+ Responder ao Tópico



  1. #1
    Visitante

    Padrão Dica de Firewall

    Ola pessoal, esse fim de semana vou montar um servidor Linux que vai servir para compartilhar ADSL, banco de Dados mySQL, abrir FTP apenas para uma range de IP e SSH apenas para um IP Fixo....

    a internet eu vou compartilhar usando Proxy Transparente com Iptables

    eu gostaria de uma dica de voces de como montar um firewall bom??

    eu pensei assim, primeiro abro tudo que eu preciso e no final eu fecho tudo tipo um iptables -t filter -d <ip do servidor> -j REJECT ????
    isso funciona??

    ouvi dizer que pra funcionar internet eu preciso deixar das portas 1024 em diantes aberta.. isso é verdade????

    antecipadamente eu ja agradeço quem me ajudar

    valeu

    Marcos

  2. #2

    Padrão Dica de Firewall

    Nao tem necessiidade deixar as porta acima de 1024 abertas.

    Sobre o Script de Firewall na minha opiniao e mais seguro voce bloquear tudo e so abrir o que voce vai utilizar.

    Da uma pesquisada nas Mensagens anteriores que voce vai encontrar um Script de firewall basico praticamente pronto e Comentado com Diversas opinioes do pessoal do Grupo

    A Marcio



  3. #3
    Visitante

    Padrão Dica de Firewall

    eu uso squid como proxy transparente

    dentro da rede interna eu liberei a porta do SQUID e pra forar eu bloquei

    se eu bloquear tudo no final nao esta abrindo pagina
    se eu bloquear apenas das portas 1:1023 esta funcionando normal...


    alguem tem alguma idéia de quais portas entre 1024 até o final precisam ficar aberta (acho que é alguma porta que o squid trabalha)

    valeu

  4. #4
    Visitante

    Padrão Dica de Firewall

    Ô ZÉ MANÉ, VAI TOMAR NA TUA BUNDA, FRESCO!!! COMO DIABOS É ISSO, TU TÁ DOIDO! FILHO DUMA ÉGUA, TU ACHA QUE PLANO DE SEGURANÇA E MONTAGEM DE PERÍMETRO COM FIREWALL É COMPRAR NA CAIXINHA, COLOCAR EM CIMA DO COMPUTADOR E ESPERAR LÁ, QUE ELE PEGA E DÁ UM PULO SOZINHO PRÁS DENTRO DO SERVIDOR, É ?!?!?!?!

    VAI ESTUDAR, FRESCO!!! É POR ISSO!!! QUANTO MAIS OS ADMINISTRADORES SÉRIOS DE REDE QUE TRABALHAM E FAZEM A MAIOR FORÇA PARA QUE AS ESTATÍSTICAS DE SEGURANÇA REDUZAM O ÍNDICE DE FALHAS AQUI NO BRASIL, NA MESMA PROPORÇÃO APARECEM UM MONTE DE "FELAS DA PUTA" ACHANDO QUE ISSO É FEITO PIPOCA, BASTA COLOCAR NA PANELA E ESPERAR QUE FICA PRONTO SOZINHO!!!!!

    EU HEIN, VAI DAR TEU RABO PRÁ LÁ, E SÓ VOLTA DEPOIS, QUANDO TIVER, AO MENOS, CABEÇA PARA FAZER ALGUMA PERGUNTA PRODUTIVA, Ô IMBECIL!!!

    E TENHO DITO!!!


    ALVARO ANDRÉ DO NASCIMENTO
    Administrador Sênior Lustex Eng. Ltda.

  5. #5
    sinistrow
    Visitante

    Padrão Dica de Firewall

    Voce nao tem nocao do que fala nao ? Cada figura que aparece ...
    Um minimo de educacao eh sempre necessario.
    Mas respondendo a sua pergunta (a original), o ideal eh que voce
    crie uma politica para o seu firewall e depois ponha em pratica. Por exemplo,
    se voce deseja que os seus usuarios acessem na internet os sites (http, porta 80) e emails (porta 25,110,143) , bloqueie tudo e abra apenas o acesso
    externo a essas portas. Se voce estiver utilizando o squid, redirecione todos
    os acessos a porta 80,8080 para a porta 3124 (utilizada pelo squid)...
    Qualquer duvida manda aqui para a gente. E ignore pessoas mal-educadas ...

    []`s

    Daniel B. Cid
    [email protected]

  6. #6
    Visitante

    Padrão Dica de Firewall

    É 3128 A PORTA PADRÃO DO SQUID.

  7. #7
    Administrador Avatar de Fernando
    Ingresso
    Jul 2001
    Localização
    Campinas Area
    Posts
    4.996
    Posts de Blog
    4

    Padrão Dica de Firewall

    Alvaro, se voce eh tao sabido assim, nao frequenta forum entao meo, vai trabalhar pra focus =)

  8. #8

    Padrão Dica de Firewall

    Aparece cada figura, eh exatamente por isso que o cara ta perguntando, ele nao quer ficar fazendo feio e quer aprender.

    amigo seu firewall nao ta funcionando porque provavelmente voce nao colocou nenhuma regra que transforme seu firewall em stateful, deste modo ele tem como "manter as pegadas" de uma conexao.

    iptables -A FORWARD -m --state RELATED,ESBLISHED -j ACCEPT

    com isso ele passa de stateless para stateful.

    crie uma politica de forward default de drop

    iptables -P FORWARD DROP

    e entao libere o que voce prescisa na sua rede (suponho que ela seja 10.1.1.0/24)

    # www / ssl
    iptables -A FORWARD -s 10.1.1.0/24 --dport 80 -j ACCEPT
    iptables -A FORWARD -s 10.1.1.0/24 --dport 443 -j ACCEPT
    # smtp
    iptables -A FORWARD -s 10.1.1.0/24 --dport 25 -j ACCEPT
    # pop / imap
    iptables -A FORWARD -s 10.1.1.0/24 --dport 110 -j ACCEPT
    iptables -A FORWARD -s 10.1.1.0/24 --dport 143 -j ACCEPT
    # ftp
    iptables -A FORWARD -s 10.1.1.0/24 --dport 21 -j ACCEPT


    sinta-se a vontade, esse eh soh um pequeno exemplo. adque-o conforme a necessidade de sua rede

  9. #9
    Visitante

    Padrão Dica de Firewall

    nao vou nem falar para o tal do Alvaro

    pro resto, obrigado, funcionou, o problema é uma coisa bem básica mas passou despercebido...eu alterei a porta 3128 do squi dpara 8080 e squid de liberar essa porta dentro da rede interna, entao quando eu tentava bloquear tudo bloqueava isso também, e por isso das portas abaixo de 1023 funcionavam... agora ja liberei e esta tudo OK

    passei nmap e esta apenas as portas que eu vou usar...

    agora, alguma dica de segurança a mais???
    estou com um firewall que me parece que esta bom, todo sistema atualizado, uso slackware...

  10. #10
    Administrador Avatar de Fernando
    Ingresso
    Jul 2001
    Localização
    Campinas Area
    Posts
    4.996
    Posts de Blog
    4

    Padrão Dica de Firewall

    Se voce quer uma seguranca mais priorizada, use um IDS, pode ser o snort, com algum programa conjunto pra alem de identificar os queries, pra bloquea-los, como nosso amigo IceMan fez em seu artigo, Snort+Guardian, creio eu se encontrar em www.linuxit.com.br

  11. #11
    Visitante

    Padrão Dica de Firewall

    Ô PSY, LARGA TAMBÉM DE SER ZÉ MANÉ, SE ESSE BABACA CONSEGUIU, DEUS SABE COMO, CONFIGURAR O SQUID NA MARRA, COMO DIABOS É QUE ESSA BESTA VAI CONSEGUIR CONFIGURAR O SNORT!?!?!?!?!?!?!?!?!?!
    AINDA MAIS O GUARDIAN!!!!!!!!

  12. #12
    h__
    Visitante

    Padrão Dica de Firewall

    Com a licença de todos do forum, e também com a permissão do duário que está em dúvida, vou dizer o seguinte:

    Cara, se tu sabe mais do que todo mundo, fica em casa, vai tomar banho, vai dormir, cara!!!! Poxa, acho que todos aqui passaram pela fase de perguntar, de ter dúvidas e precisar de pessoas amigas que as vissem e as ajudassem, inclusive, mesmo que vc venha a não admitir, você próprio.
    7
    Por isso, vê se não polui esse espaço, que desde que eu me entendo como um linuxer aficcionado, procurar atender a todos, com as beteiras que vc fala.

    Acho que essa deve ser a opinião de todos, prá não fazer como vc, que tem a cara de pau de baixar o nível em um fórum que atende a todo mundo!!!!

    E, prá vc que esta ou estava com a dúvida, não leve a sério essas pessoas como esse cara, vc sabe q a rede está cheia .... bola pra frente, valeu?


    =*=*=*=*=*=*=*=*=*=*=*=*=

    ___Linux is nine, Chist is ten!!!___

    =*=*=*=*=*=*=*=*=*=*=*=*=

  13. #13
    glasswalk3r
    Visitante

    Padrão Dica de Firewall

    realmente é mais seguro fechar todas as portas, e apenas abrir as que você vai precisar. claro que isso é BEM mais trabalhoso, mas se você for criar regras de firewall de forma porca, é melhor nem fazer.

    em relação à porta 1024, você vai precisar dela habilitada (e com as próximas também) porque as requisições de resposta normalmente vem endereçadas para essa faixa de portas.

    apenas tenha cuidado de não estar oferecendo serviços com porta acima de 1024. se tiver (como X-windows, por exemplo), abra até um porta antes desses serviços, pule as portas dele, e depois abra de novo.

    um livro excelente sobre firewalls é o "Construindo Firewalls para a Internet", traduzido do inglês pela editora Campus. ele é apenas teórico, não mostra regra nenhuma de firewall algum.