Re: Dúvidas sobre Roteador com Iptables

To: Forum Debian <debian-user-portuguese@lists.debian.org>
Subject: Re: Dúvidas sobre Roteador com Iptables
From: Paulo Ricardo Bruck <pauloric@contatogs.com.br>
Date: Thu, 26 Apr 2012 13:06:53 -0300 (BRT)
Message-id: <[🔎] 478823636.1581.1335456412734.JavaMail.root@mercurio.contatogs.com.br>
In-reply-to: <[🔎] CANApBefQHRHxROdHTNp2QGP3ByVU_GoRse94zhc0VYYdExzhFg@mail.gmail.com>


----- Mensagem original -----
> De: "Moksha Tux" <govatux@gmail.com>
> Para: "Paulo Ricardo Bruck" <pauloric@contatogs.com.br>
> Cc: "Forum Debian" <debian-user-portuguese@lists.debian.org>
> Enviadas: Quinta-feira, 26 de Abril de 2012 9:32:00
> Assunto: Re: Dúvidas sobre Roteador com Iptables
> Muito obrigado Paulo Ricardo pela sua resposta, então o que me parece
> é que não estou tão errado assim no meu raciocínio? 

não vc esta correto

> Pela lógica
> devemos realmente implementar as políticas em cada chain? 



> sim e setar as policitas de cada chain tambem  


> Obrigado
> pela indicação de leitura, vou iniciar hoje mesmo. Abraços,
> 

[]s

> Moksha
> 
> 
> Em 26 de abril de 2012 07:37, Paulo Ricardo Bruck <
> pauloric@contatogs.com.br > escreveu:
> 
> 
> bom dia 80)
> 
> ----- Mensagem original -----
> > De: "Moksha Tux" < govatux@gmail.com >
> > Para: "Forum Debian" < debian-user-portuguese@lists.debian.org >
> > Enviadas: Quarta-feira, 25 de Abril de 2012 22:56:02
> > Assunto: Dúvidas sobre Roteador com Iptables
> 
> 
> > Boa noite queridos amigos!
> >
> > Estou construindo um roteador com iptables para o trabalho mas antes
> > estou colhendo bastante informações pois não considero esta
> > ferramenta
> > fácil mas já estou tendo algum exito a miha dúvida é a seguinte...
> > por
> > ser um roteador devo prestar atenção nas regras INPUT que no caso
> > seria relacionado ao próprio host (sistema) e FORWARD que trataria
> > dos
> > pacotes vão "atravessar" este host, sendo assim, as regras de
> > proteção
> > eu devo implementá-las tanto em INPUT quanto em FARWARD ex:
> >
> > #======================
> > # REGRAS PARA PROTEÇÃO
> > #======================
> > ## INPUT
> >
> > # CONTRA PING DA MORTE
> > iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit
> > 1/s -j ACCEPT
> >
> > # ACEITANDO CONEXÕES
> > iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
> >
> >
> > # CONTRA PORTCAN OCULTO
> > iptables -A INPUT -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit
> > --limit 1/s -j ACCEPT
> > iptables -A INPUT -p tcp --tcp-flags ALL SYN,ACK -j DROP
> >
> > # ACEITANDO CONEXÕES
> > iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
> >
> > ************************************************************************************************
> > ## FORWARD
> >
> > # CONTRA PING DA MORTE
> > iptables -A FORWARD -p icmp --icmp-type echo-request -m limit
> > --limit
> > 1/s -j ACCEPT
> >
> > # ACEITANDO CONEXÕES
> > iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
> >
> > # CONTRA PORTCAN OCULTO
> > iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit
> > --limit 1/s -j ACCEPT
> > iptables -A FORWARD -p tcp --tcp-flags ALL SYN,ACK -j DROP
> >
> >
> > # ACEITANDO CONEXÕES
> > iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
> >
> > #====================== ========
> > # FIM DAS REGRAS PARA PROTEÇÃO
> > #==============================
> >
> >
> > Estaria eu tendo uma dúvida relevante ou simplesmente viajando
> > literalmente na maionese pergunto isto pois concluí que existe a
> > proteção tanto para o host quanto para a rede. Agradeço desde já que
> > puder me orientar a respeito. Grande abraço,
> 
> 
> 
> em se tratando de segurança vc tem que prestar atençao não só as
> regras de INPUT/OUTPUT como tambem nas regras de FORWARD.
> 
> Como vc mesmo disse as regras de INPUT/OUTPUT tem a ver com o
> roteador/firewall, ou seja ele contra o mundo. Imagine por um instante
> que vc descuide destas regras e um atacante acesse o seu
> roteador/firewall. De nada adianta ter as melhores regras de FORWARD
> do mundo, pois o atacante terá o dominio do seu firewaçll/roteador e
> poderá mudar todas as regras que ele quizer.....
> 
> POr outro lado tambem de nada adianta ter um firewall/roteador que só
> consegue se proteger do mundo se vc deixars a rede de sua empresa
> aberta nas regras de FORWARD.
> 
> Se vc quer mesmo construir um bom roteador/firewall para sua empresa
> tem uma leitura que vc DEVE ler OBRIGATORIAMENTE.
> 
> Neste ponto é a melhor documentação de firewall que eu já lí e figura
> no 1 lugar na lista do netfilter:
> 
> http://www.frozentux.net/documents/iptables-tutorial/
> 
> creio que depois de ler a doc acima ficara tudo mais claro para vc.
> 
> boa leitura e depois poste suas duvidas aqui...80)
> 
> []s
> 
> 
> > Moksha
> 
> --
> Paulo Ricardo Bruck
> Consultor Linux
> cel 011 9235-4327 tel 011 3596-4881/4882
> http://www.contatogs.com.br
> skype: suportecontatogs
> 
> 
> --
> To UNSUBSCRIBE, email to
> debian-user-portuguese-REQUEST@lists.debian.org
> with a subject of "unsubscribe". Trouble? Contact
> listmaster@lists.debian.org
> Archive:
> [🔎] 1508555165.1550.1335436651358.JavaMail.root@mercurio.contatogs.com.br">http://lists.debian.org/[🔎] 1508555165.1550.1335436651358.JavaMail.root@mercurio.contatogs.com.br

-- 
Paulo Ricardo Bruck
Consultor Linux
cel 011 9235-4327 tel 011 3596-4881/4882
http://www.contatogs.com.br
skype: suportecontatogs

Reply to:

References:
- Re: Dúvidas sobre Roteador com Iptables
  - From: Moksha Tux <govatux@gmail.com>

Prev by Date: Re: Dúvidas sobre Roteador com Iptables
Next by Date: Re: Dúvidas sobre Roteador com Iptables
Previous by thread: Re: Dúvidas sobre Roteador com Iptables
Next by thread: Re: Dúvidas sobre Roteador com Iptables
Index(es):
- Date
- Thread