Página 2 de 3 PrimeiroPrimeiro 123 ÚltimoÚltimo
+ Responder ao Tópico



  1. #6
    rovani
    Eu bloqueio tudo no iptables e depois vou liberando o que eu preciso:

    IPTABLES="/usr/sbin/iptables"
    INTER="eth1"
    INTRA="eth0"

    # Nega tudo que chegar
    $IPTABLES -P INPUT DROP
    # Nega todos os repasses de pacotes
    $IPTABLES -P FORWARD DROP
    # Aceita todas as saidas de pacotes
    $IPTABLES -P OUTPUT ACCEPT
    # Limpa (flush) todas as regras do firewall
    $IPTABLES -F
    # Limpa (flush) o nat
    $IPTABLES -t nat -F
    # Limpa (flush) todas as regras (chains) personalizadas
    $IPTABLES -X
    # Limpa todas regras especificas
    $IPTABLES -Z

    # Liberacao do Loopback
    $IPTABLES -A INPUT -i lo -j ACCEPT

    # Spoof Protection
    $IPTABLES -t nat -A PREROUTING -i $INTER -s 10.0.0.0/8 -j DROP
    $IPTABLES -t nat -A PREROUTING -i $INTER -s 172.16.0.0/16 -j DROP
    $IPTABLES -t nat -A PREROUTING -i $INTER -s 192.168.0.0/24 -j DROP

    # Internet -> Firewall
    # Ping
    $IPTABLES -A INPUT -p icmp --icmp-type 0 -j ACCEPT
    $IPTABLES -A INPUT -p icmp --icmp-type 8 -j ACCEPT

    # Libera a porta 22 (ssh) para todos da rede interna
    $IPTABLES -A INPUT -i $INTRA -p tcp --dport 22 -j ACCEPT

    # Libera a porta 22 (ssh) para os vindos da internet
    $IPTABLES -A INPUT -i $INTER -p tcp --dport 22 -s xxx.xxx.xx.x -j ACCEPT

    ....

    onde:
    xxx.xxx.xx.x é o ip desejado. Faça uma regra para cada ip

    obs.: Aqui tem uma parte da configuração que você pode fazer e com poucas modificações cfe tua necessidade acho que resolve.

  2. #7
    Rulls
    No caso, seria editar o arquivo /etc/hosts.allow e fazer as seguintes alterações:

    Remover a linha:

    ALL : ALL : allow

    Essa linha permite todo tipo de acesso a sua máquina, ssh, telnet, ftp..
    Para restringir o acesso é so adicionar a seguinte linha:

    sshd : IP1, IP2, IP3 : allow

    No caso, IP1, IP2, IP3 seriam os ips que vc vai permitir(allow) o acesso.

    Vale dar um dica que é comentar as linhas de sendmail, ipv6, ftp, portmap dentro do hosts.allow, claro que se vc estiver usando algum desses serviços, habilitar de acordo com sua necessidade.

    Espero ter ajudado.

    Abraços
    Rulls



  3. Citação Postado originalmente por rovani
    Eu bloqueio tudo no iptables e depois vou liberando o que eu preciso:

    IPTABLES="/usr/sbin/iptables"
    INTER="eth1"
    INTRA="eth0"

    # Nega tudo que chegar
    $IPTABLES -P INPUT DROP
    # Nega todos os repasses de pacotes
    $IPTABLES -P FORWARD DROP
    # Aceita todas as saidas de pacotes
    $IPTABLES -P OUTPUT ACCEPT
    # Limpa (flush) todas as regras do firewall
    $IPTABLES -F
    # Limpa (flush) o nat
    $IPTABLES -t nat -F
    # Limpa (flush) todas as regras (chains) personalizadas
    $IPTABLES -X
    # Limpa todas regras especificas
    $IPTABLES -Z

    # Liberacao do Loopback
    $IPTABLES -A INPUT -i lo -j ACCEPT

    # Spoof Protection
    $IPTABLES -t nat -A PREROUTING -i $INTER -s 10.0.0.0/8 -j DROP
    $IPTABLES -t nat -A PREROUTING -i $INTER -s 172.16.0.0/16 -j DROP
    $IPTABLES -t nat -A PREROUTING -i $INTER -s 192.168.0.0/24 -j DROP

    # Internet -> Firewall
    # Ping
    $IPTABLES -A INPUT -p icmp --icmp-type 0 -j ACCEPT
    $IPTABLES -A INPUT -p icmp --icmp-type 8 -j ACCEPT

    # Libera a porta 22 (ssh) para todos da rede interna
    $IPTABLES -A INPUT -i $INTRA -p tcp --dport 22 -j ACCEPT

    # Libera a porta 22 (ssh) para os vindos da internet
    $IPTABLES -A INPUT -i $INTER -p tcp --dport 22 -s xxx.xxx.xx.x -j ACCEPT

    ....

    onde:
    xxx.xxx.xx.x é o ip desejado. Faça uma regra para cada ip

    obs.: Aqui tem uma parte da configuração que você pode fazer e com poucas modificações cfe tua necessidade acho que resolve.
    TE ACONSELHO TAMBÉM A FAZER POR IPTABLES COLEGA

  4. #9
    nikolas
    Citação Postado originalmente por Rulls
    No caso, seria editar o arquivo /etc/hosts.allow e fazer as seguintes alterações:

    Remover a linha:

    ALL : ALL : allow

    Essa linha permite todo tipo de acesso a sua máquina, ssh, telnet, ftp..
    Para restringir o acesso é so adicionar a seguinte linha:

    sshd : IP1, IP2, IP3 : allow

    No caso, IP1, IP2, IP3 seriam os ips que vc vai permitir(allow) o acesso.

    Vale dar um dica que é comentar as linhas de sendmail, ipv6, ftp, portmap dentro do hosts.allow, claro que se vc estiver usando algum desses serviços, habilitar de acordo com sua necessidade.

    Espero ter ajudado.

    Abraços
    Rulls
    Estou dando OPENBSD, e neste diretorio não tem este arquivo para fazer estas alterações.
    []'s



  5. tente assim com o pf...

    block in all port 22
    pass in proto tcp from 192.168.10.5 to any port = 22
    pass in proto tcp from any to 192.168.10.5 port = 22 to any

    ou..
    block in all port 22
    pass in proto tcp from 192.168.10.0/24 to any port = 22

    testa aih e confirma pra nós....


    []'s






Tópicos Similares

  1. SSH não abre por ip valido
    Por diegofsousarn no fórum Servidores de Rede
    Respostas: 7
    Último Post: 23-02-2006, 20:20
  2. Limitar sessao de acesso por IP
    Por -SysZop- no fórum Servidores de Rede
    Respostas: 4
    Último Post: 09-09-2005, 17:20
  3. Como dar acesso a pasta por grupos e usuarios
    Por alinedarosa no fórum Servidores de Rede
    Respostas: 1
    Último Post: 08-09-2004, 16:58
  4. Limitar acesso a internet por IP (squid)
    Por Pracz no fórum Servidores de Rede
    Respostas: 3
    Último Post: 16-05-2004, 16:53
  5. WWW.NO-IP.COM Como ligo APACHE para ser visivel por fora.
    Por danielcesar no fórum Servidores de Rede
    Respostas: 5
    Último Post: 31-03-2004, 15:15

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L