[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Dúvidas sobre Roteador com Iptables



bom dia 80)

----- Mensagem original -----
> De: "Moksha Tux" <govatux@gmail.com>
> Para: "Forum Debian" <debian-user-portuguese@lists.debian.org>
> Enviadas: Quarta-feira, 25 de Abril de 2012 22:56:02
> Assunto: Dúvidas sobre Roteador com Iptables
> Boa noite queridos amigos!
> 
> Estou construindo um roteador com iptables para o trabalho mas antes
> estou colhendo bastante informações pois não considero esta ferramenta
> fácil mas já estou tendo algum exito a miha dúvida é a seguinte... por
> ser um roteador devo prestar atenção nas regras INPUT que no caso
> seria relacionado ao próprio host (sistema) e FORWARD que trataria dos
> pacotes vão "atravessar" este host, sendo assim, as regras de proteção
> eu devo implementá-las tanto em INPUT quanto em FARWARD ex:
> 
> #======================
> # REGRAS PARA PROTEÇÃO
> #======================
> ## INPUT
> 
> # CONTRA PING DA MORTE
> iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit
> 1/s -j ACCEPT
> 
> # ACEITANDO CONEXÕES
> iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
> 
> 
> # CONTRA PORTCAN OCULTO
> iptables -A INPUT -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit
> --limit 1/s -j ACCEPT
> iptables -A INPUT -p tcp --tcp-flags ALL SYN,ACK -j DROP
> 
> # ACEITANDO CONEXÕES
> iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
> 
> ************************************************************************************************
> ## FORWARD
> 
> # CONTRA PING DA MORTE
> iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit
> 1/s -j ACCEPT
> 
> # ACEITANDO CONEXÕES
> iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
> 
> # CONTRA PORTCAN OCULTO
> iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit
> --limit 1/s -j ACCEPT
> iptables -A FORWARD -p tcp --tcp-flags ALL SYN,ACK -j DROP
> 
> 
> # ACEITANDO CONEXÕES
> iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
> 
> #====================== ========
> # FIM DAS REGRAS PARA PROTEÇÃO
> #==============================
> 
> 
> Estaria eu tendo uma dúvida relevante ou simplesmente viajando
> literalmente na maionese pergunto isto pois concluí que existe a
> proteção tanto para o host quanto para a rede. Agradeço desde já que
> puder me orientar a respeito. Grande abraço,



em se tratando de segurança vc tem que prestar atençao não só as regras de INPUT/OUTPUT como tambem nas regras de FORWARD.

Como vc mesmo disse as regras de INPUT/OUTPUT tem a ver com o roteador/firewall, ou seja ele contra o mundo. Imagine por um instante que vc descuide destas regras e um atacante acesse o seu roteador/firewall. De nada adianta ter as melhores regras de FORWARD do mundo, pois o atacante terá o dominio do seu firewaçll/roteador e poderá mudar todas as regras que ele quizer.....

POr outro lado tambem de nada adianta ter um firewall/roteador que só consegue se proteger do mundo se vc deixars a rede de sua empresa aberta nas regras de FORWARD.

Se vc quer mesmo construir um bom roteador/firewall para sua empresa tem uma leitura que vc DEVE ler OBRIGATORIAMENTE.

Neste ponto é a melhor documentação de firewall que eu já lí e figura no 1 lugar na lista do netfilter:

http://www.frozentux.net/documents/iptables-tutorial/

creio que depois de ler a doc acima ficara tudo mais claro para vc.

boa leitura e depois poste suas duvidas aqui...80) 

[]s


> Moksha

-- 
Paulo Ricardo Bruck
Consultor Linux
cel 011 9235-4327 tel 011 3596-4881/4882
http://www.contatogs.com.br
skype: suportecontatogs


Reply to: