- Dica de Firewall
+ Responder ao Tópico
-
Dica de Firewall
Ola pessoal, esse fim de semana vou montar um servidor Linux que vai servir para compartilhar ADSL, banco de Dados mySQL, abrir FTP apenas para uma range de IP e SSH apenas para um IP Fixo....
a internet eu vou compartilhar usando Proxy Transparente com Iptables
eu gostaria de uma dica de voces de como montar um firewall bom??
eu pensei assim, primeiro abro tudo que eu preciso e no final eu fecho tudo tipo um iptables -t filter -d <ip do servidor> -j REJECT ????
isso funciona??
ouvi dizer que pra funcionar internet eu preciso deixar das portas 1024 em diantes aberta.. isso é verdade????
antecipadamente eu ja agradeço quem me ajudar
valeu
Marcos
-
Dica de Firewall
Nao tem necessiidade deixar as porta acima de 1024 abertas.
Sobre o Script de Firewall na minha opiniao e mais seguro voce bloquear tudo e so abrir o que voce vai utilizar.
Da uma pesquisada nas Mensagens anteriores que voce vai encontrar um Script de firewall basico praticamente pronto e Comentado com Diversas opinioes do pessoal do Grupo
A Marcio
-
Dica de Firewall
eu uso squid como proxy transparente
dentro da rede interna eu liberei a porta do SQUID e pra forar eu bloquei
se eu bloquear tudo no final nao esta abrindo pagina
se eu bloquear apenas das portas 1:1023 esta funcionando normal...
alguem tem alguma idéia de quais portas entre 1024 até o final precisam ficar aberta (acho que é alguma porta que o squid trabalha)
valeu
-
Dica de Firewall
Ô ZÉ MANÉ, VAI TOMAR NA TUA BUNDA, FRESCO!!! COMO DIABOS É ISSO, TU TÁ DOIDO! FILHO DUMA ÉGUA, TU ACHA QUE PLANO DE SEGURANÇA E MONTAGEM DE PERÍMETRO COM FIREWALL É COMPRAR NA CAIXINHA, COLOCAR EM CIMA DO COMPUTADOR E ESPERAR LÁ, QUE ELE PEGA E DÁ UM PULO SOZINHO PRÁS DENTRO DO SERVIDOR, É ?!?!?!?!
VAI ESTUDAR, FRESCO!!! É POR ISSO!!! QUANTO MAIS OS ADMINISTRADORES SÉRIOS DE REDE QUE TRABALHAM E FAZEM A MAIOR FORÇA PARA QUE AS ESTATÍSTICAS DE SEGURANÇA REDUZAM O ÍNDICE DE FALHAS AQUI NO BRASIL, NA MESMA PROPORÇÃO APARECEM UM MONTE DE "FELAS DA PUTA" ACHANDO QUE ISSO É FEITO PIPOCA, BASTA COLOCAR NA PANELA E ESPERAR QUE FICA PRONTO SOZINHO!!!!!
EU HEIN, VAI DAR TEU RABO PRÁ LÁ, E SÓ VOLTA DEPOIS, QUANDO TIVER, AO MENOS, CABEÇA PARA FAZER ALGUMA PERGUNTA PRODUTIVA, Ô IMBECIL!!!
E TENHO DITO!!!
ALVARO ANDRÉ DO NASCIMENTO
Administrador Sênior Lustex Eng. Ltda.
-
Dica de Firewall
Voce nao tem nocao do que fala nao ? Cada figura que aparece ...
Um minimo de educacao eh sempre necessario.
Mas respondendo a sua pergunta (a original), o ideal eh que voce
crie uma politica para o seu firewall e depois ponha em pratica. Por exemplo,
se voce deseja que os seus usuarios acessem na internet os sites (http, porta 80) e emails (porta 25,110,143) , bloqueie tudo e abra apenas o acesso
externo a essas portas. Se voce estiver utilizando o squid, redirecione todos
os acessos a porta 80,8080 para a porta 3124 (utilizada pelo squid)...
Qualquer duvida manda aqui para a gente. E ignore pessoas mal-educadas ...
[]`s
Daniel B. Cid
[email protected]
-
Dica de Firewall
É 3128 A PORTA PADRÃO DO SQUID.
-
Dica de Firewall
Alvaro, se voce eh tao sabido assim, nao frequenta forum entao meo, vai trabalhar pra focus =)
-
Dica de Firewall
Aparece cada figura, eh exatamente por isso que o cara ta perguntando, ele nao quer ficar fazendo feio e quer aprender.
amigo seu firewall nao ta funcionando porque provavelmente voce nao colocou nenhuma regra que transforme seu firewall em stateful, deste modo ele tem como "manter as pegadas" de uma conexao.
iptables -A FORWARD -m --state RELATED,ESBLISHED -j ACCEPT
com isso ele passa de stateless para stateful.
crie uma politica de forward default de drop
iptables -P FORWARD DROP
e entao libere o que voce prescisa na sua rede (suponho que ela seja 10.1.1.0/24)
# www / ssl
iptables -A FORWARD -s 10.1.1.0/24 --dport 80 -j ACCEPT
iptables -A FORWARD -s 10.1.1.0/24 --dport 443 -j ACCEPT
# smtp
iptables -A FORWARD -s 10.1.1.0/24 --dport 25 -j ACCEPT
# pop / imap
iptables -A FORWARD -s 10.1.1.0/24 --dport 110 -j ACCEPT
iptables -A FORWARD -s 10.1.1.0/24 --dport 143 -j ACCEPT
# ftp
iptables -A FORWARD -s 10.1.1.0/24 --dport 21 -j ACCEPT
sinta-se a vontade, esse eh soh um pequeno exemplo. adque-o conforme a necessidade de sua rede
-
Dica de Firewall
nao vou nem falar para o tal do Alvaro
pro resto, obrigado, funcionou, o problema é uma coisa bem básica mas passou despercebido...eu alterei a porta 3128 do squi dpara 8080 e squid de liberar essa porta dentro da rede interna, entao quando eu tentava bloquear tudo bloqueava isso também, e por isso das portas abaixo de 1023 funcionavam... agora ja liberei e esta tudo OK
passei nmap e esta apenas as portas que eu vou usar...
agora, alguma dica de segurança a mais???
estou com um firewall que me parece que esta bom, todo sistema atualizado, uso slackware...
-
Dica de Firewall
Se voce quer uma seguranca mais priorizada, use um IDS, pode ser o snort, com algum programa conjunto pra alem de identificar os queries, pra bloquea-los, como nosso amigo IceMan fez em seu artigo, Snort+Guardian, creio eu se encontrar em www.linuxit.com.br
-
Dica de Firewall
Ô PSY, LARGA TAMBÉM DE SER ZÉ MANÉ, SE ESSE BABACA CONSEGUIU, DEUS SABE COMO, CONFIGURAR O SQUID NA MARRA, COMO DIABOS É QUE ESSA BESTA VAI CONSEGUIR CONFIGURAR O SNORT!?!?!?!?!?!?!?!?!?!
AINDA MAIS O GUARDIAN!!!!!!!!
-
Dica de Firewall
Com a licença de todos do forum, e também com a permissão do duário que está em dúvida, vou dizer o seguinte:
Cara, se tu sabe mais do que todo mundo, fica em casa, vai tomar banho, vai dormir, cara!!!! Poxa, acho que todos aqui passaram pela fase de perguntar, de ter dúvidas e precisar de pessoas amigas que as vissem e as ajudassem, inclusive, mesmo que vc venha a não admitir, você próprio.
7
Por isso, vê se não polui esse espaço, que desde que eu me entendo como um linuxer aficcionado, procurar atender a todos, com as beteiras que vc fala.
Acho que essa deve ser a opinião de todos, prá não fazer como vc, que tem a cara de pau de baixar o nível em um fórum que atende a todo mundo!!!!
E, prá vc que esta ou estava com a dúvida, não leve a sério essas pessoas como esse cara, vc sabe q a rede está cheia .... bola pra frente, valeu?
=*=*=*=*=*=*=*=*=*=*=*=*=
___Linux is nine, Chist is ten!!!___
=*=*=*=*=*=*=*=*=*=*=*=*=
-
Dica de Firewall
realmente é mais seguro fechar todas as portas, e apenas abrir as que você vai precisar. claro que isso é BEM mais trabalhoso, mas se você for criar regras de firewall de forma porca, é melhor nem fazer.
em relação à porta 1024, você vai precisar dela habilitada (e com as próximas também) porque as requisições de resposta normalmente vem endereçadas para essa faixa de portas.
apenas tenha cuidado de não estar oferecendo serviços com porta acima de 1024. se tiver (como X-windows, por exemplo), abra até um porta antes desses serviços, pule as portas dele, e depois abra de novo.
um livro excelente sobre firewalls é o "Construindo Firewalls para a Internet", traduzido do inglês pela editora Campus. ele é apenas teórico, não mostra regra nenhuma de firewall algum.