----- Mensagem original ----- > De: "Moksha Tux" <[email protected]> > Para: "Paulo Ricardo Bruck" <[email protected]> > Cc: "Forum Debian" <[email protected]> > Enviadas: Quinta-feira, 26 de Abril de 2012 9:32:00 > Assunto: Re: Dúvidas sobre Roteador com Iptables > Muito obrigado Paulo Ricardo pela sua resposta, então o que me parece > é que não estou tão errado assim no meu raciocínio?
não vc esta correto > Pela lógica > devemos realmente implementar as políticas em cada chain? > sim e setar as policitas de cada chain tambem > Obrigado > pela indicação de leitura, vou iniciar hoje mesmo. Abraços, > []s > Moksha > > > Em 26 de abril de 2012 07:37, Paulo Ricardo Bruck < > [email protected] > escreveu: > > > bom dia 80) > > ----- Mensagem original ----- > > De: "Moksha Tux" < [email protected] > > > Para: "Forum Debian" < [email protected] > > > Enviadas: Quarta-feira, 25 de Abril de 2012 22:56:02 > > Assunto: Dúvidas sobre Roteador com Iptables > > > > Boa noite queridos amigos! > > > > Estou construindo um roteador com iptables para o trabalho mas antes > > estou colhendo bastante informações pois não considero esta > > ferramenta > > fácil mas já estou tendo algum exito a miha dúvida é a seguinte... > > por > > ser um roteador devo prestar atenção nas regras INPUT que no caso > > seria relacionado ao próprio host (sistema) e FORWARD que trataria > > dos > > pacotes vão "atravessar" este host, sendo assim, as regras de > > proteção > > eu devo implementá-las tanto em INPUT quanto em FARWARD ex: > > > > #====================== > > # REGRAS PARA PROTEÇÃO > > #====================== > > ## INPUT > > > > # CONTRA PING DA MORTE > > iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit > > 1/s -j ACCEPT > > > > # ACEITANDO CONEXÕES > > iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT > > > > > > # CONTRA PORTCAN OCULTO > > iptables -A INPUT -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit > > --limit 1/s -j ACCEPT > > iptables -A INPUT -p tcp --tcp-flags ALL SYN,ACK -j DROP > > > > # ACEITANDO CONEXÕES > > iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT > > > > ************************************************************************************************ > > ## FORWARD > > > > # CONTRA PING DA MORTE > > iptables -A FORWARD -p icmp --icmp-type echo-request -m limit > > --limit > > 1/s -j ACCEPT > > > > # ACEITANDO CONEXÕES > > iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT > > > > # CONTRA PORTCAN OCULTO > > iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit > > --limit 1/s -j ACCEPT > > iptables -A FORWARD -p tcp --tcp-flags ALL SYN,ACK -j DROP > > > > > > # ACEITANDO CONEXÕES > > iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT > > > > #====================== ======== > > # FIM DAS REGRAS PARA PROTEÇÃO > > #============================== > > > > > > Estaria eu tendo uma dúvida relevante ou simplesmente viajando > > literalmente na maionese pergunto isto pois concluí que existe a > > proteção tanto para o host quanto para a rede. Agradeço desde já que > > puder me orientar a respeito. Grande abraço, > > > > em se tratando de segurança vc tem que prestar atençao não só as > regras de INPUT/OUTPUT como tambem nas regras de FORWARD. > > Como vc mesmo disse as regras de INPUT/OUTPUT tem a ver com o > roteador/firewall, ou seja ele contra o mundo. Imagine por um instante > que vc descuide destas regras e um atacante acesse o seu > roteador/firewall. De nada adianta ter as melhores regras de FORWARD > do mundo, pois o atacante terá o dominio do seu firewaçll/roteador e > poderá mudar todas as regras que ele quizer..... > > POr outro lado tambem de nada adianta ter um firewall/roteador que só > consegue se proteger do mundo se vc deixars a rede de sua empresa > aberta nas regras de FORWARD. > > Se vc quer mesmo construir um bom roteador/firewall para sua empresa > tem uma leitura que vc DEVE ler OBRIGATORIAMENTE. > > Neste ponto é a melhor documentação de firewall que eu já lí e figura > no 1 lugar na lista do netfilter: > > http://www.frozentux.net/documents/iptables-tutorial/ > > creio que depois de ler a doc acima ficara tudo mais claro para vc. > > boa leitura e depois poste suas duvidas aqui...80) > > []s > > > > Moksha > > -- > Paulo Ricardo Bruck > Consultor Linux > cel 011 9235-4327 tel 011 3596-4881/4882 > http://www.contatogs.com.br > skype: suportecontatogs > > > -- > To UNSUBSCRIBE, email to > [email protected] > with a subject of "unsubscribe". Trouble? Contact > [email protected] > Archive: > http://lists.debian.org/1508555165.1550.1335436651358.javamail.r...@mercurio.contatogs.com.br -- Paulo Ricardo Bruck Consultor Linux cel 011 9235-4327 tel 011 3596-4881/4882 http://www.contatogs.com.br skype: suportecontatogs -- To UNSUBSCRIBE, email to [email protected] with a subject of "unsubscribe". Trouble? Contact [email protected] Archive: http://lists.debian.org/478823636.1581.1335456412734.javamail.r...@mercurio.contatogs.com.br
