> Adauto Serpa
>> Tecnólogo em Informática
>> Jabber: adautoserpa@jabber.org
>> Email: adautoserpa@gmail.com
>> MSN: juniorlf@hotmail.com
>>
>> 2008/10/13 Sinval Júnior <sinvalju@gmail.com>:
>> > Audo você não especificou policiamento padrão sendo assim o Iptables
>> > aceitará tudo que não foi bloqueado. Firewall permissivo é mais difícil
>> > de
>> > administrar e agente sempre acaba deixando algo aberto.
>> >
>> > Veja como ficaria melhor.
>> >
>> > #Regras padrão
>> > iptables -P INPUT DROP
>> > iptables -P OUTPUT DROP
>> > iptables -P FORWARD DROP
>> > #Agora é libere apenas o necessário
>> > iptables -A INPUT -i lo -j ACCEPT
>> >
>> > iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
>> > iptables-A INPUT -p icmp --icmp-type echo-request -j ACCEPT
>> >
>> > iptables -A OUTPUT -o lo -j ACCEPT
>> > iptables -A OUTPUT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
>> >
>> > E assim por diante.
>> >
>> > 2008/10/13 Adauto Serpa <adautoserpa@gmail.com>
>> >>
>> >> Boa tarde Pessoal,
>> >>
>> >> Escrevi um script shell para Firewall com base na net
>> >> e ele está me atendendo bem para administração de
>> >> serviços internos, porém estou preocupado com a segurança dele externa.
>> >>
>> >> Gostaria de saber se meu Firewall oferece um bom nível de proteção ou
>> >> o que falta nele para a administração interna e externa de serviços.
>> >>
>> >> Segue em anexo minhas regras do iptables, obrigado.
>> >>
>> >>
>> >> --
>> >> Adauto Serpa
>> >> Tecnólogo em Informática
>> >> Jabber: adautoserpa@jabber.org
>> >> Email: adautoserpa@gmail.com
>> >> MSN: juniorlf@hotmail.com
>> >
>> >
>> >
>> > --
>> > +===============================+
>> > #!/usr/bin/env python
>> > print "Sinval Júnior"
>> > print "sinvalju@gmail.com"
>> > +===============================+
>> > +NÃO USE DROGAS!!! USE GNU/LINUX!!! +
>> > +===============================+
>> >
>> >
>>
>>
>> --
>> To UNSUBSCRIBE, email to debian-user-portuguese-REQUEST@lists.debian.org
>> with a subject of "unsubscribe". Trouble? Contact
>> listmaster@lists.debian.org
>>
>
>
>
> --
> +===============================+
> #!/usr/bin/env python
> print "Sinval Júnior"
> print "sinvalju@gmail.com"
> +===============================+
> +NÃO USE DROGAS!!! USE GNU/LINUX!!! +
> +===============================+
>
>
Reply to: