Página 1 de 2 12 ÚltimoÚltimo
+ Responder ao Tópico



  1. Boa tarde pessoal,

    Sei que o tema é batido mas vamos la: Estou montando meu primeiro firewall corporativo e estou tendo dificuldades para estabelecer realmente o que preciso ou não. Eu gostaria que tivesse proteção para os ataques mais conhecidos, com exceção do DDoS que é quase impossível filtrar, bloqueio de sites como orkut, gmail, portais do Terra, Uol, yahoo, hotmail, bloqueio do windows live messenger, torrents, liberar acesso para os compartilhamentos da rede e portas do email.
    Mas como eu disse antes, não sei qual é o melhor jeito de bloquear sites, msn, torrents.
    Na verdade a rede é assim: subnet A - nenhum bloqueio, subnet B - bloqueada, subnet C - somente internet e isolada das outras duas subnets, subnet D - exclusiva para servidores.
    Até iniciei um script de iptables, mas queria discutir umas idéias aqui antes de postá-lo.

    Abraço pessoal, conto com a ajuda de vocês!

  2. Sim, cara, tem muita gente disposta a ajudar... Mas não tem ninguém disposto a fazer o script por você.

    Talvez se você colocar as ideias que deseja discutir, alguém venha e dê alguma opnião técnica, não acha?

    Já que você é novo por aqui, recomendo que veja esses dois links:

    InfoSecurity TaskForce - Perguntas Inteligentes
    UnderLinux Wiki:FAQ - UnderLinux Wiki

    Boa leitura!
    Bem vindo ao Under-Linux.org



  3. Entendo, desculpa se disse pouco. Enfim, é uma rede corporativa que eu dividi em 4 setores basicamente:

    192.168.4.0 - subrede com tudo liberado
    192.168.8.0 - subrede com filtro
    192.168.32.0 - subrede com somente internet sem acesso aos micros das outras redes
    192.168.75.0 - subrede dos servidores

    Politicas que eu pensei:

    192.168.4.0:
    - bloquear ips remanescentes
    - amarrar ip ao mac
    192.168.8.0:
    - bloquear acesso a sites (orkut, hotmail, yahoo, terra, uol, gmail), msn, torrents
    - liberar acesso aos compartilhamentos e email nos micros que possuem email somente
    192.168.32.0:
    - bloquear ips remanescentes e acesso aos compartilhamentos
    - liberar somente internet
    - amarrar ip ao mac
    192.168.75.0:
    - bloquear ips remanescentes
    - amarrar ip ao mac

    Abaixo segue o script iptables que comecei:

    #!/bin/sh
    iptables-restore <<-EOF;
    :INPUT DROP [0:0]
    :FORWARD DROP [0:0]
    :OUTPUT ACCEPT [0:0]

    # firewall start
    -F
    -X
    -t nat -F
    -t nat -X
    -t mangle -F
    -t mangle -X
    -t filter -F
    -t filter -X

    # loopback

    -A INPUT -i lo -j ACCEPT
    -A OUTPUT -o lo -j ACCEPT

    # Drop invalid packets

    -A INPUT -m conntrack --ctstate INVALID -j DROP

    # Allow Related/Established

    -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT

    # drop remaining ips from 192.168.4.0 subnet

    -A INPUT -m iprange --src-range 192.168.4.8-192.168.4.14 -j DROP

    # accept from desired ips 192.168.4.0 subnet

    -A INPUT -m iprange --src-range 192.168.4.1-192.168.4.7 -j ACCEPT

    # tie mac to ip 192.168.4.0 subnet

    -t filter -A FORWARD -s 192.168.4.2 -m mac --mac-source 00:11:22:33:44:55 -j ACCEPT
    -t filter -A FORWARD -d 192.168.4.2 -j ACCEPT
    -t filter -A INPUT -s 192.168.4.2 -m mac --mac-source 00:11:22:33:44:55 -j ACCEPT
    -t filter
    COMMIT
    EOF

  4. Dê uma olhada melhor na ordem das regras. Elas estão se sobrepondo.

    Veja também o seguinte artigo:
    -> Mantendo e depurando regras do Netfilter/iptables com auxílio de fluxogramas - Blogs - Under-Linux.org

    Nele eu mostro um método para auxiliar na criação de regras para filtros de pacotes. Qualquer dúvida, pode perguntar por lá... Ou aqui mesmo, caso ache melhor.

    Falou



  5. Olha, eu estou realmente me empenhando nisso e lendo muito, perguntando muito, mas como você deve saber, perguntas irritam as pessoas. Você é o primeiro cara que se dispos a me ajudar. Analisei novamente meu script, li varias vezes seu topico, li meu guia feito por um desenvolvedor do iptables e a única coisa que me parece estranha é isso:

    -t filter -A FORWARD -s 192.168.4.2 -m mac --mac-source 00:11:22:33:44:55 -j ACCEPT
    -t filter -A FORWARD -d 192.168.4.2 -j ACCEPT
    -t filter -A INPUT -s 192.168.4.2 -m mac --mac-source 00:11:22:33:44:55 -j ACCEPT

    Foi isso que voce quis dizer?






Tópicos Similares

  1. Ajuda para configurar Firewall
    Por fabbyo no fórum Servidores de Rede
    Respostas: 3
    Último Post: 17-05-2007, 14:32
  2. Meu primeiro LinuxAP (com mikrotik)...
    Por roneyeduardo no fórum Redes
    Respostas: 13
    Último Post: 31-08-2006, 08:11
  3. Meu primeiro script em Kdialog
    Por Bit no fórum Linguagens de Programação
    Respostas: 5
    Último Post: 04-08-2005, 18:29
  4. Olá, dúvidas e meu primeiro post no fórum. :)
    Por Bit no fórum Servidores de Rede
    Respostas: 7
    Último Post: 02-03-2005, 14:12
  5. meu primeiro proxy
    Por Ghostman no fórum Servidores de Rede
    Respostas: 7
    Último Post: 22-06-2004, 08:16

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L