Página 2 de 3 PrimeiroPrimeiro 123 ÚltimoÚltimo
+ Responder ao Tópico



  1. #6
    Dougld
    Citação Postado originalmente por Dougld
    Citação Postado originalmente por Anonymous
    Legal Doug...
    Nessas regras vc pode fazer o seguinte pra dar uma melhorada!!!
    iptables -A INPUT -p tcp --syn -s 127.0.0.1/255.0.0.0 -j ACCEPT
    Essa regra diz pra aceitar apenas pacotes tcp com a flag em syn, porém como é um loopback, ele pode conter um sinal de ack (acknoledge) que ele respondeu pra ele mesmo, então a melhor coisa seria um
    iptables -A INPUT -s 127.0.0.1 -j ACCEPT

    Já na regra:
    iptables -A INPUT -p tcp --syn -j DROP
    repare que vc está dropando apenas respostas para o protocolo tcp com a flag syn, (olha a brecha) todos os pacotes UDP, ICMP e tcp exceto syn estão passando direto pelo seu firewall, e então se vc pingar o ip dessa máquina ela deve responder, coisa que ela normalmente não deveria!
    Para resolver esse problema segue a regra, repare que essa regra vc pôe no começo do arquivo de regras:
    iptables -P INPUT DROP
    o -P serve para indicar uma regra padrão
    e o DROP não precisa de -j pq se trata de regra estática.

    espero ter exclarecido
    qualquer dúvida estamos aí...
    []´s
    fala meiolouco blz

    realmente no de loopback eu posso passar o flag ack q não tem problema e apenas eu flag de resposta de recebimento do pacote

    agora tipo eu concordo tbm em mexer no polices do INPUT eu tava meio preocupado em parar tudo , mas lá para o final de expediente vou mudar lá o polices e ver no q dá!!!!!!!

    sobre os os protocolos udp tcp e icmp eles estão protegidos ,o ping não funciona mas realmente eu terei q ver se as udp e tcp apenas com syn estão dropando ok

    valeu , qualquer dúvida eu posto aki
    cara não ta passando não olha só
    iptables -A FORWARD --protocol tcp --tcp-flags ALL SYN,ACK -j DROP

  2. #7
    meiolouco
    Fala aí Doug.

    Quanto a essa regra:
    iptables -A FORWARD --protocol tcp --tcp-flags ALL SYN,ACK -j DROP
    ela vai dropar todos os pacotes de syncronismo e de aceite (ack) e por estar numa chain FORWARD, vc provavelmente não acessará a internet e nem pingará o host.

    Ao invés de barrar ou liberar as flags, (o controle por flag pode levar a perda de pacote), nega tudo e depois autorize apenas os serviços necessários.
    Assim seu arquivo fica pequeno e com poucas regras para serem administradas.

    Se vc quiser posso te mandar meu arquivo rc.firewall que fiz, aparentemente minha situação é bem próxima da realidade que vc encontra aí.

    []´s
    ½louco



  3. #8
    Dougld
    Citação Postado originalmente por meiolouco
    Fala aí Doug.

    Quanto a essa regra:
    iptables -A FORWARD --protocol tcp --tcp-flags ALL SYN,ACK -j DROP
    ela vai dropar todos os pacotes de syncronismo e de aceite (ack) e por estar numa chain FORWARD, vc provavelmente não acessará a internet e nem pingará o host.

    Ao invés de barrar ou liberar as flags, (o controle por flag pode levar a perda de pacote), nega tudo e depois autorize apenas os serviços necessários.
    Assim seu arquivo fica pequeno e com poucas regras para serem administradas.

    Se vc quiser posso te mandar meu arquivo rc.firewall que fiz, aparentemente minha situação é bem próxima da realidade que vc encontra aí.

    []´s
    ½louco
    pode mandar veio, será bem vindo!!!!

    vc utiliza que distribuição?

    cara outra coisa q ia te perguntar vc já mexeu com o coyote o firewall dele e redirecionamento , irei passar o meu aki:

    iptables -F
    iptables -t nat -F

    modprobe ip_tables
    modprobe iptable_nat

    #PROTEÇÃO CONTRA HACKERS
    iptables -A FORWARD -m unclean -j DROP

    # ACESSO AO SSH
    iptables -A INPUT -p tcp --source 192.168.1.0/255.255.255.0 --dport 22 -j ACCEPT
    iptables -A INPUT -p tcp --dport 22 -j DROP

    # NEGANDO ACESSO EXTERNO AO SAMBA
    iptables -A INPUT -p tcp --source 192.168.1.0/255.255.255.0 --dport 139 -j ACCEPT
    iptables -A INPUT -p udp --source 192.168.1.0/255.255.255.0 --dport 138 -j ACCEPT
    iptables -A INPUT -p udp --source 192.168.1.0/255.255.255.0 --dport 137 -j ACCEPT
    iptables -A INPUT -p tcp --source 192.168.1.0/255.255.255.0 --dport 901 -j ACCEPT
    iptables -A INPUT -p tcp --dport 139 -j DROP
    iptables -A INPUT -p tcp --dport 901 -j DROP

    # BLOQUEIO ICQ
    iptables -A FORWARD -p TCP --dport 5190 -j DROP
    iptables -A FORWARD -d login.icq.com -j DROP

    # BLOQUEIO MSN
    iptables -A FORWARD -p TCP --dport 1863 -j DROP

    # SQUID
    iptables -A INPUT -p tcp --dport 80 -j DROP
    iptables -A INPUT -p tcp --source 192.168.1.0/255.255.255.0 --dport 3128 -j ACCEPT
    iptables -A INPUT -p tcp --source 192.168.2.0/255.255.255.0 --dport 3128 -j ACCEPT
    iptables -A INPUT -p tcp --source 192.168.3.0/255.255.255.0 --dport 3128 -j ACCEPT
    iptables -A INPUT -p tcp --source 192.168.4.0/255.255.255.0 --dport 3128 -j ACCEPT
    iptables -A INPUT -p tcp --source 192.168.5.0/255.255.255.0 --dport 3128 -j ACCEPT
    iptables -A INPUT -p tcp --source 192.168.6.0/255.255.255.0 --dport 3128 -j ACCEPT
    iptables -A INPUT -p tcp --source 192.168.7.0/255.255.255.0 --dport 3128 -j ACCEPT
    iptables -A INPUT -p tcp --source 10.0.0.0/255.255.255.0 --dport 3128 -j ACCEPT
    iptables -A INPUT -p tcp --dport 3128 -j DROP

    # SERVIDOR APACHE
    iptables -A INPUT -p tcp --source 192.168.1.0/255.255.255.0 --dport 443 -j ACCEPT
    iptables -A INPUT -p tcp --dport 443 -j DROP

    # BLOQUEANDO OUTRAS PORTAS
    iptables -A INPUT -p udp --dport 138 -j DROP
    iptables -A INPUT -p udp --dport 137 -j DROP
    iptables -A INPUT -p udp --dport 749 -j DROP
    iptables -A INPUT -p udp --dport 1900 -j DROP

    #PROTEÇÃO CONTRA HACKERS
    iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
    iptables -A FORWARD -p tcp -m limit --limit 1/s -j ACCEPT
    iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
    iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
    iptables -A FORWARD --protocol tcp --tcp-flags ALL SYN,ACK -j DROP

    # RESPONDER E NEGAR A PINGS
    iptables -A INPUT -s 192.168.1.0/255.255.255.0 -p icmp -j ACCEPT
    iptables -A INPUT -s 192.168.2.0/255.255.255.0 -p icmp -j ACCEPT
    iptables -A INPUT -s 192.168.3.0/255.255.255.0 -p icmp -j ACCEPT
    iptables -A INPUT -s 192.168.4.0/255.255.255.0 -p icmp -j ACCEPT
    iptables -A INPUT -s 192.168.5.0/255.255.255.0 -p icmp -j ACCEPT
    iptables -A INPUT -s 192.168.6.0/255.255.255.0 -p icmp -j ACCEPT
    iptables -A INPUT -s 192.168.7.0/255.255.255.0 -p icmp -j ACCEPT
    iptables -A INPUT -s 10.0.0.0/255.255.255.0 -p icmp -j ACCEPT
    iptables -A INPUT -s 200.xxx.xxx.xxx/255.255.255.255 -p icmp -j ACCEPT
    iptables -A INPUT -s 200.xxx.xxx.xxx/255.255.255.255 -p icmp -j ACCEPT
    #iptables -A INPUT -s 200.xxx.xxx.xxx/255.255.255.255 -p icmp -j ACCEPT
    iptables -A INPUT -p icmp -j DROP

    # PROXY TRANSPARENTE
    iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128

    # NAT
    iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
    echo 1 > /proc/sys/net/ipv4/ip_forward

    # REDIRECIONAMENTO DE PORTA DA CONEXÃO
    iptables -t nat -A PREROUTING -p tcp -d 200.xxx.xxx.xxx --dport 3389 -j DNAT --to 192.168.1.3:3389
    iptables -t nat -A POSTROUTING -p tcp -s 192.168.1.3 --sport 3389 -j SNAT --to 200.xxx.xxx.xxx:3389
    iptables -A INPUT -p tcp --source 200.xxx.xxx.xxx/255.255.255.255 --dport 3389 -j ACCEPT
    iptables -A INPUT -p tcp --dport 3389 -j DROP

    #INTERFACE DE LOOPBACK
    iptables -A INPUT -s 127.0.0.1/255.0.0.0 -j ACCEPT

    # Rede local e EXTERNO
    iptables -A INPUT -p tcp --syn -s 192.168.1.0/255.255.255.0 -j ACCEPT
    iptables -A INPUT -p tcp --syn -s 192.168.3.0/255.255.255.0 -j ACCEPT
    iptables -A INPUT -p tcp --syn -s 192.168.2.0/255.255.255.0 -j ACCEPT
    iptables -A INPUT -p tcp --syn -s 192.168.4.0/255.255.255.0 -j ACCEPT
    iptables -A INPUT -p tcp --syn -s 192.168.5.0/255.255.255.0 -j ACCEPT
    iptables -A INPUT -p tcp --syn -s 192.168.6.0/255.255.255.0 -j ACCEPT
    iptables -A INPUT -p tcp --syn -s 192.168.7.0/255.255.255.0 -j ACCEPT
    iptables -A INPUT -p tcp --syn -s 200.xxx.xxx.xxx/255.255.255.255 -j ACCEPT
    iptables -A INPUT -p tcp --syn -s 200.xxx.xxx.xxx/255.255.255.255 -j ACCEPT
    #iptables -A INPUT -p tcp --syn -s 200.xxx.xxx.xxx/255.255.255.255 -j ACCEPT

    #BLOQUEIA O RESTANTE
    iptables -A INPUT -p tcp --syn -j DROP

    falou meio...

    até mais

  4. #9
    meiolouco
    Segue meu rc.firewall, atualmente estou usando um Slackware!
    Eu usava o Coyote num pentium 100 que eu tenho em casa, mas eu acabei desenvolvendo um halted firewall que funciona bem melhor e ele ainda gera logs de conexão.

    []´s
    Meio louco

    #Script Ninja para Firewall
    if [ "$1" = "flush" ]; then
    echo " Flushing Firewall... Wait a second! "
    iptables -F
    iptables -t nat -F
    iptables -t mangle -F
    iptables -A INPUT -p tcp --dport 22 -s 192.168.0.2 -j ACCEPT
    echo " Flushing DOne! "
    else
    iptables -P INPUT DROP
    iptables -P FORWARD ACCEPT


    iptables -P OUTPUT ACCEPT
    #REGRA PARA COMPARTILHAMENTO DA INTERNEVERS
    echo " Chamando o firewall "
    iptables -t nat -A POSTROUTING -s 0/0 -j MASQUERADE
    iptables -A INPUT -i lo -j ACCEPT
    #ACEITA OS SERVICOS DESIGNADOS
    #SERVICOS DE SERVIDOR : FTP, SSH, HTTPD ,HTTPS SAMBA
    iptables -A INPUT -p tcp --dport 20 -i eth0 -j ACCEPT # FTP services
    iptables -A INPUT -p tcp --dport 21 -i eth0 -j ACCEPT # FTP
    iptables -A INPUT -p tcp --dport 22 -j ACCEPT # SSH
    iptables -A INPUT -p tcp --dport 80 -j ACCEPT #HTTP
    #iptables -A INPUT -p tcp --dport 443 -j ACCEPT # HTTPS
    iptables -A INPUT -i eth0 -p udp --dport 139 -j ACCEPT #SAMBA
    iptables -A INPUT -i eth0 -p udp --dport 138 -j ACCEPT #SAMBA
    iptables -A INPUT -i eth0 -p udp --dport 137 -j ACCEPT #SAMBA
    iptables -A INPUT -i eth0 -p tcp --dport 137 -j ACCEPT #SAMBA
    iptables -A INPUT -i eth0 -p tcp --dport 138 -j ACCEPT #SAMBA
    iptables -A INPUT -i eth0 -p tcp --dport 139 -j ACCEPT #SAMBA

    # ACEITA OS SERVICOS DESIGNADOS:
    # SERVICOS DE CLIENTE
    iptables -A FORWARD -i eth0 -p tcp --dport 20 -j ACCEPT # FTP services
    iptables -A FORWARD -i eth0 -p tcp --dport 21 -j ACCEPT # FTP
    iptables -A FORWARD -i eth0 -p tcp --dport 25 -j ACCEPT # ICMP
    iptables -A FORWARD -i eth0 -p tcp --dport 110 -j ACCEPT # ICMP
    iptables -A FORWARD -i eth0 -p tcp --dport 53 -j ACCEPT # CORREIO
    iptables -A FORWARD -i eth0 -p tcp --dport 80 -j ACCEPT # INTERNET
    iptables -A FORWARD -i eth0 -p tcp --dport 443 -j ACCEPT # HTTPS
    # Regras de Proteção
    iptables -t nat -A PREROUTING -i eth1 -s 10.0.0.0/8 -j DROP
    iptables -t nat -A PREROUTING -i eth1 -s 172.16.0.0/16 -j DROP
    iptables -t nat -A PREROUTING -i eth1 -s 192.168.0.0/24 -j DROP
    # Fazendo Log
    iptables -A INPUT -p tcp -i eth1 -j LOG --log-level DEBUG --log-prefix "Pacote tcp:"
    iptables -A INPUT -p icmp -i eth1 -j LOG --log-level DEBUG --log-prefix "Pacote icmp:"
    iptables -A INPUT -p icmp -i eth0 -j LOG --log-level DEBUG --log-prefix "Pacote icmp:"
    # leitura de pacotes
    iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
    iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

    echo " Firewall chamado!!! "
    fi



  5. #10
    Dougld
    Citação Postado originalmente por meiolouco
    Segue meu rc.firewall, atualmente estou usando um Slackware!
    Eu usava o Coyote num pentium 100 que eu tenho em casa, mas eu acabei desenvolvendo um halted firewall que funciona bem melhor e ele ainda gera logs de conexão.

    []´s
    Meio louco

    #Script Ninja para Firewall
    if [ "$1" = "flush" ]; then
    echo " Flushing Firewall... Wait a second! "
    iptables -F
    iptables -t nat -F
    iptables -t mangle -F
    iptables -A INPUT -p tcp --dport 22 -s 192.168.0.2 -j ACCEPT
    echo " Flushing DOne! "
    else
    iptables -P INPUT DROP
    iptables -P FORWARD ACCEPT


    iptables -P OUTPUT ACCEPT
    #REGRA PARA COMPARTILHAMENTO DA INTERNEVERS
    echo " Chamando o firewall "
    iptables -t nat -A POSTROUTING -s 0/0 -j MASQUERADE
    iptables -A INPUT -i lo -j ACCEPT
    #ACEITA OS SERVICOS DESIGNADOS
    #SERVICOS DE SERVIDOR : FTP, SSH, HTTPD ,HTTPS SAMBA
    iptables -A INPUT -p tcp --dport 20 -i eth0 -j ACCEPT # FTP services
    iptables -A INPUT -p tcp --dport 21 -i eth0 -j ACCEPT # FTP
    iptables -A INPUT -p tcp --dport 22 -j ACCEPT # SSH
    iptables -A INPUT -p tcp --dport 80 -j ACCEPT #HTTP
    #iptables -A INPUT -p tcp --dport 443 -j ACCEPT # HTTPS
    iptables -A INPUT -i eth0 -p udp --dport 139 -j ACCEPT #SAMBA
    iptables -A INPUT -i eth0 -p udp --dport 138 -j ACCEPT #SAMBA
    iptables -A INPUT -i eth0 -p udp --dport 137 -j ACCEPT #SAMBA
    iptables -A INPUT -i eth0 -p tcp --dport 137 -j ACCEPT #SAMBA
    iptables -A INPUT -i eth0 -p tcp --dport 138 -j ACCEPT #SAMBA
    iptables -A INPUT -i eth0 -p tcp --dport 139 -j ACCEPT #SAMBA

    # ACEITA OS SERVICOS DESIGNADOS:
    # SERVICOS DE CLIENTE
    iptables -A FORWARD -i eth0 -p tcp --dport 20 -j ACCEPT # FTP services
    iptables -A FORWARD -i eth0 -p tcp --dport 21 -j ACCEPT # FTP
    iptables -A FORWARD -i eth0 -p tcp --dport 25 -j ACCEPT # ICMP
    iptables -A FORWARD -i eth0 -p tcp --dport 110 -j ACCEPT # ICMP
    iptables -A FORWARD -i eth0 -p tcp --dport 53 -j ACCEPT # CORREIO
    iptables -A FORWARD -i eth0 -p tcp --dport 80 -j ACCEPT # INTERNET
    iptables -A FORWARD -i eth0 -p tcp --dport 443 -j ACCEPT # HTTPS
    # Regras de Proteção
    iptables -t nat -A PREROUTING -i eth1 -s 10.0.0.0/8 -j DROP
    iptables -t nat -A PREROUTING -i eth1 -s 172.16.0.0/16 -j DROP
    iptables -t nat -A PREROUTING -i eth1 -s 192.168.0.0/24 -j DROP
    # Fazendo Log
    iptables -A INPUT -p tcp -i eth1 -j LOG --log-level DEBUG --log-prefix "Pacote tcp:"
    iptables -A INPUT -p icmp -i eth1 -j LOG --log-level DEBUG --log-prefix "Pacote icmp:"
    iptables -A INPUT -p icmp -i eth0 -j LOG --log-level DEBUG --log-prefix "Pacote icmp:"
    # leitura de pacotes
    iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
    iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

    ficou legal o seu firewall , simples e objetivo

    vc pegar umas dicas aki e colocar no meu

    valeu
    Dougld

    echo " Firewall chamado!!! "
    fi






Tópicos Similares

  1. Dúvida TCP eu acho
    Por lrezende no fórum Servidores de Rede
    Respostas: 6
    Último Post: 29-01-2003, 08:39
  2. tcp e udp
    Por no fórum Servidores de Rede
    Respostas: 1
    Último Post: 17-01-2003, 23:13
  3. NFS over TCP
    Por Cyberfred no fórum Servidores de Rede
    Respostas: 0
    Último Post: 15-01-2003, 18:16
  4. Unificação de Redes TCP/IP
    Por Hawthorn no fórum Servidores de Rede
    Respostas: 6
    Último Post: 23-12-2002, 17:58
  5. sockets options
    Por no fórum Servidores de Rede
    Respostas: 0
    Último Post: 07-11-2002, 13:49

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L