Página 1 de 3 123 ÚltimoÚltimo
+ Responder ao Tópico



  1. Pessoal tava pensando qual seria as regras de firewall mais basicas para apenas o usuario navegar sem mais nada, maquina que o proprio usuario usa sem rede interna, e pensei nessas:
    Código :
    # Limpando as Regras
    iptables -F INPUT
    iptables -F OUTPUT
    iptables -F FORWARD
     
    # Definindo a Politica Default das Cadeias
    iptables -P INPUT DROP
    iptables -P OUTPUT ACCEPT
    iptables -P FORWARD DROP
     
    # Desabilitando o trafego IP Entre as Placas de Rede
    echo "0" > /proc/sys/net/ipv4/ip_forward
     
    # Configurando a Protecao anti-spoofing
    echo "Setting anti-spoofing .....[ OK ]"
    for spoofing in /proc/sys/net/ipv4/conf/*/rp_filter; do
            echo "1" > $spoofing
            done
    # Qualquer pacote IP que venha do localhost, Ok.
    iptables -A INPUT -s 127.0.0.1 -j ACCEPT
     
    # No iptables, temos de dizer quais sockets sao validos em uma conexao
    iptables -A INPUT -m state --state ESTABLISHED,RELATED,NEW -j ACCEPT
    Teria de por algo mais??

    QQ ideia é bem vinda, obrigado

  2. #2
    TheMage
    Puxa,.. acho que vc liberou tudo quando pos -m state --state NEW -j ACCEPT

    O firewall pra vc simplesmente navegar,.. vc tem que liberar, logico, a navegação, mas tem que liberar tmb resolução de nomes,...

    Segue esse: (to fazendo agora,.. !! hehehe)

    ipt=path/to/iptables
    IFEXT=eth0; #Um modelo de interface externa, que sai para a internet

    $ipt -P INPUT DROP
    $ipt -P OUTPUT DROP
    $ipt -P FORWARD DROP

    $ipt -A INPUT -i lo -j ACCEPT
    $ipt -A INPUT -m state --state ESTABELISHED,RELATED -i ${IFEXT} -j ACCEPT

    $ipt -A OUTPUT -m state --state ESTABELISHED,RELATED -o ${IFEXT} -j ACCEPT
    $ipt -A OUTPUT -m state --state NEW -o ${IFEXT} -p udp --dport 53 -j ACCEPT
    $ipt -A OUTPUT -m state --state NEW -o ${IFEXT} -p tcp --dport 80 --syn -j ACCEPT
    $ipt -A OUTPUT -m state --state NEW -o ${IFEXT} -p tcp --dport 443 --syn -j ACCEPT

    heheheh,... Bem simplesinho,.. heheh,... gostei,.. !
    esta eh uma boa pratica,... segue o modelo de melhor firewall,...



  3. Citação Postado originalmente por TheMage
    Puxa,.. acho que vc liberou tudo quando pos -m state --state NEW -j ACCEPT

    O firewall pra vc simplesmente navegar,.. vc tem que liberar, logico, a navegação, mas tem que liberar tmb resolução de nomes,...

    Segue esse: (to fazendo agora,.. !! hehehe)

    ipt=path/to/iptables
    IFEXT=eth0; #Um modelo de interface externa, que sai para a internet

    $ipt -P INPUT DROP
    $ipt -P OUTPUT DROP
    $ipt -P FORWARD DROP

    $ipt -A INPUT -i lo -j ACCEPT
    $ipt -A INPUT -m state --state ESTABELISHED,RELATED -i ${IFEXT} -j ACCEPT

    $ipt -A OUTPUT -m state --state ESTABELISHED,RELATED -o ${IFEXT} -j ACCEPT
    $ipt -A OUTPUT -m state --state NEW -o ${IFEXT} -p udp --dport 53 -j ACCEPT
    $ipt -A OUTPUT -m state --state NEW -o ${IFEXT} -p tcp --dport 80 --syn -j ACCEPT
    $ipt -A OUTPUT -m state --state NEW -o ${IFEXT} -p tcp --dport 443 --syn -j ACCEPT

    heheheh,... Bem simplesinho,.. heheh,... gostei,.. !
    esta eh uma boa pratica,... segue o modelo de melhor firewall,...
    Cara so uma coisa é ESTABLISHED nao ESTABELISHED, e tpo assim esse ta legal pq so permite navegação, ae voce pode ir liberando o que mais vc quiser as poucos, é uma boa ideia tb, o meu eu pensei mais para deixar o usuario fazer tudo, mas protejer ele contra tentativas de invasão, alem dessas regras quis regras de proteção o pessoal acha que tem de por??

    vlw ae

  4. Cade as regras que ativam o repasse dos pacotes MASQUERADE ???

    Ou nao tem ???

    Valeu



  5. Citação Postado originalmente por gatoseco
    Cade as regras que ativam o repasse dos pacotes MASQUERADE ???

    Ou nao tem ???

    Valeu
    Cara esse firewall nao é para fazer nat, é apenas um firewall para uma maquina, para permitir que ela use a internet, uma maquina sem rede interna nem nada, so ela, um firewall que seria para implantar em maquinas de usuarios domesticos ou em um laptop, entao gostaria de ideias para deixar esse firewall o mais fechado possivel. Seja com log de tentativas ou bloqueio de possiveis ataques.

    falows






Tópicos Similares

  1. é possivel mais de um linux no mesmo hd?
    Por chn no fórum Servidores de Rede
    Respostas: 8
    Último Post: 07-07-2005, 08:03
  2. Um help basico dos mais experientes!
    Por Rawgen no fórum Redes
    Respostas: 6
    Último Post: 18-04-2005, 11:56
  3. PHP.ini , é possivel ter mais de um arquivo de config.
    Por no fórum Linguagens de Programação
    Respostas: 1
    Último Post: 19-10-2004, 14:04
  4. basico em firewall
    Por no fórum Servidores de Rede
    Respostas: 2
    Último Post: 08-10-2004, 17:18
  5. Meu firewall me bloqueou.. não faço mais nada
    Por guardian_metal no fórum Servidores de Rede
    Respostas: 15
    Último Post: 02-09-2004, 21:09

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L