Ah é, e só mais uma coisa: use OpenBSD com PF para seu perímetro. ;-) Muuito melhor que iptables.
On 7/28/05, Pablo Sánchez <[EMAIL PROTECTED]> wrote: > Pode até ser uma lista de BSD, mas firewall é a mesma coisa sempre, > regras de abertura e regras de bloqueio. Ou seja: posso não saber o > comando exato, mas sei o que deve ser feito, hehehe. > > Henrique, o que vc precisa fazer antes de mais nada e determinar que > tipo de política você vai usar na sua rede: permissiva ou restritiva. > Na permissiva, vc libera tudo e bloqueia só o que não quer liberado. > Na restritiva, vc fecha tudo e libera só o que deve ser liberado. > > Obviamente, o ideal é a restritiva. Baseado nessa escolha você começa > a ver o que vai deixar que seus usuários acessem externamente: > http? Libera a porta 80 > https? Libera a porta 443 > SMTP externo? libera a porta 25 > POP externo? libera a 110 > E por aí vai. Depois de tudo isso definido, vc cria uma regra > bloqueando tudo. Porque firewall funciona assim: a princípio, tudo > está aberto, a menos que eu encontre uma regra fechando. Então, > colocando as regras nessa ordem, vc vai estar fazendo com que ele se > encaixe em uma dessas regras. Encontrando uma delas, o pacote é > liberado. Se não encontrar, ele vai até o final da lista de regras. Se > não há uma regra bloqueando tudo no final, seu firewall não vale nada. > > Ao definir a regra, vc deve também compreender o sentido no qual a > regra está controlando. Nessa lista aí de cima eu estaria colocando as > regras permitindo acesso de dentro para fora. Na regra de fora para > dentro, eu fecharia tudo. Seu firewall, nesse caso, tem que ser um > firewall de estados. Ou seja, ele tem que permitir que entrem os > pacotes de fora que foram requisitados a partir da rede interna, mas > não deve deixar mais nada entrar. > > Como não deve ter nada definido, tudo está liberado. As redes samba > utilizam a porta 139 e funcionam por Broadcasting. Quer dizer, a rede > samba está constantemente mandando pacotes para todas as máquinas da > rede (para informar várias coisas, como quais são as máquinas > disponíveis, os compartilhamenrtos públicos, impressoras, etc). Se não > tem nada bloqueado, como o pacote é broadcasting, ele vai até o > gateway de algum dos outros clientes desse seu provedor, que encaminha > para o gateway do provedor, que propaga para todos os outros clientes. > Como seu provedor é peba (ruim, bosta, porcaria), ele não se preocupou > em configurar o acesso para você, e deixou toda a segurança por conta > dos clientes. > > Então, das duas uma: compra um bom livro sobre segurança de redes e se > protege (aliás, faça isso sim ou sim, te aconselho a comprar o livro > "Desvendando Segurança de Redes") ou você troca de provedor. > > Obs: se vc esperava uma receita de bolo sobre como resolver o seu > problema, desculpe, mas eu só costumo mostrar o raciocínio, a pessoa > que encontre a sequencia de comandos, senão ela não aprende... > > Um abc! > > On 7/28/05, Ricardo Nascimento Ferreira <[EMAIL PROTECTED]> wrote: > > Henrique, > > procure uma lista de linux. Esta é uma lista exclusiva para > > assuntos relacionados à sistemas BSDs. > > O iptables faz parte de distribuições linux, assunto não abordado > > aqui. > > > > > > > > On 7/28/05, Henrique Vinicius Ramos e Silva <[EMAIL PROTECTED]> wrote: > > > Boa tarde. > > > > > > Estou com o seguinte problema. Temos um acesso a internet via rádio, onde > > > percebi recentemente que consigo visualizar novos domínios na minha rede. > > > Consigo inclusive ver máquinas desse domínio externo (obviamente eles tbém > > > devem ver máquinas nossa). > > > > > > Liguei para o provedor e eles me disseram que é um problemas deles na > > > frequencia. De qualquer forma eu tenho um firewall(iptables) por onde > > > entramos e saimos para a net. > > > > > > Alguém poderia me dar uma dica de uma linha do iptables, para que eu > > > bloqueie esse problema. Já fiz alguns testes mas ainda não tive sucesso ! > > > > > > Obrigado, Henrique. > > > > > > > > > > > > _______________________________________________ > > > Freebsd mailing list > > > Freebsd@fug.com.br > > > http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br > > > > > > > > > -- > > Ricardo Nascimento Ferreira > > Analista de Redes e Segurança > > Solaris Certified System Administrator > > Chave pública PGP / PGP public key: > > http://pgp.mit.edu:11371/pks/lookup?op=get&search=0x741F3B25 > > > > _______________________________________________ > > Freebsd mailing list > > Freebsd@fug.com.br > > http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br > > > _______________________________________________ Freebsd mailing list Freebsd@fug.com.br http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br
