Check up!

[dlabreu]

Ola pessoal , gostaria de ouvir a opiniao de voces com relacao ao meu firewall.

Tenho um roteador com uma DMZ apontando para o meu servidor de arquivos, pois o mesmo tem que ficar virado para a internet.

Coloquei essas regras no iptables.


Gostaria de saber se esse firewall esta fazendo sentido e se somente as portas do samba vao ficar abertas para a internet e ssh tb.

O resto tem que fechar tudo .

O que acham?


Obrigado !

# Carrega o módulo
modprobe iptables

# Abre algumas portas (opcional)
iptables -A INPUT -p tcp --destination-port 22 -j ACCEPT
iptables -A INPUT -p tcp --destination-port 137 -j ACCEPT
iptables -A INPUT -p udp --destination-port 137 -j ACCEPT
iptables -A INPUT -p tcp --destination-port 138 -j ACCEPT
iptables -A INPUT -p udp --destination-port 138 -j ACCEPT
iptables -A INPUT -p tcp --destination-port 139 -j ACCEPT
iptables -A INPUT -p udp --destination-port 139 -j ACCEPT
iptables -A INPUT -p tcp --destination-port 455 -j ACCEPT
iptables -A INPUT -p udp --destination-port 455 -j ACCEPT

# Abre para a rede local
iptables -A INPUT -p tcp --syn -s 192.168.89.0/255.255.255.0 -j ACCEPT

# Fecha o resto
iptables -A INPUT -p tcp --syn -j DROP

[wps]

o Seu firewall é state less !!

O iptables consegue fazer state full !

Abraço

[dlabreu]

Ola Amigo.


Me desculpe mas sou novo com firewall.


Nao entendi sua pergunta.

Grato


Daniel

[wps]

humm desculpe vamos la:

Netfilter - Wikipédia, a enciclopédia livre

StateFull e StateLess são metodos de firewall

Exemplo um firewall stateless não acompanha o estado da conexão basicamente sempre que um pacote passar pela regra ele ira avaliar todas as regras até chegar em uma de bata "match" para que ela seja valida.

Já um firewall statefull tem inteligencia ele mantem uma "tabela" de conexões batidas "mached" entao não percorre a fila toda de regras atras de uma regra que sirva.


modprobe iptables
#mudando a politica para dropar tudo
iptables -P INPUT DROP

#colocando o state full
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT


# Abre algumas portas (opcional)
iptables -A INPUT -p tcp --destination-port 22 -j ACCEPT
iptables -A INPUT -p tcp --destination-port 137 -j ACCEPT
iptables -A INPUT -p udp --destination-port 137 -j ACCEPT
iptables -A INPUT -p tcp --destination-port 138 -j ACCEPT
iptables -A INPUT -p udp --destination-port 138 -j ACCEPT
iptables -A INPUT -p tcp --destination-port 139 -j ACCEPT
iptables -A INPUT -p udp --destination-port 139 -j ACCEPT
iptables -A INPUT -p tcp --destination-port 455 -j ACCEPT
iptables -A INPUT -p udp --destination-port 455 -j ACCEPT

# Abre para a rede local
iptables -A INPUT -p tcp --syn -s 192.168.89.0/255.255.255.0 -j ACCEPT

#logando pacote
iptables -A INPUT -j LOG

# Fecha o resto
iptables -A INPUT -p tcp --syn -j DROP