local host nao navega

**PcGuy** · 25-03-2003, 15:02

Boa tarde,

Qdo. levanto o iptables nao consigo navegar pelo servidor onde está o firewall, porquê?
Seguem as regras:

iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

iptables -A INPUT -p tcp -s 192.168.80.0/16 --dport 80 -j ACCEPT

Desde já agradeço a atenção,

[]s.

Danilo_Montagna · 25-03-2003, 15:10

coloque uma regar de INPUT para todas as interfaces do firewall

pois provavelmente para navegar pelo firewall vc nao usa a interface interna..

**mistymst** · 25-03-2003, 15:26

Eh.. eu jah vi esses problemas hehe... bom digamos que voce tem que deixar o loopback das interfaces livres. tipo seu firewall tem 3 ifaces, entao o "trafego" entre elas (internamente) tem que ser liberado <IMG SRC="images/forum/icons/icon_smile.gif"> algo enjuado, porem se nao for feito , poof , break things <IMG SRC="images/forum/icons/icon_smile.gif">

a maioria dos "fw" makers faz isso <IMG SRC="images/forum/icons/icon_smile.gif"> o q eu normalmente faco e usar um desses, criar uma regra inicial e depois fazer modificacoes que eu acho q sao necessarias

**1c3m4n** · 25-03-2003, 15:49

pra mim isso ae eh pq está com INPUT DROP!!!! todas as requisicoes que vc faz precisam dar um retorno pro servidor, entaum como está DROP ele num responde!!!!!!!!

coloca ae
iptables -A INPUT -p udp -s 0/0 --dport 1023: -j ACCEPT
iptables -A INPUT -p tcp -s 0/0 --dport 1023: ! --syn -j ACCEPT

mas essa segunda nem precisa... soh coloca ela se sua conexão ficar mto lenta

**PcGuy** · 25-03-2003, 16:24

Obrigado a todos, mas tentei pela resposta do Ice porque ficou mais clara p/ mim.

Ice,

Funcionou somente trocando o protocolo para tcp, ficando assim:

iptables -A INPUT -p tcp -s 0/0 --dport 1023: -j ACCEPT

Neste caso estou deixando todas portas abertas para a INPUT acima de 1023, certo?
Não fica uma brecha de segurança?
Desde já agradeço pela atenção,

[]s.

25-03-2003, 16:36

claro que fica... pois qualquer porta acima de 1023 nao estara barrada no firewall

é nessas situações que vc usa o --SYN proibindo que a conexao se inicie pelo host de fora da rede.

iptables -A INPUT -p tcp -s 0/0 --dport 1023: ! --syn -j ACCEPT

mais eu ainda trabalho diferente com meus firewalls.. eu apenas uso uam regar assim nas chains de INPUT, OUTPUT e FORWARD

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

isso ja diz que para todas as conexoes estabelecidas ou realcionadas com outras conexoes.. sejam aceitas.. com isso vc nao percisa se preocupar em fornecer a regra de retorno dos pacotes..

Danilo_Montagna · 25-03-2003, 16:40

o post acima é meu pessoal...

desculpe .. nao vi que nao estava logado..

[]´s

**1c3m4n** · 25-03-2003, 17:52

eh verdade isso resolve, mas falar que fica furo de segurança eh exagero.... ateh pq os serviços mais comuns rodam abaixo de 1023...

**PcGuy** · 25-03-2003, 18:13

Danilo_Montagna,

Posso fazer assim então para liberar o acesso para navegação?

iptables -A INPUT -p tcp -s 192.168.80.0/16 --dport 3128 -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

abraço,

Danilo_Montagna · 25-03-2003, 19:48

bom.. cada um pensa de uma forma.. mais para mim.. se eu for em um cliente e fazer um firewall e deixar praticamente umas 64500 portas abertas.. seria uma baita falta de profissionalismo... ainda mais.. que eu estava la para fazer a segurança do cara...e como tem várias Empresas qeu pagam outras.. para testar a segurança desses serviços.. com certeza eu iria perder o contrato e ainda teria meu filme queimado pela Empresa..

mesmo nao estando sendo usadas. e mesmo sendo portas consideradas nao-usadas.. nao tem pq deixa-las abertas se vc tem disponibilidade via software firewall (iptables) para poder fechalas... <IMG SRC="images/forum/icons/icon_wink.gif">

quanto maior a segurança.. menor o risco que se corre.. nenhum firewall é 100% seguro.. mais cabe a nós.. profissionais de segurança.. manter pelo menos perto disso...

[]´s

<TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-1>Quote:</font><HR></TD></TR><TR><TD><FONT SIZE=-1><BLOCKQUOTE>
On 2003-03-25 17:52, 1c3_m4n wrote:
eh verdade isso resolve, mas falar que fica furo de segurança eh exagero.... ateh pq os serviços mais comuns rodam abaixo de 1023...
</BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE>

============================
Danilo Montagna
Analista de Suporte / Consultor Técnico
Netowork Security Engineer
Microsoft Certified Professional
[email protected]
http://www.mcpdomain.com
============================

[ Esta mensagem foi editada por: Danilo_Montagna em 25-03-2003 19:51 ]

Danilo_Montagna · 25-03-2003, 19:48

PcGuy,

essa regra deve ser inserida apenas um vez em cada chain.. ela vale para todas as regras.. ok..

<TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-1>Quote:</font><HR></TD></TR><TR><TD><FONT SIZE=-1><BLOCKQUOTE>
On 2003-03-25 18:13, PcGuy wrote:
Danilo_Montagna,

Posso fazer assim então para liberar o acesso para navegação?

iptables -A INPUT -p tcp -s 192.168.80.0/16 --dport 3128 -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

abraço,
</BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE>

**PcGuy** · 26-03-2003, 12:09

Problema resolvido e funcionando como desejado!!!

Obrigado a todos!

<IMG SRC="images/forum/icons/icon_wink.gif">

[]s.

local host nao navega

Ferramentas de Tópicos