+ Responder ao Tópico



  1. #1
    ozzymaia
    Visitante

    Padrão Melhor regra!!!

    eae...
    Bom siguint...
    até agora... eu só tenho a agradecer, afinal, todos os meus problemas estao sendo resolvidos graças a vcs!!!
    Muito Obrigado...
    Mas para abusar mais um pouquinho....rs
    No meu servidor q roda APACHE, BIND e VSFTPD e futuramente Qmail, estou instalando o iptables para bloquear intrusos...

    Minha intenção e bloquear qualquer um q tentar entrar... mas acontece q eu preciso acessar internet a partir dele, portanto essa minha idéia não daria certo!!!
    No entanto sei q tem como eu criar exceções, mas não sei como faze-las....
    eu tenho apenas uma placa d rede nesse servidor....
    o que eu posso fazer??
    A regra q estou usando para bloquear tudo e:
    iptables -P INPUT DROP

    mas as exceções eu não sei como criar....
    Alguém conseguiria me ajudar???
    Obrigado!!!

  2. #2
    lss
    Visitante

    Padrão Melhor regra!!!

    vc acessa seu servidor via ssh ?
    se for pode liberar somente ips determinados por vc para acessar
    iptables -A INPUT -p tcp -d ipseuservidor-s seuip --destination-port 22 -j ACCEPT
    iptables -A INPUT -p tcp -d ipseuservidor-s seuip --destination-port 80 -j ACCEPT

    e assim por diante, nao sei se é esta sua duvida , mas qq coisa posta ae.
    flwww

  3. #3
    ozzymaia
    Visitante

    Padrão Melhor regra!!!

    É mais ou menos isso....rs
    Na verdade esse meu servidor é uma máquina sozinha...
    Eu queria fechar todas as portas e deixar ele trabalhando apenas com as portas que ele usaria, ou seja, já que ele tem BIND instalado, ele usa a porta 53, então não sei como fazer pra liberar essa porta.. Não sei se libero a porta apenas pra saída ou se tenho que liberar pra entrada tbm... a mesma coisa acontece com o VSFTPD... eu não sei onde eu posso liberar a porta ftp, se é de entrada ou de saída...
    Lembrando que nesse servidor estão hospedadas algumas páginas para internet!!!
    Alguém tem idéia sobre essa minha situação??!?

    Obrigado desde Já!!!!
    Valews!!!

  4. #4

    Padrão Melhor regra!!!

    Já rodou o nmap para saber quais portas estão abertas?

  5. #5
    ozzymaia
    Visitante

    Padrão Melhor regra!!!

    estão abertas somente 21, 53 e 80
    Mas será que não há problemas de tentarem abrir outras portas qdo tentarem acessar meu servidor?
    eu realmente estou um pouco perdido com isso!!!
    Valew!!!

  6. #6

    Padrão Melhor regra!!!

    Você mapeou todas as portas? ou só as tcps?
    Se alguém invadir o seu sever, com certeza ele vai querer abrir outras portas... Lembre-se que alterar a senha do root com uma certa frequência e tente utilizar o snort para "farejar" intrusões, agora leia muito sobre o snort, pois ele pode gerar muitos alarmes falsos, caso esteja mal configurado...

  7. #7

    Padrão Melhor regra!!!

    Você mapeou todas as portas? ou só as tcps?
    Se alguém invadir o seu sever, com certeza ele vai querer abrir outras portas... Lembre-se que alterar a senha do root com uma certa frequência e tente utilizar o snort para "farejar" intrusões, agora leia muito sobre o snort, pois ele pode gerar muitos alarmes falsos, caso esteja mal configurado...

    P.S. Mantenha sempre o seu sistema atualizado, não sei qual a sua distro, mas se ela é das que usa apt, faça um script no cron para executar um update e um upgrade pelo menos à cada semana...

  8. #8
    ozzymaia
    Visitante

    Padrão Melhor regra!!!

    Blz.... Valeu pelas dicas.... assim o farei eu tenho Red Hat, e ele tem um sistema de atualização automático.... acho que vou faer isso mesmo!!

    Mas qto ao iptables, eu não preciso configurar nenhuma regra pra bloquear as portas que não são usadas? Basta as atualizações?

    Eu dei um nmap e o endereço ip da minha máquina e pronto!!!!
    ele me listou esses três IP's...

  9. #9

    Padrão Melhor regra!!!

    Então o comando nmap tem suas restrições, quando vc dá um:
    nmap -sU xxx.xxx.xxx.xxx ele só escaneia as UDPs
    nmap -sT xxx.xxx.xxx.xxx só escaneia as TCPs
    sacou???

    Agora, se vc executa um comando iptables, que bloqueia todas as portas, e depois executa outros que liberam as portas que vc utiliza, toda as vezes que o micro reboota, mais as atualizações necessárias, ai sim o seu micro estará seguro (não totalmente, mas sim muito seguro)

  10. #10
    lss
    Visitante

    Padrão Melhor regra!!!

    para liberar as portas
    iptables -A INPUT -p tcp --destination-port 22 -j ACCEPT

    iptables -A INPUT -p tcp --destination-port 25 -j ACCEPT

    iptables -A INPUT -p tcp --destination-port 110 -j ACCEPT

    para bloquear
    iptables -A INPUT -p tcp --destination-port 80 -j DROP

    leia iptables.under-linux.org para melhor entendimento da referida ferramenta.

  11. #11

    Padrão Melhor regra!!!

    Bom primeiro,
    postfix > qmail.

    segundo, se vc usa uma politica default drop, as "excessoes" sao os accepts q vc vai criar.

    basicamente eh isso, o resto eh iptables

  12. #12
    ozzymaia
    Visitante

    Padrão Melhor regra!!!

    Então você aconselha eu instalar o postfix a instalar o qmail?
    Ele é muito melhor?... afinal eu estava escolhendo o qmail, porque tem aquela de segurança ser a melhor e o criador até oferecer reconpensa pra quem conseguir burlar o sistema com qmail..... Bom Valeu pela dica!!

    E qto as regras de iptables, eu fiz o seguinte:
    #IPTABLES
    iptables -P INPUT DROP
    iptables -A INPUT -p tcp --dport 80 -j ACCEPT
    iptables -A INPUT -p udp --dport 80 -j ACCEPT
    iptables -A OUTPUT -p tcp --dport 80 -j ACCEPT
    iptables -A OUTPUT -p udp --dport 80 -j ACCEPT
    iptables -A INPUT -p tcp --dport 53 -j ACCEPT
    iptables -A INPUT -p udp --dport 53 -j ACCEPT
    iptables -A OUTPUT -p tcp --dport 53 -j ACCEPT
    iptables -A OUTPUT -p udp --dport 53 -j ACCEPT
    iptables -A INPUT -p tcp --dport 21 -j ACCEPT
    iptables -A INPUT -p udp --dport 21 -j ACCEPT
    iptables -A OUTPUT -p tcp --dport 21 -j ACCEPT
    iptables -A OUTPUT -p udp --dport 21 -j ACCEPT

    Mas eu não consigo acessar ftp mais!!!
    e a internet interna parece ter oarado de funcionar, afinal não consegui acessar...
    O que está errado nas regras acima?

    Valeu!!!
    Falow!

  13. #13
    ozzymaia
    Visitante

    Padrão Melhor regra!!!

    Acrescentei as seguintes linhas, mas ainda assim não consigo acessar o ftp!!!!!
    iptables -A INPUT -p tcp --dport 20 -j ACCEPT
    iptables -A INPUT -p udp --dport 20 -j ACCEPT
    iptables -A OUTPUT -p tcp --dport 20 -j ACCEPT
    iptables -A OUTPUT -p udp --dport 20 -j ACCEPT

    Alguém sabe o que eu posso fazer???
    Eu consigo acessar os sites normalmente, mas não consigo acessar o ftp dps mesmos...
    E qdo eu disabilito todas as regras do iptables, ele passa a funcionar normalmente...
    Será que eu esqueci de alguma coisa..... Acredito que o problema seja bem pequeno, mas não sei onde pode estar...
    Se alguém puder me ajudar... ficarei agradecido...
    Valeu!!
    Falow!!!

  14. #14
    Visitante

    Padrão Melhor regra!!!

    Oi gente....
    Eu estou com o mesmo problema q o usuário Diogo....
    Não estou conseguindo deixar o FTP funcionando enquanto "Dropo" todas as portas e deixo funcionando apenas as q deveriam ser usadas...
    80,53, 21 e 20

    Alguém sabe o q esta acontecendo??????

  15. #15

    Padrão Melhor regra!!!

    Mande os comandos do iptables aqui, pragente ver se tem algo de errado...

  16. #16
    ozzymaia
    Visitante

    Padrão Melhor regra!!!

    Galera... minhas regras estão assim:

    #iptables -P INPUT DROP
    #iptables -A INPUT -p tcp --dport 80 -j ACCEPT
    #iptables -A INPUT -p udp --dport 80 -j ACCEPT
    #iptables -A OUTPUT -p tcp --dport 80 -j ACCEPT
    #iptables -A OUTPUT -p udp --dport 80 -j ACCEPT
    #iptables -A INPUT -p tcp --dport 53 -j ACCEPT
    #iptables -A INPUT -p udp --dport 53 -j ACCEPT
    #iptables -A OUTPUT -p tcp --dport 53 -j ACCEPT
    #iptables -A OUTPUT -p udp --dport 53 -j ACCEPT
    #iptables -A INPUT -p tcp --dport 20 -j ACCEPT
    #iptables -A INPUT -p udp --dport 20 -j ACCEPT
    #iptables -A OUTPUT -p tcp --dport 20 -j ACCEPT
    ##iptables -A OUTPUT -p udp --dport 20 -j ACCEPT
    #iptables -A FORWARD -p tcp --dport 20 -j ACCEPT
    #iptables -A FORWARD -p udp --dport 20 -j ACCEPT
    #iptables -A INPUT -p tcp --dport 21 -j ACCEPT
    #iptables -A INPUT -p udp --dport 21 -j ACCEPT
    #iptables -A OUTPUT -p tcp --dport 21 -j ACCEPT
    #iptables -A OUTPUT -p udp --dport 21 -j ACCEPT
    #iptables -A FORWARD -p tcp --dport 21 -j ACCEPT
    #iptables -A FORWARD -p udp --dport 21 -j ACCEPT

    Mas nada de liberar o FTP!!!!
    Eu acesso o site na internet.... mas não consigo me conectar com o FTP...
    Q coisa!! :?

  17. #17
    ozzymaia
    Visitante

    Padrão Melhor regra!!!

    Eae... bom fiz as seguintes modificações, mas nada feito... ainda não consigo conectar o FTP...
    ### REGRA INPUT ####
    #iptables -P INPUT DROP
    #iptables -A INPUT -p tcp --dport 80 -j ACCEPT
    #iptables -A INPUT -p udp --dport 80 -j ACCEPT
    #iptables -A INPUT -p tcp --dport 53 -j ACCEPT
    #iptables -A INPUT -p udp --dport 53 -j ACCEPT
    #iptables -A INPUT -p tcp --dport 20 -j ACCEPT
    #iptables -A INPUT -p udp --dport 20 -j ACCEPT
    #iptables -A INPUT -p tcp --dport 21 -j ACCEPT
    ##iptables -A INPUT -p udp --dport 21 -j ACCEPT

    ### ACRESCENTA ESSA ####
    #iptables -A INPUT -i eth0 -p udp --sport 21 -j ACCEPT
    #iptables -A INPUT -i eth0 -p tcp --sport 21 -j ACCEPT
    #iptables -A INPUT -i eth0 -p udp --sport 20 -j ACCEPT
    #iptables -A INPUT -i eth0 -p tcp --sport 20 -j ACCEPT
    Alguém sabe o q esta errado??!?!?!
    Os sites eu acesso normalmente de fora, mas o FTP deste servidor fica inacecível...

    Não consigo entender!!!!

  18. #18
    ozzymaia
    Visitante

    Padrão Melhor regra!!!

    Galera consegui encontrar o solução para o meu problema... e resolvi postar aqui no Underlinux... para quem passar pelo mesmo problema que eu... eu consegui esse script no fórum da linuxsecurity... e gostaria que todos soubessem desse solução fantástica...
    Valeu!!
    Até Mais!!!

    #!/bin/sh
    #
    # This script will be executed *after* all the other init scripts.
    # You can put your own initialization stuff in here if you don't
    # want to do the full Sys V style init stuff.

    touch /var/lock/subsys/local
    iptables=/sbin/iptables
    IFEXT=eth0

    #IPTABLES
    ### REGRA INPUT ####

    $iptables -A INPUT -i $IFEXT -p tcp --dport 80 -j ACCEPT
    $iptables -A INPUT -i $IFEXT -p udp --dport 53 -j ACCEPT
    $iptables -A INPUT -i $IFEXT -p tcp --sport 20 -j ACCEPT
    $iptables -A INPUT -i $IFEXT -p tcp --dport 21 -j ACCEPT
    $iptables -A INPUT -i $IFEXT --match state --state ESTABLISHED,RELATED -j ACCEPT
    $iptables -A INPUT -i $IFEXT --match state NEW,ESTABLISHED,RELATED -j ACCEPT

  19. #19

    Padrão Melhor regra!!!

    O ideal é que vc libere as portas que só vc usa, como a 22 por exemplo, apenas para o seu IP de casa, ou empresa...

  20. #20
    Visitante

    Padrão Melhor regra!!!

    Citação Postado originalmente por ozzymaia
    É mais ou menos isso....rs
    Na verdade esse meu servidor é uma máquina sozinha...
    Eu queria fechar todas as portas e deixar ele trabalhando apenas com as portas que ele usaria, ou seja, já que ele tem BIND instalado, ele usa a porta 53, então não sei como fazer pra liberar essa porta.. Não sei se libero a porta apenas pra saída ou se tenho que liberar pra entrada tbm... a mesma coisa acontece com o VSFTPD... eu não sei onde eu posso liberar a porta ftp, se é de entrada ou de saída...
    Lembrando que nesse servidor estão hospedadas algumas páginas para internet!!!
    Alguém tem idéia sobre essa minha situação??!?

    Obrigado desde Já!!!!
    Valews!!!