Re: Firewall IPTABLES

[Allison Vollmann <allisonvoll@yahoo.com.br>]

Em 4/2/2009 01:56, Fabiano Pires escreveu:
> On Tue, Feb 3, 2009 at 11:45 PM, Marcelo Laia <marcelolaia@gmail.com 
> <mailto:marcelolaia@gmail.com>> wrote:
>
>     Ola,
>
>     Estou configurando algumas regras IPTABLES, com base no farto material
>     que encontrei na internet, e estou com umas duvidas.
>
>     Eu peguei varios scripts e fui montando o meu.
>
>
> Use os scripts como base, mas APRENDA iptables. Saiba o que você está 
> fazendo ... Muita informação na internet está simplesmente errada ...
>
>     Agora, estou com uma duvida, pois o modelo que estou seguindo diz para
>     usar a seguinte regra:
>
>     #  verificar os serviços em execuçao com o comando nmap localhost e
>     # nmap -sU localhost e habilita-los conforme abaixo
>
>     iptables -A INPUT -p tcp -m multiport --dports
>     21,22,80,111,113,139,445 -j ACCEPT
>
>     iptables -A INPUT -p udp -m multiport --dports 111,137,138 -j ACCEPT
>
>     No meu caso, os comandos acima retornaram:
>
>     $ nmap localhost
>
>     Starting Nmap 4.62 ( http://nmap.org ) at 2009-02-03 23:15 BRST
>     Interesting ports on localhost (127.0.0.1):
>     Not shown: 1708 closed ports
>     PORT     STATE SERVICE
>     25/tcp   open  smtp
>     111/tcp  open  rpcbind
>     139/tcp  open  netbios-ssn
>     445/tcp  open  microsoft-ds
>     631/tcp  open  ipp
>     8118/tcp open  privoxy
>     9050/tcp open  tor-socks
>
>     $ sudo nmap -sU localhost
>
>     Starting Nmap 4.62 ( http://nmap.org ) at 2009-02-03 23:17 BRST
>     Interesting ports on localhost (127.0.0.1):
>     Not shown: 1481 closed ports
>     PORT     STATE         SERVICE
>     111/udp  open|filtered rpcbind
>     123/udp  open|filtered ntp
>     137/udp  open|filtered netbios-ns
>     138/udp  open|filtered netbios-dgm
>     631/udp  open|filtered unknown
>     858/udp  open|filtered unknown
>     5353/udp open|filtered zeroconf
>
>     Trata-se do meu laptop, portanto, muitos desses servicos eu nao tenho,
>     mas alguns sim, tenho.
>
>
> Se você executou o nmap no seu note e ele retornou isso, então vc tem 
> todos esses serviços no notebook (talvez não saiba de alguns, mas 
> estão todos lá ...)
>
>
>     Que eu saiba, eu utilizo o Tor com FoxyProxy (complemento do Firefox)
>     e, acredito, o smtp, pois eu configurei o exim para enviar emails pelo
>     gmail (smarthost).
>
>
> Quanto as portas, vamos lá:
> 111: portmap (vc utiliza NFS?)
> 123: NTP
> 137/138/139/445: samba
> 631: cups (sistema de impressão)
> 8118: privoxy
> 9050: tor
> 5353: zeroconf (configurações de rede)
>
> Desconheço o serviço da porta 858. Execute o comando
>
> fuser -vn udp 858
>
> para descobrir qual o programa associado a essa porta.
>
>
>
>     No final, o script tem essa regra:
>
>     iptables -A INPUT -p tcp --syn -j DROP
>
>     Em sendo assim, pergunto:
>
>     Terei que liberar todas aquelas portas la em cima?
>
>
> Depende da configuração do resto do script. Talvez tenha de liberar 
> nem que seja para localhost, ou algo vai quebrar ...
>
>
>     Muito obrigado
>
>
> De nada.
>
>
>     --
>     Marcelo Luiz de Laia
>     Jaboticabal - SP - Brazil
>
> --
> Fabiano Pires
> LPIC-2
> http://pragasdigitais.blogspot.com/
> Livrando você da escória da Internet!

Isso depende da sua politica de firewall, neste caso para a tabela 
filter, por padrão ele tem a política ACCEPT ou seja ele vai aceitar 
tudo o que você não bloqueia, se você usar a política DROP, ele vai 
bloquear tudo e deixar passar somente o que você especifica.

Para definir o policiamento basta utilizar o argumento P seguido da 
regra desejada, ie:

# iptables -t filter -P INPUT ACCEPT  [ ou DROP ]

Por padrão o policy é ACCEPT então você não precisa liberar as portas 
pois já estão liberadas. ( se você quer mais segurança use o 
policiamento DROP para rejeitar tudo e liberar somente o necessário, 
assim se tiver algum serviço malicioso na maquina ele terá mais 
obstáculos para causar um problema )

A[]'s