Página 3 de 3 PrimeiroPrimeiro 123
+ Responder ao Tópico



  1. #11
    johnny
    Rapaz... funfou!!!
    Vlw mesmo ))

    Oq vc achou desse fire?
    Acaha q tem brechas.. tem sugestão para melhora-lo?

    abraço e obrigado pela força!

    João

  2. Sim. tem algumas coisas redudantes, quando voce jah poem a politica default em drop, nao precisa sair dropando quesitos especificos como:

    /sbin/iptables -A FORWARD --protocol tcp --tcp-flags ALL SYN,ACK -j DROP
    /sbin/iptables -A FORWARD -m unclean -j DROP
    /sbin/iptables -A FORWARD -m state --state INVALID -j DROP
    Posso estar cego, mas voce cria uma chain chamada VALID_CHECK e nao a utiliza, waste of memory.

    Isso aqui é uma duplicidade:

    /sbin/iptables -A INPUT -p ALL -s 127.0.0.1 -i lo -j ACCEPT
    /sbin/iptables -A INPUT -p ALL -s $ip_local -i lo -j ACCEPT
    iptables -A INPUT -i lo -j ACCEPT

    resolve pois se esta entrando na interface de loopback é obvio q é local e somente local, logo nao precisa especificar o ip, voce tem 2 regras q poderiam ser escritas como uma, waste of processing.

    suas duas ultimsa regras na chain forward/input
    /sbin/iptables -A INPUT -j DROP
    /sbin/iptables -A FORWARD -j DROP
    sao inuteis, ou melhor, estao em duplicata, pois a politica default é DROP, e voce repete o DROP no final, é como voce escrever duas vezes -A INPUT -j DROP, logo waste of memory.


    Agora quanto a essa regra:

    /sbin/iptables -A FORWARD -p tcp -m limit --limit 1/s -j ACCEPT
    voce esta impondo um limite ao protocolo tcp, nao sei ate que ponto isso pode vai ser bom, inclusive na sua chain de forward, se voce tiver 1000 clientes atras desse firewall... sera q nao vai haver mais de uma conexao tcp por segundo, ainda tem o burst q é de 5 por default, mas pensa nisso, mas bom se nao der problema para voce sem galho, mais interessante seria voce ter isso na chain de input, mas bom isso varia de acordo com a sua infraestrutura, posso estar ate criticando essa parte errada, nao sei exatamente quais sao suas politicas.

    Bom nao leve para o lado pessoal hehe, é so uma critica as suas regras, de resto acho que esta tudo tranquilo a principio... so apontei os erros que eu encontrei, nao estou sugerindo melhorias a mais, pois como disse nao conheco a estrutura e nem como funciona, entao é so uma analise superficial. Lembre-se, isso é apenas a minha opniao.



  3. #13
    johnny
    Rapaz... vlw pela força viu....
    Ficaram algumas dúvidas.

    Sobre meu caso.. esse servidor está na web em um datacenter.
    Não tenho nada atrás dele.. ele está na web direto )

    Dúvida:
    Se minha politica está assim:
    /sbin/iptables -P INPUT DROP
    /sbin/iptables -P OUTPUT ACCEPT
    /sbin/iptables -P FORWARD DROP

    Tipo.. td que tiver para FORWARD OU IMPUT q seja DROP é redundancia?
    Ex:
    /sbin/iptables -A FORWARD -m state --state INVALID -j DROP
    /sbin/iptables -A INPUT -i eth0 -f -j DROP

    É isso mesmo neh?


    Agora sobre o que comentou..
    Meu servidor é um server web para apache com MySQL.Libero apenas SSH e DNS além da porta 80.
    Como poderia melhorar isso aqui:
    /sbin/iptables -A FORWARD -p tcp -m limit --limit 1/s -j ACCEPT

    É muito bom ter sua ajuda )

    abraço!!!
    Johnny

  4. Citação Postado originalmente por johnny
    Tipo.. td que tiver para FORWARD OU IMPUT q seja DROP é redundancia?
    Ex:
    /sbin/iptables -A FORWARD -m state --state INVALID -j DROP
    /sbin/iptables -A INPUT -i eth0 -f -j DROP
    Nesse caso nao eh redundancia nao, como vc tem algumas portas abertas, pode ser q "entre" algum pacote invalido nelas, isso ai vai bloquear (mas coloque essas regras antes das de liberar)






Tópicos Similares

  1. Kazaa + firewall
    Por serrato no fórum Servidores de Rede
    Respostas: 3
    Último Post: 10-01-2005, 20:21
  2. Não consigo configurar firewall
    Por buosinet no fórum Servidores de Rede
    Respostas: 5
    Último Post: 29-11-2004, 19:09
  3. Squid + Firewall
    Por serrato no fórum Servidores de Rede
    Respostas: 10
    Último Post: 02-12-2002, 18:54
  4. firewall x webmail ou firewall x php?
    Por eclaudin no fórum Segurança
    Respostas: 3
    Último Post: 23-08-2002, 04:14
  5. Não consigo configurar firewall
    Por buosinet no fórum Servidores de Rede
    Respostas: 1
    Último Post: 28-03-2002, 21:44

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L