Qual o local correto para criar minhas regras de Firewall? Estou utilizando Conectiva Linux 9, mas em breve quero passar para o Conectiva Linux 10.
Fico muito grato ao colega que puder ajudar.
Versão Imprimível
Qual o local correto para criar minhas regras de Firewall? Estou utilizando Conectiva Linux 9, mas em breve quero passar para o Conectiva Linux 10.
Fico muito grato ao colega que puder ajudar.
Se você colocar o script em:
/etc/rc.d/init.d
ele iniciará junto ao boot
ou
voce pode adicionar uma linha no final do arquivo /etc/rc.d/rc.local
para iniciar o script seja lá onde ele estiver.
Cara,
Onde vc colocar suas regras eh uma coisa meio pessoal.
No meu caso, eu fragmento as regras de firewall em varios scripts para facilitar a manutencao e existe um script que chama tudo como se fosse um do init.d... (ex. do meu caso firewall start, ou firewall stop, ou firewall nuke, etc). Vc pode cirar seu script de firewall e chama-lo no boot pelo rc.local, ou colocado no init.d, como vc achar melhor.
[] Dotta :twisted:
Cara faz assim vi /etc/init.d/firewall dentro do arquivo vc coloca:
# Carrega os modulos
modprobe iptables
modprobe iptable_nat
# Compartilha a conexão
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
echo 1 > /proc/sys/net/ipv4/ip_forward
# Abre para a rede local
iptables -A INPUT -p tcp --syn -s 192.168.0.0/255.255.255.0 -j ACCEPT
# Fecha o resto
iptables -A INPUT -p tcp --syn -j DROP
Depois vc sai e salva o arquivo, logo em seguida vc faz o seguinte:
vi /etc/rc.d/rc.local la dentro depois da ultima linha vc coloca
/etc/init.d/firewall sai e salva tambem
Depois de permissao pro arquivo ser executado no rc.local
chmod +x /etc/init.d/firewall
Legal agora va ate init.d e digita la ./firewall
E depois iptables -L pra ver se as regras foram aplicadas
Obs: Esse e um script simples mas objetivo nao permite que outro host de fora se conecta a sua maquina por meio de portas escancaradas, voce pode implementar bem mais regras agora so depende de vc !!!
Valeu e ate mais !!!
OK! Obrigado pessoal pela força.
Precisando e so dar um toque!!!
desculpa mas tenho que falar denovo, isso nao fecha o resto! isso soh fecha pacotes SYN!Citação:
Postado originalmente por gatoseco
leiam isso por favor:
https://under-linux.org/noticia4712.html
Entao coloca essa regra no final so seu script de firewall e pede pra alguem scanear seu micro e ver quantas portas aparecem abertas !!!
Dai volta ao topico e me conta!!!
leia antes de criticar
como o artigo diz, um simples nmap pode ateh ser bloqueado, mas se usar um scan do tipo FIN ou XMAS nao!
Então você pode colocar da seguinte forma
-P INPUT DROP
ou
-A INPUT -p ALL -j DROP
falou,
se alguem ler o artigo vai ver q isso ta lah...............
LEIAM
ler faz bem
soh pra provar,se nao for o teu modem que ta bloqueando:Citação:
Postado originalmente por gatoseco
Código :root@[lfs]:~# nmap -n -vv -sF -P0 -O 200.19X.XX.48 Starting nmap 3.81 ( http://www.insecure.org/nmap/ ) at 2005-04-17 21:35 BRT Initiating FIN Scan against 200.19X.XX.48 [1663 ports] at 21:35 FIN Scan Timing: About 26.14% done; ETC: 21:37 (0:01:25 remaining) FIN Scan Timing: About 71.50% done; ETC: 21:38 (0:00:46 remaining) The FIN Scan took 184.50s to scan 1663 total ports. Warning: OS detection will be MUCH less reliable because we did not find at least 1 open and 1 closed TCP port Host 200.19X.XX.48 appears to be up ... good. Interesting ports on 200.19X.XX.48: (The 1662 ports scanned but not shown below are in state: closed) PORT STATE SERVICE 80/tcp open|filtered http Too many fingerprints match this host to give specific OS details TCP/IP fingerprint: SInfo(V=3.81%P=i686-pc-linux-gnu%D=4/17%Tm=426301A4%O=-1%C=1) T5(Resp=Y%DF=N%W=0%ACK=S++%Flags=AR%Ops=) T6(Resp=Y%DF=N%W=0%ACK=O%Flags=R%Ops=) T7(Resp=Y%DF=N%W=0%ACK=S++%Flags=AR%Ops=) PU(Resp=Y%DF=N%TOS=0%IPLEN=38%RIPTL=148%RID=E%RIPCK=E%UCK=E%ULEN=134%DAT=E) Nmap finished: 1 IP address (1 host up) scanned in 193.075 seconds Raw packets sent: 1714 (68.7KB) | Rcvd: 3275 (151KB)
e esse do wrochal
Código :root@[lfs]:~# nmap -n -vv -sF -P0 -O 200.16X.XX.176 Starting nmap 3.81 ( http://www.insecure.org/nmap/ ) at 2005-04-17 21:43 BRT Initiating FIN Scan against 200.16X.XX.176 [1663 ports] at 21:43 The FIN Scan took 22.87s to scan 1663 total ports. Warning: OS detection will be MUCH less reliable because we did not find at least 1 open and 1 closed TCP port Host 200.16X.XX.176 appears to be up ... good. Interesting ports on 200.16X.XX.176: (The 1646 ports scanned but not shown below are in state: closed) PORT STATE SERVICE 21/tcp open|filtered ftp 25/tcp open|filtered smtp 80/tcp open|filtered http 81/tcp open|filtered hosts2-ns 135/tcp open|filtered msrpc 139/tcp open|filtered netbios-ssn 443/tcp open|filtered https 445/tcp open|filtered microsoft-ds 593/tcp open|filtered http-rpc-epmap 1080/tcp open|filtered socks 3128/tcp open|filtered squid-http 4444/tcp open|filtered krb524 4480/tcp open|filtered proxy-plus 6588/tcp open|filtered analogx 8000/tcp open|filtered http-alt 8080/tcp open|filtered http-proxy 19150/tcp open|filtered gkrellmd Too many fingerprints match this host to give specific OS details TCP/IP fingerprint: SInfo(V=3.81%P=i686-pc-linux-gnu%D=4/17%Tm=426302CF%O=-1%C=1) T5(Resp=Y%DF=Y%W=0%ACK=S++%Flags=AR%Ops=) T6(Resp=Y%DF=Y%W=0%ACK=O%Flags=R%Ops=) T7(Resp=Y%DF=Y%W=0%ACK=S++%Flags=AR%Ops=) PU(Resp=Y%DF=N%TOS=C0%IPLEN=164%RIPTL=148%RID=E%RIPCK=E%UCK=E%ULEN=134%DAT=E) Nmap finished: 1 IP address (1 host up) scanned in 27.757 seconds Raw packets sent: 1723 (69.1KB) | Rcvd: 3088 (143KB)
Pois e 1c3_m4n ja que ler faz bem e eu concordo com vc da uma olhada nesse artigo que tenho escrito com cerca de 120 linhas confiavel e robusto
da uma analisada pra mim, so pra ver se esse ta bom se nao tiver me da um toque que dai vou continuar lendo artigos que fazem referencias a cinco linhas de comando !!! hehehe
E lembre-se que quem criticou foi vc quando passei regras que poderiam ajudar nosso amigo aqui do forum , facil de aplicar e tambem de entender regras essas muito usadas por Carlos E. Morimoto por muito tempo considerado a personalidade do ano no mundo do software livre homem de poucas criticas e muitas contribuiçoes !!!
http://www.linuxit.com.br/section-viewarticle-714.html
Valeu galera espero mais uma vez ter ajudado!!!
Melhor este
iptables -A INPUT -j DROP
Isso sim fecha tudo, como ESTA no artigoCitação:
Postado originalmente por wrochal2002
e gatoseco, como tb esta no artigo existem zilhoes de maneiras de se aplicar um firewall, tudo depende de como vc faz, e com foi feito aki neste topico se encaixa exatamente no aritgo q eu passei
e no artigo q vc passou esta:
# Politica de acesso
iptables -P INPUT DROP
Exatamente como eu recomendo no artigo q eu passei, ai eu concordo q fecha tudo
mas iptables -A INPUT --syn -j DROP
NUNCA VAI FECHAR TUDO
Mais um detalhe tamanho num eh porra nenhuma em iptables....... basta 1 linha pra fechar tudo,
e no artigo q vc passou esta:
# Politica de acesso
iptables -P INPUT DROP
Passei esse link so pra mostrar que aplico essas regras tambem em scripts que eu uso e ainda mostro como desempenhar varias outras atividades dentro do mesmo,e que ja sabia da importancia dessas regras, entao apenas dei um exemplo de como nosso amigo poderia iniciar um script de firewall pois pelo que vi ele esta começando no mundo linux e seria importante começar devagar pra que pudesse entender melhor o funcionamento da coisa, por isso nao so mostrei como fazer mas sim como utilizar regras que funcionam muito bem pra quem ta começando!!!
Entao pra finalizar nossa discussao desnecessaria gostaria de dizer que vc tente bancar o esperto com outro e nao comigo pois nao preciso de suas explicaçoes, mesmo por que vc ostenta um status dentro do site que nao condiz com sua educaçao, moderador por moderador tambem sou mas num site em que temos respeito pelos participantes!!!
www.linuxit.com.br
Mais um detalhe tamanho num eh " porra " nenhuma em iptables....... basta 1 linha pra fechar tudo
Falou
Pessoal,
Sem stress é bom discutir com nivel, que isso eleva a discussões saudaveis a chegar em uma conclusão, sendo que todos aqu estamos para aprender, desde tecnico até educação.
Vamos manter-se calmo!!!!
E tornar este forum um icone para a comunidade, e mudar a forma de pensar.
Como citei no tópico que criei.
Veja aqui..
:clap:
E oq foi q eu falei??????????????????????????????????????Citação:
Postado originalmente por gatoseco
que iptables -A INPUT --syn -j DROP nao fecha tudo! mas que iptables -A INPUT -j DROP fecha!
segundo, falta de educação? de quem? vc soh falou algo errado e eu corrigi, se nao gostou nao posso fazer nada, qdo vc ver eu falando algo errado como --syn -j DROP fecha tudo, ai vc me chama a atenção
terceiro, vai querer me dizer que precisa de + de 1 regra pra fechar tudo? :toim:
Fechar "tudo" eh relativo... mas se fosse ao peh da letra teria que ter pelomenos 2 regras :P
# iptables -I INPUT -j DROP (ou OUTPUT, oke importa que de uma forma ou outra nao teria como receber ou enviar resposta de uma requisicao, a nao ser q tivesse outra regra permitindo conexao estabelecida/relacionada)
e
# iptables -I FORWARD -j DROP
:P
Mas se fosse para usar essas 2 regras ao mesmo tempo sozinhas, teria um jeito ainda mais facil... só não ligar nenhuma placa de rede/interface com. no computador :P :P
hahahah ai sim o computador ta seguro, ninguem vai conseguir invadir ;), pelo menos não externamente heheehheCitação:
Postado originalmente por DropALL
Então olha meu FW.
Tenho uma rede simples de 4 maquinas não barro nada minha finalidade é defender meus usuários sem q isso incomode a eles.
OBS: este FW é baseado numa conversa com o Ic3 q é valido resaltar foi extremamente atencioso e me ajudou muito.
A duvida é se eu quizer dropar output e forward também oq muda nas minhas regras???
A ideia sempre é proteger meus usúário sem q eles nem percebam isso e continuem o uso normal, feliz e alegres com seu outlook, msn, skype e afins...
Abração em todos
#!/bin/sh
#Internet=eth1
#Rede Interna=eth0
# Ativa módulos
modprobe ip_tables
modprobe iptable_nat
modprobe ip_conntrack
modprobe ip_conntrack_ftp
modprobe ip_nat_ftp
modprobe ipt_REJECT
modprobe ipt_MASQUERADE
# Zera regras
iptables -F
iptables -X
iptables -F -t nat
iptables -X -t nat
iptables -F -t mangle
iptables -X -t mangle
# Determina a política padrão
iptables -P INPUT DROP
# Proxy transparente
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 443 -j REDIRECT --to-port 3128
# Aceita os pacotes que realmente devem entrar
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -i eth0 -j ACCEPT
#SSH
iptables -A INPUT -p tcp --dport 22 --syn -j ACCEPT
#VNC
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 5900 -j DNAT --to 192.168.0.15
#Compartilha a conexão
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
echo 1 > /proc/sys/net/ipv4/ip_forward
#Fecha o resto
iptables -A INPUT -j DROP
pode tirar essa ultima regra de input :P como vc jah tem -P INPUT DROP, nao precisa dela
agora vc quer fechar, output e forward? eh soh seguir o mesmo conceito que foi usado na INPUT, feche tudo, dps libere as portas que vc quer dizer liberado, e claro nao esqueça as regras de state.
Mas vc vai ter mto trabalho.........
Qual seria a chace de ter algum problema com este FW q estou usando???? preciso realmente de travar output e forward?Citação:
Postado originalmente por 1c3_m4n
Oq vc me diz???
tudo depende da "confiança" q vc tem na rede, eh legal fechar forward se vc quiser ter controle total sobre oq vai sair/entrar pra sua rede. pelo q vc ta falando o pessoal pode usar msn,icq,skype,etc. ai acho que nao tem necessidade de fechar, vc vai ter mto trabalho pra fechar e depois liberar as portas necessarias, no maximo bloqueie forward do mundo externo comdestino pra rede em algumas portas, com isso vc consegue bloquear alguns,virus,worms, etc
output eu quase nunca bloqueio, output sao pacotes gerados localmente (no teu caso pacotes que o proprio servidor gera)
Como bloquei apenas o forward do mundo externo e qual consequencia teria isso?Citação:
Postado originalmente por 1c3_m4n
Grato pela atenção
faça assim:
iptables -A FORWARD -d REDE -m state --state RELATED,ESTABLISHED -j ACCEPT
iptablse -A FORWARD -d REDE -j DROP
com isso vc soh deixa os pacotes que os proprios clientes requisitaram entrar na rede interna, e bloqueia qq tentativa de conexao direta com eles
oq isso pode implicar? o msn nao mandar + arquivos, o skype tb nao conectar,etc...
iptables -A FORWARD -d REDE -m state --state RELATED,ESTABLISHED -j ACCEPT
iptablse -A FORWARD -d REDE -j DROP
o que vcs querem dizer com REDE???
ex
192.168.0.0/255.255.255.0
Não seria a eth1 para o proxy transparente, ja que ela é a interface pra internet??Citação:
Postado originalmente por lacierdias
eh eth0, pq eh a rede local que vai acessar o proxy... se vc colocar eth1, só vai acontecer que toda internet vai poder navegar pelo teu proxy :P :P :P :toim:Citação:
Postado originalmente por roggy
Está certissimo o nosso amigo DropALL...
Lembra-se que a ordem é primeiro você libera e depois você bloqueia.Citação:
Postado originalmente por lacierdias
Falou,
:good: