Re: Dúvidas sobre Roteador com Iptables
bom dia 80)
----- Mensagem original -----
> De: "Moksha Tux" <govatux@gmail.com>
> Para: "Forum Debian" <debian-user-portuguese@lists.debian.org>
> Enviadas: Quarta-feira, 25 de Abril de 2012 22:56:02
> Assunto: Dúvidas sobre Roteador com Iptables
> Boa noite queridos amigos!
>
> Estou construindo um roteador com iptables para o trabalho mas antes
> estou colhendo bastante informações pois não considero esta ferramenta
> fácil mas já estou tendo algum exito a miha dúvida é a seguinte... por
> ser um roteador devo prestar atenção nas regras INPUT que no caso
> seria relacionado ao próprio host (sistema) e FORWARD que trataria dos
> pacotes vão "atravessar" este host, sendo assim, as regras de proteção
> eu devo implementá-las tanto em INPUT quanto em FARWARD ex:
>
> #======================
> # REGRAS PARA PROTEÇÃO
> #======================
> ## INPUT
>
> # CONTRA PING DA MORTE
> iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit
> 1/s -j ACCEPT
>
> # ACEITANDO CONEXÕES
> iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
>
>
> # CONTRA PORTCAN OCULTO
> iptables -A INPUT -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit
> --limit 1/s -j ACCEPT
> iptables -A INPUT -p tcp --tcp-flags ALL SYN,ACK -j DROP
>
> # ACEITANDO CONEXÕES
> iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
>
> ************************************************************************************************
> ## FORWARD
>
> # CONTRA PING DA MORTE
> iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit
> 1/s -j ACCEPT
>
> # ACEITANDO CONEXÕES
> iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
>
> # CONTRA PORTCAN OCULTO
> iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit
> --limit 1/s -j ACCEPT
> iptables -A FORWARD -p tcp --tcp-flags ALL SYN,ACK -j DROP
>
>
> # ACEITANDO CONEXÕES
> iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
>
> #====================== ========
> # FIM DAS REGRAS PARA PROTEÇÃO
> #==============================
>
>
> Estaria eu tendo uma dúvida relevante ou simplesmente viajando
> literalmente na maionese pergunto isto pois concluí que existe a
> proteção tanto para o host quanto para a rede. Agradeço desde já que
> puder me orientar a respeito. Grande abraço,
em se tratando de segurança vc tem que prestar atençao não só as regras de INPUT/OUTPUT como tambem nas regras de FORWARD.
Como vc mesmo disse as regras de INPUT/OUTPUT tem a ver com o roteador/firewall, ou seja ele contra o mundo. Imagine por um instante que vc descuide destas regras e um atacante acesse o seu roteador/firewall. De nada adianta ter as melhores regras de FORWARD do mundo, pois o atacante terá o dominio do seu firewaçll/roteador e poderá mudar todas as regras que ele quizer.....
POr outro lado tambem de nada adianta ter um firewall/roteador que só consegue se proteger do mundo se vc deixars a rede de sua empresa aberta nas regras de FORWARD.
Se vc quer mesmo construir um bom roteador/firewall para sua empresa tem uma leitura que vc DEVE ler OBRIGATORIAMENTE.
Neste ponto é a melhor documentação de firewall que eu já lí e figura no 1 lugar na lista do netfilter:
http://www.frozentux.net/documents/iptables-tutorial/
creio que depois de ler a doc acima ficara tudo mais claro para vc.
boa leitura e depois poste suas duvidas aqui...80)
[]s
> Moksha
--
Paulo Ricardo Bruck
Consultor Linux
cel 011 9235-4327 tel 011 3596-4881/4882
http://www.contatogs.com.br
skype: suportecontatogs
Reply to: