bom dia 80) ----- Mensagem original ----- > De: "Moksha Tux" <[email protected]> > Para: "Forum Debian" <[email protected]> > Enviadas: Quarta-feira, 25 de Abril de 2012 22:56:02 > Assunto: Dúvidas sobre Roteador com Iptables > Boa noite queridos amigos! > > Estou construindo um roteador com iptables para o trabalho mas antes > estou colhendo bastante informações pois não considero esta ferramenta > fácil mas já estou tendo algum exito a miha dúvida é a seguinte... por > ser um roteador devo prestar atenção nas regras INPUT que no caso > seria relacionado ao próprio host (sistema) e FORWARD que trataria dos > pacotes vão "atravessar" este host, sendo assim, as regras de proteção > eu devo implementá-las tanto em INPUT quanto em FARWARD ex: > > #====================== > # REGRAS PARA PROTEÇÃO > #====================== > ## INPUT > > # CONTRA PING DA MORTE > iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit > 1/s -j ACCEPT > > # ACEITANDO CONEXÕES > iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT > > > # CONTRA PORTCAN OCULTO > iptables -A INPUT -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit > --limit 1/s -j ACCEPT > iptables -A INPUT -p tcp --tcp-flags ALL SYN,ACK -j DROP > > # ACEITANDO CONEXÕES > iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT > > ************************************************************************************************ > ## FORWARD > > # CONTRA PING DA MORTE > iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit > 1/s -j ACCEPT > > # ACEITANDO CONEXÕES > iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT > > # CONTRA PORTCAN OCULTO > iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit > --limit 1/s -j ACCEPT > iptables -A FORWARD -p tcp --tcp-flags ALL SYN,ACK -j DROP > > > # ACEITANDO CONEXÕES > iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT > > #====================== ======== > # FIM DAS REGRAS PARA PROTEÇÃO > #============================== > > > Estaria eu tendo uma dúvida relevante ou simplesmente viajando > literalmente na maionese pergunto isto pois concluí que existe a > proteção tanto para o host quanto para a rede. Agradeço desde já que > puder me orientar a respeito. Grande abraço,
em se tratando de segurança vc tem que prestar atençao não só as regras de INPUT/OUTPUT como tambem nas regras de FORWARD. Como vc mesmo disse as regras de INPUT/OUTPUT tem a ver com o roteador/firewall, ou seja ele contra o mundo. Imagine por um instante que vc descuide destas regras e um atacante acesse o seu roteador/firewall. De nada adianta ter as melhores regras de FORWARD do mundo, pois o atacante terá o dominio do seu firewaçll/roteador e poderá mudar todas as regras que ele quizer..... POr outro lado tambem de nada adianta ter um firewall/roteador que só consegue se proteger do mundo se vc deixars a rede de sua empresa aberta nas regras de FORWARD. Se vc quer mesmo construir um bom roteador/firewall para sua empresa tem uma leitura que vc DEVE ler OBRIGATORIAMENTE. Neste ponto é a melhor documentação de firewall que eu já lí e figura no 1 lugar na lista do netfilter: http://www.frozentux.net/documents/iptables-tutorial/ creio que depois de ler a doc acima ficara tudo mais claro para vc. boa leitura e depois poste suas duvidas aqui...80) []s > Moksha -- Paulo Ricardo Bruck Consultor Linux cel 011 9235-4327 tel 011 3596-4881/4882 http://www.contatogs.com.br skype: suportecontatogs -- To UNSUBSCRIBE, email to [email protected] with a subject of "unsubscribe". Trouble? Contact [email protected] Archive: http://lists.debian.org/1508555165.1550.1335436651358.javamail.r...@mercurio.contatogs.com.br
