Comentários do Blog

  1. Avatar de Laedrus
    Fala amigo, esses dias me empolguei e criei o site no sourceforge, estou fazendo na mão por enquanto só para passar a mensagem e o código também.

    Esqueci de dizer antes, o código é em Perl! =) minha linguagem favorita por enquanto

    Por enquanto tem uma foto lá do relatório, e já vou por em breve o código para que possam baixar e testar também.

    só não entendi a interface remota?? você pode até mandar a saída para um arquivo e disponibilizar via web, mas eu não faria isso, sendo que a idéia é que o admin tenha um controle maior de quem está usando o server.

    Até a noite o código já está lá, o mais atualizado.
    Atualizado 12-03-2009 em 00:29 por Laedrus
  2. Avatar de info24hs
    Opa, assisti e enviei a seguinte pergunta: Monitorar conversar do msn é crime?

    Não consegui ver se foi respondida, a conexão caiu na hora e ao voltar tenho a impressão que estava sendo respondida...
  3. Avatar de matheus_linux
    Se tiver o link da entrevista posta aqui porfavor... pois estou no trabalho e não dá para assistir.
  4. Avatar de PEdroArthurJEdi
    Citação Postado originalmente por Dedao
    Ola Pedro.
    Antes de tudo, queria te parabenizar pelo excelente material sobre iptables.....Bom, li as 4 partes da apostila de iptables que você criou, mas fiquei ainda com algumas dúvidas. Se você puder me responder, me ajudaria bastante. Segue elas abaixo:
    Obrigado...

    Citação Postado originalmente por Dedao
    1 - Você poderia me explicar melhor para que server a tabela raw do iptables ? Poderia dar algum exemplo prático ?
    A tabela raw tem a capacidade de manipular o filtro de estados do iptables. Um exemplo prático. Digamos que você tenha uma faixa de endereços IPs aos quais você não deseja prover serviço, nem muito menos alocar recursos para manter o estado dessas conexões. Assuma também uma política restritiva. Você poderia fazer:
    iptables -t raw -A PREROUTING -s 192.168.0.10-20 -j NOTRACK
    iptables -A INPUT -p tcp --dport 80 --syn -m state --state NEW -j ACCEPT
    Citação Postado originalmente por Dedao
    2 - A opção -Z zera os contadores de bytes. Mas qual a utilidade de eu fazer isso ? Em que isso vai afetar meu firewall ?
    Uma utilidade seria no momento de depuração das regras. Digamos que você esteja com um problema em suas regras e necessita avaliá-lo. Você pode zerar os contadores e a partir daí gerar tráfego e ver o comportamento das regras.

    Além, caso você esteja com um conjunto de regras em fase de testes e esteja avaliando-as em um servidor em produção. Quando estiver satisfeito com seu conjunto de regras, você pode zerar os contadores e ter as estatísticas a partir do momento da produção em si (quando o conjunto de regras sair da fase de testes e passar para uma fase estável).

    Até onde eu sei, não afeta em nada. Somente zera os contadores.

    Citação Postado originalmente por Dedao
    3 - Fiquei com dúvida em relação a criar regras sem um target. Ok, se eu fizer uma regra sem target, essa regra ira trabalhar como um contador. Mas quando vou precisar fazer isso ? Pode dar algum exemplo prático ?
    Isso é um caso bem específico. Por exemplo, caso se queira avaliar quantas conexões TCP para a porta 80 estão vindo pela rede interna e quantos da Internet para a criação de uma política de QoS. Estátistica!

    Citação Postado originalmente por Dedao
    4 - Poderia me explicar por que não devo utilizar a regra iptables -A INPUT -p tcp --syn -m limit --limit 5/s --limit-burst 3 -j DROP para evitar flooding ?
    Qual regra você acha mais adequada para evitar ataques floods ?
    Antes, obrigado! Encontrei um erro... teria que haver um ! antes --limit. Já corrigi lá no texto, obrigado novamente! Segue a explicação para a seguinte regra:
    iptables -A INPUT -p tcp --syn -m limit ! --limit 5/s --limit-burst 3 -j DROP
    Isso é um suicídio... Ou um pedido de demissão

    Entendamos a regra. Ela diz que: ``Assista todo o tráfego TCP com a flag syn presente. Após o terceiro pacote, se a taixa não estiver limitada a 5 pacotes por segundo, derrube o pacote''. Digamos que alguém realmente esteja tentando realizar uma inundação de pacotes syn na sua máquina. Caso existam tentativas de conexões paralelas e legítimas, os host requisitantes também serão derrubados. Se o indivíduo malicioso manter o ritmo de pacotes, está instalado um DoS na sua rede.

    Não conheço nenhuma... Recomento utilizar os syn cookies.

    Citação Postado originalmente por Dedao
    5 - Vamos supor que eu tenha um sistema que utilize muito protocolo udp (ex: voip). Eu poderia ter as regras abaixo no firewall funcionando em perfeita harmonia ?
    iptables -A INPUT -m state --state RELATED,ESTABLISHED -p tcp -j ACCEPT
    iptables -A INPUT -m state --state RELATED,ESTABLISHED -p udp -j ACCEPT
    Com certeza...

    Citação Postado originalmente por Dedao
    6 - Eu tendo um sistema voip, eu utilizando a regra iptables -A INPUT -m state --state RELATED,ESTABLISHED -p udp -j ACCEPT ajudaria a ter menos perda de pacote ?
    Vai depender muito da quantidade de regras de seu conjunto e da natureza da perda dos pacotes. Caso o conjunto de regas seja muito extenso, ter essa regra vai poupar tempo computacional pois irá evitar que outras regras sejam avaliadas (veja a resposta 9).

    Citação Postado originalmente por Dedao
    7 - Quando é vantagem utilizar o SNAT ao invés do DNAT, pois ao meu ver, sempre é mais pratico utilizar uma regra parecida com essa:
    iptables -t nat -s 200.200.200.200 -p tcp -m tcp --dport 21 -j DNAT --to-destination 192.168.20.1
    Não entendi a pergunta.

    Não lembro de ter comparado os dois. Mas se o tiver feito, me diga onde está pois deve ser outro erro.

    Sua regra está sem chain, mas pelo contexto, tem que ser a PREROUTING. E por que o "-m tcp"?

    Citação Postado originalmente por Dedao
    8 - Você acha importante deixar a chain output da tabela filter como DROP ? Eu normalmente deixo apenas o INPUT e o FORWARD como ACCEPT e não tenho muitos problemas.
    Como assim? Se deve-se usar uma política restritiva nas chains da tabela filter?

    Citação Postado originalmente por Dedao
    9 - Faz diferença em utilizar a regra iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT no final ou no início do firewall ? Onde seria melhor deixá-la ?
    Faz muita. Na minha opnião, a principal vantagem do módulo state é poupar processamente.

    Assuma que as regras que liberam o tráfego são do seguinte estilo:
    iptables -A INPUT -p tcp --dport $PORTA -m state --state NEW -j ACCEPT
    Assuma também que a ultima regra seja
    iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
    Ao chegar um pacotes SYN, ele será avaliado, até que seja aceito. Ou seja, atravessará as regras até que chegue em uma que aceite o pacote. Os próximos pacotes, irão atravessar o mesmo conjunto de regras, não casarão com nenhuma (pois seus estados já não são NEW) e irão casar ao chegar na ultima regra. Portanto, serão avaliadas N-1 regras até que o pacote seja aceito.

    Caso a situação se inverta, tenhamos
    iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
    iptables -A INPUT -p tcp --dport $PORTA -m state --state NEW -j ACCEPT
    Somente o primeiro pacote terá que passar por todas as regras, todo os outros casarão de imediato com a primeira, poupando N-1 avaliação. Ou seja, realizando somente 1.

    Espero que meu ponto de vista tenha ficado claro.

    Citação Postado originalmente por Dedao
    10 - Sempre que eu faço um firewall, eu utilizo as sempre as seguintes regras:
    iptables -P INPUT -j DROP
    iptables -P FORWARD -j DROP
    iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
    iptables -A INPUT -s ! 127.0.0.0 -p tcp -j LOG --log-prefix "firewall.log"

    Depois dessas regras, eu crio o firewall, de acordo com o ambiente. Você acha que há necessidade de ter mais alguma regra ?
    Só a ultima regra que pode levá-lo a um DoS.

    Em se tratando de um filto restritivo, eu faço da seguinte forma:
    iptables -P INPUT DROP
    iptables- P OUTPUT DROP
    iptables -P FORWARD DROP

    iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
    iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
    iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

    iptables -A INPUT -i lo -j ACCEPT
    iptables -A OUTPUT -o lo -j ACCEPT
    A partir desse ponto, vou apenas anexando regras ao final (sempre usando -A).
  5. Avatar de sergio
    pow Magnum?!!!! estou querendo fazer um download para montar uma cartilha e vender no ML e você não disponibiliza uma versão para download... terei que ficar editando tudo aqui... mas que coisa.

    :P :P
  6. Avatar de Dedao
    Ola Pedro.
    Antes de tudo, queria te parabenizar pelo excelente material sobre iptables.....Bom, li as 4 partes da apostila de iptables que você criou, mas fiquei ainda com algumas dúvidas. Se você puder me responder, me ajudaria bastante. Segue elas abaixo:

    1 - Você poderia me explicar melhor para que server a tabela raw do iptables ? Poderia dar algum exemplo prático ?

    2 - A opção -Z zera os contadores de bytes. Mas qual a utilidade de eu fazer isso ? Em que isso vai afetar meu firewall ?

    3 - Fiquei com dúvida em relação a criar regras sem um target. Ok, se eu fizer uma regra sem target, essa regra ira trabalhar como um contador. Mas quando vou precisar fazer isso ? Pode dar algum exemplo prático ?

    4 - Poderia me explicar por que não devo utilizar a regra iptables -A INPUT -p tcp --syn -m limit --limit 5/s --limit-burst 3 -j DROP para evitar flooding ?
    Qual regra você acha mais adequada para evitar ataques floods ?

    5 - Vamos supor que eu tenha um sistema que utilize muito protocolo udp (ex: voip). Eu poderia ter as regras abaixo no firewall funcionando em perfeita harmonia ?
    iptables -A INPUT -m state --state RELATED,ESTABLISHED -p tcp -j ACCEPT
    iptables -A INPUT -m state --state RELATED,ESTABLISHED -p udp -j ACCEPT

    6 - Eu tendo um sistema voip, eu utilizando a regra iptables -A INPUT -m state --state RELATED,ESTABLISHED -p udp -j ACCEPT ajudaria a ter menos perda de pacote ?


    7 - Quando é vantagem utilizar o SNAT ao invés do DNAT, pois ao meu ver, sempre é mais pratico utilizar uma regra parecida com essa:
    iptables -t nat -s 200.200.200.200 -p tcp -m tcp --dport 21 -j DNAT --to-destination 192.168.20.1

    8 - Você acha importante deixar a chain output da tabela filter como DROP ? Eu normalmente deixo apenas o INPUT e o FORWARD como ACCEPT e não tenho muitos problemas.

    9 - Faz diferença em utilizar a regra iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT no final ou no início do firewall ? Onde seria melhor deixá-la ?

    10 - Sempre que eu faço um firewall, eu utilizo as sempre as seguintes regras:
    iptables -P INPUT -j DROP
    iptables -P FORWARD -j DROP
    iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
    iptables -A INPUT -s ! 127.0.0.0 -p tcp -j LOG --log-prefix "firewall.log"

    Depois dessas regras, eu crio o firewall, de acordo com o ambiente. Você acha que há necessidade de ter mais alguma regra ?

    []'s,
    Renato
  7. Avatar de Magnun
    Olá pessoal! O curso está separado em posts aqui: Curso de Redes

    Infelizmente não fiz nenhuma versão pra download. Mas ele é livre pra vocês copiarem. Se forem reproduzir em algum site, utilizar e/ou repassar para alguém pelo menos cite a fonte e mantenha os créditos ok?!

    Talvez no final libere ele em PDF sobre a licença FDL...
  8. Avatar de Magnun
    Hum... Valeu pela dica! Já arrumei!
  9. Avatar de teccert
    Este curso é completo, prático e de fácil entendimento; tem como obter este curso completo por download? Como e quanto?

    Certo de vossa atenção, fico no aguardo de sua resposta.
  10. Avatar de MICROCHIPNET
    ola amigo do curso de rede.
    eu preciso saber onde começa o curso onde devo começasr a ler. pois nao consegui. desde de ja agradeço sua orientação.