Ol�
abaixo esta tudo o que implementei, fiz muitos testes e n�o consigo liberar
as portas 22,80, O tcp-wrappers esta me barrando, n�o sei como mudar isto,
pois a seguran�a do CL8.0 � nativa, se algu�m puder me ajudar agrade�o desde
ja
Adsl-canbrasnet ip-dinamico
+----+ +----+ +------+
|ppp0|---------------------->|eth1|------------------>|Client|
+----+ +----+ +------+
Firewall m�quina cliente (apple)
192.168.1.1 192.168.1.2
255.255.255.0 255.255.255.0
Linux Conectiva 8.0
/etc/hosts.deny -- Aqui come�am meus problesmas TCP-WRAPPERS
ALL:ALL barrando todos os deamons, todos IP's
/etc/hosts.allow
ALL:127.0.0.1 -- Aqui libero meus ip's, mais, mesmo assim n�o
ALL:192.168.1.1 consigo fazer nada, nem usar PING
ALL:192.168.1.2
/etc/sysctl.conf
Ativei repasse de pacotes e ---> Bloqueio geral ICMP
as prote��es existentes
Minhas regras s�o as seguintes. --> aqui come�a meu script!
# Mascaramento dos pacotes
iptables -t nat -P POSTROUTING DROP
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
# Bloqueia pacotes estranhos
iptables -N block
iptables -A block -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A block -m state --state NEW -i ! ppp0 -j ACCEPT
iptables -A block -j DROP
# Redireciona INPUT e FORWARD
iptables -A INPUT -j block
iptables -A FORWARD -j block
# Bloqueia pacotes fragmentados
iptables -A OUTPUT -f -d 192.168.1.0/24 -j DROP
# Bloqueia Syn-Flood
iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT
# Bloqueia (Nmap)
iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit
-j ACCEPT
# Liberando Servicos
iptables -A INPUT --in-interface lo --jump ACCEPT
iptables -A OUTPUT --out-interface lo --jump ACCEPT
# ICMP rede local ao loopback
iptables -A INPUT -s 192.168.1.0/24 -p icmp -j ACCEPT
iptables -A OUTPUT -o ppp0 -p icmp -m state --satate NEW,ESTABLISHED -j
ACCEPT
# Liberando SSH
iptables -A INPUT -s 192.168.1.0/24 -p tcp -dport 22 -j ACCEPT
iptables -A FORWARD -d 192.168.1.1 -p tcp -dport 22 -m state --satate
NEW,ESTABLISHED -j ACCEPT
# Liberando a passagem de todas as regras
iptables -A FORWARD -s 192.168.1.0/24 -j ACCEPT
# Retorna conexoes validas
iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
::Fernando Antonio Ribeiro Fortes
::Brazil - S�o Vicente - SP
::Postal Code - 11390-070
::Analyst Systems - since 1990
::Url: http://www.belinux.cjb.net
::email's: [EMAIL PROTECTED] ( Public Mail )
::[EMAIL PROTECTED] ( Privative Mail )
::Licq Uin - 161319750
::Macintosh Desktop - G3 233 Mhz Beige - YellowDog 2.0 | Mac Os 9.04
::Pentium III Intel Torre 1.0 Ghz - Conectiva Linux 7.0 Server Professional
(o- (o- (o- (o- (o-
//\ //\ //\ //\ //\
V_/_ V_/_ V_/_ V_/_ V_/_
GNU - Open Source - User #252429
� Think different � - use MacOs and Linux!!!
Assinantes em 25/07/2002: 2219
Mensagens recebidas desde 07/01/1999: 176464
Historico e [des]cadastramento: http://linux-br.conectiva.com.br
Assuntos administrativos e problemas com a lista:
mailto:[EMAIL PROTECTED]
