Firewall - Usuário

[mbyte]

Olá amigos, tenho uma empresa com 5 filiais, todas, matriz e filiais com ip fixo, blz, no firewall bloqueio tudo e só libero os ips fixos das filiais, agora quando dá algum problema, e eu não estou em nenhuma filial, não tenho acesso a matriz, gostaria de saber se tem como fazer uma regra pra liberar o usuário, independente do ip, não precisa ser o root, eu crio lá o usuário fulano e libero no firewall, tem como ?

obrigado ! desde já !

[jhonatanw]

Acredito que não. mas, uma vez que voce deseja liberar por usuário, o sistema vai pedir uma autenticação. Basta você liberar o serviço> Por exemplo: Se voce quer acessar um sistema na matriz que funcione via telnet, basta liberar a porta do telnet no servidor. Quanto ao usuário, acredito que nao. Mas, não tenho certeza.

Grato

[mbyte]

é isso mesmo a minha intenção, via ssh, só que como só tá liberado no firewall os ips fixos, ele me bloqueia na hora, estou procurando uma regra que antes de verificar o ip ele verifique o usuário e libere !

[mhp]

Você tem que liberar a porta do serviço para qualquer IP. A regra deve ser inserida antes de alguma outra que impeça o acesso. No iptables, pelo menos que eu saiba, não há forma de liberar por usuário, é o serviço que deve exigir autenticação. No caso do SSH, uma boa política de segurança recomenda configurar o sshd para não aceitar logins do root.

[mbyte]

então meu firewall tá assim :

#LIMPA TODAS AS REGRAS EXISTENTES
iptables -F INPUT iptables -F FORWARD
iptables -t nat -F PREROUTING
iptables -t nat -F POSTROUTING

#BLOQUEIA TODOS OS PACOTES
iptables -P INPUT DROP iptables -P FORWARD DROP

#Aceita Tudo Para Maquinas Internas (quando 'eth1')
iptables -A INPUT -i eth1 -j ACCEPT iptables -A FORWARD -i eth1 -j ACCEPT

#LIBERA PORTAS

#SSH -local e maquinas filiais com ip fixo !

Interno iptables -A INPUT -p TCP -s 192.168.0.0/24 --dport 22 -m state --state NEW -j ACCEPT
FILIAL 1 iptables -A INPUT -p TCP -s 200.xxx.xxx.xxx --dport 22 -m state --state NEW -j ACCEPT
FILIAL 2 iptables -A INPUT -p TCP -s 200.xxx.xxx.xxx --dport 22 -m state --state NEW -j ACCEPT
FILIAL 3 iptables -A INPUT -p TCP -s 200.xxx.xxx.xxx --dport 22 -m state --state NEW -j ACCEPT
FILIAL 4 iptables -A INPUT -p TCP -s 200.xxx.xxx.xxx --dport 22 -m state --state NEW -j ACCEPT


se antes eu liberar a porta 22, libera pra todo mundo, é isso ?

[mhp]

É isso mesmo, mas se você precisa acessar de qualquer lugar, tem que liberar para qualquer IP, pois não vai ter como definir o IP de onde esta entrando. Se for paranóico em relação à segurança, mude a porta padrão do sshd para alguma acima da 49152. Esta foi inclusive a solução que encontrei para evitar o bando de logs gerados por tentativas de login no meu roteador. De novo: configure o sshd para não aceitar logins do root (é um dos usuários mais usados nestas tentativas) e procure usar nomes de usuários menos comuns, aí fica bastante seguro.

[mbyte]

blz, o pb é que o patrão "ouviu dizer" que assim fica muito aberto a invasões e determinou que liberasse somente os ips das filiais !

se não tem jeito ?

fazer o que ?

obrigado a todos !!!

[mhp]

Mostre este tópico para o chefe. A possibilidade de um ataque ser bem sucedido é pouca e geralmente o esforço dos crackers é proporcional à importância do alvo (um banco, um grande portal, etc.), embora a Internet esteja infestada de moleques e robots. Eu mesmo trabalho para empresas que têm acesso remoto ou VPN usando conexões ADSL ou Wireless, que são muito mais econômicas do que um link dedicado, só que os IPs geralmente são dinâmicos, então não dá para filtrar por IP. Até hoje não tive problemas. Se forem tomadas algumas medidas preventivas elementares o risco é o mesmo, até porque não adianta ter o melhor firewall do mundo se a rede tem acesso à Internet com IP público (estático ou dinâmico) e os usuários não tomarem cuidado para não plantar um cavalo de tróia em alguma estação, por exemplo, e iniciar uma conexão clandestina a partir de dentro.