Página 2 de 2 PrimeiroPrimeiro 12
+ Responder ao Tópico



  1. #21
    charadaa
    Visitante

    Padrão Proteja a rede de Vírus

    PRIMEIRO VEM AS REGRAS ACCEPT, POR ULTIMO AS REGRAS DROP

  2. #22
    whinston
    Visitante

    Padrão isto ae

    entao, axo que eu me expressei mal
    o contrario que eu disse nao eh que 1 kernel eh mais ou menos seguro por default e sim que a ordem das regras mudaram

    abre (accept)
    drop (fecha)

    antigamente era:
    drop (fecha)
    abre (accept

    Citação Postado originalmente por charadaa
    PRIMEIRO VEM AS REGRAS ACCEPT, POR ULTIMO AS REGRAS DROP



  3. #23

    Padrão Proteja a rede de Vírus

    Povo nao façam confusao, tanto faz a ordem! tudo depende da politica padrão

    se vc comecar teu firewall com
    iptables -P INPUT DROP
    vc vai ter q botar ACCEPT pra liberar as conexoes necessarias

    se vc comecar com o padrao (iptables -P INPUT ACCEPT)
    ai vc tem que usar DROP pra bloquear tudo oq nao quiser

  4. #24
    whinston
    Visitante

    Padrão teste

    velho, a ordem realmente importa
    da 1 testadinha ae

    poe 1 accept, depois 1 drop
    e depois 1 drop e depois accept

    Citação Postado originalmente por 1c3_m4n
    Povo nao façam confusao, tanto faz a ordem! tudo depende da politica padrão

    se vc comecar teu firewall com
    iptables -P INPUT DROP
    vc vai ter q botar ACCEPT pra liberar as conexoes necessarias

    se vc comecar com o padrao (iptables -P INPUT ACCEPT)
    ai vc tem que usar DROP pra bloquear tudo oq nao quiser



  5. #25

    Padrão Proteja a rede de Vírus

    depende
    por exemplo se vc fizer

    iptables -A INPUT -p tcp --dport 22 -j DROP
    iptables -A INPUT -p tcp --dport 22 -j ACCEPT

    eh claro q faz diferença, nesse caso ele vai ignorar o accept,
    eu tava me referindo a ordem de DROP/ACCEPT da politica padrao

  6. #26

    Padrão Proteja a rede de Vírus

    Bom dia,
    Se eu começa o FW assim como está Abaixo, depois tem q vir abrindo porta a porta q vou usar??? tipo abrir a 3128, 22, 21, 25, 110 etc...
    OBS: No final eu abri a porta 22 terei q fazer o mesmo com a 3128 para o squid funcionar ou a regra q está já basta...??????
    Grato pela atenção.

    #!/bin/sh

    #Internet=eth1
    #Rede Interna=eth0

    # Ativa módulos
    modprobe ip_tables
    modprobe iptable_nat
    modprobe ip_conntrack
    modprobe ip_conntrack_ftp
    modprobe ip_nat_ftp
    modprobe ipt_REJECT
    modprobe ipt_MASQUERADE

    # Zera regras
    iptables -F
    iptables -X
    iptables -F -t nat
    iptables -X -t nat
    iptables -F -t mangle
    iptables -X -t mangle

    # Determina a política padrão
    iptables -P INPUT DROP
    iptables -P OUTPUT DROP
    iptables -P FORWARD DROP

    # Compartilha a conexão
    iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
    echo 1 > /proc/sys/net/ipv4/ip_forward

    # Rede Interna
    iptables -A INPUT -s 192.168.0.0/255.255.255.0 -i eth0 -j ACCEPT

    # Proxy transparente
    iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128

    # Abre SSH
    iptables -A INPUT -p tcp -dport 22 -j ACCEPT

    # Abre VNC
    iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 5900 -j DNAT --to 192.168.0.100



  7. #27

    Padrão Proteja a rede de Vírus

    nossa vc fechou tudo mesmo hein heheheh, eh vc vai ter que abrir uma por uma, e nao se esqueca de usar a regra
    -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
    tanto pra forward como output

  8. #28

    Padrão Proteja a rede de Vírus

    Citação Postado originalmente por 1c3_m4n
    nossa vc fechou tudo mesmo hein heheheh, eh vc vai ter que abrir uma por uma, e nao se esqueca de usar a regra
    -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
    tanto pra forward como output
    1c3_m4n desculpe abusar do seu tempo mas aonde eu coloco está regra q vc citou acima e quais portas eu tenho a abrir para ter um trafego transparente para o usuário sei que o FW ta meio drástico mas hj em dia sabe como é né...A ideia e não barra nada para o usuário da rede interna, quero q ele tenha passe livre em tudo...pode usar Kazaa, Emule, MSN, Skype, email...tudo tudo como se ele estivesse em casa, pq aqui temos Proxy de 10 Gigas e controle de banda, ai oq ele faz com a fatia de banda dele eu não ligo..rsrs. A ideia é apenas barrar os ataques vindos da web, agora o usuário não pode nem perceber nada nem ser barrado pelo FW em momento algum e a unica coisa q gostaria que fosse aberto para a internet é o SSH e VNC q ambos mudarei o numero da porta para dar uma dificultada nos ataques...rsrs. Sou novato com iptables e ainda me enrolo um pouco com a posição das regras. Pesso desculpas novamente pelo abuso mas já venho tentando fazer algo assim a algum tempo e não tenho obtido sucesso e sei de sua competência com o iptables por isso gostaria da sua ajudar.
    Grato e um abraço



  9. #29
    pablito
    Visitante

    Padrão Proteja a rede de Vírus

    O problema do tamanho do log é resolvido com o logrotate.