- local host nao navega
+ Responder ao Tópico
-
local host nao navega
Boa tarde,
Qdo. levanto o iptables nao consigo navegar pelo servidor onde está o firewall, porquê?
Seguem as regras:
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
iptables -A INPUT -p tcp -s 192.168.80.0/16 --dport 80 -j ACCEPT
Desde já agradeço a atenção,
[]s.
-
Danilo_Montagna
Visitante
local host nao navega
coloque uma regar de INPUT para todas as interfaces do firewall
pois provavelmente para navegar pelo firewall vc nao usa a interface interna..
-
local host nao navega
Eh.. eu jah vi esses problemas hehe... bom digamos que voce tem que deixar o loopback das interfaces livres. tipo seu firewall tem 3 ifaces, entao o "trafego" entre elas (internamente) tem que ser liberado <IMG SRC="images/forum/icons/icon_smile.gif"> algo enjuado, porem se nao for feito , poof , break things <IMG SRC="images/forum/icons/icon_smile.gif">
a maioria dos "fw" makers faz isso <IMG SRC="images/forum/icons/icon_smile.gif"> o q eu normalmente faco e usar um desses, criar uma regra inicial e depois fazer modificacoes que eu acho q sao necessarias
-
local host nao navega
pra mim isso ae eh pq está com INPUT DROP!!!! todas as requisicoes que vc faz precisam dar um retorno pro servidor, entaum como está DROP ele num responde!!!!!!!!
coloca ae
iptables -A INPUT -p udp -s 0/0 --dport 1023: -j ACCEPT
iptables -A INPUT -p tcp -s 0/0 --dport 1023: ! --syn -j ACCEPT
mas essa segunda nem precisa... soh coloca ela se sua conexão ficar mto lenta
-
local host nao navega
Obrigado a todos, mas tentei pela resposta do Ice porque ficou mais clara p/ mim.
Ice,
Funcionou somente trocando o protocolo para tcp, ficando assim:
iptables -A INPUT -p tcp -s 0/0 --dport 1023: -j ACCEPT
Neste caso estou deixando todas portas abertas para a INPUT acima de 1023, certo?
Não fica uma brecha de segurança?
Desde já agradeço pela atenção,
[]s.
-
local host nao navega
claro que fica... pois qualquer porta acima de 1023 nao estara barrada no firewall
é nessas situações que vc usa o --SYN proibindo que a conexao se inicie pelo host de fora da rede.
iptables -A INPUT -p tcp -s 0/0 --dport 1023: ! --syn -j ACCEPT
mais eu ainda trabalho diferente com meus firewalls.. eu apenas uso uam regar assim nas chains de INPUT, OUTPUT e FORWARD
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
isso ja diz que para todas as conexoes estabelecidas ou realcionadas com outras conexoes.. sejam aceitas.. com isso vc nao percisa se preocupar em fornecer a regra de retorno dos pacotes..
-
Danilo_Montagna
Visitante
local host nao navega
o post acima é meu pessoal...
desculpe .. nao vi que nao estava logado..
[]´s
-
local host nao navega
eh verdade isso resolve, mas falar que fica furo de segurança eh exagero.... ateh pq os serviços mais comuns rodam abaixo de 1023...
-
local host nao navega
Danilo_Montagna,
Posso fazer assim então para liberar o acesso para navegação?
iptables -A INPUT -p tcp -s 192.168.80.0/16 --dport 3128 -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
abraço,
-
Danilo_Montagna
Visitante
local host nao navega
bom.. cada um pensa de uma forma.. mais para mim.. se eu for em um cliente e fazer um firewall e deixar praticamente umas 64500 portas abertas.. seria uma baita falta de profissionalismo... ainda mais.. que eu estava la para fazer a segurança do cara...e como tem várias Empresas qeu pagam outras.. para testar a segurança desses serviços.. com certeza eu iria perder o contrato e ainda teria meu filme queimado pela Empresa..
mesmo nao estando sendo usadas. e mesmo sendo portas consideradas nao-usadas.. nao tem pq deixa-las abertas se vc tem disponibilidade via software firewall (iptables) para poder fechalas... <IMG SRC="images/forum/icons/icon_wink.gif">
quanto maior a segurança.. menor o risco que se corre.. nenhum firewall é 100% seguro.. mais cabe a nós.. profissionais de segurança.. manter pelo menos perto disso...
[]´s
<TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-1>Quote:</font><HR></TD></TR><TR><TD><FONT SIZE=-1><BLOCKQUOTE>
On 2003-03-25 17:52, 1c3_m4n wrote:
eh verdade isso resolve, mas falar que fica furo de segurança eh exagero.... ateh pq os serviços mais comuns rodam abaixo de 1023...
</BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE>
============================
Danilo Montagna
Analista de Suporte / Consultor Técnico
Netowork Security Engineer
Microsoft Certified Professional
[email protected]
http://www.mcpdomain.com
============================
[ Esta mensagem foi editada por: Danilo_Montagna em 25-03-2003 19:51 ]
-
Danilo_Montagna
Visitante
local host nao navega
PcGuy,
essa regra deve ser inserida apenas um vez em cada chain.. ela vale para todas as regras.. ok..
<TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-1>Quote:</font><HR></TD></TR><TR><TD><FONT SIZE=-1><BLOCKQUOTE>
On 2003-03-25 18:13, PcGuy wrote:
Danilo_Montagna,
Posso fazer assim então para liberar o acesso para navegação?
iptables -A INPUT -p tcp -s 192.168.80.0/16 --dport 3128 -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
abraço,
</BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE>
-
local host nao navega
Problema resolvido e funcionando como desejado!!!
Obrigado a todos!
<IMG SRC="images/forum/icons/icon_wink.gif">
[]s.