Em Seg, 2005-05-09 às 12:20 -0300, Jeison Sanches escreveu: > Como eu devo bloquear tudo e liberar so o necessario indo e vindo da > internet ?:
Jeison, Firewall não é algo muito simples, principalmente porque mexe na área de segurança. Aconselho a vc antes de mais nada ver estes 2 sites: a) focalinux.cipsga.org.br/ em portugues ( não só somente firewall) b) http://iptables-tutorial.frozentux.net/iptables-tutorial.html ( em ingles) após a leitura dos tutorias creio que possamos ajudá-lo melhor. ats > > com o policiamento na tabela filter : > > #Table Filter > iptables -t filter -P INPUT DROP > iptables -t filter -P OUTPUT DROP > iptables -t filter -P FORWARD DROP > > ? > > mas depois eu libero embaixo e nao surte efeito. Voces poderia me dar um > exemplo ? > > > Obrigado pelas dicas.. > > > > > > Paulo Ricardo Bruck wrote: > > >Em Seg, 2005-05-09 às 09:29 -0300, Julio Cesar de Magalhaes escreveu: > > > > > >>Em Seg, 2005-05-09 às 09:17 -0300, Paulo Ricardo Bruck escreveu: > >> > >> > >>>># A tentativa de acesso externo a estes serviços serão registrados > >>>> > >>>> > >>>no syslog > >>> > >>> > >>>># do sistema e serão bloqueados pela última regra abaixo. > >>>>iptables -A INPUT -p tcp --dport 21 -j LOG --log-prefix "FIREWALL: > >>>> > >>>> > >>>ftp " > >>> > >>> > >>>>iptables -A INPUT -p tcp --dport 25 -j LOG --log-prefix "FIREWALL: > >>>> > >>>> > >>>smtp " > >>> > >>> > >>>>iptables -A INPUT -p udp --dport 53 -j LOG --log-prefix "FIREWALL: > >>>> > >>>> > >>>dns " > >>> > >>> > >>>>iptables -A INPUT -p tcp --dport 110 -j LOG --log-prefix "FIREWALL: > >>>> > >>>> > >>>pop3 " > >>> > >>> > >>>>iptables -A INPUT -p tcp --dport 113 -j LOG --log-prefix "FIREWALL: > >>>> > >>>> > >>>identd " > >>> > >>> > >>>>iptables -A INPUT -p udp --dport 111 -j LOG --log-prefix "FIREWALL: > >>>> > >>>> > >>>rpc" > >>> > >>> > >>>>iptables -A INPUT -p tcp --dport 111 -j LOG --log-prefix "FIREWALL: > >>>> > >>>> > >>>rpc" > >>> > >>> > >>>>iptables -A INPUT -p tcp --dport 137:139 -j LOG --log-prefix > >>>> > >>>> > >>>"FIREWALL: > >>> > >>> > >>>>samba " > >>>>iptables -A INPUT -p udp --dport 137:139 -j LOG --log-prefix > >>>> > >>>> > >>>"FIREWALL: > >>> > >>> > >>>>samba " > >>>> > >>>> > >>>> > >>>ARRRRRRRGHHHHHH vc esta colocando FTP, samba DNS , SMTP no > >>>firewall????, > >>>meu amigo, desista, vc terá uma dor de cabeça imensa.... coloque estes > >>>serviços em uma outra máquina e deixe no firewall ssh, squid e > >>>iptables, > >>>ou se vcs for bom em segurança e iptables ai que sabe vc pdoeria > >>>colocar os serviços acima.....80) > >>> > >>> > >>Tenho a impressão que as regras acima são DROP estão listadas aí apenas > >>para efeito de log. > >> > >> > > > > > >OPPPs, sim desculpe, mas quando ví a política de FORWARD em ACCEPT, eu > >já jogaria fora o script. > > > >Já que a sua politica de INPUT está em DROP, vc logaria as tentativas de > >acesso do seu firewall no syslog. > > > >Mas, como o seu FORWARD está em ACCEPT aí começam os seus problemas. > >Conserto > >iptables -A FORWARD -i $LAN -o $WAN -j ACCEPT > >( tudo que entrar pela sua placa de rede da rede interna e sair pela wan > >vc aceita...) MESMO ASSIM , para se ter um firewall seguro e proteger > >não apenas a sua rede, mas tambem o mundo ( afinal , vcv pode ter um > >hacker na sua rede interna e depois a bomba estoura na sua mão, vc > >coloca as regras de FORWARD em DROP e permite APENAS o que vc > >deseja....) > > > >Mas uma das questões que sempre menciono é que não basta somente um > >firewall para proteção. > > > >Porque vc me perguntaria? > >porque um firewall se assemalha a um leão de chacara de boate. > > > >Se vc tem convite vc entra ( explo porta 22) > > > >agora se vc esta com o convite e entra armado com uma bazuca e > >metraladoras o firewall deixa vc passar da mesma maneira ( já que vc tem > >convite ( porta 22) > > > > > >portanto , se vc quizer usar o script anterior não o use do jeito que > >está.... > > > >ats > > > > > > > >> > >> > > -- Paulo Ricardo Bruck - consultor Contato Global Solutions tel 011 5031-4932 fone/fax 011 5034-1732 cel 011 9235-4327
signature.asc
Description: Esta =?ISO-8859-1?Q?=E9?= uma parte de mensagem assinada digitalmente
