Muito obrigado Paulo Ricardo pela sua resposta, então o que me parece é que não estou tão errado assim no meu raciocínio? Pela lógica devemos realmente implementar as políticas em cada chain? Obrigado pela indicação de leitura, vou iniciar hoje mesmo. Abraços,
Moksha Em 26 de abril de 2012 07:37, Paulo Ricardo Bruck <[email protected] > escreveu: > bom dia 80) > > ----- Mensagem original ----- > > De: "Moksha Tux" <[email protected]> > > Para: "Forum Debian" <[email protected]> > > Enviadas: Quarta-feira, 25 de Abril de 2012 22:56:02 > > Assunto: Dúvidas sobre Roteador com Iptables > > Boa noite queridos amigos! > > > > Estou construindo um roteador com iptables para o trabalho mas antes > > estou colhendo bastante informações pois não considero esta ferramenta > > fácil mas já estou tendo algum exito a miha dúvida é a seguinte... por > > ser um roteador devo prestar atenção nas regras INPUT que no caso > > seria relacionado ao próprio host (sistema) e FORWARD que trataria dos > > pacotes vão "atravessar" este host, sendo assim, as regras de proteção > > eu devo implementá-las tanto em INPUT quanto em FARWARD ex: > > > > #====================== > > # REGRAS PARA PROTEÇÃO > > #====================== > > ## INPUT > > > > # CONTRA PING DA MORTE > > iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit > > 1/s -j ACCEPT > > > > # ACEITANDO CONEXÕES > > iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT > > > > > > # CONTRA PORTCAN OCULTO > > iptables -A INPUT -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit > > --limit 1/s -j ACCEPT > > iptables -A INPUT -p tcp --tcp-flags ALL SYN,ACK -j DROP > > > > # ACEITANDO CONEXÕES > > iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT > > > > > ************************************************************************************************ > > ## FORWARD > > > > # CONTRA PING DA MORTE > > iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit > > 1/s -j ACCEPT > > > > # ACEITANDO CONEXÕES > > iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT > > > > # CONTRA PORTCAN OCULTO > > iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit > > --limit 1/s -j ACCEPT > > iptables -A FORWARD -p tcp --tcp-flags ALL SYN,ACK -j DROP > > > > > > # ACEITANDO CONEXÕES > > iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT > > > > #====================== ======== > > # FIM DAS REGRAS PARA PROTEÇÃO > > #============================== > > > > > > Estaria eu tendo uma dúvida relevante ou simplesmente viajando > > literalmente na maionese pergunto isto pois concluí que existe a > > proteção tanto para o host quanto para a rede. Agradeço desde já que > > puder me orientar a respeito. Grande abraço, > > > > em se tratando de segurança vc tem que prestar atençao não só as regras de > INPUT/OUTPUT como tambem nas regras de FORWARD. > > Como vc mesmo disse as regras de INPUT/OUTPUT tem a ver com o > roteador/firewall, ou seja ele contra o mundo. Imagine por um instante que > vc descuide destas regras e um atacante acesse o seu roteador/firewall. De > nada adianta ter as melhores regras de FORWARD do mundo, pois o atacante > terá o dominio do seu firewaçll/roteador e poderá mudar todas as regras que > ele quizer..... > > POr outro lado tambem de nada adianta ter um firewall/roteador que só > consegue se proteger do mundo se vc deixars a rede de sua empresa aberta > nas regras de FORWARD. > > Se vc quer mesmo construir um bom roteador/firewall para sua empresa tem > uma leitura que vc DEVE ler OBRIGATORIAMENTE. > > Neste ponto é a melhor documentação de firewall que eu já lí e figura no 1 > lugar na lista do netfilter: > > http://www.frozentux.net/documents/iptables-tutorial/ > > creio que depois de ler a doc acima ficara tudo mais claro para vc. > > boa leitura e depois poste suas duvidas aqui...80) > > []s > > > > Moksha > > -- > Paulo Ricardo Bruck > Consultor Linux > cel 011 9235-4327 tel 011 3596-4881/4882 > http://www.contatogs.com.br > skype: suportecontatogs > > > -- > To UNSUBSCRIBE, email to [email protected] > with a subject of "unsubscribe". Trouble? Contact > [email protected] > Archive: > http://lists.debian.org/1508555165.1550.1335436651358.javamail.r...@mercurio.contatogs.com.br > >
