Página 2 de 4 PrimeiroPrimeiro 1234 ÚltimoÚltimo
+ Responder ao Tópico



  1. Já melhorou muito... Mas vamos as observações.

    1 - Ping of Death não está relacionado a quantidade de pacotes ICMP que chegam a interface. E aliais, não creio que nenhum sistema atual ainda é vulnerável a esses ataques;

    2 - A regra que (supostamente) está protegendo contra port scanner, pode levar o seu sistema a DoS: depois do 20 pacote Syn casar com a regra, todos os outros passarão despercebidos;

    3 - Usar o target REJECT significa que sua máquina alocará recursos para poder sinalizar a fonte problemas. Portanto, mais uma vez você poderá sofrer de um DoS, estando esse problema relacionado a quantidade de pacotes que chegarão a sua interface e o throughput geral do seu filtro;

    4 - A chain VALID_CHECK está inútil pois não é referenciada por nenhuma regra presente nas chains padrão;

    5 - Mais uma vez: numa política restritiva é inútil ter regras com targets DROP. A menos que deseje fazer uma espécie de contabilidade. Então, todas as regras com target DROP que estão nas chains INPUT e FORWARD são inúteis, visto que a política dessas é restritiva e se tem como objetivo principal a eficiência;

    Eu re-escreveria suas regras da seguinte maneira:
    iptables -P INPUT DROP
    iptables -P FORWARD DROP
    iptables -P OUTPUT ACCEPT

    iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
    iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
    iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT


    # Obeservação no final...
    iptables -N SERVICOS
    iptables -A SERVICOS -p tcp --dport 80 -j RETURN
    iptables -A SERVICOS -p udp --dport 53 -j RETURN
    iptables -A SERVICOS -j DROP

    iptables -A FORWARD -j SERVICOS

    for i in `cat $MACLIST`; do
    IPSOURCE=`echo $i | cut -d ';' -f 1`
    MACSOURCE=`echo $i | cut -d ';' -f 2`

    iptables -t filter -A FORWARD -m mac --mac-source $MACSOURCE -d 0/0 -s $IPSOURCE -p tcp --syn -m state --state NEW -j ACCEPT
    done

    iptables -t nat -A PREROUTING -s 172.167.0.0/24 -p tcp -d ! 200.201.0.0/16 --dport 80 -j REDIRECT --to-port 3128

    iptables -t nat -A POSTROUTING -o $INTERNET -j MASQUERADE

    iptables -t filter -A INPUT -i lo -j ACCEPT
    iptables -A INPUT -p tcp --dport 2210 --syn -m state --state NEW -j ACCEPT
    Não inclui aqui limites para a saída de pacotes visto que acho mais eficiente o uso de um mecanismo de controle de tráfego (HTB).

    Devido as polítias de onde atuo, sempre limitamos o conjunto de sevicões que estarão disponíveis. Na chain SERVICOS você poderá colocar todos os serviços que serão liberados. No conjunto acima, essa chain será chamada para verificar se o serviço de destido no pacote é permitido na rede. E quem sabe você pode até fazer uma automatização, que nem está na sua MACLIST.

  2. Ola caro @PEdroArthurJEdi
    acabei de chegar do trabalho, estava alinhando uma antena, que com a chuva saiu do lugar!

    sabe, fiz 20 anos a pouco tempo
    trabalho com informatica a menos de 1 ano
    comecei com servidor a menos de 1 mes.

    essas dicas que me deu, foi mtooo bem recebida
    aprendi bastante.
    muita coisa que lendo, nao entendia direito... comecei a colocar em ordem o "no qdo sera utilizada" e "o pq utilizar".
    amanha, irei ver com mais calma as novas modificacoes, estudar e testar as regras mais um pouco...
    trabalhar mais ainda.
    mas agora, quase meia noite, vou dar uma olhada na minha cama^^

    no entanto, nessas novas dicas e nas anteriores, ja digo que as seguintes duvidas surgiram:

    1:
    iptables -N SERVICOS
    iptables -A SERVICOS -p tcp --dport 80 -j RETURN
    iptables -A SERVICOS -p udp --dport 53 -j RETURN
    iptables -A SERVICOS -j DROP
    foi criado um novo chain com o nome servicos
    adicionou uma nova regra ao chain Servicos, com o protocolo tcp na porta 80 e o udp na porta 53.
    porem nao entendi o RETURN???? nao li sobre ele ainda.
    no final vc drop o restante.

    2:
    nessas suas regras, poderia ser adicionado aquelas regras do kernel?

    echo "1" > /proc/sys/net/ipv4/conf/default/rp_filter
    echo "1" > /proc/sys/net/ipv4/tcp_syncookies
    echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
    echo "1" > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses
    echo "0" > /proc/sys/net/ipv4/conf/all/accept_redirects
    echo "1" > /proc/sys/net/ipv4/conf/all/secure_redirects
    echo "0" > /proc/sys/net/ipv4/conf/all/accept_source_route
    echo "0" > /proc/sys/net/ipv4/tcp_timestamps
    echo "1" > /proc/sys/net/ipv4/ip_dynaddr
    poderia ser adicionadas?

    3:
    o Sr. disse:
    3 - Você pode sofrer facilmente de um ataque de negação de serviço devido as regras que geram registros. Você deveria usar a match limit para tentar controlar a quantidade de registros gerados;
    poderia me dar um exemplo confiavel para se gerar os logs? o que achei sobre o match limit foi mto pouco, e quase nao entendi...
    Última edição por AndrioPJ; 30-04-2009 às 23:36.



  3. Se vai realmente adentrar na área de infra-estrutura de servidores de rede, recomendo você dar uma lida no Guia Foca GNU/Linux. Uma das melhores referências...

    Mas voltando...

    O target RETURN serve para voltar ao fluxo anterior de checagem de regras. Explicando melhor: eu coloquei uma regra que diz:
    iptables -A FORWARD -j SERVICOS
    Então, quando o controle de checagem de regras chega nessa regra, ele é desviado para a chain SERVICOS. O RETURN vai fazer justamente que o controle volte para a chain FORWARD. Ou seja, caso o serviço esteja autorizado, o controle voltará a chain FORWARD e irá verificar agora se a o IP e MAC também estão.

    A regra
    iptables -A SERVICOS -j DROP
    serva para que, se o serviço não estiver na lista, ele será bloqueado. A principal razão para tal abordagem é que em chains do usuário não é possível utilizar uma política.

    Quanto ao segundo questionamento: sim. Eu não coloquei apenas para simplificar pois esses ajustes não fazem parte do filtro de pacotes. Podem até ajudar no seu funcionamento, mas não fazem parte.

    Quanto a terceira,
    iptables -A INPUT -p tcp --tcp-flags ALL FIN,PSH,URG -m limit --limit 3/minute -j LOG --log-prefix "Xmas Scan "
    Na regra acima serão gerados 3 entradas por minuto.

    ps: Chamar de "Sr." lasca ... Sou 2 anos menos novo que você...

  4. Hum...
    Desculpa pelo Sr... ^^

    seria basicamente isso:
    antes a regra era: iptables -A INPUT -i $INTERNET -p tcp --dport 21 -j LOG --log-prefix "FIREWALL:

    se eu acresentar o limit ficaria:
    iptables -A INPUT -i $INTERNET -p tcp --dport 21 -m limit --limit 3/minute -j LOG --log-prefix "FIREWALL:

    cria uma regra normalmente
    iptables -A INPUT -i $INTERNET -p tcp --dport 21

    acresenta o limit
    da a acao de LOG
    e um "Nome para o log" (Prefixo)

    existe alguma maneira de se registrar um determinado log em outro local..?
    para ser mais claro, nao é necessário checar por trojans se adotamos a política de tudo fechado.
    Mas, podemos querer verificar mesmo assim, para poder registrar um log mais específico, e ajudar a indentificar a maquina na rede com virus?
    Última edição por AndrioPJ; 01-05-2009 às 13:18.



  5. Bom
    aprendi mto nesses ultimos dias com relacao ao iptables
    consegui entender bem melhor as regras que antes nao conseguia...
    Agradeco novamente ao @PEdroArthurJEdi
    sao poucos que se aprontam em ajudar de tal forma.

    creio que agora ele esteja bem melhor que antes...rs...rs...rs...
    precisava mesmo era de uma organizacao!!!

    sera que ainda existe algo a se modificar ou acresentar?
    Arquivos Anexos Arquivos Anexos






Tópicos Similares

  1. Problema com servidores firewall e squid
    Por rolldbm no fórum Servidores de Rede
    Respostas: 3
    Último Post: 12-03-2008, 09:18
  2. Algum problema com esta configuração?
    Por andersonscinfo no fórum Redes
    Respostas: 7
    Último Post: 02-11-2007, 10:20
  3. Problemas com Squid/Firewall
    Por ticesar7 no fórum Servidores de Rede
    Respostas: 7
    Último Post: 01-02-2007, 06:55
  4. Qual o problema com esse meu iptbles?? (urgente)
    Por mchiareli no fórum Servidores de Rede
    Respostas: 9
    Último Post: 30-05-2006, 14:29
  5. Problemas com o firewall - IPTABLES
    Por Legolas no fórum Servidores de Rede
    Respostas: 0
    Último Post: 18-12-2003, 07:55

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L