.: Regras de Firewall :.

[aprendiz_ce]

Qual o local correto para criar minhas regras de Firewall? Estou utilizando Conectiva Linux 9, mas em breve quero passar para o Conectiva Linux 10.

Fico muito grato ao colega que puder ajudar.

[micaias]

Se você colocar o script em:

/etc/rc.d/init.d

ele iniciará junto ao boot

ou

voce pode adicionar uma linha no final do arquivo /etc/rc.d/rc.local
para iniciar o script seja lá onde ele estiver.

[fdotta]

Cara,

Onde vc colocar suas regras eh uma coisa meio pessoal.
No meu caso, eu fragmento as regras de firewall em varios scripts para facilitar a manutencao e existe um script que chama tudo como se fosse um do init.d... (ex. do meu caso firewall start, ou firewall stop, ou firewall nuke, etc). Vc pode cirar seu script de firewall e chama-lo no boot pelo rc.local, ou colocado no init.d, como vc achar melhor.

[] Dotta :twisted:

[gatoseco]

Cara faz assim vi /etc/init.d/firewall dentro do arquivo vc coloca:

# Carrega os modulos
modprobe iptables
modprobe iptable_nat

# Compartilha a conexão
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
echo 1 > /proc/sys/net/ipv4/ip_forward

# Abre para a rede local
iptables -A INPUT -p tcp --syn -s 192.168.0.0/255.255.255.0 -j ACCEPT

# Fecha o resto
iptables -A INPUT -p tcp --syn -j DROP

Depois vc sai e salva o arquivo, logo em seguida vc faz o seguinte:

vi /etc/rc.d/rc.local la dentro depois da ultima linha vc coloca
/etc/init.d/firewall sai e salva tambem

Depois de permissao pro arquivo ser executado no rc.local
chmod +x /etc/init.d/firewall

Legal agora va ate init.d e digita la ./firewall

E depois iptables -L pra ver se as regras foram aplicadas

Obs: Esse e um script simples mas objetivo nao permite que outro host de fora se conecta a sua maquina por meio de portas escancaradas, voce pode implementar bem mais regras agora so depende de vc !!!


Valeu e ate mais !!!

[aprendiz_ce]

OK! Obrigado pessoal pela força.

[gatoseco]

Precisando e so dar um toque!!!

[1c3m4n]

# Fecha o resto
iptables -A INPUT -p tcp --syn -j DROP

desculpa mas tenho que falar denovo, isso nao fecha o resto! isso soh fecha pacotes SYN!

leiam isso por favor:
https://under-linux.org/noticia4712.html

[gatoseco]

Entao coloca essa regra no final so seu script de firewall e pede pra alguem scanear seu micro e ver quantas portas aparecem abertas !!!

Dai volta ao topico e me conta!!!

[1c3m4n]

leia antes de criticar

como o artigo diz, um simples nmap pode ateh ser bloqueado, mas se usar um scan do tipo FIN ou XMAS nao!

[wrochal]

Então você pode colocar da seguinte forma

-P INPUT DROP

ou

-A INPUT -p ALL -j DROP

falou,

[1c3m4n]

se alguem ler o artigo vai ver q isso ta lah...............

LEIAM

ler faz bem

[1c3m4n]

Entao coloca essa regra no final so seu script de firewall e pede pra alguem scanear seu micro e ver quantas portas aparecem abertas !!!

Dai volta ao topico e me conta!!!

soh pra provar,se nao for o teu modem que ta bloqueando:

Código :

root@[lfs]:~# nmap -n -vv -sF -P0 -O 200.19X.XX.48
 
Starting nmap 3.81 ( http://www.insecure.org/nmap/ ) at 2005-04-17 21:35 BRT
Initiating FIN Scan against 200.19X.XX.48 [1663 ports] at 21:35
FIN Scan Timing: About 26.14% done; ETC: 21:37 (0:01:25 remaining)
FIN Scan Timing: About 71.50% done; ETC: 21:38 (0:00:46 remaining)
The FIN Scan took 184.50s to scan 1663 total ports.
Warning:  OS detection will be MUCH less reliable because we did not find at least 1 open and 1 closed TCP port
Host 200.19X.XX.48 appears to be up ... good.
Interesting ports on 200.19X.XX.48:
(The 1662 ports scanned but not shown below are in state: closed)
PORT   STATE         SERVICE
80/tcp open|filtered http
Too many fingerprints match this host to give specific OS details
TCP/IP fingerprint:
SInfo(V=3.81%P=i686-pc-linux-gnu%D=4/17%Tm=426301A4%O=-1%C=1)
T5(Resp=Y%DF=N%W=0%ACK=S++%Flags=AR%Ops=)
T6(Resp=Y%DF=N%W=0%ACK=O%Flags=R%Ops=)
T7(Resp=Y%DF=N%W=0%ACK=S++%Flags=AR%Ops=)
PU(Resp=Y%DF=N%TOS=0%IPLEN=38%RIPTL=148%RID=E%RIPCK=E%UCK=E%ULEN=134%DAT=E)
 
Nmap finished: 1 IP address (1 host up) scanned in 193.075 seconds
               Raw packets sent: 1714 (68.7KB) | Rcvd: 3275 (151KB)

e esse do wrochal

Código :

root@[lfs]:~# nmap -n -vv -sF -P0 -O 200.16X.XX.176
 
Starting nmap 3.81 ( http://www.insecure.org/nmap/ ) at 2005-04-17 21:43 BRT
Initiating FIN Scan against 200.16X.XX.176 [1663 ports] at 21:43
The FIN Scan took 22.87s to scan 1663 total ports.
Warning:  OS detection will be MUCH less reliable because we did not find at least 1 open and 1 closed TCP port
Host 200.16X.XX.176 appears to be up ... good.
Interesting ports on 200.16X.XX.176:
(The 1646 ports scanned but not shown below are in state: closed)
PORT      STATE         SERVICE
21/tcp    open|filtered ftp
25/tcp    open|filtered smtp
80/tcp    open|filtered http
81/tcp    open|filtered hosts2-ns
135/tcp   open|filtered msrpc
139/tcp   open|filtered netbios-ssn
443/tcp   open|filtered https
445/tcp   open|filtered microsoft-ds
593/tcp   open|filtered http-rpc-epmap
1080/tcp  open|filtered socks
3128/tcp  open|filtered squid-http
4444/tcp  open|filtered krb524
4480/tcp  open|filtered proxy-plus
6588/tcp  open|filtered analogx
8000/tcp  open|filtered http-alt
8080/tcp  open|filtered http-proxy
19150/tcp open|filtered gkrellmd
Too many fingerprints match this host to give specific OS details
TCP/IP fingerprint:
SInfo(V=3.81%P=i686-pc-linux-gnu%D=4/17%Tm=426302CF%O=-1%C=1)
T5(Resp=Y%DF=Y%W=0%ACK=S++%Flags=AR%Ops=)
T6(Resp=Y%DF=Y%W=0%ACK=O%Flags=R%Ops=)
T7(Resp=Y%DF=Y%W=0%ACK=S++%Flags=AR%Ops=)
PU(Resp=Y%DF=N%TOS=C0%IPLEN=164%RIPTL=148%RID=E%RIPCK=E%UCK=E%ULEN=134%DAT=E)
 
Nmap finished: 1 IP address (1 host up) scanned in 27.757 seconds
               Raw packets sent: 1723 (69.1KB) | Rcvd: 3088 (143KB)

[gatoseco]

Pois e 1c3_m4n ja que ler faz bem e eu concordo com vc da uma olhada nesse artigo que tenho escrito com cerca de 120 linhas confiavel e robusto
da uma analisada pra mim, so pra ver se esse ta bom se nao tiver me da um toque que dai vou continuar lendo artigos que fazem referencias a cinco linhas de comando !!! hehehe
E lembre-se que quem criticou foi vc quando passei regras que poderiam ajudar nosso amigo aqui do forum , facil de aplicar e tambem de entender regras essas muito usadas por Carlos E. Morimoto por muito tempo considerado a personalidade do ano no mundo do software livre homem de poucas criticas e muitas contribuiçoes !!!

http://www.linuxit.com.br/section-viewarticle-714.html


Valeu galera espero mais uma vez ter ajudado!!!

[wrochal]

Melhor este

iptables -A INPUT -j DROP

[1c3m4n]

Melhor este

iptables -A INPUT -j DROP

Isso sim fecha tudo, como ESTA no artigo

e gatoseco, como tb esta no artigo existem zilhoes de maneiras de se aplicar um firewall, tudo depende de como vc faz, e com foi feito aki neste topico se encaixa exatamente no aritgo q eu passei

e no artigo q vc passou esta:
# Politica de acesso
iptables -P INPUT DROP

Exatamente como eu recomendo no artigo q eu passei, ai eu concordo q fecha tudo

mas iptables -A INPUT --syn -j DROP
NUNCA VAI FECHAR TUDO

Mais um detalhe tamanho num eh porra nenhuma em iptables....... basta 1 linha pra fechar tudo,

[gatoseco]

e no artigo q vc passou esta:
# Politica de acesso
iptables -P INPUT DROP

Passei esse link so pra mostrar que aplico essas regras tambem em scripts que eu uso e ainda mostro como desempenhar varias outras atividades dentro do mesmo,e que ja sabia da importancia dessas regras, entao apenas dei um exemplo de como nosso amigo poderia iniciar um script de firewall pois pelo que vi ele esta começando no mundo linux e seria importante começar devagar pra que pudesse entender melhor o funcionamento da coisa, por isso nao so mostrei como fazer mas sim como utilizar regras que funcionam muito bem pra quem ta começando!!!

Entao pra finalizar nossa discussao desnecessaria gostaria de dizer que vc tente bancar o esperto com outro e nao comigo pois nao preciso de suas explicaçoes, mesmo por que vc ostenta um status dentro do site que nao condiz com sua educaçao, moderador por moderador tambem sou mas num site em que temos respeito pelos participantes!!!

www.linuxit.com.br

Mais um detalhe tamanho num eh " porra " nenhuma em iptables....... basta 1 linha pra fechar tudo

Falou

[wrochal]

Pessoal,

Sem stress é bom discutir com nivel, que isso eleva a discussões saudaveis a chegar em uma conclusão, sendo que todos aqu estamos para aprender, desde tecnico até educação.

Vamos manter-se calmo!!!!

E tornar este forum um icone para a comunidade, e mudar a forma de pensar.

Como citei no tópico que criei.

Veja aqui..

:clap:

[1c3m4n]

Entao pra finalizar nossa discussao desnecessaria gostaria de dizer que vc tente bancar o esperto com outro e nao comigo pois nao preciso de suas explicaçoes, mesmo por que vc ostenta um status dentro do site que nao condiz com sua educaçao, moderador por moderador tambem sou mas num site em que temos respeito pelos participantes!!!

Mais um detalhe tamanho num eh " porra " nenhuma em iptables....... basta 1 linha pra fechar tudo

E oq foi q eu falei??????????????????????????????????????
que iptables -A INPUT --syn -j DROP nao fecha tudo! mas que iptables -A INPUT -j DROP fecha!

segundo, falta de educação? de quem? vc soh falou algo errado e eu corrigi, se nao gostou nao posso fazer nada, qdo vc ver eu falando algo errado como --syn -j DROP fecha tudo, ai vc me chama a atenção

terceiro, vai querer me dizer que precisa de + de 1 regra pra fechar tudo? :toim:

[DropALL]

Fechar "tudo" eh relativo... mas se fosse ao peh da letra teria que ter pelomenos 2 regras :P

# iptables -I INPUT -j DROP (ou OUTPUT, oke importa que de uma forma ou outra nao teria como receber ou enviar resposta de uma requisicao, a nao ser q tivesse outra regra permitindo conexao estabelecida/relacionada)

e

# iptables -I FORWARD -j DROP

:P

Mas se fosse para usar essas 2 regras ao mesmo tempo sozinhas, teria um jeito ainda mais facil... só não ligar nenhuma placa de rede/interface com. no computador :P :P

[1c3m4n]

Mas se fosse para usar essas 2 regras ao mesmo tempo sozinhas, teria um jeito ainda mais facil... só não ligar nenhuma placa de rede/interface com. no computador :P :P

hahahah ai sim o computador ta seguro, ninguem vai conseguir invadir , pelo menos não externamente heheehhe