Página 3 de 3 PrimeiroPrimeiro 123
+ Responder ao Tópico



  1. #11
    Lestat1
    HEHEHEHEEH, tomo papudo, foi dar de esperto e acabou sendo descoberto.
    É isso aí demiurgo

  2. #12
    felco
    Citação Postado originalmente por DarkSide
    Citação Postado originalmente por Visitante
    caro amigo, vc cometeu, uns dos erros, mais grave na administração de redes, publicar o seu ip e como sabemos qual regra de firewall vc usa, cara vou hackear o seus servers.
    hauhauhauhauhauh.

    Opz, uma gafe rapida eu admito (é isso q dah trabalha ateh mais tarde), mas ja resolvido.
    Testa o www.ipcop.org talvez ele tenha limitacoes tecnicas pra oque voce ta fazendo, mas pelo oque eu vi no seu script nao vai ter problema em usar ele e com certeza vai poupar muita horas escrevendo ruleset... ou entao se quiser algo robusto eh realmente flexivel usa o tuxfrw que e' muito bom mesmo!!!! http://tuxfrw.sourceforge.net/



  3. #13
    DarkSide
    Resolvido !

    Nada como estudar um pouco....

    Valeu galera (inclusive o nosso "amigo" que diz que vai me hackear, agradeço o toke do ip :wink: ), os links indicados por todos foi de bom uso. Agora tah tudo funcionando redondim.

    Vou postar minha solução encontrada, pois foi dificil achar na net alguém que fizesse o mesmo pra poder servir de base. Fica aki minha contribuição a todos.

    Vejam como ficou meu script:

    # Limpando regras
    iptables -t nat -F
    iptables -F

    # Fechando repasse e entrada
    iptables -P INPUT DROP
    iptables -P OUTPUT ACCEPT
    iptables -P FORWARD DROP

    # Relatando conexoes
    iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
    iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT

    # Aceitando conexões para o Loopback do Firewall
    iptables -A INPUT -p ALL -s 127.0.0.1 -i lo -j ACCEPT
    iptables -A INPUT -p ALL -s 200.200.200.254 -i lo -j ACCEPT
    iptables -A INPUT -p ALL -s 201.201.201.254 -i lo -j ACCEPT

    # Liberar SSH partido do firewall
    iptables -A INPUT -i eth2 -p tcp --sport 22 -j ACCEPT

    # Liberar REPASSE das portas para o servidor 200.200.200.1 (Server1)
    # DNS tcp,udp / SMTP / POP / IMAP / FTP / HTTP / HTTPS
    iptables -A FORWARD -p udp -d 200.200.200.1 --dport 53 -j ACCEPT
    iptables -A FORWARD -p tcp -m tcp --dport 53 -d 200.200.200.1 -j ACCEPT
    iptables -A FORWARD -p tcp -m tcp --dport 25 -d 200.200.200.1 -j ACCEPT
    iptables -A FORWARD -p tcp -m tcp --dport 110 -d 200.200.200.1 -j ACCEPT
    iptables -A FORWARD -p tcp -m tcp --dport 143 -d 200.200.200.1 -j ACCEPT
    iptables -A FORWARD -p tcp -m tcp --dport 20 -d 200.200.200.1 -j ACCEPT
    iptables -A FORWARD -p tcp -m tcp --dport 21 -d 200.200.200.1 -j ACCEPT
    iptables -A FORWARD -p tcp -m tcp --dport 80 -d 200.200.200.1 -j ACCEPT
    iptables -A FORWARD -p tcp -m tcp --dport 443 -d 200.200.200.1 -j ACCEPT

    # Liberar REPASSE das portas para o servidor 200.200.200.2 (Server2)
    # DNS tcp,udp / FTP / HTTP / HTTPS
    iptables -A FORWARD -p udp -d 200.200.200.2 --dport 53 -j ACCEPT
    iptables -A FORWARD -p tcp -m tcp --dport 53 -d 200.200.200.2 -j ACCEPT
    iptables -A FORWARD -p tcp -m tcp --dport 20 -d 200.200.200.2 -j ACCEPT
    iptables -A FORWARD -p tcp -m tcp --dport 21 -d 200.200.200.2 -j ACCEPT
    iptables -A FORWARD -p tcp -m tcp --dport 80 -d 200.200.200.2 -j ACCEPT
    iptables -A FORWARD -p tcp -m tcp --dport 443 -d 200.200.200.2 -j ACCEPT

    # Liberar REPASSE das portas para o servidor 200.200.200.3 (Windows 2000)
    # VNC
    iptables -A FORWARD -p tcp -m tcp --dport 5900:5999 -d 200.200.200.3 -j ACCEPT

    # Mascaramento
    modprobe ipt_conntrack
    modprobe ip_conntrack
    modprobe ip_conntrack_ftp
    iptables -t nat -F
    iptables -t nat -A POSTROUTING -s 10.0.0.0/24 -o eth2 -j SNAT --to 201.201.201.254

    # Proteções
    # Ping
    iptables -A INPUT -p icmp --icmp-type echo-request -j DROP
    iptables -A FORWARD -p icmp --icmp-type echo-request -j DROP

    # Ping da morte
    iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
    iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT

    # Syn-flood
    iptables -A INPUT -p tcp -m limit --limit 1/s -j ACCEPT
    iptables -A FORWARD -p tcp -m limit --limit 1/s -j ACCEPT

    # Portscan
    iptables -A INPUT -p tcp --syn -m limit --limit 1/s -j ACCEPT
    iptables -A FORWARD -p tcp -m limit --limit 1/s -j ACCEPT

    # Bugs em traducao NAT
    iptables -A OUTPUT -m state -p icmp --state INVALID -j DROP

    # Ataques DoS
    iptables -A FORWARD -m unclean -j DROP

    # spoofing
    iptables -A INPUT -i eth2 -s 10.0.0.0/8 -j DROP
    iptables -A INPUT -i eth2 -s 172.16.0.0/12 -j DROP
    iptables -A INPUT -i eth2 -s 192.168.0.0/16 -j DROP
    iptables -A INPUT -i eth2 -s 224.0.0.0/4 -j DROP
    iptables -A INPUT -i eth2 -s 240.0.0.0/5 -j DROP

    # Descarte de pacotes com cabeçalhos invalidos
    iptables -A FORWARD -m state --state INVALID -j DROP

  4. #14
    pablito
    As configurações sugeridas para o iptables foram interessantes, mas um bom firewall não vem só das configurações do seu software que você vai usar, no caso o iptables. Tenta mudar a arquitetura de segurança do seu sistema firewall como um todo. Coloca mais barreiras, como zonas dmz, roteadores, etc.

    Valeu, qualquer coisa, estamos aí..



  5. Citação Postado originalmente por demiurgo
    Citação Postado originalmente por Visitante
    caro amigo, vc cometeu, uns dos erros, mais grave na administração de redes, publicar o seu ip e como sabemos qual regra de firewall vc usa, cara vou hackear o seus servers.
    hauhauhauhauhauh.
    q ridiculo isso linuxkids

    quem quiser conhecer mais um pouco sobre nosso "amigo" visitante ae, deem uma olhada no profile dele:
    https://under-linux.org/modules.php?...profile&u=8960

    O login eh LinuxKids e omsn dele eh:
    suportelinux@itelefonica.com.br

    O site q ele mantem eh o:
    www.linuxstar.com.br

    []'s
    pois é colega, a minha intenção não é tentar invadir os server de ninguem, principalmente ae do colega, entende, mas sim alerta a ele para não postar o ip dele em foruns, mesmo o pq, quem vai fazer não avisa que vai fazer certo. bom peço desculpa a todos pela minha ignorancia em ter feito uma postagen destas, e não é causar repercusão sobre isto, certo.

    Bom mais uma vez desculpas e vlw,






Tópicos Similares

  1. Respostas: 3
    Último Post: 08-12-2010, 05:40
  2. mik como firewall pra minha rede
    Por ederamboni no fórum Redes
    Respostas: 1
    Último Post: 11-09-2007, 20:47
  3. Liberando todas as portas no firewall pra um ip
    Por no fórum Servidores de Rede
    Respostas: 1
    Último Post: 26-08-2003, 09:17
  4. Firewall - Colocando todas as maquinas pra dentro
    Por peen-gween no fórum Servidores de Rede
    Respostas: 2
    Último Post: 22-05-2003, 10:19
  5. Qual unix uso pra servidor Proxy e firewall e qual uso pra w
    Por Brastemp no fórum Servidores de Rede
    Respostas: 4
    Último Post: 27-03-2003, 14:58

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L