Página 1 de 2 12 ÚltimoÚltimo
+ Responder ao Tópico



  1. #1

    Padrão .: Regras de Firewall :.

    Qual o local correto para criar minhas regras de Firewall? Estou utilizando Conectiva Linux 9, mas em breve quero passar para o Conectiva Linux 10.

    Fico muito grato ao colega que puder ajudar.

  2. #2
    micaias
    Visitante

    Padrão .: Regras de Firewall :.

    Se você colocar o script em:

    /etc/rc.d/init.d

    ele iniciará junto ao boot

    ou

    voce pode adicionar uma linha no final do arquivo /etc/rc.d/rc.local
    para iniciar o script seja lá onde ele estiver.



  3. #3

    Padrão .: Regras de Firewall :.

    Cara,

    Onde vc colocar suas regras eh uma coisa meio pessoal.
    No meu caso, eu fragmento as regras de firewall em varios scripts para facilitar a manutencao e existe um script que chama tudo como se fosse um do init.d... (ex. do meu caso firewall start, ou firewall stop, ou firewall nuke, etc). Vc pode cirar seu script de firewall e chama-lo no boot pelo rc.local, ou colocado no init.d, como vc achar melhor.

    [] Dotta :twisted:

  4. #4

    Padrão Re: .: Regras de Firewall :.

    Cara faz assim vi /etc/init.d/firewall dentro do arquivo vc coloca:

    # Carrega os modulos
    modprobe iptables
    modprobe iptable_nat

    # Compartilha a conexão
    iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
    echo 1 > /proc/sys/net/ipv4/ip_forward

    # Abre para a rede local
    iptables -A INPUT -p tcp --syn -s 192.168.0.0/255.255.255.0 -j ACCEPT

    # Fecha o resto
    iptables -A INPUT -p tcp --syn -j DROP

    Depois vc sai e salva o arquivo, logo em seguida vc faz o seguinte:

    vi /etc/rc.d/rc.local la dentro depois da ultima linha vc coloca
    /etc/init.d/firewall sai e salva tambem

    Depois de permissao pro arquivo ser executado no rc.local
    chmod +x /etc/init.d/firewall

    Legal agora va ate init.d e digita la ./firewall

    E depois iptables -L pra ver se as regras foram aplicadas

    Obs: Esse e um script simples mas objetivo nao permite que outro host de fora se conecta a sua maquina por meio de portas escancaradas, voce pode implementar bem mais regras agora so depende de vc !!!


    Valeu e ate mais !!!



  5. #5

    Padrão .: Regras de Firewall :.

    OK! Obrigado pessoal pela força.

  6. #6

    Padrão .: Regras de Firewall :.

    Precisando e so dar um toque!!!



  7. #7

    Padrão Re: .: Regras de Firewall :.

    Citação Postado originalmente por gatoseco
    # Fecha o resto
    iptables -A INPUT -p tcp --syn -j DROP
    desculpa mas tenho que falar denovo, isso nao fecha o resto! isso soh fecha pacotes SYN!

    leiam isso por favor:
    https://under-linux.org/noticia4712.html

  8. #8

    Padrão Re: .: Regras de Firewall :.

    Entao coloca essa regra no final so seu script de firewall e pede pra alguem scanear seu micro e ver quantas portas aparecem abertas !!!

    Dai volta ao topico e me conta!!!



  9. #9

    Padrão .: Regras de Firewall :.

    leia antes de criticar

    como o artigo diz, um simples nmap pode ateh ser bloqueado, mas se usar um scan do tipo FIN ou XMAS nao!

  10. #10
    wrochal
    Visitante

    Padrão .: Regras de Firewall :.

    Então você pode colocar da seguinte forma

    -P INPUT DROP

    ou

    -A INPUT -p ALL -j DROP

    falou,



  11. #11

    Padrão .: Regras de Firewall :.

    se alguem ler o artigo vai ver q isso ta lah...............

    LEIAM

    ler faz bem

  12. #12

    Padrão Re: .: Regras de Firewall :.

    Citação Postado originalmente por gatoseco
    Entao coloca essa regra no final so seu script de firewall e pede pra alguem scanear seu micro e ver quantas portas aparecem abertas !!!

    Dai volta ao topico e me conta!!!
    soh pra provar,se nao for o teu modem que ta bloqueando:

    Código :
    [email protected][lfs]:~# nmap -n -vv -sF -P0 -O 200.19X.XX.48
     
    Starting nmap 3.81 ( http://www.insecure.org/nmap/ ) at 2005-04-17 21:35 BRT
    Initiating FIN Scan against 200.19X.XX.48 [1663 ports] at 21:35
    FIN Scan Timing: About 26.14% done; ETC: 21:37 (0:01:25 remaining)
    FIN Scan Timing: About 71.50% done; ETC: 21:38 (0:00:46 remaining)
    The FIN Scan took 184.50s to scan 1663 total ports.
    Warning:  OS detection will be MUCH less reliable because we did not find at least 1 open and 1 closed TCP port
    Host 200.19X.XX.48 appears to be up ... good.
    Interesting ports on 200.19X.XX.48:
    (The 1662 ports scanned but not shown below are in state: closed)
    PORT   STATE         SERVICE
    80/tcp open|filtered http
    Too many fingerprints match this host to give specific OS details
    TCP/IP fingerprint:
    SInfo(V=3.81%P=i686-pc-linux-gnu%D=4/17%Tm=426301A4%O=-1%C=1)
    T5(Resp=Y%DF=N%W=0%ACK=S++%Flags=AR%Ops=)
    T6(Resp=Y%DF=N%W=0%ACK=O%Flags=R%Ops=)
    T7(Resp=Y%DF=N%W=0%ACK=S++%Flags=AR%Ops=)
    PU(Resp=Y%DF=N%TOS=0%IPLEN=38%RIPTL=148%RID=E%RIPCK=E%UCK=E%ULEN=134%DAT=E)
     
    Nmap finished: 1 IP address (1 host up) scanned in 193.075 seconds
                   Raw packets sent: 1714 (68.7KB) | Rcvd: 3275 (151KB)

    e esse do wrochal

    Código :
    [email protected][lfs]:~# nmap -n -vv -sF -P0 -O 200.16X.XX.176
     
    Starting nmap 3.81 ( http://www.insecure.org/nmap/ ) at 2005-04-17 21:43 BRT
    Initiating FIN Scan against 200.16X.XX.176 [1663 ports] at 21:43
    The FIN Scan took 22.87s to scan 1663 total ports.
    Warning:  OS detection will be MUCH less reliable because we did not find at least 1 open and 1 closed TCP port
    Host 200.16X.XX.176 appears to be up ... good.
    Interesting ports on 200.16X.XX.176:
    (The 1646 ports scanned but not shown below are in state: closed)
    PORT      STATE         SERVICE
    21/tcp    open|filtered ftp
    25/tcp    open|filtered smtp
    80/tcp    open|filtered http
    81/tcp    open|filtered hosts2-ns
    135/tcp   open|filtered msrpc
    139/tcp   open|filtered netbios-ssn
    443/tcp   open|filtered https
    445/tcp   open|filtered microsoft-ds
    593/tcp   open|filtered http-rpc-epmap
    1080/tcp  open|filtered socks
    3128/tcp  open|filtered squid-http
    4444/tcp  open|filtered krb524
    4480/tcp  open|filtered proxy-plus
    6588/tcp  open|filtered analogx
    8000/tcp  open|filtered http-alt
    8080/tcp  open|filtered http-proxy
    19150/tcp open|filtered gkrellmd
    Too many fingerprints match this host to give specific OS details
    TCP/IP fingerprint:
    SInfo(V=3.81%P=i686-pc-linux-gnu%D=4/17%Tm=426302CF%O=-1%C=1)
    T5(Resp=Y%DF=Y%W=0%ACK=S++%Flags=AR%Ops=)
    T6(Resp=Y%DF=Y%W=0%ACK=O%Flags=R%Ops=)
    T7(Resp=Y%DF=Y%W=0%ACK=S++%Flags=AR%Ops=)
    PU(Resp=Y%DF=N%TOS=C0%IPLEN=164%RIPTL=148%RID=E%RIPCK=E%UCK=E%ULEN=134%DAT=E)
     
    Nmap finished: 1 IP address (1 host up) scanned in 27.757 seconds
                   Raw packets sent: 1723 (69.1KB) | Rcvd: 3088 (143KB)



  13. #13

    Padrão .: Regras de Firewall :.

    Pois e 1c3_m4n ja que ler faz bem e eu concordo com vc da uma olhada nesse artigo que tenho escrito com cerca de 120 linhas confiavel e robusto
    da uma analisada pra mim, so pra ver se esse ta bom se nao tiver me da um toque que dai vou continuar lendo artigos que fazem referencias a cinco linhas de comando !!! hehehe
    E lembre-se que quem criticou foi vc quando passei regras que poderiam ajudar nosso amigo aqui do forum , facil de aplicar e tambem de entender regras essas muito usadas por Carlos E. Morimoto por muito tempo considerado a personalidade do ano no mundo do software livre homem de poucas criticas e muitas contribuiçoes !!!

    http://www.linuxit.com.br/section-viewarticle-714.html


    Valeu galera espero mais uma vez ter ajudado!!!

  14. #14
    wrochal
    Visitante

    Padrão .: Regras de Firewall :.

    Melhor este

    iptables -A INPUT -j DROP



  15. #15

    Padrão .: Regras de Firewall :.

    Citação Postado originalmente por wrochal2002
    Melhor este

    iptables -A INPUT -j DROP
    Isso sim fecha tudo, como ESTA no artigo

    e gatoseco, como tb esta no artigo existem zilhoes de maneiras de se aplicar um firewall, tudo depende de como vc faz, e com foi feito aki neste topico se encaixa exatamente no aritgo q eu passei

    e no artigo q vc passou esta:
    # Politica de acesso
    iptables -P INPUT DROP

    Exatamente como eu recomendo no artigo q eu passei, ai eu concordo q fecha tudo

    mas iptables -A INPUT --syn -j DROP
    NUNCA VAI FECHAR TUDO

    Mais um detalhe tamanho num eh porra nenhuma em iptables....... basta 1 linha pra fechar tudo,

  16. #16

    Padrão .: Regras de Firewall :.

    e no artigo q vc passou esta:
    # Politica de acesso
    iptables -P INPUT DROP

    Passei esse link so pra mostrar que aplico essas regras tambem em scripts que eu uso e ainda mostro como desempenhar varias outras atividades dentro do mesmo,e que ja sabia da importancia dessas regras, entao apenas dei um exemplo de como nosso amigo poderia iniciar um script de firewall pois pelo que vi ele esta começando no mundo linux e seria importante começar devagar pra que pudesse entender melhor o funcionamento da coisa, por isso nao so mostrei como fazer mas sim como utilizar regras que funcionam muito bem pra quem ta começando!!!

    Entao pra finalizar nossa discussao desnecessaria gostaria de dizer que vc tente bancar o esperto com outro e nao comigo pois nao preciso de suas explicaçoes, mesmo por que vc ostenta um status dentro do site que nao condiz com sua educaçao, moderador por moderador tambem sou mas num site em que temos respeito pelos participantes!!!

    www.linuxit.com.br

    Mais um detalhe tamanho num eh " porra " nenhuma em iptables....... basta 1 linha pra fechar tudo

    Falou



  17. #17
    wrochal
    Visitante

    Padrão .: Regras de Firewall :.

    Pessoal,

    Sem stress é bom discutir com nivel, que isso eleva a discussões saudaveis a chegar em uma conclusão, sendo que todos aqu estamos para aprender, desde tecnico até educação.

    Vamos manter-se calmo!!!!

    E tornar este forum um icone para a comunidade, e mudar a forma de pensar.

    Como citei no tópico que criei.

    Veja aqui..

    :clap:

  18. #18

    Padrão .: Regras de Firewall :.

    Citação Postado originalmente por gatoseco
    Entao pra finalizar nossa discussao desnecessaria gostaria de dizer que vc tente bancar o esperto com outro e nao comigo pois nao preciso de suas explicaçoes, mesmo por que vc ostenta um status dentro do site que nao condiz com sua educaçao, moderador por moderador tambem sou mas num site em que temos respeito pelos participantes!!!

    Mais um detalhe tamanho num eh " porra " nenhuma em iptables....... basta 1 linha pra fechar tudo
    E oq foi q eu falei??????????????????????????????????????
    que iptables -A INPUT --syn -j DROP nao fecha tudo! mas que iptables -A INPUT -j DROP fecha!

    segundo, falta de educação? de quem? vc soh falou algo errado e eu corrigi, se nao gostou nao posso fazer nada, qdo vc ver eu falando algo errado como --syn -j DROP fecha tudo, ai vc me chama a atenção

    terceiro, vai querer me dizer que precisa de + de 1 regra pra fechar tudo? :toim:



  19. #19

    Padrão .: Regras de Firewall :.

    Fechar "tudo" eh relativo... mas se fosse ao peh da letra teria que ter pelomenos 2 regras :P

    # iptables -I INPUT -j DROP (ou OUTPUT, oke importa que de uma forma ou outra nao teria como receber ou enviar resposta de uma requisicao, a nao ser q tivesse outra regra permitindo conexao estabelecida/relacionada)

    e

    # iptables -I FORWARD -j DROP

    :P

    Mas se fosse para usar essas 2 regras ao mesmo tempo sozinhas, teria um jeito ainda mais facil... só não ligar nenhuma placa de rede/interface com. no computador :P :P

  20. #20

    Padrão .: Regras de Firewall :.

    Citação Postado originalmente por DropALL
    Mas se fosse para usar essas 2 regras ao mesmo tempo sozinhas, teria um jeito ainda mais facil... só não ligar nenhuma placa de rede/interface com. no computador :P :P
    hahahah ai sim o computador ta seguro, ninguem vai conseguir invadir , pelo menos não externamente heheehhe