Natasha, me desculpe se pareci machista, não foi minha inteção, ao pedir para contratar um profissional na area, foi com intesão de precaver vc mesmo, pois firewall é algo muito personalizado, você ta tratando com segurança de uma rede ou um servidor, se algo ta errado nela, você pode comprometer toda sua rede, como eu disse, firewall é algo muito personalizado, diferente de outros serviços, não tem como pegar um script já pronto, pois concerteza ele irar ter falhas, alem de iptables tem que ter muita noção de tcp/ip. Não sei se você tem, se tiver já grande paço. o que você pode fazer, eh ler o guia foca linux, e fazer um firewall sozinha, e assim depois de forma-lo, posta-se o seu firewall no forum que eu mesmo teria prazer em tirar suas duvidas.Postado originalmente por natascha
boa sorte.
-
19-12-2005, 14:38 #21
- Ingresso
- Sep 2004
- Posts
- 833
Estou perdida!!!
-
19-12-2005, 14:45 #22
- Ingresso
- Nov 2002
- Posts
- 2.309
Estou perdida!!!
assim natasha! eskeça o "service iptables start"... aff esseas distros conectiva/redhat likes.... nem tudo é resolvido com "service lalala start/stop/status" ....... Postado originalmente por natascha
vc digitando o comando iptables que te passei se não retornar nenhuma menssagem de erro é que deu certo, vc incluiu uma regra....
poste aqui a saide do comando "ifconfig" para vermos como está sua rede...se suas interfaces estão ok....
-
19-12-2005, 14:55 #23
- Ingresso
- Nov 2002
- Posts
- 2.309
Estou perdida!!!
o que o Brenno disse está totalmente correto... estes passos básicos para compartilhamento de Internet não chegam nem perto do que um firewall realmente tem que desempenhar.... por isso somente com o tempo e estudos vc conseguira dominar o iptables....
mas os primeiros passos vc ja deu mas não é em um dia que você irá deixa-lo 100%... uhaeuhaehea o q eu penei ate aprender um pouquinhu do q sei...
outra coisa vc está montando o seu servidor proxy na mesma maquina do samba?
-
19-12-2005, 15:07 #24
- Ingresso
- Jun 2005
- Posts
- 280
Estou perdida!!!
Não. Eu tenho um servidor de arquivos com o samba.
Estou tentando configurar uma outra máquina para ser servidor firewall.
coloquei o comando echo "1" >/proc/sys/net/ipv4/ip_forward e não deu erro.
e coloquei o num dos dns no linuxconf...não sei se estou no caminho certo...
-
19-12-2005, 15:12 #25
- Ingresso
- Apr 2004
- Posts
- 260
Estou perdida!!!
Fala Junior, Postado originalmente por juniox
natasha, execute lsmod, veja se o iptables está carregado.
Jeff, compartilha esse script ai..
se puder me enviar: [email protected]
valeu
enviei no seu email.
blz
jeff
-
19-12-2005, 15:23 #26felcoVisitante Estou perdida!!!
Relaxa... se voce acha q o comentario do cara foi machista, naum leve em consideracao... Postado originalmente por natascha
Faz o seguinte...
Faz o login como root, depois que voce tiver shell:
# iptables -v
O iptables deu sinal de vida? Se nao deu:
# rpm -Ivh iptables
Se deu:
# iptables -F
# iptables -X
# iptables -F
# iptables -P INPUT ACCEPT
# iptables -P FORWARD ACCEPT
# iptables -P OUTPUT ACCEPT
Ate ai deve ter tudo funcionado... vamos criar alguma regras agora para habilitar essa maquina para atuar como gateway de uma rede:
# iptables -A INPUT -p tcp --dport 22 -j ACCEPT
# iptables -A INPUT -i lo -j ACCEPT
# iptables -P INPUT DROP
# iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT
# iptables -A FORWARD -i eth0 -o eth1 -j ACCEPT
# iptables -P FORWARD DROP
# iptables -t nat -A POSTROUTING -s <endereco_rede_local> -o eth0 -j MASQUERADE
Agora se ja nao estiver habilitado agente vai precisar habilitar no kernel o repasse de pacotes:
# echo "1" >/proc/sys/net/ipv4/ip_forward
Isso deve ser o suficiente para funcionar a Internet nas maquinas da rede, porem isso nao esta seguro...
Espero que essa solucao paliativa seja suficiente para voce ter algo funcionando, mas que voce estudo sobre isso e desenvolva melhor essas regras, alem disso posso te recomendar um projeto de firewall de um cara da comunidade Gentoo(gondim) que eh muito bom: tuxfrw
[]'s :*
-
19-12-2005, 15:29 #27wrochalVisitante Estou perdida!!!
Natascha,
É duro o machismo aqui no fórum domina, pelo erro que você informou provavel que você não tenha o iptables instalado:
rpm -qa iptables
Execute io comando e verifique se o mesmo informa algo?
Caso não basta instalar o iptables e executar:
rmmod ipchains
modprobe iptables
rpm -e ipchains
Qualquer dúvida maior envie e-mail para [email protected]
Sem mais,
Fácil ajudar alguém, basta ter vontade, cadê a comunidade????? (risos)
-
19-12-2005, 15:38 #28
- Ingresso
- Jun 2005
- Posts
- 280
Estou perdida!!!
O iptables está instalado. Já havia colocado esse comando.
Entrei em netconfig e coloquei os numeros lá..vou fazer o que o felco falou...e seguir o zago.eti
Por enquanto, obrigada pela ajuda
-
19-12-2005, 15:48 #29felcoVisitante Estou perdida!!!
Sacanagem esse seu comentario em wrochal voce ta ligado que a galera aqui ajuda sim! Postado originalmente por wrochal
-
19-12-2005, 16:04 #30Moderador
- Ingresso
- Aug 2002
- Localização
- SC
- Posts
- 1.160
Estou perdida!!!
Eu creio que o comentario do nosso amigo nao foi por puro machismo, e sim para poder ajudar. Postado originalmente por wrochal
É ter muita coragem pra pegar e fazer um firewall para uma rede, em cima de um conectiva, e alguem que nao entende de linux (como foi propriamente dito).
A comunidade está ajudando, só porque ainda nao obteve sucesso, nao significa que foi por má vontade.
(no flames!)
6)
-
19-12-2005, 16:12 #31
- Ingresso
- Jun 2005
- Posts
- 280
Estou perdida!!!
é não entendo linux. por isso estou aqui, para aprender.
-
19-12-2005, 16:39 #32Moderador
- Ingresso
- Aug 2002
- Localização
- SC
- Posts
- 1.160
Estou perdida!!!
Uma sugestao:
Em vez de usar esse conectiva 10, porque que voce nao instala um slackware ou debian?^
Seria mais facil para voce fazer esse serviço, e nao te encomodaria tanto.
Seria deixado somente o modo texto, sem daemon rodando, somente com ssh, e voce nao teria que se preocupar tanto com a atualizacao, segurança em geral.
Os conectivas tem muitos problemas...
Voce encontra material para o slack de torto a direito na internet, creio eu que seja a distribuicao linux que mais contém material na internet.
Saudações,
6)
-
19-12-2005, 17:15 #33
- Ingresso
- Jan 2003
- Localização
- Videira-SC
- Posts
- 1.387
Estou perdida!!!
Concordo com vc natascha na frase ai ... hehehe Postado originalmente por natascha
mas olha eu sempre uso este turorial quando estou conduvidas ... e sempre me saio bem ....
http://focalinux.cipsga.org.br/guia/...w-iptables.htm
Espero que seja util ..... não tenho muito tempo senão lhe ajudava com prazer .
ha mais uma coisa frases ofencivas sempre vão aparecer mas não de bola
Abraço ..
-
19-12-2005, 17:17 #34
- Ingresso
- Jan 2003
- Localização
- Videira-SC
- Posts
- 1.387
Estou perdida!!!
Discordo de vc .... aconselho ela a continuar com o Conectiva ... pois é o sistema que ela tem mais afinidade então como a solução que ela precisa é para logo ... é melhor mexer no que conheçe mais tarde sim pode-se migrar .... Postado originalmente por GrayFox
Uma sugestao:
Em vez de usar esse conectiva 10, porque que voce nao instala um slackware ou debian?^
Seria mais facil para voce fazer esse serviço, e nao te encomodaria tanto.
Seria deixado somente o modo texto, sem daemon rodando, somente com ssh, e voce nao teria que se preocupar tanto com a atualizacao, segurança em geral.
Os conectivas tem muitos problemas...
Voce encontra material para o slack de torto a direito na internet, creio eu que seja a distribuicao linux que mais contém material na internet.
Saudações,
6)
-
19-12-2005, 18:30 #35 Estou perdida!!!
Falo tudo e disse smvda, quem fica com essa de trocar de distro pq X ou Y é melhor não entende que no fundo tudo é linux, e se a pessoa sabe mexer com a distro pode fazer de qq distro a melhor do mundo. Postado originalmente por smvda
Discordo de vc .... aconselho ela a continuar com o Conectiva ... pois é o sistema que ela tem mais afinidade então como a solução que ela precisa é para logo ... é melhor mexer no que conheçe mais tarde sim pode-se migrar .... Postado originalmente por GrayFox
Uma sugestao:
Em vez de usar esse conectiva 10, porque que voce nao instala um slackware ou debian?^
Seria mais facil para voce fazer esse serviço, e nao te encomodaria tanto.
Seria deixado somente o modo texto, sem daemon rodando, somente com ssh, e voce nao teria que se preocupar tanto com a atualizacao, segurança em geral.
Os conectivas tem muitos problemas...
Voce encontra material para o slack de torto a direito na internet, creio eu que seja a distribuicao linux que mais contém material na internet.
Saudações,
6)
falows
-
19-12-2005, 18:38 #36wrochalVisitante Estou perdida!!!
Natascha,
Então ai vai um script (arquivo) para ajudar:
#!/bin/bash
# Programas
IPT=/sbin/iptables
MODP=/sbin/modprobe
# Configuracao Rede
# IFWAN: Interface da Internet
# IFLAN: Interface da Rede
# IPWAN: IP da Internet ligado na Interface da Internet
IFWAN=eth0
IFLAN=eth1
IPWAN=
LAN=192.168.0.0/24
ANY=0/0
$MODP ip_nat_ftp
# MASCARAMENTO
echo "1" >> /proc/sys/net/ipv4/ip_forward
# Inicio das Regras
# Limpando as Regras
$IPT -F
$IPT -Z
$IPT -X
$IPT -t nat -F
$IPT -t nat -X
$IPT -t nat -Z
# Compartilhamento
$IPT -t nat -A POSTROUTING -o $IFWAN -j MASQUERADE
# LoopBack Livre
$IPT -A INPUT -i lo -s 0/0 -d 0/0 -j ACCEPT
$IPT -A OUTPUT -o lo -s 0/0 -d 0/0 -j ACCEPT
$IPT -A INPUT -i $IFLAN -m state --state NEW -j ACCEPT
$IPT -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# PORTAS LIBERADAS
$IPT -A INPUT -p tcp --dport 22 -j ACCEPT
$IPT -A INPUT -p tcp --dport 25 -j ACCEPT
$IPT -A INPUT -p tcp --dport 631 -j ACCEPT
$IPT -A INPUT -p tcp --dport 3389 -j ACCEPT
$IPT -A INPUT -p tcp --dport 3390 -j ACCEPT
$IPT -A INPUT -p tcp --dport 80 -j ACCEPT
$IPT -A INPUT -p tcp --dport 9022 -j ACCEPT
# Redirecionamento do Proxy
# Caso use Proxy Transparente
$IPT -t nat -A PREROUTING -i $IFLAN -p tcp --dport 80 -j REDIRECT --to-port 3128
# Bloqueando PINGS, Spoofings
$IPT -A INPUT -p icmp --icmp-type echo-request -j DROP
#$IPT -A FORWARD -p icmp --icmp-type echo-request -j DROP
$IPT -A FORWARD -p tcp --syn -m limit --limit 2/s -j ACCEPT
$IPT -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
$IPT -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
$IPT -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
# Fechando o RESTO
$IPT -A INPUT -i $IFWAN -j DROP
echo "Firewall Iniciado"
Crie um arquivo no dir: /etc/firewall e execute chmod +x firewall e depois coloque para carregar no /etc/rc.local
/etc/firewall
Basicamente seria isso, maiores dúvida retorne.
Sem mais,
-
20-12-2005, 00:01 #37
- Ingresso
- Nov 2002
- Posts
- 2.309
Estou perdida!!!
eu ainda acho errado fazer o que tão fazendo de jogar esse script ae e boas.... eu pensei que quem estava montando o firewall e o proxy era ELA?
ajudar sim, a ela aprender e fazer por si mesma, ou seja, ter capacidade para realizar novas tarefas se um dia precisar.... ctrl+c + ctrl+v não adianta nada... ainda mais quando joga as informações ai e nem sequer explica para que servem e como funcionam... pelo menos isso tem que ser bem feito...
isso server para qualquer usuario iniciante... a comunidade está aqui para ajudar, dar apoio, incentivar, cooperar e não para realizar o trabalho para a pessoa iniciante...
esta é minha misera opnião....
agora na boa wrochal, um comentário num de seus posts foi de doer...reveja seus conceitos de comunidade...
-
20-12-2005, 00:24 #38Visitante Estou perdida!!!
haahahaha isso é P-A-T-E-T-I-C-O! Só porque é muie que precisou de ajuda, já tem 3 pagina de resposta de uma coisa simples perguntada HOJE!! eh foda :P se fosse um cueca tivesse perguntado, tinha ouvido "google it" "google here" no maximoooooo :toim: :toim: :toim: :toim: :toim: :toim: :toim: :toim: :toim: :toim: :toim: :toim: :toim: :toim: podem até falarem um monte aqui mas é verdade... tsc tsc tsc. :roll: :roll:
-
20-12-2005, 00:27 #39
- Ingresso
- Jan 2005
- Posts
- 363
Estou perdida!!!
hehehe, como diria a Sabrina Sato: "é veeeeeerdaaadiiii" :@: Postado originalmente por Anonymous
-
20-12-2005, 00:58 #40wrochalVisitante Estou perdida!!!
Pitsa,
Nao vou perde meu tempo rebatendo, mas entao deveriamos rever os conceitos de várias pessoas.
Sem Mais,
Citação